Af Redaktionen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Sidst blev vi introduceret til det grundlæggende og lærte lidt om internettets historie. Denne gang kigger vi på, hvor sårbarhederne ligger, og hvordan vi kan beskytte os.
Hackere prøver konstant at opfinde nye metoder til at koble sig på maskiner, så de kan installere bagdøre, som de senere kan bruge; trojanske heste, der indsamler økonomiske detaljer, og de uundgåelige botnet-klienter. Uanset hvad formålet er, er udgangspunktet det samme: Porten. Denne guide viser, hvordan de virker, hvordan de kan bruges negativt, og hvordan man lukker uønskede porte for sikkerhedens skyld.
Tcp/ip's sårbarhed
Desværre blev tcp/ip udviklet til at sende og modtage data driftsikkert - ikke til at sikre dem. Den opgave tilfalder applikationslytning og -afsendelse på specifikke porte. Hvis de ikke prøver at indføre en form for datakryptering, kan enhver opfange dataene i klartekst, mens de flyder forbi. Det kan også dreje sig om brugernavne og kodeord. Det er baggrunden for angreb fra ”manden i midten”.
Ved denne form for angreb bliver data ført gennem angriberens computer, der videresender dem, som om intet var hændt. I mellemtiden kopierer angriberen hver pakke til senere analyse. Det er også muligt at sniffe denne klartest-trafik, mens den går gennem netværket ved hjælp af et værktøj som WireShark.
I webjargon er HTTP en enkel tekstprotokol. Når man logger på sitet, bliver brugernavn og kodeord sendt som rå tekst. Det er grunden til, at man altid bør sikre sig, at sitet bruger en krypteret HTTPS-forbindelse, før man skriver sine akkreditiver.
Det gælder også for ens internetudbyder. Det kan være praktisk at læse sin e-mail på nettet, når man er på farten, men medmindre udbyderen omdirigerer til en HTTPS-forbindelse, før den beder om ens brugernavn og kodeord, kan ens data være sårbare. Det er bedre, at udbyderen sender din mail til en sikrere onlinekonto såsom Gmail, der logger en ind ved hjælp af en HTTPS-webside.
Klassiske hacks
Siden internettets tidligste tid fandt hackerne hurtigt ud af, at fejl i forskellige tcp/ip-implementationer betød, at de kunne sende en computer offline ved at sende omhyggeligt tilrettelagte pakker. Med andre ord: De kunne forhindre folk i at bruge tjenesterne.
Der findes to grundtyper inden for denne slags DoS-angreb (Denial of Service). Angreb på båndbreddeforbrug er langt de populæreste nu om dage på grund af fremkomsten af botnet.
Ved denne form for angreb bliver inficerede ”zombie”-computere indstillet til at afsende en strøm af data. De har som regel form af massive tal fra SYN-pakker. Målmaskinen tror, at nogle prøver at få forbindelse, og derfor noterer den blindt alle henvendelserne og kvitterer med en SYN-ACK-pakke. Da den er nødt til at bruge en smule hukommelse for at huske alle henvendelserne, bliver målmaskinen overbebyrdet, og den ryger af nettet, indtil botnettet stopper angrebet.
Den anden form for DoS-angreb er beregnet til at smadre selve tcp/ip-softwaren. Angriberne sender en datapakke, der enten er alt for stor, eller som er delt op i overlappende fragmenter. Disse pakker forvirrer målmaskinen og låser den.
Et uhyggeligt element ved den anden form for angreb er, at med en enkelt, omhyggeligt udført pakke kan man forkrøble en hel server, indtil den bliver genstartet, og måske forårsage store datatab for det pågældende website. Denne form for angreb er imidlertid ved at blive upopulær hos hackerne, fordi producenter af operativsystemer har brugt meget tid og arbejde på at gøre deres tcp/ip-kode mere driftsikker og mindre sårbar.
