Forstå og unngå hacking

april 21, 2009

Poenget med denne blogposten er å gi en enkel innføring i hvordan du risikerer å bli hacket. En respons til den skremselsartikkelen Dagbladet nettopp har slått stort opp på sine nettsider.

Men først vil jeg nevne at ordet hacker er egentlig et nøytralt ord som beskriver en som liker å modifisere systemer. For eksempel skrive egne programmer eller tilpasse programmer og systemer. Altså liker å fikle med tekniske ting. Å bryte seg inn på andres maskiner er en form for hack, man hacking er generelt ikke ulovlig. Men journalister har jo som kjent generelt ikke greie på hva de skriver, og ordet har dermed fått en ny betydning i tillegg til den originale. Hva slags type hacking det er snakk om fremgår som regel av sammenhengen. I denne bloggen vil jeg bruke «hacket» i betydningen cracket, altså et ondsinndet hack som «knekker» maskina til offeret.

Til saken. For at noen skal bryte seg inn på maskina di trenger de først og fremst en forbindelse til maskina. Maskina som skal bryte seg inn (enten automatisk eller ved en hacker som sitter ved maskina) må kunne «snakke me»d programmer på maskina som skal hackes. Hackerens maskin kan enten være en maskin han selv sitter ved, eller f.eks en kompromitert webserver.

I første tilfelle må hackeren på ett eller annet vis få kontakt med din maskin og programmer på den. I det andre tilfelle er det nok at du bruker en tjeneste på nett, for eksempel er innom en infisert webside.

Eksempelet i Dagbladet er et eksempel der hackeren aktivt angriper en maskin. For å få til å kompromitere maskina må han finne programvare på maskina di som har en åpen tilgang for netttjenester, og det må eksistere et eller annet sikkerhetshull i denne programvaren. Dette kan man beskytte seg mot på en rekke måter:

1. Ikke ha noen tjenester tilgjengelig. Dette er ikke så lett å vite for en vanlig bruker, da Windows har noen slike påskrudd som standard. Bl.a for at maskiner skal kunen finne hverandre på lokalnettet, dele foldere og skrivere, sende meldinger til hverandre osv. Det er ikke lett for en vanlig bruker å ha oversikt over dette.
2. Sørge for at all programvare er oppdatert. Dette er ingen garanti, men det minsker risikoen for at det eksisterer sikkerhetshull.
3. Ha en brannmur. Dette kan være en personlig software-brannmur på maskina, eller en ekstern brannmur i f.eks en trådløs router eller en maskin dedikert som brannmur

En brannmurs jobb er å sperre for uønsket trafikk ved å sette regler for inngående og utgående trafikk. Det er reglene for inngående trafikk som først og fremst er interessant i forhold til å bli hacket. Gjerne er det slik at en brannmur er satt opp mellom det store internett der ute, og lokalnettet på jobben eller hjemme. Klarer en hacker å koble seg til lokalnettet, så vil vedkommende være på innsiden av brannmuren, og det er punkt 1 og 2 over som er beskyttelsen. Eventuellt en strengt oppsatt personlig brannmur som sperrer tilkoblinger også fra lokalnettet.

I tilfellet i Dagbladets video, så klarte hackeren å kompromitere den trådløse routeren, og var dermed på innsiden av brannmuren som var i denne. Han var altså tilkoblet lokalnettverket, og kunne overvåke all trafikk på dette, i tillegg til å lete etter kjente sikkerhetshull og angripe maskiner med dette.

For å klare dette måtte han være i fysisk nærhet til det trådløse nettet, han måtte kunne sende og motta på dette. Hadde han vært et helt annet sted, og forsøkt å angripe fra internett, så måtte det vært en feil i routerens brannmur for å komme innenfor. Det er lite sannsynlig. Han måtte altså være i fysisk nærhet. Trådløse routere utgjør altså en sikkerhetsrisiko dersom de ikke er satt opp riktig. Ukrypterte trådløse nett, eller nett kryptert med WEP, er sårbare. Disse er rutine å hacke, og man kan ikke stole på dem dersom noen går til dedikert angrep. Dette kan hvem som helst gjøre, det finnes programvare man laster ned på nett som gjør denne jobben. Løsningen er å skifte til krypteringsmetoden WPA2. Og selvsagt passe på punkt 1 og 2 over, og eventuellt installere en personlig brannmur på maskina.

