henrik knopper bloghoved

Open Source Sikkerhed?

Der er steder på internettet hvor man ikke ønsker at blive set.

Hvis man bliver opdaget bør man nægte alt og i øvrigt holde lav profil i en periode.

Nu taler jeg hverken om områderne dedikeret kødelige lyster eller de politiske / religiøse debatforaer, men om de steder hvor alle der aktivt bidrager gemmer sig bag flotte dæknavne og HvOr FoLk SkRiVeR mEd En UsTaBiL cApS LoCk TaSt .

Er man nødt til at gå de steder hen er NoScript, Firewall og antivirus at regne som minimalbeskyttelse, og de ting kan ikke erstatte sund fornuft.

Men nogen gange er det risikoen værd.

Sidst jeg var på de kanter (!) faldt jeg over en utrolig kompetent gennemgang af nogle af hullerne i en standard Linux-installation samt en checkliste med ting man burde gøre hvis man ville hæve sikkerhedsniveauet.

Nogle af tingene var ret grundlæggende, som at installere alle tilgængelige patches, fjerne telnet og ændre ssh så den kun understøtter protocol 2.

Andre ting var indlysende når man først tænkte over dem som f.eks. at gøre hvad man kunne for at sikre at history-filen ikke ændres, fjerne almindelige brugeres adgang til udvalgte programmer (gcc, make, ifconfig m.m.) samt sætte systemet op til at sende dig en mail hver gang der er nogen der skifter til root.

Derudover var der vejledning i root-kit-detectors, TCP-wrappers, Brute force detectors, lukning af farlige huller i PHP samt et antal kernetilretninger for at hindre spoofing.

Alt i alt en ret kompetent gennemgang af et udvalg af potentielle sikkerhedshuller. Pænt delt med det community forfatteren er en del af. På samme måde som bøllerne i samme eller tilsvarende communities deler ud af deres viden om hulerne i andres systemer samt gode genveje til at kunne udnytte dem til egne formål.

Fælles er dog at de deler.

Og det fik mig til at tænke: Hvad om vi delte vores viden?

Hvor store ville disse meget omtalte bot-net være hvis der på enhver seriøs it-hjemmeside (F.eks. her på version2') lå en stak vejledninger til hvordan man sikrede sin svigermors xp - og måske også hvordan man ryddede op efter ubudne gæster' Formuleret så enhver håbefuld svigersøn med større it-ambitioner end -talent kunne blive dagens helt.

Og hvor mange web-server infektioner kunne undgås hvis alle de autodidakte systemadministratorer kunne finde tilsvarende vejledninger i sikring af deres systemer?

Det er som om leverandører og officielle sikkerhedsfolk har indgået en uhellig alliance hvor sikkerhed og højnelse af samme ikke er noget man taler om, men noget man udfører i hemmelige ritualer på måneløse nætter. Vejledninger og forskrifter opbevares som kronjuveler, og al brug af dem koster penge, mange penge.

Det kan godt være at den fremgangsmåde sikrer at de almindelige brugere ikke opdager hvor usikre de systemer, der opbevarer og servicerer deres identitet og deres hverdag, i virkeligheden er, men mod en hær af vidensdelende vandaler virker det som en rigtig, rigtig dårlig strategi.

Var det ikke på tide at indføre Open Source tankegangen på sikkerhedsområdet?

En løsning på et problem delt med andre er 1.000 problemer løst. Måske betyder det også at fjenden ved hvad vi ved, men samtidig er værdien af den viden blevet decimeret.

Og da fjenden modsat os deler viden i forvejen er det nok os der har mest at vinde.

Skal vi starte nu?

Eller er der for mange penge i den branche til at det er realistisk?

Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Stig Johansen

Men der er et mere aspekt der skal med i ligningen.

Jeg har selv arbejdet en del med sikkerhed siden vi indførte digtale obligationer i '83.

Ikke sikkerhed som selvstændigt fagområde, men en naturlig del af banksystemer, finansielle systemer m.v.

Her handler det om at 'sikre sig selv', men jeg synes også det er interessant at observere 'nature of things'.

Jeg har af og til sat en server op på min ADSL linie, og kigget loggerne efter i sømmene siden ca. 2001.

Allerede dengang var der, uagtet at det kun var en IP adresse uden tilknyttet domaine, adskillige forsøg/dag på at udnytte åbne proxies, installation af en bot m.v. Jeg simulerede nogle OK svar, og bemærkede, at et ok svar straks blev efterfulgt af en request på port 5000.

Detaljerne husker jeg ikke, men pointen er at stort set alle 'sikkerhedseksperter' udtalte, og gør måske stadig, baah - det er bare script kiddies.

Nu ved jeg ikke hvad man mener med 'script kiddies', men i mine øjne er det mere 'carefully crafted' end blot et script.

