Sikkerhed: En sort uge for Skyen

Alle alarmklokker ringer efter opdagelsen af global It-sikkerhedsbrist.

Onsdag den 24. september udsendte myndighederne i USA en officiel meddelelse om opdagelsen af den hidtil mest alvorlige sikkerhedsbrist inden for generelt anvendte computersystemer.

Opdagelsen vedrører en konstruktionsfejl i en af de centrale komponenter, der indgår i de fleste Unix og Unix-lignende It-systemer, herunder Linux, BSD, Mac OS X og mange andre Unix-varianter.

Meddelelsen sendte chokbølger igennem den globale It-offentlighed.

Unix og Unix-lignende systemer udgør rygraden i både civile og militære It-installationer.

Systemerne indgår som en kritisk del af den offentlige infrastruktur, der regulerer alt fra vand- og elforsyning, transport, offentlige registre, bankvæsen, militære installationer og internettet i sin helhed.

Unix-varianter indgår også i meget netværksudstyr hos virksomheder, offentlige myndigheder og private.

Tilsammen er der tale om millioner og atter millioner af enheder.

Den konstruktionsfejl, der blev opdaget i sidste uge, medfører, at alle berørte systemer kan være piv-åbne.

Ved at udnytte fejlen kan uvedkommende let skaffe sig adgang til systemerne, og de kan herefter overtage kontrollen over systemerne eller installere ondsindet kode, der kan operere i det skjulte.

Konstruktionsfejlen har eksisteret uopdaget i flere år, og den lader ikke til at have været kendt i det internationale hackermiljø, der blandt andet omfatter de militære og civile efterretningstjenester og de kriminelle miljøer.

Allerede i timerne efter at fejlen blev offentliggjort er der blevet konstateret omfattende scanning på nettet rettet imod de berørte systemer.

Sikkerhedsbristen har fået betegnelsen, Shellshock, og de amerikanske sikkerhedsmyndigheder har klassificeret truslen på højeste niveau med en score på 10.

Klassificeringen omfatter en vurdering af tre forhold:

  • Hvor let er det at anvende fejlen til at gennemføre et ondsindet angreb? Meget let, max 10.
  • Hvor stor er den skade, der kan forvoldes? Meget stor skade, max 10.
  • Hvad er dem samlede, overordnede risiko? Meget stor risiko, max 10.

10-tallerne skal ses i forhold til, at nogle af de hidtil mest alvorlige sikkerhedsbrister (som f.eks. Heartbleed) har scoret 5.

Ingen har p.t. noget overblik over situationen, der rummer alle elementer til at udvikle sig til en katastrofe.

http://www.kb.cert.org/vuls/id/252743

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

https://www.us-cert.gov/ncas/alerts/TA14-268A

http://www.youtube.com/watch?feature=player_embedded&v=ArEOVHQu9nk

De ansatte i It-afdelinger og i de store centrale datacentre i Skyen kommer på seriøst overarbejde i forsøget på at lokalisere og fejlrette Shellshock-berørte systemer. Kvalificerede It-sikkerhedsfolk er en mangelvare. Ifølge ”Cisco 2014 Annual Security Report” er der på globalt plan p.t. over en million ubesatte stillinger inden for It-sikkerhed.