sikkerhet

Ja, gratulerer med ny Linux1...

Artig å teste om bloggingen her slår an.

Med litt flaks kan min blog bli like pop som Bruce Schneier sin: http://schneier.com/blog/

IPTables er et godt verktøy for å beskytte din PC eller ditt nettverk. Ved å logge alle ulovlige forbindelser får man veldig mye informasjon om hvem som prøver å angripe end. Desverre finnes det så mange ormer på nettet at det nesten er umulig å holde oversikten over hva som er tilfeldig og hva som er mere målrettet. Det er her Port Scan Attack Detector kommer inn i bildet. Programmet forteller deg når noen prøver å teste oppsettet ditt for svakheter på en målrettet måte. Les mere hos NewsForge.com.

LinuxDevCenter.com har en artikkel om hvordan du bruker EncFS for å sikre filene dine. Spesielt kjekt dersom du har med deg ting rundt omkring, eksempelvis flashminne. EncFS baserer seg på FUSE, kode som lar en montere filsystemer i userland. Fordelen er at man ikke trenger superbruker-rettigheter, ulempen er at det går en del treigere.

Bastille Linux er et åpen kildekode sikkerhetsverktøy som lar deg slå av deler av systemet ditt ved å skru av unødvendige funksjoner. Det kan også foreta en diagnose av de innebygde sikkerhetsfunksjonene og rapportere for eksempel om telnet er skrudd av eller om passordene er kompliserte nok. Bastille har kommet i fokus i det siste på grunn av at det nå har blitt sponset av Technical Support Working Group som igjen er en del av U.S. Navy Space and Naval Warfare. Du kan lese mer om dette i et intervju NewsForge har gjort med en av Bastille-utviklerene Jay Beale.

OpenVPN har nettopp sluppet versjon 2.0. Mange har allerede brukt slippkandidatene en stund, som stort sett har fungert utmerket. Systemet fungerer på Linux, Windows 2000/XP, OpenBSD, FreeBSD, NetBSD, MacOS X, og Solaris. Dermed skulle nesten hvem som helst kunne koble seg opp. Versjon 2.0 er mere skalerbar enn tidligere og kan administreres sentralt.

Tidligere denne uken linket vi til en meget folkelig artikkel som beskrev hvordan et hacker-angrep kan fortone seg fra offerets synspunkt. Vil du ha noe mere proaktivt bør du lese denne artikkelen hos ONLamp.com. Den tar for seg de to første av 5 stadier, tiden når en inntrenger finner og tester svakhetene. Artikkelen beskrives først og fremst fra hackeren sitt synspunkt, men verkøyene som brukes er laget nettopp for at du kan finne dine egne svakheter. Til slutt inkluderer forfatteren en grei liste over generelle typer av feil som gjør det mulig å hacke systemer, samt forklaringer som ikke krever at man kan programmere for å forstå dem.

Et av de største problemene assosiert med hacking* er at mange brukere aldri merker at de har blitt offer. En god hacker vil som regel bare bruke litt CPU-tid og båndbredde, slik at ingen vil oppdage noe i lang tid. Videre kan man installere rootkits, programmer som lyver når den rette eieren spør om hvilke brukere som er logget inn eller hvilke prosesser som kjøres. Denne artikkelen hos Linux.com ser på et relativt typisk tilfelle. I de fleste tilfeller vil det dog være å anbefale å reinstallere hele systemet og installere sikkerhetsoppdateringer før man bringer maskinen på nettet igjen.

Ikke lenger helt fersk, men alvorlig nok til at vi tar den med: Det er blitt funnet en feil i UW-IMAP som gjør at man kan logge seg på som en hvilken som helst bruker. UW-IMAP er relativt populær på mindre systemer, den er ikke blandt de mest avanserte serverne, men veldig enkel å sette opp. Eneste løsningen er å oppdatere, noe man bør gjøre snaretst. Les mere her.

Litt uklart hvem som først fant dem, men både Secunia og Ubuntu påpeker 4 forskjellige svakheter i Linux 2.6.x. To av dem kan kun utnyttes av lokale brukere, så hvis du ikke deler ut shell til alle så burde ikke dette være noe problem. Av de to andre er en relatert til IPTables og kan brukes for å henge maskinen eller tvinge en pakke gjennom filteret. Ikke noe å gå mann av huse for, men har du mulighet så bør du oppgradere til 2.6.11, som vil bli sluppet i løpet av kort tid.

Slashdot skriver at SHA-1 har blitt knekket. SHA-1 er en videreutvikling av SHA-0, en algoritme for kryptering som ble oppfunnet i 1993. Informasjonen er basert på Bruce Schneier sin blog. SHA-1 støtte er innebygd i de fleste distribusjoner, men brukes heldigvis relativt sjeldent. Dette er dog en påminnelse om at fremskritt i mattematikk kan føre til at "sikre" standarder (RSA, MD5, AES) plutselig kan kollapse og informasjonen bli fritt tilgjengelig.