Hackerne udnytter imidlertid programfejl i netværkssoftware til langt mere end blot at forstyrre tjenester. I nogle tilfælde kan man injicere kode i et kørende system. Det kan åbne en bagdør, der uploader og installerer en trojansk hest, der er parat til at stjæle ens oplysninger, gøre ens pc til en del af et botnet eller sågar tvinge systemet til at lagre ulovlige billeder. Disse angreb er automatiserede og kan inficere tusinder af computere hver dag. Programfejlen, der gør det muligt for ondsindet kode at installere Conficker-botnettets klientsoftware på denne måde, udløste global panik i slutningen af 2008.
Ubeskyttet = inficeret
Det er nødvendigt for nogle porte at være åbne for internettrafik, men det er også nødvendigt at sikre, at kun de helt nødvendige er udsat, og at den software, der er forbundet med dem, er så opdateret som muligt. Det er derfor, det er essentielt at slå automatiske opdateringer til, både til Windows og Linux og til antivirussoftware. Hvis en computer begynder at opføre sig sært, og dens patches ikke er opdateret, vil sikkerhedsfolk betragte den som inficeret. Hvis man ikke er beskyttet, bliver man inficeret.
Bortset fra at være opdateret skal man sikre sig, at ens firewall er lukket for al anden trafik end til de porte, der skal være åbne. Nogle former for ondsindet software kan lydløst åbne porte, og det betaler sig derfor selv at tjekke dem og lukke alle dem, der ikke behøver at være åbne.
I Windows XP finder man firewallindstillingerne ved at åbne Kontrolpanelet og dobbeltklikke på Windows Firewall. Hvis man befinder sig på et usikkert sted såsom et offentligt hotspot, skal man sikre sig, at der er markeret ved funktionen ”Tillad ikke undtagelser” i det første vindue.
I det næste vindue er der en liste over alle de programmer, der har adgang gennem ens firewall. Sluk for alle dem, du ikke bruger aktivt, og tryk OK. Sørg også for, at der er krydset af ud for ”Vis en besked, når Windows Firewall blokerer et program.”
Som standard opretter Windows også en log over firewallaktivitet og gemmer den i C:WINDOWSpfirewall.log.
Proceduren svarer til Vista. I Kontrolpanelet vælger man ”Tillad et program gennem Windows Firewall” i sikkerhedssektionen. Det udløser det samme vindue som i XP. Inspicer alle åbne porte og luk dem, du ikke har brug for.
Hvis din bredsbåndsrouter indeholder en firewall, er det en god ide at opdatere din firmware regelmæssigt og at blokere trafik på alle andre porte end e-mail ind og ud (portene 25 og 110), HTTP (port 80) og HTTPS (port 443). Du må under ingen omstændigheder lade Microsofts NetBIOS-tjenester komme igennem (portene 137 til 139), for de er sårbare over for angreb.
Se i boksen ”Test din sårbarhed” oplysninger om en onlinetjeneste, der kan vise dig, hvilke af din pc’s porte, der kan ses fra internettet.
Kommunikationssoftwaren i et operativsystem minder om et løg, fordi det består af forskellige lag af data. Begyndende med det nederste lag er de:
Det fysiske lag styrer netkortet og den måde, hvorpå det sender individuelle stykker information over nettet.
Data Link-laget står for at samle indgående stykker og korrigere eventuelle transmissionsfejl.
Netværkslaget indeholder funktionalitet til at overføre data og implementere tjenestekvalitets-operationer. ”ip” i tcp/ip eksisterer i netværkslaget.
Transportlaget indeholder software, der tjekker, om dataene ikke er gået fejl under transmissionen. ”TCP”-komponenten bor i dette lag.
Session-laget giver avanceret funktionalitet til opsætning og nedbrydning af forbindelser mellem maskiner.
Præsentationslaget er et bibliotek af funktioner og datastrukturer, som programmører bruger til at præsentere data til netværket med henblik på transmission til en anden maskine. Det bruges også til at modtage data. Et eksempel er SSL, der bruges til at kryptere data før transmissionen.
Det sidste lag er applikationslaget, der er et bibliotek af funktionskald, som applikationerne kan bruge til at kommunikere med præsentationslaget, såsom et SMTP-bibliotek, som man vil bruge til at lave sin egen mailserver.
