CIA bekræfter: Vores sikkerhed virker!

En del IT-sikkerhedsfolk er skeptiske overfor budskabet i vores sidste blog APT-angreb kan stoppes!. Indenfor IT-sikkerhedsmiljøet hersker der fortsat den opfattelse, at hvis tilpas dygtige hackere vil trænge ind på en computer, så kan de altid gøre det. I kontrast til den opfattelse beskriver vores blog, hvordan man kan sikre sin PC imod selv mange af de mest avancerede hackere, måske endda imod at blive hacket af en efterretningstjeneste som NSA.

For nylig lækkede Wikileaks nogle fortrolige dokumenter fra det amerikanske CIA, som i høj grad bekræfter vores påstand. Blandt meget andet beskriver dokumenterne hvordan CIA kan hacke sig igennem mange forskellige sikkerhedsprogrammer. Flere af de største og mest anerkendte antivirusser på markedet er omtalt, og at dømme ud fra dokumenterne, har de generelt ikke givet CIA’s hackere nogen større vanskeligheder. Dette kommer ikke bag på os, se eksempelvis den nu 7 år gamle blog Antivirus – En forældet teknologi. Det interessante er, at ét produkt skiller sig væsentligt ud fra de øvrige, og det er Comodo. CIA beskriver Comodos brugere som ”paranoid bastards”, og omtaler selve programmet i frustrerede vendinger som disse:

”Comodo is a giant PITA.  It can and will catch and show your entire chain of execution and a great deal of your file I/O.  If you drop and run, it will show where you drop, what you run, and what you run runs.  Yeah, its that bad.”
Kilde: https://wikileaks.org/ciav7p1/cms/page_7995655.html

”Comodo, as you may know, is a colossal pain in the posterior. It literally catches everything until you tell it not to, including standard windows services (say what?!?).”
Kilde: https://wikileaks.org/ciav7p1/cms/page_7995653.html

Comodo har også tidligere været blandt de få antivirusproducenter, der har kunne opfange avanceret, statsfinansieret malware, som det meget omtalte FinFisher.
Kilde: https://wikileaks.org/spyfiles4/documents/Anti-Virus-Results-FinSpy-PC-4.51.xlsm

For os er dette interessant, eftersom vi selv i årevis har anvendt lige netop Comodo Firewall. Og det er ikke et tilfældigt valg af sikkerhedsprogram. Vi har længe været klar over, at lige netop Comodo Firewall, kan yde langt højere beskyttelse, end de fleste andre og ofte mere populære sikkerhedsprodukter på markedet. Takket være de lækkede dokumenter fra CIA, kan vi nu konstatere, at vores opfattelse af sikkerheden i Comodo Firewall er korrekt, til trods for den generelle skepsis vi er blevet mødt med. Det er muligt at sikre en Windows-PC imod selv avancerede, målrettede hackerangreb.

Her følger et par yderligere kommentarer til debatten om, hvordan man sikrer sig imod avanceret, målrettet hacking, også kendt som APT-trusler.

– Standardindstillinger VS maksimal sikkerhed –
De fleste af Comodo’s brugere har sandsynligvis deres produkt installeret med standardindstillinger. Det er derfor ret sandsynligt, at det også er netop programmets standardindstillinger som CIA har så store problemer med at hacke sig igennem. I alle tilfælde er det meget få Comodo-brugere, der benytter programmets højeste sikkerhedsindstillinger, da de færreste ønsker at håndtere de mange popups programmet så vil give. Vi har dog aldrig været tilfreds med standardindstillingerne i Comodo, som på ingen måde yder programmet retfærdighed. Comodo Firewall kommer første til sin fulde ret, når det anvendes af en kompetent bruger, med de helt rette indstillinger. Programmet bør blandt andet sættes til ”Paranoid Mode”, til ”Proactive Security”, og den indbyggede whitelisting af programmer baseret på digital signatur bør slås fra. Sandboxen bør også slås fra, og en række andre indstillinger bør fin-tunes. Dertil bør de mest udsatte programmer hærdes yderligere, så de kun har et minimum af tilladelser. Sådan har vores computere kørt i årevis, og det fungerer! Pointen er her, at hvis man er beskyttet imod selv CIA når man anvender Comodo’s produkter med standardindstillinger, hvad er man så ikke beskyttet imod, hvis man som os sætter programmet helt op i øverste sikkerhedsniveau?

