tirsdag 8. desember 2009

Brute-force ssh angrep...

Litt gøy å følge med på et brute-force ssh angrep som pågår mot serveren hjemme akkurat nå. Oppsettet mitt er slik at etter 3 mislykkede forsøk blir IP-adressen blokkert i litt over en uke, samtidig som jeg mottar en mail om hva som har skjedd. Normalt mottar jeg en til to slike mail hver dag, men i dag kom det plutselig flere hver time.

Nysgjerrig som jeg er så måtte jeg selvsagt sjekke loggene mine. Her er et utdrag fra filen som inneholder mislykkede innloggingsforsøk (/var/log/auth.log) - og det jeg har plukket ut er tidspunkt, brukernavn som er forsøkt og hvilken maskin det kom fra:
Dec  8 15:57:58 - bob - bzq-62-219-4-102.static.dcenter.bezeqint.net
Dec 8 16:03:09 - bobby - 135.196.243.201
Dec 8 16:05:29 - bob - 80.169.105.159
Dec 8 16:10:15 - bogdan - mail.atkft.hu
Dec 8 16:37:28 - brenda - host132-57-static.105-82-b.business.telecomitalia.it
Dec 8 16:40:51 - abuse - static-217-133-94-17.clienti.tiscali.it
Dec 8 16:47:19 - brett - 58.247.222.163
Dec 8 17:14:15 - browser - p50993b1c.dip0.t-ipconnect.de
Dec 8 17:16:36 - bruno - mt1.magicwisp.com
Dec 8 17:26:41 - bsf - 196.211.112.186
Dec 8 17:50:41 - ca - p50991a89.dip0.t-ipconnect.de
Dec 8 18:03:11 - caixa - mail.medprax.co.za
Dec 8 18:10:08 - calendar - 83-65-46-117.krugerstrasse-krems.xdsl-line.inode.at
Dec 8 18:35:10 - carina - 177.71.233.220.static.exetel.com.au
Dec 8 18:57:10 - carolina - mail.cuscatlan.net
Dec 8 19:02:07 - caroline - 220.162.241.11
Dec 8 19:04:36 - caroline - ip-191-19.sn2.eutelia.it
Dec 8 19:09:36 - carolyn - 201.227.239.11
Dec 8 19:14:43 - carsten - r200-40-80-34.ae-static.anteldata.net.uy
Dec 8 19:16:49 - case - 203.197.128.205
Dec 8 19:21:58 - cassie - 196.211.189.210
Dec 8 19:24:13 - cast - mx.unsam.edu.ar
Dec 8 19:26:32 - catalina - 108.48-78-194.adsl-static.isp.belgacom.be

Hehe... det vi ser her er at et bot-nett brukes for å systematisk gå gjennom en serie med brukernavn, og de gjør det forholdsvis sakte for å unngå deteksjon. Et par minutter mellom hvert forsøk, og en god del lengre mellom hver gang samme maskin kommer tilbake med nytt forsøk.

I skrivende stund har jeg registrert 304 forsøk, og det skal bli spennende å se hvordan dette utvikler seg videre.

onsdag 11. november 2009

Datalagringsdirektivet, del 4

Nytteverdi. Veldig mange som argumenterer for datalagringsdirektivet (DLD), trekker frem terrorisme og pedofili som eksempler på hva som skal bekjempes. Jeg ønsker å trekke frem et annet område hvor logdata er til stor hjelp, også for å bedre sikkerheten til den enkelte.

IT Sikkerhet. Veldig mye av det operative arbeidet med IT Sikkerhet foregår ved å analysere logger. Dette kan være logger fra webservere, proxy løsninger, brannmurer, mailservere og mye mye mer. Når man oppdager at en maskin på nettverket er infisert med en ondsinnet kode, brukes loggene både til å spore hvordan hendelsen oppsto og for å se om andre kan være infisert av det samme.

Hva er ondsinnet kode? Uttrykket er en oversettelse av det engelske ordet "malware", som igjen er sammensatt av ordene "Malicious Software". Betegnelsen brukes om programkode som er utviklet med ond hensikt, som f.eks. til å stjele informasjon eller penger. Informasjon samles også inn i så store mengder i dag, at de kriminelle selger uvasket informasjon fordi de selv ikke har nok ressurser til å gjennomgå alt. En av egenskapene som er ønskelig av de som utvikler den, er at de som er infisert ikke skal merke noe. Brukere som oppdager at de er infisert, foretar seg gjerne noe for å renske opp på maskinen.

