Rådet "Tænk som en hacker" finder man ofte i litteratur, der handler om it sikkerhed og forsvar mod indtrængen i netværk. Rådet kan i virkeligheden betragtes som en omskrivning af det gammelkendte "det kræver en tyv at fange en tyv". Denne artikel vil så se på hvad det kræver for at tænke som en hacke, hvilken viden der skal til, hvorfra der skal kikkes og hvad det kan betale sig at kikke på. Ofte vil man finde ud af at der faktisk er lavt hængende frugter der kan plukkes direkte hvis blot man lige kikker efter. 

Synsvinkelen

Synsvinklen er vigtig og kan give grimme overraskelser begge veje, hvis man aldrig har gjort sig den ulejlighed at tænke over det. Hackeren sidder ofte udefra og kikker ind, men det betyder ikke at den dygtige hacker ikke kan få fat i "inside information" ofte er det overraskende hvor meget information, der er tilgængeligt udefra, hvis man er en smule kreativ, fræk og vedholdende.

Penetrationstesten.

Penetrationstesting er normalt en disciplin hvor man betaler en tredjepart for at foretage en test om det kan lade sig gøre at komme gennem de sikkerhedsforanstaltninger man har sat op. Aftalen kan indebære alt fra en rapport der beskriver muligheder og hvor meget virksomheden afsløre, hvor mange kritiske informationer en evt. hacker ville være i stand til at opfange udefra til en praktisk gennemførelse af et indbrud (ofte benævnt et hack).

Hvis man ikke har råd til at betale sig fra en penetrations test, eller hvis man ønsker at forberede sig før man evt. betaler sig fra det, kan man selv foretage noget der minder om det. og der er så her man skal til at tænke kreativt.

Organisationen

Hvis man kikker på netværkssikkerhed, så er meget af den strukturelle sikkerhed, den måde sikkerhedsforanstaltningerne er implementeret på afhængig af virksomhedens praktiske organisation. IP adressering, segmentering hvad enten vi taler om praktisk opdeling i netværkssegmenter eller VLAN og de implementerede firewall barriere der ligges ned gennem netværket følger ofte virksomhedens organisatoriske linier.

Hvis en hacker ønsker at danne sig et overblik over hvordan nettet er strikket sammen, vil han ofte med fordel kunne tage udgangspunkt i den praktiske organisation. Den virksomhed der fuldstændigt offentliggøre sin organisation, vil ofte også fuldstændig offentliggøre den måde nettet er samlet på. Hvis hackeren så oven i købet kan ligge den fysiske indregning af virksomhedens medarbejdere fordelt på bygninger og kontorer, og altså ligge de fysiske rammer oven på de organisatoriske krav, så vil en god hacker med ret stor nøjagtighed kunne lave en oversigt over hvordan nettet ser ud, og dermed lave de første arbejdstegninger til et angreb.

Organisationen kan afsløres flere forskellige steder. Mange virksomheder offentliggør direkte organisations diagrammet med personer påført og hvis ikke det gør det, så vil en telefonoversigt også sige en masse over telefoner. Endeligt vil simpel social engineering, men opringninger til virksomheden for det meste kunne afsløre kommandoveje og skillelinier mellem de enkelte afdelinger. Med lidt tålmodighed vil det sagtens kunne gøres.

Hvad skal man gøre ved dette problem.

I første omgang skal man blot noterer sig at problemet eksisterer. Det man skal huske er at man jo er nødt til at afslører væsentlige ting om sin virksomhed, hvis man vil kommunikerer med omverdenen. Hvis folk udefra ikke kan gennemskue hvem de skal tale med om forskellige problemer, så vil en del af den gå andre steder hen og de fleste virksomheder lever af deres kunder og vil gerne kommunikerer med dem.

I anden omgang kunne man så kikke på den måde nettet er skruet sammen på, måske kunne man lave den fysiske opdeling (den vandrette og lodrette segmentering) på en anden måde, der ikke nødvendigvis fulgte de organisatoriske linier. Man kunne f.eks. ikke på en procesorienteret måde at se på virksomheden på i stedet for afdelingsopdelt, og dermed bruge SAP tankegangen, eller man kunne indføre flere lag, både vandret og lodret. læs her artiklen IT sikkerhed - Sikkerhed i dybden

Procedure.

