It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Tagg: openbsd

Slutsatser av intrånget hos Formspring

Det sociala nätverket Formspring gick här om dagen ut med att de har haft intrång. Nätverket har flera miljoner användare men ”bara” omkring 420 000 hashar har gjorts publikt tillgängliga. Den publicerade listan innehåller enligt utsago bara hasharna och inte användarnamn eller mailadress. Hasharna, för övrigt, var saltade SHA256. Det finns några intressanta punkter i Formsprings blogginlägg.

Screenshot from Formspring's blog post on the breach.

(1) Det var inte offret själv som upptäckte intrånget, det var en användare som hittade dumpen på ett hackerforum och hörde av sig till Formspring. Vi har redan lärt oss av Verizons Data Breach Investigations Report att det är så i majoriteten av fallen (92 % under 2011): någon annan än offret upptäcker intrånget.

(2) Man hade förberett sig med möjligheten att tvinga till lösenordsbyte vid inloggning. Mycket effektivare än att be snällt. Om ett system inte har särskilda säkerhetsbehov så är sådan funktionalitet, att kunna tvinga byten efter t ex intrång, viktigare än att tvinga regelbundna byten.

(3) De är rätt förtegna om hur intrånget gick till tyvärr men som de skriver: någon bröt sig in i en utvecklinggsserver och lyckades använda den åtkomsten för att komma åt produktionsdatabasen. Det är så dataintrång går till; ofta krävs bara en, tillräckligt stor maska någonstans för att kunna riva upp hela mattan.

(4) Man är i begrepp att gå över till kraftiga lösenordshashar, OpenBSD-projektets Blowfish-baserade bcrypt (PostScript) med salt och stretching närmare bestämt. Bra val! För lösenordshashar gäller samma sak som för kryptering: designa inte dina egna algoritmer eller implementeringar.

(5) Formsprings snabba och relativt öppna hantering av intrånget leder också till att deras PR inte lider allt för svårt. Samma sak som gällde när WordPress hackades för något år sedan. Det här är en jätteviktig punkt, en läsvärd artikel på FastCompany diskuterade det här för någon månad sedan, The Top Mistakes Companies Make In Data Breaches:

  1. Failing to use peacetime wisely.
  2. Failing to respond with the speed stakeholders expect.
  3. Falling short of full transparency.
  4. Providing details before all the facts are known.

Jag är naturligtvis ett fan av att utnyttja fredstiden, eller, som en kapten sa under min GU: det tillfälliga läget av okrig.

OpenBSD

I hela min professionella karriär har jag kört Linux, samtidigt har jag dock alltid varit hemligt förälskad i OpenBSD.

Varför borde OpenBSD vara förstahandsvalet när du ska sätta upp en server? Det behövs knappast ett långt blogginlägg för att motivera varför OpenBSD borde övervägas först. Utan inbördes ordning:

  1. Enkelhet, kodmassan i OpenBSD är relativt liten.
  2. Granskning, koden i OpenBSD granskas regelbundet över tiden.
  3. Få uppdateringar, säkerhetspatchar kommer sällan och inför minimala förändringar.
  4. Säkerhetsfunktioner, man är tidig med generiska skydd som NX/XD, ASLR, stack cookies, alternativ till str*()-funktionerna o s v.
  5. Enkel dokumentation, stor vikt läggs vid manualerna.
  6. Strängt releaseschema, ny version varje halvår.

Det finns flera anledningar men mitt huvudargument är: OpenBSD utvecklas långsamt, man tar sällan stora teknologiska kliv. Det är förmodligen en av de större anledningarna till den goda säkerhetshistorian. Läs mer om projektets mål och deras säkerhetsfilosofi.

Problem som brukar tas upp med OpenBSD är höga inlärningskurvor, bökig patchhantering, att det är för få funktioner, att det saknas drivrutiner och att projektet, eller åtminstone ledaren Theo, beter sig som skitstövlar emellanåt. Det sistnämnda bekräftar de genom att strunta i vad andra tycker om bl a patchhantering.

Like it or not men jag har avsevärt större förtroende för säkerheten i OpenBSD än i något annat system. Tyvärr kommer det med en kostnad: det finns jättemånga som kan göra jättemånga saker med Windows, det finns ganska få personer som kan göra ett ganska begränsat antal saker med OpenBSD.

Det finns dock exempel på företag och organisationer som använder OpenBSD; CERT-SE (tidigare Sitic) föredrar t ex operativsystemet (gissningsvis till MSB:s förtret). Det finns även mer omfattande exempel:

As a regular user, when the IT staff starts migrating your Windows XP workstation to Windows 7, it is very traumatic! But, you accept it because everyone else in the world is more or less doing the same. But imagine if you had to migrate from Windows XP to Mac OS X! Ok you can also accept it because, well you own an iPod like everyone else, so Apple is known to you.

But the real challenge comes from migrating users from a >10 years habit of using Windows and MS Office to an OpenBSD GNOME Desktop with Libre/Openoffice without impacting their daily work, aka production, aka company revenue.