”Man ska driva IT utan att vara någon form av IT-fascister” tyckte min dåvarande kollega, som kastats ut från vår IT-avdelning eftersom han aldrig gjorde något. Sagde kollega var mycket villig att hjälpa till att skruva upp ens Whiteboard, men kunde tre veckor efter att han börjat inte anse att han var redo att ta tag i arbetsuppgifterna. På detta ställe, som det är så länge sedan jag jobbade på att det nog är preskriberat, blev man inte sparkad med mindre än att man skruvade ner armaturen och försökte sälja den. Så han fick bli någon form av hjälpreda i hopp om att pensionen snart skulle stunda.

Bitter på att inte längre få vara domänadmin, en behörighet han gärna gav bort till andra vanliga användare tills jag kom på honom, startade han sedermera sin egen ”skugg-IT” som en form av gerillaverksamhet. Denna var beskaffad så att han var IT-chef, systemadministratör, nätverkstekniker och möjligen också bödel. Han pratade vitt och brett om att ”IT inte fungerade” och implicerade att vi andra på IT-avdelningen, som sagt, var ”IT-fascister”. Han startade sin egen vidöppna filserver med sin egen dator och en Windows-utdelning och lät folk spara filer där eftersom ”backuperna ändå aldrig fungerar”. Hur han själv skulle backa upp dem hade han ingen plan för. Dessutom var han ofta förbannad på mig som var lokal IT-chef och fick ta emot hans tirader. Vi hade en skrivare och den, röstades det fram av de som satt på hans våningsplan, skulle skriva ut på båda sidorna. Det tyckte inte han, och att man kan ändra den inställningen själv visste han inte. Så han bombarderade mig med gliringar och stod och stirrade ner mig när jag satt i mitt arbetsrum. Detta pågick tills jag blev rödglödgat förbannad och sa en del mindre väl vald ord till honom. Efter det lugnade han ner sig och nöjde sig med att bara muttra lite ibland.

Innan dess hade vi en praktikant som uppskattade att vi hade en fast Internetlina som han sa till mig att han ”testade hur bra den höll”. Detta gjorde han inför mig och vår nätverksadministratör som verkade mindre imponerad. Testningen gick till på så sätt att han satt och råtankade och delade filer på Napster, som var den stora ”killerappen” för dagen. Den var ju Internets variant av ”fem-fingers-rabatt”.

De användare som hade möjlighet, det vill säga ALLA, krävde att få vara lokala administratörer på sina Windows NT- och 2000-burkar. På grund av flathet från ledningen fick de vara det.

Men nu ska vi givetvis inte bara gnälla på Windows-användarna. En användare satte upp SMB-filesharing på sin Red hat Linux och hade konfigurerat masterbrowsern på att publicera en tom lista på filservrar till hela nätet. Han kunde inte nå företagets lokala filservrar…. det kunde ingen annan på kontoret heller.

När vi övervakade nätverket såg vi att två datorer hade det ökända spionprogrammet ”Netbus” installerat. De datorerna stod bredvid varandra. Lätt att gissa anledningen, men om du inte gjort det, här är den: bordsgrannarna hade installerat programmet på varandras datorer för att leka med det.

En dag skulle jag visa för en gäst hur man kunde spåra på problem på nätet. Vi stod i ett korskopplingsrum och en av portarna på en switch blinkade med en enorm hastighet. Jag knatade till den användaren som porten gick till och förklaringen var den film han satt och laddade ner från någon piratsida. Han lovade att sluta så fort den var nedladdad. Men helst inte före det.

