Lätt att göra fel
Konfigurationsmissar är ju, precis som programmeringsmissar, en vanlig källa till säkerhetshål. Ibland är det fullt förståeligt. Det här är min favorit från BIND-manualen som förklarar hur man använder allow-query-cache. :-) Någon som har ett motbud?
--
Stefan Pettersson
Hur Anonymous hackade HBGary
Som bekant är jag en sucker för berättelser från verkligheten. Ars Technica har en artikel som utförligt beskriver hur "hackergruppen" Anonymous angrep HBGary, HBGary Federal och Rootkit.com. Bakgrunden till det hela är att HBGary, ett säkerhetsföretag, hade lagt en massa tid på att försöka identifiera ett par medlemmar i Anonymous. Attacken var en hämndaktion helt enkelt.
Om du inte orkar ta dig igenom hela berättelsen (en stor del av texten ägnas åt att förklara grundläggande saker) så följer här en kortversion:
Så kan det gå. Artikeln tar upp flera saker som kunde ha förhindrat hacket på flera lager. Det mest uppseendeväckande i hela kedjan väl användandet av social engineering. Resterande steg är fairly straightforward. För att citera Ars Technica:
Most frustrating for HBGary must be the knowledge that they know what they did wrong, and they were perfectly aware of best practices; they just didn't actually use them. Everybody knows you don't use easy-to-crack passwords, but some employees did. Everybody knows you don't re-use passwords, but some of them did. Everybody knows that you should patch servers to keep them free of known security flaws, but they didn't.
Precis vad jag tycker:
Drift är osexigt men ur säkerhetssynpunkt är det så mycket viktigare med "det dagliga" än implementeringsdetaljer i webbapplikationer. Det värsta med det hela är att det inte är raketkirurgi; alla vet att det är viktigt med ordning och reda, alla vet att det inte är bra att receptionisten har sådana rättigheter, alla vet att "123456" är världens sämsta lösenord, alla vet att det är farligt att inte förstå sig på sina system. Det är inga nyheter.
Samma lösenord för system med olika krav är dåligt. Publika nycklar för att logga in över SSH är bättre än lösenord. Säkerhetspatchar, i synnerhet då det finns publika exploit, är viktiga. Man kan hålla på hur länge som helst och räkna upp alla dessa vanliga saker som gör skillnaden mellan osäkert och säkert.
Wake up people. Vi kan ju det här. Varför gör vi det inte?
--
Stefan Pettersson
Om du inte orkar ta dig igenom hela berättelsen (en stor del av texten ägnas åt att förklara grundläggande saker) så följer här en kortversion:
- HBGary Federal har CMS specialutvecklad av tredje part. CMS har SQL injection-sårbarhet.
- Databas med användare och lösenordshashar dumpas.
- Vanlig vanilj-MD5 har använts för att hasha. Rainbow tables.
- Vissa användares lösenord är samma på Linuxservern support.hbgary.com och har där SSH-access.
- Linuxservern är en privilege escalation-sårbarhet. Tillgång till backuper och diverse forskningsdokument.
- Ytterligare ett av lösenorden från CMS-databasen användes för administration av företagets Google Apps-konto.
- Som administratör, återställ lösenord på Greg Hoglunds mailkonto, logga in.
- Använd Gregs konto för att lura en annan administratör av rootkit.com att återställa lösenordet på ett användarkonto och öppna brandväggen.
- Rootlösenordet till rootkit.com fanns i ett mail i Greg Hoglunds inbox.
- Defacea och dumpa användardatabasen på rootkit.com.
Så kan det gå. Artikeln tar upp flera saker som kunde ha förhindrat hacket på flera lager. Det mest uppseendeväckande i hela kedjan väl användandet av social engineering. Resterande steg är fairly straightforward. För att citera Ars Technica:
Most frustrating for HBGary must be the knowledge that they know what they did wrong, and they were perfectly aware of best practices; they just didn't actually use them. Everybody knows you don't use easy-to-crack passwords, but some employees did. Everybody knows you don't re-use passwords, but some of them did. Everybody knows that you should patch servers to keep them free of known security flaws, but they didn't.
Precis vad jag tycker:
Drift är osexigt men ur säkerhetssynpunkt är det så mycket viktigare med "det dagliga" än implementeringsdetaljer i webbapplikationer. Det värsta med det hela är att det inte är raketkirurgi; alla vet att det är viktigt med ordning och reda, alla vet att det inte är bra att receptionisten har sådana rättigheter, alla vet att "123456" är världens sämsta lösenord, alla vet att det är farligt att inte förstå sig på sina system. Det är inga nyheter.
