Tidigare har jag nämnt en incident från verkligheten där en lucka i den omnämnda lösningen innebar att företag som delade på en gemensam brandväggslösning hade fullständig access till varandras nät. I samma artikel avslutade jag med att nämna möjligheterna att anlita en tredje part som kritiskt granskar en leverantörs lösningsförslag och gör allt för att finna de luckor som kan finnas i lösningen. Flera har sedan dess frågat hur detta går till, vem kan man anförtro för dessa uppdrag och finns det någon garanti att det inte finns några luckor kvar i lösningen efter en granskning.
Det sista frågeställningen är enklast att besvara. Det finns inte någon som kan garantera en lösning till 100%. Det som brukar vara praxis är att leverantören kan garantera att det inte finns några kända luckor i lösningen. Okända luckor är betydligt svårare att försäkra sig emot. Det som skiljer olika leverantörer från varandra är hur många luckor de känner till i olika produkter och i olika lösningar.
Vid en granskning så är det vanligt att lösningen inledningsvis granskas med ett standardverktyg. Det finns en handfull erkända verktyg på marknaden. Dessa verktyg letar efter kända luckor. Det kan vara allt från att testa en känd igång i flera mailservers till att stressa ett system så att en känd lucka öppnar sig. Dessa verktyg är ett bra första steg för att hitta kända svagheter i en specifik resurs. Verktygen är förhållandevis enkla att använda, det kan dock vara svårt för en oinvigd att tolka resultatet. Nackdelen med dessa verktyg är att de kan invagga en i någon form av falsk trygghet. Verktygen hittar inte alla kända luckor och allt för ofta så missar man helheten i en lösning och man stirrar sig blind på ett fåtal komponenter i lösningen. Jag har sagt det förut, med detta kan inte upprepas allt för många gånger. Ingen kedja är starkare än den svagaste länken! Den som granskar en lösning måste förstå lösningen.
De enklaste formerna av Rent-a-Hacker är just en penetrering av en specifik resurs med ovan nämnda verktyg. Har man själv inte tillräcklig kunskaper för att nyttja dessa verktyg kan dessa tjänster vara bra, men annars inte. Mer avancerade former av Rent-a-Hacker bygger på att den eller de personer som utför granskningarna själva har samlat på sig en enorm erfarenhet om brister i system och kan med dessa erfarenheter hitta luckor som inget verktyg hittar. Dessa tjänster kan vara guld värda för dem som har känslig information att skydda. Svårigheten är att hitta denna form av tjänst och att förvissa sig om att tjänsten är så bra som den utger sig för att vara. Om tiden för att professionellt granska en lösning rör sig om ett par dagar, då kan man vara tveksam till att det verkligen är proffsen som är i farten.
Jag hade själv möjlighet att träffa ledaren för det team som anlitats av FBI och CIA för att utföra granskningar av deras system och något som han var noga med att pointera var just att vidga vyerna. Glöm inte bort hur det hela började. Phrackern som scannade telefonnummer för att leta efter modem inom det område där det tilltänkta offret befann sig. En metod som fungerar minst lika bra idag. Vem har inte noterat alla dessa modem som är anslutna direkt till det företagsinterna nätet. Dagens LAN-anslutna faxar är en annan möjlig väg in, något som detta team nyttjat ett flertal gånger. En annan svag länk är de godtrogna medarbetarna i företaget. Det är inte speciellt svårt att ikläda sig rollen som exempelvis servicereparatör och den vägen skaffa sig den information som behövs för att forcera känsliga system. Något som flera banker i Nordamerika fått erfara vid granskning.
Listan kan göras lång. Men mitt budskap är enkelt, fokusera rätt och ha rätt ambitionsnivå. En granskning av Ert system får rimligen inte kosta mer än vad den eventuella skadan som kan uppkomma vid en attack kostar. Slutligen skall Ni ställa krav på Era leverantörer, det är trots allt deras lösningsförslag som skall hålla måttet och svara upp för nutidens krav. Inte gårdagens krav!
Thomas Nilsson
