Jaha, då var det dags för ännu en tillverkare att bli ertappad med att stå med huvudet långt ned i den gödselhög som befolkas av de tillverkare som bygger in medvetna bakdörrar i sina ”säkerhetsprodukter”. Denna gång i form av Fortinet som uppenbarligen tycker det är en bra idé att implementera bakdörrar i en brandvägg, och vars enda skydd är ett statiskt hårdkodat lösenord. Som exempel på denna bakdörr gjordes en livedemo mot en FortiWifi.
Förutom att just ovanstående produkt är att betrakta som rent skräp bör ju naturligtvis alla andra produkter från Fortinet ifrågasättas. Detta gäller naturligtvis inte enbart Fortinet utan även alla andra tillverkare som medvetet väljer denna vansinniga väg. Nuförtiden har man ju tyvärr slutat bli förvånad över sådana här dumheter, men det gör inte att man blir mindre upprörd.
Det finns förespråkare av bakdörrar och som av olika anledningar tror att dessa ska kunna hållas hemliga och endast åtkomliga i ”goda syften”. Vi på Certezza tycker detta är ett extremt naivt och verklighetsfrånvänt resonemang som i längden bara leder till en värld av smärta. Dagen då illasinnade element får tillgång till bakdörrar, och andra metoder att kringgå skyddsmetoder, är också dagen då skyddsmekanismer istället kan fungera som vapen som slår tillbaka mot de som tillämpat skyddsåtgärden ifråga. Vi i Sverige är heller inte skyddade, se bara på det som skrivits om admin-ingångarna till Bredbandsbolagets Zyxel-routrar.
En riktig intresseväckare var frågan man ställde sig om Advanced Persistent Threats (APT) verkligen var så avancerade. Presentationen tog upp flera nyligen uppmärksammade attacker såsom Office of Personnel Management (OPM), Anthem och Ashley Madisson. I alla dessa tre fall har talespersoner för organisationerna talat om att attackerna som genomfördes var mycket sofistikerade. Eller är det egentligen bara dålig säkerhet det hela handlade om? Gällande Ashley Madison så var den troliga attackvektorn en SQL-injection. Man lyckades tanka hem otroligt mycket data, bl.a. ett dokument som beskrev att den interna IT-säkerheten var dålig! I övrigt var nätverket inte segmenterat och lösenordet var ”Pass123” för root-kontot på samtliga servrar. Kan man då säga att det var en sofistikerad attack? Ja, för Ashley Madison var det så, eftersom man inte på långa vägar hade någon sofistikerad informations- eller IT-säkerhet. Men objektivt sett är attacken bara en i den långa raden av attacker som utnyttjar enkla medel.
Attacken mot Anthem (som resulterade i att 80 miljoner personer fick sina hälsodata stulna) var en aning mer sofistikerad i den bemärkelsen att man utnyttjade s.k. watering hole attack. Det som däremot inte var sofistikerat var att organisationen inte upptäckte intrånget på över nio månader! Det fanns inga varningssignaler aktiverade som kunde reagera på att man hämtade data ur databaserna för så otroligt många poster.
Vad kan man då säga att lärdomen är? Som vi så många gånger har hört på säkerhetskonferenser så är det ”anta att du redan nu har ett intrång”, d.v.s. istället för att lägga alla resurser på att skydda sig mot intrång, lägg resurser på att upptäcka ett intrång och minska möjligheterna att kunna plocka ut data som ett resultat av intrånget. Man ska alltså kunna hantera alla fyra faser: prevention, protection, detection och reaction. Likväl som angriparna är uthålliga och adaptiva och förväntar sig motgångar, så ska också ett säkerhetsarbete utföras.
Carl Önne och Conny Balazs