Författare: Erik Zalitis

20 februari, 2019

Att aldrig stanna upp

Det finns få yrken där gamla sanningar förblir gångbara. En läkare måste lära sig nya metoder att hela och de senaste medicinerna och vi som jobbar i IT-säkerhetsbranschen är om möjligt i en av de mesta föränderliga områden som finns. Föreningen OWASP ger ofta ut nya guider för säkerhetspecialister och dessa uppdateras med regelbundna intervaller. När jag skriver detta är deras berömda topp 10-lista uppdaterad 2017. Denna lista beskriver de 10 mest viktiga attackerna en utvecklare och systemadministratörer måste skydda mot. Det kanske låter som att det inte var igår den uppdaterades, men betänk att versionen innan daterar till 2013. Denna lista uppdateras alltså nästan var femte år. Och tittar man på varje version, ser man att mycket förändras i vilka risker som beskrivs. På fyra-fem år försvinner en del av attackerna från listan, en del ändras totalt och en del tillkommer. Det gäller att hålla koll på detta hela tiden!

När jag började min karriär var många webapplikationer sårbara för directory traversal-attacker. Där man kan bryta sig ur webbserverns sökväg och möjligen köra program på serverns operativsystem. Idag är denna typ av sårbarheter allt ovanligare. De finns men det är inte så vanliga att hitta längre. Så om detta är vad du lärde dig när du började, är det många nya attacker som du har varit tvungen att lära dig under åren.

Som du säker nu förstått, ändras attackytan konstant. Förr var allt fysiskt, sen kom virtualiseringen, sen kom molnet och nu talar alla om AI. Varje nytt paradigm kommer med helt nya delar att skydda och en ny helt okänd attackyta. En säkerhetsspecialist MÅSTE hela tiden studera, observera och träna sig för att alltid kunna hantera en allt mer komplicerad värld. Många certifieringar tar med detta genom att kräva att man uppnår ett visst antal poäng per för att behålla certifieringen. Dessa poäng får man genom att gå kurser, skriva säkerhetsinformation eller gå igenom webbseminarier.

Vad kommer vi se för attacker om 10 år? Förändringstakten är så hög just nu att man lätt kan gissa på att några helt nya områden kommer öppnas upp och några områden kommer försvinna till bakgrunden. Om du ska jobba i branschen, måste du ha koll på allt detta och hela tiden förstå vad som är på horisonten.

13 februari, 2019

Hitta din inspiration

Jag vet precis hur det kom sig att jag började med IT-säkerhet. Det var någon gång runt en 2001. Jag hade redan tidigare tyckte säkerhet var intressant, men inte egentligen brytt mig om området så där extremt mycket. Sommaren 2001 tog jag mig tid och patchade alla Windows servrarna. Jag såg till att de alla hade service pack 2 för Windows 2000. Sen kom hösten och den blev rykande het när Nimda äntrade scenen. Denna mask attackerade Windows 2000-servrar och de jag hade patchat och uppgraderat klarade sig givetvis. Men den stora delen av koncernen jag jobbade på hade inte uppdaterat och de fick enorma problem. Jag ingick i ett litet ad hoc-team som hjälpte andra delar av koncernen att hantera utbrottet. Detta var endast möjligt då vi själva inte var drabbade och kunde hjälpa de som var. Detta var den händelsen som gjorde att säkerhet blev en passion för mig.

Säkerhetsområdet är stort och det är omöjligt att lära sig allting om det. Jag valde nätverkssäkerhet och webbapplikationer. Vilket och blev de delar av IT-säkerhetsområdet jag ofta jobbar med. Min inspiration var de stora maskarna i början av 2000-talet. Det är så jag ”byggde min plattform” och började lära mig. Redan 2004 kände mina vänner mig som den som intresserar sig för säkerhet och på den vägen är det.

Jag tror det är viktigt för den som ska börja jobba inom IT-säkerhetsbranschen att hitta sin inspiration och vilka områden han eller hon ska vara passionerad om. Det kan vara så att ditt tidigare område dikterar var du hamnar. Om du utvecklat i php eller asp.net, kanske du blir passionerad inom webapplikationssäkerhet, medan någon som installerat PC-klienter istället börjar sin bana med att härda sagda klienter eller jobba med thin clients och härdning av dessa.

Kom tills sist ihåg att alla verktyg, certifieringar och ramverk bara kan ge dig stöd. Din passion och applicerandet av ditt kunnande är det som fäller avgörandet om vilket intryck du kommer göra på världen.

