Chaos: ActiveX skulle ikke vært tillatt!

Frank Rieger fra Chaos Computer Club i Tyskland kjører et felttok mot dårlig applikasjonsdesign og slappe sikkerhetsrutiner i bedriftene. Han advarer spesielt mot Microsofts ActiveX.

I første del av sitt foredrag, fortalte Frank Rieger fra hackergruppen Chaos Computer Club om huller i TCP/IP protokollen og om problemer med CGI og webservere.

I den avsluttende delen av sitt foredrag kom han mer inn på hvordan vanlige brukerapplikasjoner kan brukes til å angripe systemer, om kryptering, operativsystemer og til slutt om sosiale hackermetoder, som ikke har noe med selskapelighet å gjøre.

- Også surfing kan være risikabelt. En hacker kan sette opp en web-side som inneholder mekanismer som kan trenge inn i leserens system og manipulere dette, forteller Rieger - Siden kan han for eksempel markedsføre siden i en nyhetsgruppe. Mange av de som leser annonseringen vil da surfe inn på denne siden, hvor blir utsatt for et hacker-angrep. Surferne vil ikke vite om angrepet før de oppdager at eventuell skade er skjedd.

Blant de metodene som Rieger nevner, trekker han spesielt fram Microsofts ActiveX.

- Dette er en egenskap som gjør at man fra en web-side kan kjøre binærkode på leserens maskin. Det finnes ingen sikkerhetssjekk, så man kan i teorien gjøre hva som helst ved hjelp av ActiveX. Også ved hjelp av Java, JavaScript og VisualBasic kan man få kontroll over en del programvare på brukerens maskin.

Rieger råder derfor at Internett-brukerne kobler ut disse funksjonene i nettleseren og bare kobler dem inn hvis det virkelig er behov. Man bør også sørge for at brannveggen ikke slipper gjennom ActiveX-pakker

- Man trenger ikke ActiveX, mener Rieger.

Rieger ser en fare ved å gjøre alt arbeidet gjennom en nettleser, slik Microsoft nå planlegger med sin Internet Explorer i Windows 97. Dette fordi det i nettleseren lagres mye informasjon om det brukeren driver med, ikke minst i fil-cachen. Han advarer også mot å bruke nettleseren som e-post klient, siden man da må registrere opplysninger om seg selv i oppsettet av nettleseren. Dette inkluderer blant annet e-post-adressen til brukeren, og gjelder for både Netscapes Communicator og Microsofts Internet Explorer.

- Dette kan utnyttes av hackere som lager web-sider som kan lese slik informasjon, og gjør at man ikke lenger er så anonym på nettet som de fleste ønsker å være, forklarer han.

Makrovirus

Rieger ser også et stadig økende problem med makrovirus. Dette er virus som er inkludert i datafiler, for eksempel til Microsoft Office, og som bruker blant annet bruker VisualBasic for Applications til å utføre prosesser på lesernes datamaskiner som kan gjøre stor skade. Det er også et problem at blant annet Word finnes for flere plattformer enn Windows, noe som gjør at virusene også kan gjøre skade på disse maskinene.

- Det finnes mellom 300 og 500 makrovirus, de fleste er rettet mot Microsoft produkter. Antall makrovirus vokser raskere enn noen annen virustype tidligere. De fleste er rettet mot Microsoft-produkter. Dette skyldes at produktene til Microsoft er svært utbredt, samtidig som de er dårlig designet, forteller Rieger.

Han anbefaler derfor at bedrifter som har muligheten til det, går over til andre, tilsvarende produkter. Han understreker likevel at selv om makrovirus for disse produktene ikke er så utbredt som for MS Office, så finnes de. Rieger oppfordrer alle til å skaffe seg de nyeste oppdateringene av sine anti-virus programmer, og at bedrifter gjør disse programmene lett tilgjengelige de ansatte.

Kryptering.

- De fleste applikasjoner som brukes i verden, er laget i USA. Der har man strenge restriksjoner på eksport av krypteringsmekanismer, slik at de fleste amerikanske produkter kun har svak kryptering eller koding av dataene. Slik kryptering er enkel å trenge igjennom, hvis man har det rette utstyret. Slikt utstyr kan være kostbart, men utbyttet kan være mye mer verdt.

Rieger forteller også om applikasjoner, for eksempel Microsoft Access, som bruker den samme krypterings nøkkelen for hver database.

- Har man en tom databasefil, er det enkelt å finne nøkkelen slik at man kan lese alle andre Access-filer.

Ifølge Rieger har Windows NT en krypteringsform av passord som tillater noe han kaller ordbok-angrep. Sikkert 30 prosent av alle passordene i verden er ord som finnes i ordbøker. Hvis man kjører alle ordene i en ordbok gjennom krypteringsprosessen til Windows NT, vil man ved å sammenligne de krypterte ordene fra ordboken med de som ligger i NTs passordfiler, også enkelt se hva disse passordene er.

- Dette er et problem i forbindelse med distribusjon av piratkopiert programvare på Internett, forteller han. - Mange FTP-servere er NT-baserte og med et passord kan hvem som helst logge seg inn på serveren og lagre programvaren der, uten at de ansvarlige for serveren merker noe. Likevel er det eieren av serveren som er ansvarlig for hva som ligger der og som kan bli straffet.

