sikkerhet

I en tidligere artikkel "Personnummer - hvor vanskelig er det å sjekke 250 mulige" presenteres materiale som forteller at det kun er 250 mulige personnummer for en gitt persons fødselsdato og kjønn.

Denne artikkelen fra Forskning.no forteller hvordan man rett og slett ved systematisk prøving av de omtrent 250 mulighetene klarer å bruke en løssluppen nettside til å avsløre journalistens personnummer. Så lenge personnummeret kommuniseres over nettet kan man aldri slippe unna dette problemet, det kan bare fjernes ved å aldri kommunisere personnummeret.

Kom over en interessant artikkel når jeg leste FWN/Issue101, ett eksempel på at SELinux faktisk gjør jobben sin. Kort sammenfattet kjørte artikkelforfatteren ett upatched Mambo CMS på en Red Hat boks (RHEL 4). Maskinen blir angrepet av en worm, og forfatteren dissekerer angrepet på Sherlook Holmes vis.

For noen dager siden så jeg i VG noe som fikk meg til å stusse, sitat: "Ved å lage et enkelt dataprogram kan man raskt få en kort liste over mulige personnummer på en gitt dato, så er det bare å teste dem ut på NAVs nettsider. Som en ekstra sikkerhet krever NAV riktig navn og riktig folkeregistert postnummer." Det viser seg at det er færre enn 250 mulige personnummer gitt en persons kjønn og fødselsdato.

Vilmos Nebehaj har rapportert to sikkerhetsfeil og en mindre svakhet i Linux, patchene er inkludert fra og med 2.6.21.4. Ingen av disse er spesielt alvorlige, men den første kan det være verdt å vite om. Den ligger i netfilter koden og berører "connection tracking" av SCTP (Streaming Control Transmission Protocol). I verste fall kan noen få maskinen til å henge ved å sende en pakke over nettverket, så dette er et godt eksempel på hvorfor man ikke bør laste flere moduler enn man strengt tatt trenger.

En av de kjekke tingene med Linux er at man kan gi andre tilgang uten å bekymre seg over lisenser og annet. Men selv om rettighetene i filsystemet gir en del beskyttelse, og kan brukes for å justere hvilke programmer en bruker har tilgang til, eksponerer dette mange filer og potensielle svakheter.

Naa er det skikkelig lenge siden jeg har skrevet noe.. og av den grunn er det moro at jeg fant en link med 105 security "tools" aa skrive om :)

http://www.networksecurityjournal.com/features/open-source-security-tools-applications-resources-041007/

Nyheten har rukket å bli et par dager gammel, men siden det sikkert er flere her som bruker Wordpress så nevner jeg det likevel: Versjon 2.1.1 inneholdt en trojaner, og alle oppfordres å oppgradere til versjon 2.1.2 så snart som overhodet mulig. Hvordan den har sneket seg inn er foreløpig ukjent, men det er på det rene at noen har byttet ut filene som var blitt lagt ut for nedlasting. Det er med andre ord ikke en svikt i kvalitetssjekken, men sikkerheten på serverne har feilet.

Firefox har så langt hatt en svært dårlig måned i følge Infoworld. Michael Zalewski, en kjent sikkerhetsekspert fra Polen, fortsetter å grave frem den ene svakheten etter den andre. Mozilla Organization skulle ønske at de fikk beskjed før han offentliggjorde de, men sier samtidig at de er avhengige av personer som han for å levere et godt produkt.

Før var det relativt vanlig å lære seg programmering ved å skrive små BASIC-programmer og kjøre de på lokal maskin, uten at av resten av verden noensinne fikk se disse kodesnuttene, som ofte var pinlige i ettertid. Jeg har en mistanke om at mange i dag begynner i den andre enden, ved å tilpasse PHP-applikasjoner og bruke resultatet på hjemmesider som hele verden har tilgang til. Slike tilpassede løsninger er sjelden utsatt for angrep, men det kan være greit å vite hvor de vanligste feilene ligger. O'Reilly SysAdmin har en passe lang artikkel som forklarer hvordan slike tjenester er bygget opp og skjøtene som kan utnyttes for å lage trøbbel. I tillegg inkluderes et Python-script som gjør det enklere å finne stedene i koden hvor man må være ekstra forsiktig.

Mange på Linux1.no kjører Joomla på sine egne sider og jeg vil derfor gjøre oppmerksom på et hull som gjør det mulig å injisere SQL (ett angrep, tre varianter såvidt jeg kan se). Feilen er tilstede i alle tidligere versjoner av Joomla, også Mambo. Det er derfor helt essensielt at man oppgraderer eller tetter hullet på andre måter. Dette kom faktisk ut på mandag, så man må regne med at skurkene allerede har kommet langt på vei med kodingen, hvis de ikke er ferdig enda.