Her er de seks værste angrebsveje for hackerne

SAN FRANCISCO: Firewalls og antivirus er ingen garanti for, at dit netværk er sikret mod hackere. Det kræver en løbende revurdering af netværksarkitekturen at holde trit med de nyeste angreb, og ofte vil det være umuligt helt at forhindre angreb i at lykkes.

»En beslutsom hacker med tilstrækkelige ressourcer kan bryde ind på stort set ethvert netværk,« siger it-sikkerhedskonsulent Ed Skoudis fra InGuardians.

»Så måske bør du flytte en del af de ressourcer, du bruger på at forebygge angreb, over til at finde ud af, hvor banditterne er på dit netværk, og til at kunne fjerne dem,« siger han.

Sammen med chef for Internet Storm Center hos sikkerhedsorganisationen SANS, Johannes Ullrich, præsenterede Ed Skoudis de værste angrebsformer, som hackerne benytter sig af lige nu.

Ed Skoudis er ekspert i 'penetration testing', som går ud på at bruge hackernes metoder til at afsløre svagheder i et netværk. Det hjælper it-afdelingen med til at finde ud af, hvordan de bedre kan beskytte netværket.

Pass-the-hash Den mest udbredte metode blandt hackere lige nu er såkaldt 'pass-the-hash'. Det går ud på at udnytte, at brugerne ikke bliver identificeret ved et brugernavn og en adgangskode i et Windows-miljø, men de to bliver oversat til en værdi, et såkaldt hash.

Dette hash kan en hacker stjæle. Hvis hackeren eksempelvis er kommet ind på en Windows-klient ved at brugeren har besøgt et websted med et ondsindet script, så kan hackeren kopiere den brugers hash.

På et Windows-netværk vil det normalt kun give hackeren adgang som en almindelig bruger uden særlige rettigheder. Men det stjålne hash kan sendes videre over det interne netværk til andre Windows-maskiner.

Det kan give adgang til Windows-maskiner med fildeling, og hackerens håb er at få adgang til en maskine, hvor han kan bruge det stjålne hash til at kopiere andre brugeres hash-værdier. Helst en bruger med administratorrettigheder.

»Derfor bør du slå fildeling i Windows fra og sørge for, at fildeling kun sker gennem filservere, som du overvåger,« siger Ed Skoudis.

SSL bruges forkert

Secure Sockets Layer, SSL, kom i søgelyset sidste år, efter det blev opdaget, at Linux-distributionen Debian i flere år havde haft en usikker implementering af den algoritme, som blev brugt til at generere nøgler til krypteringen.

Men SSL bliver også brugt forkert af både udviklere af webapplikationer og webbrowsere, advarer Johannes Ullrich.

»Browseren giver dig en advarsel, hvis der er en fejl med SSL-forbindelsen, men du bliver ikke advaret, hvis der ikke er nogen SSL-forbindelse, hvor der burde være én,« siger Johannes Ullrich.

Det gør det muligt at lave et manden-i-midten-angreb, hvor brugeren lokkes til at besøge et websted gennem en hackers proxyserver. Forbindelsen mellem hackeren og brugeren kører uden SSL, mens forbindelsen fra hackeren til den rigtige webserver kører med SSL. På den måde kan hackeren opsnappe alle data.

Samtidig er det ikke usædvanligt at se websteder, som burde være sikre, hvor selve loginsiden ikke bruger SSL. Og tilsvarende finder man websteder, hvor selve loginsiden bruger SSL, mens de sider, man derefter får adgang til, ikke bruger SSL.

Flexible pivoting omkring firewallen

Normalt er det ikke god praksis at tillade en maskine i det neutrale område mellem internettet og lokalnetværket, DMZ, at initiere forbindelser til maskiner på lokalnetværket.

På mange netværk er det imidlertid muligt, og det kan blandt andet udnyttes til at skaffe en hacker adgang til maskiner på lokalnetværket ved at bruge netværkets firewall.

Det sker ved hjælp af såkaldt 'flexible pivoting', hvor hackeren etablerer to udgående forbindelser fra eksempelvis firewallen og kan snyde netværket til at opnå en indgående forbindelse til lokalnetværket.

Dette sikkerhedsproblem løses bedst ved at opdele netværket i flere fysiske zoner for at skabe en skarp adskillelse mellem DMZ og lokalnetværket.

Malware fra sociale netværkstjenester

Sociale netværkstjenester er ét af de områder, som sikkerhedseksperter lige nu holder mest øje med. It-kriminelle bruger allerede tjenesterne til spam og phishing, og mange forventer, at de også vil blive brugt til at sprede ondsindede programmer.

Mange virksomheder har en politik om at blokere for adgang til eksempelvis Facebook, men det begrundes typisk med, at virksomheden frygter, at brugen af webstedet går ud over produktiviteten.

Sociale netværkstjenester kan imidlertid også bruges som en vej for malware til at finde vej til klienterne. De seneste par år er de kriminelle gået over til at bruge helt legitime websteder til at sprede ondsindede programmer.

Det kan lade sig gøre på grund af en kombination mellem sårbarheder i webstedernes webapplikationer og social engineering eller manipulation af brugerne. Sociale netværkstjenester udgør en endnu bedre mulighed for social engineering end eksempelvis velbesøgte internetmedier, fordi de kriminelle kan få det til at se ud til, at et ondsindet link kommer fra en person, offeret stoler på.

Angreb på trådløse netværk indefra Normalt antager vi, at hvis en hacker vil angribe et trådløst netværk, så skal hackeren være inde for rækkevidde af radiosignalet, og det er den tankegang, vi har indrettet vores Wi-Fi-forsvarsværker efter.

»Men hvad hvis en hacker bruger én af dine bærbare pc'er til at angribe dit trådløse netværk?« spørger Ed Skoudis.

Hvis hackeren har adgang til en Windows-pc med et trådløst netværkskort, så kan han hacke det trådløse netværk på flere tusind kilometers afstand.

Det er ironisk nok ét af de områder, hvor Windows Vista har introduceret et sikkerhedsproblem, som ikke var til stede i Windows XP. Windows Vista og Windows 7 har en udvidet netværksstak til trådløse netværk.

En hacker kan aktivere de avancerede funktioner og overvåge netværket. Og selvom netværket er krypteret med WPA2, kan hackeren udnytte det WPA2-certifikat, som den bærbare pc har fået helt legitimt fra netværket.

Usikre IP-telefonisystemer I dag kan stort set alle og enhver sætte et IP-telefonisystem op ved eksempelvis at bruge open source PBX-systemet Asterisk. Men hvis det ikke bliver sikret tilstrækkeligt, så kan det misbruges af hackere.

De første forsøg på at hacke IP-telefonisystemer blev brugt til at lade hackerne ringe gratis. Det er ikke længere tilfældet.

»Det bliver ikke brugt til gratis telefonsamtaler, men til at lave svindel på eksempelvis eBay. Det giver svindlerne mulighed for at oprette et legitimt telefonnummer, som en kunde kan ringe til,« forklarer Johannes Ullrich.

Bryder hackerne ind i en virksomheds system, så kan han oprette et telefonnummer, hvor et offer kan ringe til en virksomheds omstillingsbord og blive stillet om med det rigtige lokalnummer. Nøjagtigt som hvis svindleren faktisk arbejdede i virksomheden.