– Du ville ikke latt barnet ditt skyte med pistol på en skytebane uten å lære det om sikkerhet først.
Eksempelet er kanskje typisk amerikansk, men Luke McOmie, en amerikansk spesialist på blant annet penetrasjonstesting, brukte det under et intervju med digi.no. Da hadde han nettopp gått av scenen under Paranoia-konferansen til Watchcom i forrige uke.
Eksempelet ble nevnt i forbindelse med et spørsmål om sikkerhet og tingenes internett.
Les også: NSM vil stanse hackerangrep med DNS
Bare en ny leke
– Folk vil gjerne ha nye, fine ting, men ser ikke hvordan dette utgjør en trussel mot sikkerheten deres. De vil bare ha en ny leke å leke med.
McOmie sa at for hver nye ting du kobler på nettverket ditt, desto flere angrepsflater skaper du. For eksempel har skriveren like mye tilgang til det interne nettverket som andre enheter.
– Smart-tver er enkle å hacke seg inn i, det samme er kjøleskap og kaffemaskiner.
McOmie begynte med hacking i en alder av tolv år. Han var inspirert av filmen Sneakers og ville bli som hovedpersonene i denne, altså spesialister på å bryte ned sikkerhetssystemer. Da han var 16, startet han sitt eget selskap, noe som i praksis var en hackerorganisasjon som raskt ble oppsøkt av FBI. Men fra McOmie var 18 har hatt blant annet amerikanske myndigheter som kunde. I dag driver han sitt eget uavhengige sikkerhetskonsulentselskap.
Som CPU-er fra 1971: De teknologiske utfordringene for tingenes internett
Penetrasjonstesting
Under foredraget fortalte McOmie blant annet om jobben han gjør som penetrasjonstester. Det vil si at han og kolleger leies inn av virksomheter som ønsker å teste både IT-sikkerheten og den fysiske sikkerheten til virksomheten. Svært mye av det hører hjemme under begrepet sosial hacking.
Det er mange måter å få fysisk tilgang på. For eksempel kan man sørge for å bli invitert av vaktmesteren, naboer, vedlikeholdsarbeidere eller andre som har normal tilgang til bygget. Alternativt kan man for eksempel kopiere adgangskortet til en som har tilgang.
Får man deretter lagd samme t-skjorte som de ansatte går med, sklir man rett inn i miljøet.
– Vi gjør mye for banker, nasjonale myndigheter, sykehus, telekom – enhver bransje har behov, og alle bransjer blir hacket, sa McOmie.
– Vår jobb er å få folk til å forstå hvordan vi kan hjelpe dem. Hvis du vil sikre deg mot angrep, må du tenke som angriperne.
Derfor må testangrepene være realistiske. McOmie sa at han må vurdere å ta på seg skuddsikker vest fordi vaktene hos en kunde er bevæpnet og ikke vet at det dreier seg om en test.
Les også: Dårlig sikring i nettbutikkene
Billigere og enklere
Elektronikk som er både mindre og mye billigere enn tidligere, gjør inntrengingsjobben enklere.
– Det er mye enklere å komme inn med et nettbrett enn med mye tungt utstyr.
– Mange sier at de ikke er et mål. Men alle med en pc er et mål. Mange sier at de ikke er kompromittert, men sannsynligvis er alle det allerede.
Problemet, ifølge McOmie, er folks manglende årvåkenhet. Han mener at hjernen til folk er det viktigste sikkerhetsverktøyet, men at årvåkenhetsnivået må heves.
– Folk skjønner ikke risikoen. En venn av meg fikk en gang passord fra folk ved å gi dem sjokolade, sa McOmie til digi.no. Han nevner at de fleste vil beskytte seg mot personlige spørsmål, for eksempel om sex, at de føler det som en trussel.
– Kanskje vi burde få til det samme med sikkerhetsinformasjon, sa McOmie.
Han innrømmer at dette er et arbeid i motbakke å bedre sikkerheten. Men han har en del råd å komme med. Det første er å skape en sterk sikkerhetskultur i organisasjonen og ha gode prosedyrer på plass. Dessuten må man finne ut hvor manglene er.
Manglende trening: Norske nettselskaper øver ikke på IT-angrep
Elektroniske trusler
– De fleste hacks skyldes gale valg. Alle patcher i dag operativsystemene, men i mindre grad det brukerne selv har installert. Og brukerne ignorerer varsler om oppdateringer gang på gang, sa McOmie.
Han nevnte også at virtuelle maskiner i store serverparker kan være ekstra utsatt, fordi hypervisoren skaper en ny angrepsflate.
– Datasentre har ofte tusenvis av kloner, så tar du én, tar du alle, sa han og mener man må tenke mer på segmentering og isolasjon. Han nevnte dessuten at mange datasentre har et eget vedlikeholdsnett eller lignende hvor det ofte benyttes dårlig passord som sjelden byttes ut.
Les også: Sperrer tilgangen til mobilbank-app
Usikker teknologiutvikling
Et problem McOmie tok opp i foredraget var forholdet mellom brukervennlighet og sikkerhet. Han nevnte WLAN som et eksempel, hvor sikkerheten gradvis har blitt bedret med sterkere teknologier.
– Til slutt ble det for vanskelig. Derfor kom man i stedet med WPS (Wi-Fi Protected Setup), som enkelt kan knekkes med brute force. Da er man tilbake til utgangspunktet. Det samme ser vi gang på gang innen teknologi, sa han.
Han nevnte også betalingskort som tar i bruk trådløse avlesningsteknologier som RFID og NFC.
– Det reduserer sikkerheten dramatisk fordi kortene kan leses uten av eieren vet det, sa McOmie og viste publikum en video hvor han med en enhet kopierte RFID-informasjonen i kortet som lå i baklommen til en person, som snakket i mobiltelefon ute på gaten. Det ble gjort på sekunder uten at korteieren i det hele tatt registrerte hva som skjedde.
Personen var bare opptatt av mobiltelefonen.
Passordsikkerhet: Hvordan kunne IS hacke en TV-stasjon?
Passord
Et annet problem McOmie nevnte, er at veldig mange enheter, fra bredbåndsruterne i hjemmene til systemet knyttet til viktig infrastruktur, har passord som både er av lav kvalitet og som sjelden eller aldri blir erstattet.
Et godt eksempel på dette ble presentert under RSA-konferansen i forrige uke, hvor det ble kjent at en av de største, amerikanske leverandørene av salgsautomater har brukt det samme passordet, 166816, siden 1990. Tester som har blitt utført viser at passordet ikke har blitt byttet ut på 90 prosent av automatene.
– Mange av de store selskapene har blitt hacket så mange ganger at de ikke bryr seg lenger. De kjøper forsikring mot tapene i stedet. Men forsikring er ikke sikkerhet, sa McOmie.
Sovepute?Nå kan du forsikre deg mot dataangrep