Datasikkerhet ved bruk av Windows NT 4.0 Bakgrunn og anbefalinger Versjon 1.0 5. juli 1999 KITH Rapport 11/99 ISBN 82-7846-069-8
KITH-rapport Tittel Datasikkerhet ved bruk av Windows NT 4.0 Bakgrunn og anbefalinger Forfatter(e) Arnstein Vestad Oppdragsgiver(e) Sosial- og helsedepartementet Rapportnummer R 11/99 ISBN 82-7846-069-8 Godkjent av URL http://www.kith.no/rapportarkiv/nt-sikkerhet.pdf Dato Antall sider Kvalitetssikret av 5. juli 1999 33 Bjarte Aksnes Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7489 Trondheim Besøksadresse Sverresgt 15, inng G Telefon 73 59 86 00 Telefaks 73 59 86 11 e-post firmapost@kith.no Foretaksnummer 959 925 496 Prosjektkode S-SV-TEKN Gradering Ingen Jacob Hygen Adm. direktør Sammendrag Denne veiledningen tar for seg muligheter og framgangsmåter for kunne tilby informasjonssikkerhet ved bruk av operativsystemet Microsoft Windows NT 4.0. Veiledningen er ment å gi en oversikt over sikkerhetsfunksjoner i Windows NT og gi bakgrunn for å forstå de virkemidler som er tilgjengelig. Videre vil den kunne tjene som et utgangspunkt for en sikker konfigurasjon av operativsystemet. Kapittel 1 gir generell bakgrunnsinformasjon og er ment å gi en lett innføring i informasjonssikkerhet i relasjon til Windows NT, og introduserer begreper som brukerkontoer, grupper, domener og tillitsforhold. Kapittel 2 tar for seg hvilke forskjeller som finnes mellom Windows NT og andre versjoner av Windows-operativsystemet, som Windows95 og Windows98. Kapittel 3 gir en noe mer teknisk innføring i sikkerhetsarkitekturen og -modellen for Windows NT. Kapittel 4 og 5 tar for seg en del problemer med sikkerheten, skildrer noen scenarier og gir en del generelle sikringsteknikker. I Kapittel 7 gis så en del konkrete anbefalinger for konfigurasjon av Windows NT 4.0. Disse anbefalingene kan tjene som bakgrunn for hvordan man vil konfigurere systemet etter å ha tatt hensyn til egne organisatoriske behov og krav.
Innhold INNLEDNING... 1 FORSKJELLER FRA WINDOWS95/98... 4 SIKKERHETSMODELLEN I WINDOWS NT... 6 PROBLEMER MED SIKKERHETEN... 9 Sikkerhetshull 10 HVORFOR BRY SEG OM INFORMASJONS-SIKKERHETEN... 12 Noen scenarier 12 Generelle sikringsteknikker 15 WINDOWS NT OG SIKKERHETSEVALUERING... 16 VEILEDNING FOR SIKKER KONFIGURASJON... 18 Tilgangsrettigheter 18 Brukerhåndtering og brukerrettigheter 23 Fysisk sikkerhet 25 Tjenester 26 Logging 27 Muligheter for automatisering 28 Oppdatering av systemet 28 TERMINAL SERVER OG METAFRAME... 29 ORDLISTE... 32
DATASIKKERHET VED BRUK AV WINDOWS NT 4.0 Innledning Kapittel 1 Microsoft Windows NT er det første operativsystemet i Windows-serien fra Microsoft som har begynt å ta datasikkerhet på alvor ved oppbygningen av operativsystemet. Dette kapittelet skal gi en oversikt over hvordan sikkerhetsmekanismene i Windows NT virker fra et brukerståsted, og en del av de begreper som systemet opererer med vil bli forklart. Det er vanlig å definere sikkerhet som å ivareta tre aspekter av et system: - Konfidensialitet: Dvs. at bare autoriserte brukere skal ha innsyn til informasjonen i systemet - Integritet: Dvs. at bare autoriserte brukere skal ha mulighet til å endre eller slette informasjonen i systemet - Tilgjengelighet: Dvs. at informasjonen i systemet skal være tilgjengelig for autoriserte brukere når det er behov for den. Windows NT, korrekt konfigurert, kan hjelpe oss med å sikre at den informasjonen vi benytter og er avhengig av innehar disse egenskapene, i alle fall til en viss grad. For å sikre at bare autoriserte brukere skal ha tilgang til å lese eller endre informasjonen i systemet, må alle brukere identifisere seg overfor systemet. Dette gjøres i NT 4.0 ved at brukeren skriver inn brukernavn og passord når systemet starter opp. I senere versjoner vil det også være støtte for bruk av f.eks. smartkort for å identifisere brukerne. Til hver bruker er det knyttet en konto i systemet, og denne kontoen tar vare på all informasjon om brukeren og hva han kan og ikke kan gjøre i systemet. Et hovedprinsipp i Windows NT er at ingen skal kunne bruke systemets ressurser uten at en identifisert konto kan knyttes til forespørselen. Windows NT opererer med to typer kontoer, lokale og domenekontoer. Lokale kontoer er knyttet til en spesiell datamaskin, og er derfor bare synlig fra denne. Domenekontoer er derimot lagret på en sentral server, og kan derfor fungere på flere arbeidsstasjoner, så lenge disse tilhører samme domene. Et domene er en administrativ gruppering av datamaskinene i et nettverk. Domenet styres av en primær domenekontroller, (PDC), og hver arbeidsstasjon kan kun være medlem av et domene om gangen. Domenekontrolleren sitter altså som navet i et hjul, og deler ut informasjon om brukerkontoene, noe som muliggjøre en mer effektiv og sentralisert kontroll med hvem som har tilgang til systemet og hvilke rettigheter ulike brukere har. 1