– HIPS-på-HIPS –
Hvem siger Comodo Firewall behøver være det eneste sikkerhedsprogram man bruger? Faktisk kan programmet sagtens kombineres med flere andre sikkerhedsprogrammer. Teoretisk set findes der nogle potentielle svagheder i programmet, og man kan derfor godt argumentere for, at andre sikkerhedsprogrammer med andre sikkerhedsteknologier bør tilføjes for, at opnå den ultimative beskyttelse. Dertil kan man spekulere over hvad der ville ske, hvis Comodo Firewall imod al forventning blev lukket ned under et hackerangreb, og om det i den situation kunne give mening, at have endnu et sikkerhedsprogram som Comodo Firewall kørende. Hvis malware forsøger at afslutte det ene sikkerhedsprogram, så bliver det måske skudt ned af det andet. På den måde undgår man single-point-of-failure. Og dette kan faktisk lade sig gøre, selvom de fleste IT-sikkerhedsfolk ikke har erfaring med det. Comodo Firewall kan sagtens kombineres med flere andre og mindre kendte programmer, hvoraf nogle i sig selv kan give lige så ekstrem sikkerhed som Comodo Firewall. Utroligt måske, men det lader sig faktisk gøre at køre disse programmer sideløbende, uden nogen større konflikter eller hastighedsnedsættelse af computeren. Vi har flere PC’er der i lang tid har fungeret fint med hele 4 (effektive!) sikkerhedsprogrammer, efter det vi kalder HIPS-på-HIPS konceptet (HIPS = Host Intrusion Prevention System). Så selv hvis nogen på magisk vis skulle hacke sig igennem vores Comodo Firewall, som kører med de absolut højeste sikkerhedsindstillinger, så vil de blot møde flere andre forsvarsværker i form af vores øvrige sikkerhedsprogrammer. Måske er det både overdrevet og unødvendigt, men det virker.

– De har vel en “bagdør” –
Til dem der afviser sikkerhedsprogrammer med henvisning til, at efterretningstjenester sikkert har en ”bagdør” de kan bruge, må vi som sædvanlig stille dette oplagte spørgsmål: Hvis eksempelvis CIA har en generel bagdør der nemt og bekvemt kan give dem adgang til en mistænkt persons PC, hvorfor bekymrer de sig så om hvordan de kan hacke vedkommende?
Det danske IT-medie Version2.dk udtrykker det som følger:
”På sin vis kan oplysningerne om CIA’s påståede formåen i relation til krypteringsprogrammer og telefonhacking faktisk læses som godt nyt for sikkerhedsbevidste brugere. De metoder, der foreløbig er kommet frem, vidner nemlig om, at CIA er afhængige af almindeligt kendte hackerteknikker.
Der er med andre ord ikke noget, der tyder på, at efterretningstjenesten skulle have en eller anden form for global bagdør, der underminerer kryptering og it-sikkerhed, som vi kender det.”
Kilde: www.version2.dk/artikel/wikileaks-laek-minder-mere-bond-end-snowden-1074543

– Er CIA inkompetente? –
Det vil heller ikke virke seriøst, at afvise de lækkede dokumenter med en påstand om, at CIA bare ikke er gode til at hacke, og at andre hackere sagtens kan gøre hvad CIA ikke kan. Der er ikke umiddelbart noget der tyder på, at CIA skulle være inkompetente indenfor hacking. Hvor dygtige hackere de præcist har ansat, kan vi ikke udtale os om, men bemærk, at de lækkede dokumenter omtaler DLL injection og process hollowing. Det er nogle af de mere avancerede hacking-teknikker, som mange sikkerhedsprodukter har udfordringer med at beskytte imod. Men selv med disse teknikker, løber CIA altså panden imod muren, overfor nogle få men effektive sikkerhedsprogrammer, heriblandt Comodo Firewall.

