Ett satans liv

Dan Farmer leder jakten på ett säkrare Internet

Text: Patrik Andreassen

Det blev ett "djävla liv" på Internet när Satan släpptes lös: Ett program som utan pardon hittar säkerhetsluckor i datornätverk. Kritikerna rasar, men programkonstruktörerna visar sig ha förbluffande många argument för att hävda sina ädla syften.

Säkerhet på Internet är ett kontroversiellt ämne. Det har Dan Farmer och Wietse Venema blivit varse. De är männen bakom programmet Satan (Security Analysis Tool for Auditing Networks), som letar upp säkerhetsluckor i nätverksanslutna datorer.
När de bestämde sig för att sprida sitt program fritt på Internet gav det upphov till ett ramaskri från säkerhetsansvariga på företag och institutioner som ansåg att hackers och nätverksvandaler nu fått ett nytt, kraftfullt, vapen i sin arsenal.
I en bulletin från ciac, amerikanska energidepartements Computer Incident Advisory Capability, säger John Fisher:
- Satan kommer garanterat att påverka Internets säkerhet kraftigt.
Programmet marknadsförs som ett säkerhetsverktyg för systemadministratörer, inte som ett offensivt redskap för crackers. Men programmet kan användas på bägge sätten.
Problemet med säkerhetssystemen på Internet är att nätet från början byggdes i miljö där man inte hade särskild anledning att vara misstänksam. Idén med Internet var ju att låta andra få tillgång till datorresurser, men när antalet datorer på nätet ökat, har även kraven på säkerhet ökat.

Omöjligt att stoppa
När man vill öka säkerheten stöter man på problem som bottnar i nätets ursprung; de olika systemen på Internet är utvecklade parallellt, oberoende av varandra. Detta medför att Internets nivåer (telnet, ftp, www, och så vidare) har olika sätt att skydda sina data från obehöriga.
Det går alltså inte att garantera att ett datorsystem är säkert, och när en lucka hittas (ofta av någon vetgirig student med gott om tid) sprids kunskapen snabbt till alla som vill höra.
Cert (Computer Emergency Response Team) skickar ut bulletiner på Internet så fort en ny säkerhetsbrist uppdagas. Ändå levereras många nya system med föråldrade versioner av operativsystem och program, och det är få redan installerade system som regelbundet uppgraderas med nya säkerhetsförbättringar.
I hackervärlden cirkulerar en mångfald program för att upptäcka säkerhetsluckor, alltifrån lösenordsknäckare till program som används för att snappa upp trafik på nätverken. Många av dessa program används av systemansvariga som kollar sina egna system. Men i orätta händer förvandlas programmen till finfina inbrottsverktyg för klåfingriga tonårscrackers och professionella mörkermän.

Två läger
Det finns nyhetsgrupper och brevlistor på nätet som diskuterar säkerhet. Deltagarna i dessa kan delas in i två grupper: De som tycker att man ska sprida program som letar efter luckor, och de som tycker att sådana program skall förbjudas.
Icke-spridningssidan anser att man inte skall ge vapen till vandaler, medan de andra anser att det är bättre om alla kan testa sina system och installera nödvändiga motåtgärder.
Mitt i denna debatt kom alltså Satan. Tala om för Satan vilken dator du vill kontrollera och gå och hämta en kopp kaffe. När du kommer tillbaka har du en lista över de brister Satan har hittat.
Detta räcker för att uppröra icke-spridnings-fraktionen på nätet, som inte blir gladare av att Satan dessutom är lättanvänt, utbyggbart och ytterst ihärdigt.
Programmets namn har upprört nästan lika mycket som dess funktioner. Anledningen till att konstruktörerna Farmer och Venema döpte sitt program till Satan var först och främst, enligt Farmer, att det helt enkelt är ett tufft namn.
För den som tycker att namnet är stötande finns menyvalet "repent" (ung "be om syndernas förlåtelse") som döper om programmet till det lite mer barnvänliga Santa (jultomten).
Funktionen på programmet förändras dock inte.

Fick sparken från SGI
Dan Farmer, den ena av Satans skapare, arbetade tidigare hos datortillverkaren Silicon Graphics Industries (sgi). Som en direkt följd av sitt arbete med Satan fick Dan Farmer sparken och arbetar nu hos konkurrenten Sun.
- Jag forskar om topphemliga säkerhetsfunktioner i datorsystem, berättar Dan. Man kan säga att min och Silicon Graphics filosofiska uppfattning om rättigheter till datorprogram skilde sig markant från varandra.
På Dans hemmanät fish.com förklarar han varför Satan konstruerats:
- Crackers och vandaler har länge haft verktyg av det här slaget, men programmen är svåra att få tag på och svåra att använda.
Satan är inte det första programmet av det här slaget Dan Farmer tagit fram. Han ligger också bakom cops (Computer Oracle and PasswordSystem), på många sätt en föregångare till Satan.
- Jag vill skapa den slutgiltiga isbrytaren, just nu jobbar jag med Meta-cops.
På universitet i Eindhoven, Holland, arbetar Wietse Venema med datorsäkerhet. Han och Dan Farmer (som aldrig har träffats) har tillsammans skrivit boken How to Improve the Security of Your Site by Breaking into it, och ligger bakom en stor mängd verktyg som täpper till hål i nätsäkerheten.
- Ett problem med Satan var att vi ville sprida den till så många som möjligt på en gång. Satan är till för systemadministratörer, så det gällde att inte crackarna fick tag på det först. Vi valde att lägga ut Satan samtidigt på ett stort antal servers över hela världen, säger Wietse Venema.
Att Satan spelar crackers i händerna tror han inte:
- Alla brister Satan hittar är ju redan kända. Följer man programmets instruktioner täpper man till dem, säger han, medan John Fisher har en något annorlunda uppfattning:
- Dessvärre är det svårt att skydda sig helt och hållet från Satan. De flesta svagheter programmet kan hitta är lätta att fixa, men en del har ännu inte några tillfredsställande lösningar.

