Aftenposten, Jon Bing og Datatilsynet synser...

Sist fredag var det en tosiders artikkel om honeynet project i Aftenposten. Dessverre er den ikke lagt ut på aftenposten.no enda, men skal linke så fort den kommer dit.

Artikkelen tar for seg teknologien, men vinkler seg fort over på "overvåkning", som jo har blitt en het potet for tiden....

Det er så mye feil i artikkelen, i metaforene til Jon Bing, i det Datatilsynet sier og den generelle vinklingen på artikkelen at flere i fagmiljøene i Norge har kontaktet Aftenposten for å få dette korrigert...

Frem til den tid:

- Artikkelen får det til å høres ut som man kan installere en "honningkrukke" et sted, og overvåke vanlige databrukere. Dette er helt feil.
- Artikkelen får det til å høres ut som om honningkrukker er forledelse til å begå kriminelle handlinger. Dette er helt feil.
- Artikkelen får det til å høres ut som folk ansatt i statlige organer leker med dette på fritiden, og at dette er å blande kortene. Men virkeligheten er omvendt. De som er blitt viktige ressurser for både private selskaper, konsulentselskaper og statlige organer innen it sikkerhet - har fått mye av sin kunnskap gjennom akkurat slike prosjekter. Ikke omvendt.

Og det at Georg Apenes avslutter artikkelen med å si at en arbeidsgiver skal lage retningslinjer for hva ansatte driver med på sin privattid (selv om dette er lovlig aktivitet), er vel stikk i strid med Datatilsynets generelle holdning om å beskytte enkeltindividet mot "storebror". En arbeidsgiver skal vel verken trenge å vite eller lage retningslinjer for hva en ansatt gjør på fritiden, så lenge den ansatte leverer en god jobb, ikke bryter loven eller bryter taushetserklæringen ovenfor bedriften.

Jeg har ikke lest artikkelen, men Bing har opp gjennom årene sagt mye som jeg synes ikke henger på greip.
Håper denne blir publisert på nett.

Jeg har jo ikke greie på de tekniske sidene av dette, men jeg synes jeg forlengst har sett at utviklingen og folks bruk av teknologi endrer seg mye raskere enn politikere og lovverk kan følge med på.

Bing har sagt mye rart, det er sikkert, og han er vel mer en generell betrakter i et litt lengre tidsperspektiv?



e

Computerworld har en liten notis om samme sak:

http://www.idg.no/computerworld/article137147.ece

Aftenpostens artikkel var over 2 fulle sider.

Det er jo noen hus-jurister her inne. Kanskje de kunne gi oss den juridiske definisjonen av "forledelse"? Det er nemlig mye av kjernen her...om en "honningkrukke" er forledelse.

Og om det fortsatt er forledelse hvis den som bryter seg inn ikke blir anmeldt for dette...man logger og analyserer kun metodene.

våset kan leses i sin helhet her

Takk

Hvis de antagelser og korte slutninger hadde vært korrekte, så hadde det selvsagt vært et poeng.

Problemet er at dette rett og slett ikke kan være "forledelse". En honningkrukke finner man ikke via en internet browser, ved å bruke google, mens man sjekker mail via Thunderbird eller snakker over MSN messenger.

Skal man finne en honningkrukke, må man aktivt lete etter dem. Og hvis man i sin leten finner en, så går man inn på den fordi man tror man klarer å bryte seg inn...vi snakker ikke om at man trykker en link eller noe, og så er man inne.

Honningkrukken annonserer altså ikke sin eksistens.
Samtidig imiterer den andre operativsystemer. F.eks. Windows XP eller Fedora 9 etc. Og forsøker ikke se mer sårbar ut eller lignende. Alle dører er låst, alle vinduer lukket. Jon Bing sin "gatemetafor" er altså helt på vidda...ingen ser disse, ingen går inn uten å vite det...

