Gør noget Dumt
og
Hack dig selv
Så skete det alle sagde aldrig ville ske. En eller
anden gjorde det som ingen ville være så dum at gøre. En eller anden
overså det der da er helt åbenlyst for enhver. Og hvad gør vi nu, er
der sket skade, er der overhoved sket noget, ved vi om vi kan se
hvad der er sket eller må vi nøjes med at afbryde alt, slukke for
det hele og så sikre os med det der ikke burde være nødvendigt.
Denne artikel handler om at tænke det utænkelige før andre gør det
og om at gøre det ingen da er dumme nok til at gøre, for at se om vi
opdager at det er gjort om om vi kan se hvilke konsekvenser det
faktisk har.
Hvilke dumme ting kan gøres.
Her er det kun fantasien der sætter grænserne og
ligegyldig hvor fantasifuld du er, kan du næsten være helt sikker på
at virkeligheden altid overgår fantasien. Dette forhold er dog ikke
et argument for at undlade at være fantasifuld, tværtimod.
Først og fremmest tilkobling af alt muligt
hjemmekøbt, ukorende, hjemmelavet, ikke godkendt udstyr, alt sammen
i den bedste mening naturligvis og da kun for at lette arbejdet til
fordel både for den medarbejder der således på egen foranstaltning
har forøget virksomhedens funktionsmuligheder, og da særligt for
virksomheden som får denne funktionalitet ganske gratis.
Der er set tilkobling af accesspoints, helt uden
sikkerhed på kabel netværket f.eks. for at kunne udskrive på egen
indkøbte printer, der lige kunne noget som virksomhedens standard
printer ikke kunne eller for at kunne tilkoble konsulenter og andre
gæster til netværk direkte så man ikke skal forstyrre IT sektionen
med sådanne banaliteter.
Forbindelse af et modem til arbejdskomputeren så
medarbejderen kunne få forbindelse hjem til sin egen filserver.
Virksomheden havde jo lukket for den slags i firewallen, så hvad
skulle medarbejderen ellers have gjort. Virksomheden havde jo også
fjernet USB porte så han heller ikke kunne overføre filer mellem
netværket og hjemme PC'en.
Kabel patching af det lukkede forskningsnetværk,
der jo indeholdte informationer af høj klassifikations grad, med
virksomhedens Internet net, så man kunne få forbindelse med en
mailserver og på den måde kommunikerer om forskningsresultater og
andre fortrolige ting, som man naturligvis ikke ville sende ud over
virksomhedens almindelige netværk, hvor en mailscannet stoppede for
den slags kommunikation.
Isætning af egen indkøbte netkort og etablering af
ekstra netværk med kabler hen over gulvet så man kunne spille
Counter Stricke efter arbejdstid fra virksomhedens gode
arbejdsstationer. Nettet var selvfølgelig tilkoblet Internettet via
en egen indkøbt ADSL forbindelse som man deltes om at betale. Nettet
blev opdaget da man opstillede egen CS server under et af bordene.
Hvad gør man så.
Første skridt er baselining. Virksomheden er nødt
til at vide hvor den er, hvor mange enheder den har, hvilke typer og
fabrikater disse er og hvordan de er sat op. Baselining indebære
dokumentation og afmærkning, og vil man hjælpe sig selv, så også
udstrakt grad af standardisering både i udstyrs og komponent valg og
i opsætning og konfiguration. Læs mere om Baselining i artiklen "IT
sikkerhed - Baselining forudsætningen for meget"
Næste skridt er Change management. Hvis
virksomheden har styr på hvor den startede, og hvilken vej den er
gået siden den startede, så ved den også hvor den er og vil lettere
kunne identificerer hvad der ikke høre hjemme. Change Management er
i dag en forudsætning for både drift og sikkerhed og bør iværksættes
i virksomheden. Der findes både processer, som f.eks. ITIL, og
værktøjer, som f.eks. Remedy, der understøtter denne proces
Udover at disse to skridt gør det meget lettere at
opdage når der sker underlige ting, så har en konsekvent
gennemførelse at baselining og change management, herunder særligt
under anvendelse af standardisering, den effekt at ejerskabet over
og kontrollen med netværket bliver tydeligere og således i sig selv
nedsætter medarbejdernes lyst til at tage tingene i egen hånd og
indføre egne standarder og effekter.