INNLEDNING Alle brukerkontoene kan i tillegg være medlem av ulike grupper, og disse gruppene kan gis rettigheter i systemet på samme måte som enkeltbrukerne. Ved å gruppere brukere på en fornuftig måte kan rettigheter tildeles på en mye mer fleksibel og effektiv måte eksempelvis ved at personer som jobber på et spesielt prosjekt eller i en avdeling meldes inn i samme gruppe og tildeles et filområde som bare de har tilgang til. Systemet må i tillegg holde orden på ressursene som brukerne skal bruke og tilordne disse på en slik måte at informasjon og dokumenter en bruker arbeider med ikke uten videre blir tilgjengelig for andre brukere på samme maskin eller i samme domene. Dette gjøres først og fremst med tilgangskontroll-lister (ACL). Disse kan sammenlignes med medlemslister i en eksklusiv klubb, og forteller hvem som har tilgang til f.eks. filer eller skrivere. Ulike brukere kan tildeles ulike rettigheter, og man kan både eksplisitt nekte en bruker rettigheter eller gi rettigheter til en fil eller et annet objekt. De mest vanlige rettighetene vi finner i Windows NT er: - Leserettigheter: Tillater en bruker å åpne en fil eller katalog og å se på innholdet. - Skriverettigheter: Tillater en bruker å endre innholdet i filen eller katalogen, evt. legge til underkataloger. - Kjørerettigheter: Tillater en bruker å kjøre filen hvis den er et program. Hvis det er en katalog tillates å gå inn underkataloger og vise katalogens attributter. - Sletterettigheter: Tillater en bruker å slette filen eller katalogen. Ved å kombinere disse rettighetene og opprettelse av fornuftige grupper kan dokumentene og katalogene i systemet organiseres på en effektiv og formålstjenelig måte, men dette krever omtanke og planlegging, og muligvis en endring i hvordan man tenker på dokumentorganiseringen. Mens man før kanskje har katalogisert dokumentene etter hvilken måned de ble til, må man nå f.eks. skille mellom ulike prosjektgrupper eller interne og eksterne oppdrag. Windows NT-systemer grupperes som oftest i såkalte domener. Dette gir mulighet for å sentralisere administrasjonen av brukerkontoer, ved at hver enkelt bruker logger seg på systemet mot en sentral servermaskin. Denne servermaskinen kan så benyttes eksempelvis for å autentisere brukere av fildelingstjenester og printere. Av politiske eller geografiske grunner kan det være ønskelig å dele opp en stor brukermasse i flere domener. For eksempel kan et firma ha en økonomiavdeling i ett domene, og på den måten skille ut hvilke brukere som har tilgang til disse systemene, og ulike domener for de andre avdelingene i selskapet. Hva så hvis en bruker i ett domene trenger tilgang til ressurser i et annet? En mulighet er å opprette en brukerkonto i begge domenene. Dette fører til dobbeltarbeid med å administrere brukerene som trenger slik tilgang. En alternativ, og mer effektiv løsning, kan være å opprette såkalte trust-relationship mellom ulike domener. Dette betyr at to domener stoler på hverandre, slik at om brukeren er innlogget i det ene domenet, får han tilgang til 2
INNLEDNING ressursene i det andre. Denne tilliten kan virke en vei eller begge. F.eks. kan salgsavdelingen velge å stole på økonomiavdelingen, uten at økonomiavdelingen stoler på salgsavdelingen. Dette medfører da at brukere i økonomiavdelingen har tilgang til alle ressursene i salgsavdelingen, mens brukere i salgsavdelingen ikke har tilgang til ressurser hos økonomiavdelingen, som kanskje oppbevarer lønnsinformasjon og annen informasjon av en sensitiv natur for selskapet. 3
DATASIKKERHET VED BRUK AV WINDOWS NT 4.0 Forskjeller fra Windows95/98 Kapittel 2 Det er store forskjeller mellom Windows95/98 og Windows NT når det gjelder sikkerhet. Windows95/98 har tatt utgangspunkt i den underliggende arkitekturen fra MS-DOS og fra Windows 3.1, og besitter derfor sterkt begrensede muligheter for sikring. Windows NT er i større grad designet med sikkerhet for øye. NTFS gir mulighet for tilgangskontroll En av grunnstenene for å kunne lage et sikkert system er muligheten for å skille mellom datamaskinen slik brukeren/programmereren opplever den og datamaskinens fysiske aspekter. Dette muliggjør f.eks. prosesssegmentering, dvs. at de ulike prosessene/programmene som kjører opererer i ulike adresserom og derfor ikke kan forstyrre hverandre, som følge av ondsinnethet, rene programmeringsfeil eller brukerfeil. Et program som løper løpsk, f.eks., ved å skrive over minneområder som tilhører operativsystemet, kan i Windows 95/98 lett gjøre hele systemet