Glem skytevåpen, finlandshetter og raske fluktbiler. Slike gammeldagse kriminelle finnes fortsatt, men moderne banditter bruker hodet, datamaskiner og internett. Det er ikke lengre snakk om en mesterhjerne, de er alle mesterhjerner. Jeg skal møte tre av dem. Tre personer som har spesialisert seg på å gjøre elektroniske innbrudd på bestilling, og i dag skal vi angripe en norsk finansinstitusjon.
- Vi er ikke hackere, sier Eirik Saltkjel, fagansvarlig for sikkerhetstester i Watchcom, og prosjektleder for dagens oppdrag.
Disse gutta får betalt for å tenke som hackere og for å jobbe som hackere, men de liker ikke å bli kalt hackere. De er sikkerhetstestere. Saltkjel og hans to prosjektdeltagere, teknologisjef Arnfinn Roland og senior sikkerhetskonsulent Børge Oliversen, er veldig opptatt av å gjøre det helt klart. Selv om mange mener det er en stor forskjell på en hacker og en cracker, har hacker-betegnelsen blitt såpass belastet at sikkerhetsselskapet Watchcom ikke engang kan ta sjansen på å bli assosiert med ordet hacker.
Når de nå utfører et angrep mot en norsk finansinstitusjon, er det med kundens viten og vilje. Finansinstitusjonen vil ha en penetrasjonstest, et simulert hacker-angrep, for å se om løsningen deres er så sikker som den bør være. Noen kunder, som denne, har et profesjonelt forhold til sikkerhet. De gjør det de kan for å sikre seg, og dette er kundens andre penetrasjonstest. Andre ganger kommer oppdrag etter at kunden har opplevd et angrep. Det er det imidlertid få som vil fortelle noe om, men det er noen avslørende signaler.
- Hvis administrerende direktør og sentrale personer stiller i møtene kan det være et signal om at noe har skjedd, sier Eirik.
- Hvis administrerende direktør og sentrale personer stiller i møtene kan det være et signal om at noe har skjedd I dag skal vi gjøre et veldig avgrenset angrep. Vi får bare en dag på oss, og vi får ikke lov til å bruke teknikker som kan forstyrre selskapets daglige drift. Angrepet skal være avsluttet innen 17:00. Det er en uvanlig kort frist, og det vil gjøre jobben vanskeligere enn vanlig.
Vi setter oss på møterommet midt i kontorlandskapet. Kaffen står klar og angriperne kobler sine bærbare PC-er på nettet gjennom hver sin nettverkskabel. Her er trådløse nett bannlyst. Gutta er paranoide, og stolte av det. Så stolte at Watchcom hver høst arrangerer en sikkerhetskonferanse som går under navnet Paranoia. Årets konferanse ble passende nok startet med at en av foredragsholderne ble arrestert på vei til konferansen, men det er ikke derfor gutta er paranoide. Som sikkerhetsselskap er de både et potensielt trofé og en verdifull informasjonskilde, hvis noen skulle klart å bryte seg inn og utplassert spionprogrammer.
Rekognosering
- Vi vet bare kundenavnet. Det er der det starter, sier Eirik.
Mer trengs ikke for å sette i gang et angrep. Det begynner med en rekognoseringsfase. Prosjektlederen forteller hvem som er oppdragsgiveren og dagens mål. Så starter informasjonsinnsamlingen. Her brukes åpne kilder som bedriftens hjemmeside, stillingsannonser, Brønnøysundregisteret og søkemotorer.
- Google er en av våre aller beste venner, sier Eirik.
- En informasjonslekkasje leder gjerne til en annen. Dette tar gjerne en time eller to, sier Eirik.
Arnfinn går fremt og tilbake mellom PC-en og en flippover. Der begynner han å tegne inn en logisk skisse av kundens nettverk, ut fra alle opplysningene som kommer inn. Dette er kritisk for å kunne planlegge et angrep.
- Zone-transfer er mulig, kommer det plutselig fra Børge.
Det var ikke bra. Det betyr at angriperne kan hente ut en liste over alle servere som institusjonen har utplassert mot internett. Tre aktuelle angrepsmål identifiseres raskt.
- Stakkars. Det her går ikke bra for dem. Det går for fort. - Stakkars. Det her går ikke bra for dem. Det går for fort, sier Arnfinn og unner seg en kort stående pause. Nå føler han seg trygg på at de skal klare å bryte seg inn.
