Hvem tester sikkerheden i sikkerhedsprodukter?

Det er sket flere gange ' sidst jeg var med, var for et par år siden hvor en sårbarhed i Symantec Antivirus på en eller anden måde blev udløst på kundens interne netværk, og alle interne arbejdsstationer spammede netværket til så ingen af de ca. 1000 arbejdspladser kunne arbejde. Problemet blev forværret af kundens interne netværksstruktur ' eller rettere ? manglen på samme på det tidspunkt.

Hvem tester sikkerheden i sikkerhedsprodukter? Det er sket før i verdenshistorien at et givent sikkerhedsproblem ikke ville være der hvis det pågældende sikkerhedsprodukt ikke var installeret. Det er en meget pudsig problemstilling, for hele grunden til at vi installerer antivirusprodukter er netop for at slippe for den slags problemer og højne sikkerhedsniveauet.

En anden problemstilling er den meget tænkte situation at det installerede antivirus produkt ikke fanger alle sårbarheder. Forestil dig følgende situation: En hacker beslutter sig for at kompromittere din virksomhed med en sårbarhed i Acrobat PDF (som virksomhedens antivirus ikke kan finde..). Han finder derfor emailadresser på alle ansatte (som er lagt på hjemmesiden ? tak), og sender dem alle en personlig mail (forfalsket så den ser ud til at komme fra en anden ansat), hvor han beder dem åbne vedhæftede faktura for at se om de kan hjælpe ham med en ting han ikke forstår.

Sårbarheden i PDF filen gør at der oprettes en reverse http tunnel tilbage til angriberen. Denne kan han udnytte til at få adgang til virksomhedens interne netværk.. og så er der game over.

Min pointe er flere ting:
Hvem sikrer at et givent sikkerhedsprodukt er godt nok' Og kan man overhovedet få et produkt der er 'godt nok''
Et købt produkt må aldrig stå alene ? et tilstrækkeligt sikkerhedsniveau opnås ved en passende kombination af flere produkter, procedurer og uddannelse.

Ovenstående angreb kunne være afværget på flere måder:

  • En teknisk foranstaltning i form af en proxy der kontrollerer udadgående http og https forbindelser, så kun arbejdsrelateret trafik tillades.
  • Uddannelse af medarbejderne. Jo flere medarbejdere der er kritiske overfor mails, telefonopkald, facebookbeskeder, twits, messengerbeskeder de modtager, jo færre medarbejdere vil hoppe på et givent scam.

Ligesom teknologien ikke må stå alene, må procedurer og uddannelse heller ikke gøre det.

Sikkerhed er en proces der involverer alle dele af virksomheden.

Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Esben Nielsen

Generelt er problemet, at man sætter sin sikkerhed ved firewallen. Intern i firmaet er sikkerheden meget lav. Dvs. er man først inde på indersiden af firewallen, har man nemt adgang til alt. Og det kan altså ikke undgås med alle de mobile enheder, fejl i OS'er, applikationer etc.

Sikkerheden bør derimod skubbes ud til klienterne. Alt bør krypteres og alle maskiner burde have samme sikkerhedskrav som, hvis de sad direkte på det åbne Internet.

Jeg ved udemærket godt, at meget udstyr (printere, switche etc.) ikke lever op til disse krav, og at det er nemt f.eks. lige at smække en NFS server op for at dele filer mellem Unix maskiner. Men vi bør altså bevæge os ud af den holdning "Nå, men det er jo på et lukket netværk, så det er ligemeget" for den holder ikke, medmindre der er 100% styr på, hvad der ellers er på det netværk. Og det kan virksomheder altså bare ikke have.

  • 0
  • 0
#2 Anonym

Hele strukturen bygger på et kommercielt kartels forsøg på at tvinge kontrollen over mennesker ud i armene på kommerciel profilering (federated Identity).

Man tvinger borgerne til at overdrage deres suverænitet til en kommerciel server som ikke overholder Lov om Digital Signatur.

Man tvinger alle services til at blotlægges på en server som på samme tid bliver en flaskehals og et man-in-the-middle attack.

Man tvinger borgerne til at deponeres og sammenkøre alle deres data i en usikret kommerciel service.

Og man tvinger alt ind i den samme legacyteknologi som blokerer for innovation, konkurrence og effektivisering.