ustabilt, noe som potensielt kan føre til at ulagrede data går tapt, eller også at filsystemets integritet forstyrres. Windows NT, korrekt konfigurert, gir betraktelig mindre sjanser for at et løpsk program skal ta med seg hele systemet. Prosess-segmentering sørger her for at alle programmer kan oppføre seg som om de er alene i systemet, samtidig som at operativsystemet lar brukeren bytte mellom ulike programmer. For å benytte en analogi kan man si at der Windows 95 oppfører seg som et hus hvor ytterdøren er av papp og innedørene står på vidt gap, oppfører NT seg som et hus hvor (riktig konfigurert) også innedørene er låst. Det kan likevel være en del programfeil som lar inntrengere snike seg igjennom luftekanalene og andre kryprom. Den fundamentale sikkerhetsarkitekturen i Windows NT regnes i stor grad for å være god, men likevel er det et forholdsvis nytt, og på enkelte områder umodent system, og man må derfor regne med at en del feil i implementeringen ennå ikke er luket fullstendig ut. Et annet bidrag til sikkerheten som har kommet med Windows NT, er NTs filsystem, NTFS. Dette filsystemet bidrar til såkalt diskresjonær tilgangskontroll, dvs. at hver enkelt bruker har mulighet til å bestemme hvem som skal ha tilgang til filer, og hvilken tilgang ulike brukere eller grupper av brukere skal ha. Dette er egenskaper som har eksistert i Unixog stormaskinverdenen i flere 10-år, og grunnen til at alminnelige DOS/Windows-PC er ikke har hatt denne muligheten er vel den tradisjonelle tankegangen med at hver bruker skal ha sin arbeidsstasjon hvor han lagrer egne filer og dokumenter. Så lenge denne forutsetningen holder er det lite behov for mer sofistikerte løsninger, men når maskiner knyttes 4
FORSKJELLER FRA WINDOWS95/98 Figur 1 - En sammenligning av Windows95 og Windows NT Bedre sikkerhet i nettverk sammen i nettverk, som er hovedregelen i dag, eller flere brukere benytter samme arbeidsstasjon er ikke dette tilfredsstillende. Windows NT har også muligheten for å benytte FAT-filsystemet fra DOS og Windows 3.1 / 95, men dette anbefales ikke i en sikker konfigurasjon, da FAT ikke støtter tilgangskontroller. Windows NT baserer seg i mindre grad enn tidligere versjoner av Windows på å sende passord i klartekst over nettverket. Med i mindre grad menes at dette fremdeles kan benyttes for å skape kompatibilitet med eldre klienter som Windows95/98 og Windows 3.1. Det anbefales derfor at Windows NT benyttes på alle maskinene i nettverket. Det bør likevel bemerkes at ulike applikasjonsprogrammer som knytter seg opp mot servere over nettverket likevel kan sende passord i klartekst, eksempelvis ved bruk av POP og IMAP for epostnedlasting og FTP for filoverføring. Også Windows95/98 kan benyttes til fildeling, men med langt dårligere sikkerhet enn Windows NT. Mens Windows NT gir tilgang basert på brukere, baserer Windows95/98 seg på såkalt share-level sikkerhet, dvs. at et fildelingsområde kan ha et eller to passord som brukerene av området må dele på (Ett passord for lesetilgang, et annet for skrivetilgang). Dette øker sannsynligheten for at passordet kommer utenfor kontroll, og umuliggjør logging av hvem som har gjort hva. 5
DATASIKKERHET VED BRUK AV WINDOWS NT 4.0 Sikkerhetsmodellen i Windows NT Kapittel 3 Dette kapittelet er ment å være en mer teknisk diskusjon omkring hvordan sikringsmekanismene i Windows NT er bygd opp. Denne diskusjonen er ikke nødvendig for å forstå hvordan man setter opp et sikkert NT-system og er mer som en bakgrunnsorientering å regne. Det kan likevel være interessant å ha litt dypere kunnskap om systemet og dermed kanskje ha en bedre forutsetning for å forstå tingenes tilstand. Flere elementer utgjør arkitekturen som skal sørge for sikkerheten i Windows NT, men de viktigste er som følger: Security Account Manager (SAM): Databasen over brukere. Ligger i registry og inneholder brukere, grupper, Security Identifiers, og hash av passord. (Backupversjoner kan også bli lagret i \WinNT\recovery). Passordet ligger altså ikke i klartekst eller kryptert her, men som resultatet av en enveisfunksjon. Dette gjør at man kan kontrollere om en bruker har korrekt passord ved å sammenligne hash av det oppgitte passordet med hashen som er lagret, men den samme verdien kan ikke brukes til å avdekke passordet annet enn ved gjetting. Local Security Authority (LSA): Det sentrale kontrollpunktet. Genererer Security Access Tokens for innloggede brukere og styrer datamaskinens sikkerhetspolicy. Security Reference Monitor (SRM): Kjerneprosess som utfører kontrollen med om en bruker har nødvendige tillatelser til å få tilgang til systemobjekter som filer og printere ved å sammenligne tilgangskontrollene på et objekt