To av tre avanserte web-steder er sårbare

Dan Farmer, kjent blant annet for Internett-snoperen "Satan", har avslørt at to av tre web-steder tilhørende banker, spare- og lånforeninger o.l. er sårbare for enkle angrep utenfra.

satan.jpg align=left width=268 height=195 hspace=7 vspace=7>]Farmer har brukt en kontinuerlig oppgradert utgave av Satan (Security Administrator Tool for Analyzing Networks) til å analysere 2200 web-steder. Han understreker at han ikke har begått noen form for ulovlighet. Han vil heller ikke avsløre hvilke web-steder det dreier seg om. Listen over sårbare web-steder han har oppdaget, er gitt til CERT (Computer Emergency Response Team) i USA, som har tatt på seg å kontakte alle for å informere dem om detaljene.Satan vakte storm da programmet ble gjort allment tilgjengelig på Internett i april 1995, og Farmer ble sparket fra sin jobb i Silicon Graphics. Farmers motiv var å gi nettadministratorer en anledning til å sjekke sikkerheten i sine nettverk. Silicon Graphics fryktet at hackere ville dra nytte av programmet til å avsløre svakheter i interessante web-steder. Upartiske observatører er generelt enige om at Satan er et tveegget sverd.18. desember i fjor hadde PC Week en [test av sikkerhetsproduktet SafeSuite 4.0 fra Internet Security, og konkluderte med at shareware-programmet Satan i sammenlikning bare var en vits. Dette skulle tyde på at Satan ikke greier å avdekke mer enn de mest elementære sikkerhetsmanglene i et nettverk. Når resultatene fra Farmers siste undersøkelse er såpass nedslående, tyder det på at et overveldende flertall web-administratorer ser på selve begrepet sikkerhet som en vits. Hadde web-steder vært utbedret i henhold til anbefalinger fra SafeSuite eller konkurrenter som Bellcore og Qualix, ville Farmer kunne lent seg tilbake, tilfreds over å ha gitt sitt bidrag til Internettets sikkerhet.

I sin rapport skriver Farmer, som i dag er uavhengig sikkerhetskonsulent, at han gjennomførte undersøkelsen av ren nysgjerrighet. Årsaken til at han offentliggjør rapporten, er at resultatene var så overraskende og så deprimerende.

Farmer valgte å undersøke rundt 1700 kompliserte web-steder ved å sende enkle, automatiserte forespørsler gjennom Satan. Han konsentrerte seg om web-steder som måtte antas å ha høyere sikkerhetsbevissthet enn gjennomsnittet, ut fra tradisjon og ut fra informasjonsverdiene de forvalter. Han undersøkte 660 banker, 274 kredittinstitusjoner, 47 web-steder drevet av regjeringen i Washington, 312 aviser og 451 sex-steder.

Alle undersøkelser krever en referansegruppe, dvs en gruppe tilfeldig valgte objekter som kan uttrykke en gjennomsnittstilstand. Farmers referansegruppe var 469 tilfeldig valgte web-steder.

Rapporten gjør rede for to sårbarhetsnivåer. Rødt betyr at web-stedet har døra på vid gap overfor ethvert angrep, og at det ikke vil ta mer enn 10–12 sekunder å kompromittere systemet. Gult er noe mindre alvorlig, men betyr at sikkerheten er betydelig svekket, slik at man ikke har noe vern mot en inntrenger som ønsker å slette filer eller kræsje serveren.

  • Av bankene var 68 prosent sårbare (33 prosent gult, 35 prosent rødt)
  • Av spare- og lånforeningene var 51 prosent sårbare (31 prosent gult, 20 prosent rødt)
  • Av regjeringens web-steder var 62 prosent sårbare (24 prosent gult, 38 prosent rødt)
  • Av avisene var 70 prosent sårbare (31 prosent gult, 39 prosent rødt)
  • Av sex-stedene var 66 prosent sårbare (41 prosent gult, 26 prosent rødt)

Av alle stedene var 65 prosent sårbare (34 prosent gult, 31 prosent rødt)

I referansegruppen av tilfeldig valgte web-steder var 33 prosent sårbare (16 prosent gult, 17 prosent rødt).

Sårbarhetsprosenten var altså dobbelt så høy blant de web-stedene som burde gått foran med høy sikkerhet, enn hos referansegruppen.

Farmer understreker at vertsstedene ikke har noe enkelt problem felles. Poenget hans er at maskinene brukes til altfor mange tjenester. I noen tilfeller avslørte han at web-serverne ikke bare hadde diskusjonsgrupper, ftp-lagre, katalogtjenester med mer – det kunne ofte sitte en lokal bruker med sin streifing, tekstbehandling, e-post osv. Farmer skriver:

"Skal en vertsmaskin være sikker, må du holde den til det lille og det enkle. Mer enn én funksjon (web-server, mail-server osv) pr vertsmaskin er rett og slett for vanskelig å sikre i praksis. I teorien skulle det nesten ikke være noen forskjell, men mennesker er ikke bare teoretiske vesener."

Farmer peker også på den rollen kommersialiseringen av Internettet spiller: "Vanligvis er ikke sikkerhet en gang blant de ti viktigste prioriteringene hos kundene. Derfor vil den alltid bli neglisjert." Han kvester ikke bare Microsoft, men også Netscape og ulike Unix-leverandører for dårlig håndtering av sikkerhetsspørsmål. Han foreslår at noen setter sammen ekte nøkkelferdige web-sted-systemer, der sikkerhet er noe annet enn et tomt slagord.

Enkle overvåkingsverktøy kan avsløre når en vertsmaskin undersøkes av Satan, og hvor undersøkelsen kommer fra. Farmer skriver at bare to av de 1700 kompliserte web-stedene tok kontakt med ham fordi de merket at han hadde snopet litt overflatisk i systemkrokene. Han tar dette som en bekreftelse på at nettadministratorene ikke bryr seg om å bruke tilgjengelig sikkerhetsverktøy.

Til toppen