Når det gjelder den andre måten å bli hacket på, at man bruker en infisert server, for eksempel en infisert webside, så kan man ikke beskytte seg med brannmur. Din maskin har eksplistt bedt om å laste ned data fra denne serveren. Sikkerheten din ligger da kun i å ha oppdatert programvare for å minske risikoen for å ha kjente sikkerhetshull. Det og å bytte til programvare som er sikrere. Når det gjelder Windows er Google Chrome den tryggeste webbrowseren. Årsaken til det er for teknisk til å gå i dybden på her, men kort fortalt kjører hver sesjon, hver tilkobling til nett, i en egen såkalt sandkasse. En sandkasse er et lukket område hvor programmet kan leke seg uten at det påvirker resten av operativsystemet. En infisert server må altså inneholde et program som først finner et hull i browser-delen av programvaren. Deretter må programmet finne et nytt hull i sandkasse-delen av programvaren. Jobben er altså dobbel for å kompromitere Chrome.

OS X med Safari er foreløpig den minst sikre browseren, teknisk sett. Det er fordi OS X er helt i startfasen med å implementere enkelte sikkerhetsmekanismer i operativsystemet som gjør det vanskeligere for en hacker å kompromitere selve systemet. En hacker skal altså ikke bare finne hull i browseren, men også benytte hullet til å få kontroll over maskina bak. Dette er mye lettere på OS X, enn på Windows og Linux. For de som er teknisk intereserte, så ligger årsaken i at OS X mangler såkalt ASLR. Jeg skrev teknisk sett overfor, ford OS X foreløpig har vært mindre utsatt for hacking enn Windows. Men dette vil endre seg. På den annen side, Apple jobber med å implementer ASLR også på OS X, så plattformen vil bli tryggere i fremtiden. Her gjelder det med andre ord å punge ut gjevnlig for siste versjon av OS X.

Firefox er også en interessant browser siden den har plugins. Her har man plugins som kan for eksempel blokkere javascript, og flash. Det betyr at man kan skru på slikt kun på sider man stoler på. Dette krever noe mer administrasjon når man bruker browseren, men øker sikkerheten betraktelig da antall  måter å angripe maskina di på blir betraktelig redusert. Uansett anbefaler jeg å ligge unna Internet Explorer, lite muligheter, dårlig på standarder, tregest av browserne og ikke spesielt sikker.

Det tryggeste OS’et er utvilsomt Linux. På CanSecWest, der OS X ble hacket på ti sekunder, er Linux ikke hacket. I år var det ingen som forsøkte. I fjor ble det forsøkt, men ingen lyktes.

Det er andre farer på nett enn å bli hacket. Det finnes virus og trojanere. Personlige brannmurer kan sperre trafikk ut fra maskina, det vil ikke hindre deg å bli hacket, men kan hindre ondsinnet kode i å angripe andre maskiner, sende informasjon ut på nett, delta i DDoS angrep, sende spam eller hva nå hackeren/viruset/trojaneren ønsker å bruke maskina di til. Antivirusprogrammer kan brukes til å scanne nedlastede programmer, email og overvåke maskina live mot programmer som prøver å utføre uønskede handlinger. Det er et stort felt og en god del å være klar over. (Også sier man at Windows er så lett å bruke, det er jo den jobben.) Jeg har ikke tenkt å ta for meg alt dette, i hvertfall ikke nå. Men forhåpentligvis var denne artikkelen lesbar for folk som ikke er eksperter, slik at det i det minste er greit å forstå forutsetningen for å bli hacket, og hva man kan og ikke kan gjøre med det. For Dagbladet-videoen var unektelig lite informativ, og dermed sikkert skremmende på de som ikke har greie på dette. Det vil si de aller fleste andre enn oss datanerder.

Kom gjerne med tilbakemeldinger på formuleringer som er uforståelige for ikke-data-nerder. 🙂

Noen konkrete sikkerhetstips:

Bytt til Linux. Dette er selvsagt ikke for alle, men har du tid og lyst og ikke er redd for nye ting så anbefaler jeg det på det sterkeste For de som ikke vil kvitte seg med windows gjelder:

• Bytt browser. Bruk Google Chrome, Firefox eller Opera. Med Firefox anbefaler jeg utvidelsene FlashBlock og NoScript.
• Hold programvaren oppdatert til enhver tid.
• Ha en ekstern brannmur, for eksmpel en trådløs router. Bruk WAP2 og ikke WEP eller ukryptert nett.
• Installer personlig brannmur og antivirus.
• Ikke last ned programvare fra steder du ikke stoler på.
• Ikke kjør moroprogrammer du får i mail.
• Sjekk all nedlastet programvare med en virussjekker først.
• Ikke følg linker til bank og lignende ting som du får i mail. Hvis du tror en mail er ekte og faktisk kommer fra banken, åpne browseren og gå til bankens webside på vanlige måte.
• Aldri oppgi passord til noen som spør om det. Sosial hacking er ethelt annet tema, men går i korthet ut på å lure folk til å oppgi opplysninger som kan gi andre tilgang til systemer de ikke skulle hatt tilgang til.
• Ikke vær logget inn med administratorrettigheter unødig.

Reklame