med tilgangsrettighetene i en brukers tilgangs- token. Genererer også relevant loggdata. Denne prosessen kjører altså som en del av kjernen i operativsystemet, dvs. den delen som har tilgang til alle de fysiske ressursene i datamaskinen. Hver bruker og gruppe som er definert i systemet tildeles sin Security Identifier (Sid) som er unik for hver enkelt, og det er denne som er utgangspunkt for å avgjøre tilgangsrettigheter. Når en bruker har logget inn i et NT-domene eller en NT arbeidsstasjon genererer Local Security Authority et Security Access Token som inneholder brukerens Sid og Sid for alle grupper som brukeren er medlem av. Ethvert objekt i systemet har en tilgangskontrolliste, som spesifiserer hvilke brukere eller grupper som har tilgang til objektet og hvilke rettigheter disse har. Eksempler på objekter er filer, kataloger og printere. Eks- 6
SIKKERHETSMODELLEN I WINDOWS NT Figur 2 - Windows NT sikkerhetsarkitektur empler på rettigheter er lesetilgang, skrivetilgang, slette og legge til eller fjerne filer fra printkøer. Objekter kan også være beholdere, dvs. at de kan inneholde andre objekter, som f.eks. underkataloger. Slike underobjekter kan da arve sikkerhetsegenskapene til beholderobjektene. Tilgangskontrollistene har tre typer av innslag, AccessDenied, Access- Allowed og SystemAudit. Hvert innslag i tilgangskontrollista består av en Sid sammen med en tilgangsmaske. AccessDenied-maska nekter brukeren eller gruppen den tilgangen som defineres av masken, og omvendt for AccessAllowed. Når en bruker ber om et sett med tilganger til et objekt, f.eks. lese, skrive og slette, undersøker Security Reference Monitor først om brukeren er nektet tilgang til objektet gjennom et AccessDeniedinnslag. I så fall nektes tilgang med en gang. Hvis dette ikke er tilfelle undersøkes så hvorvidt brukeren er gitt tilgang gjennom et AccessAllowed-innslag. Det undersøkes hvorvidt brukeren har alle de tilganger han har spurt om, og tilgang gis bare hvis så er tilfelle. Foruten tilgangsrettighetene som spesifiseres på objektnivå, kan brukeren også ha visse rettigheter som gjelder for systemet eller domenet som helhet, som å slå av systemet, endre klokka og ta sikkerhetskopi av systemet. Slike rettigheter kan være overordnet de rettighetene som er spesifisert i tilgangskontrollister. Eksempelvis kan en bruker med sikkerhetskopirettigheter lese alle filer og kataloger selv om det finnes tilgangskon- 7
SIKKERHETSMODELLEN I WINDOWS NT trollister som nekter tilgangen. En bør derfor naturligvis ha kontroll med hvem som får disse rettighetene. 8
DATASIKKERHET VED BRUK AV WINDOWS NT 4.0 Problemer med sikkerheten Kapittel 4 Windows NT er ingen vidunderkur for sikkerhetsproblemer. Flere forfattere har identifisert problemområder som NT løser mindre godt, og sikkerhetshull har blitt avslørt med jevne mellomrom. Dette viser at god datasikkerhet ikke kommer lettkjøpt, og at systemet ikke kan overlates til seg selv etter installasjon, men trenger oppdatering kontinuerlig. Bla. [Schultz98] og [Burton98] identifiserer enkelte problemer med sikkerheten i Windows NT. Sikkerhetsmodellen tar utgangspunkt i at alle brukere er autentisert av systemet før de får tilgang til systemressurser. I mer kompliserte miljøer viser denne antagelsen seg å ha svakheter. Brukere med web eller ftp-tilgang til systemet har tilgang til enkelte systemressurser uten å ha vært igjennom noen innloggingsprosess. Problemet øker etter hvert som flere tjenester tilbyr applikasjonsbasert (f.eks. gjennom en nettleser) framfor systembasert autentisering. Selv om Windows NT kan gjøres sikkert, blir det ikke levert i en slik konfigurasjon. Windows NT leveres som shrink-wrap, og er ment å kunne settes opp av relativt ukyndige brukere, og tillate at disse installerer de programmene de trenger. Et stort problem er at slik svak sikkerhet sjelden blir rettet på i ettertid. I tillegg er det få regler for hvor programmer skal legge filer og data i registeret. \WINNT\SYSTEM32 er en katalog som er ment å holde systemfiler, men mange programmer legger deler av sine egne filer her. Når det er snakk om filer som deles av flere programmer er dette fornuftig nok, men eksempelvis har Microsofts egne Microsoft Developer Studio valgt å legge en Read Me -fil her, noe som blir litt verre å forstå. Implementeringen av Windows NT er fremdeles umoden, og sikkerhetsbrister som kan spores til dette fortsetter å dukke opp. Størsteparten av slike feil kan medføre såkalte Denial of Service angrep, dvs. at maskinen blir utilgjengelig for dens rettmessige brukere, som oftest til den har blitt startet på nytt. Enkelte feil kan medføre at brukere får administratorrettigheter, men disse forutsetter som oftest at brukeren har fysisk tilgang til maskinen. Windows NT opprettholder bakoverkompatibilitet med autentiseringsmekanismene som ble benyttet i eldre versjoner av Windows. I blandede miljøer (Win95/98 og NT) må man tillate bruk av svakere autentiseringsmekanismer, som kan utgjøre en sikkerhetsrisiko. Mi- 9