Ud over jeg er fuldstændig enig med dig i, at 'sikkerhed' tilsyneladende er et hemmeligt område, med henblik på at sælge ekstra, så kunne en del af forklaringen måske også skyldes manglende viden. Man har simpelthen ladet stå til mens bot'erne formerede sig.

Nu snakker jeg ikke kun om PC'ere, men også servere. Det vil være naivt at tro, at det kun drejer sig om PC'ere. I nogle logfiler har vi f.eks. forsøg på at finde sårbarheder i Mambo serveren denne user agent: libwww-perl/5.79 Hvor mange PC'ere har lige Perl installeret?

På samme måde som dig går jeg ind for oplysning til folket, for der er alligevel ikke noget 'de' ikke ved. Et yndlingscitat fra Die Har II: Whatever we can think of they can think of.

Så er der det med pengene i branchen. Her tror jeg der er et reelt problem, for hvis man aflivede bot'erne, og dermed malware, så er der en del firmaer, der måtte lukke. Hvorvidt det er økonomisk betinget eller manglende interesse/viden skal jeg ikke kunne udtale mig om, men hvis man havde en reel interesse kunne man fabrikere advarsler/trusler lidt mere hensigtsmæssigt.

Jeg har selv fabrikeret et par 'playbacks' her: http://w-o-p-r.dk/xoomer/wopr.xoomer.playbacks.asp Med den begrundelse, at 'sikkerhedsfirmaer' eksempelvis kunne bringe et par skærmdumps og skrive eksempelvis: Hvis du ser det her så skynd dig at slukke for PC'en! I stedet for at lave en reaktiv analyse af hvad den downloadede malware laver. Altså at UNDGÅ download i første omgang.

Undervejs i min undersøgelse har jeg doewloadet malwaren, og sendt den til analyse her: http://www.virustotal.com/ Trenden var helt klar - der var tale om rimeligt nye varianter, så det var kun 5-7 ud af de 32 programmer, der havde noget at sige. Nu er det ikke en 100% opdateret service, så i visse tilfælde prøvede jeg en reanalyze efter en dag eller 2. Her var der typisk højst tale om 10-12 der nu kuunne finde noget.

En anden ting jeg er skuffet over er 'kineseren', der stadig florerer, dog nu med Ansi hex encoding i stedet for UTF-16 hex encoding. Men hvis man havde advaret om følgende i URI'en: DECLARE%20@S%20VARCHAR(4000);SET%20@S=CAST(0x4445434C... osv. Så, uagtet om et websted er sårbart eller ej, kunne de der har en eler anden form for filter/firewall kunnet reagere proaktivt for at undgå SQL injection, i stedet for vi gang på gang læser at nu er Region Syd, Elsparefonden m.v. blevet ramt.

Men som du selv skriver:

Eller er der for mange penge i den branche til at det er realistisk?

Så er jeg ikke umiddelbart optimistisk, for de sikkerhedsfirmaer, der lever af anti-'produkter' vil sådan set save den gren over de selv sidder på, så hvem skulle tage initiativet?

Der er jo en vis reklameværdi i at sige: "Vi har fundet 1.000 nye vira i sidste uge" frem for at sikre websteder, hvor reklameværdien er "der sker ikke noget", hvilket er målet i sig selv.

Jeg drømmer selv lidt om internettet i 90'erne, hvor man ikke havde de samme trusler, men måske forbliver det bare en drøm?

  • 0
  • 0
#3 Stig Johansen

Jeg har lige kigget på den nye Ansi hex encodede SQL injection forsøg fra i går.

I modsætning til 'de andre' er target msn.com, og ikke decideret malware.

Så det er højst sandsynligt et DDoS attack mod msn.com, der er on the move.

Men det hører vi måske om engang.

  • 0
  • 0
#4 Klavs Klavsen

Stig skrev >> Men hvis man havde advaret om følgende i URI'en: DECLARE%20@S%20VARCHAR(4000);SET%20@S=CAST(0x4445434C... osv. Så, uagtet om et websted er sårbart eller ej, kunne de der har en eler anden form for filter/firewall kunnet reagere proaktivt for at undgå SQL injection, i stedet for vi gang på gang læser at nu er Region Syd, Elsparefonden m.v. blevet ramt.<<

Nu er sådanne problemer jo i 99% af tilfældene, en programmør fejl. Der findes der jo tonsvis af filtersystemer, såsom Mod_security til apache - og derudover er der bl.a. på owasp tonsvis af vejledninger til programmører om hvordan de kan undgå at deres kode kan lokkes til at gøre noget den ikke skulle kunne.

Det hele starter efter min mening med at programmøruddannelserne rent faktisk tager sikkerhed alvorligt - og lærer eleverne, som minimum, at checke det input de får udefra (såsom en sql injection url) stemmer med hvad de forventede. Ligeledes bør firmaerne der ansætter programmører, begynde at lære deres programmører om hvad sikkerhed i software er for noget.

