Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 23. januar 2004.
Selv om de it-ansvarlige kun holder de strengt nødvendige porte i firewallen åbne, kan sikkerhedsforanstaltningerne omgås.
Tro ikke, at virksomhedens it-systemer er beskyttet mod uønsket adgang fra internettet, blot fordi systemerne ligger bag en firewall. En medarbejder kan nemlig bevidst eller ubevist grave en tunnel i beskyttelsesmuren. Godt nok med en "teske", men alligevel.
Ikke mange kender til risikoen for tunnellerne. Det kom da også bag på den garvede sikkerhedsmand, civilingeniør Peter Anglov, da han hørte om problemet i forbindelse med undervisning i data-sikkerhed som ekstern lektor på IT-universitetet.
Det var en studerende med en bachelor i psykologi, der overbragte den dårlige nyhed om usynlige tunneller - også kaldet covert channel. Den studerende, der i dag er cand. IT, beviste også, at det kan lade sig gøre.
Hullet graves indefra og ud, og misbruget sker udefra og ind. En medarbejder, der ønsker sig en usynlig tunnel ind i sit virksomheds interne netværk, kan gøre det på forskellige måder. Hvis han for eksempel vil etablere sig en uautoriseret hjemmearbejdsplads med adgang til firmanetværket, kan han via sin arbejds-pc "pinge" sit system derhjemme (at pinge er en rutinemæssige metode til at tjekke svartid fra en given server).
Snavs rasper hul
Ping-rutinen sender en "pakke" af sted på internettet, og den returneres fra modtagecomputeren med et "ekko", som giver svartiden. Men der bliver også placeret skadelig "snavs" i visse felter i returpakken, og lidt efter lidt får dette snavs raspet hul igennem, forklarer Peter Anglov, der også underviser i it-sikkerhed på Danmarks Tekniske Universitet.
Når hullet er etableret, vil man udefra kunne fjernstyre den inficerede pc på arbejdspladsen til at angribe andre enheder i det interne netværk. Formålet kan for eksempel være at få overtaget kontrollen med systemet eller at få adgang til fortrolige data.
En grundig gennemgang af emnet findes på online-tidsskriftet www.firstmonday.dk/
issues/issue2_5/rowland.
De hemmelige tunneller kan i øvrigt også graves på anden vis såsom via særlige websteder.
- Det store problem er, at det ikke altid er muligt at få identificeret de usynlige tunneller, fortæller Peter Anglov og tilføjer:
- Man skulle tro, at de mest professionelle firewall-produkter havde taget højde for problemet, men det er først nu ved at ske. De traditionelle firewalls kigger ofte kun på ip- og portadresser. De tjekker ikke felterne, der typisk bruges til "snavs".
Sikkerhedseksperten anbefaler, at man spørger nærmere hos firewall-leverandøren, og at man får bedre kontrol med, hvad der må intalleres af software og af hvem. Den fri adgang til internettet kan også begrænses. Man kan dobbeltsikre.
- Man kan vælge ikke at nøjes med én sluse ud mod nettet, men også installere personlige firewalls på medarbejderens pc'er og på serverne, siger Peter Anglov.
- Jeg tror i øvrigt, at de it-ansvarlige med tiden bliver nødt til at beskytte sig mod intranettet, som man nu beskytter sig ud mod internettet, tilføjer han.
Billedtekst: En medarbejder kan grave tunneller i virksomhedens netværk, uden at den sikkerhedsansvarlige aner noget. Foto: Ørestadsselskabet.