6 februari, 2019

Koevolution – spelets regler

Det är märkligt att se hur attacker och försvar utvecklas sida vid sida. Hur det börjar är ganska uppenbart: någon hittar på ett sätt att attackera ett system. Försvararna hittar på ett sätt att göra attacken omöjlig. Efter ett tag kommer attackerarna på en metod att överlista försvaret med en mer avancerad attack. På detta sätt höjs ribban och det blir svårare att göra attacker. Då och då hittas helt nya sätt att attackera ett system på och då börjar hela processen om igen. Man kallar detta för ko-evolution.

En gång i tidernas begynnelse ansågs Caesar-skiffer säkert nog. Det byggde på att man skiftade alfabetet tre steg. A blev D och B blev E och så vidare. Under många år var detta ett tillräcklig bra metod att försvara hemligheter. Men mekaniken gjorde detta oanvändbart. Och när vi gick in i den datoriserade eran blev det en snabb kapplöpning mellan de som skyddade system och de som knäckte dem. I Bletchley park avslöjades nazisternas hemligheter av ett gäng kodknäckare. Idag dyker det upp nya sätt att kryptera information. Samtidigt knäcks system och blir oanvändbara. Kapplöpningen är i full gång. Hashningsmetoder MD5 och kryptot DES är idag inte säkra att använda. Och bli inte förvånad om de metoder som idag är säkra kommer att bli knäckta imorgon. Vi har bara pratat om kryptografi här. Samma sak händer inom hela it-världen. När jag började lära mig säkerhet, kunde man ofta bryta sig in i system med så kallade SQL-injections. Dessa attacker tog sig in i databasen bakom en webbapplikation och kunde ibland ta över systemet bakom. Idag är denna typ av attacker i stort överspelade även om de fortfarande förekommer. Detta beror självklart på att alla produkter som finns är moderna har inbyggda skydd mot detta. Så numera är det istället webbläsarna som attackeras. Ge det några år och även detta har förändrats och attackerarna har antingen hittat nya mål eller överlistat de existerande skydden. Så länge vi har IT-system kommer det aldrig vara över…

30 januari, 2019

Tankar om samarbete

Det är kanske dags att lämna tekniken en stund och prata om samarbete. Som säkerhetskonsult, analytiker eller kanske pentestare är det lätt att vara en vägens kämpe. Med sin väska full av datorer, testutrustning och allsköns prylar drar man från kund till kund för att göra sitt jobb. Det har varit mitt liv ett antal år. Det ger en möjlighet att utmana sitt kunnande och lära sig nya ting. Men min erfarenhet är att ett litet team som samarbetar alltid är bättre. Att våra två som testar ett nätverk innebär möjligheten att bolla idéer och få nya uppslag. Hur smart du än tror att du är, kommer du aldrig kunna slå en liten grupp som samarbetar. Och den minsta gruppen är två och den största omkring fem-sex personer. Därefter blir det trögrört.

Många konsulter arbetar just i små grupper som löser problem och kommer fram med fungerande lösningar. Möjligheten att dela upp arbetsuppgifterna och hålla flera processer igång samtidigt kompenserar för den ökade kostnaden för att ha fler än en konsult.

En rätt vanlig kombination bland pentestare kan vara att ha en expert på fysiska tester, en teknisk kunnig och en som vet hur man göra social engineering-attacker. Denna grupp kan troligen ta sig in på vilken kund som helst.

Så för att sammanfatta: ensam är inte stark och specialisering inom säkerhet är ett måste.

24 januari, 2019

Några uppskattande ord om haren

Finns det någonting fegare än en hare? Så fort den ser dig, är den borta så snabbt att den ser ut som ett streck när den rusar iväg. Är det inte mycket bättre att slåss mot fienden och vinna sin frihet? Svaret är att de flesta djur flyr när de ser någon komma. Det gäller även farliga djur som björnar. Geparder skrämmer man lättast bort med hundar. Detta trots att geparder borde kunna vinna mot en hund. I naturen undviker de flesta djur strider. Men det är inte det jag vill prata om idag. Det handlar istället om att ha överlägsna metoder för att upptäcka fara istället för att satsa på möjligheten att försvara sig eller motstå en attack.

