Let, billigt og trygt at udnytte informationssystemer

Publiceret:13. august 2005

Det er deprimerende let, billigt og trygt at være forbryder med speciale i udnyttelse af sårbarheder i informationssystemer.

Som forbryder hjælper det naturligvis have en vis mængde forståelse, tid og evner men 2 ud af 3 er tilstrækkeligt. Vi vil i det følgende se på hvordan forbrydere (der ikke vil fanges) bærer sig ad og hvorfor det kan lade sig gøre.

Punkt 1: Nødvendigt udstyr

Følgende udstyr hjælper forbrydere:

Punkt 2: Anskaf et beskyttende lag af springbræt systemer.

Et springbræt system er et vilkårligt system på internettet der bruges til som udgangspunkt når det endelige mål skal angribes. Forbryderen ønsker at finde disse uden at udsætte sig selv for mere risiko end højst nødvendig.

Derfor køber han en ADSL forbindelse samt en gammel PC. På denne PC installeres et tilfældigt gratis operativsystem og et netværks IDS som f.eks. Snort. Snort sættes op til at kun kigge efter angrebsforsøg fra computerorme.

Hver IP der bliver logget af Snort har kendte sikkerhedsfejl. Vælg 5-10 forskellige fejl og bliv god/hurtig til at udnytte dem. Som verdenen ser ud i dag, vil listen over systemer med kendte fejl komme op på flere hundrede i løbet af et par dage. Mens det sker bruger forbryderen tid på punkt 3.

Det vil være et lille problem at udvælge systemer der befinder sig i lande med ringe lovgivning og kommunikationsmuligheder mellem målet og springbræt systemerne.

Punkt 3: Find ubeskyttede trådløse netværk

Forbryderen bevæger sig i bil rundt i større byer med sin bærbare computer og finder ubeskyttede trådløse netværk som frit kan benyttes af hvem som helst til hvad som helst.

Forbryderen gemmer listen over disse ubeskyttede netværk.

Punkt 4: Målet angribes

For hvert mål vælges et passende antal trådløse netværk som første springbræt Der skiftes mellem disse netværk løbende, og jo længere tid en opgave varer, jo kortere tid befinder man sig på et givent trådløst netværk. Jo bedre antenne, jo længere væk fra netværket kan man sidde, og jo sværere vil forbryderen være at overvåge.

Efter at have indsamlet springbræt systemer i 3-7 dage kører forbryderen til et af sine ubeskyttede trådløse netværk. Fra dette ubeskyttet netværk, hvor han ikke kan spores, bryder han ind i en eller flere af springbræt systemerne, hvorfra han heller ikke kan spores. Alt kommunikation mellem den bærbare og springbræt er krypteret.

Forbryderen tilpasser antallet af springbræt systemer mellem sig selv og målet afhængig af hvor mange resourcer han tror målet kan sætte ind på at finde ham. Ved tegn på at han bliver sporet, sletter han systemet fuldstændigt og skifter til et andet springbræt system.

På intet tidspunkt kontakter forbryderen et springbræt hjemmefra hvor han let kan spores.

Hver uge eller måned starter forbryderen forfra med at høste sårbare systemer på internettet som han kan skjule sig bag. Han vil være næsten umulig at fange og dømme.

En avanceret forbryder benytter sig af social engineering til at gøre sin opgave lettere. (IP) telefoni systemer er ofte meget dårligt beskyttede og kan let bruges til at få adgang til telefonsvarerer, oprette numre til sig selv, etc.

Hvorfor kan det lade sig gøre?

Det er ikke strafbart at designe og udvikle software og hardware med utallige sikkerhedsfejl. Producenten bliver i stedet belønnet med markedsandele fordi produkterne er "lette at bruge" og kommer hurtigere på markedet end produkter der er designet og testet med omhu.

Det er ikke strafbart at lade sin PC eller server med sikkerhedshuller sidde på nettet. Ej heller er det strafbart at aktivt udføre en handling (f.eks. tankeløst aktivere programmer fra tilfældige afsendere) der åbner sikkerhedshuller i PCere eller servere.

Det er ikke strafbart at opsætte ubeskyttede trådløse netværk som kan misbruges af forbrydere.

Sikkerhedsforskere der gør opmærksomme på sikkerhedsfejl bliver ofte mistænkliggjort eller politianmeldt. På den måde tror den pågældende organisation at de undgår pinlige episoder i dagspressen.

Værktøjer og metoder brugt af sikkerhedsforskere mistænkligøres eller ulovligøres - i stedet for blot at ulovligøre elektronisk indtrængen, ødelæggelse og uretmæssigt kopering/tyveri af elektronisk information.

Hvad skal der til?

Lav om på hver af de ovenstående punkter der gør denne ubehagelige situation mulig. Det er politikernes opgave. De er velkommen til at spørge om hjælp.