Ole.Tange.dk - Crackerne går efter klienterne

Crackerne går efter klienterne

Ca. 809 ord.

Af Specialkonsulent Ole Tange, UNI-C

Datasikkerheden på serversiden er ved at blive for god. Crackerne prøver derfor at finde nye måder at få adgang. De går nu efter klient-siden.

Selvom systemadministratoren er nok så dygtig til at sikre sine servere, giver crackerne ikke op af den grund. Crackerne går altid efter det svageste led i sikkerheden, og når det ikke længere er serveren, går de efter klienten.

Problemet er som sådant ikke nyt. Det nye er at crackerne i større omfang udnytter hullerne. Det, der tidligere bare var skrækscenarier, er pludselig blevet til en nærværende og reel trussel.

Social Engineering

Et af de aller simpleste angreb er social engineering, Det er, hvor crackeren ringer til en bruger og udgiver sig for at være systemkonsulent. I større organisationer har brugerne ikke kendskab til alle eksterne konsulenter, og de har ofte ubegrænset tillid til konsulenter. Derfor kan crackeren nemt få oplysninger (f.eks brugernavn og adgangskode) fra brugeren.

Angrebet kan naturligvis kun lykkes, hvis brugerne ikke har basalt kendskab til EDB-sikkerhed.

Log brugeren

En afart af social engineering er et mand-i-midten-angreb. Det kan gøres ved at give brugeren en kopi af et kendt login-billede. Når brugeren har afgivet brugernavn/adgangskode informationer, sendes oplysningerne til crackeren, men gives samtidigt videre til den retmæssige modtager. Svaret fra modtageren gives til brugeren. Brugeren kan altså ikke se nogen forskel, og alt fungerer normalt.

Er der tale om WWW-trafik, kan det falske login-billede laves med en falsk web-server. Er der tale om login på lokanetværket, kan det lave med en trojansk hest, der installeres på brugerens PC. Angrebet er svært at afværge, idet brugeren ikke har mulighed for at fatte mistanke. Heldigvis kan angrebet kun udføres, hvis flere betingelser er opfyldt: At der sendes login-data til en web-server, eller der er blevet installeret en trojansk hest på PC'en.

Download ved et uheld

Trojanske heste behøver crackeren naturligvis ikke selv at skulle installere. Med udbredelsen af Internettet kan crackeren få brugeren til at gøre arbejdet for sig. Problematikken ligner virusproblematikken til forveksling. Der findes blot ikke en analog til viruskiller.

Crackeren kan lave en webside, som kun kan ses med Java eller ActiveX (aktivt indhold). På siden er der noget uskyldigt aktivt indhold, der får siden til at se smart ud, men derudover er der en trojansk hest. Da brugeren ønsker at se siden, slår han naturligvis Java/ActiveX til, hvorefter siden og den trojanske hest hentes og installeres.

I større organisationer har man garderet sig mod dette ved kun at tillade e-mail. Desværre er e-mail ikke ufarligt.

Crackeren kan udsende e-mails med falsk afsenderadresse indeholdende et vedhæftet program. I de fleste mailprogrammer kræver det en aktiv handling fra brugeren for at aktivere den vedhæftede fil, men nogle åbner automatisk vedhæftede filer (heriblandt versioner af Microsoft Outlook).

Angrebet er svært at afværge, uden at begrænse brugernes muligheder. Man kan afhjælpe problemet, hvis brugerne vænner sig til at slå Java/ActiveX fra og kun slår det til på udvalgte, godkendte sider. Brugerne skal også vænnes til ikke hovedløst at aktivere vedhæftede filer, hvadenten det er dokumenter eller vedhæftede programmer.

Aflytning fra tastaturet

I stedet for en falsk login-skærm kunne crackerens trojanske hest indeholde en tastatur-logger. Tastatur-loggeren gemmer alle tastetryk og sender med mellemrum disse videre til crackeren. Selvom crackeren ikke kan se skærmen, kan han ofte blot ud fra det skrevne gætte sig til brugernavn og adgangskode.

Angrebet er svært at opdage: Man mærker ikke nogen forskel blot fordi ens tastetryk bliver aflyttet.

Aflytning fra netværk

Crackeren kunne også gemme en sniffer i den trojanske hest. Læs mere om sniffing [Læs mere om sniffing]

Fluepapir

En manøvre, vi endnu ikke har set i praksis, er fluepapir-angrebet. Angrebet består af en 3-trinsraket.

Første trin er at få installeret en sniffer på netværket. Installationen kan foregå på samme måde som den trojanske hest.

Derefter udvælger man sig en netværksenhed, som man gerne vil overtage (f.eks en router). Når enheden er valgt, prøver man at tvinge administratoren til at logge ind på enheden via netværket. Typisk vil administratoren sjældent logge sig ind på en router, men hvis routeren pludselig begynder at opføre sig underligt og reboote med jævne mellemrum, er det sandsynligt, at administratoren logger ind. Og med små, simple programmer fra nettet kan man let lave gentagne denial-of-service angreb mod routeren, hvorved routeren holder op med at virke eller rebooter.

I sidste trin sniffer man administratorens adgangskode, hvorefter man overtager routeren. Angrebet er forholdsvis komplekst at gennemføre, hvilket sikkert er grunde til, at vi endnu ikke har set den type angreb.

Grund til bekymring

Selvom man har sikret ens servere, er der således ingen grund til at hvile på laurbærrene. Brugerne skal føle sig som en del af Edb-sikkerheden, ellers vil de være den næste adgangsport for crackere.

