Ordforklaring

Hvad er en hacker? Hvad er en cracker?

Disse ord har så forskellig betydning i forskellige grupper af mennesker at deres originale betydninger ikke længere er vigtige. Deres brug bør helt undgås. En debat om hvad "hacker" og "cracker" betyder er irrelevant og formålsløs. Den bedes påbegyndt i dk.kultur.sprog og afsluttet i dk.snak.mudderkastning.

Hvis man bare søger oplysning om hvad ordene betyder, er der flere gode opslagsværker til rådighed, f.eks.:

For at undgå misforståelser vil vi i dette dokument bruge "angriber" om en kriminel som forsøger at tiltvinge sig adgang til et system, og "indtrængende" om en kriminel der har tiltvunget sig adgang til et system.

Hvad er IP, UDP, TCP og ICMP?

TCP/IP er en familie af netværksprotokoller som kan bruges på store netværk som f.eks. Internettet. Den indeholder de 4 ovenstående samt hundrede andre med forskellige funktioner, blandt andet HTTP, FTP, SMTP og andre mere eller mindre kendte protokoller. Hvis du har forhåbninger om at benytte en firewall af nogen art bør du mindst have en minimal forståelse af hvordan netværkstrafik på Internettet virker.

IP (Internet Protocol) er ansvarlig for at route pakker korrekt fra afsender til modtager, og de fleste andre protokoller gør brug af IP for at opfylde deres formål.

TCP (Transmission Control Protocol) og UDP (User Datagram Protocol) er overbygninger på IP som indeholder data der bliver sendt frem og tilbage af programmer og servere.

TCP garanterer at pakken bliver leveret, ved at netværket sender besked tilbage i tilfælde af fejl og bruges blandt andet af HTTP, FTP og SMTP protokollerne.

UDP har ikke disse garantier og bruges til tjenester hvor hastighed er vigtigere end at alle pakker kommer frem. Blandet andet bruges UDP når du ser videoer, lytter til musik eller spiller spil på nettet. Desværre bruges UDP også af f.eks. UNIX' syslog tjeneste hvor det nu om dage er ret vigtigt at loginformationer kommer frem.

ICMP er Internet Control Messages Protocol. Der kan sendes en række forskellige beskeder med denne protokol og mange af dem er fuldstændig harmløse, og nogen af dem er endda til hjælp.

Der er dog set eksempler på at angribere bruger ICMP pakker til at styre en maskine, som de har brudt ind i og installeret et program til formålet. ICMP er velegnet til denne slags skjulte kanaler da det ofte tillades ukritisk igennem store organisationers firewalls. De fleste netværkssniffere vil blot vise almindeligt ICMP trafik uden at opdage de skjulte beskeder. Dette vil næppe påvirke en privat bruger.

F.eks. virker det meget anvendte program ping ved at sende en ICMP echo request til en computer som så svarer med en ICMP echo reply.

Hvis du forsøger at tilgå en maskine kan der sendes ICMP fejlbeskeder tilbage, en fejlbesked kan f.eks. fortælle:

  1. Der er for mange mellemstationer på vejen til den anden computer.
  2. Maskinen eksisterer ikke eller svarer ikke.
  3. Maskinen kører men den forespurgte service findes ikke på den pågældende maskine.

Uden disse fejlmedelelser vil din computer vente lidt og prøve igen, og først efter flere forsøg vil den give op.

En god firewall kan genkende svar på de pakker du selv har sendt, og kan dermed lukke dem igennem og holde andre ude, helt uden at spørge dig hver gang. Dette kaldes "stateful filtering."

Hvis andre skal kunne se om der er forbindelse til din maskine lige nu skal du også tillade at echo-request kommer ind igennem din firewall. Du vil opleve at nogle servere sender en echo-request til dig, når du kontakter dem.

Hvad er cookies?

Hvis du sidder på en pub med Alex og stiller ham dette spørgsmål vil han stirre underligt på dig, svare "småkager!" og hurtigt anbefale McVities Masterpieces som indeholder store klumper chokolade.