Relevans til DLD? Her må jeg nesten konstruere en historie, men som er så tett opp til dagens virkelighet at de fleste som jobber med operativ IT sikkerhet vil kjenne seg igjen:
I forbindelse med en etterforskning, tar politiet i Langvekkistan beslag i en server som kriminelle har brukt som kommando og kontroll server for sitt bot-nettverk. Dette nettverket ble brukt til å samle inn alle typer informasjon som kunne brukes til økonomisk svindel; både brukernavn/passord, kredittkortinformasjon, bankkontonummer, bruk av nettbank, med mer. Ofrene, det vil si de som blir frastjålet informasjonen, befinner seg over hele verden.

Når politiet er ferdig med sin etterforskning, videresender de overskuddsinformasjonen til politiet i de landene som ofrene befinner seg. I denne saken var Norge lite berørt og mottok informasjon om litt over tusen infiserte brukere. Alt politiet vet så langt er hvilken IP adresse ofrene hadde på et gitt tidspunkt. De har heller ikke tid til selv å varsle sluttbrukeren, så de deler opp informasjonen, bassert på IP adressene, og sender den videre til de aktuelle Internett-leverandørene.

Fremdeles er ikke IP knyttet mot person. Denne knyttingen gjøres av Internett-leverandørens abuse avdeling. De finner ut av hvilken kunde som hadde den aktuelle IP adressen på det gitte tidspunktet, for så å gi de beskjed om at maskinen deres har vært infisert og at de bør re-installere den.
Ønsker vi dette? Historien er ikke fri fantasi. Den typen informasjon jeg brukte som eksempel, blir allerede i dag utvekslet mellom land, men ikke alltid mellom politi. I tillegg tjener historien kun som eksempel på en type bruk, en av mange flere bruksområder som er til fordel for hver enkelt av oss. Og det er de relevante bruksområdene vi må bruke som eksempler i debatten, ikke de ekstreme som mest sansynlig ikke kommer til å skje.

Eller ikke? Av erfaring vet jeg at det er mye personsensitiv informasjon i dataene fra ondsinnet kode som er laget for å stjele nettopp informasjon fra offeret. Offeret og den informasjonen som er stjålet befinner seg sjelden i samme land. Ønsker man at offeret skal varsles når man oppdager hendelser som dette? Eller skal vi sørge for å slette data så tidlig at det blir umulig å finne offeret ut i fra IP adressen? Merk at vi muligheten til å varsle ofte oppstår flere måneder etter at informasjonen er stjålet...

Mitt poeng. Det eksisterer flere områder hvor den typen informasjon som DLD krever lagret har en verdi også for sluttbrukeren. Når man kun trekker frem ekstremeksemplene som pedofili og total overvåkning, bringer man debatten ut på et villspor hvor meninger ikke lengre er relatert til virkeligheten, og derfor er poengløse. Vi er nødt til å fokusere på faktisk bruk og faktisk risiko.

tirsdag 10. november 2009

Datalagringsdirektivet, del 3.

Ekstreme meninger. Det mest ødeleggende med denne debatten, er de ekstreme standpunktene som man griper til. "Kan man redde et barn, er det verdt det" sier Helga Pedersen og viser dermed at hun kjemper for noe hun ikke helt forstår. Desverre. "Truer privatsfæren som fellesgode i et fungerende demokrati" sier Jon Wessel-Aas, og viser dermed at han stiller ganske likt med Helga Pedersen når det gjelder det å se hele problemstillingen. Dette er kun to av mange eksempler, og i blogg-sfæren finner man veldig mange flere.


Ekstrem bruk. Det overasker meg også at det kun er ekstremtilfellene som dukker opp når det snakkes om bruken av dataene direktiver vil pålegge oss å logge. Politiet trekkes frem, og presenteres ofte sammen med pedofilikortet. Overvåkningsamfunnet nevnes også, gjerne sammen med referanser til Lund-kommisjonens avsløringen. Har enda til gode og se noen ta opp andre bruksområder. Hvordan brukes dataene for å oppdage de sikkerhetstruslene enkeltindivider utsettes for og på den måten styrke individets sikkerhet på nett?