– Alle sikkerhedsprogrammer kan omgås! –
På trods af den ekstreme sikkerhed man med de rette sikkerhedsprogrammer kan opnå på en computer, så kan det hele omgås rimelig enkelt. Det højeste man kan opnå med sikkerhedsprogrammer er, at det bliver lettere for angriberen at kompromittere computeren fysisk. Intet er som bekendt stærkere end det svageste led. Intet sikkerhedsprogram kan eksempelvis beskytte imod en hardware keylogger, som opfanger alle tastetryk, inden de er nået ind til computeren og dens software. Dette kan være vigtigt at huske, omend det naturligvis kun er relevant, hvis angriberen ved hvor ens computer befinder sig, og kan få fysisk adgang til den. I den situation er sikkerhedsprogrammer ikke nok. Fysisk sikring af en computer er et kapitel for sig, men se eventuelt bloggen Kan harddisk-kryptering omgås?.

– Hvorfor anbefales Comodo Firewall ikke? –
Et oplagt spørgsmål er, hvorfor vi i øjeblikket ikke anbefaler Comodo Firewall her på hjemmesiden. Svaret er ganske enkelt, at det er for besværligt at bruge. Det er nogenlunde enkelt at bruge programmet med dets standardindstillinger, men dem er vi som nævnt ikke tilfreds med, og vi har selv overværet hackerdemonstrationer der (til dels) brød igennem programmet med disse indstillinger. Faktisk har vi tidligere anbefalet programmet i sektionen Generel IT-sikkerhed, men har efterfølgende mistet troen på, at den gennemsnitlige bruger formår, at konfigurere og anvende programmet korrekt. Der var i stedet behov for en brugervenlig løsning, som samtidig gav væsentligt bedre sikkerhed end traditionelt antivirus, og vi endte med at anbefale VoodooShield. Dette program er mindre kendt og er ikke omtalt i de lækkede dokumenter fra CIA. Vi mener ikke det kan sidestilles med Comodo Firewall, men det kan stadig stoppe mange af de mest avancerede hackerangreb, hvis det anvendes korrekt (resume: Det skal kombineres med beskyttelse imod udnyttelse af sårbarheder, samt en bruger der håndterer programmets popups korrekt, præcis som beskrevet i vores vejledning). Og så er VoodooShield befriende enkelt at anvende, sammenlignet med Comodo Firewall. Begge programmer er i øvrigt gratis.

Som det fremgår er VoodooShield fortsat vores generelle anbefaling, til sikkerhed ud over det normale. Men skulle en avanceret bruger være interesseret i sikkerhed, endda ud over dette niveau, så yder vi gerne råd og vejledning. Nogle mennesker er ligeglade med om myndigheder eller kriminelle hackere kan få adgang til deres computer og deres digitale liv, og baserer sig gerne på sikkerhedsmodellen ”det er der ingen der ønsker”. Men vi er også nogen der foretrækker den sikkerhedsmodel der hedder ”det er der ingen der kan”. Og som det fremgår af CIA’s lækkede dokumenter, er det ikke bare muligt at sikre en Windows-PC imod avanceret, målrettet APT-hacking, det er også lettere end de fleste IT-sikkerhedsfolk er klar over.

.

Relateret læsning:
Artikel: How CIA Hackers Rate Your Computer’s Antivirus
Comodo blog: Latest Wikileaks Document Dump: Comodo is a Pain for Hackers
Comodo debatforum: CIA: “Comodo is a giant PITA.”