Men i forbindelse med webbrowsere dækker begrebet "cookies" over små bidder af information som en webserver kan bede en webbrowser om at gemme og senere udlevere igen. Populærpressen har fremstillet cookies som et sikkerhedsproblem, men det er altså ikke tilfældet.

En cookie består af 4 dele: navnet (f.eks. THEME), indholdet (f.eks. 3), hvilke servere har lov til at bede om at få cookien udleveret (f.eks. *.snakeoil.dk) samt evt. en udløbsdato. Det lader til, at denne cookie bruges af serverne hos snakeoil.dk til at vise deres sider på en bestemt måde når siden besøges.

Lidt mere uheldige cookies kunne være USERNAME sat til "alex", PASSWORD sat til "holst" som enhver webserver på nettet må bede om at få udleveret. Andre uheldige cookies kan være fra *.doubleclick.net og lignende steder som sætter en cookie alt efter hvilken slags websites der besøges, og viser bannerreklamer derefter.

Hvad er spyware?

Spyware dækker over en slags spionprogrammer, som bliver installeret sammen med gratis software, f.eks. IMesh, AudioGalaxy, etc. Installationen af spyware står næsten altid i licensbetingelserne som du ikke læser. Der er ofte også en beskrivelse af hvilken type information der sendes tilbage til producenten.

Der findes programmer som forsøger at fjerne dette spyware, men løsningen er i virkeligheden at læse licensen når du installerer gratis programmer, eller helt lade være med at installere dem.

Hvad er firewalls?

Begrebet "firewall" bruges i edb sammenhæng om et værktøj som er i stand til, ud fra et sæt regler, at blokere bestemte typer af netværkstrafik. Mange tror desværre at en firewall giver dem "sikkerhed", men dette er ikke tilfældet. En firewall bruges til at håndhæve de regler for netværkstrafik man har bestemt sig for er acceptable. Hvis man har overset noget i disse regler, eller hvis firewallen ikke er sat rigtigt op eller har en fejl i sig er den intet værd. Derfor bør man regelmæssigt sikre sig at:

Der er ligeledes en udbredt misforståelse at "hardware" firewalls er mere sikre end software firewalls. Dette er fejlagtigt da selv en hardware firewall er implementeret i software.

Hvis man absolut skal komme med udtalelser omkring firewalls, kunne disse være eksempler:

De fleste steder bruges firewalls kun til at stoppe indgående trafik, men der er efterhånden et krav til, at man tager stilling til hvad der er passende trafik at tillade ud af ens netværk. Hvis jeres filserver forsøger at skabe forbindelse til en maskine i Rusland, eller hvis en PC i finansafdelingen opretter en forbindelse til en maskine på en DSL forbindelse i USA, er der nok noget galt.

Ordet "firewall" bruges flydende om efterhånden alle typer af IP filtre, hvad enten de er stateful eller ej.

Hvad er DMZ?

DMZ er en forkortelse for "demilitarized zone". Det hentyder til et område udenfor (militær) kontrol, hvor det mest kendte nok er grænsen mellem Syd- og Nordkorea. I en netværkssammenhæng vil dette ofte være uden for en firewall, altså et netværk helt uden for ens kontrol.

Begrebet har gennem årene været brugt af en masse marketingsfolk, hvilket har fortyndet meningen lidt. For nogle mennesker betyder et DMZ en netværksdel som er beskyttet af en firewall. Der kan således være ret stor forskel på hvad der menes med DMZ.

Nogle mener, at opdeling af netværk som en sikkerhedsfunktion i mange situationer bliver en del af fortiden. I fremtiden vil man benytte IPsec og PKI, hvor hver maskine kun vil modtage IPsec forbindelser fra maskiner og brugere med de rigtige certifikater. Når det bliver muligt vil det ændre firewallens rolle som vi kender den.