Forståelse er mangelvare. Bland de som argumenterer for eller mot direktivet, virker det å være veldig få som gjennom sin argumentasjon viser at de vet hvordan tingenes tilstand er pr i dag. Motstanderene ser hva direktivet krever at man skal lagre, og mener det er nok til at vi må avvise det. At mange steder allerede lagrer veldig mye mer, er utelatt fra argumentasjonen. Heller ikke at det er et veldig utydelige regelverk for hvordan slike logger skal håndteres. Må innrømme at jeg er veldig fristet til å ta skrittet inn blant de ekstreme og påstå at det i dag er "vill vest" når det kommer til logging og bruk av slike logger.


Mulighet eller trusel. Et gjennomtenkt regelverk som både regulerer hva som lagres, hvor lenge det skal lagres og hvem som skal ha tilgang (inkl hva som er lovlig bruk), er noe vi mangler i dag. Uregulert lagring og uregulert bruk må vel kunne sies å være en like stor trussel mot personvernet som de påleggene datalagringsdirektivet kommer med. Men i tillegg til å være en trussel, kan vi vel også se på direktivet som en mulighet til å regulere det vi er redd for gjennom lov og forskrift?


Egne meninger eller følge flokken? At det i skrivende stund er godt over 5000 personer som er tilsluttet folkeaksjonen mot datalagringsdirektivet, er ganske imponerende. Med så mange burde de ha ressurser til å presentere et mer balansert syn på hva direktiver vil innebære i praksis. Så langt har jeg kun sett noen veldig få balanserte argumenter, langt mindre enn hva 5000+ personer burde være i stand til få frem.


Skremselspropaganda. Mer skremmende er det når man ser motstandere i full offentlighet, og med viten og vilje bekrefter feilaktig informasjon om datalagringsdirektivet. Selv om det er ekstremt fristende, så skal jeg ikke begi meg ut på noe personkarakteristikk av de. Men de bør være klar over at spredning av faktafeil ikke bare bidrar negativt til debatten, men også til deres personlige renommé.


Løsning? Vanligvis når man står ovenfor en ukjent situasjon, søker man å identifisere styrker, svakheter, muligheter og trusler situasjonen utgjør. Begge sider i denne saken bør søke sammen for å gjøre nettopp dette. Det er først når man forholder seg til fakta og virkeligheten at vi kommer noen vei. Fortsetter man med ekstremitetene, fortsetter debatten fra skyttergravene.


Det viktigste er ikke å ha rett, men å gjøre rett!

tirsdag 3. november 2009

Datalagringsdirektivet, del 2.

Har sett ganske mange innlegg i debatten omkring datalagringsdirektivet hvor forfatteren tydelig mangler forståelse for hva som logges og hvordan disse loggene faktisk brukes. Vil derfor si litt om akkurat dette i denne delen.


Hva logges?


Normalt vil det logges hvilken IP du fikk, og når du fikk den. Alle web-servere logger hvilken IP som besøkte hvilken URL, og når det skjedde. Mailservere logger informasjon om hvem som har sent mail til hvem, fra hvilken IP og når.


Mange bedrifter bruker også noe vi kaller en proxy-server, som i praksis er en mellommann mellom brukeren og enkelte tjenester på nett. De lagrer også informasjon om hvem som besøkte hvilke tjenester, og når det skjedde. Enkelte organisasjoner logger i også informasjon om all kommunikasjon på nett (hvem har pratet med hvem).


Ikke noe av denne loggingen er pålagt, og jeg kan heller ikke se at det er noe ulovlig ved den.


Hvorfor logges dette?

"The trustworthiness of a digital asset is limited by the owner's capability to detect incidents compromising the integrity of that asset." --Richard Bejtlich

Det er to hovedgrunner til at denne informasjonen lagres. For det første brukes den for å finne og løse driftstekniske problemer. Når noe "ikke virker" så er loggene en veldig nyttig kilde for å finne ut hvorfor noe ikke fungerer.


For min egen del så er sikkerhetsaspektet veldig viktig. Når man mottar informasjon om infiserte klienter, så må den informasjonen flyte tilbake til eieren av maskinen. Når man mottar informasjon om servere som sprer ondsinnet kode, må man være i stand til å sjekke om noen av ens egne maskiner har oppsøkt disse ("egne" kan her være maskinene til en bedrift, ISP eller et land).


Oppdager man en kompromittering av interne maskiner vil man undersøke hva den ondsinnede koden kommuniserer med eksternt. Deretter vil man bruke egne logger for å sjekke om andre maskiner i nettet kan være kompromittert av samme kode. Igjen, det handler om muligheten til å sikkre eget nett og spore kompromitterte maskiner.


Man kan snu litt på flisa: Hvordan vil bankens evne til å oppdage og håndtere kompromitteringer påvirke din tillitt til deres tjenester? Eventuelt kan man bytte ut "banken" med andre tjenester man er avhengig av på nett.


En liten sideopplysning her: Bare de siste 24 timene har Arbor Networks registrert 71 servere i Sverige som fungerer som kommandosentre for infiserte klienter.


Reguleringer?


Hvordan er bruken av loggdataene regulert? Hvem har hvilken tilgang? Kan man uten videre krysskoble de forskjellige loggene? Personlig mener jeg at det er her man bør legge innsatsen, i stedet for å slåss mot selve loggingen.


mandag 2. november 2009

Datalagringsdirektivet

Første gang jeg hørte om datalagringsdirektivet, reagerte jeg negativt og mente at dette var noe vi slett ikke burde implementere. Den slags overvåkning av våre borgere kunne vi ikke ha, og man burde kjempe mot det med nebb og klør. Dette er et par år siden, og siden har jeg ikke tenkt på det... før jeg oppdaget stoppdld.no

For bedre å forstå hva det hele dreier seg om, har jeg brukt deler av dagen på å gå gjennom blogger for å få med flest mulig argumenter for begge sidene, samt at jeg leste gjennom selve direktivet. Nå kan jeg helt ærlig ikke se årsaken til alt oppstyret omkring datalagringsdirektivet.

Det aller meste av det direktivet krever at vi lagrer, blir allerede lagret. Selv et helt standard oppsett i et privat hjemmenettverk lagrer mye av informasjonen som artikkel 5 i direktivet krever. De fleste bedrifter har DHCP-logger som viser hvem som hadde hvilken IP-adresse når. Mailservere logger informasjon om hvem som har sendt mail til hvem, og hvilken IP som koblet seg opp for å sende mailen. Så langt jeg kan se så tilfredsstiller dette allerede kravene artikkel 5 krever om logging av Internet-relaterte data. I tillegg står det i underpunkt 2 i samme artikkel at "No data revealing the content of the communication may be retained pursuant to this Directive." - noe som krystallklart viser at innhold ikke er en del av dette direktivet.

Allikevel argumenteres det for at direktivet vil føre til mer overvåkning, at både innhold og surfevaner skal lagres. Spesielt skuffet ble jeg når jeg oppdaget at selv Telenor hadde kludret til dette.

Det er fristende å si at det bevist lyves for å vinne frem med en sak, men tror nok kunnskapsløshet er mer sannsynlig årsak enn bevist løgn. Ut i fra det jeg har lest så langt i dag, er det også tydelig at mange debatanter aldri har sett en logg fra en DHCP eller mail server, og derfor ikke vet hva som faktisk blir lagret (uavhengig av direktivet).

Mange er skeptiske til bruken av disse dataene og det med det rette. Uavhengig av datalagringsdirektivet; hva er det som regulerer hvem som skal ha tilgang til hva? Her kan vi helt klart bli mye bedre, og det kan vi få til også om vi implementerer direktivet. Artikkel 4 gir helt klare åpninger for at hver nasjon selv kan regulere tilgangen.

Jeg krysser også fingrene for at debatten blir mer orientert om fakta enn om følelser fremover.

tirsdag 8. september 2009


Fun stuff with the new Commodore 64 emulator for the iPhone:

First you have to follow the steps as described in a comment on Slashdot. Then you can load the game directly from the disk image:


After the game is unpacked, and you have started it, you'll discover that they have included a cracked version of the game. This because it starts the intro the crackers made, where you can see they sends greetings to other cracker groups.



So what is the chance for this application to be approved by Apple again?!? :)


EDIT: There seem to be some comments about the reasons for using cracked versions of the games here.