Og det Apenes sier...ja, det blir bare for dumt. For igjen, hva er det egentlig en honningkrukke virkelig er? Det er et operativsystem med ekstra logging. Så hvis noen faktisk bryter seg inn, så kan man se alt vedkommende gjør for å først trenge seg inn, deretter plante bakdører og deretter gjøre det han trengte maskinen til. Men det er først når noen bryter seg inn...

Bing og Apenes snakker om vanlige databrukere som kan havne på slike, om forledelse og etikk. Jeg skulle gjerne sett moren min havne på en honningkrukke, vanlige låser på en dør blir kalt forledelse til innbrudd og privat gjennomgang av kameraer inne i ei hytte man har hatt innbrudd i bli kalt etisk uakseptabelt.

Her har media forsøkt å fyre oppunder FOST saken, og blåser noe helt ut av proporsjoner.

Og grunnen til at mange norske it sikkerhetsfolk er såpass dyktige og gode ressurser for både statlige, private og offentlige foretak og bedrifter, er at de kommer fra slike prosjekter og vet hvordan "fienden" man skal jobbe mot arbeider.

Enig. Jeg lurte selv på hvorfor Jon Bing og Datatilsynet mislikte dette. Kanskje Datatilsynet trenger en oppklaring, men i seg selv fokuserer de på begrepet "oppfording til en forbrytelse", og slikt er ulovlig iflg norsk lov. jeg syntes at deres oppfatning
er for enkel, da honeypot er primært for analyse/forebygging.

Det finnes et program som heter spamd, og den funker som et defekt emailserver, der den mottar tilkoplinger, og avbryter forbindelsen etter 10minutter ("fungerer ikke for spammeren" og bruker opp hans resursser)
http://www.openbsd.org/spamd/
http://en.wikipedia.org/wiki/Spamd
http://spamassassin.apache.org/full/3.0.x/dist/doc/spamd.html

Jeg lurer på hva disse folka mener om dette programmet.

Problemet med honeypot som etterforskingsmetode er at man provoserer frem et lovbrudd som ellers ikke ville bli begått.
Er det riktig bruke honeypot for å få en oversikt over hvem som er krimenelle eller ikke?
Hva med å plassere fristende lommebøker i gatene for å se hvilke norske borgere som er ærlige eller ikke?
Hva om politi i sivilt tilbyr mennesker narkotiske stoffer for så å arrestere de som takker ja?
Eller om de drar på byen og oppfordrer til voldelige handlinger ved å provosere, for så å arrestere potensielle voldsmenn?
Er det greit at de lager en liste over folk som i følge dem ikke er til å stole på?

At ansatte i NSM gjør dette for å avsløre hva slags metoder hackerne bruker synes jeg er helt greit, å sende informarsjon som kan brukes til å identifisere vedkommende til politiet er absolutt ikke greit og er utvilsomt ulovlig overvåkning om de ikke har konsesjon fra datatilsynet.

Ja, det er vel poenget til Bing, tror jeg. Han har jo 'litt' kunnskap om feltet, tross alt. Jeg syns ikke det er noe vås i artikkelen i det hele tatt. Det er kanskje forenklet litt men prinsippet er klart: oppfordring til 'lovbrudd' for å avverge slikt? Høres ut som det er rom for tolkning her, og hva er grunnen til at det kalles honningkrukker?
Ikke alle bruker nettet og datamaskinen til å chatte på msn eller surfe på flash-sider.
Det er mange 'hackere' som ikke driver med lovbrudd eller har planer om det, merkelig nok.., det virker som 'sikkerhetseksperter' ofte har problemer med å forstå det (selv om de i grunnen også gjør det samme, oftest under påskudd av å 'forebygge', -en kan jo spørre om sistnevnte ikke er nyttige idioter for oppdragsgivere de ikke kjenner hensiktene til..

Det er vel ikke det det er snakk om. Aktiviteten du beskriver er klart forbudt, fordi en a) gjør noe straffbart selv (tilbyr narkotika) og b) oppfordrer til noe straffbart.