Når en ekstern person kan gjøre en zone-transfer betyr at de som har satt opp DNS ikke har gjort jobben sin. DNS (Domain Name System) er systemet som holder orden på hvilke IP-adresser som tilhører hvilke domenenavn slik at man for eksempel kan skrive www.digi.no istedenfor en IP-adresse. Arnfinn gjør en zone-transfer der han later som om han kjører en sekundær DNS-server, og dermed får han ut en liste med navn og IP-adresser over alle kundens servere som er koblet direkte ut på internett.
Penetrasjonstest
Dette er en av flere forskjellige sikkerhetstester som Watchom gjennomfører på oppdrag for kundene sine. De opererer med tre forskjellige testtyper: trådløstesting, innsidetesting og utsidetesting. I dag er vi med på en utsidetest. Den kommer i to forskjellige typer: applikasjonstesting og penetrasjonstesting. Vi skal kjøre en penetrasjonstest. Det vil si en test der vi simulerer et hacker-angrep gjennom å jobbe på samme måte som hackere gjør.
- Vi gjør nok ingenting i dag som ikke kunne vært gjort fra hvor som helst i verden, sier Arnfinn.
Før testen starter, har det blitt undertegnet en avtale om hvordan testen skal foregå. Den er gjennomgått av advokater, og det er helt nødvendig. Det dreier seg tross alt om et simulert hacker-angrep, og det er svært få som vet om det. Hvis angrepet blir oppdaget av noen som ikke er informert på forhånd, kan det få store konsekvenser.
- Vi vet ikke hvor alle IP-adressene står, sier Eirik.
Det kan være et problem, for hvis sikkerhetsekspertene begynner å angripe IP-adresser som ikke tilhører kunden er det i praksis et ulovlig innbruddsforsøk mot en ukjent adresse.
- Jeg vil vite om det finnes en mailserver her. Vi sender en e-post til de. Forhåpentligvis har de satt opp serveren feil, så den bouncer tilbake til oss, sier Arnfinn.
- Det ser ikke sånn ut. Det var som svarte! Kjør den til postmaster. Den er nødt til å være der, sier Arnfinn.
- Jeg fikk en bounce, en suksessfull bounce, sier Børge.
En bounce er en e-post som kommer i retur fordi det ikke var en mottaker på den adressen som ble oppgitt. En slik e-post kan avsløre interne domenenavn og interne IP-adresser. Arnfinn går mellom sin bærbare og en flippover. Han noterer flittig. Flippoveren fylles opp med informasjon, og oversikten over kundens nett trer etter hvert tydelig frem.
Sikkerhetsekspertene fortsetter å hamre løs på kundens vaklende forsvar.
- Kjør en spider, sier Arnfinn.
En spider er en søkemotor som spoler gjennom alle siden på en webserver. Sikkerhetstesterne bruker den til å finne eventuelle åpne kataloger eller lenker til sider som ikke alle skal se. Eirik forteller at de på et oppdrag fant en lenke til en intern bruksanvisning som forklarte hvordan brukerne skulle koble seg opp til bedriften gjennom RAS (Remote Access Server). Websiden var blitt fjernet, men de fant en kopi av den gjennom Googles cache-funksjonalitet.
IT, norrøne guder og tegneserier
Sikkerhetsekspertene har alle IT-bakgrunn. De kan både programmering og nettverksteknologi, men ofte må de hente frem kunnskaper som de færreste ville tro er relevant. Tidligere denne høsten utførte de en sikkerhetstest på en ny løsning som ikke var tatt i bruk ennå. Etter å ha prøvd ut flere forskjellige teknikker klarte de å finne et brukernavn: Pondus.
Når IT-avdelingen skal sette opp nye systemer må både spesielle brukerkontoer med administratortilgang, samt servere navngis. I dette tilfellet hadde vedkommende som gjorde det latt seg inspirere av Frode Øverli's suksesstegneserie. Med et avslørt brukernavn, gjaldt det å lete seg frem til et relatert passord. Det fant de ved å lese gjennom en bunke med tegneserier, og svaret fant de i navnet på en av tegneseriens bi-karakterer.
- Endelig kom all tegneserie- kunnskapen min til gode - Endelig kom all tegneseriekunnskapen min til gode, sier Børge.
Det kan høres ut som et sært tilfelle, men det er ikke det. Mange serverrom er fylt opp med navn som Donald, Mikke, Dolly og flere andre fra Disneys univers. Watchcom forteller også at norrøne guder som Tor og Odin også er veldig vanlige på norske serverrom. Slike kunnskaper gjør det lettere for hackere å finne frem til systemer som ikke synes fra utsiden.
