Chaos: - Internettet er grunnleggende farlig!

På en konferanse i regi av PDI Consult, holdt Frank Rieger, talsmann for Chaos Computer Club, en av de mest beryktede hackergruppene i Europa, et foredrag om hacking og sikkerhet.

Frank Rieger fra Chaos Computer Club innleder foredraget med å fortelle litt om Internett:

- Internett er et av de fem mest komplekse systemene i verden. Det kan sammenlignes med blant annet telefonnettet og strømforsyningsnettet. Problemet med Internett er at det bygger på en protokoll, TCP/IP, som opprinnelig ble laget for små nettverk mellom datamaskiner fra Sun. Dagens bruk av TCP/IP i Internett, med millioner av brukere, medfører en del alvorlige problemer som ikke ble tenkt på da protokollen opprinnelig laget. Dette gjelder ikke minst de sikkerhetsmessige aspektene.

- Internett er grunnleggende farlig! Sikkerhetskonsepter må dannes på det grunnlag at alt som kobles til Internett blir hacket. Derfor må man ikke legge ut sine mest verdifulle data på dette offentlige nettet. Sørg derfor for at det ikke er noen kobling mellom Web-serveren og den delen av dataanlegget ditt der de verdifulle dataene ligger. Bruk eventuelt en enveis gateway.

Dette virker kanskje veldig dramatisk, men ifølge Rieger er det på en eller annen måte stort sett mulig å hacke seg inn på systemer og nettverk, selv om disse virker rimelig godt sikret.

Hva er så målet for et slikt angrep?

Rieger forteller at de fleste angrep er rimelig uskyldige, det vil si at de som utfører dem ikke har noe annet ønske enn å se hvor langt inn i system de kan komme. De fleste slike "angrep" skjer faktisk på lørdagskvelden.

- Det er kanskje ikke noe på tv og folk kjeder seg. De hacker altså for å underholde seg selv, for å ha det litt gøy.

Men det finnes selvsagt en del hackere som ikke har så uskyldige hensikter:

- Mange har ønske om å få rot-aksess, det vil si få kontroll over hele systemet, eller forårsaker "Denial of Service", noe som medfører at systemet må restartes. Ellers er det jo mange som er ute etter å stjele informasjon, for eksempel forretningshemmeligheter, eller å forfalske informasjon.

Eksempler på det siste er angrepene på blant annet CIAs nettsted, som ble "prydet" med nazistiske symboler.

Hvordan gjør hackerne dette?

- Det finnes mange muligheter å for å bryte seg inn på et system og å gjøre skade der. En rekke av disse går ut på å benytte seg av feil og mangler i TCP/IP protokollen og i implementasjonen av denne, sier Rieger. Blant eksemplene han nevner, er "Syn-Flooding". Dette går ut på at hackeren fra sin maskin i rask rekkefølge lager massevis av IP-tilkoblinger til en server. Serveren har en begrenset kø for å ta imot slike forespørsler, og når denne køen er full, blir serveren overbelastet og må restartes. Et annet eksempel er "Ping of Death", hvor hackeren sender en Ping-pakke som er for stor i forhold til det datamaskinen som mottar den forventer. Dette medfører illegalt overskrevede minneområder og fører til ikke-deterministiske tilstander i maskinen.

Hva er så løsningene for å unngå slike angrep dette?

- Først og fremst å sørge for at bug-fikser er installert. De fleste angrepene foregår gjennom kjente hull i programvaren. Hvis ikke systemadministratorene sørger for å holde seg oppdaterte med hva som finnes av bug-fikser, utsetter de systemet sitt for stor risiko, sier Rieger.

- Man kan også holde skaffe seg skikkelig konfigurerte brannvegger som blokkerer alle ikke-nødvendige tjenester. Ping er for eksempel ikke noen nødvendig tjeneste.

Han sier at man i brannveggen bør ha en liste over pakker (whitelist) som får slippe igjennom, mens alt annet sperres ute. Da har man kontroll over hva som kommer inn. Rieger mener at man ikke bør kjøpe brannvegger som bygger på operativsystemer som ikke er pålitelige. Han nevner i den forbindelse Windows NT, og sier at hvis en selger ønsker å selge deg en slik brannvegg, så vis ham døren.

Rieger mener at de beste brannveggene er basert på kjente Unix-systemer, ikke minst Linux, som er veldokumentert på alle måter og hvor kildekoden er tilgjengelig.

Et annet problemområde er web-servere og CGI

Dette er et annet velkjent område hvor det er relativt enkelt å angripe systemer. Blant eksemplene Rieger nevner, er å skrive inn mer data inn i et statisk buffer enn bufferet er laget for. Derfor bør man unngå statiske buffere i programvaren.

Gjennom CGI kan man få tilgang til ressurser man egentlig ikke skal ha tak i. Rieger forteller blant annet om CGI-skript som gir rot-aksess. Dette var også årsaken til hackerskandalen hos Telenor tidligere i år.

Rieger advarer også mot shell-baserte CGI-er som lett kan manipuleres til å kjøre andre programmer enn det de opprinnelig ble skrevet for.

Rieger har et sett med løsninger på disse problemene.

- Først og fremst må man ansette kvalifisert personell for sine Internett-aktiviteter for deretter å motivere dem og betale dem godt. Disse må være svært påpasselige ovenfor trusler som dukker opp og må reagere øyeblikkelig, fordi nyhetene sprer seg fort, og hackerne er raske til å utnytte disse hullene.

Rieger forteller at meldinger om nye bugs ofte dukker opp først i spesielle nyhetsgrupper og mailinglister på Internett, og anbefaler at disse leses. Dette gjelder både de kanalene som er rettet mot hackere og de som er rettet mot systemadministratorer.

Han sier videre at bedriften må legge nok press på sine leverandører av programvare, slik at disse unngår bruk av statiske buffere og lignende i sine produkter. Dette gjelder spesielt bedrifter som får sin programvare skreddersydd, slik som banker etc.

Del 2 av denne artikkelen kommer torsdag. Den vil ta for seg problemene med nettlesere, andre vanlige applikasjoner (eks. MS Office), kryptering, operativsystemer og sosiale hackermetoder.

Til toppen