- ByteMan forteller om de virkelige metodene
ByteMan - hacker til alvorlig besvær
Premissene for undersøkelsen er at Symantec prøvde ut sitt sikkerhetsverktøy Enterprise Security Manager til gratis å analysere seks kunder, mot at resultatene kunne sammenfattes og offentliggjøres. De analyserte systemene omfatter 48 ulike servere med kritiske funksjoner for bedriftens IT-system, og med følsomme opplysninger for bedriften. Kundene er fordelt på privat og offentlig virksomhet, og på norske og internasjonale organisasjoner.
- Undersøkelsen gjelder bare den tekniske sikkerheten, presiserer Møllerhaug.
- Vi har ikke gjort noe på personer eller på vanlig fysisk sikring.
Analyseverktøyet ble innstilt til å vurdere IT-systemene ut fra en sikkerhetsnivå som svarer til det ISO anbefaler som "best business practice". Resultatene presenteres felt for felt.
Tilgjengelighet
Vanligvis dreier tilgjengelighet seg om feiltoleranse, katastrofeberedskap, alternativ strømforsyning, klynger osv. I undersøkelsen ble bare det aller enkleste tatt opp, nemlig sikkerhetskopiering. Bare 50 prosent av systemene hadde tilfredsstillende sikkerhetskopiering. I 35 prosent av tilfellene viste kontrollen av essensielle mapper og filer av ulike grunner ikke ble sikkerhetskopiert. I 15 prosent av tilfellene var minst én hel disk fullstendig uberørt av sikkerhetskopieringsrutinene. I et tilfelle viste det seg at feilen hadde oppstått etter en programvareoppgradering. Sikkerhetskopieringsprogrammet hadde gitt samme feilmelding hver dag i et helt år, uten at systemfolkene hadde lagt merke til den.
Brukeridentifisering
Verken smartkort eller biometri var i bruk hos noen av kundene, trass i de åpenbare forbedringene slike metoder innebærer. Alle holdt seg til passord og brukernavn. I bare fem av systemene var passordbeskyttelsen tilstrekkelig. I tre av de 48 systemene var det enkelt å gjette seg til brukerpassord, og i 40 systemer var det trivielt å komme inn på brukerkonti med spesielle privilegier.
- Det har med valget av passord å gjøre, forklarer Møllerhaug. - Det er svært sjeldent at en organisasjon gjennomfører en konsekvent politikk for å tvinge brukerne til å velge adekvate passord. Stort sett er det tillatt med "pils" eller "toyota". Og hvis passordpolitikken krever åtte tegn eller flere på passordet, finner man som regel en bruker med enten "pilspils" eller "toyotatoyota" som passord.
Skille mellom brukergrupper
I hovedsak finnes tre typer brukere: eksterne, interne og systemfolk ("administrator"). Skillet mellom interne og eksterne brukere brytes ned, fordi man gjerne vil ha e-post og tilby websider, fordi brukere gjerne vil arbeide hjemmefra eller på reiser og så videre.
- Spillet her går ut på å sørge for at alle holdes i sine kategorier. En hacker som har funnet et brukernavn og passord vil gjerne avansere til intern bruker, til betrodd bruker og så til administrator.
Ikke noe av de undersøkte systemene var satt opp slik at det var umulig for en middels oppvakt bruker med passord å avansere til administratorstatus.
Sporing
Selv om man har kontroll over brukerne - altså hvem som slipper inn hvor og når - kan det være interessant å følge med i hva de gjør, slik at man kan avdekke regelbrudd og andre uregelmessigheter. Det kan være spesielt viktig å vite hva administratorene gjør, siden deres tilgang til systemet prinsipielt sett er uinnskrenket. Er man sårbar overfor inntrengere og rolleskifte, kan en sporingsfunksjon være systemets siste forsvarsskanse.
- Sporing krever at man har mulighet til å gå gjennom systemet bakover i tid. Har man ikke kontroll over roller eller tilgang, er det vanskelig å innstille sporing slik at man ikke får for mange eller for få data, og at man har dem til rett tid.
I halvparten av systemene var det ingen muligheter overhode til å gå bakover i tid. I 19 prosent var det vesentlige problemer. Bare 31 prosent hadde det Møllerhaug mener er fornuftig sporing. I det store flertallet ville man ikke være i stand til å avdekke uregelmessigheter som kunne vært et forvarsel på total ødeleggelse eller andre former for omfattende misbruk.
- Ingen av kundene brukte "intrusion detection" eller snokvarsling. Det er heller ingen vits hvis ikke det grunnleggende systemet er konfigurert med tanke på å dra nytte av sine egne innebygde sikkerhetsegenskaper.
Møllerhaugs konklusjon er at disse bedriftenes IT-systemer står nærmest på vid gap. Alle de undersøkte systemene var sårbare for angrep fra sine egne, og det store flertallet var også sårbart for enkle angrep utenfra. Bare et fåtall ville være i stand til å oppdage et angrep. Og en katastrofal ødeleggelse av datasystemene hadde fått katastrofale følger for både bunnlinje og videre eksistens.
- Det er ikke noe reelt personvern på noen av systemene, og bedriftene har ikke noe reelt vern mot elektroniske angrep.
Møllerhaug mener dette ikke dreier seg om kompetanse.
- Alt vi har sett, er ting som kan rettes på av vanlige IT-folk. At sårbarheter oppstår og utvikler seg, viser ikke at folkene mangler kunnskap, men at de ikke ledes til å prioritere sikkerhet. Det gjenspeiler ledelsens egne prioriteringer.
IT-folk som trenger argumenter til å endre prioriteringene, kan få fargerik støtte av de enkle grafene i Symantecs sikkerhetsverktøy. De lyser i rødt og gult for å advare mot farer. Det er svært lite grønt i en gjennomsnittlig norsk bedriftsinstallasjon.
- Det er sjelden man finner avanserte hackere, poengterer Møllerhaug til slutt. - Det er de enkle og banale metodene som lykkes.