PROBLEMER MED SIKKERHETEN crosoft råder derfor alle som vil sikre sine systemer om å satse på et miljø utelukkende basert på Windows NT. Windows NT har til nå i stor grad manglet et integrert sikkerhetsmiljø. Sikkerhetsrelevante innstillinger må endres både i filsystem og i registeret, og det finnes mange ulike små programmer som kun ivaretar deler av den totale policyen for systemet. Denne kommentaren rammer i stor grad Windows NT før versjon 4.0 med Service Pack 4, hvor det ble levert en Security Configuration Editor. Meningen med denne er at den skal gi et enkelt punkt for administrering av sikkerheten og på en effektiv måte sørge for at alle maskiner i et nett implementerer den ønskede policyen. Et problem som NT fremdeles har er støtte for administrering av store brukergrupper og komplekse organisasjoner. Windows 2000 sies å skulle forbedre dette vha. Active Directory. Det er altså åpenbart at alt ikke er fryd og gammen når det gjelder sikkerhet i Windows NT. Det bør likevel nevnes at Microsoft satser på Windows NT som et sikkert operativsystem og hevder at de tar henvendelser om svakheter i sikkerheten alvorlig. Blant annet er det opprettet et Security Problem Response Team for å reagere på rapporter om sikkerhetsproblemer, lage løsninger og spre disse. Sikkerhetshull Det kan være interessant å se på enkelte av de sikkerhetsfeil som til nå har blitt oppdaget i Windows NT. Dette kan tjene som illustrasjon over hva slags type feil som kan oppstå, men også hvor vanskelig det kan være å oppnå sikkerhet i datasystemer generelt. Dette er bare noen utvalgte eksempler. Flere hull har blitt oppdaget/tettet, og nye dukker opp med jevne mellomrom. Denne diskusjonen vil kunne virke noe teknisk, og forutsetter en del kjennskap til operativsystemer og datakommunikasjon. I mai 1997 ble et problem som berørte Windows 3.11, Windows95 og Windows NT avslørt. Out-of-Band -problemet kunne utnyttes til å sørge for at systemet fryser. Angrepet kunne utnyttes mot alle systemer som lytter på port 139, som benyttes av NetBIOS. Angrepet gikk ut på å rette en forespørsel mot systemet og overføre ugyldig informasjon som forvirrer systemet i så stor grad at det fryser. To ganger til nå har verktøy gått sin rundgang på Internett som kunne gi lokale brukere administratortilgang. Begge disse har vært relativt sofistikerte programmer som har utnyttet svakheter internt i operativsystemet, ved å få systemet til å kjøre kode med større privilegier enn det som normalt gis brukeren. Det første verktøyet het getadmin.exe, og utnyttet en svakhet til å kunne koble seg til vilkårlige prosesser på systemet og starte tråder i denne prosessens sikkerhets-kontekst. Det andre programmet, kalt SECHOLED, finner en spesiell funksjon i operativsystemet ment for debuging av programmer og endrer denne til å returnere suksess isteden for feil. Ved å gjøre dette lykkes begge programmene i å legge 10
PROBLEMER MED SIKKERHETEN brukeren som kjører programmet inn i den lokale administratorgruppen, noe som gir full tilgang til systemet. Et annet angrep som kan få en server til å krasje og ta omstart retter seg mot SMB-protokollen som NT bruker til fildeling. For å starte en SMBforbindelse sender en klientmaskin påloggingsinformasjon til serveren. Her spesifiseres størrelsen på de påfølgende dataene. Hvis denne informasjonen er feil, kan det medføre at informasjon i Windows NT s kjerne overskrives, slik at systemet gjør omstart eller henger. Felles for alle disse angrepene er at de har blitt offentliggjort, hvorpå Microsoft har publisert en feilrettingsoppdatering. Dette medfører at informasjon om problemet er lett tilgjengelig, og illustrerer nødvendigheten av å være oppdatert med de siste feilrettinger fra leverandøren. De to programmene som gir administrator-tilgang illustrerer også problemet med kompleksiteten og uoversikteligheten i operativsystemet. Hvis dette er symptomatisk kan det føre til at flere slike angrep kommer for dage, eller verre, at de holdes skjult av angripere som kan nytte dem til å få urettmessig adgang til systemer. 11