Er der forskel på netværksfirewalls og personlige firewalls?

Ja!

Forskellene består blandet andet af pris, typisk brugsmønster, typisk netværksviden hos den ansvarlige, og meget andet. Lad være med at blande de to sammen når du deltager i diskussioner i gruppen. De løser to vidt forskellige opgaver.

Hvad er IDS?

IDS er en forkortelse for Intrusion Detection System -- altså et system som kan opdage når der finder aktivitet sted på ens netværk eller systemer som kunne tyde på indbrud eller indbrudsforsøg.

Netværks-baserede IDS (kaldet NIDS) virker ofte ved at genkende dele af netværkspakker sendt af programmer der kan udnytte sikkerhedsfejl fra en anden maskine på Internettet.

Det er en hel kunst at omgå NIDS og det er ganske muligt. Tro ikke at du ser alt på dit netværk blot fordi du har et IDS. Tro heller ikke, at alt hvad du ser i dit IDS er et indbrudsforsøg.

Forfatterens favoritbrug af NIDS er at tegne grafer for ledelsen så de kan se at der hver dag er xxx antal forsøg på indbrud.

En andet favoritbrug er at, istedet for enkelte regler der kender forskellige typer angreb, have et NIDS der kender til netværket. Ved at bruge sådan et system kan man tillade at webserveren modtager nye forbindelser, og at den svarer på disse forbindelser. Det samme med mailserver, etc. Hvis en af disse maskiner så på noget tidspunkt begynder at sende telnet- eller ssh-forbindelser ud på nettet, skal dit NIDS hive et individ med incident response erfaring ud af sengen, da der med stor sandsynlighed er sket noget på den pågældende maskine, der ikke burde ske.

Værts-baserede IDS (på engelsk kaldet host-based IDS) kører på en maskine og kan gøre opmærksom på ændringer i udvalgte filer i systemet. Dette sker ved at analysere kritiske filer og omforme denne analyse til resultatet af et matematisk udtryk (et såkaldt message digest). Dette resultat bliver så sammenlignet med en tidligere værdi som er opbevaret sikkert. Enhver afvigelse tyder på at filen er blevet ændret og bør, indtil en anden forklaring er nået, betragtes som et vellykket indbrud. Det første som sker efter et indbrud er at den indtrængende opretter en konto til sig selv, eller ændrer et af de aktive programmer til at give ham adgang til systemet når han senere vender tilbage.

Værts-baserede IDS giver et så formidabelt indblik i et system, at prisen og indsatsen for at implementere dem blegner ved siden af. I min mening er de langt vigtigere end firewalls og NIDS, men det bliver kun brugt ganske få steder.

Hvad er et security incident? Hvad er incident response?

Incident betyder "begivenhed" eller "hændelse". Response betyder "svar" eller "reaktion." Dette begreb bruges om en hændelse der er sikkerhedsrelateret, som regel i form af en overtrædelse af ens sikkerhedspolitik.

Det kan være alt lige fra et udbrud af virus til hemmelige oplysninger sendt ud via email af en medarbejder, pornografisk eller andet upassende materiale fundet på en arbejdsstation, en besked i en logfil, eller det kan være et bekræftet indbrud på en maskine.

Et computer incident response team er som regel et lille hold bestående af mennesker med evner og specifik tilladelse fra ledelsen til at reagere på en sikkerhedshændelse på en facon der giver overblik over situationen, bringer den til en afslutning og kan samle beviser til en politianmeldelse hvis det er passende.

Enhver organisation der på en eller på anden måde er kritisk afhænging af deres IT-infrastruktur bør have adgang til et trænet incident response team, enten som fastansatte eller som konsulenter ved et firma der kan indkaldes 24 timer i døgnet.

Hvad er computer forensics? Hvad er forensic analysis?