Slik dette er beskrevet tilsvarer det heller å sette opp et hus, sette opp en boltet dør, overvåke hva som skjer inni, og vente til noen tullinger bryter seg inn. Ingen oppfordres til å gjøre noe galt, men de som gjør noe galt, blir observert.

Er det galt det også nå? Dakkars tyven! Høres ut som han som brøt seg inn, låste seg inne i garasjen og saksøkte huseier fordi han måtte overleve 2 uker på hundemat og Pepsi.

-Arve

Helt feil sammenligning.
En honeypot ser ikke mer sårbar ut. Den imiterer (som jeg nevner over) f.eks. Windows XP, en Linux distro eller OSX - men ser ikke verken mer sårbar ut eller skiller seg ut på annen måte (da ville de jo blitt enkle å kjenne igjen). Men til forskjell fra vanlige operativsystemer har de et rammeverk av verktøy for å avdekke hva en person som har kunnskap nok til å trenge seg inn gjør og hvordan han gjør dette.

Det blir altså ikke det samme som lommebøker på gata.
Og man provoserer ikke frem en handling, for de som trenger seg inn har jo allerede begynt å lete - og deretter trengt seg inn, i den tro at de angriper en typisk vanlig hjemmemaskin (eller noe annet den imiterer).

Disse analogiene holder ikke vann i det hele tatt. Som nevnt tidligere i tråden, en honeypot annonserer ikke sin eksistens, så den kan ikke være "en fristende lommebok". Den kan overhodet ikke provosere frem et lovbrudd som ellers ikke ville bli begått.

Men en hacker som likevel er ute i embeds medfør - dvs. for å bryte seg inn - kan risikere å havne i et slikt i stedet. Omtrent som en bank hvor man har tømt hvelvet for penger, og i stedet installert masse ekstra overvåkningsutstyr.

Det kalles honeypots fordi de imiterer legitime mål får en angriper...altså det angriperen er ute etter i utgangspunktet.
Men en honeypot ser ikke mer fristende ut.
Motivasjonen og handlingen til å begå lovbruddet innehar angriperen allerede. Han bare vet ikke at ett av målene han har valgt seg ut ikke er det han tror det er.



De hackerne som ikke ønsker å drive med lovbrudd tester sikkerhetsnivået på løsninger i testsystemer, og går ikke ut på internett for å lete etter sårbare systemer, trenger seg inn på disse etc. Resten av avsnittet gjør seg nok bedre hvis du forklarer litt mer rundt hva du faktisk mener med "nyttige idioter for oppdragsgivere". Det kan se ut som du mener at de som arbeidet med it sikkerhet blir leid av noen for å hacke andre eller noe...uten at jeg helt klarer å forstå hvor du vil?

Annonserer ikke alle maskiner på nettet sin egen eksistens? Diss maskinene er vel på nettet..? Eller er de ikke med på pakkesvitsj'en??

De henger på internett, men du er vel glad for at du ikke får all broadcast trafikk fra alle maskiner i alle switcher på hele internett?
Derfor har man broadcast adresser vettu

De har ikke DNS navn vanligvis.
Men de har IP adresse, porter (lik operativsystemet de imiterer) som lytter og svarer hvis noen gjør et scan osv.

Men du må, som tidligere nevnt, gjøre litt mer enn google for å finne de altså.
Og da faller jo de fleste "databrukere" som Bing snakker om ut rimelig fort...

Å sette opp en felle for å finne svakheter i et datasystem er den ene siden ved dette. Den logiske bristen kommmer når man ved å gjøre dette skal få klarhet i hvem som er kriminelle og hvem som ikke er dette. Man vil få store problemer med å få dømt en person for å ha gått i en felle.