DATASIKKERHET VED BRUK AV WINDOWS NT 4.0 Hvorfor bry seg om informasjonssikkerheten Kapittel 5 Å sikre datasystemer blir ofte sett på som unødvendig ekstraarbeid som medfører lite av verdi for den enkelte. Det er derfor viktig å understreke hvilke positive resultater vi kan få av økt informasjonssikkerhet. For å forstå hva slags problemer vi står ovenfor kan det også være opplysende å se på noen potensielle trusler og scenarier. Vi kan altså oppnå positive resultater ved å ta sikkerheten på alvor. Noen viktige faktorer som kan nevnes er: - Sikre mot unødig nedetid som resultat av virusangrep eller nettverksangrep - Sikre integriteten til viktig data, som f.eks. at medisinsk informasjon ikke endres eller slettes - Sikre mot potensielle skandaler ved frislipp av sensitiv informasjon som kan være særdeles belastende både for pasienter og de ansvarlige. Sikkerhet vil aldri bli vellykket hvis den kun påtvinges ovenfra eller hvis den som skal bruke datasystemene ikke ser hensikten med sikkerhet. Det blir derfor ytterst viktig å motivere til god sikkerhet og spre nok kunnskap til at nytteverdien blir innsett. Sikkerhet bør ikke ses på som et nødvendig onde, men som et verdiøkende tiltak. Helsesektoren er i en spesiell situasjon når det gjelder informasjonssikkerhet, og det stilles store krav både til konfidensialitet, tilgjengelighet og integritet. Tilstrekkelig sikkerhet har vært en av bøygene for en større utbredelse av informasjonsteknologi i helsesektoren, noe som må forstås ut fra at den effektivitet og økte tilgang til informasjon for de daglige brukere av informasjonssystemet også tilbyr økt tilgang for misbrukere. Mens pasientinformasjon tidligere i stor grad gikk fra hånd til hånd mellom helsepersonell, kan den nå potensielt flyte gjennom åpne systemer og være utsatt for både uautorisert avlytting og endringer. God informasjonssikkerhet er derfor det verktøyet som kan tillate oss å utnytte de framskritt teknologien kan gi oss uten at det går på bekostning av personvern eller pasienters trygghet. Noen scenarier Vi vil i det følgende gi noen scenarier basert på hendelser som har foregått eller hendelser som er fullt realistiske fra et teknisk perspektiv. Disse 12
HVORFOR BRY SEG OM INFORMASJONS-SIKKERHETEN scenariene er ment som en illustrasjon av hva som kan hende og hva som har hendt, og er ment å gi en forståelse for hvorfor sikkerhetstiltak er så viktig. Benytt virusscanner Infeksjon av datavirus Datavirus kan komme inn i systemet via nedlasting av programmer fra Internett, som vedlegg til epost eller med programmer som blir installert på maskinen. Piratkopierte programmer får ofte skylden for mye av spredningen av datavirus, men også flere av de største programleverandørene har levert originalprogram med virus. Den vanligste trusselen fra virus er ødeleggelse av datafiler og programfiler. Ved å følge gode prinsipper for sikkert oppsett av Windows NT kan man få en betydelig mindre sannsynlighet for at et angrep vil få alvorlige konsekvenser. Et viktig prinsipp her vil være å skrivebeskytte alle programfiler, slik at kun administratorer kan endre programfiler. Dette vil effektiv sette en stopper for videre infisering av programfiler så lenge en administrator ikke kjører en infisert fil. Windows NT vil også i større grad motstå virus som skader BIOS og annen firmware pga. prosessegmentering og hardwareabstraksjon som gjør at ordinære programmer må gå igjennom systemkall for å benytte hardware-ressursene. Virus vil ikke bare kunne skade data og programmer, de kan også bidra til at konfidensiell informasjon spres, potensielt til tusener av brukere på Internett. Et godt eksempel på dette er det såkalte Melissa-viruset som er et såkalt makrovirus som infiserer Microsoft Word-dokumenter. Viruset infiserte Word-maler og kunne automatisk sende dokumenter videre til personer som er oppført i brukerens adressebok i Outlook. En virusscanner vil derfor være et nødvendig verktøy, og det må være rutiner på plass for en jevnlig oppdatering av denne gjennom en abonnementsordning. Et annet virus/trojansk hest som fikk stor utbredelse var det såkalte Happy99 -viruset, som byttet ut systemfiler under Windows95/98. Ved å legge seg som vedlegg til alle eposter som en infisert bruker sendte spredte det seg raskt. I tillegg utnyttet det tilliten vi har til at venner og kjente ikke sender oss ondsinnede programmer. Dette viruset gjorde ingen spesiell skade, men det er lett å se at når et program kan ta over et system på den samme måten som Happy99, er sikkerheten ikkeeksisterende. Viruset kunne like gjerne sendt en kopi av alle utgående eposter, eller åpnet en port slik at uvedkommende kunne ta over datasystemet fullstendig. Disse to eksemplene illustrerer at et datavirus eller annen fremmed og ukontrollert programvare som utføres på maskinen vår kan føre til svekkelse av alle tre hovedaspekter av informasjonssikkerhet; konfidensialitet, integritet og tilgjengelighet. Beskyttelse mot slike programmer er derfor vår første skanse, og må taes på alvor. Virusscannere er et viktig verktøy, riktige tilgangsrettigheter på systemfiler et annet, effektive backuprutiner et tredje. 13