Forensic betyder juridisk, og er en betegnelse for den systematiske metode der bruges til at indsamle beviser fra en gerningsplads -- i dette tilfælde et computersystem. Hvis man ønsker at retsforfølge en indtrængende skal man have indsamlet beviser i form af logfiler, ændrede systemfiler og værktøjer efterladt på systemet i sådan en stand, at der ikke kan være tvivl om rigtigheden af de oplysninger man kommer frem til.

En administrator som ikke er trænet i incident response eller computer forensics vil ofte ødelægge beviser inden for de første par minutter vedkommende kommer i nærheden af et gerningssted. Derfor er det vigtigt at kun trænet personnel tager sig af maskiner der er blevet brudt ind i eller af anden grund er blevet årsag til en sikkerhedshændelse.

Hvad er kryptering? Hvad er en digital signatur?

Kryptografi: læren om kryptering

Kryptering er en teknologi der har til formål at beskytte data således at uvedkommende ikke kan anvende dem.

Kryptering kan anvendes til at beskytte mange forskellige ting, såsom enkelte filer, e-mail eller en dataforbindelse (se evt. VPN). Man kan også anvende kryptering til at lave en digital signatur, se nedenfor.

Når man krypterer et elektronisk dokument, kan man sammenligne det med at låse et fysisk dokument inde i en bankboks - man kan altså kun komme til at læse dokumentet hvis man har den rigtige nøgle. Afhængig af krypteringsformen kan der være tale om forskellige slags nøgler. Nøglen kan bestå af en simpel adgangskode (password), en nøglefil eller noget helt tredie. Fælles for dem er at så længe nøglen er i sikkerhed (hemmelig) kan uvedkommende ikke anvende de krypterede data selvom de opsnappes via et usikkert medie (som f.eks. Internettet).

I kryptografi taler man om to forskellige hovedkrypteringsformer: Symmetrisk og Asymmetrisk kryptering. De hedder således, fordi man i symmetrisk kryptering anvender den samme nøgle (eller en magen til) til både at "åbne" og "låse", hvorimod man i asymmetrisk kryptering anvender to forskellige nøgler: En til at "låse" med, og en anden til at "åbne". Dette kaldes også "public key encryption" (offentlig nøgle kryptering) fordi den nøgle der bruges til at kryptere med ikke behøver være hemmelig. Det er altså kun den nøgle der bruges til at dekryptere der skal være hemmelig for at systemet kan fungere. Fidusen ved dette er, at man så med ro i sindet kan give sin offentlige nøgle til alle og enhver og stadig føle sig sikker på at andre ikke kan læse de data der er beregnede for en selv.

Når man laver en digital signatur anvender man også asymmetrisk kryptering. Man "underskriver" sin meddelelse med sin private nøgle og andre kan så ved hjælp af den offentlige nøgle afgøre at meddelelsen er forfattet af den den giver sig ud for.

Som nævnt findes der rigtig mange forskellige krypteringssystemer. Et af de mest kendte og anerkendte programmer, der både kan anvende symmetrisk og assymetrisk kryptering hedder PGP. PGP har haft nogle turbulente år og er i dag markedsført af PGP Corporation. Version 8 vil kunne hentes fra deres site snart. Gratis (freeware) versioner kan stadig hentes fra www.pgpi.org. Her findes også yderligere information om hvordan man krypterer/signerer meddelelser.

Det er væsentligt at nævne at kryptering er en teknologi der er i kraftig udvikling, og den kryptering man anvender idag vil formodentlig være forældet om ikke alt for mange år. Vil man beskytte sine data er det altså vigtigt at holde sine krypteringsværktøjer opdaterede i forhold til tidens standard.

Hash funktioner bruges typisk ikke til kryptering men til andre lignende discipliner. Hash funktioner kan f.eks. bruges til signaturer.