Jeg mener at vi i et demokratisk fritt land ikke utelukkende er ute etter å finne kriminelle. Vi dømmer ikke folk for at de er kriminelle, vi dømmer dem for den kriminelle handlingen de har utført.
Det er ikke vi som opererer med lister over hvem som er snille og hvem som er slemme.
At et privat firma driver privat etterforskning og ulovlig overvåkning bør ikke være greit for noen.

Informasjonen fra disse systemene blir ikke gitt til Politiet i en motivasjon å dømme de som har trengt seg inn.
Det er metodene man er ute etter.

Dette er heller ikke et privat selskap, men en gruppe frivillige som gjør dette som en hobby.
Litt som de gruppene i Oslo som kjører rundt og kartlegger åpne trådløse nettverk, og legger dette åpent ut for alle med gps koordinater osv. Hadde en bedrift gjort dette, og hatt en økonomisk fortjeneste etc, så hadde det vært noe helt annet.

Og når er overvåking ulovlig?
Det å samle informasjonen er som regel tillat. Det er hva den faktisk blir brukt til som definerer om den er ulovlig eller ikke.
Og en honeypot på internett begrenser seg ikke til å eksistere bare internt i vårt demokratiske og frie land.

Det er her det hele blir ganske interessant i artikkelen også. Man snakker om lovene som gjelder norsk politi og som beskytter norske borgere. Men pr. i dag er det ingen myndighet som håndhever en generell lov for internett, for å bekjempe kriminalitet her - fordi i det øyeblikket du er koblet til internett, så beveger du deg inn i en internasjonal sone der du ikke kan styre om du kun vil bli kontaktet av kun de eller de.

Så 'vigilante'-aktivitet på internett er greit? Så naiv kan du vel ikke være at du tror dette er bra, forebyggende? Hvem bestemmer over informasjonen, og hva brukes den til? Ingen har interesse av denne typen kartlegging, unntatt de virkelig kriminelle, vil jeg si, altså de som ikke underkaster seg noen lover i det hele tatt..
Tror for min del at det dessuten er nok kunnskap om hvordan ting fungerer allerede, hvilke sikkerhetshull som finnes, etc.. Det er neppe formålet her å forske på slike systemer. Apenes og Bing har vel også evne til å se det.
De som tjener på dette er ukjente(?) organisjoner og uregulerte opportunister som gjør security by obscurity til sin filosofi, de vil vel først og fremst hindre kunnskap og beskytte sine egen interesser, ikke samfunnets. Det tjener de kanskje ikke nok penger på.
Den lov-utøvende myndighet har ikke nok kunnskap og lar seg bruke som brekkstang.

Så lenge det brukes til å avsløre hackernes metoder synes jeg det er greit, men dette står i aftenpostens artikkel:

"Opplysningene brukes til å lage profiler
over hackerne og deres metoder,
datafiler, IP-adresser og bakgrunn.

Informasjon om mistenkelige databrukere
blir oversendt internettleverandører
som Telenor og Lysenet."

Det er her det begynner å skurre. Det står riktignok ikke noe om politiet.

Jeg synes også det bør settes spørsmåltegn ved om det er ønskelig at ansatte ved NSM skal bruke arbeidsmetoder de ikke har hjemmel til ved å hevde at de gjør dette på fritiden.

Tror du skal sjekke hva "Vigilante" betyr



Det blir funnet 20-50 nye (offisielle) sikkerhetshull hver dag.
Det kommer også nye metoder for angrep, implementasjon av malware og rootkits hver dag.
Tror ikke du skal kalle andre folk naive....



Hahahahahahahahahahahahahahahahahahahahahahahahahahahahahahahahaha!!!!!

Informasjon om kildene for trafikk som blir generert av angripere blir delt ja.
Men ikke profilene.

Derimot brukes f.eks. profilene til å overvåke kjente nettverk av kriminelle (f.eks. Russian Business Network), for å se hvordan disse flytter på seg.