En virksomheds generelle arbejdsrutiner og især EDB procedure er også en væsentlig del af den viden en hacker vil ønske at tilegne sig forud for et hack. Hackeren vil ofte have brug for at kunne agere på nettet, eller rent fysisk i virksomheden, og for at kunne bevæge sig uset rundt, er han nøst til at vide hvilke procedure der er i spild og hvordan virksomheden anvender dem. Når vi har taler om procedure, så tænker der på alle former for procedure, helt nede fra de praktiske ting som hvordan ser adgangskort ud, hvordan er omgangstonen og påklædnings normer. Nogle gange vil en hacker, som et led i din informations indhentning, bevæge sig fysisk rundt i virksomheden, f.eks. for at lave dumpster raiding (kikke i skraldespande) eller for at lave social engineering eller simpelthen for at få adgang til net stik eller computere

Hvad gør vi ved dette problem

Helt generelt bør alle virksomheder med jævne mellemrum tage deres interne procedure op til overvejelse med henblik på at se om det kan gøres bedre og man bør også gøre noget for at synliggøre hvorfor forskellige procedure gennemføres. Hvis folk ikke forstår hvorfor en procedure har sikkerhedsmæssige implikationer, så vil de heller ikke være i standt til ar reagerer hensigtsmæssigt ved brud på sådanne procedure. En årlig gennemgang vil ofte kunne afsløre uhensigtsmæssigheder og fange op på om der er kommet ny teknologi, der med fordel kunne indføres.

Scanninger.

Næste trin kunne være at se hvad man kan få ud af forskellige scanninger. Her skal man vide at en god hacker vil foretage sine scanninger på de sådan måde at IDS og log filer enten slet ikke opfanger noget eller at det der opfanges blandes så grundigt med legitim trafik, at scanningerne kun meget vanskeligt og ved meget grundige gennemsyn opdages. Man behøver dog ikke selv gøre sig den slags anstrengelser. Det er jo ikke nogen hemmelighed at man foretager disse scanninger, så hellere få dem afsluttet i en fart så man kan koncentrere sig om resultatet end at bruge mange uger på at skjule noget der ikke behøver at blive skjult.

Portscanninger

Portscanninger er noget af det første man bør gøre og det er helt bevist at port scanninger står i flertal. Gode port scannere som f.eks. Nmap kan scanne med mange forskellige metoder, nogle af disse metoder har til formål at skjule, mens andre har til formål at afsløre forskellige huller. som minimum TDP og UDP scanninger, men der er flere interessante metoder man også kan gennemføre. læs her artiklen IT sikkerhed - Sårbarhedsanalyse

Sårbarhedsscanninger.

Forskellige former for sårbarhedsscanninger kunne være næste trin, men her skal man huske at det ikke er nok at scanne og så kikke på rapporten. Alle sårbarhedsscannere giver mange falske positiver, d.v.s. viser sårbarheder, der ikke findes i virkeligheden, så alle de sårbarheder der findes skal valideres manuelt efterfølgende. Dette at validerer sårbarheder er ikke noget man bare lige gør, men der dels hjælp at hende hos tredjepart, og der findes også uddannelse i hvordan man gør, hvis man ønsker at have medarbejdere, der kan den slags. se artiklen IT sikkerhed - Sårbarhedsanalyse

Trådløs scanning.

Mange virksomheder har trådløse netværk kørende og hvis de ikke har trådløse netværk, så har de måske bærbare eller stationære maskiner med trådløse netkort, hvortil der måske kan etableres ad hoc netværk. Man bør altid have et overblik over hvorfra ens trådløse netværk kan tilgås fra. Dette kan konstateres ved at gå en tud med en bærbar maskine med trådløs netkort og et dertil egnet program, f.eks. Network Stumbler eller Kismet, og så se hvor langt nettet rækker, nogle gange kan man blive overrasket. Husk også at gå længere ud end det i første omgang viser sig at nettet rækker,, nogle gange kan man opleve at der er "huller" hvor nettet ikke virker, men qat det "kommer igen" når man går lidt længere væk.

Husk også at teste om der er bærbare der er sat op til at gå på accesspoints automatisk, hvis et sådant melder sig. En sådan konfiguration, vil betyde at en hacker kan etablerer et Ad Hoc netværk med den pågældende bærbare, og således have adgang til vores net bag ved firewallen. Et seriøst Firewall ByPass er herved muligt.