Inom IT-världen har man tills ganska nyligen inte riktigt fattat hur viktigt det är att upptäcka hot. Mycket har handlat om starkare kontroller för att hindra intrång. Många företag och organisationer har haft loggning påslaget för alla viktiga system utan att ha haft någon mekanism för att automatiskt analysera loggarna och larma om hotfulla mönster upptäcks. För många har en lösning för att upptäcka hot på nätverket setts som för dyrt och enbart nödvändigt där man har högre kvar på säkerheten. Att upptäcka att någonting är på gång eller har hänt har varit nedprioriterat på grund av hur komplext och dyrt det är.

Men det är tyvärr en sanning att alla kassaskåp kan brytas upp av den som har tid och resurser att bryta sig in. Om du inte upptäcker att någon går lös på detta kassaskåp, kommer attacken tillsist att lyckas eftersom den som attackerar kan göra precis vad som helst och arbeta hur länge som helst utan att upptäckas.

En gång, för ett antal år sedan, kallades jag in till ett företag som råkat ut för skadlig kod. Man hade upptäckt denna för att den var så dåligt skriven att den sänkte de system den kopierade sig till. Detta var inte avsikten med den utan berodde på att den var dåligt gjord. Hade den som skrev koden varit bättre programmerare, hade kunden aldrig upptäckt denna skadliga kod som var byggd för att ligga i bakgrunden och köra.

Tiden mellan att ett system attackeras och att attacken upptäckts kan var så lång som uppemot ett år i många fall. Under denna tid kan attackeraren gör vad han/hon vill med organisationens system och nätverk.

En dövblind kanin klädd i rustning är sämre skyddad än en försvarslös kanin som vet hur den upptäcker fara och springer iväg! När såg du senast en sådan analogi på en säkerhetssite?

17 januari, 2019

Problemet med eftersläntrarna

Nu för tiden bombarderas vi med säkerhetsfixar. De kommer varje vecka, varannan vecka eller varje månad. Vilken produkt du än har, kan du ge dig på att det kommer en säkerhetsfix till den när du minst anar. Även produkter som egentligen inte är direkt uppkopplade mot nätet eller tillgängliga för flera användare samtidigt drabbas. Och det har ingen betydelse om du är en stressad system administratör eller ägare av exakt en laptop: patcha måste du! Regelbundet.

Patchandet kan beskrivas med en normalfördelningskurva. Först en stor ”puckel” med de flesta systemägarna som lägger på de flesta patcharna. Sen en liten grupp av supernoggranna administratörer som aldrig missar en patch. Men vad finns på andra sidan av puckeln? Jo, systemen som antingen aldrig patchas eller som år efter år ligger långt efter i patcharna.

Det är dessa maskiner som blir botnet, används som instegsmaskiner in i andras nätverk eller används för att dölja attackernas ursprung. En del av dem går inte längre att patcha. De är gamla maskiner, routrar eller nätverksutrustning som getts upp av tillverkaren och nu bjuder in hackarna till dans.

En kund jag jobbade mot för några år sedan hade en stor mängd servrar som inte uppgraderats på årtionden. Den enda anledningen att vi kom på hur illa de hade det, var att de inte kunde uppgradera en specifik programvara till den senaste versionen. Detta eftersom den krävde att operativsystemet var en många år nyare version än vad de hade. Innan vi förklarade situationen för dem, insåg de inte ens att det var ett problem. Dessa system hade inte kunnat patchas på många år på grund av att tillverkaren lagt ner uppdateringarna av dem. Några av dem var dessutom nåbara från Internet. De lärde sig snabbt att det är mycket dyrare att försöka räta upp situationen och ”komma ikapp” med en stor mängd system än att kontinuerligt avsätta tid och pengar för att hålla systemen säkra.

Det är inte en ovanlig historia, men den illustrerar detta växande problem. Även i en tid av automatiska uppdateringar kan det vara en utmaning att hålla allting säkert. När du läser detta, har säkert någon av dina system just fått en ny patch som rättar ett allvarligt säkerhetshål. Så sluta läsa och börja patcha!

9 januari, 2019

Skyddet som missas

Idag har man kommit så långt att skyddsstrategier för fysiskt skydd börjar bli vanliga, men det var länge en sak man inte riktigt tänkte på när man byggde säkerhetslösningar: hur skyddar men en dator från någon som fysiskt kan nå den?

Brandväggar, antivirus och patchlösningar är verkningslösa mot brottsligen som faktiskt kommer åt din maskin där den står på kontoret. För många år sedan var det enda du kunde göra var att låsa arbetsstation, så att den som vill komma åt den var tvungen att gissa ditt lösenord. Men den uppebara lösningen var att ta fram en skruvmejsel och skruva ur hårddisken. På några minuter kunde man sen koppla in den till sin egen dator och göra en bit-för-bit kopia av den med något program av typ Ghost eller Linux dd. Därefter satte du tillbaka hårddisken i datorn och startade upp den. Användaren kanske märkte att han inte längre var inloggad, men ryckte nog på axlarna åt det och jobbade vidare.