På tross av mye oppmerksomhet rundt sikkerhet, er det fortsatt urovekkende mange som ikke tenker særlig godt gjennom hva slags passord de bruker. Brukernavnet test med passord test er en klassiker, det samme er SQL-servere med brukernavn sa (forkortelse for system administrator) og blankt passord.
Angrip!
- Nå er vi i angrepsmodus, sier Eirik.
Klokka er 12:50. Vi har over fire timer på oss, og med de funnene vi har gjort bør ikke det være noe problem å bryte oss inn hos finansinstitusjonen.
Arnfinn, Børge og Eirik angriper med forskjellige standard nettverksfunksjoner som ligger innebygget i operativsystemene de har på sine bærbare PC-er. Kunden merker neppe noe som helst.
- Jo mer profesjonelt, jo mindre ser man. Jo mer støy, jo mindre sannsynlig er det at angrepet får alvorlige konsekvenser, sier Eirik.
I dag har vi bare en arbeidsdag på oss. Hvis vi hadde hatt bedre tid kunne vi gjort et mer omfattende angrep uten å bli oppdaget. En liten fordel har vi imidlertid. Vi trenger ikke å skjule våre spor. Det spiller ingen rolle om vårt angrepsmål klarer å spore angrepene tilbake til oss. I praksis er imidlertid ikke det et problem for hackere heller. Det finnes nok av anonyme proxy-servere som lar nettbrukere skjule hvor de kommer fra. Alt fra privatpersoner til land som stiller anonyme proxy-servere til disposisjon for de som ønsker å bedrive faenskap uten å bli tatt.
Jobben blir ikke like lett som sikkerhetsekspertene først trodde.
- Her trodde vi at vi hadde en svakhet som vi kunne utnytte, men så enkelt var det ikke det. Det kan se ut som at de har vært litt slepphendte på de enkle tingene, men at de har kontroll på de kritiske områdene, sier Eirik oppgitt.
Sikkerhetstesterne har dårlig tid i dag, men det har gjerne hackere også. Hvis de ikke kommer inn på de første forsøkene gir mange opp og prøver på naboen, omtrent som når en biltyv går til bilen ved siden av når han ser at den ene har alarm og den andre ikke har det.
- Her hadde vi sannsynligvis kommet inn hvis vi hadde hatt god tid, sier Eirik.
Det har vi ikke.
- Å bryte seg inn via nettverket er ofte ikke så lett lengre. Det er veldig vanskelig å komme inn i et system som er satt opp etter "best practices" og som er fullt opp patchet, sier Arnfinn.
14:02
Systemet har ingen åpenbare svakheter som kan utnyttes.
Social engineering
Sikkerhetsekspertene bestemmer seg for å prøve seg på litt "social engineering". De trenger å vite IP-adressen til epostserveren for å kunne angripe den, og den satser de på å hente ut ved å sende en e-post til en av de ansatte. I denne e-posten vedlegger de et bilde, men istedenfor å legge det inn i selve eposten, legger de det inn som HTML-kode som henter det opp fra deres server. Håpet er at mottageren åpner for å laste ned bilder, slik at de kan få loggført en hendelse på webserveren der bildet ligger. I så fall vil de få IP-adressen til brukeren, og da har de det de trenger.
14:40
- Da har vi sendt mail. Nå er det bare å vente, sier Børge.
14:50
- Da svarte han mailen. Har det kommet noe i loggen?
- Ikke noe i loggen, svarer Eirik.
Sikkerhetsekspertene stirrer intenst på skjermene sine, og det blir stille. Etter hvert synker det inn at vedkommende ikke biter på agnet.
- Nå sitter vi litt fast og tar en liten timeout, sier Eirik.
Sikkerhetsekspertene har holdt på hele dagen uten å ta en eneste pause utover lunsjen. Nå tar de seg til en kort hvil. Den består i å lene seg bakover mens de fortsetter å stirre på PC-skjermene.
Etter hvert finner de IP-addressen til e-postserveren, men den står ikke inne på kundens nett. Den er utplassert hos en ekstern leverandør, og da er det utenfor prosjektets rammer å angripe den. Det samme er tilfellet med kundens database-server. Apache-webserveren har ingen kritiske sikkerhetshull og Citrix-serveren er for godt beskyttet til at den kan knekkes på den lille tiden sikkerhetsekspertene har til rådighet.
Sikkerhetsekspertenes tidlige optimisme er borte. De fant mange småfeil til å begynne med, men så stoppet det opp.