Forestil dig, at du har skrevet en lang tekst, som du ønsker at underskrive. Det er ikke en god idé at dele teksten op i blokke og underskriver dem enkeltvis. For det første vil underskriften fylde mere end teksten. For det andet kan andre klippe dele ud og sætte dem sammen og stadig bære din underskrift. Derimod er det bedre at sende teksten igennem en hashfunktion. Den hashværdi, der kommer ud, er så lille, at den kan underskrives som en enkelt blok. Den kunne f.eks. være på 128 bits. Dermed fylder signaturen mindre og er sikrere.

Dette er kun sikkert hvis det er en god hashfunktion. Der vil naturligvis være flere forskellige tekster, der giver samme hashværdi. Hvis det er svært, at finde to tekster med samme hashværdi, er det en god hashfunktion. (Hvor "svært" betyder, at det i praksis er umuligt.) En anden mulighed er at du kan give underskriften til modtageren, men først senere give teksten til modtageren. Modtageren ved endnu ikke hvad du har skrevet, men han eller hun ved at du ikke kan ændre det.

Et message digest er et ``fingeraftryk'' af en tekst. Givet en tekst (fil), kan man anvende en message digest algoritme på denne og derved skabe dette unikke fingeraftryk. Algoritmen er konstrueret således, at det matematisk set er meget svært at producere en tekst med et givent fingeraftryk, eller producere to forskellige tekster med samme fingeraftryk.

Der findes en række algoritmer til skabelse af disse fingeraftryk. Nogle af de mest kendte er MD5 og SHA1. Fælles for disse algoritmer er, at de for vilkårligt store input skaber et unikt fingeraftryk på en fast længde. Længden af dette nummer er afhængig af algoritme, men måles normalt i bit. Fingeraftrykket kaldes det også en 'hash'.

Matematisk set er det næsten umuligt at producere to forskellige tekster med den samme hash eller at producere en tekst der har en bestemt hash. Det engelske fagudtryk for dette er "infeasible" der nærmest kan oversættes med "uladsiggørligt".

Et lille eksempel:

 
Input		Den lille brune ræv.
MD5-hash	e039d911a354b1a1828addd53943f7e0
SHA1-hash	18a5907bcbacbf7ca0b47d07bec01b1cd97a018c
 
Input		Den lille brune røv.
MD5-hash	4468b62e48a2a1757869ccc6b85c0efa
SHA1-hash	b42e35b2020bf87a9332c77294fd69dc41155877

Som det ses gør selv en lille ændring i input en stor forskel i hashen.

Videre læsning:

En anden anvendelse af hashfunktioner er til at gemme adgangskoder. På nogle systemer gemmes adgangskoder ikke, i stedet gemmes hashværdier af dem. Ud fra hashværdien er det svært at finde adgangskoden, men hvis en bruger indtaster sin adgangskode kan det checkes ved at beregne hashværdien igen.

Der er mange flere anvendelser af hash funktioner.

Hvad er VPN? Hvad er IPsec?

Et Virtual Private Network bruges til at oprette en sikker kommunikationsform over et netværk man ikke stoler 100% på, f.eks. Internettet. Mellem to eller flere endepunker opnås der enighed om krypteringsformer og brugervalidering og man kan således udveksle information uden at bekymre sig om tab eller ændring af ditto.

Denne teknik kan bruges til at skabe en forholdsvis billig og troværdig netværksforbindelse mellem to netværk der ellers skulle kobles sammen via faste linier eller telefonnettet.

Et VPN implementeres nu om dage via IPsec, som er en udvidelse af IP protokolfamilien. Næsten alle IPsec produkter kan tale med hinanden, hvilke give mange muligheder på tværs af systemer. Når Direktør Poul er til forretningsmøde i USA kan han fra sin Windows laptop skabe en VPN forbindelse via hotellets netværk til VPN endepunktet og tilgå email og andre ressourcer. Når software udvikler Palle er til Hackers at Large kan han koble sin ikke-Windows laptop op til bygningens netværk, og nå dagens portion af kodning, email og Usenet news.