Men det är bara ett av hoten. När firewire var vanligt, kom det upp ett nytt hot. Eftersom firewire tillät direkt tillgång till datorns minne, kunde en person som kom åt datorn fysiskt, koppla in sin dator i offrets dator via firewire och ta över inloggningen. Detta fanns fungerande program för att göra med Windows XP. Man fick då upp en kommandotprompt som kördes som systemet självt utan att behöva logga in.

Men sen måste branschen ha dragit åt sig öronen. Heldiskkryptering blev vanligt. Windows Vista kom med Bitlocker och Linux hade tidigt egna lösningar för detta. Om du installerar Ubuntu idag är det en kryssruta man kryssar i för att kryptera disken. Heldiskkrypteringen gick från att vara någonting som användes för högsäkerhetsdatorer till att bli vanligt som mekanism för att skydda vanliga kontorsdatorer. Detta har gjort att det inte längre blir en katastrof att glömma sin dator på tågstationen eller flygplatsen. Det finns attacker som fungerar även mot heldiskkryptering, men det kommer även nya, bättre skydd mot dessa. Dock är det helt klart att man idag tar fysisk säkerhet för vanliga klientdatorer på allvar. Nu är det inte bara servrarna i datorhallarna som kan stå emot en person som lyckats ta sig in på kontoret. Det viktiga är dock att verkligen använda dessa mekanismer så att informationen inte lämnar kontoret under armen på en inbrottstjuv.

28 december, 2018

Säkerheten genom tiderna

Det är märkligt att titta tillbaka på IT-säkerheten som den såg ut på 80- och 90-talet. Visst fanns Unix tidigt med sina fleranvändarsystem där användare hölls separerade så att de inte kunde påverka varandras data. Men om man tittar på de datorer som fanns på 80-talet, var majoriteten så kallade ”enanvändarsystem”. Vare sig du hade en PC, Amiga, Mac, Atari eller C64, kom du i princip rätt in i systemet när du startade det. Inga lösenord eller rättigheter överhuvudtaget. Gamla PC-datorer hade en nyckel som stängde av tangentbordet när den vreds om. Detta var det skydd som gavs för den som lämnade sin dator påslagen över lunchen på sitt jobb. Visst fanns det undantag från den regeln, men de flesta datorer hade ingen säkerhet att tala om.

Windows hade inget lösenordsskydd förrän Windows NT kom på 90-talet. Windows 95 hade ett lösenordsskydd så att man kunde ha olika användare med olika inställningar. Om du istället avbröt inloggningsrutan, kom du rakt in i systemet!

Där det faktiskt fanns skydd, var det oftast begränsat till just användarnamn och lösenord. Protokoll som FTP, telnet och SMTP gick i klartext. Vem som helst som avlyssnade trafiken såg lösenorden som användes.

Och många protokoll kunde lätt användas utan någon form av autentisering. Gamla Windows-versioner är mycket lätt att få ut data från även om du är anonym.

I slutet av 90-talet läste jag en artikel skriven av en man som hade kollat hur många som hade brandvägg på sin dator när de gav sig ut på Internet. Svaret var: inte många. På den tiden använde man uppringda förbindelser och kunde oftast komma undan med att inte ha brandvägg. Men det kom att ändras när bredbanden blev allt vanligare.

2000-talet förde inte enbart med sig IT-kraschen utan också ett plågsamt tillnyktrande vad det gäller säkerheten. I snabb följde fick vi Nimda, Code red och senare Blaster som tog ner illa skyddade servrar. Microsoft fick ta den mesta kritiken, men säkerheten över hela brädet var bristfällig.

Sedan mitten av 2000-talet har mekanismer byggts in till höger och vänster. Bättre skydd mot buffertöverskrivningar, nedlåsta behörigheter, inmatningsskydd, brandväggar och kryptering.

Säkerhet har inte enbart drivits av en villja att skydda användarna mot dataläckage, ändring av data eller att man förstör systemen. Det har även diskuterats allt mer om integritet. De flesta stora sajterna kom med tiden att slå på kryptering och de flesta moderna eller moderniserade protokoll både krypterar och skyddar mot otillåten tillgång.