HVORFOR BRY SEG OM INFORMASJONS-SIKKERHETEN Trojanske hester Trojanske hester er programmer som utfører andre tjenester enn det som er forventet, som oftest med et uskyldig ytre som en multimediapresentasjon eller et lite spill. Bak fasaden kan det skjule seg ulik funksjonalitet, som fjernovervåking og tidsinnstilte logiske bomber. Windows95 har sett flere eksempler på denne typen, bl.a. Back Orifice, et ordspill på Microsofts Back Office programvare, og NetBus. Begge disse programmene kan la noen ta full kontroll over en maskin over Internett. Dette forutsetter at man har kjørt den trojanske hesten, som så som oftest har installert seg i systemet. Det er ikke nødvendig å kjøre et nedlastet program for å bli utsatt for et slikt problem. Microsofts Active X tillater at programkode utføres på et system med samme rettigheter som brukeren, kun ved uforsiktig web-lesing. Java kjører også programmer på systemet, men utviklerne av Java har tatt sikkerheten litt mer på alvor en Active X -teknologien til nå har gjort. Javaprogrammer utføres derfor i en såkalt sandkasse, som skal isolere programmet fra systemets ressurser. Dette fungerer i stor grad, men varianter av disse sandkassene fra ulike leverandører kan ha svakheter og sikkerhetshull. Trusselen fra trojanske hester er reell, og det er vanskelig å finne en teknologisk løsning på problemet. Gode hygiene-prinsipper blir derfor en nødvendighet, som å fjerne muligheten for Active X, og ikke kjøre vedlegg til epost uten videre. Antivirusprogrammer kan dessuten avsløre også de fleste trojanske hester. Utilsiktet utlevering av informasjon Brudd på konfidensialiteten behøver ikke nødvendigvis skje som resultat av angrep utenfra eller bevisste handlinger fra utro tjenere, men kan også skje som et utilsiktet resultat av en i utgangspunktet uskyldig handling eller uomtenksomhet. Dette kan skape problemer som selv det sikreste operativsystem vanskelig kan bekjempe. Et vanlig problem er bruken av klipp og lim -funksjonaliteten som for mange er et effektivt og nødvendig verktøy i hverdagen. Sikkerhetsmessig kan det likevel by på problemer hvis man mister oversikten over hva som ligger på utklippstavlen eller hva man klipper med seg når man markerer store seksjoner i et dokument. Det er lite funksjonalitet i Windows NT eller andre versjoner av Windows som kan hjelpe mot slike problemer, og det blir derfor opp til det enkelte program hvorvidt det inneholder funksjoner som legger data på utklippstavlen. En annen kilde for utleveringsrisiko er epost-programmer. De fleste som er medlemmer av epost-lister på Internett har opplevd å få mer eller mindre personlige brev ment for andre i postkassa. Som oftest skjer dette når noen velger svarfunksjonen i epostprogrammet uten å undersøke om svaret går til epostlista eller personen som forfattet brevet. Dette er heller ikke en trussel som utelukkende retter seg mot Windows NT, men det er likevel en trussel som kan medføre store konsekvenser i miljøer som behandler sensitiv informasjon, som helsevesenet. Også enkelte applikasjonsprogrammer kan medføre utilsiktet utlevering av informasjon. Dette skjer særlig når programmer utfører funksjoner bak 14
HVORFOR BRY SEG OM INFORMASJONS-SIKKERHETEN Opplæring og bevistgjøring vår rygg, som oftest i den hensikt å hjelpe. Et eksempel er hurtiglagringsfunksjonen i Microsoft Word. Hurtiglagring lagrer bare endringene i filen, og går derfor raskere. Dette medfører derfor at informasjon som er slettet i dokumentet likevel ligger lagret i filen. Denne informasjonen vises ikke når dokumentet åpnes i Word, men kan spores opp hvis noen ser på selve filen. Word-dokumenter inneholder også annen nyttig informasjon for inntrengere, som brukernavn og filbanen til dokumentet. Disse eksemplene eksponerer trusler som kan forefinnes på de fleste plattformer. I mange tilfeller lar de seg ikke utelukkende løse ved å stramme inn rettigheter i operativsystemet eller lignende systemtekniske løsninger. Kun brukeropplæring og bevistgjøring kan ha særlig stor effekt mot slike problemer, og det er derfor i særlig grad viktig å ha oversikt over slike trusler. Generelle sikringsteknikker Med bakgrunn i disse problemene er det mulig å trekke fram noen mer generelle metoder som er gyldige både for Windows NT, men også for andre operativsystemer som har den tilsvarende muligheter til å ivareta datasikkerhet. Et klart skille mellom bruker og administrator kan hjelpe betraktelig mot datadrevene angrep som virus og lignende. Kun administrator bør ha