Der findes IPsec software til næsten alle systemer, selv Windows: TimeStep PERMIT/Client, Ashley Laurent VPCom VPN software, PGPNet, Radguard cIPro client og Cisco IRE client. Den letteste metode i Windows er nok at hente det gratis PGPNet som er en del af PGP Freeware.

KAME er en del af de fleste BSD systemer samt release 2.6 af Linux kernen. Derudover findes Openswan, Strongswan. Udviklingen på FreeS/WAN lader til at have stoppet.

Disse netværksenheder kan bruges til IPsec VPN: Cisco IOS, Cisco PIX, Intel LanRover, TimeStep PERMIT/Gate, Cendio Fuego, Axent Raptor, Ericsson eBox, Radguard cIPro-VPN, F-Secure VPN+, Teamware TWISS, 3com Pathbuilder, Nortel Contivity, CheckPoint FW-1.

Se også

Hvad er en sikkerhedsmodel (Trusted Computing Base)?

En sikkerhedsmodel (eller TCB) beskriver den del af hardwaren, firmwaren (BIOS) og software som håndhæver sikkerhedspolitikken. I et flerbrugersystem som UNIX benyttes en simpel 3 dels model baseret på brugerrettigheder, grupperettigheder og alle andre som hver kan få læse, skrive og udførselsadgang. Flerbruger udgaverne af Windows (NT, 2000 og XP) benytter en langt kraftigere og mere fleksibel sikkerhedsmodel som tillader at definere en række tilladte eller ulovlige handlinger per bruger, per objekt (fil, program, osv.) -- disse indstillinger af rettigheder kaldes systemets sikkerhedspolitik.

Denne politik beskriver som regel at hvilke brugere har lov til at manipulere med systemfilerne f.eks. i forbindelse med en installation eller opgradering af programmer, oprettelse af nye brugere og tildeling af adgang til disse nye brugere.

Windows 3.11, Windows 95, Windows 98 og Windows ME er ikke flerbrugersystemer og har ingen sikkerhedsmodel. Dette gør at alle programmer kan stoppes og startes som brugeren (eller andre programmer) lyster. Det betyder også at systemfiler kan ødelægges eller ændres, som virus og andre former for onde programmer frit har benyttet sig af gennem tiden.

I begge tilfælde (UNIX og Windows) håndhæves sikkerhedspolitikken af kernen baseret på de definerede rettigheder. Det er derfor vigtigt at kunne stole på at kernen virker som den skal. Skulle en angriber få administrator adgang på maskinen vil det næsten altid resultere i installation af et såkaldt rootkit. Et rootkit består af en samling programmer eller metoder som ændrer kernen eller visse systemfiler til den indtrængendes fordel. Typisk vil programmer i hukommelsen og netværksforbindelser benyttet af angriberen ikke kunne ses efter installationen af et rootkit, da sikkerhedsmodellen er blevet overtrådt.

I de fleste arbejdsstationer og server situationer består sikkerhedsmodellen udelukkende af det installerede software, men i nogle tilfælde forlænges kravet om en sikkerhedspolitik ud i hardware. Som kort nævnes senere, kan en fysisk keyboard sniffer let installeres som kan opfange ethvert tastetryk. I dette tilfælde ville sikkerhedsmodellen også være blevet brudt.

I andre tilfælde er hardwaren i høj grad en del af sikkerhedsmodellen. I forbindelse med som fysiske tokens til f.eks. to faktor authentication eller portable computere som Palm Pilots skal det fysiske aspekt yde en beskyttelse i varierende grader.

En angriber behøver blot at skille en Palm Pilot af for at kunne tilgå hardwaren direkte og udtrække alt det lagrede information, hvilket er grunden til at disse apparater ikke bør bruges til lagring af meget hemmelige data. I to faktor authentication tokens som jeg omtalte tidligere er der ofte krav om, at en angriber med fysisk adgang til sådan et token ikke må kunne skille det ad uden at gøre indholdet ubrugeligt.

Hvad er en IT-katastrofe?

