Sikkerhedsekspert: Hacking er det bedste forsvar

Du skal selv teste, hvor (u)sikkert dit it-setup er. Ellers risikerer du, at andre gør det for dig, siger Kim Guldberg fra Forsvarets it-afdeling FKIT.

Hvis du ikke kan huske, hvornår du sidst har gjort noget aktivt for at holde hackere ude af dit system, er det et sikkert tegn på, at systemet allerede kan være kompromitteret.

Sådan rungede advarslen fra kaptajn Kim Guldberg fra Forsvarets Koncernfælles Informatiktjeneste, FKIT, ved et foredrag om hacking onsdag den 9. marts.

Ifølge Kim Guldberg bliver virksomheders it-sikkerhedsansvarlige nødt til at være mere offensive, når de skal sikre et system. Alt for mange har nemlig misforstået sikkerhedssoftwarens funktion.

»It-sikkerhed er ikke sat i verden for at stoppe angreb. It-sikkerhed er noget man laver for at give den sikkerhedsansvarlige tid nok til at opdage, at der er et angreb i gang, så han kan gå ind og foretage aktive skridt for at forhindre det,« siger Kim Guldberg.

Det aktive i it-sikkerheden bør bestå i, at man på forhånd har foretaget analyser af, hvor lang tid det potentielt ville tage for en hacker at bryde de sikkerhedssystemer, som man har sat op.

På den måde ved den sikkerhedsansvarlige, hvor tit han bør kigge systemet igennem for eventuelle angreb, til at han kan nå at stoppe dem.

Men for at kunne lave sådanne analyser kræver det, at man som ansvarlig for sikkerheden er i stand til at se på systemet som en hacker. Men det er de færreste, der er i stand til det.

»Hver eneste gang at jeg ser et systemcrash, så er det for mig en potentiel mulighed. Som hacker tænker jeg: 'Det var dog interessant. Gad vide om jeg kan udnytte, at det er gået ned',« siger Kim Guldberg.

I den forbindelse understreger Kim Guldberg, at man som it-sikkerhedsansvarlig bør gå skridtet videre og selv undersøge, om systemnedbruddet kan udnyttes af eventuelle hackere. Det gælder både applikationer, servere og selv netværksprintere.

»Det er ikke nok at vente på, at en leverandør leverer en patch. Som hovedregel kan man gå ud fra, at når en leverandør leverer en patch, så har de bedste hackere kendt til sårbarhederne i minimum to år.«

Kim Guldberg fortæller, at man bør gøre sig klart, at hackerne som hovedregel vil have mellem seks og ti alvorlige exploits til rådighed, som kan give dem rootadgang til et systems netværk.

Buffer overflows giver adgang

Hackere har som oftest ikke adgang til kildekoden i det system, som de forsøger at angribe. Så det eneste, de har mulighed for at manipulere med, er programmernes assemblerkode, som er indlæst i systemet.

Det er denne kode, som hackerne bliver i stand til at manipulere med, når de finder et exploit i systemet.

I Kim Guldbergs hackereksempel handler det populært sagt om at finde exploits, så hackeren kan få kontrol over procesflowet.

Det kan gøres ved at få adgang til den proces, der peger på hvilke data i hukommelsen, som skal eksekveres næste gang; det såkaldte EIP.

En typisk måde, som hackere finder exploits på, er, når programmet udfører et såkaldt buffer overflow. Det betyder, at der ved en fejl bliver sendt for mange data til en præallokeret hukommelseplads, som dermed 'flyder over' med data.

I den proces bliver koden, som er til stede i stacken, overskrevet, og giver hackeren mulighed for at fylde sine egne data ind på de pladser.

Ved onsdagens foredrag viste Kim Guldberg hvordan en buffer overflow-fejl i en ældre version af Apples Quicktime på kort tid gjorde ham i stand til at få fuld fjernskrivebordsadgang på en Windows XP-maskine fra et Linuxsystem.

Kim Guldberg ser ingen gyldig undskyldning fra hverken udviklere eller it-sikkerhedsfolk for, at disse sikkerhedsfejl ikke bliver opdaget i tide.

»Hvis hackerne kan gøre det her, så kan I altså også,« proklamerede Kim Guldberg.

Videreuddannelse er nødvendig

Kim Guldberg foreslår, at man som it-sikkerhedsansvarlig bør følge med i de hackerforums, som man har mulighed for.

Desuden lægger flere hackere de exploits, som de har opdaget, ud i forskellige hackerfora og databaser, såsom exploit-db og milworm.

Men selv om man finder exploits på nettet, som kunne berøre ens system, så er det ifølge Kim Guldberg allerede for sent.

»De exploits, som I kan finde derude, skulle I have gjort noget ved for et år siden. Hackerne lægger dem ikke ud før tidligst et år efter, de har opdaget dem, så det bedste er selv at finde sine exploits,«

Kim Guldberg sluttede onsdagens foredrag af med at appellere til de tilhørende chefer. Der er brug for at lederne forstår, at det er nødvendigt med hyppig efteruddannelse, når det gælder it-sikkerhed.

Særligt blev flere amerikanske kurser og messer fremhævet, herunder Black Hat i Las Vegas.

»Det er top quality træning. Det er hackere, der underviser,« understreger Kim Guldberg.

Opdateret 08:51: Præcisering af Kim Guldbergs titel.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Som denne artikel: http://www.ranum.com/security/computer_security/editorials/dumb/index.html også skriver, kan man vinde meget ved at segmentere sit netværk så der skal brydes gennem meget for at komme i nærheden af de vigtige ting.

Og at hacke sit eget netværk er vel lidt ligesom at finde bugs i software. Man kan vise at bugs er der, men man kan ikke vise at bugs ikke er tilstede.

  • 0
  • 0
Robert Larsen

Og at hacke sit eget netværk er vel lidt ligesom at finde bugs i software. Man kan vise at bugs er der, men man kan ikke vise at bugs ikke er tilstede.

Sandt, men hvis man ikke leder efter bugs, så finder man helt sikkert ikke nogen. Heller ikke de åbenlyse i neon.

  • 0
  • 0
Log ind eller Opret konto for at kommentere