It-sikkerhetsselskapet Mnemonic arrangerte onsdag sin årlige oppdatering av kundenes kunnskaper innen sikkerhet og teknologi. Et viktig trekkplaster var Jesper Johansson, utvandret svenske som er blitt sikkerhetsguru i Microsoft, og som er aktuell med boka Protect Your Windows Network.
Johansson vakte jubel da han gjennomførte, med bravur, et pedagogisk opplegg der han opprettet et fiktivt nett, og systematisk hacket seg gjennom den ene serveren etter den andre. Underveis oppsummerte han svakhetene og feiltrinnene som han utnyttet. Han brukte ikke andre verktøy enn slik som kan lastes ned av alle over Internett, bortsett fra noen typiske driftsverktøy som også «alle» har.
Det startet med å undersøke et nettsted for kjente sårbarheter. Da Johansson hadde fått kontroll over webserveren, brukte han det som framsto som en enkel systematikk for å kapre databaseserveren, og så, til slutt, det fiktive selskapets kjerneserver med alle forretningshemmelighetene.
Ifølge Johansson, er det ingen magi i det å sørge for at hackeren føler seg velkommen, og sikre at du får uønsket besøk. Det er bare å følge ti velprøvde prinsipper:
1. Du må aldri patche.
Ingen av angrepene Johansson viste, var avhengig av at offeret ikke hadde patchet skikkelig. Likevel anbefaler Johansson at hvis du virkelig skal ønske hackeren velkommen, er det absolutt best å sky alle sikkerhetsoppdateringer som pesten.
2. Du må ikke herde dine applikasjoner
– De fleste sikkerhetsproblemene finnes i dag i applikasjonslaget, sier Johansson. – Operativsystemer og plattformer er stort sett tilstrekkelig herdet. Applikasjoner kan herdes ved å gå gjennom dem systematisk, og ha som regel at alt man ikke skal bruke, slås av eller sperres.
3. Du skal bruke én konto for alle oppgaver
– Hackere liker dette. Kontoen kan finnes overalt i systemet, og knekker man den, får man med ett full kontroll. Det ekstreme alternativet er å slå fast at hver privilegert bruker skal ha én konto per maskin. Jeg var borte i en administrator som måtte holde styr på 28 smartkort for å gjøre jobben sin. Det er klart at det også kan øke sikkerhetsrisikoen. Prøv å finne en middelvei.
4. Du skal sørge for mange hull i brannmuren
– Dette er et sentralt hackervennlig tiltak. Noen sørger for bare de helt nødvendige hullene i brannmuren. Det gjør det bare vanskeligere for hackeren å finne steder å snike seg gjennom.
5. Du skal tillate ubegrenset intern trafikk
– I hackervennlige nett, har alle tillatelse til å snakke med alle. Alternativet er å stille seg spørsmålet: Har klienter noen legitim grunn til å godta henvendelser direkte fra andre klienter? Hvis ikke, sørg for å sperre den typen trafikk. Dette er noe av det viktigste du kan gjøre mot hackeren, og mot nettverksormer.
6. Du skal tillate alle former for utgående trafikk
– Dette setter hackerne pris på. Da kan trojanerne kommunisere uhemmet. Dessuten kan gir du brukerne frie tøyler til å more seg med Kazaa og BitTorrent.
7. Du skal ikke herde dine servere
– Herdede servere er ikke alfa og omega innen sikkerhet, men de bidrar til å gjøre livet surere enn nødvendig for hackerne.
8. Du skal gjenbruke alle dine passord
Johanssons demonstrasjon av passordknekking var interessant, ikke bare fordi den var så kjapp og enkel, men også fordi han viste flere metoder for å få passord fram i klartekst. Alternativt viste han også hvordan man i visse systemer kan finne passord-hashen, og bruke denne til å komme fram til sperrede tjenester. Å få en liste over brukere og deres passord-hasher, er overkommelig dersom systemet holder seg til bare noen av de andre hackervennlige tiltakene.
9. Du skal bruke én høynivå servicekonto overalt
Mange følger denne anvisning intuitivt, fordi det effektiviserer arbeidet. Johansson mener det er et behov å detaljstyre bruken av servicekontoer, for å hindre at hackere kan finne ut av én konto for å bryte seg gjennom den ene serveren etter den andre.
10. Du skal alltid gå ut fra at alt er i orden
– Vi ønsker å se positivt på ting, og det er noe hackeren vet å sette pris på. Alternativet er å vise en sunn form for paranoia. Vi må sette spørsmålstegn ved alt. Hvis noe ser ut som det ikke er helt riktig, er det sannsynligvis helt feil, understreker Johansson.