Samma lösenord för system med olika krav är dåligt. Publika nycklar för att logga in över SSH är bättre än lösenord. Säkerhetspatchar, i synnerhet då det finns publika exploit, är viktiga. Man kan hålla på hur länge som helst och räkna upp alla dessa vanliga saker som gör skillnaden mellan osäkert och säkert.
Wake up people. Vi kan ju det här. Varför gör vi det inte?
--
Stefan Pettersson
Litar du på nätnyheter?
Varför går det inte att nå Svenska Dagbladet på https://www.svd.se/ (över TLS)? Är det inte viktigt att kunna lita på att texten som visas i din browser verkligen är vad journalisten skrev?
Det är en fråga som Newstweek har belyst. Newstweek är en liten låda som pluggas in i ett eluttag i närheten av ett (inte nödvändigtvis öppet,) trådlöst nätverk. Med hjälp av ARP-spoofing lägger den sig mellan accesspunkten och ovetande surfare och gör sedan, mer eller mindre, subtila ändringar i artiklar på nyhetssidor innan de visas för användaren. Kan du lita på nyheterna?
Idén till projektet kom under Chaos Communication Congress i Berlin i mellandagarna. Personerna bakom heter Julian Oliver och Danja Vasiliev. Som en extra touch är projektets webbsida mystiskt lik en nyhetstidning. Läs mer eller kolla in en video.
Det här problemet (om det nu är ett) knyter an lite i hur det ligger till med autentiska apotek. Att fejka en pappersutgåva av Svenska Dagbladet är svårt, särskilt om du planerar att nå en bredare publik. Att, i olika utsträckning, fejka den elektroniska utgåvan är däremot fullt genomförbart.
--
Stefan Pettersson
Det är en fråga som Newstweek har belyst. Newstweek är en liten låda som pluggas in i ett eluttag i närheten av ett (inte nödvändigtvis öppet,) trådlöst nätverk. Med hjälp av ARP-spoofing lägger den sig mellan accesspunkten och ovetande surfare och gör sedan, mer eller mindre, subtila ändringar i artiklar på nyhetssidor innan de visas för användaren. Kan du lita på nyheterna?
Idén till projektet kom under Chaos Communication Congress i Berlin i mellandagarna. Personerna bakom heter Julian Oliver och Danja Vasiliev. Som en extra touch är projektets webbsida mystiskt lik en nyhetstidning. Läs mer eller kolla in en video.
Det här problemet (om det nu är ett) knyter an lite i hur det ligger till med autentiska apotek. Att fejka en pappersutgåva av Svenska Dagbladet är svårt, särskilt om du planerar att nå en bredare publik. Att, i olika utsträckning, fejka den elektroniska utgåvan är däremot fullt genomförbart.
--
Stefan Pettersson
http://highperformance.blogg.se/2011/january/for-att-vara-saker.html
Vad får man ut av säkerhet?
Om vi bortser från det elementära; "säkerhet mot attacker", vad har säkerhetsarbetet för fördelar utöver sitt primära mål?
Säkerhetsarbete
Jag har en väldigt liberal syn på vad som kan anses vara positivt säkerhetsmässigt. Grunden är enkel, det handlar om att ha (1) kontroll över sin miljö. Därefter blir det mer komplicerat, man måste (2) ta hänsyn till vad man skyddar mot vad och hur man ska göra det.
Fördelar
Både den grundläggande (1) kontrollen och (2) skyddet av specifika tillgångar resulterar i eftersträvansvärda sidoeffekter. Ett exempel på det senare kan väl vara en prenumeration på UTM-funktioner från sin brandväggsleverantör. Rimligen leder detta till att störande virusutbrott blir ovanligare vilket i sin tur innebär mer tid för business... anledningen till att verksamheten finns.
Men, jag skulle hävda att det tidigare, god kontroll över sin miljö, ger de verkligt stora fördelarna. Tyvärr är fördelarna svåra att mäta eller att ens påvisa. Det är synd. Det är lite samma problem som Anders Borg skulle få om någon frågade vad det egentligen är som är så bra med något så flytande som "ordning på de statliga finanserna".
Flytande påståenden kan dock mötas med flytande svar. Till exempel, när man har kontroll och ordning:
Vilka fördelar som kontroll ger rent säkerhetsmässigt har varit ett återkommande tema här, representerade som bland annat disciplin och knarkarkvartar.
Jag brukar beskriva säkerhetsmässig kontroll som att det främjar en robust eller stabil verksamhet.
Säkerhetsarbete
Jag har en väldigt liberal syn på vad som kan anses vara positivt säkerhetsmässigt. Grunden är enkel, det handlar om att ha (1) kontroll över sin miljö. Därefter blir det mer komplicerat, man måste (2) ta hänsyn till vad man skyddar mot vad och hur man ska göra det.
