It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Month: december, 2010

Sammanfattning av Gawker-hacket

Bloggkonglomeratet Gawker Media hackades den 11 december och strax över en miljon användarnamn och lösenord hamnade på diverse torrent-trackers. Joseph Bonneau i säkerhetslabbet på Cambridge har skrivit en bra sammanfattning av vad som har kommit ut hittills; The Gawker hack: how a million passwords were lost.

Jag har sagt det tidigare, med tanke på hur sällan information om angrepp ”kommer ut” tycker jag att man ska ta varje chans att lära sig från andras misstag.


Stefan Pettersson

Annonser

Värmesystem på webben

Omkring 800 lägenheter hos fastighetsägaren Platen i Motala fick inomhustempraturen sänkt för några dagar sedan. Det visade sig att det var någon utomstående som gjort det. Det visade sig att det var via ett administrationsgränssnitt för något av SRÖ-systemen (styr, regler, övervakning) som låg öppet på webben. Blott ett lösenord bort.

Jag har refererat till artikeln i AffNyheter tidigare men jag har svårt att se hur den kan bli mer aktuell (PDF). Den har snart två år på nacken men budskapet blir bara mer aktuellt: fastigheter får allt fler tekniska system, dessa system blir allt mer IT-fierade, detta ökar risken för angrepp.



Stefan Pettersson

Är nätverket en knarkarkvart?

Update @ 2010-12-16: förre stridsparskamraten Carl-Johan Bostorp som skrev på den här bloggen tidigare har ett synnerligen skarpt svar på varför nätverken är kvartar. Det grundläggande resonemanget (som jag instämmer med helt) är inget han har snytit fram nyligen utan är något han hävdat länge.

I somras skrev jag om disciplin och säkerhet; att disciplin är bra för säkerheten i nätverket och att det annars kan bli en knarkarkvart:

Med disciplin kan du lita på vilket tillstånd ditt nätverk befinner sig i. Utan disciplin kommer ditt nätverk att bli en knarkarkvart med tiden.

Intressant nog så är det svårt att upptäcka att nätverket är en knarkarkvart. Hade det gällt för kontorslandskapet skulle det ha upptäcks omedelbart så fort besökare kommer. Förhoppningsvis kan vi återkomma till det här.

Jag avser nu återkomma till det här med tre övergripande frågor. Vad är en knarkarkvart? Vad skiljer kontorsnätverk från kontorslokaler? Hur vet jag att kontorsnätverket är en knarkarkvart?

Vad är en knarkarkvart?
För er som inte har sett en knarkarkvart (den vanliga sorten) förut kan jag informera om att de generellt:

  • innehåller alldeles för många prylar,
  • har många prylar som är gamla, trasiga och allmänt äckliga,
  • blandar prylar som används med prylar som inte används,
  • inte är särskilt bra i var-är-den-där-prylen-nu-igen-avseendet,
  • har samma egenskap gällande vems-är-den-här-prylen och
  • inte direkt framhäver händelserna prylar-försvinner eller prylar-dyker-upp.

Det är en svinstia helt enkelt; prylar försvinner, tillkommer, går sönder, stjäls och glöms bort. Man kanske inte ens märker något. Det hela blir inte bättre i och med att det kan vara många människor som bor i kvarten samtidigt och att de med väldigt liten sannolikhet har städdagar eller planeringsmöten regelbundet.

Vad skiljer kontorsnätverk från kontorslokaler?
Skillnaden mot nätverk är ganska enkel, det handlar om synlighet. Den rumsliga knarkarkvarten är uppenbar, man ser direkt att ett rum är en knarkarkvart medan ett nätverk inte syns alls om man inte aktivt tittar. Man kan ha en hur ljus, öppen och inspirerande kontorsmiljö som helst medan nätverket är en svinstia. Se kontorsnätverket som det parallella, osynliga kontoret. Det här medför det naturliga problemet att IT-ansvariga kan ”komma undan” med att driva en knarkarkvart på ett helt annat sätt än en vaktmästare.

Det där var egentligen knäckfrågan men det hade varit lite snopet att sluta där.