En gång drabbades vi faktiskt. Det var ”I love you”-viruset som kom på besök. Vår hemsida kördes på en Windows server och web redaktörerna hade hela sidan mappad som en enhetsbokstav i sina Windows-klienter. Det slutade med att tusentals bilder försvann från webben. Vad lärde vi oss av det… Inte mycket…

Denna cirkus pågick fram tills vi började gå igenom en utsäljnings- och uppstyckningskarusell och därefter började ju IT-marknaden att mogna. När man tittar tillbaka på det hela inser man att säkerheten nog var sådär på de flesta ställen. Alla var lokala administratörer, alla IT-människor var domän admins och det fanns inga hinder för vad man fick sätta upp och koppla in på nätet. Dessutom surfade folk till alla sidor de kunde komma på och satte upp fildelningstjänster som kördes på deras maskiner som lokala admins. Att ingenting värre hände berodde på att, som Marcus Murray säger, ondskan inte ännu hade mognat. Alla elaka hackers hölls bort av den stora brandväggen. Det var på den tiden det räckte. Längtar jag tillbaka? Nej, aldrig. Mina gråa hår är på väg och jag behöver inte flera.

• 0 comments

Den reformerade hackern Michael Calce, också känd som Mafia boy, hade en del att säga om att ”tänka utanför boxen”. Han menade att det finns två sorters människor, de som tänker innanför boxen och de som tänker utanför den. Men han sa också att för en hacker är det inte ens så; där finns det ingen box. Detta tankesätt säger det mesta du behöver veta om hacking och hackers.

Man kan alltså alltid göra saker på sådana sätt som bryter mot reglerna om hur allting måste fungera och vinna stora segrar.

Tänk dig att ett jaktflygplan sänder ut en signal, så att det flygvapen som äger planet vet att det inte är fientligt. Detta är gjort på ett mycket säkert sätt, och verkar inte kunna hackas. Kommunikationen sker mellan plan och flygledning och mellan flygledning och plan. En säkerhetsexpert kanske säger att allt som behövs för att kunna säkerställa att ingen kan knäcka krypteringen i systemet och utge sig för att vara ett vänligt inställt flyg är gjort. Men en hackare tänker längre än så. Denna hackare ser framför sig ett fientligt flygplan som tar emot signaler från flygledningen och vidarbefordrar det till första bästa av deras egna plan. Sedan tar det fientliga planet emot svaret och skickar det vidare till flygledningen. De ser ett plan på sin radar och får radiokommunikation om att det är ett av deras egna, vilket inte stämmer. Hackaren här har förstått att signalen inte anger det riktiga planets position och det därför inte går att säkerställa att källan för signalen är det plan man egentligen pratar med. En säkerhetsdesigner har nog valt detta sätt att arbeta på för att inte röja planets position om fienden skulle kunna dekryptera signalen. Ett väldigt talande exempel om skillnaden hur säkerhetsspecialister och hackare tänker. Detta har märkligt nog hänt på riktigt och beskrivs i en av de många säkerhetsböcker jag läst genom åren.

Det finns hur många exempel som helst där man ser hur saker används på förbryllande sätt för att kunna göra intrång eller läcka information. En IDLE-scan är något som visar på detta. Om man avsöker ett nät, kan den du gör det mot se vad du håller på med. Detta kan avslöja dig som hackare. Låt oss istället säga att du hittar ett annat system som är väldigt inaktivt. Du kan då förfalska din traffik så den ser ut som den kommer detta system. Svaret på om portar är öppna eller inte skickas då felaktigt till detta system istället för till dig som attackerare, vilket påverkar det. När du sedan pratar med det inaktiva systemet kan du se på hur TCP-protokollets segmentsnummer ändras i kommunikationen och avgöra om det system du i smyg avsöker har portar öppna eller inte. Att komma på att man kan göra något sånt här för att dölja sin egen identitet är genialiskt och kräver ett mycket kreativt sinne.

Det är något av en kliché vid det här laget: men du måste tänka som en hackare och inte som en försvarare när du bygger säkerhet i verkligheten. Allting kan missbrukas och en attackerare behöver bara en väg in för att lyckas. Så det kan se ganska orättvist ut, och det är precis vad det är. Det får vi alla som är i denna svängen leva med.