For å unngå slike problemer, oppfordrer Rieger til bruk av sterk kryptering, og å unngå offisielt eksporterte amerikanske produkter. Han sier også at man må kryptere data så ofte som mulig, og å ikke glemme å kryptere backup-filene. Man kan gjerne også bruke maskinvarebasert kryptering. Dette er vanskeligere å trenge igjennom, men absolutt ikke umulig.

Operativsystemer

- Problemene med dagens operativsystemer er at de er blitt for komplekse, sier Rieger. - Dette medfører at utviklerne mister oversikten og at feil først oppdages lenge etter at produktet har kommet på markedet.

Produsentene har i den senere tid blitt temmelig flinke til å komme med bug-fikser, men også her ser Rieger et problem.

- Det er ofte ikke de samme folkene som lager bug-fiksene til ulike funksjoner. Dette fører til at selv om systemet etterhvert blir rimelig sikkert, blir stabiliteten dårlig.

Som en kuriositet forteller Rieger at selv om Microsoft hevder at de ikke har benyttet seg av gammel kode fra Unix til å lage Windows NT, har mange av de samme feilene dukket opp her som tidligere herjet over Unix.

Et annet problem med operativsystemer og nettverksenheter, er at de er vanskelige å konfigurere skikkelig.

- Mange benytter seg av standardinnstillingene og tør ikke å endre på dem, forteller Rieger. - Dette kan være farlig, man kan ikke stole på at standardinnstillingene er feilfrie.

Han anbefaler også at bedriftene selv har kontroll over brannveggene og ikke setter dette bort til Internett-leverandører og lignende.

- Disse har ofte kanskje 50 kunder som skal ha de samme tjenestene, og skjer det noe feil, er det de som betaler mest som får service først. Sørg derfor for å ha egne folk som er ansvarlige for datasikkerheten, og som kontinuerlig følger opp problemer som oppstår.

Sosial hacking

Dette er ifølge Rieger den mest effektive og billigste formen for angrep. Alt som kreves er at du er god til å lyve på telefonen. Det går ut på å samle informasjon fra et selskap ved å late som man er noe annet enn man virkelig er.

- Eksempler på dette er folk som per telefon hevder at de jobber for et selskap som yter datatjenester til den oppringte bedriften, og hevder at de har bruk for rot-passordet til anlegget. Ved å henvise til de rette navnene og å kunne sjargongen i bransjen, vil man kunne skape en troverdighet som får folk til å utlevere nær sagt hva som helst. Denne metoden er i de fleste land ikke ulovlig, og den er bortimot umulig å etterspore, hvis angriperen er dyktig.

Rieger mener at mye kan gjøres for å hindre slike angrep.

- Sørg for å aldri gi passord og andre sensitive data over telefon, eventuelt få oppgitt et nummer du kan ringe tilbake til. Da kan du sjekke om vedkommende er den han gir seg ut for å være. Man bør også jevnlig få profesjonelle til å utføre gjennomtrengingstester på bedriften for å teste sikkerheten.

Industrispionasje

Ifølge Rieger er kun 10 prosent av angrepene mot bedrifters datasystemer er utført av rene hackere. De fleste andre er bedriftens egne ansatte, konkurrenter og eventuelt hemmelige tjenester fra flere land.

- Hvem som angriper kommer litt an på størrelsen på bedriften. Små bedrifter har ofte flere konkurrenter enn større bedrifter og er dermed mer utsatt for angrep av disse, mens de store bedriftene ofte har internasjonal betydning og vil være i etterretningstjenestenes søkelys. Blant annet den franske etterretningstjenesten benytter seg av hackere for å skjule sin egen virksomhet.

Rieger sier at dette faktisk er mer vanlig enn det folk tror, selv om tradisjonelle spioneringsmetoder fortsatt er det vanligste.

Utpressing

Rieger avslutter med å fortelle om bruk av hacking som middel for å drive med utpressing mot bedrifter.

- Det finnes også personer som bryter seg inn på bedrifters dataanlegg på leting etter opplysninger som bedriften kan være villig til å betale til dels store summer for at ikke skal offentliggjøres. Både hvis bedriften driver med finansielle tjenester, eller opplysningene er om ulovlig virksomhet fra bedriftens side, vil den i nesten alle tilfeller betale rask og stille. De ønsker ikke å blande inn politiet eller andre myndigheter. Det finnes også folk som leter etter svakheter i bedriftenes datasystemer, for så å tilby å rette opp feilen for bedriften mot en relativt høy sum. De truer med å gå til pressen med opplysningene, hvis de ikke får pengene. Det er svært få som ønsker å bli avslørt på den måten, så også her vil angriperen ha store sjanser til å lykkes.

Chaos Computer Club er en tysk organisasjon for hackere og andre interesserte. Foreningen har 500 offisielle medlemmer og rundt 3000 tilhengere som ikke ønsker å være offisielle medlemmer. Alle som ønsker det kan bli medlem.

Foreningen har kun en person på lønningslisten som bedriver lobbyvirksomhet ovenfor den tyske regjeringen. All annen virksomhet skjer på frivillig basis.

Målet med Chaos er å være en interesseorganisasjon for IT-brukere og kjemper blant annet mot sensurering av Internett. Foruten dette driver Chaos med kritisk analyse av den tekniske og sosiale utviklingen både i Tyskland og internasjonalt, samt utarbeider etiske forslag for hackere. Alle aktivitetene er lovlige og Chaos er i Tyskland i dag en annerkjent organisasjon.

Til toppen