Beklager, det var for fristende å la være å bruke den overskriften.
Temaet er - selvfølgelig - passord. Denne gang av teknisk art, og med interesse for større organisasjoner. Desto større organisasjon desto viktigere, og ikke minst farligere.
Det jeg skal bruke litt tid på i en del kommende bloggposter starter her.
Jeg begynner med eventyret om Ali Baba og de 40 røverne, slik at det blir en sammenheng med billedbruken min :-) (Tegningen er forøvrig laget av Maxfield Parrish, og er også illustrasjonen av som brukes i Wikipedias artikkel om nettopp Ali Baba.)
Ali Baba overhører røverne da de står foran den magiske porten til fjellhulen, da de sier "Sesam, sesam, lukk deg opp!". Etter at røverne har forsvunnet og porten igjen har lukket seg, så går Ali Baba frem til porten og gjentar de samme ordene slik at porten åpner seg.
Hva om det samme prinsippet kunne brukes for å tilegne seg uautorisert adgang til et datasystem?
Løst oversatt til "passordspråk" har Ali Baba gjennomført et credential forwarding attack. Ali Baba vet ikke hva ordene egentlig betyr, men han har sett hva de gjør. Han har fått tak i ordene (= passord), og han videresender dem til systemet han vil inn i (= røvernes hule).
På Microsoft Windows systemer spesifikt har dette fått slengnavnet "Pass-the-Hash" angrep. I praksis er dette et angrep hvor angriperen ikke trenger å vite ditt passord for å oppnå dine tilganger til de systemer du normalt har tilgang til.
Sagt på en annen måte: det spiller egentlig ingen rolle hvor langt eller avansert passordet ditt på Windows er.
Selvfølgelig er det noen forutsetninger her for at utsagnet skal stemme, de skal jeg komme tilbake til i senere bloggposter.
La meg si det slik; jeg tror egentlig ikke Kredittilsynet helt innså de mulige konsekvensene av tyveriet de opplevde sommeren 2007, og rapporterte om til Finansdepartementet kort tid etter. Ei heller Finansdepartementet. Her er en liste over rimelig logiske påstander fra meg:
1. De hadde en IT-avdeling som installerte nye maskiner til ansatte
2. De som installerte nye maskiner hadde høyere rettigheter enn vanlige brukere ellers
3. De kjørte med rimelig standard sikkerhetsinstillinger i Windows
4. De hadde en passordskifte frekvens i området 30-90 dager
5. De benyttet ikke full harddisk kryptering
Dersom de stjålne maskinene var blitt installert før installasjonspersonellet hadde skiftet sine personlige passord i henhold til pkt 4, så ville deres brukernavn og passord ligge svært lett tilgjengelig på de stjålne maskinene. Hva kan en angriper gjøre med administrativ tilgang på pc'er og i et Windows domene? Alt. Absolutt alt.
Deres påstand om at de stjålne maskinene ikke inneholdt noen sensitiv informasjon var en sminket sannhet; de inneholdt mest sannsynlig sensitive data (brukernavn/passord) som kunne gi full tilgang til det aller meste i Kredittilsynets interne systemer. En vesentlig forskjell vil jeg påstå, ift hva de angivelig rapporterte til Finansdepartementet.
Så for å runde av skrivingen for i kveld; det kommer flere bloggposter rundt dette i dagene fremover. Etter å ha kjent til angrepsteknikken og verktøy for dette siden 1997 er det virkelig på tide å ta bladet fra munnen. IT Norge bør gjøres oppmerksom på en potensielt stor risiko som mange enda ikke kjenner til, og ei heller har gjort noe med i mangel på viten.
Mer kommer.
No comments:
Post a Comment
All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.