Tredje skridt er så at begå dumhederne bevidst og
under kontrollerede forhold, for at se hvordan disse kan opdages
tidligt og for at se om de værktøjer og systemer man har i stilling
er gode nok til dels at beskytte ressourcerne og dels at fortælle
hvad der er sket.
Styr på vores perimeter.
Ordet perimeter her skal forstås både som vores
fysiske perimeter, altså der hvor man kan komme til vores kabler og
udstyr, som vores udvidede perimeter der indeholder medarbejdernes
private boliger, såfremt disse medarbejdere anvender deres bærbare
pc hjemme og de bærbare computere, der anvendes "i det offentlige
rum". endelig skal perimeter forstås som vores elektroniske
perimeter, som er det område hvorfra man kan nå vores trådløse
udstyr. Her et det væsentligt at vide at dette område er stærkt
miljøafhængigt. har man testet dette i høj luftfugtighed og dårlige
atmosfæriske forhold, vil man blive noget overrasket over hvor meget
større dette område faktisk er under gunstige forhold.
En simpel fysisk perimeter kontrol, hvor man går
rundt i virksomheden og følger kablerne, kan nogle gange give grimme
overraskelser. Som f.eks. når den nye IT chef finder ud af at
virksomheden i gamle dage havde medarbejdere siddende på alle
ejendommens tre etager og at der, nu du spørger, faktisk stadig er
netstik på øverste etage, hvor der har siddet et andet firma i
årevis, eller netkabler der er trukket gennem "offentlige"
loftrum/kældre hvor alle mulige andre mennesker kommer eller når
virksomhedens hostede data befinder sig på en server hos en udbyder,
der ikke har lavet ordentlig proces separation således at de
forskellige dataområder relativt let kan overskrides.
Snif, Hack, fod og finger print og
enumerer.
Det at gøre noget dumt for derefter at hacke sig
selv har to formål, dels at finde ud af hvad der er muligt gennem
disse huller, dels at se om man allerede før disse ting sker, kan
gøre noget for at begrænse de mulige skader og endeligt for at se
hvordan man evt kunne opdage at et sådant hul var opstået.
Start med at lave dumhederne selv under
kontrollerede og overvågede forhold. Beskyt gerne hullerne med
midlertidige firewalls foran eller bagved (eller begge dele)
hullerne der dels overvåger trafikken og dels kun åbner for det der
er absolut nødvendigt for at kunne teste tingene.
Herefter er det så at gå i gang med de værktøjer
der er til rådighed og har man ikke selv de nødvendige
forudsætninger, kan den slags købes ude i byen hos respektable
virksomheder der bistår med den slags penetrationstester. Læs mere
om hvordan dette gøres i artiklerne "Hacking
- Hacking for Managers, del 1 og
Hacking - Hacking for Managers, del 2"
Meld ud, gerne humoristisk
Det er ofte sådan at de dumheder der faktisk
begås, i bagklogskabens ulidelige klare lys ser præcis så dumme ud
som de er. Det vil de normalt også gøre hvis man fremstiller dem i
et humoristisk skær før de begås. Brug denne artikels eksempler
eller søg andre på nettet i de fora hvor den slags med jævne
mellemrum florerer, og meld dem så ud for virksomhedens
medarbejdere, så disse opnår den helt nødvendige forståelse og fokus
for at den slags kun sker når IT sikkerhedschefen begår dem med
vilje
Hackere, Hacking med mere
Hacking - Hvordan gøres det
Hacking - Hvilke typer findes der
Hacking – Hvorfor hackes der, Hvad vil de opnå.
Hacking - Kendte hackere
Hacking - Hacker emblemet
Hacking
- Hackernes værktøj #1. Google
Hacking - Hackernes værktøj #2. Rootkits
Hacking - Hackernes værktøj #3. Sniffer
Hacking - Hackernes værktøj #4. Scanner
Hacking -
Tænk som en hacker
Hacking - Via Social Engineering
Hacking - Hacking for Managers, del 1
Hacking - Hacking for Managers, del 2
Gør
noget dumt og Hack dig selv
Hvordan hacker man. Den indirekte vej ind Læs
også disse serier
Søgemaskineoptimering
Søgemaskinepositionering
Søgemaskinemarkedsføring
Webpromotion
IT sikkerhed
Google
Hacking
SEO -
Blackhat Teckniques
|
