Hackerne droppede spredehaglene og gik over til målrettede præcisionsangreb i 2011. Året bragte også en stigning i angreb på smartphones, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Den 3. marts dobbeltklikkede en ansat i firmaet RSA på et vedhæftet Excel-regneark i en mail. Det blev indledningen til en af årets mest omtalte sikkerhedsaffærer.
Regnearket indeholdt et Flash-objekt, som udnyttede en sårbarhed i Flash til at afvikle programkode. På den måde fik afsenderen af mailen adgang til netværket hos RSA.
Konsekvenserne blev kendt nogle måneder senere. Hackerne bag angrebet havde skaffet sig adgang til information om RSA's SecurID-system. Det er et sikkerhedssystem, hvor man skal indtaste en talkode fra en lille elektronisk enhed for at logge ind.
Formålet med angrebet på RSA var øjensynlig at skaffe viden om SecurID, der gav hackerne mulighed for at angribe virksomheder i det militærindustrielle kompleks. Angrebet gik blandt andet ud over firmaet Lockheed Martin.
Skjult og målrettet
RSA-angrebet er en passende indgang til dette års nytårsklumme, hvor jeg samler op på nogle af de væsentlige it-sikkerhedshistorier fra det forgangne år. Angrebet var nemlig typisk for en aktuel tendens: Målrettede angreb.
I sikkerhedsbranchen har man i et par år talt om såkaldte APT'er – Advanced Persistent Threats. Der er ingen klar definition på dem, men et kendetegn er, at det er målrettede angreb, der foregår i det skjulte over længere tid. APT-angreb kan være rettet mod kommercielle eller politiske mål.
RSA-angrebet var målrettet mod firmaer, der leverer til USA's militær. Derfor er det naturligt at antage, at formålet er industrispionage eller spionage mod militære mål.
Årets mest omtalte skadelige program var Duqu, som menes at være i familie med Stuxnet. Også denne trussel blev benyttet til meget målrettede angreb. Der kendes til under en snes angreb med Duqu.
Trods den begrænsede udbredelse er Duqu også interessant for den brede offentlighed: Den udnytter en sårbarhed, som var ukendt, da Duqu blev opdaget i oktober. Først med december måneds sikkerhedsrettelser lukkede Microsoft hullet.
Kemisk industri og oliebranchen
Et andet målrettet angreb foregik fra juli til september. Det var rettet mod virksomheder i den kemiske industri. 48 firmaer var i angribernes søgelys, heraf var 29 fra kemisk industri. To danske computere blev inficeret under det såkaldte Nitro-angreb.
DK•CERT's norske søsterorganisation NorCERT oplevede i år en halv snes spionageangreb rettet mod virksomheder.
NorCERT mener, at en enkelt aktør står bag alle angrebene, der var rettet mod olie- og gassektoren, energiselskaber og forsvarsindustrien. Angrebene skete i flere tilfælde i perioder, hvor firmaerne var involveret i forhandlinger om større kontrakter.
Hvis vi kigger nogle år tilbage i tiden, var der nogle få orme, som ramte hundredtusinder af pc'er. Tænk på navne som Blaster og Nimda. I dag ser vi det modsatte: hundredtusinder af varianter rammer hver især et ganske lille udsnit af verdens computere.
Årsagen er, at skadelige programmer nu indgår som en del af våbenarsenalet hos organisationer, der tilhører enten organiseret kriminalitet eller nationalstater. Formålet kan derfor enten være berigelsesforbrydelser eller efterretningsvirksomhed.
Hackere som aktivister
De it-kriminelle bag de målrettede angreb gør sig megen umage med ikke at blive opdaget. Den stik modsatte taktik så vi i den såkaldte Operation Anti-Security eller AntiSec.
Bag den stod hackergruppen LulzSec og aktivistgruppen Anonymous. Deres formål var at protestere mod myndigheders censur og overvågning af internettet.
Grupperne udførte ude-af-drift-angreb på flere organisationer. Men mest opmærksomhed vakte det, at de offentliggjorde en række fortrolige oplysninger, som de havde fremskaffet ved hjælp af hacking.
På den måde blev mailadresser og bopælsoplysninger for en række ansatte i amerikansk politi således gjort tilgængelige for alle. Adskillige sæt brugernavne og passwords blev også offentliggjort.