Og så kalder man det eDag3, tilføjer lidt progaganda - og så æder medierne det råt og agerer ukritisk mikronholder.

Hvem tester sikkerheden? Hvem tester det mod samfundets behov, samfundsøkonomien og borgernes rettigheder?

  • 0
  • 0
#3 Klaus Agnoletti

@Esben

Lagdelt sikkerhed er nøglen. Man skal aldrig bero sig på ét sikkerhedslag, såsom firmaets firewall. Det er desværre mere reglen end undtagelsen at det ser sådan ud derude - ihvertfald blandt de af vore kunder jeg har lavet netværkssikkerhedstest på.

Sikkerhed på klientsiden er blot ét af de lag der samlet set gør at sikkerhedsniveauet er højt nok - så du har ret :)

/k

  • 0
  • 0
#5 Hans-Michael Varbæk

Sikkerheden skal optimalt set være lige så god internt som eksternt og IT-udstyr som servere bør f.eks. være i aflåste rum osv osv osv. Der er en del standarder, f.eks. NIST SP800-42 (samt flere) som jo er halv-gammel men stadigvæk delvist effektiv. OSSTMM og ISO 27001 kan også behjælpe virksomhederne en hel del hvis der er en ansat som virkelig har styr på dette, eller et eksternt firma.

Man behøver dog ikke absolut at kende til ovenstående, men det hjælper en hel del at kende til, i hvert fald én af dem.

Sikkerhed i sikkerhedsprodukter. Normalt burde denne være i orden, men det kan altså ikke garanteres 100% da sikkerheden på computere er opfundet af mennesker, og ligeledes er sikkerhedshullerne eller koden som blev skrevet forkert i første omgang, også fundet af mennesker. Generelt set blev den måske ikke skrevet forkert, bare ikke "sikker" nok med henblik på at nogen ville udnytte den del af koden. Det kan jo også være at programmør'en fulgte alle standarder, men så blev en ny form for angreb "opfundet" og så er man jo på dem ;-)

Problemet er at der vil altid være en eller anden form at hacke virksomheden på, internt f.eks. via Arp Spoofing, der vil det kun være hvis man har et IDS eller en Arp-monitor at man vil vide at der er nogen der agerer gateway. (medmindre man selv checker hvad der sker på netværket) Jeg har endda set det muligt at arp spoofe vha. Windows' egne processor utroligt nok (svchost osv). Der findes dog nogle midler mod dette på Cisco og lignende udstyr har jeg læst. (Switching kan også delvist løse det problem, men 100% tror jeg ikke på da jeg ikke har set nogen virksomheder endnu som switcher hver enkelt medarbejder på et VLAN for sig selv :-P)

Med henblik på ukendte 0days som folk kalder dem, ja så er der ikke meget at gøre, selv i ovenstående tilfælde hvor måske en http proxy kunne hjælpe, så ville det jo ikke være godt hvis hackeren godt vidste de brugte den proxy og så hackede den? (Ja proxyer kan også hackes, også selvom de er "stable" og ser ud til at være sikre, man skal bare lede længe nok og være innovativ).

Men hver gang jeg har set folk finde huller i sikkerhedssoftware har jeg da rystet på hovedet, men lige så meget har jeg rystet på hovedet når jeg har set folk finde sikkerhedshuller i sikkerhedsfirmaers hjemmeside, inklusiv konsulent firmaer. (nu giver jeg så ikke nogen eksempler, men selv danske sikkerhedsfirmaers hjemmeside er blevet set kravle på det punkt eller have et mindre hul som kunne bruges til lidt lettere browser-angreb eller cross-site-scripting).

Det blev noget af en kommentar, men jeg vil hellere sige min ærlige mening ;-)

  • 0
  • 0
#6 Anonym

Hans-Michael

Du argumenterer kun ud fra perimenter-paradigmet - hvor tykke er murene. Den centrale problemstilling er at det paradigme helt uundgåeligt dør.

Antag at hackerne og andre misbrugere kommer helt ned i databasen - og re-design med den antagelse. Kan systemet ikke tåle det, så lever det på lånt tid for det vil ske.

I mange tilfælde er den største hacker forretningsstrategen som bevidst skaber misbruget - det gælder f.eks. Google, Facebook, PBS og Digital Forvaltning.

