- Jeg optog 14 ip-samtaler i løbet af et kvarter. Programmet har moduler der filtrerer IP-telefonsamtaler fra, så det er ret enkelt at gøre. Da jeg afspillede optagelsen overfor en leder i virksomheden, blev han ret overrasket. Han hørte sin egen samtale.
Det er it-sikkerhedskonsulent Jan Kaastrup i PriceWaterhouseCoopers Security og Technology, der beretter om en af sine oplevelser ude i danske virksomheder, hvor han foretager tests af virksomhedernes it-sikkerhed.
De fleste virksomheder har efterhånden forstået vigtigheden af firewalls, antivirus og andre foranstaltninger til at sikre sine netværk og systemer mod uønsket adgang fra udekommende hackere.
Men hvis det handler om at sikre sig mod en trussel indefra, så står det grelt til i danske virksomheder.
Jan Kaastrups erfaringer fra en række top-100 virksomheder er, at hovedparten af virksomhederne er sårbare over for den såkaldte ARP poisoning. De fleste it-chefer bliver også forbløffede over, hvor effektiv ARP poisoning fungerer.
Ifølge Jan Kaastrup er der flere faktorer, der betyder at ARP poisoning vil blive misbrugt.
ARP poisoning bliver overset
ARP står for Adress Resolution Protocol. Protokollen kombinerer en maskines IP-adresse med netværkskortets MAC-adresse.
En ondsindet bruger kan sende et ARP-reply fra sin maskine A til maskine B, og overbevise maskine B om, at maskine A er default gateway til internettet.
Nu kan maskine A se al trafikken fra maskine B og vælge at gemme diverse passwords, brugerinformation og så videre.
ARP poisoning er en gammelkendt sårbarhed, men fremkomsten af nye brugervenlige hackingværktøjer samt flere unge med basal netværksforståelse betyder, at flere er i stand til at udnytte sårbarheden.
Konkret nævner Jan Kaastrup et tilfælde, hvor en medarbejder af ren nysgerrighed havde anvendt et af ARP poisoning-værktøjerne. Blot for at se, hvad der var muligt.
Et andet eksempel var mere alvorligt.
Her var det en utilfreds medarbejder, der havde anvendt ARP poisoning til at opsnappe passwords og konfidentielle oplysninger.
Problemet er, at ARP poisoning ikke uden videre lader sig afsløre.
Der er ikke tale om en fejl i et system, der kan patches. Det er en del af den netværksprotokol, der anvendes på interne netværk i virksomhederne.
Skræmte it-chefer
Boligforeninger og uddannelsesinstitutioner med lokalnet er derfor også sårbare over for ARP poisoning.
Andre sikkerhedseksperter bekræfter Jan Kaastrups erfaringer, men siger, at problemet ikke specielt er ARP poisoning.
"Man kan skræmme it-cheferne med meget. Utilfredse medarbejdere kan uden de store problemer slette data. Mere diskret kan de stjæle data med USB-dongle," siger Ulf Munkedal fra sikkerhedsfirmaet FortConsult.
Han suppleres af Henrik Lund Kramshøj fra security6.net.
"IT-cheferne bliver generelt utilpasse, når de opdager, at deres nuværende netværk ingen beskyttelse har - udover en skalsikring i form af en basal firewall," lyder det fra Henrik Lund Kramshøj.
Hertil replicerer PriceWaterhouse Coopers, at der er stor forskel på at stjæle data fra en enkelt pc ved hjælp af en memorystick og så anvende ARP poisoning til at få adgang til konfidentielle data i økonomisystemer og strategisk information via opsnappede passwords fra netværket.
ARP poisoning kræver, at man har installeret et ARP poisoning program på en maskine, der er koblet på det interne netværk.
"Det er forholdsvist enkelt, hvis man er en utilfreds medarbejder. De fleste brugere har lokal administrator-adgang til deres maskine. Derfor kan de installere programmet uden problemer. Der findes også måder at eskalere adgangsprivilegier på, så man kan installere programmet, selvom man ikke er lokaladministrator," siger Jan Kaastrup.
Forholdsregler mof ARP poisoning
Der er forholdsregler mod ARP poisoning, men det er ikke noget som sikkerhedseksperterne generelt ser anvendt i danske virksomheder.
PriceWaterhouseCoopers understreger at der findes måder at undgå ARP poisoning, men at de generelt ikke anvendes.
Eksempelvis er der i nyere routere er der indbygget Dynamic Arp Inspection (DAI), der kan forhindre ARP poisoning, men det kræver speciel konfigurering at sætte det op.
Der findes eksempelvis også open source programmet ARPWatch, der holder øje med parringen af IP-adresser og mac-adresser.
Problemet underprioriteres
IT-sikkerhedseksperterne vurderer dog, at ARP poisoning ikke ligger højt på virksomhedernes it-prioriteter.
"Måske er der nogle it-chefer, der kender ARP-poisoning. Men deres prioriteringer går mere på at kunne håndtere nye gadgets på netværket, smartphones og eksempelvis anvende Skype problemfrit på netværket. De vil ganske enkelt få flere point, hvis de kan sige, at de har løst problemer med at anvende Skype på firmaets net frem for at sige at ARP-poisoning er løst," mener Ulf Munkedal.
"De fleste danske virksomheder antager, at hvis man er på indersiden er man nogenlunde troværdig. Dette er nok ikke så forskelligt fra mange andre lande. Men det ses gang på gang i diverse undersøgelser, at interne medarbejdere står for en større andel af problemer/indbrud end hackere udefra," siger Henrik Lund Kramshøj.
Han anbefaler anvendelse af mere sikre protokoller i virksomhedernes interne netværk:
"Efter min mening burde der ses mere på brugen af protokoller. Som værn mod ARP spoofing anbefaler jeg at bruge sikre protokoller. Eksempelvis at erstatte POP3 der sender brugernavn, kodeord og mails i klartekst, med POP3 plus SSL, altså POP3s."
Ifølge Henrik Lund Kramshøj vil ARP poisoning, være et mindre problem, hvis man bruger fornuftige protokoller.
"Desværre er mange protokoller inden for LAN teknologier svære at erstatte, eksempelvis er fil-print protokollerne ikke specielt sikre," lyder det fra Henrik Lund Kramshøj.
