Ubrugelige værktøjer og falsk sikkerhed

Hvad er falsk sikkerhed?

Falsk sikkerhed er tomme eller stærkt overdrevne løfter omkring sikkerheden ved noget. Falsk sikkerhed er eksempelvis, når producenten af et stykke software påstår, at det skaffer stjålne computere tilbage, når det reelt ikke kan garantere dette, eller når producenten af en firewall påstår, at det holder din computer sikker.

Falsk sikkerhed er farligt, fordi brugeren gives en falsk tryghedsfornemmelse. Det svarer lidt til at få at vide, at man ikke behøver bruge sikkerhedssele i bilen, fordi den er udstyret med airbags. Hvis man ikke tror, at man er i fare for noget, beskytter man sig ikke mod det, og det er netop problemet, da man netop er fare.

Sikkerhed bliver aldrig absolut, men hvis man er klar over svaghederne i sin sikkerhed, kan man tage forholdsregler, så konsekvensen af sikkerhedsbrud bliver langt mindre. Hvis man ved, at bilens airbags kan svigte, kan man benytte sikkerhedsselen til at minimere konsekvensen af dette. Hvis man ved, at firewallen kan svigte, så en angriber kan få adgang og slette alle ens vigtige filer, kan man benytte regelmæssig backup, så konsekvensen bliver minimal.

Myter om faste IP-adresser og ICMP-pakker

Der eksisterer mange myter omkring visse elementer af TCP/IP, hvoraf de nyeste primært blev diskuteret i 2000 - 2002 da Danmark begyndte at gå fra modemforbindelser med dynamisk IP adresse til ADSL der typisk har en statisk IP address. Man mente, at det var et sikkerhedsproblem at have den samme IP adresse hele tiden da angribere så lettere kunne finde den samme maskine som de før havde held til at få adgang til.

Det er en gang vrøvl. Hvis en angriber først har adgang til en maskine kan han let installere software som holder ham orienteret om hvilken IP addresse den kan tilgås på. Det blev også påstået at onde websites let kunne spore den samme bruger alene på IP adressen. Nu om dage er der ofte flere forskellige brugere bag samme IP adresse, så det er lettere for onde websites at blot at benytte cookies eller lokke brugeren til at installere et program der gør alt dette og mere.

I takt med at ikke-tekniske personer er begyndt at bruge personlige firewalls og Linux maskiner som firewall, er det blevet en udbredt misforståelse at det er en god ting at blokere ICMP pakker i sin firewall. Ikke nok med, at blokering af tilfælde dele af IP trafik på ingen måde forbedrer din sikkerhed, kan du også være ganske sikker på at visse netværksrelaterede ting holder op med at virke. ICMP bruges til mange ting, blandt andet til at sende fejl- og kontrolbeskeder relateret til IP og andre medlemmer af TCP/IP familien.

Myter om sikring af 802.11-agtige (trådløse) netværk

I de senere år er trådløse netværk blevet uhyggeligt populære, men desværre er det gået så hurtigt, at sikkerheden er blevet overset, og navnligt på trådløse netværk er det et problem, da det kan være svært at lokalisere den person i lejlighedskomplekset, som misbruger dine maskiner.

I nogle feberpaniske forsøg på at højne sikkerheden har nogen foreslået nogle tiltag, som i praksis ikke giver nogen forhøjelse af sikkerheden. Desværre er disse tiltag blevet brugt i markedsføring i nogle meget store medier, så disse falske myter er blevet almindeligt udbredte misforståelser. Nedenfor er en liste over disse myter, som alle har til fælles, at de ikke på nogen måde forbedrer sikkerheden i praksis:

  1. Filtrering af MAC-adresser
  2. Omdøbning af SSID
  3. Afbrydning af SSID-broadcast
  4. Reducering af signalstyrken
  5. WEP (alle nøglestørrelser)

Nedenfor følger en forklaring af, hvorfor disse er myter er falske.

Filtrering af MAC-adresser giver ingen sikkerhed i praksis, da det er trivielt at ændre den MAC-adresse, ens netkort bruger. Da MAC-adresser sendes ukrypteret på netværk, kan man blot sniffe på netværket for at finde en brugbar MAC-adresse.

Omdøbning af SSID eller afbrydning af SSID-broadcast giver heller ikke noget, da ligeledes SSID kan læses ukrypteret på netværk. Ved at lytte til andres kommunikation kan man derfor finde ud af, hvilket SSID man skal benytte.

Reducering af signalstyrken giver heller ikke højere sikkerhed, da det reelt kun gør det sværere at finde netværket, og når dette er sket, er sikkerhedsniveauet lige så lavt som med fuld signalstyrke. Med de rette antenner (der ikke behøver koste dyrt) kan man alligevel se signalerne fra netværket på 15 kilometers afstand.

Man ser mange, der sælger netkort til brug på trådløse netværk, hvor de reklamerer med sikker kommunikation på grund af understøttelse af WEP -- og allerhelst reklamerer de også med at understøtte meget store krypteringsnøgler. WEP giver heller ikke nogen sikkerhed i praksis, da der er en fundamental fejl i algoritmen, der gør det muligt at bestemme krypteringsnøglen efter at have observeret en givet mængde trafik på netværket. Den nøvendige trafikmængde er ganske lille, og en angriber kan fremprovokere den på under en time.

Med hensyn til WEP så hører det til at siges, at nogle producenter angiveligt (det påstår de i hvert fald) har rettet fejlen i deres implementation af WEP, men disse udgaver af WEP fungerer naturligvis ikke med rigtig (fejlbehæftet) WEP.

Så længe det hedder noget med WEP, kan du ikke være sikker, uanset hvad producenten skriver (han vil jo gerne sælge dig sin vare).

Lidt information om grc.com, ShieldsUp, etc.

Steve Gibson, grc.com, hans arbejde og holdninger er ret omdiskuterede. Man ser ofte, at fagfolk kritiserer hans aktiviter og lægfolk elsker hans arbejde fordi de ikke ved bedre.

ShieldsUp er blevet vist til ikke at virke korrekt og benytter desuden marketingsbegreb fremfor teknisk korrekte beskrivelser i dens vejledning af brugere. Hans forståelse af netværkssikkerhedsproblemer (og hvordan andre har løst dem) er i forbindelse med personlige firewalls, SYN cookies og DDoS blevet fundet yderst mangelfuldt.

Vi anbefaler at du studerer materialet på grcsucks.com inden du blindt tror på hvad du læser på grc.