Samkvæmt fréttinni, þá fylltist öryggisvörður grunsemdum og fylgdist með þeim. Þau náðu þá að taka eitt verkanna niður og komust sína leið. Eftir að lögregla mætti á svæðið gat hún borið kennsl á fólkið sem “góðkunningja” lögreglunnar. Fór því næst heim til fólksins og handtók, og sótti málverkið.
(Hér er þetta sett fram eins og verkið hafi verið heima hjá fólkinu, en kem að því síðar.)
Safnstjóri Kjarvalsstaða segir “gott að vita til að öryggiskerfi safnsins er pottþétt.”

Hvernig hefði þetta verið ef um tölvuinnbrot hefði verið að ræða?

IDS/IPS - Intrusion Detection System / Intrusion Prevention System…
Þó að mörg fyrirtæki fylgist lítið sem ekkert með öryggi á sínum kerfum, og tilviljun ræður því oft hvort upp kemst að brotist hafi verið inn. Þá eru fleiri og fleiri fyrirtæki sem hafa sett upp innbrotavörn eða þá að það sé í vinnslu að setja slíkt upp.

Með fullri virðingu fyrir öryggisverðinum á Kjarvalsstöðum, þá eru mörg þessara kerfa uppsett þannig að þau vinna svipað og öryggisverðinum er lýst í fréttinni.
Það er að segja, kerfin sjá kannski eitthvað grunsamlegt, og fylgjast með innbrotinu, og láta svo vita að brotist hafi verið inn eftir að innbrotið hefur átt sér stað.
Í raunveruleikanum getur það verið orðið of seint. Á þessum tímapunkti getur viðkomandi verið búinn að ná í kortaupplýsingar eða aðrar viðkvæmar upplýsingar sem í sumum tilfellum er nóg til þess að knétsetja viðkomandi fyrirtæki.
IPS stendur fyrir Intrusion Prevention System, og er tilkomið vegna þess að það þótti ekki nóg að vita að innbrot hefði átt sér stað. Fyrirtæki gerði kröfu um kerfi sem gæti stoppað innbrotsþjófinn áður en hann kæmist burt með verðmæti.

Mörg fyrirtæki eru með IPS, en nota það ekki sem slíkt. Það krefst vinnu og utanumhalds að vera með IPS, en þessi krafa kemur ekki að ástæðulausu.
Afhverju ekki að eyða smá tíma í kerfið og láta það vinna fyrir sig, og koma í veg fyrir skaðann.

Í fréttinni kemur einnig fram að “tilviljun hafi ráðið því að verkið var ekki fest betur. [...] Ýmislegt smávægilegt átti eftir að klára, s.s fáeinar merkingar og festingar. Verklagið verður skoðað eftir atvikið.”
Semsagt, ef að verkið hefði verið rétt fest, þá hefði ekki verið jafn auðvelt að ná því niður, og torveldað þjófunum verk sitt. Það átti bara eftir að klára að festa það.

Sömu sögu má segja með flest tölvu- og net-kerfi. Þegar eitthvað kemur upp á, bilun í kerfi, brotist inn á netþjón(e. server) eða e-ð sambærilegt, þá kemur yfirleitt í ljós að hægt hefði verið að komast hjá þessu með því að eyða aðeins meira í uppsetningar- eða viðhalds vinnuna. Serverar og netbúnaður er ekki alltaf uppfærður eins og þyrfti t.d. Eða þá að það gleymdist að eyða út default notendanum.

Í athugasemd við bloggfærslu við fréttina kemur fram að verkið hafi verið skilið eftir í ruslatunnuporti. Einstaklingur sem á heima í húsi við portið sér einhvern vera að vesenast með málverk og hringir í lögregluna og lætur vita.

Stundum er það einnig svo að aðrir aðilar en eigendur tölvukerfanna láta vita að brotist hafi verið inn á kerfið. Tildæmis þegar kerfið er misnotað til að reyna að ráðast á önnur kerfi, eða senda út óumbeðinn ruslpóst, vírusa eða þvíumlíkt.

Það sé gott að bæði málverkið og þjófarnir hafi fundist. En miðað við þær upplýsingar sem hægt er að vinna úr fréttinni og athugasemdum við hana, þá var það röð tilviljana sem kom upp um þjófinn og að málverkið hafi fundist.
Öryggis(myndavéla)kerfi Kjarvalsstaða hjálpar auðvitað til að sanna sekt þeirra sem fundust. En hefðu þetta ekki verið góðkunningjar lögreglunnar, og hefði nágranni ekki tekið eftir því þegar einhver var að fela málverk bakvið ruslatunnurnar, hefðu þá þjófarnir fundist og málverkið endurheimt?
(Núna er meira en vika liðin frá því að video var birt af einstakling sem rændi bifreið, en einstaklingurinn er ennþá ófundinn.)

Í tölvuheiminum má ekki treysta á röð tilviljana. Ef tilraun til innbrots inn í kortafyrirtæki eða bankakerfi ætti sér stað, þá held ég að ég geti fullyrt að fæstir myndu vilja að öryggiskerfi kortafyrirtækisins eða bankans myndu taka á innbrotsþjófinum á sama hátt og öryggiskerfi Kjarvalsstaða. Að leyfa viðkomandi að spóka sig um, ná í það sem honum langar í eða það sem hann rekst á, fá að taka öll gögnin með sér út, og mögulega verða fundinn síðar.
Þegar einstaklingurinn getur verið á öðrum stað á hnettinum að fremja þetta innbrot, eða í landi þar sem ekki er samstarf við lögreglu, getur verið erfitt að fylgja innbrotinu eftir. Bankaupplýsingar, kreditkortanúmer, sjúkraskýrslur, vöruupplýsingar. Hverju er fyrirtækið tilbúið að fórna?

