Neil og Bart forsøgte at finde den rigtige ondsindede trafik på hackerkonference

Illustration: Jakob Møllerhøj
Hele netværkstrafikken blev gemt under it-sikkerhedskonference - og den blev slettet igen, så snart detn var slut, bedyrede arrangører.

London Når en hel masse fremmede mennesker kobler på et netværk, så kræver det, at der er styr på sikkerheden. Det kan eksempelvis være en dårlig idé, hvis en hel masse fremmede mennesker pludselig kan se hinandens delte drev.

Og når en hel masse it-kyndige og nysgerrige mennesker kobler på netværket, så kræver det sin admin at undgå, at det hele går op i hat og briller.

Det var situationen på it-sikkerhedskonferencen Black Hat, der fandt sted i den europæiske udgave i London for nylig. Her deltog tusindvis af personer fra hele verden. Dette års konference
havde besøg af ca. 3000 deltagere fra 106 lande. Og en del af deltagerne faldt ind under kategorien hacker.

Samtidig var der forskellige officielle netværk, som blandt andet journalister og Black Hat-administrationen kunne koble på.

Men hvordan holder man egentlig styr på, at nysgerrige personer og deciderede blackhats ikke går amok på ... Black Hat? Så eksempelvis hele databasen over tilmeldte bliver lækket?

Neil Wyler (tv.) og Bart Stump er tilknyttet Network Operations Center, der står for netværket og it-sikkerheden under Black Hat. Illustration: Jakob Møllerhøj

Blandt andet sådan et scenarie forsøgte Neil Wyler fra RSA Security og Bart Stump fra Red Sky Solutions at undgå.

De var begge tilknyttet det, der kaldes Network Operations Center (NOC) på Black Hat. NOC stod for hele it-sikkerhedskonferencens netværk og sikkerheden på det.

»… ikke som ved en normal konference«

Netværket var i øvrigt noget, konference-arrangørerne selv satte op.

»Vi stoler ikke på, at en konference-lokation kan gøre netværket stabilt eller sikkert til os, særligt i forhold til den mængde aktivitet, der foregår på netværket, og de forskellige slags aktiviteter, der foregår på netværket,« oplyste Neil Wyler til Version2.

»Det er ikke som ved en normal konference, hvor du bare ville se folk surfe på nettet. Folk lancerer aktivt angreb og demonstrerer ting, der på et normalt netværk ville få nogens hår til at blive hvidt. Men for os er det fuldstændigt 'normalt'.«

De forskellige former for aktiviteter kan skyldes, at konferencedeltagerne demonstrerer og tester forskellige hacker-tekniker, uden at der er tale om et reelt forsøg på ondsindet aktivitet mod et intetanende offer.

Men fra tid til anden så er der også nogen, der forsøger noget, som faktisk er ondsindet. Kunsten for netværksadministratorerne består i at spotte den onde trafik i den øvrige trafik, hvor sidstnævnte også kan ligne hackerangreb.

»Vi bliver nødt til at se i den ondsindede trafik efter den faktisk ondsindede trafik. Så vi har et røgslør af angreb, der foregår, og som er normalt for dette miljø, og så skal man finde der, hvor de reelle ondsindede ting foregår,« forklarede Neil Wyler.

Noget af det, der kan slå ud i sådan en sammenhæng, er kommunikation til kendte ondsindede domæner og ip-adresser.

Alt bliver gemt

For at kunne skabe klarhed over situationen i tilfælde af faktisk ondsindet aktivitet på netværket blev alle datapakker transmitteret over Black Hat-netværket gemt.

Neil Wyler kunne fortælle, at det blev til mange terabyte data i form af lagrede datapakker fra netværket, men han havde ikke lige det præcise tal for, hvor meget trafik der bliver gemt i løbet af Black Hat.

Formålet med lagringen er straks at kunne lave en analyse, skulle ondsindet aktivitet blive detekteret.

Det kunne eksempelvis være at danne sig et overblik over alle de forbindelser, en given klient tidligere har haft på netværket, skulle klienten pludselig se ud til at lancere et angreb.