Sidst ændret Sun Apr 21 17:32:13 2002




f i r m a e t support foredrag andet p e r s o n e n cv portrætter s a g e r spamsagen linux links k o n t a k t kontakt		Crackerne går efter klienterne Ca. 809 ord. Af Specialkonsulent Ole Tange, UNI-C Datasikkerheden på serversiden er ved at blive for god. Crackerne prøver derfor at finde nye måder at få adgang. De går nu efter klient-siden. Selvom systemadministratoren er nok så dygtig til at sikre sine servere, giver crackerne ikke op af den grund. Crackerne går altid efter det svageste led i sikkerheden, og når det ikke længere er serveren, går de efter klienten. Problemet er som sådant ikke nyt. Det nye er at crackerne i større omfang udnytter hullerne. Det, der tidligere bare var skrækscenarier, er pludselig blevet til en nærværende og reel trussel. Social Engineering Et af de aller simpleste angreb er social engineering, Det er, hvor crackeren ringer til en bruger og udgiver sig for at være systemkonsulent. I større organisationer har brugerne ikke kendskab til alle eksterne konsulenter, og de har ofte ubegrænset tillid til konsulenter. Derfor kan crackeren nemt få oplysninger (f.eks brugernavn og adgangskode) fra brugeren. Angrebet kan naturligvis kun lykkes, hvis brugerne ikke har basalt kendskab til EDB-sikkerhed. Log brugeren En afart af social engineering er et mand-i-midten-angreb. Det kan gøres ved at give brugeren en kopi af et kendt login-billede. Når brugeren har afgivet brugernavn/adgangskode informationer, sendes oplysningerne til crackeren, men gives samtidigt videre til den retmæssige modtager. Svaret fra modtageren gives til brugeren. Brugeren kan altså ikke se nogen forskel, og alt fungerer normalt. Er der tale om WWW-trafik, kan det falske login-billede laves med en falsk web-server. Er der tale om login på lokanetværket, kan det lave med en trojansk hest, der installeres på brugerens PC. Angrebet er svært at afværge, idet brugeren ikke har mulighed for at fatte mistanke. Heldigvis kan angrebet kun udføres, hvis flere betingelser er opfyldt: At der sendes login-data til en web-server, eller der er blevet installeret en trojansk hest på PC'en. Download ved et uheld Trojanske heste behøver crackeren naturligvis ikke selv at skulle installere. Med udbredelsen af Internettet kan crackeren få brugeren til at gøre arbejdet for sig. Problematikken ligner virusproblematikken til forveksling. Der findes blot ikke en analog til viruskiller. Crackeren kan lave en webside, som kun kan ses med Java eller ActiveX (aktivt indhold). På siden er der noget uskyldigt aktivt indhold, der får siden til at se smart ud, men derudover er der en trojansk hest. Da brugeren ønsker at se siden, slår han naturligvis Java/ActiveX til, hvorefter siden og den trojanske hest hentes og installeres. I større organisationer har man garderet sig mod dette ved kun at tillade e-mail. Desværre er e-mail ikke ufarligt. Crackeren kan udsende e-mails med falsk afsenderadresse indeholdende et vedhæftet program. I de fleste mailprogrammer kræver det en aktiv handling fra brugeren for at aktivere den vedhæftede fil, men nogle åbner automatisk vedhæftede filer (heriblandt versioner af Microsoft Outlook). Angrebet er svært at afværge, uden at begrænse brugernes muligheder. Man kan afhjælpe problemet, hvis brugerne vænner sig til at slå Java/ActiveX fra og kun slår det til på udvalgte, godkendte sider. Brugerne skal også vænnes til ikke hovedløst at aktivere vedhæftede filer, hvadenten det er dokumenter eller vedhæftede programmer. Aflytning fra tastaturet I stedet for en falsk login-skærm kunne crackerens trojanske hest indeholde en tastatur-logger. Tastatur-loggeren gemmer alle tastetryk og sender med mellemrum disse videre til crackeren. Selvom crackeren ikke kan se skærmen, kan han ofte blot ud fra det skrevne gætte sig til brugernavn og adgangskode. Angrebet er svært at opdage: Man mærker ikke nogen forskel blot fordi ens tastetryk bliver aflyttet. Aflytning fra netværk Crackeren kunne også gemme en sniffer i den trojanske hest. Læs mere om sniffing [Læs mere om sniffing] Fluepapir En manøvre, vi endnu ikke har set i praksis, er fluepapir-angrebet. Angrebet består af en 3-trinsraket. Første trin er at få installeret en sniffer på netværket. Installationen kan foregå på samme måde som den trojanske hest. Derefter udvælger man sig en netværksenhed, som man gerne vil overtage (f.eks en router). Når enheden er valgt, prøver man at tvinge administratoren til at logge ind på enheden via netværket. Typisk vil administratoren sjældent logge sig ind på en router, men hvis routeren pludselig begynder at opføre sig underligt og reboote med jævne mellemrum, er det sandsynligt, at administratoren logger ind. Og med små, simple programmer fra nettet kan man let lave gentagne denial-of-service angreb mod routeren, hvorved routeren holder op med at virke eller rebooter. I sidste trin sniffer man administratorens adgangskode, hvorefter man overtager routeren. Angrebet er forholdsvis komplekst at gennemføre, hvilket sikkert er grunde til, at vi endnu ikke har set den type angreb. Grund til bekymring Selvom man har sikret ens servere, er der således ingen grund til at hvile på laurbærrene. Brugerne skal føle sig som en del af Edb-sikkerheden, ellers vil de være den næste adgangsport for crackere.
		Sidst ændret Sun Apr 21 17:32:13 2002