Black Hat-keynote: »Enten vænner vi os til at være usikre, eller også finder vi en måde at trykke pause«

1 kommentar.  Hop til debatten
Millioner af kodelinjer i browsere og f.eks. Linux-kernen øger it-sårbarheden. Den europæiske udgave af sikkerhedsmessen Black Hat blev skudt i gang i dag i Amsterdam med en ordentlig opsang til de fremmødte.
12. november 2015 kl. 15:16
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den officielle del af Black Hat Europe er skudt i gang - konkret med et åbningsindlæg fra Haroon Meer, grundlægger af it-sikkerhedsvirksomheden Thinkst.

Han havde medbragt nogle noget dystre prognoser til de ca. 1.000 fremmødte netværksansvarlige og sikkerhedsforskere på 15. udgave af den europæiske udgave af Black Hat.

Meers hovedpointe under oplægget var, at det står sløjt til med it-sikkerheden:

»Jeg tror helt sikkert, det her bliver værre.«

Artiklen fortsætter efter annoncen

Det er der ifølge Meer flere grunde til, blandt andet kompleksitet og en nytteløs tilgang til it-sikkerhed, herunder penetrationstest, såkaldt pentesting.

Meer startede ud med en håndsoprækning blandt de omkring 1.000 tilhørere.

Eksempelvis spurgte han publikum, hvor mange der var network-defenders, altså arbejder med at sikre organisationens netværk. Det var ca. halvdelen.

»Forestil dig det mest værdifulde individ, du har i din virksomhed.«

Herefter spurgte Meer tilhørerne, hvor mange af dem der var fortrøstningsfulde i forhold til at kunne stoppe et målrettet hacker-angreb mod dette individ. Det var der umiddelbart ingen, der gjorde.

I den forbindelse - og flere gange senere - pegede Meer på det skel, som han mener, der findes mellem sikkerhedsfolk i en organisation og så bestyrelsen i samme organisation.

»De laver den logiske antagelse, at de folk, de betaler, har styr på det,« sagde han og fortsatte:

»For størstedelens vedkommende håber vi blot på, at angrebet ikke kommer på vores vagt.«

Som indirekte årsager til, hvorfor presset fra cybertrusler mod organisationer ikke er blevet mindre med årene, nævnte Meer både Wikileaks-stifter Julian Assange og whistleblower Edward Snowden. Uden at forholde sig til deres gerninger som sådan konstaterede Meer, at Wikileaks har fået folks øjne op for værdien af data - og altså også de kriminelles øjne.

Og Snowdens afsløringer af NSA's metoder, påpegede Meer, inspirerer utvivlsomt almindelige it-kriminelle.

»En af de ting, som han har gjort, er, at han har gjort hacking mainstream.«

Ført og fremmest er det dog kompleksiteten i den it, vi bruger, der i dag gør it-sikkerhed til en svær opgave. Meer havde flere eksempler på, hvordan it er blevet komplekst i en sådan grad, at tilstrækkelig sikring af produkterne virker som ren utopi.

»Enten vænner vi os til at være usikre, eller også finder vi en måde at trykke pause.«

Men vi har ikke trykket pause, hvilket Meer konstaterer på flere måder. Blandt andet fremhævede Meer Linux-kernen, der i 1991 var på ca. 10.000 kodelinjer. I dag er den på ca. 20 mio. kodelinjer. Det samme gælder den udbredte Chrome-browser.

Et andet eksempel, Meer havde med, er den hardware, vi bruger. Hvor en harddisk controller i dag i sig selv er så omfangsrig, at den eksempelvis kan køre Linux. Det samme for andre onboard-controllers.

»Hvad kompleksiteten angår, så er det 'off the charts',« sagde Meer.

Sårbarhed i browsere går uden om pentest

Ifølge Meer bliver problemet yderligere forstærket af, at flere af de værktøjer, branchen benytter for at komme sikkerhedsproblemer til livs, simpelthen ikke fungerer og ikke har gjort det i årevis.

Særligt pentesting gav han et par hårde ord med på vejen.

»Vi tænkte, det ville være løsningen på et problem. Vi gør det nu på en rutinemæssig basis, men det lader ikke til at hjælpe,« sagde Meer med henvisning til pentesting.

I den forbindelse påpegede han, at pentestning ikke tager højde for de angrebsvektorer, som it-kriminelle i den virkelige verden faktisk benytter sig af. Eksempelvis angreb via sårbarheder i de web-browsere, organisationens brugere anvender.

»Alt, hvad pentestere gør, er at efterligne andre pentestere,« sagde Meer.

Og han havde også et svar på, hvorfor pentesting alligevel er et produkt i dag.

»Det er nemt at sælge. Der er en checkbox: Er du blevet pentestet? Det leverer et resultat, og når pentesten er slut, er folk glade, fordi de føler, de har fået noget håndgribeligt,« sagde Meer.

Flere andre hyppigt brugte elementer i forhold til it-sikkerhed fik også en omgang af Meer - herunder det, han kalder en usund besættelse af zero-day-sårbarheder (der er masser af angreb uden zero-day), big data (det skaber mere data), realtidsanalyse (forstå seks år gamle angrebsmetoder først) og konsulenter.

Med sidstnævnte mente han, at eksterne konsulenter ikke nødvendigvis har øje for den del af en organisations forretning, der i virkeligheden er mest værdifuld.

Og det bør de sikkerhedsansvarlige i en virksomhed under alle omstændigheder holde sig for øje, påpegede Meer:

»Du bliver nødt til at forstå din kronjuvel. Hvad betyder mest i din organisation?«

Meer kom ikke med en enkel opskrift på god sikkerhed, men noget af det, han fremhævede positivt, var netværkssegmentering. Så når hackerne kompromitterer en del af netværket, kompromitterer de ikke nødvendigvis hele netværket.

Og også Microsofts EMET-værktøj (Enhanced Mitigation Experience Toolkit) fik et par rosende ord med på vejen. Værktøjet er også blevet fremhævet af Secunia tidligere her på Version2.

Få bestyrelsen til at forstå det

I forhold til kommunikationen fra it-sikkerhedsfolk og til beslutningstagere i en organisation, så er det it-sikkerhedsfolkenes opgave at sikre organisationen og få bestyrelsen med på det, slog Meer fast:

»Dit job er at få dem til at forstå det, og hvis du ikke kan få dem til at forstå det, så bør du skifte job.«

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
12. november 2015 kl. 17:20

" Og Snowdens afsløringer af NSA's metoder, påpegede Meer, inspirerer utvivlsomt almindelige it-kriminelle.

»En af de ting, som han har gjort, er, at han har gjort hacking mainstream.« " CSC kunne jo være hacket i årevis, både nu, inden og efter skueprocessen. Så tror ikke at frihedshelten og samvittighedsfange Edward Snowden har gjort det mainstream. Det er bare lige som med sundhedsfarlige stoffer, og rester fra sprøjtegifte i drikke og grundvand. Når man tester for det, så finder man det. Hacker er bare blevet mere profit orienteret og professionelle.Så mange amatøre og legebørn der fik diskskuffen til at køre ind og ud, er enten ansat af NSA, eller har lidt "anden" indtjening.