Hackerkursus satte Dong på sporet af sårbare servere

Illustration: Virrage Images/Bigstock
En uges kursus i at tænke som en hacker gav flere aha-oplevelser for sikkerhedskonsulent hos Dong Energy. For eksempel fandt han efterfølgende server-software, der kørte med standard-password.

Det kræver kun én lille sprække i forsvarsværkerne, før en hacker kan snige sig ind. Men hvordan opdager man som sikkerhedsansvarlig sprækken før hackeren?

Hos energikoncernen Dong Energy har et af svarene været at lære at tænke som hackerne. Og det gør det muligt at se på systemerne med helt andre øjne, fortæller en af de Dong-folk, der har været på hackerkursus.

»Kurset var et wakeup-call om, hvor nemt det er for hackere, som går systematisk til værks, og som ved, hvad de gør,« siger Keld Hjortskov, der er sikkerhedskonsulent hos Dong.

I en koncentreret uge lærte han om, hvordan en hacker arbejder, med praktiske øvelser og en certificering til sidst.

»Jeg lærte om alle værktøjerne, en hacker kunne tænkes at bruge. En bivirkning er så, at man selv lærer at hacke, men det er så der, at etikken kommer ind,« siger Keld Hjortskov om kurset fra Global Knowledge, der er døbt 'etisk hacking'.

Her fik deltagerne også lov at være forsøgskaniner selv, da underviseren fik sneget en keylogger ind på en af deres computere.

»Vi gik lige til hovedretten. Der var ikke så meget omsvøb. Så snart der er fysisk adgang til computeren, er det nemt at få lagt overvågning ind,« siger sikkerhedskonsulenten.

Sårbare servere glemt i hjørnet

Da han kom tilbage på sit arbejde, gik han i gang med at finde svagheder i it-sikkerheden. Og det lykkedes også.

»Jeg lavede en scanning af nogle servere, der stod i et hjørne og var lidt glemt. Og flere af dem kørte med default password. Det sker, fordi det er mennesker, som installerer det, så hvis man ikke efterfølgende tjekker, kan man have et hul i sikkerheden,« siger Keld Hjortskov.

Med den ’rygende pistol’ kunne han argumentere for, at der skulle bruges flere kræfter på præventiv scanning efter sårbarheder i netværket, og det er nu blevet sat i gang.

»Nu kan jeg udtale mig med større vægt. Og it-sikkerhed handler meget om awareness, hvor det er en kommunikationsopgave at få andre overbevist om, at det er nødvendigt at bruge penge på det. Det er som regel ikke en populær omkostning, for den bidrager ikke direkte til bundlinjen,« siger Keld Hjortskov og sammenligner med forsikringer, der også først viser deres værd, når noget går galt.

Dong brugte allerede penetrationstest for at styrke sikkerheden, men det skal ikke stå alene, siger sikkerhedskonsulenten.

»Det er bare ikke nok nu om dage, så det er falsk tryghed at tro, at ingen kommer ind, hvis alle porte ud ad til er beskyttet,« siger han.

Faktisk er den typiske angrebsvej for en hacker at få lokket en medarbejder til at besøge en inficeret webside og så gelejde malware ned på computeren.

Derfor er det også meget vigtigt at holde software som Java og PDF-læsere fuldt opdateret, så der ikke er åbne huller, lyder rådet. Det problem havde Dong faktisk selv oplevet med en Java-sårbarhed, der ikke var blevet lappet med det samme.

Og også i server-sammenhæng er det en kompleks opgave at holde styr på, hvad der ligger af software rundt omkring.

»Vi har regler for, hvad der må ligge på serveren. Men vi har set et eksempel med en konsulent, som installerede Teamviewer (et fjernstyringsværktøj, red.) på serverne, fordi det så var nemt at styre hjemmefra. Den slags skal vi jo bare fange, så det handler om at have de rette procedurer på plads,« siger Keld Hjortskov.

Som privatperson er han også blevet lidt mere forsigtig, efter at have fået papir på sine evner som hacker.

»Jeg havde et højt niveau før, synes jeg, men jeg er da blevet lidt mere omhyggelig med at lave lange passwords og ikke at genbruge passwords på tværs af forskellige sites.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans-Michael Varbæk

CEH / Certified Ethical Hacker er et "okay" kursus hvis man har ingen som helst idé om IT-sikkerhed, overhovedet. Det indeholder ekstremt mange ting, lige fra fysisk sikkerhed, til meget basisk software og personale sikkerhed, og selvfølgelig også overvågning. (Og en hel del mere.)

Problemet med CEH, er at du lærer en hel masse områder, men du lærer dem IKKE i dybden. Du lærer måske et areal på 5kvm, men det er kun overfladen. Hvis du skal under overfladen, skal du væk langt væk fra CEH og vælge mere seriøst, og når det kommer til Social Engineering er der også meget mere til det end den træning man får under CEH modulet.

Jeg fik igennem hele CEH forløbbet for sjov i slutningen af sidste år, og der hvor der især blev lagt vægt på synes jeg, var teoretisk viden om kryptering, som er godt, men hvis man ikke ved hvordan hackerne (ikke script kiddies) tænker, så betyder kryptering ikke særligt meget, hvis man bare vælger en af standarderne. md5+salt er ofte nok til de fleste databaser, ingen default kodeord, og krav til både små og store bogstaver, tal, og mindst et special tegn, og en længde på minimum 8. (Gerne mere.)

Et eksempel på vBulletin's krypterings algoritme er: md5(md5($password). $salt); som er effektivt nok til at modstå præ-definerede "opslags tabeller" (f.eks., rainbow tables), men hvis ens kodeord er 123456 så er det jo ligemeget hvor stærk krypteringsalgoritmen er, hvis der er et sikkerhedshul på hjemmesiden, som gør man kan stjæle cookien og lave session hijacking, så betyder krypteringen heller ikke så meget, hvis hackeren kan misbruge "sessionen" til at lægge en bagdør ind som logger alle kodeord til en tekst fil, i klar tekst / ukrypteret. (Det er set før.) Selv hvis man har sikret sig mod alt dette, så kan administratoren eller andre brugere af hjemmesiden, måske blive udsat for phishing angreb, eller f.eks. drive-by exploits og når disse bliver inficeret kan de så blive udsat for keylogger angreb, og så er kryptering og kodeord heller ikke så vigtigt.

Den her måde at tænke på, er generelt den måde man skal tænke på som hacker på enten den gode eller den "onde" side, fordi hvis man ikke har nogen idé om hvordan de rigtigt arbejder, så vil man før eller siden få sin sikkerhed kompromiteret, på en eller anden måde, selv uden Internet, kan man bliver inficeret vha. USB-nøgler, og hvis man har auto-run slået fra, så kan man bruge en special-designet USB-nøgle som immiterer et keyboard og som derved indlæser "driveren" automatisk som så er en bagdør.

Nogle af de her ting bliver nævnt under CEH kurset, men ikke direkte som jeg har skrevet dem, men de fleste bliver altså ikke nævnt. I hvert fald ikke det online kursus jeg tog.

Så Dong, læs "Social Engineering: The Art of Human Hacking", det er en god bog af Chris Hadnagy, som til tider kan ses på billeder sammen med Kevin Mitnick fra div. konferencer. Den er meget let læselig og giver et godt udtryk for hvordan hacking af "mennesker" foregår. (Alle kan læse den, da den ikke er særligt teknisk, selvom den beskriver en hel masse værktøjer man kan bruge.)

  • 1
  • 0
Log ind eller Opret konto for at kommentere