Hur vet jag att kontorsnätverket är en knarkarkvart?
För humorns skull vill jag illustrera detta med exempel. Ditt nätverk kan vara en knarkarkvart om:

  • Det finns fler administratörskonton i domänen än det finns administratörer varav de flesta inte går att förklara.
  • När du pingar hela subnätet får du fler svar än det finns servrar på nätverksskissen.
  • …det är oklart vem som ritade nätverksskissen.
  • …och när.
  • Ditt nätverk är stort… och platt.
  • Att hitta en arbetsstation som svarar på ping tar en halvdag.
  • …trots att den stod på skrivbordet bredvid.
  • Du litar mer på väggens klocka än på filserverns.
  • Det finns tre olika OU:n för konsulter i Active Directory.
  • …alla tre används av olika personer i samma syfte.
  • Receptionisten är domänadministratör.
  • Du följde en guide för att sätta upp MySQL på CentOS och det fungerar. Du har ingen aning om vad du har gjort.
  • Du har en server som sköter sitt jobb men det går inte att logga på den för lösenordet är borta.
  • …hårddiskarna på den har börjat surra.
  • Du upptäcker att både telefoni- och skrivarservern som sattes upp av leverantören båda har administratörslösenordet ”123456”.
  • …samma leverantör har installerat Sharepoint-intranätet och den publika webbservern.
  • Du har ett särskilt nätverk för servrar men eftersom klientnätet blev för litet så sitter ett gäng användare på servernätet.
  • Personen som du trodde var den som hade kontroll på skrivarna kommer in och frågar dig om skrivarna.
  • Du får reda på att HR har köpt in ett nytt system som kör på Solaris.
  • …du kan inte Solaris och inte HR heller.
  • …systemet köptes in för lite mer än ett år sedan.

Slutsatser
Vissa skulle säga att jag lägger för mycket i ”drift”-korgen här och vill också ha med ord som arkitektur, förvaltning, utveckling, avveckling o s v. De kanske har rätt men jag ser det helt enkelt som att; har man hand om ”det dagliga” över tiden så sysslar man med drift. That’s it.

Drift är osexigt men ur säkerhetssynpunkt är det så mycket viktigare med ”det dagliga” än implementeringsdetaljer i webbapplikationer. Det värsta med det hela är att det inte är raketkirurgi; alla vet att det är viktigt med ordning och reda, alla vet att det inte är bra att receptionisten har sådana rättigheter, alla vet att ”123456” är världens sämsta lösenord, alla vet att det är farligt att inte förstå sig på sina system. Det är inga nyheter.

Varför det, trots detta, finns så många knarkarkvartar törs jag inte svara på. Lathet? Ignorance? Brist på incitament? Inga resurser? Ingen makt?


Stefan Pettersson

Rekrytering: tio utvecklare

Vårt systerföretag High Performance Software Development har kanske inte det mest catchiga namnet men just nu är de ute efter ett gäng utvecklare, tio stycken närmare bestämt:

Du är van att arbeta i en icke objektorienterad miljö och – framför allt du tycker att det skall bli roligt att lära dig utveckla i en helt ny operativsystemsmiljö.

Ditt första uppdrag blir att genomgå en utbildning i operativsystemet OpenVMS, systemanrop, programmering, banksystem- och bankkunskap. Kursen är på heltid i tre månader och du har lön under tiden.

Så, ta chansen att sänka medelåldern på världens OpenVMS-utvecklare. 🙂


Stefan Pettersson

Osexig drift på Google

Computer Swedens krönikör Pia Plopp skrev på morgonen att drift är osexigt och att IT bara ska funka:

Vår driftleverantörs fokus ligger på att med så liten ansträngning som möjligt hålla oss flytande. Incitamentet att utveckla plattformen finns inte, företaget mäts bara mot ett tandlöst servicenivåavtal kopplat till upptider. Som beställare saknar jag insyn i deras arbete och de kan avfärda mig på samma sätt som it-avdelningen kunde avfärda alla för sisådär 20 år sedan.

Jag håller med henne helt och hållet, känner igen det från flertalet kunder och bekanta. Dock är jag lätt irriterad över att hon direkt körde över mig totalt på Google…


Ett bra och relaterat inlägg är Stop Killing Innovation av Richard Bejtlich.


Stefan Pettersson

Rick Rescorla

Det tråkiga med att arbeta med säkerhet är att det är lite action på riktigt. Även om intrång är vanligare än de flesta tror så är det forfarande relativt ovanligt. Det handlar huvudsakligen (förhoppningsvis) om rutiner och förberedelser. Dessutom, ju hårdare du jobbar i den gråa vardagen, desto mindre chans är det att det blir ”allvar”.