Som begreb benyttes det, når der opstår en situation der ødelægger driften af vigtige IT systemer. Det kan være alt fra en system administrator der ved et uheld kommer til at slette eller ændre store mængder data, til et omfattende elektronisk indbrud, men er ofte fysiske hændelser som defekt server eller netværk hardware, eksplosioner, brand, oversvømmelser og strømudfald.

Der findes brandslukningsanlæg der kan hjælpe til at mindske hvordan en brand udvikler sig i et serverrum og der findes forskellige nødstrømsløsninger.

Ofte benyttes redundante synkronerede servere med det formål, at de sekundære systemer tager over, hvis de primære systemer fejler. De primære og sekundære systemer kan efter behov så, afhængigt af vigtigheden, placeres i hver sin ende af et serverrum, bygning, by, land eller verdensdel.

Hvad er Principle of Least Privilege?

Princippet om laveste privilegier beskriver ideen om at man ikke giver systemer, applikationer eller brugere rettigheder til at gøre mere, end de har brug for for at kunne løse den pågældende opgave.

De fleste UNIX systemer benytter dette princip i vid udstrækning, blandt andet ved at der kun er een systemadministrator konto (kaldet 'root') og resten er almindelige brugerkonti eller benyttes af systems applikationer. Systemer som OpenBSD går til ekstremer på disse punkter: Selv serverapplikationer som kræver root rettigheder for at starte er designet til at anmode om de resourcer de har brug for, spærre sig selv inde i et lukket del af filsystemet gennem chroot() kaldet før de endeligt opgiver root rettigheder.

I teorien kan Windows gå betydeligt længere end UNIX på dette punkt, da dens model for adgangskontrol er meget mere fleksibel. Desværre er praksis en helt anden hvor man ofte skal bruge meget tid på at få applikationer og services til at virke med mindre end administrator rettigheder. Der er stadigt mange applikationer og spil der slet ikke virker med andet end administrator rettigheder. Windows XP opretter da også brugere med administrator rettigheder når man angiver brugernavne som den sidste del af en installation.

Det er meget uheldigt, og denne forfatter håber på at den situation vil ændre sig drastisk når næste version af Windows udkommer.

Hvad er Layered Defense / Defense in Depth?

Layered Defense beskriver en situation hvor man gennem forskellige valg i design og arkitektur stiller angribere overfor flere lag at bryde igennem, i stedet for blot et, før de når deres mål.

Et eksempel kunne være at en netværksforbindelse mellem to datacentre der udveksler SSL og IPsec krypteret trafik fik påmonteret en enhed som krypterede alt trafik på linien, uanset om det før var SSL, IPsec eller klar tekst. Selv hvis der bliver fundet alvorlige svagheder i SSL eller IPsec - eller en krypteringsnøgle finder vej til uvedkommendes hænder - er der altså et andet lag som skal brydes før angrebet lykkedes.

OpenBSD's tilgang til Least Privilege passer også fint ind her: hvis en angriber udnytter en sikkerhedsfejl i et program der allerede har spærret sig selv inde og opgivet alle kraftfulde rettigheder, skal angriberen arbejde betydeligt hårdere for at fuldføre sit angreb. Der er imellemtiden mulighed for at opdage og stoppe angrebet.

Mange påstår desværre at anti-virus programmer og personlige firewalls falder i denne kategori "fordi de giver endnu et lags beskyttelse." Det er simpelthen ikke korrekt. Der skal kun een fejl til i AV eller firewall programmet til at give en angriber fuld kontrol - og det er ikke layered defense.

Hvad betyder Secure the Interface?

Dette begreb henviser til ideen om at gøre et interface eller grænseflade til et system så simpelt og sikkert som muligt. Hvis et program der har adgang til følsomme data kun kan tilgås gennem simple interfaces, reducerer det kraftigt risikoen for fejl.

