Af Eskil Sørensen, 17/02/20
Center for cybersikkerhed (CFCS) udsender fra tid til anden undersøgelsesrapporter, der beskriver forskellige vinkler af cybersikkerhed. Denne gang handler det om sikkerheden – eller mangel på samme – hos en dansk organisation, der havde en sårbarhed stående åben i mere end seks år. Konsekvensen var efter det oplyste ikke alvorlig; det beskrives i al fald ikke i undersøgelsesrapporten, som ligeså vel tjener som en advarsel til alle systemadministratorer om at huske at opdatere, som det fortæller de mere videbegærlige om processen ved hackerangreb. Og det bliver gjort både spændende og illustrativt.
Sådan fortæller man om Cyber Kill Chain, så det kan forstås
Rapporten gennemgår, hvordan hackerne kan tænkes at have gennemført deres foretagende ud fra den anerkendte analysemodel Cyber Kill Chain, udviklet af Lockheed Martin-koncernen i USA. Som i en anden Agatha Christie-roman hører vi om forbryderens processkridt fra den indledende rekognoscering, hvor offeret bliver identificeret, til hvordan angrebet er sat ind, og målet for angriberne er nået.
CFCS har i den konkrete sag fundet frem til, at der foregik fem kompromitteringer, hvoraf den ene bestod i at installere programmer til kryptominering. Tre andre kompromitteringer blev af ukendte årsager ikke udnyttet, mens den sidste formentlig havde til formål at iværksætte yderligere kompromittering.
Shodan: En Dark horse
I modsætning til et klassisk persongalleri i Agatha Christies romaner, der alle har noget på hinanden, og hvor morderen ikke behøver at bruge tid på indledende research, bliver hackere nødt til selv at opstøve deres ofre. Men det kan de ganske nemt gøre på internettet ved hjælp af bl.a. den offentligt tilgængelige søgemaskine Shodan, som løbende scanner internettet for opkoblede enheder og udstiller dem i tilknytning til kendte sårbarheder på en måde, så de fleste kan fremsøge dem.
Shodan bruges af både sikkerhedseksperter til at finde sårbarheder i egne organisationer og af hackere til at finde selvsamme sårbarheder. Om Shodan tjener et godt formål i denne verden er derfor afhængig af øjnene, der ser.
Sådan ser det ud i Danmark
CFCS har i forbindelse med rapporten selv foretaget en søgning på Shodan, der viser knap 1600 sårbarheder fordelt på 750.000 enheder fordelt på alt fra webservere og webkameraer til industrielle anlæg med forbindelse til internettet. Heraf er mange af sårbarhederne flere år gamle.
Står dette til troende, har det givet hackere masser af tid til at udnytte sårbarhederne, og der findes givetvis en guide til udnyttelse på den mørke del af internettet. Tiden fra en sårbarhed bliver kendt, til den bliver udbedret (gennem softwareopdatering), er afgørende for mulighederne for at udnytte den. Også her kender internettet ingen grænser.
Rapporten fra CFCS afsluttes med – og igen flot illustreret gennem The Cyber Kill Chain – hvordan man for hvert at kædens syv trin kan iværksætte foranstaltninger, der kan forhindre ondsindede hackere i at udnytte sårbarheder.
Alt i alt en fremragende rapport fra CFCS, der finder en fin tilgang i at lære læseren noget om, hvordan hackerangreb foregår, og hvordan de kan forebygges. Det gøres nemmest ved at stoppe hackerne allerede ved indgangsdøren: Opdatering af sårbare systemer.