Savner det klassiske IT-driftsfaget
Å få tilbake godt IT-driftshåndverk tror NSMs IKT-sikkerhetsavedelingsdirektør Hans Christian Pretorius vil være til god hjelp mot cyberkrim.
FORKLARER: Hans Christian Pretorius, avdelingsdirektør for IKT-sikkerhet i NSM, forteller om viktigheten av programvareoppdateringer.
Leif Martin Kirknes
Leif.kirknes@lomedia.no
– Det snakkes mye om å stoppe disse hackerne. Hvordan detektere dem, og hvordan håndtere det når det smeller. Men vi må begynne å bygge en infrastruktur og en borg som lar seg passe på. Det hjelper ikke å stå på barrikadene mens skurkene går inn bakveien, sier avdelingsdirektør for IKT-sikkerhet, Hans Christian Pretorius, i Nasjonal sikkerhetsmyndighet (NSM).
Pretorius holdt foredrag om hacking under Arendalsuka, og mener det er på tide å bygge en borg som lar seg forsvare.
– Det er på tide å få tilbake det gode, gamle driftsfaget. Ordne patching, ha oversikt over hva man har og ikke har. Stenge ned det gamle og løfte over på det nye. Redusere kompleksiteten. Det blir kjernen i det vi må drive med fremover for å redusere kompleksitet, sier han.
Les også: Se opp for komfyr-hackere
Skadelige vedlegg
Dagens dataangrep starter stort sett med en epost, påpeker Pretorius. Han klarer ikke helt ha sympati med dem som går på klassisk «Nigeria-svindel» der det ofte tigges om penger, men noen av epostene som sendes i slike epost-angrep er såpass gode at det kan være vanskelig å se at de er falske.
Det kan være en epost med «oppdatert terminliste» til foreldre av barn som driver med håndball. Men i vedlegget ligger det kanskje en bitteliten programkode som utnytter en sårbarhet i programvaren som benyttes, som gir dataskurker tilgang til datamaskinen.
Les også: Kraftsjefene forsøkt lurt
Programkoden sender et hint til sin skaper om at den er installert. Skurken kan da enten velge å vente til behovet melder seg, eller snike mer skadelig programvare inn bakveien der og da. For eksempel en kodesnutt som logger alle tastetrykk, der brukernavn og passord er blant interessant fangst. Mange bruker samme brukernavn og passord på flere tjenester, så da kan skurken i så fall slå seg løs på internett og eventuelt gå videre til andre sleipe kjeltringstriks.
Oppdateringsregime
Men mange dataangrep kan unngås ved å oppdatere sin programvare. Mennesker som utvikler programmer gjør feil fra tid til annen. Når disse feilene oppdages sender programvareselskapet ut lappesaker for å tette slike sikkerhetshull. Det gjør de med rette, slik at ingen skurker kan utnytte hullet om de tilfeldigvis skulle oppdage at det er der.
Samtidig skaper det et lite oppdateringskappløp, for da får skurkene et handlingsrom. For når programvareselskapene sender ut sine lappesaker, blir også de med onde hensikter klar over sikkerhetshullene. Da er verden full av mennesker med skumle hensikter som hiver seg over tastaturet og programmerer kode de kan bruke for å utnytte sårbarheten.
Det er derfor NSM og alle øvrige IT-eksperter er så opptatt av at datamaskinbrukere som meg og deg må holde programvaren vi har til enhver tid oppdatert.
– Hacking gjøres på samme måte nesten hver gang, sier Hans Christian Pretorius i NSM med henvisning til metoden skissert ovenfor.
Tøffere og tøffere
Metoden kalles gjerne APT i fagmiljøet, «advanced persistant threat». APT betyr helt enkelt at skurkene bruker en avansert sårbarhet, selv om Pretorious påpeker at det jo kan diskuteres hvor avansert det er når skurkene har fått oppskriften i fanget.
– Men vinduet fra noen av de store leverandørene forteller om hullene til noen lager en programmeringssnutt som kan utnytte sårbarheten blir mindre og mindre. Nå er vi nede i en uke før det dukker opp et virus som kan komme inn på din PC eller mobil. Når vinduet blir mindre og mindre, blir det tøffere og tøffere for de store selskapene å rekke og oppdatere, sier han.
