En syn på säkerhet
Per Lejontand
pele@cs.umu.se
Intro
• Jag
• Säkerhet – inte så uppenbart
• Globala säkerhetsproblem
• Lokala säkerhetsproblem
Disclaimer
• Jag, jag, JAG!
– Sysadmin på CS sedan 2000 – Sysadmin LTLAB 2000-2001 – Sysadmin på ACC sedan 1999
• Mina åsikter, mina värderingar, ifrågasätt!
• Ställ frågor, kom med kommentarer, det är
eran föreläsning
Varför bryr vi oss?
• Attack – En handling som komprometterar
säkerheten av information ägd av en organisation
• Information hiding
– Intern information skall inte läcka
• DoS – Denial of Service
– Kan inte utföra sin uppgift
• Irritationsmoment
– Spam
Vad vill dom egentligen?
• Shellkonton
– Tokfort Internet
– Plattform för att gå mot större/andra system – Plattform för att gå vidare mot våra system
• Information
– Emailkonton
– Hemlig information
• Jävlas
• Because I can!
Globala säkerhetsproblem
• Dålig mjukvara
– Backdoors
• Hackade distributionscentra
• Programmerare som har tråkigt - backdoors
– Dålig kod
• printf(foo), syslog(LOG_ERR,foo);
• Buffer overruns
– Tankemissar
• Dåliga protokoll, ftp, telnet etc
• Windows lösenordsjämförelse
• SSL’s timingproblem
Globala säkerhetsproblem forts…
• Sysadmins!
– Säkerhetsuppdateringar måste installeras!
– Bristande kunskap och insikt i problemet – Felaktig systemuppsättning
• Internet är inte designat för sitt eget användningsområde.
– Det är stort, gammalt och svårförändrat – Inavel
– Brist på mångfald
• DNS, MTA’s etc
• Vad är problemet?
– Inte säkrare än vanlig post
• SPAM/UCE
– Öppna SMTP relayer – ISP’s
– Vad gör vi?
• Spamassassin
• POP/IMAP före SMTP
– Vad görs globalt
• Lagstiftning, ett slag i luften
• IETF Arbetsgrupp
• Spärrlistor, Servers, mailchecksummor etc
– Vad borde göras globalt
• Omdesign av mailprotokoll
Säkerhet i Mjukvara?
• För-Mod-Ligen
– Ditt slutsystem är inte säkrare än den svagaste länken – Det finns inga garantier!
– Komplexiteten ökar, men vem har koll?
• Open source
– Godtrogenhet, har du själv läst igenom källkoden?
– Vem har egentligen skrivit mjukvaran?
– Mångfald, men till vilket pris?
• Closed source
– Bakdörrar
– Bättre? – Nej, men du har liten eller ingen möjlighet att påverka!
– Säkerhetsfixar
Lokala säkerhetsproblem
• Datavetenskap är ett hopplöst fall
– Miljö för utveckling - frihet – Stort spektrum på användare
• ”Normal” användaraktivitet
• Säkerhetstänkande
Lokala säkerhetsproblem forts…
- Attacker utifrån
• SSH (SANS #3)
• RPC (SANS #1)
• WWW (SANS #2)
– 62.160.179.5 - - [08/Mar/2003:11:06:14 +0100] "GET
/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 1021 "-" "-"
– Enklare informationsläckor/intrångsförsök
Status: HTTP_OK Host : 213.159.32.33
Time : 07/Feb/2003:10:51:57 +0100
URL : GET /~pelpet/exjobb/index.php?file=../../../../../../../../../../../../etc/passwd HTTP/1.1
Status: HTTP_OK Host : 195.17.231.3
Time : 18/Feb/2003:12:40:13 +0100 URL : GET
/~oman/ook/klotter.php?status=namn/l\xf6senord%20\xe4r%20fel&name=malin&passwd=mama HTTP/1.1
WWW forts…
• CGI-script - ett av de stora
– Validering av data från WWW, inte så ofta
• PHP: include($foo)
• Läsning/skrivning av filer med data från WWW
– Färdiga
• Säkerhetshål? Vem har koll?
– Formmail, phpPgAdmin
– Egna
• Labbar
• Snabbhack som blir kvarglömda
Lokala säkerhetsproblem forts…
• Sniffade lösenord
– POP, FTP etc.
• Labbar
– Datakommlabbar – Mish
– Olika typer av demoner
– Labbhandledare
Lokala säkerhetsproblem forts…
• Användare
– Path
– Rättigheter
– Enkla lösenord
– Inget lösenord på sin RSA-nyckel
• Andra-RSA’n på CS utan lösenord
– Eftertänksamhet
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA1 host key has just been changed.
The fingerprint for the RSA1 key sent by the remote host is 19:e8:61:88:f1:67:ab:6f:e2:df:c0:46:9f:1f:67:76.
Please contact your system administrator.
Lokala säkerhetsproblem forts…
• Installerade programpaket
– Egenkompilerade: Solaris 367, Linux 74 – Bundlade: Solaris: 634, Linux: 1104
– SGID/SUID
– Mångfald till ett pris
Tidigare säkerhetsproblem vid Datavetenskap
• Ma446, skrivbar /etc/inetd.conf
• Ma426, ingen låsning på lilo – boot från egen diskett utan problem
• NIS, fri tillgång till krypterade lösenord
• WWW, cgi-script för anställda kördes som
samma användare som servern
Administrera säkerhet
• Uppdaterad information
– Bugtraq, http://www.securityfocus.com – SANS, http://www.sans.org
– Slashdot, http://www.slashdot.org
– Programrelaterade maillistor, debian-security etc.
– Underhållsavtal med mjukvaruleverantörer
• Hierki
– Datorer med olika nivå av förtroende – Datorer med olika nivå på tjänster