mulighet til å endre og slette filer i systemkatalogene, med enkelte unntak. Det samme prinsipp gjelder for programkataloger. Problemet i denne forbindelse er programmer som gjerne vil gjøre endringer i seg selv. En bør påse at brukerkontoer som benyttes i det daglige arbeid ikke er medlem av den lokale administratorgruppen. Det er viktig å forstå at dette er ment for å sikre mot infiltrasjon av virus og trojanske hester, og ikke for å gjøre hverdagen mindre fleksibel. Færrest mulig protokoller bør være aktive. FC2-E3-konfigurasjonen (et oppsett som har blitt uavhengig evaluert, se neste kapittel) krever f.eks. at NetBIOS over TCP/IP fjernes og at Messenger-tjenesten slås av. De fleste slike tjenester og protokoller kjøres som deler av operativsystemet og svakheter i disse kan føre til at hele systemet blir kompromittert. Mye arbeid bør legges inn i å lage en god filstruktur og policy for lagring av filer. Siden filer i en katalog i utgangspunktet arver sikkerhetsegenskapene fra katalogen kan dette bidra til at filer får korrekte attributter og beskyttelse. 15
DATASIKKERHET VED BRUK AV WINDOWS NT 4.0 Windows NT og sikkerhetsevaluering Kapittel 6 Sikkerheten i Windows NT har blitt evaluert av ulike instanser, både i USA og i Europa. Den mest kjente evalueringsmetoden kalles Trusted Computer Systems Evaluation Criteria eller TCSEC, også kjent som Orange Book. Dette er en amerikansk standard for evaluering av sikkerheten i et system utgitt i siste versjon i 1985 av det amerikanske forsvarsdepartementet. Windows NT har blitt gradert som C2 etter denne standarden. I tillegg har Windows NT blitt evaluert etter den europeiske ITSEC-standarden, og gitt en tilsvarende gradering. En del misforståelser har oppstått i forbindelse med evalueringsresultatene som det kan være greit å rydde opp i. For å oppnå C2-klassen i evalueringsskjemaet TCSEC må systemet ha en del sikkerhetsegenskaper som at: Eieren av en ressurs (f.eks. en fil) må kunne kontrollere tilgangen til ressursen. Operativsystemet må beskytte objekter slik at andre prosesser ikke kan bruke dem etter at de har blitt frigjort. F.eks. skal ikke minneområder som gis til et nytt program inneholde informasjon fra et gammelt program. Hver bruker må identifisere seg med et unikt navn og passord før tilgang gis til systemet. Dette tillater systemet å spore aktivitetene tilbake til en enkelt person. Systemadministratorer må ha mulighet til å logge sikkerhetsrelevante aktiviteter. Tilgang til slike data må være begrenset til administratorene. Systemet må beskytte seg selv mot endringer. En evaluering undersøker om systemet følger disse kravene, og sier også noe om hvilken grad av tillit vi kan ha til at systemet virkelig gjør hva det skal gjøre. En annen standard for sikkerhetsevaluering er ITSEC, som er en europeisk standard. Windows NT 4.0 har blitt evaluert etter denne standarden til nivå FC2-E3, som tilsvarer TCSEC s C2-klassifisering. Evalueringsprosessen er på ingen måte en garanti for at et system er sikkert, den kan på det meste øke vår tillit til at sikringsmekanismene i 16
WINDOWS NT OG SIKKERHETSEVALUERING Windows NT er korrekt implementert. Dette medfører ingen garanti for at sikringsmekanismene i Windows NT er de som er nødvendige for å gi det nivå av sikkerhet som akkurat din installasjon i ditt miljø trenger. Det er heller ikke Windows NT slik den kommer ut av boksen som er sertifisert, bl.a. må rettigheter til filer strammes inn, likeledes med rettigheter til registeret. Veiledninger i hvordan å sette opp Windows NT slik C2- kravet har blitt evaluert kan finnes på http://www.microsoft.com/security/resources/whitepapers.asp, særlig Securing Windows NT installation og ITSEC FC2-E3 Installation of Windows NT Workstation 4.0 and Windows NT Server 4.0 er aktuelle. En del misforståelser sirkulerer omkring evalueringen av Windows NT, blant annet at evalueringen ikke innbefatter nettverksdelen av systemet. Forvirringen kan ha oppstått fordi NT har vært igjennom flere evalueringer, av ulike versjoner av systemet og under ulike evalueringsskjemaer. De to evalueringsskjemaene er altså det amerikanske TCSEC og det europeiske ITSEC. Den første evalueringen av NT var under TCSECskjemaet og av versjon 3.5. Denne evalueringen omfattet ikke nettverkskomponenten av systemet, fordi TCSEC i utgangspunktet ikke egner seg for evaluering av nettverkssikkerhet. Det finnes en såkalt tolkning av TCSEC for nettverkssystemer, Red Book, og NT 3.5 har i ettertid blitt sertifisert etter denne også. I tillegg er Windows NT 4.0 sertifisert etter ITSEC-skjemaet, også dette med nettverkskomponenten. Systemet ble her gradert i klassen E3/FC-2 som tilsvarer TCSEC s C2-klasse. 17