Meget af den trafik, der bliver lagret, er naturligvis krypteret, når den bliver opfanget - TLS-forbindelser og så fremdeles. Men derfor kan det alligevel være muligt at udlede værdifulde informationer af metadata i forbindelse med et angreb, forklarer Neil Wyler.

Derudover var ikke al trafik krypteret. Ifølge Wyler var ca. 65 procent krypteret, mens resten altså ikke var.

Hvad den ikke-krypterede trafik angår, så tilbød NOC en slags service: Hvis følsomme oplysninger - som et mail-login - blev detekteret i ukrypteret trafik, så kunne vedkommende, der ikke passede godt på sine data, få en besked.

»Vi har faktisk sat det sådan op, så vi kan sende dem en notifikation over netværket: 'Vi har detekteret dine konti-oplysninger i klartekst, det burde du måske tage dig af',« lød det fra Wyler, som tilføjede, at deltagerne forhåbentlig ville forlade Black Hat i en sikkerhedsmæssigt bedre stand, end da de kom.

Wyler understregede, at datapakkerne lagret under konference bliver slettet, så snart konferencen er slut.

Ondt wifi

En hacker-klassiker på sådan en konference er ondsindede wifi-hotspots. Som mere end en enkelt Version2-læser ved, så står det i princippet enhver frit for at opsætte et wifi-hotspot med et navn (SSID), der kunne hedde 'Officielt Black Hat-hotspot'. Dette navn kan være helt identisk med det faktisk navn for Black Hats wifi.

Derudover kan MAC-adressen for sådan et hotspot også spoofes, så den matcher et legitimt hotpots - det kan gøre det overordentligt svært for en deltager at vide, at det faktisk ikke er event-hotspottet, vedkommende er ved at koble op til, men en ondsindet hackers hotspot, som nu kan lave et man-in-the-middle-angreb.

Den slags forsøg har NOC-folkene naturligvis oplevet. De havde dog, da Version2 talte med dem, endnu ikke set det på Black Hat Europe-konferencen.

Bart Stump forklarede, at de officielle wifi-hotspots scanner efter, om der dukker nye opkoblingspunkter op, som ikke bør være der. Selvom et ondsindet access point umiddelbart kan ligne et legitimt til forveksling, bliver de alligevel afsløret, al den stund at de falske opkoblingspunkter ikke har forbindelse til det backend-udstyr, som bliver brugt hos NOC.

Og når den slags dukker op, starter eftersøgningsarbejdet..

Stump fortalte, at NOC-folkene efter længere tids søgen fandt et lille, fjendtligt wifi-access point under den amerikanske udgave af Black Hat, der fandt sted i Las Vegas tidligere på året.

»Vi vandrede rundt og fandt det omsider i en krukke,« lød det fra Bart Stump.

It-support

Et it-problem blev også løst under besøget i NOC. Version2's udsendte kunne ikke browse via en VPN-forbindelse over Black Hat-nettet.

Kunne det mon være, at Black Hat-folkene aktivt blokerede for VPN-forbindelser for bedre at kunne følge med i, hvad deltagerne foretager sig?

Overskrift: It-sikkerhedskonference vil vide alt - blokerer gæsters VPN-forbindelser

Sådan var det dog - desværre - ikke.

»Jeg skal fortælle dig præcist, hvad det er: Du skal skifte den fra UDP til TCP,« forklarede Bart Stump.

En helt kort forklaring er, at en MTU-størrelse gav problemer i forhold til UDP-protokollen, som den pågældende VPN-klient anvender som standard.

Stump kunne fortælle, at netværksfolkene på Black Hat havde fået en del henvendelser på den baggrund.

»Vi fejlsøgte på det problem i omkring fem timer den anden dag.«

Fejlsøgningen bar frugt, der var i hvert fald ikke længere problemer med at gå på nettet efter et skifte til TCP i VPN-klienten på computeren, som denne artikel er skrevet på.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere