Shellshock

Bedst som man anser Unix/Linux for at være det mest sikre styresystem – der er ikke en stor brugerskare og det kræver megen indsigt og statisk analyse at udregne eventuelle angrebspunkter – opdages en fejl i BASH og alle systemer der kører dette er pludselig utroligt sårbare.

At der ikke er en stor brugerskare er selvfølgelig ud fra betragtningen at der ikke er mange private der benytter BASH i særlig grad. Dog er der en del undtagelser, da flere og flere får devices ind i deres hjem med funktionalitet der indeholder BASH. OpenSSH, DHCP og CGI servere har alle direkte adgang til BASH og de har som oftest systembruger adgang tildelt tråde der eksekveres hér.

Sårbarheden består i at lave en environment variabel med en funktionsdefinition, på Wikipedia benyttes echo som eksempel, men reelt er sårbarheden et udtryk for at den parser der kører i BASH ikke er statisk testet og derfor må forventes at have flere af disse sårbarheder. For de fleste firmaer er dette en reelt trussel, hvis deres serverafdeling med udstillede netfunktionaliteter ikke agerer herpå. At man som virksomhed ofte ikke har nogen indvirkning eller direkte interesse i hvilken software, der benyttes til at hoste internetkommunikationen kan bevirke at der pludselig er en infrastruktur der er ubrugelig grundet angreb eller afpresning ved eksempelvis CryptoLocker.

For den enkelte administrator af servere bør der i den kommende tid være opmærksomhed på hvilke sårbarheder der findes i forbindelse med BASH, da det givetvis vil være en relativt let angrebsform.

Kæphest#1 : Kodeord

Der er en kedelig brug af samme kodeord i forbindelse med færden på internettet og i andre edb-systemer. Grunden til at man bør have et sikkert kodeord i edb-systemer er grundet den identitet man påtager sig i brugen. Et nyklassisk eksempel er at nogen har fået stjålet kodeordet til en email konto eller et socialt medie (Facebook, Twitter ol.) og får deres omdømme ødelagt grundet spam eller decideret skadelige eksekveringer af kode hos deres venner og bekendte.

Bevares, dette er ikke nyheder for nogen og det er også blandt sikkerhedsfolk en yndet underholdningsform at udstille dårlige kodeord og politikker i diverse virksomheder. Det vigtige er dog at forstå den reelle sikkerhed der er i et kodeord. Bruger du den samme sammenstykning af tal og bogstaver til alle dine kodeord er det ikke nødvendigvis usikkert, det vigtige er hvordan du gør.

Nogle kodeord kræves lange og indirekte komplicerede af det system de bruges i (her er Skype et glimrende eksempel) og andre kræver reelt ikke andet end at man trykker på tasten med en “knæk-pil”. Er den information eller identitet der skal beskyttes vigtig for mig, ville jeg foretrække at have et tilstrækkelig sikkert kodeord, men er det blot til simpel kommentarbrug på en hjemmeside jeg aldrig har tænkt mig at besøge igen ville “hest” være så rigeligt.

Hvad er så et sikkert kodeord og hvorfor er de så svære at lave og huske?

Et sikkert kodeord:

  • kan indeholde information der fortæller mig hvad det skal bruges til.
  • kan bestå af en remse. Så det er let at huske.
  • er over 10 tegn.
  • bliver skiftet fra tid til anden.

For at demonstrere vil jeg give et eksempel på hvordan jeg måske ville lave kodeordet til dette site: “caution.dk1ErSikkert”.

I første punkt nævnes informationen der fortæller mig hvad det bruges til, dette gør at det er lettere at huske – for mig om ikke andet. Der er mange måder at gøre dette på, men den mennesklige evne til associere gør dette til en meget personlig måde at lave kodeord på. Men “caution.dk…” er selvfølgelig et tænkt eksempel…

I andet punkt nævnes en remse. Jeg har valgt “…1ErSikkert!” hvor jeg skriver et tal i stedet for et bogstav hvilket jeg ville tænke logisk, men en anden person ville nok ikke gøre det samme. Igen et spørgsmål om individuel tankegang.

I tredie punkt. Hér kan argumenteres for at der skal være mere opfyldt, men udfaldsrummet for ti karakterer og brugen af kun a-z og 0-9 vil trods alt stadig være (25 + 10)^10. Eller sagt på en anden måde fygtelig mange muligheder.  Jeg har valgt at gøre udfaldsrummet større ved også at bruge store og små anslag på tastaturet, samt bruge tegnsætning.

Fjerde punkt er den store sårbarhed for mange, da det ofte betyder at de skal ændre noget der lavet med henblik på at være sikkert. Ved hver brug øges risikoen dog for at et kodeord kan falde i de forkerte hænder. Jeg vil gætte på at de fleste ikke ville fortælle deres kodeord til ret mange, men ved gentagen brug og ved brug på nye og ukendte sider er det indirekte hvad man gør.

Den korte version vil jeg angive i et link til en video på youtube som mange kan have glæde af at søge inspiration i: http://youtu.be/COU5T-Wafa4

Vi gemmer os ikke bag sikkerhed.

På indirekte opfordring vil al kommunikation også blive gjort tilgængelig gennem port 80. Idéen er ikke ændret der vil være uforståelige artikler om sikkerhedsstandarder og gode råd og vejledninger du kan sende til dit ældre familiemedlem.

 

Informationen på dette internet site er til brug for alle. Der vil ikke komme reklamer på og der vil heller ikke blive brugt links til sider med skadeligt indhold.