Fördelar
Både den grundläggande (1) kontrollen och (2) skyddet av specifika tillgångar resulterar i eftersträvansvärda sidoeffekter. Ett exempel på det senare kan väl vara en prenumeration på UTM-funktioner från sin brandväggsleverantör. Rimligen leder detta till att störande virusutbrott blir ovanligare vilket i sin tur innebär mer tid för business... anledningen till att verksamheten finns.
Men, jag skulle hävda att det tidigare, god kontroll över sin miljö, ger de verkligt stora fördelarna. Tyvärr är fördelarna svåra att mäta eller att ens påvisa. Det är synd. Det är lite samma problem som Anders Borg skulle få om någon frågade vad det egentligen är som är så bra med något så flytande som "ordning på de statliga finanserna".
Flytande påståenden kan dock mötas med flytande svar. Till exempel, när man har kontroll och ordning:
- är det enklare att hitta roten till ett problem.
- har man större möjligheter att märka när det börjar barka åt helsicke.
- är det lättare att genomföra förändringar då man vet vad som påverkas.
- kan man sätta ny personal i arbete snabbare.
- är det lättare att redovisa sin verksamhet.
- blir det lättare att (om)prioritera.
- ger man ett seriöst och professionellt intryck.
- är det lättare att ge prognoser om framtida behov.
Vilka fördelar som kontroll ger rent säkerhetsmässigt har varit ett återkommande tema här, representerade som bland annat disciplin och knarkarkvartar.
Jag brukar beskriva säkerhetsmässig kontroll som att det främjar en robust eller stabil verksamhet.
Tidningen Aktuell Säkerhet (som tyvärr är lite väl fixerad vid hur det går för leverantörer ekonomiskt snarare än hur deras produkter fungerar) pratar om "säkra affärer". Även om det är en ordlek så har det mer eller mindre samma innebörd.
--
Stefan Pettersson
Generaliseringar
Varje gång du råkar ut för ett påstående om säkerhet ska du, som minst, ställa (dig själv) två frågor:
Det är lätt att tro att det finns ett enkelt svar. Det gör det inte, men som tur är så är det också lätt att övertyga någon om det; att din bil är säker mot tonåringar på jakt efter joyrides där den står inlåst i garaget har inget att göra med huruvida hänglåset skyddar ditt källarförråd mot en pundare med bultsax. Det är två olika problem.
Det är två olika problem precis som "Flashback-tonåring vill läsa chefens mail" och "4chan vill att din hemsida ska vara oåtkomlig". Det är (1) olika tillgångar (2) skyddade på olika sätt (3) mot olika hot (4) under olika förutsättningar, etc.
Att inte acceptera att det rör sig om många, olika, av varandra starkt beroende aspekter är att generalisera. Om du på något sätt är inblandad i eller ansvarar för säkerhet ska det hugga till i bröstet varje gång du hör en generalisering. Jag säger inte att du kontinuerligt ska lägga din arbetstid på att försöka identifiera och skaffa underrättelser om vilka hot du står inför; om det är hackergäng, konkurrenter, kunder, främmande makt, etc. Det är med all sannolikhet bortkastade pengar.
Det är däremot tjänstefel att inte ha en ganska så exakt uppfattning om vad som ska skyddas och ungefär vad man skyddar det mot. Kommer du in från den änden i resonemanget kommer du aldrig att kunna kläcka ur dig något i stil med "nu är vår mail säker".
--
Stefan Pettersson
Vad är säkert mot vad?
Det är lätt att tro att det finns ett enkelt svar. Det gör det inte, men som tur är så är det också lätt att övertyga någon om det; att din bil är säker mot tonåringar på jakt efter joyrides där den står inlåst i garaget har inget att göra med huruvida hänglåset skyddar ditt källarförråd mot en pundare med bultsax. Det är två olika problem.
Det är två olika problem precis som "Flashback-tonåring vill läsa chefens mail" och "4chan vill att din hemsida ska vara oåtkomlig". Det är (1) olika tillgångar (2) skyddade på olika sätt (3) mot olika hot (4) under olika förutsättningar, etc.
Att inte acceptera att det rör sig om många, olika, av varandra starkt beroende aspekter är att generalisera. Om du på något sätt är inblandad i eller ansvarar för säkerhet ska det hugga till i bröstet varje gång du hör en generalisering. Jag säger inte att du kontinuerligt ska lägga din arbetstid på att försöka identifiera och skaffa underrättelser om vilka hot du står inför; om det är hackergäng, konkurrenter, kunder, främmande makt, etc. Det är med all sannolikhet bortkastade pengar.
Det är däremot tjänstefel att inte ha en ganska så exakt uppfattning om vad som ska skyddas och ungefär vad man skyddar det mot. Kommer du in från den änden i resonemanget kommer du aldrig att kunna kläcka ur dig något i stil med "nu är vår mail säker".
--
Stefan Pettersson