- Man føler seg bedre når man finner noe. Får ofte vondt i magen før man presenterer en rapport uten problemer, mens kundene som regel er kjempefornøyd. - Man føler seg bedre når man finner noe. Får ofte vondt i magen før man presenterer en rapport uten problemer, mens kundene som regel er kjempefornøyd, sier Arnfinn.
Zone-transfer alene er ikke nok til klassifiseres som en medium trussel, men det blir den sammen med noe annet. Det har vi dessverre ikke klart å finne. Det er en del rot rundt oppsettet på DNS og e-post, men det er ikke en mulig angrepsvinkel i dette prosjektet.
En time igjen
16:01
- Eirik. Du må gjøre en oppsummering. Det her går ikke, sier Arnfinn.
Skuffelsen ligger tykt utenpå. Det er fortsatt en time igjen, men håpet har svunnet hen.
- På det her tidspunktet burde vi hatt noe konkret å jobbe med - På det her tidspunktet burde vi hatt noe konkret å jobbe med, sier Arnfinn.
Han vil ta en tur utenfor kundens lokaler for å prøve å snappe opp noen opplysninger fra deres trådløse nett, men får kontant nei fra prosjektlederen. Det er utenfor prosjektets rammer.
16:14
Utenfor møterommet sitter det fortsatt mange igjen og jobber. En av jentene på jobben reiser seg opp, kler på seg og vinker ha det før hun går.
Børge, Arnfinn og Eirik merker det ikke. De stirrer intenst på PC-skjermene og jobber på spreng med å finne en løsning før tiden renner ut.
16:17
- YES! da er vi inne som admin!
Eirik har klart å komme seg inn på kundens publiseringsløsning. Det kom som lyn fra klar himmel.
- Dette er stort og kritisk, sier Eirik.
Han har kjørt et kort brute-force angrep mot publiseringssystemet. Med flere hundre forsøk i sekundet, ble passordet raskt avslørt.
- Det var bare en administrator, og det var meg, sier Eirik fornøyd.
- Det var bare en administrator, og det var meg Så spørs det hvor fornøyd kunden blir. Sikkerhetsekspertene klarte å finne et alvorlig sikkerhetshull. Nå har vi full tilgang til hele internettløsningen. Vi kan publisere artikler på kundens hjemmesider, og vi kan lese artiklene på kundens intranett. Dessuten har vi brukernavn som stemmer overens med brukernavnet på andre systemer. Det er bare et spørsmål om kort tid før vi kunne kommet inn på flere systemer.
- Er det alvorlig nok til å ringe?
I avtalen med kunden er det en klausul om å varsle umiddelbart hvis det avdekkes et alvorlig sikkerhetshull. Der står det blant annet: "Skulle Watchcom Security Group under utførelsen av sikkerhetstesten oppdage sårbarheter som utgjør en stor risiko, vil dette bli varslet øyeblikkelig"
Det blir stille et lite øyeblikk mens de tenker seg om.
- Ja, vi må ringe i løpet av kvelden.
Oppskriften
Det hele var tilsynelatende enkelt, men det var ikke trivielt. Det første gjennombruddet kom med zone-transfer åpningen som avslørte IP-adressen til flere servere. En spider på denne serveren avdekket en påloggingsside, og med litt kvalifisert gjetning var det mulig å manipulere URL-strengen så man kom til påloggingssiden som administratoren bruker for å drifte publiseringssystemet. Administratorbrukeren ble funnet relativt lett. Det finnes stort sett alltid en superbruker som heter administrator, admin, editor, sysop eller noe lignende. Deretter var det bare å kjøre på med et brute-force program, og den trengte bare noen få sekunder på å avsløre passordet.
Denne høsten har digi.no forsøkt å kjøre noen såkalte feature-saker. Det vil si saker skrevet i samme stil som for eksempel A-magasinet, men med fokus på temaer som opptar IKT-bransjen.
Vi har tidligere tilbragt en dag sammen med Community Manager Knut Yrvin i Trolltech for å fortelle litt om det som kan ses på som en «Borgerkrig i kunnskapssamfunnet»: - Det er det rare. Folk betaler selv om de ikke må.
Vi har også besøkt IKT-Norges revolvermann, Per Morten Hoff, for å høre hvordan organisasjonen jobber for å ivareta bransjens interesser. Han skyter fra hofta og er ikke redd for å hisse på seg meningsmotstandere: - Jeg hadde aldri drømt om at de skulle tenne så jævlig som de gjorde. Jeg fyrer av en liten sprettert og så svarer de tilbake med Scud-raketter