Samtidig er det et faktum at blant forbrukere av datamaskiner med programvare, sånne som meg og deg og de fleste egentlig, finnes det mange som er sløve på å oppdatere. Derfor finnes det faktisk hackere som er yngre enn sårbarheten som utnyttes. Så svaret for å unngå hacking er enkelt, ifølge Pretorius:
– Ola og Kari sluttbruker kan slippe unna 99 prosent av alle bekymringer ved å oppdatere programvaren på maskinen sin, sier han, og legger til at det som regel går an å sette innstillinger som gjør at programvarene oppdaterer seg automatisk når det foreligger en ny versjon.
Les også: Dataangrep mot Statnett
Slår et slag for godt IT-driftshåndverk
Han legger til at mobiltelefoner er mye tryggere enn PC-er når det gjelder beskrevet sikkerhetsscenario, fordi all programkoden til PC-en er mye mer kompleks enn til mobilen som er laget for en begrenset oppgave.
Kompleksitet bekymrer Pretorius. Han har møtt mange ledere som har blitt hacket, der deres umiddelbare kommentar er «oi», «oi, lå dataene mine der?» eller «oi, hadde så mange administratorbrukerkonto?» og lignende varianter.
– Det vi bør være bekymret for i det store og hele er kompleksiteten. Den øker. Vi får flere og flere systemer og lage flere og flere løsninger som aggregerer mer og mer info medfører økt kompleksitet. Vi blir også mer virtuelle. Det kommer til å stille mye større krav til det gode IT-driftshåndverket fremover, sier han.
Gammelt hull kostet selskaper millioner av dollar
Han mener det er stor grunn til å bekymre seg for såkalte krypteringsvirus. Det er virus som gjør all lagret data kryptert, der skurkene ber om penger for å låse opp filene så de blir brukbare igjen.
Det har nylig vært en hard runde med det i verden, såkalt «wannacry», som fikk en og annen IT-sjef til å sette kaffen i halsen og panisk sette i gang glemte programvare-oppdateringer på brukerens datamaskiner. Maersk er blant selskapene som har snakket åpent om hvor hardt viruset traff dem. De snakker nå om en prislapp på mellom 200 og 300 millioner dollar for å rydde opp etter angrepet.
– Det gikk veldig bra i Norge. Men angrepene skjedde ganske mange måneder etter at Microsoft hadde sluppet «patchen» som fisket problemet. Da ble jeg faktisk litt bekymret, sier Pretorius, som også finner det bekymringsfullt at wannacry-viruet i tillegg til å forkludre data klarte å bevege seg selv uten menneskelig interaksjon.
Les også: Disse fire tiltakene stopper opp mot 90 prosent av alle dataangrep
Ukjente hull er en gullgruve som settes i banken
Pretoroius understreker at den gjengse dataskurk ikke har for vane å utnytte sårbarheter som ikke er kjente for leverandørene selv, såkalte «zerodays», til slike klassiske hackerformål som nevnt. Årsaken er at verdien på ukjente sårbarheter er altfor høy til å kaste bort på slik «simpel hacking». Det finnes slike sårbarheter, men det er gjerne stater som kjenner til slike og som ruger på dem til de virkelig kommer til nytte.
– Det er veldig verdifull informasjon å sitte på fordi det er noe som ikke kan stoppes fordi det ikke er laget noen patch. Når en slik skal brukes skal verdien være såpass høy at jeg tror det vil være snakk om helt målrettede angrep stat mot stat, sier Pretorius.
Et eksempel på et slikt virus er «Stuxnet».
Pretorius påpeker at skadevare av det kaliberet er en «one-shot-«gun».
– Hvis du sender et virus på epost og viruset sprer seg, da har du fortalt verden at du har et virus, og da klarer vi å lage en fiks. Jeg tror derfor at zerodays-problematikken godt kan tones ned, selv om det selvfølgelig er noe den norske stat og NSM må forholde seg til, sier han.
Les også: Her er Norges dataforsvar