En syn på säkerhet Per Lejontand pele@cs.umu.se
Intro Jag Säkerhet inte så uppenbart Globala säkerhetsproblem Lokala säkerhetsproblem
Disclaimer Jag, jag, JAG! Sysadmin på CS sedan 2000 Sysadmin LTLAB 2000-2001 Sysadmin på ACC sedan 1999 Mina åsikter, mina värderingar, ifrågasätt! Ställ frågor, kom med kommentarer, det är eran föreläsning
Varför bryr vi oss? Attack En handling som komprometterar säkerheten av information ägd av en organisation Information hiding Intern information skall inte läcka DoS Denial of Service Kan inte utföra sin uppgift Irritationsmoment Spam
Vad vill dom egentligen? Shellkonton Tokfort Internet Plattform för att gå mot större/andra system Plattform för att gå vidare mot våra system Information Emailkonton Hemlig information Jävlas Because I can!
Globala säkerhetsproblem Dålig mjukvara Backdoors Hackade distributionscentra Programmerare som har tråkigt - backdoors Dålig kod printf(foo), syslog(log_err,foo); Buffer overruns Tankemissar Dåliga protokoll, ftp, telnet etc Windows lösenordsjämförelse SSL s timingproblem
Globala säkerhetsproblem forts Sysadmins! Säkerhetsuppdateringar måste installeras! Bristande kunskap och insikt i problemet Felaktig systemuppsättning Internet är inte designat för sitt eget användningsområde. Det är stort, gammalt och svårförändrat Inavel Brist på mångfald DNS, MTA s etc
EMail Vad är problemet? Inte säkrare än vanlig post SPAM/UCE Öppna SMTP relayer ISP s Vad gör vi? Spamassassin POP/IMAP före SMTP Vad görs globalt Lagstiftning, ett slag i luften IETF Arbetsgrupp Spärrlistor, Servers, mailchecksummor etc Vad borde göras globalt Omdesign av mailprotokoll
Säkerhet i Mjukvara? För-Mod-Ligen Ditt slutsystem är inte säkrare än den svagaste länken Det finns inga garantier! Komplexiteten ökar, men vem har koll? Open source Godtrogenhet, har du själv läst igenom källkoden? Vem har egentligen skrivit mjukvaran? Mångfald, men till vilket pris? Closed source Bakdörrar Bättre? Nej, men du har liten eller ingen möjlighet att påverka! Säkerhetsfixar
Lokala säkerhetsproblem Datavetenskap är ett hopplöst fall Miljö för utveckling - frihet Stort spektrum på användare Normal användaraktivitet Säkerhetstänkande
Lokala säkerhetsproblem forts - Attacker utifrån SSH (SANS #3) RPC (SANS #1) WWW (SANS #2) 62.160.179.5 - - [08/Mar/2003:11:06:14 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 1021 "-" "-" Enklare informationsläckor/intrångsförsök Status: HTTP_OK Host : 213.159.32.33 Time : 07/Feb/2003:10:51:57 +0100 URL : GET /~pelpet/exjobb/index.php?file=../../../../../../../../../../../../etc/passwd HTTP/1.1 Status: HTTP_OK Host : 195.17.231.3 Time : 18/Feb/2003:12:40:13 +0100 URL : GET /~oman/ook/klotter.php?status=namn/l\xf6senord%20\xe4r%20fel&name=malin&passwd=mama HTTP/1.1
WWW forts CGI-script - ett av de stora Validering av data från WWW, inte så ofta PHP: include($foo) Läsning/skrivning av filer med data från WWW Färdiga Egna Säkerhetshål? Vem har koll? Formmail, phppgadmin Labbar Snabbhack som blir kvarglömda
Lokala säkerhetsproblem forts Sniffade lösenord POP, FTP etc. Labbar Datakommlabbar Mish Olika typer av demoner Labbhandledare
Lokala säkerhetsproblem forts Användare Path Rättigheter Enkla lösenord Inget lösenord på sin RSA-nyckel Andra-RSA n på CS utan lösenord Eftertänksamhet @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA1 host key has just been changed. The fingerprint for the RSA1 key sent by the remote host is 19:e8:61:88:f1:67:ab:6f:e2:df:c0:46:9f:1f:67:76. Please contact your system administrator.
Lokala säkerhetsproblem forts Installerade programpaket Egenkompilerade: Solaris 367, Linux 74 Bundlade: Solaris: 634, Linux: 1104 SGID/SUID Mångfald till ett pris
Tidigare säkerhetsproblem vid Datavetenskap Ma446, skrivbar /etc/inetd.conf Ma426, ingen låsning på lilo boot från egen diskett utan problem NIS, fri tillgång till krypterade lösenord WWW, cgi-script för anställda kördes som samma användare som servern
Administrera säkerhet Uppdaterad information Bugtraq, http://www.securityfocus.com SANS, http://www.sans.org Slashdot, http://www.slashdot.org Programrelaterade maillistor, debian-security etc. Underhållsavtal med mjukvaruleverantörer Hierki Datorer med olika nivå av förtroende Datorer med olika nivå på tjänster Datorer utan förtroende, de är hackade
Administrera säkerhet forts Loggar Vad hände när?