Aktivitet rekommenderas
Att man måste vara aktiv för att skydda sina Internet-anslutna system är alla inblandade överens om. Ansluter man sitt nät till Internet utan att skydda sig ber man om problem. Christopher Calabrese, säkerhetsexpert på dataföretaget Novell, säger så här:
- Har man en dator ansluten till Internet kommer den att utsättas för intrångsförsök. Det bara är så.

Saknar säkerhetssystem
Men att göra alla datorer på nätverket säkra är inte lätt. Kanske till och med omöjligt.
- Dagens persondatorer saknar helt säkerhetssystem, säger Calabrese. En användare kan starta program som hotar säkerheten utan att veta om det. Nyare PC-operativsystem innehåller fildelning och annat direkt från start, utan att ha nödvändiga säkerhetsfunktioner.
- Om någon hittar en bug i fildelningsprogrammen kan man komma åt alla resurser som den PC:ns användare kan utnyttja, fortsätter Calabrese.
Det blir därför vanligare och vanligare att nätverk anslutna till Internet förses med så kallade brandväggar. Tanken är att man skaffar sig en kraftfull dörr med en bastant vakt vid utgången till Internet.

Obehöriga göre sig icke besvär.
- Har man en korrekt installerad brandvägg kan Satan inte hitta några brister i säkerheten, säger Dan Farmer. Men att vara fastkopplad till nätet utan att ha en, är det samma som att be om problem.
Efterfrågan på säkerhetsexperter stiger kraftigt i USA, och naturligtvis finns det entreprenörer som gärna möter efterfrågan. Idag finns det minst 25 nordamerikanska företag som säljer brandväggsprodukter. För ett par månader sedan fanns det bara ett dussin.
Los Altos Technologies, som säljer säkerhetsprodukter för framförallt Sun-datorer, har tagit fram Gabriel, ett program som upptäcker automatiska säkerhetstestningar av det slag Satan använder.
Vid upptäckt tar Gabriel reda på varifrån angreppet kommer. Ett liknande program är Courtney, från ciac.

Satan bara en prototyp
Någon har liknat en del av de i övrigt seriösa Usenet-diskussionerna om nätverkssäkerhet vid att sparka en död val framför sig på en strand: det är jobbigt, det går långsamt och man blir ofta nersmetad med äckliga substanser. Men det går, om man inte ger upp.
I den världen har Dan Farmer och Wietse Venema en gång för alla släppt anden ur flaskan. Internet blir sig aldrig riktigt likt igen. Och dessa nätets enfant terribles ligger inte på latsidan:
- Satan är i själva verket bara en prototyp på vårt nästa system, säger Dan Farmer.
Jakten på ett säkrare Internet går vidare.

Vad gör Satan?
Satan kan automatiskt söka av alla datorer på ett nätverk. Om programmet upptäcker att en dator har kontakter med en annan läggs den andra datorn till listan över mål - och hittar på detta sätt ofta datorer som inte annars skulle uppfattas som sårbara.
Satan kan ställas in på tre nivåer. På varje nivå genomförs ett batteri av tester:
Light: På denna nivå försöker Satan ta reda på allmän information om måldatorn. Satan hämtar denna information från DNS (Domain Name Service), genom att försöka ta reda på vilka RPC (Remote Procedure Call) funktioner måldatorn har, och vilka filsystem den delar med nätet. På detta sätt tar Satan reda på vad för typ av dator det är (filserver, arbetsstation, och så vidare).
Normal: Med normal nivå genomförs först light-sökningarna. Därefter tar Satan reda på vilka vanliga nätverkstjänster som måldatorn tillhandahåller, till exempel finger, rlogin, ftp,WWW, epost och så vidare. Med denna information kan Satan avgöra vilket operativsystem målet använder, och ofta vilka versioner av serverprogram som används.
Heavy: När Satan har tagit reda på vilka tjänster som finns på måldatorn, tar programmet en närmare titt på dem. Satan kan här få reda på om det finns kända buggar i serverprogrammen eller om måldatorns administratör inte varit tillräckligt noggrann när han satt upp säkerhetssystemet.
På varje nivå kan Satan hitta de kända brister som finns och upptäcka rena misstag vid installation eller underhåll. När Satan söker av stora system, med kanske hundratals datorer, skapas en oerhört stor mängd information. Att bara presentera den i tabellform skulle vara orimligt. I stället bygger Satan en dynamisk hypertextuell informationsrymd som man sedan kan navigera. Med denna teknik är det relativt lätt att dela in informationen efter t ex namndomän, nätverksadress, systemtyp eller farlighetsnivå.

Satan resurser:
Satan kan man hämta på
ftp://ftp.luth.se/pub/unix/security
Ett bra ställe att leta på är CIAC:s (Computer Incident Advisory Capability) server på http://ciac.nnln.gov
Där finns alla programvaror som nämnts i denna artikel, samt pekare till fler resurser runt om på nätverket.
För att kontinuerligt hålla sig informerad om nya hot mot säkerheten prenumererar man lämpligen på CERT (Computer Emergency Response Team Advisories). Skicka epost till cert-advisories-request@cert.org och tala om att du vill prenumerera.
Det finns många mailinglistor som diskuterar säkerhet. Bugtraq är ovanlig på så sätt att den uppmanar folk att publicera program för datorintrång. Adressen är bugtraq-request@crimelab.com. I brevet (inte i ärenderaden) skriver du subscribe bugtraq.
Dan Farmers hemmanät når du på
http://www.fish.com