Anonymous og deres ligesindede udfører såkaldt hacktivisme – altså aktivisme understøttet med hackermetoder. Til forskel fra dem, der udfører berigelsesforbrydelser, har hacktivisterne ikke noget imod at få opmærksomhed. Det er dog afgørende for dem, at det er sagen og aktiviteterne, der bliver kendt, ikke de enkelte hackere.
I årets løb dukkede fænomenet Occupy op, hvor utilfredse borgere besatte forskellige områder i USA. Det ser også ud til at have en løs forbindelse til Anonymous.
Senest har vi set aktionen LulzXmas, som bagmændene beskriver som en Robin Hood-operation: De stjæler fra de rige banker og giver julegaver til de fattige.
Set fra et it-sikkerhedsperspektiv er der ikke væsentlige forskelle på at beskytte sine it-ressourcer mod traditionelle hackere og hacktivister.
Men der er større risiko for at få dårlig omtale, hvis man bliver offer for sidstnævnte.
Trusler mod smartphones
"Charlataner og bedragere." Sådan beskrev Googles open source-talsmand Chris DiBona i et blogindlæg i november de firmaer, der sælger sikkerhedsprogrammer til smartphones.
Hans indlæg kom som reaktion på en række omtaler af skadelige programmer til smartphones. I årets løb har især Android været plaget af programmer, der for eksempel sender SMS'er til dyre numre.
Der kendes stort set ikke til trusler, der kan installere sig selv i stil med de klassiske orme. De fleste skadelige programmer til smartphones kræver aktiv medvirken fra brugerens side.
Det er desværre ikke så svært at opnå. Året igennem har der været flere eksempler på, at skadelige programmer kunne hentes på Android Market.
Et af de kriminelles seneste tricks går ud på at lægge en uskadelig app ud til download. Efter nogle uger lægges en opdatering ud. Den indeholder noget skadeligt.
Brugerne ser, der er kommet en opdatering. De overser, at applikationen nu beder om udvidede beføjelser (tilladelser), så de opdaterer til den skadelige udgave.
Der er fortsat langt flere skadelige programmer til pc'er end til mobiltelefoner. Men der er kraftig vækst, og vi har set adskillige eksempler i praksis på inficerede smartphones.
Så jeg må afvise Chris DiBonas påstand: Der er god grund til at beskytte sin smartphone. Selvfølgelig er et sikkerhedsprogram ingen garanti for, at telefonen ikke bliver inficeret, men det kan hjælpe med at fange de mest udbredte trusler.
Styr på det grundlæggende
Målrettede angreb, hacktivister og mobilsikkerhed. Det var de tre tendenser, jeg havde valgt at fokusere på i år.
I år har DK•CERT eksisteret i 20 år. Årsagen til oprettelsen var en af Danmarks første hackersager, og hackere er stadig et udbredt sikkerhedsproblem. Men i mellemtiden har vi fået phishing, Facebook-svindel, falske antivirusprogrammer og mange andre trusler, vi ikke kendte for 20 år siden.
Lad mig derfor slutte med nogle tanker om fremtiden. Her følger mine forslag til, hvordan vi får et mere sikkert 2012.
Jeg foreslår, at vi fokuserer på at få de grundlæggende ting på plads. Masser af websteder er i dag sårbare over for helt enkel SQL-indsætning.
Lad os gøre en indsats for at udrydde de sårbarheder, der er lettest for angriberne at udnytte. Sæt dig som mål, at der ikke er en eneste mulighed for SQL-indsætning i din virksomheds web-applikationer, når året er omme!
Lad os også få styr på patching-processen. Jeg ser gode takter, men der er stadig mange eksempler på, at ældgamle sårbarheder kan udnyttes, fordi man ikke opdaterer til nyeste version af webserverprogrammer, databaser eller andre applikationer.
Lad os samarbejde om sikkerheden. It-sikkerhedsverdenen er opdelt i en række fraktioner og grupper. Vi har fælles mål, men alligevel er vi ikke gode til at samarbejde, fordi vi måske er uenige om nogle detaljer. Det må vi lave om på. Vores modstandere samarbejder og arbejder internationalt, det skal vi sikkerhedsfolk også gøre.
Med ønsket om et udvidet samarbejde mellem alle, der kæmper for bedre it-sikkerhed, vil jeg slutte denne nytårsklumme og ønske jer et godt og sikkert 2012. Godt nytår!
Oprindelig offentliggjort på Computerworld Online den 2. januar 2012