Hvernig fylgist þitt fyrirtæki með innbrotum?

Í flestum routerum (bæði litlum(800-1800-2800-3800) og stórum (6500-7600…) er hægt á mjög einfaldan hátt láta routerinn vista configið einusinni á dag.

Ef þú hefur áhuga, lestu þá áfram…

Það eru til allskonar manangement-tól sem að sjá til þess að config sé vistað, og það sé til afrit af config og þess háttar. Þau henta bara ekki öllum.
Það er líka hægt að búa til flókin script til þess að vista configið undir ákveðnum kringumstæðum (þegar því hefur verið breytt t.d.).

Einfaldasta leiðin er samt að nota kron (linux notendur þekkja þetta sem cron / crontab).

Með því að nota kron í cisco, þá geturu látið routerinn þinn vista configið t.d. einusinni á sólarhring. Þannig útilokaru amk þann möguleika að routerinn sé keyrandi í t.d. hálft ár með óvistað config, og þegar hann er loksins endurræstur þá veit enginn hvernig configið var.

Ok, hvernig förum við að þessu…

í config mode:

kron policy-list vista-config-list
cli write memory

kron occurrence vista-config at 1:00 recurring
policy-list vista-config-list

Og voila, routerinn sér um að vista configið kl eitt að nóttu til. (01:00 am).

Ath: Það kom upp bug í kron sem búið er að leysa. Athugið hvort að boxið þitt sé ekki örugglega með nýlegt software sem búið er að laga þennan bug.
Bug ID: CSCsm20994

Einnig sniðugt trick til að taka afrit af configi.
í config mode

archive
path ftp://notendanafn:lykilorð@hostnameðeaiptala/router-wrmem
write-memory


t.d.

archive
path ftp://backup:backuppw@172.16.1.100/rvk-wrmem
write-memory


Þá er tekið afrit af configinu og sent á ftp server í hvert skipti sem að það er gert “write memory” (t.d. amk einusinni á sólarhring ef að kron er keyrandi.)

Í staðinn fyrir ftp er t.d. hægt að nota tftp, eða scp ef að þú vilt að configið fari dulkóðað yfir netið.

Þetta kemur ekki í staðinn fyrir eftirlitskerfi í stærri og/eða mikilvægari umhverfum, en fer töluverðan spotta í tryggja rekstraröryggi.

Tólin sem við notum til að gera þetta mögulegt eru policy-map, class-map og access-listar.
Hugmyndin gengur út á að “merkja” ákveðna umferð (QoS), og stöðva svo alla umferð með þessari merkingu.

Dæmi 1.
Tilgangur: loka á facebook og youtube.
Lausn:

Í config-mode er eftirfarandi gert:

class-map match-any class-http-lokad
match protocol http host “*youtube.com”
match protocol http host “*facebook.com”
match protocol http host “*fbcdn.net”

og

policy-map pol-http-lokad
class class-http-lokad
set dscp 1

og

access-list 120 deny ip any any dscp 1
access-list 120 permit ip any any

og svo

interface Dialer1 ( eða “ytra” interface-ið á routernum)
ip access-group 120 out

og svo

interface Vlan1 (eða “innra” interface á routernum)
service-policy input pol-http-lokad

Nú ætti að vera aðeins erfiðara að nota facebook og youtube.

Í “class-map” er hægt að nota “match protocol http url” í stað “match protocol http host”, og þá er hægt að grípa ákveðin key-words.
Sem dæmi:
match protocol http url “*facebook*”
myndi loka á
http://www.simnet.is/~notandi/facebook/index.html
afþví að “facebook” kemur fyrir í slóðinni.

Til að skoða hvort að einhverjir pakkar séu merktir er hægt að nota eftirfarandi skipun:
show policy-map interface vlan1
Það er auðvitað hægt að gera þetta í Cisco ASA eldveggjum líka, þó það sé ekki farið yfir það config hér.

• VPN Authentication Bypass when Account Override Feature is Used vulnerability
• Crafted HTTP packet denial of service (DoS) vulnerability
• Crafted TCP Packet DoS vulnerability
• Crafted H.323 packet DoS vulnerability
• SQL*Net packet DoS vulnerability
• Access control list (ACL) bypass vulnerability

Affected versions: 7.0 7.1 7.2 8.0 8.1

Sjá nánar hér:

http://www.cisco.com/en/US/products/products_security_advisory09186a0080a994f6.shtml
 

Crafter UDP Packet Vulnerability:
[...] a successful attack will result in a blocked input queue in the inbound interface.
(http://www.cisco.com/en/US/products/products_security_advisory09186a0080a90426.shtml)

SIP Vulnerability:
[...] exists in the SIP implementation in Cisco IOS that can cause a reload of a Cisco IOS device.
(http://www.cisco.com/en/US/products/products_security_advisory09186a0080a904c0.shtml)

SCP Privilege Excalation Vulnerability:
The server side of the Secure Copy (SCP) implementation in Cisco IOS software
contains a vulnerability that could allow authenticated users with an attached
command-line interface (CLI) view to transfer files to and from a Cisco IOS device
that is configured to be an SCP server, regardless of what users are authorized to
do, per the CLI view configuration.
(http://www.cisco.com/en/US/products/products_security_advisory09186a0080a904c8.shtml)