Soldater har en liknande situation. Boken Bravo Two Zero, om en grupp från brittiska specialförbandet SAS som ska sabotera kommunikationsledningar i Irak under Gulfkriget,  inleds med ”Every soldier hopes for a major war in his lifetime. This one was mine.”

Som bekant förespråkar jag övning.

Rick Rescorla var sedan i början av 90-talet säkerhetschef på Morgan Stanley. Morgan Stanley har länge varit en av de största hyresgästerna i World Trade Center och Rescorla hade under 1992 påpekat för WTC-ägarna att säkerheten i garaget borde skärpas. Ett exempel på en attack som Rescorla föreslog var att köra in och detonera en bil med sprängämnen. Den 26 februari 1993 hände just detta. Sex personer omkom och något tusental skadades.

Vid evakueringen 1993 tyckte Rescorla att det gick för långsamt och efter att förslag om att byta kontorsbyggnad hade nekats från ledningen införde han regelbundna, oförberedda utrymningsövningar. Man kan enkelt tänka sig att det knorrades en hel del varje gång 3 000 personer fick släppa allt, ställa upp i korridoren och gå ner för trapporna två och två, påhejade av en säkerhetschef med tidtagarur och megafon.

Många av de anställda på Morgan Stanley slussar en hel del pengar under en arbetsdag så det handlar inte om några billiga övningar. IT-avdelningen var nog inte heller särskilt förtjusta över att backupbanden skulle förvaras i en annan byggnad på andra sidan bukten.

Rescorla såg det första planet träffa det andra tornet från sitt kontor på morgonen den 11 september 2001. Morgan Stanleys anställda var alltjämt informerade om att de inte skulle lyssna till vad hyresvärden sade åt dem i sådana här situationer (de uppmanade alla att stanna) och började på Rescorlas initiativ utrymma byggnaden. Precis som vanligt. Den här gången ljöd nationalsången och gamla, brittiska soldatvisor från säkerhetschefens megafon under evakueringen.

Omkring 15 minuter senare, när det andra planet träffade den byggnad som Morgan Stanley fanns i, var majoriteten av deras 2 700 anställda, och några hundra besökare som råkade vara där, ute ur byggnaden. Recorla och tre av hans assistenter gick åter in i byggnaden för att fortsätta evakueringsarbetet.

Beroende på vilken källa man väljer att lita på så förlorade Morgan Stanley sex eller tretton av sina medarbetare den 11 september. Fyra av dem var Rescorla och hans tre assistenter.

Från artikeln A Survival Guide to Catastrophe i Time:

Between songs, Rescorla called his wife. ”Stop crying,” he said. ”I have to get these people out safely. If something should happen to me, I want you to know I’ve never been happier. You made my life.” Moments later, he had successfully evacuated the vast majority of Morgan Stanley employees. Then he turned around. He was last seen on the 10th floor, heading upward, shortly before the tower collapsed. His remains have never been found.

Hollywood-aktigt? Ja, definitivt. Rescorla lämnade två barn efter sig och var dessutom dekorerad veteran från Vietnamkriget. Det är sånt här det görs filmer om. Riktigheten i informationen om sådana här sensationella historier ofta väldigt skakig så man ska ta det med en nypa salt.

Faktum kvarstår, i säkerhetsbranschen är det sällan allvar men det kan vända väldigt snabbt. Kommer man att ha kontrollen och rutinen som krävs för att hantera det? Det är en viktig fråga oavsett om ett flygplan plötsligt krashar in i byggnaden bredvid dig eller om en kollega kommer in och frågar om du har skapat ett konto med namnet x_marty på den viktiga servern.


Stefan Pettersson

Säkerhetsrisker i Adobe – återkallar programvaror

Totalt gäller Adobes återkallning fyra av tillverkarens programvaror. Anledningarna är en rad fel som kan innebära säkerhetsrisker, skriver Dagens Industri.

Programvarorna började återkallas i måndags. Adobe och samriskbolaget meddelar på sin hemsida att man återkallar totalt 18 848 installationer.

Totalt gäller det säkerhetsbrister i fyra av tillverkarens program:

– Adobe Flash 10.1.102.63 kontrollerar inte längden på indata från…

…nä, inte riktigt. Det handlar egentligen om säkerhetsrisker i några av Volvos bilar. Artikeln från DagensPS.se heter Säkerhetsrisker i Volvo – återkallar 4 bilmodeller. Tänk om det hade varit likadant i vår bransch?


Stefan Pettersson