Man kunne forstille sig et program til styring af et samlebånd som havde brug for administrative rettigheder for at køre. Derved kan man oprette en administrativ konto, uden kodeord, som i stedet for Explorer har sin shell sat til det pågældende program. Programmet tilbyder et par knapper at trykke på som starter og stopper samlebåndet. Det giver ikke systemadgang.

Se endvidere afsnittet Secure the Interface i David Wheelers bog, Secure Programming for Linux and UNIX.

Hvem er det egenligt der står bag internet angreb?

Man kan lidt groft sagt dele angrebene op i to former: Den mest almindelige type er den som omtales i nyhederne fra tid til anden. De går typisk efter så mange ofre som muligt, uden at jagte et bestemt individ eller virksomhed. Metoderne er relativt primitive, og som PC bruger kan det være ganske simpelt at beskytte sig mod disse trusler, især hvis man følger rådene om PC sikkerhed. Derfor kalder vi disse for "ankelbidere."

Den anden gruppe af angribere har ofte en bestemt person, organisation eller datamængde som mål, og har evnerne, tiden og de økonomiske resourcer til at prøve indtil angrebet lykkedes.

 AnkelbidereMålrettede angribere
Kendetegn
  • Går efter tilfældige mål (Windows brugere, servere med en bestemt sårbarhed, etc), i så stort antal som muligt.
  • Middelmådige resourcer med begræsninger på teknisk og økonomisk formåen.
  • Ligeglade med om nogle mulige mål opdager at et angreb er undervejs.
  • Går efter nøje udvalgte mål (navngivne personer el. virksomheder).
  • Ofte i besiddelse af betydelige resourcer, både i form af teknisk kompetence, finansering og tid.
  • Benytter planlægning og forberedelse til at nedsætte risikoen for at målet opdager angrebet (før det er for sent).
Eksempler
  • Email baseret malware som PC brugere tankeløst aktiverer.
  • Netværksbaseret malware udviklet til at udnytte kendte sikkerhedsproblemer fundet af andre.
  • Phishing med store, kendte "afsendere."
  • Kontakter målet i forsøg på social engineering.
  • Analyserer målet og finder specifikke sårbarheder, enten ved at lede efter typiske fejl eller finder nye fejl i de systemer som målet benytter.
Bagmænd
  • Mentalt understimulerede teenagere (uanset alder).
  • Organiserede kriminelle*.
  • Utilfredse (tidligere) medarbejdere.
  • Organiserede kriminelle.
  • Konkurrenter (industrispionage).
  • Politi og efterretningstjenester.
Beskyttelse
  • Pinligt simpelt at beskytte sig mod.
  • Sælgere og andre fagfolk med økonomisk interesse i beskyttelsesteknologi (samt en horde af hobby PC brugere der har misforstået hele problemet) ønsker ikke at det budskab kommer ud.
  • I nogle tilfælde er disse angreb så udbredte og langsomt spredende at anti-virus, spyware scannere og mail filtre kan stoppe dem inden brugeren belemres.
  • Umuligt at beskytte sig 100% imod.
  • Bedste forsvar er, at gøre angrebsforsøg så dyre for modstanderen, at det ikke giver økonomisk/tidsmæssig gevinst.

*) Organiserede kriminelle gik primært efter nøje udvalgte mål, men har opdaget af der er penge at tjene ved at gå efter det store antal PC brugere der ikke bruger sund fornuft eller kritisk sans når de bevæger sig rundt på nettet.

Hvad er Port Knocking?

Port Knocking er en tåbelig ide om at køre en netværksservice der lytter efter forbindelsesforsøg på netværket og ændre på systemets opførsel når der opdages forbindelser. F.eks. kan adgang til SSH være blokeret indtil der modtages forbindelsesforsøg på en række TCP porte i en bestemt rækkefølge.

Det tåbelige ved ideen er, at port knocking blot er endnu en form for en plain tekst adgangskode der kan opsnappes. Brug af port knocking forhindrer ikke en målrettet angriber i at komme ind, men til gengæld gør det livet meget sværere for brugerne.