• 0 comments

Dags att ta oss tillbaka till 2011, när jag skrev en lite magsur kommentar riktad till alla systemadministratörer som lade in massor av program på servrarna och körde dem därifrån istället för att använda fjärrverktyg som man ju ska. Detta gäller främst Windows-administratörer, men även slarviga Linux-administratörer som kör X-Windows på servrarna (varför??) och sköter dem lokalt. Texten är på Engelska.

It’s a server, dammit!

The days of Nimda, Blaster and Sasser are long gone and good riddance to them. Don’t get me wrong, there have been many worm attacks since and there will be more of them in the future. It’s just that worms spreading from system to system have joined the back of the queue. Old system administrators like me fondly (not really) remember running with CD-roms trying to disinfect PCs after pulling the plug on the network. Last time I had to do that was somewhere around 2002 or maybe it was 2003.

A few years later I was dumbfounded when vulnerabilities came out that could be used by worms and no wide-spread attacks ever appeared. If you take a look at the exploits being used on the Internet you might see a pattern emerging: more and more of the attacks mix types. That is, they use more than one attack vector and often combine different kinds of exploits. The reason is probably two-fold: better security defaults on servers and the need of a flexible approach to circumvent security. The first one is simply that products are better secured out of the box with less attack surface. Most operating systems either firewall listening ports or don’t have any open ports when installed. Services are better secured out of the box as well. The mixed approach simply means that ”modern” attack code exploit vulnerabilities in conjunction with other vulnerabilities and also tries to avoid the most obvious network attacks. An all out ”scan and attack everything you see on the network” is likely to be thwarted by firewalls on the hosts and intrusion detection systems. Remember the download.ject-attack? It exploited a vulnerability in Microsoft IIS to plant exploit code that attacked any un-patched clients surfing to the infected web server. That was frightening back in 2004. 1] But today that’s a pretty common way for an exploit to work. By exploit I mean a program that uses one or many vulnerabilities to attack one or many systems. What it does with exploited systems and how it gets there defines what it should be called, but terms like ”virus”, ”worm”, ”backdoor” or ”malware” are sometimes too precise. Real exploits have blurred the lines between those terms for a long time now.

But this is really nothing new; those mixed attacks have ”evolved” from simple things like worms scanning for open ports to ”morphs” that use different approached to ”attack the desktop rather than system”. The most obvious attack vector nowadays is through a web browser and that has been the truth for many years now. All browsers I know of have had a number of vulnerabilities and the ways most of them use plug-ins aren’t helping either. So long story short: a server that often have people logged on at the console is a more ”juicy” target than one that is administered remotely. And don’t think ”Remote Desktop” or ”Terminal Services” won’t count, they do! Whether you connect to a server with RDP, a shell over SSH or actually sit on the console doesn’t matter that much. There is some confusion with the nomenclature when it comes to logons, so let me sort them out. In Windows, when you logon to the desktop, it counts as an ”interactive logon” regardless if you do it locally, over remote desktop or over remote desktop in console mode. In contrast: access to a Windows server through, let’s say, a web service counts as a network logon and will not give you a desktop. This is quite a bit of an oversimplification, I know.

Citrix and terminal servers pretty much have to allow interactive logons or they wouldn’t work, but way too often people logon to normal production servers interactively. And it gets worse, many administrators I have known (including me at times) like using the servers as extended desktops.

The solution is easy but painful:

• Don’t allow the server network to access the Internet unless needed. And if so, only to selected sites or services.
• Don’t administer the server from itself on a day-to-day basis. Remote administration is preferable.
• Logout when you’re done.
• Don’t surf to the Internet from any server unless it’s a part of its operation.
• Don’t leave a pile of unorganized scripts and programs strewn all over the server.
• Don’t install software that is meant to be used on a workstation.
• Respect network flow rules and network zones!

Those tips are just meant to foster a more secure approach towards administration of servers. There are many best practices and processes that should be implemented. So in short: treat your server as a workstation and it shall be attacked like a workstation.

1] http://en.wikipedia.org/wiki/Download.ject

• 0 comments