Månad: oktober 2019

10 oktober, 2019

Är paranoia ett krav i branschen?

Du till vänster och dem till höger. Eller är det tvärtom?

Svaret är: det är det inte. Men man kan ju undra med tanke på vilket negativt tankesätt som krävs för att kunna jobba med IT-säkerhet ibland. Förutsätt att alla hackare är ute efter just ditt nätverk. Förutsätt att det alltid är någon som hittar på en helt ny attack som du snart måste förstå för att kunna skydda dig själv, dina kunder eller ditt jobbs nätverk.

Är du på det ”blåa laget” (försvarare), måste du förstå allt som finns med nätverksdesign, säkerhet på djupet och alla principer och regler som kommer med ditt jobb.

Är du på det ”röda laget” (pentestare/red team/white hats) gäller det att lära dig hur man hackar med de senaste attackerna, förstår hur nya teknologier kan knäckas och hur du tar dig in när allting samtidigt säkras upp med nya versioner.

Blir det bättre eller sämre? I min åsikt, både och. Vi blir allt bättre på vad vi håller på med och samtidigt blir våra motståndare bättre och får allt större budgetar. Länder som knappt verkar kunna ha elektricitet för att driva glödlampor i varje hem, genererar superkompetenta hackergrupper som snabbt får internationellt renomé.

Detta inlägg samlar ihop flera andra diskussioner vi har haft tidigare. Att man alltid måste lära nytt, att allting förändras kaotiskt, att ingenting kan antas och att man aldrig får sluta bygga på sin säkerhet.

Om du inte har fattat det än – du arbetar i en av de mest kaotiska branscherna som finns.

2 oktober, 2019

Hjärnan mot maskinen

… eller varför ”hacka nu”-knappen inte finns.

Tryck på den om du vågar… Den startar bara ett omfattande säkerhetstest mot alla nätverk den kan hitta. Vad kan gå fel?

Jag hade inget bättre för mig en kväll och bestämde mig för att ta reda på vad för funktioner som fanns i betalversionen av säkerhetstestverktyget ”Metasploit”. Det kostade närmare 150 000 kronor att köpa in, eller så fick man nöja sig med en gratisversion som saknade de automatiserade delarna. Dessa som skulle göra ett penetrationstest så enkelt så att vem som helst kunde göra det.

Och det fanns en guide som lät dig sätta upp ett penetrationstest och låta programmet göra resten. Givetvis provade jag det och insåg till min stora fasa vad det var den i själva verket gjorde. Detta automatiska test gissade vad maskinerna som den testade hade för programvaror och började sedan oblygt att bombardera dem med alla attacker som eventuellt skulle kunna passa. Den gissade hejvilt och testade sårbarheter som tillhörde programvaror som slutat tillverkas för 15 år sedan, programvaror som skulle kunna installeras på tjänsten men garanterat inte fanns där och i princip allt som skulle kunna kopplas på ett nätverk. Detta blev många hundra tester totalt. Allt gjordes i ett vansinnigt tempo. Nu gjorde jag detta på mitt eget hemnätverk, men hade jag gjort detta hos en kund hade varenda larmklocka som fanns i form av nätövervakning skrikit i högan sky. Larmloggarna hade varit knallröda och kunden hade märkligt nog varit nöjda med detta. Det är en udda observation: ibland undrar kunder varför de inte sett mer av attackerna i sina övervakningssystem. Svaret är: för att vi gör dem rätt! Och rätt är att lägga tankeverksamhet bakom testerna. Att metodiskt testa efter ett schema och observera vad man får tillbaka. Att förstå hur något man får tillbaka kan vara intressant att testa vidare och hur andra svar inte visar på någonting som verkar gå att hacka.

Där är skillnaden mellan automatiserade program som ser utan att observera och en tänkande människa som avgör vad som går att använda.

Så uppenbarligen går det inte att bygga en testprogramvara som gör allt åt en. Inte just nu i alla fall. Som jag sa i ett poddavsnitt nyligen: det kanske blir av när man uppfunnit starkt AI. För att klargöra: detta lär inte hända under min generations livslängd.

En annan sak man måste förstå är att maskiner saknar gränser om den som använder dem inte vet sina. Jag var en gång ute och presenterade resultatet av ett säkerhetstest och kunden sa att de var förvånade över att jag inte rapporterat samma resultat som alla andra av deras testare hade gjort. När jag hörde det, blev jag alldeles kall. Hade jag missat något? Kunden radade upp ett antal sårbarheter som jag inte rapporterat. Mitt svar var att jag inte ombetts att testa den delen av systemet där dessa sårbarheter hittats. Kundens svar var att jag var den enda av testarna som hade förstått att inte attackera mål de inte hade fått i uppdrag att testa. Så … jag hade alltså gjort helt rätt i detta fall. De andra som hyrts in att testa samma tjänster hade glatt gått lös på närliggande delar av systemet och detta sågs givetvis som någonting negativt.

Så vad betyder detta? Svaret är att det att allt säkerhetsarbete kan stödjas och BÖR stödjas av program och testmetoder, men det måste ske på ett sådant sätt att det leds av en eller flera tänkande individer som använder tanken som sitt främsta vapen.

”I am a brain, Watson. The rest of me is a mere appendix.”
― Sherlock Holmes, The Adventure of the Mazarin Stone

Och vet var gränserna går! Säkerhetstestare som överskrider sina tillvägagångsregler kan hamna i domstol. Jag skämtar inte. Det är helt sant.

Scroll to top