För att summera: resan vi gjort från 80-talets totalt osäkra system fram till dagens hårt nedlåsta datorer är fascinerande.

16 december, 2018

Social ingenjörskonst

Vilken är den mest kraftfulla metoden för att hacka ett företag eller en organisation? Buffertöverskrivningar? SQL-injektioner? Cross site-skripting?

För mig finns det en attackmetod som ofta är kraftfullare än någon annan och som inte löses med teknisk IT-säkerhet och det är den metoden som på engelska kallas ”Social engineering”. Det översätts ofta med ”Social ingenjörskonst” och är läran om att helt enkelt lura sig in dit man vill. För att komma in använder man oftast inga tekniska metoder att attackera utan förlitar sig på att helt enkel utnyttja den mänskliga naturen. Det handlar om att manipulera folk att göra det du vill att de ska göra. Faktum är att det kan vara så enkelt som att följa med ett stort gäng som går in genom en dörr med kortläsare för att komma in utan att ha ett kort. Eller det kan handla om att tala sig till en nyckel från receptionen, så att man kan komma in där man vill.

För ett antal år sedan, när jag var helt ny i säkerhetsbranschen, var jag inbjuden till en middag hos mitt jobb. Det bjöds öl, vin, champagne och god mat. Platsen var mitt i stan och på väg dit funderade jag på hur långt en oinbjuden gäst kunde komma. Så jag bestämde mig för att vara just en sådan. Visst var jag inbjuden, men ingen i personalen visste det. Frågan var om jag kunde komma in utan att bevisa att jag hörde dit. Sagt och gjort, jag gick rakt in och svarade på frågor utan att någonsin ange annat än vilket företag jag tillhörde. Denna uppgift var relativt lätt att ta reda på, även för en utomstående, så hade jag inte hört dit hade jag fått ett gratis mål mat utan problem.  Sanningen och säga var detta trivialt att göra och det är rätt vanligt att så är fallet.

Det krävs inte ens en talang för det. Jag jobbade en gång för ett företag som råkade ut för en sådan attack. Jag erkänner direkt att de lurade mig också. När jag och mina vänner skulle gå och äta stod de utanför ett rum och pratade i mobilen. Det var två välklädda killar som pratade italienska. Vilket i sig är en smula märkligt, då vi inte hade några italienska kunder eller kontor. Men ingen av oss tänkte så mycket på det och när vi kom tillbaka var två datorer borta. Då ska det tilläggas att vi hade kortläsare för båda sidor av dörren. Man var tvungen att dra kort både för att ta sig in och ta sig ut. Detta hindrade dem inte för att lura alla skydd vi hade och de lyckades undvika att dra uppmärksamhet till sig trots att de egentligen borde ha upplevts som att de inte riktigt hörde dit.

Tricket för att lyckas med social ingenjörskonst är att aldrig kunna ifrågasättas. Genom att vara självsäker och någotsånär verka ha en roll. Det kan vara så enkelt som att låtsas vara vaktmästare, IT-reparatör eller byggjobbare. En enkel uniformsliknande utstyrsel och man smälter in. Resten sköter man genom att agera som ens blotta existens är helt självklar och att det inte finns något tvivel om att man ska ha de rättigheter man har eller begär.

Hur mycket man än spenderar på sina larm, brandväggar och rutiner kommer ofta attacker mot den mänskliga delen av organisationen att gå rakt igenom. Det är svårt att utbilda hundra eller tusentals medarbetare i att vara kritiska och observanta.

Dessutom kräver inte social ingenjörskonst någon djup teknisk kompetens. För mig är det helt klart att denna typ av attack troligen är den kraftfullaste du kan göra mot ett företag.

Intresserad av att syssla med det? Mitt råd är att hålla dig på den vita sidan så att säga. Att bereda sig tillgång till lokaler utan att ha där att göra är mycket ofta ett lagbrott. Även om du bara vill testa, är det fullt möjligt att hamna i domstol över det. Mitt tips är att du istället skaffar dig en karriär som social pentestare. Då får du betalt för att göra det och har dessutom kundens tillstånd.

Ett tips för den som vill förkovra sig är hackerlegenden Kevin Mitnicks bok ”the art of intrusion” som beskriver ett antal helt riktiga fall där folk lyckats lura till sig rättigheter eller saker de inte ska ha. En spännande resa in i det som inte bara är möjligt och också sant och har hänt.

Vi kommer troligen få anledning att gå in djupare på detta ämne i IT-säkerhetspodden.

Scroll to top