Informasjonen som blir gitt til selskaper er IP adresser, og hvilke porter de genererer aktivitet på - samt mulige nettverk disse er koblet til.
Dette er lik den informasjonen man finner hos f.eks. dshield - hvor flere bedrifter laster opp nettverksloggene sine til en sentral site - som dermed kan kjenne igjen trender etc og brukes til kilde for andre for å se om de også er under angrep. ATLAS er en lignende tjeneste. Her finner man detaljer rundt botnet, ip adresser som akkurat nå angriper servere og klienter på internett osv.

Slike åpne kilder, sammen med milw0rm, bugtraq, emerging threats, shadow server, honey net project osv er bakgrunnen for hvorfor mange av de tjenestene vi har i samfunnet i dag har det sikkerhetsnivået de har, og hvorfor it sikkerhetsorganisasjoner klarer å beskytte disse tjenestene såpass effektivt.

Øh.. trenger jeg sjekke noe? Jeg vet vanligvis hva det jeg selv sier betyr. Og om du ler av at jeg ikke tror alt som blir fortalt betyr det bare at du ikke vet at du mangler oversikt.

Stemmer det.
Det var sånn det selvsagt var

Oversikt over DVD samlingen med teknothrillere i hylla di, mener du?

Jeg ler fordi istedenfor å sitte her å konspirere som Tom Clancy jr., så kan du bare besøke hjemmesiden til dette prosjektet og lese den informasjonen du tror kun gagner kriminelle...

http://www.honeynor.no/category/analysis/
http://www.honeynor.no/research/sandbox/filenames.php
http://www.honeynor.no/research/sandbox/network.php
http://www.honeynor.no/research/sandbox/unknowns.php
http://www.honeynor.no/research/sandbox/mutex.php
http://www.honeynor.no/category/tools/

Her kan bedrifter og andre med interesse for it sikkerhet lete mens de selv driver forensics, for å se om andre har vært borte i den samme typen malware eller rootkit, og dermed få informasjon om hva den har gjort, hvordan den kan fjernes eller lignende.

Jeg ler fortsatt.
Mulig jeg ikke har oversikt, men du mangler ihvertfall innsikt...

Ok. Vi er vel kanskje litt uenige om saker og ting, jeg erkjenner min egen begrensning også på dette området, -jeg har ikke nok innsikt i dette, i likhet med de fleste andre, inklusive deg.
Jeg burde kanskje vite hvem Tom Clancy Jr er, men gidder ikke finne det ut fordi du nevner navnet, filmer har jeg ikke tid til å se på, men må jo innrømme at jeg likte bøkene til Bing og Bringsværd fra noen tiår tilbake. De tok allerede da opp mye viktig og ga innsikt om teknologiske dilemmaer som er aktuelle i dag.

Jeg synes egentlig ikke dette er noe å være uenig om, fordi jeg tror problemet ligger i at man ikke forstår teknologien og hvordan den benyttes.
Når man forstår den, så forstår man også hvordan dette virker i praksis - og da skjønner man at det ikke sitter noen "onde krefter" bak.

Honeypots er en teknologi som dukket opp på nittitallet, som et resultat av at de fleste operativsystem er ganske vanskelige å gjøre etterforskning på, etter at de har blitt kompromittert. Men behovet var stort, fordi angriperne satt med flere ess enn forsvarerne.

Så istedet for å forsøke å etterforske v.h.a. forskjellige verktøy i etterkant, så laget man honey pots der en angriper omtrent angriper verktøyet, men trodde han angrep en ekte server eller klient. Man plasserte da disse blant andre ekte klienter, slik at de "forsvant i mengden". Honeypots kan fortsatt brukes til akkurat dette, hvis man f.eks. har en inntrenger på et nettverk.

En honeypot inkluderer derfor forskjellige vanlige teknologier i sin teknologi. Det er en pakkesniffer, prosessovervåker, har gjerne ekte operativsystemfunksjoner osv - men alt er laget slik at angriperen hele tiden er inne i et kontrollert område som honeypot administratoren kontrollerer.