Hvad skal man gøre ved de fundne ting.

Det første man skal huske er at et potentielt problem oftest har mange løsninger. Hvis man f.eks. opdager at man har en sårbarhed i sin FTP server. så kan man måske fjerne denne sårbarhed med en patch, eller man kan lukke for adgangen til FTP serveren i firewallen og lave adgangen via f.eks. VPN i stedet, eller man kan helt fjerne FTP serverne og bruge en anden løsning, f.eks. SSH adgang eller man kan finde en anden FTP server der ikke har huller. Der er altid flere løsningsmuligheder til denne slags problemer og det er vigtigt at finde så mange af dem som muligt så man har så stor handlefrihed som muligt.

Hvilke ressourcer er offentligt tilgængelige.

Med offentlige ressourcer, menes der fysiske ressourcer som netværksstik, gæste og info maskiner og andre enheder der sidder placeret således at personer der ikke er ansat, kan opnå adgang til disse ressourcer. Ordet offentlig adgang, skal forstås relativt bredt, her menes ogå netstik og ressourcer, der er placeret i mødelokaler, på gange og tomme kontorer. Det er også vigftigt at se på hvilken adgang der er, f.eks. kan ikke brugte netstik, som man af forskellige årsager ikke ønsker helt af afbryde, midlertidigt patches i et VLAN eller til et DMZ, hvor de har meget begrænsede muligheder, så skulle der ske en uautoriseret tilgang, så er skaden minimal.

Når vi taler om computere, hvortil offentligheden har adgang, så er det de eksterne drev der er væsentlige, f.eks. er det en stor fordel hvis man ikke kan boote fra disse drev eller hvis de helt er disconnected. Er der så eksterne samarbejdspartnere eller gæster der har behov for at få adgang til et USB drev eller et CD-ROM drev, så kan man lade receptionen opbevare eksterne drev til det samme. Problemet med disse drev er at man med den rigtige Linux distribution som Live DC kan boote en maskine med alle de nødvendige hackerværktøjer og hvis man gør det fra en intern maskine eller et internt netværksstik, så er man bag firewallen og med lidt hel også på et segment hvor IDS ikke rigtigt kikker.

Menneskerne som det svageste led.

Menneskerne, herunder selvfølgelig i særlig grad medarbejderne, der sidder på vores netværk, er det svageste led, og der hvor det bedst kan betale sig at sætte ind. De fleste af vores medarbejder er jo venlige, imødekommende og servicemindede, det er faktisk derfor vi har ansat netop dem, og har de ikke den fornødne viden, eller er tilstrækkeligt opmærksomme på de forskellige problematikker, så kan de meget let og helt uforvarende komme til at afsløre oplysninger der kan resulterer i kritiske brud på sikkerheden. 

Social engineering er en kunstart, som nogle mestre og som i nogen udstrækning kan læreres. Læs i denne forbindelse Kevin Mitchnik's bog The art of deception eller serien Stealing the network, der giver fine beskrivelser af hvordan social engineering kan anvendes og dermed virker som en god indføring i hvordan en hacker tænker. Brug denne viden til at lave awareness programmer, der gerne skulle resulterer i at medarbejdernes opmærksomhed på disse ting bliver bedre og bedre.

Hackere, Hacking med mere

Hacking - Hvordan gøres det
Hacking - Hvilke typer findes der
Hacking – Hvorfor hackes der, Hvad vil de opnå.
Hacking - Kendte hackere
Hacking - Hacker emblemet
Hacking - Hackernes værktøj #1. Google
Hacking - Hackernes værktøj #2. Rootkits
Hacking - Hackernes værktøj #3. Sniffer
Hacking - Hackernes værktøj #4. Scanner
Hacking - Tænk som en hacker
Hacking - Via Social Engineering
Hacking - Hacking for Managers, del 1
Hacking - Hacking for Managers, del 2
Gør noget dumt og Hack dig selv
Hvordan hacker man. Den indirekte vej ind

Læs også disse serier

Søgemaskineoptimering
Søgemaskinepositionering
Søgemaskinemarkedsføring
Webpromotion
IT sikkerhed
Google
Hacking
SEO - Blackhat Teckniques