  • 0
  • 0
#7 Hans-Michael Varbæk

Jeg kan jo også antage, at det altså ikke er særligt svært at lave en virus som kan kompromitere de fleste netværk og som ikke er detekterbar. Faktisk er de fleste hjemmelavede ting slet ikke detekterbare og hvis de endelig er, ja så bruger man da bare nogle ufine metoder til at snyde programmerne med. Et gammelt trick som Muts fra BackTrack projektet på Shmoocon viste, var XOR XOR kryptering. Smart :-) (det ved jeg dog ikke om virker endnu mod diverse AV-programmer).

Men det nytter vel ikke at fortsætte diskussionen, for ligemeget hvad er der altid en vej ind.

Q: Hvad hvis computeren ikke har Internet? A: Social-engineering har været vidne til en hel del grumme ting på nettet, så som defacements hvor sikkerheden var i tip top, bare ikke på det menneskelige plan som man f.eks. kan læse om i OSSTMM.

PS: Alle systemer lever på lånt tid, der vil altid være nogen som finder huller i koden / softwaren og derefter enten misbruger det eller prøver at optimere dette derefter. Det er i hvert fald sådan det har været i meget lang tid nu, selv Steve Balmer hævder at Windows' produkter er sikre, men hvorfor ser jeg så mindst 20 kritiske opdateringer om året? (ca)

Men nok om det, jeg ville bare lige sige min mening.

  • 0
  • 0
#8 Anonym

PS: Alle systemer lever på lånt tid, der vil altid være nogen som finder huller i koden / softwaren og derefter enten misbruger det eller prøver at optimere dette derefter.

Helt enig i at så godt som samtlige sikerhedsprotokoller er enormt sårbare overfor den tidsmæssige svækkelse grundet udviklingen i angreb og regnekraft.

Men så skulle du prøve at lave sikkerhedsmodeller til RFID. Vi taler en computer uden batteri med ekstremt begrænset regnekraft og næsten ingen storage. Computeren er trådløs uden brugerinterfaces og åben tilgængelig for angriberen i hostile environment.

Angriberen har ekstremt store interesser i succesfulde brud fordi vi f.eks. taler counterfeit medicin eller andre branded consumer goods i en værdikæde som starter i Kina.

Desuden skal den være langtidsholdbar fordi produkterne vil typisk have en lang levetid - 10-20 år - og må ikke kræve vedligehold.

Nå jo - og så må det nærmest ikke koste noget. Det skal kunne sidde i biblioteksbøger.

Kravene er så tunge at man nærmest er tvunget til at overgå til zeroknowledge protokoller.

Og selvfølgelig skal protokollen offentliggøres - sikkerhed ligger i nøgler, ikke i algoritmers hemmligholdelse.

  • 0
  • 0
#9 Klaus Agnoletti

@Hans-Michael

Et sjovt eksempel på at hacke en virksomhed uden at bruge internet, er noget jeg læste for et par år siden. Et it-sikkerhedsfirma fik lavet nogle USB nøgler med en bagdør på som de placerede på parkeringspladsen ude foran virksomheden. Det der så skete, var at de ansatte tog usb nøglerne, satte dem i deres arbejdscomputer.. og så var der game over.

Jeg har eksperimenteret med tanken om at købe 100 usb nøgler, lægge en bagdør på dem, og placere dem på rådhuspladsen... bare for at se hvad der sker - men min chef er ikke så lun på idéen :-|

/k

  • 0
  • 0
#10 Hans-Michael Varbæk

@Klaus => Lige præcis, man behøver nemlig ikke Internet for at hacke en virksomhed. Der findes også dumpster-diving, shoulder-surfing samt social-engineering. Smarte udtryk for meget simple metoder (okay, social-engineering / SE er og kan være meget tricky) men generelt er det jo fordi de fleste mennesker stoler blindt på deres IT-Ansvarlige i deres virksomhed.

Med henblik på gratis hardware, ja det er set før. Det er også set at nogle "service-folk" lige skulle ud og sætte en ekstra UPS op eller skifte den gamle ud hos et firma eller en virksomhed, men indeni, der var sku lige en trådløs router! (der er endda en tegning til hvordan du kan lave sådan en på Internettet).

Super god feedback Klaus, det er sku' godt at se.

  • 0
  • 0
Log ind eller Opret konto for at kommentere