  • 0
  • 0
#5 Aske Olsson

Man kan vel også dele sikkerheds viden omkring Windows? Jeg har altid brugt guiderne på nedenstående link efter at have installeret en frisk Windows: http://home18.inet.tele.dk/madsen/windows/tjenester/ Der kan også være gode ting at komme efter på http://sikkerhed-faq.dk/ eller i nyhedsgruppen dk.edb.sikkkerhed

Nu kører jeg mest Linux og har nogen gange savnet guider/kommentarer som de ovenstående, så ja hvorfor ikke dele?

  • 0
  • 0
#6 Peter Valdemar Mørch

...links i denne artikel?

Henrik T. Knopper skriver:

Sidst jeg var på de kanter (!) faldt jeg over en utrolig kompetent gennemgang af nogle af hullerne i en standard Linux-installation samt en checkliste med ting man burde gøre hvis man ville hæve sikkerhedsniveauet.

Har du et link til denne gennemgang? :-)

Generelt er kunsten vel ikke at sætte en sikkerhedswiki op. Jeg forestiller mig der må være 100 af den slags allerede. Kunsten er at få alle os brugere til at benytte den samme...

Peter

  • 0
  • 0
#7 Troels Arvin

Jeg synes der er rigeligt med sites rundt omkring, hvor velmenende folk giver alskens sikkerhedsråd. Men kvaliteten er ofte meget lav, selv fra folk som lever af det.

Jeg tror hovedproblemet er mangel på systematisk tænkning. IT branchen bør lade sig inspirere af sundhedssektoren som i mange år har arbejdet henimod evidens-baseret praksis (ikke uden problemer - men det er en god ambition).

Hvor er fx. evidensen for, at det hjælper at tilføje en antivirus-softwarepakke? Sådan én introducerer jo fx som megen anden software flere muligheder for buffer overflows - hvilket er særlig ubehagelig fordi den slags software ofte "blander" sig i forskellige processer på PC'en (kigger fx med i mail-processer).

Hvor stor effekt har tilføjelse af noget personlig firewall software kontra mindre system-invasive tiltag såsom ikke at udføre dagligdagsarbejde som Administrator, sørge for at afinstallere/inaktivere unødvendig(e) software/services, sørge for at holde et højt patch level, ...

Med andre ord mener jeg ikke, at der er behov for mere information. Der er behov for bedre underbygget information -helst fra folk som ikke har en åbenlys interesse i at sælge "sikkerhedsprodukter".

Og så i øvrigt: Ja, http://home18.inet.tele.dk/madsen/windows/tjenester/ er glimrende læsning.

  • 0
  • 0
#8 Klaus Agnoletti

Min erfaring siger mig at der ikke er bredt nok fokus på sikkerhed - og når der ikke er det, er der ikke efterspørgsel på vejledninger og baselines..

Posteringerne herover viser jo at informationen findes og den ret nemt kan findes frem..

Når det så er sagt, så vil jeg meget gerne dele og mødes med andre sikkerhedsnørder og udveksle erfaringer.. Så bare send mig en mail hvis du vil være med og har noget at bidrage med :)

/klaus

  • 0
  • 0
#9 Stig Johansen

Nu er sådanne problemer jo i 99% af tilfældene, en programmør fejl.

Jeg vil nok gå så langt at sige 100%.

Det har været god latin, i hvertfald de sidste 12-14 år, at bruge parameterized queries til SQL, så er dén ged barberet(mht. SQL injection). Hvis man samtidig XML encoder output, så er man også sikret mod HTML/SCRIPT injection i forhold til web applikationer.

Jeg tror ligeså meget problemet er, at det er designere uden teknisk viden, der står for systemerne.

Pointen med DECLARE-'tingen' var, at i forbindelse med lidt analyse af noget log, har den mere eller mindre dagligt optrådt siden 8/5 på en lille site. Alligevel kunne man en måned efter læse (nu får jeg nok på puklen for at linke til en konkollega): http://www.comon.dk/news/flere.danske.hjemmesider.angrebet.i.weekenden_3...

Hvis der eksisterede vidensdeling og de pågældende virksomheder har/havde et 'filter', kunne nogle af disse incidents måske være undgået.

En af mine anker går på eksempelvis at der skrives (fra artiklen): "Ved hjælp af SQL-injection har de kunnet indsætte et script i en bestemt database" i stedet for eksempelvis at fortsætte med: "SQL injectionen blev foretaget ved hjælp af denne parameter i URI'en: DECLARE... osv, vær derfor opmærksom på dette i fremtiden".

Altså een enkelt sætning ekstra, og folk kunne reagere proaktivt.

Men som Hentik skriver, så skal det tilsyneladende være hemmeligt..... eller ved man faktiske ikke hvordan det skete?

  • 0
  • 0
Log ind eller Opret konto for at kommentere