Flere bedrifter har også honeypots i sin sikkerhetsstrategi. Blant de ekte serverne med ekte tjenester står disse plassert. Poenget med dette er at oddsen er tilstedet for at en angriper kanskje angriper en av disse, og kjøper bedriften tid fra alarmen går.

Alle kan laste ned honeypots gratis, og installere dette selv. Jeg har tidligere skrevet artikler om både hvordan man kan installere slike i forsvar, samt hvordan man - når man gjør sikkerhetstesting som konsulentoppdrag kan oppdage at man har havnet på en honeypot.

De fleste honeypots er som sagt gratis, og noen er også open source. For de fleste som jobber med sikkerhet, kommer honeynet og honeypots gjerne inn samtidig som man jobber med IDS/IPS, netflow analyse og lignende.

Det er altså løsninger som i stor grad blir aktivt brukt av mange bedrifter nettopp for å forsvare seg og forstå hvordan en angriper arbeider. De store prosjektene slik som Honeynet project, og norske honeynor plasserer sine honeypots ute på internett - mens en bedrift typisk har dem internt i sine nett.

Spesielt ormer og nye bot net har blitt avslørt av slike honeynets, og informasjonen fra de store prosjektene er åpne for alle - selv om de bedriftene som sponser ofte får informasjonen først.

Derfor ler jeg litt. Jeg arbeider ikke direkte med dette, men føler alikevel at jeg ihvertfall har en god innsikt i hva dette er. Og jeg har både installert, driftet, analysert og forsøkt å trenge meg ut av honeypots.

Jeg har hørt om honeypots, og likte godt konseptet men rakk ikke å få testet eller å få kjørt det, for det gir en uvurdelig innsikt i hvordan crackere tenker og oppfører seg. Jeg ser at Jon Bing ikke har godt nok innsikt, men burde han ikke lære seg litt om det først før han uttaler noe om det? Møkkaaviser som bare går etter de som skriker høyest.

Ruteren min blir ofte portscannet, men jeg har bare få porter
åpne, og disse som er åpne fra før er sikre nok i seg selv.
Det er rene vill westen tilstander der ute på internettet!

Sikkerheten er noe man må ta alvorlig:
http://www.digi.no/807455/politiet-er-lammet-av-virus

Datakompetansen er generellt sett veldig lav hos folk flest,
og det er greit nok, de skal ikke forventes å kunne alt om et datamaskin.


> pakkesniffer

Hvordan er det jurdiske med et pakkesniffer?
La oss si et stort bedrift med to rutere (ene er backup/redudans) og begge rutere har pakkesniffere, og all datatrafikk blir loggført, og kan spores tilbake til avsenderen og mottakeren....
Sikkerhetsmessig er dette et fornuftig tiltak, men jeg lurer på
det privatmessig, det betyr ikke at bedriften kan lese email til de ansatte, men det er ikke langt unna!

Loven definerer ikke hva du kan ta opp med f.eks. en pakkesniffer. Den definerer hva du kan bruke det til. Og samtidig er den praktiske forklaringen rundt dette fra bl.a. Datatilsynet tydelig på at alle verktøy som må til for å feilsøke, sikkerhetsovervåke osv selvsagt er tillatt.
Men data fra slike verktøy skal ikke brukes til aktiv overvåkning der arbeidsgiver får tak i informasjon direkte om arbeidstagere på andre områder enn f.eks. direkte relatert til sikkerhetsanalyse etc.

Det er også regler for hvordan man da skal gå frem, hvis enkeltpersoner er involvert i en sikkerhetshendelse. HR og tillitsvalgte skal kontakter for å være med på møtet, og personen det gjelder skal kunne være tilstedet fra første minutt informasjon om han/henne blir videreformidlet ut av etterforskningsgruppen.

Disse gruppene pleier i de fleste bedrifter å ha en taushetserklæring som går langt utover en vanlig taushetserklæring, og hvor konsekvensene av å bryte denne er alvorlige.