Sikkerhed: Høtyve mod droner

Offentlige og private virksomheder lever ofte i uvidenhed om det trusselsbillede, som de møder på nettet. Forsvarsværkerne er derfor underfinansierede og forældede.

Da det britiske teleselskab TalkTalk for nylig blev udsat for et hacker-angreb, blev der stjålet personoplysninger om 1.2 millioner kunder samt detaljerede kreditkortoplysninger for 21.000 kundekonti.

Når et hacker-angreb fører til tab af kundedata, er virksomheder forpligtet til at offentliggøre oplysninger om angrebet, så kunderne får en mulighed for at tage deres forholdsregler.

TalkTalk gik til pressen med en meddelelse om, at selskabet havde været udsat for et Denial of Service-angreb, også kaldet et DoS-angreb, og at der i den forbindelse var blevet stjålet store mængder kundedata.

Kritikere med indsigt i It-sikkerhed var hurtige til at påpege, at TalkTalks oplysninger ikke gav nogen mening.

Et DoS-angreb handler om at overbelaste en hjemmeside, sådan at den lukker ned. Det er noget der kan bruges til at lukke munden på en hjemmeside, som nogen har set sig sur på. Men man kan ikke bryde ind og stjæle data med et DoS-angreb.

Da de britiske myndigheder undersøgte sagen, viste det sig, at angrebet på TalkTalk var baseret på en simpel hacker-metode, der kaldes en SQL Injection. Metoden anses for at være et af de ældste trick i bogen.

Et par dage efter blev en 15-årig knægt anholdt og sigtet for indbruddet. Det viste sig senere at han var en del af en lille bande af britiske teenagere, der prøvede at presse penge af virksomheder, ved at stjæle data og forlange løsepenge for at levere dem tilbage. En forholdsvis simpel form for hacker-virksomhed, al den stund, at de pågældende data kan siges at have ligget frit tilgængelige på nettet, i hvert fald set med et par nørdede drengeøjne.

TalkTalk-historien er blot et af de seneste eksempler på, hvordan store og højt profilerede virksomheder bliver ofre for simple datatyverier, fordi de har undladt at investere i, hvad der i denne sammenhæng kan sidestilles med en almindelig, solid hængelås.

Samtidig er der en høj grad af sandsynlighed for, at virksomhederne bliver bestjålet af nogle langt mere raffinerede indbrudstyve, der benytter sig af avancerede teknikker, og som derfor kan operere uden at blive opdaget.

Disse professionelle bander opererer internationalt, og selv en meget solid hængelås kan ikke holde dem ude, hvis de vil ind.

Sikkerhedseksperter har simpelthen vanskeligt ved at følge med i, hvad disse folk finder på, og udviklingen sammenlignes ofte med et højteknologisk våbenkapløb, hvor det p.t. er det the bad guys, der har overtaget.

Desuden er der tilsyneladende flydende grænser mellem de kriminelle bander og de statslige efterretningstjenester.

Sikkerhedseksperter peger i hvert fald på, at nogle af de angreb man ser, er så teknologisk avancerede, at de må antages at stamme fra statslige efterretningstjenester.

Disse meget avancerede angreb skal – set fra angribernes side – helst ikke kunne opdages. Hvis modparten ikke ved, at man kender deres hemmeligheder, er værdien af denne viden så meget desto større.

Angrebene er derfor godt kamuflerede og kan for eksempel optræde som uskyldig trafik til Twitter og til ”rene” hjemmesider.

Denne form for trafik drukner i den almindelige brugertrafik, og bliver derfor ikke fanget af virksomhedernes sikkerhedsmæssige trafikovervågning.

Et eksempel på denne type software – der er blevet opdaget – går under betegnelsen Hammertoss, eller hammerkast.

Hammertoss er en såkaldt malware, der er et lille stykke software, der sniges ind i en virksomheds netværk og It-systemer, for eksempel gennem en uskyldigt udseende e-mail, hvor programmet ligger skjult.

Når først Hammertoss-malwaren er blevet installeret i det skjulte inden for virksomhedens mure vil den holde kontakt med hackerne ved at kontakte en Twitter-konto, som for hver dag får et nyt, unikt navn, som Hammertoss kender fra en indbygget, hemmelig algoritme.

De udviklere, der styrer Hammertoss-malwaren, har adgang til en identisk algoritme, og de kender derfor navnet på den Twitter-konto, som Hammertoss-malwaren vil overvåge på en given dag.

Når udviklerne ønsker at sende en kommando til Hammertoss, opretter de en Twitter-konto med et navn, der passer til den pågældende dag, og sender så et tweet til denne konto. Hammertoss vil automatisk læse dette tweet, og herefter slettes den pågældende Twitter-konto.

Tweetet vil se uskadeligt ud og vil derfor ikke blive fanget i virksomhedens sikkerhedsovervågning. Men det vil indeholde et link til et billede, der findes på en skjult hjemmeside. Hammertoss følger linket og åbner billedet, der også ser uskadeligt ud, og som derfor heller ikke får nogle klokker til at ringe i virksomhedens sikkerhedsafdeling. Men billedet har indlejret en usynlig kommando, der er skjult ved hjælp af en krypteringsmetode, der kaldes steganografi, og som Hammertoss er programmeret til at kunne dekode.

Et hold sikkerhedseksperter har observeret hvordan en Hammertoss-malware på denne måde via et billede blev programmeret til at overføre store datamængder med følsomme oplysninger fra en regerings computersystemer, til et krypteret datalager i Skyen.

Herefter har Hammertoss-udviklerne risikofri adgang til de indsamlede data. Selvom malwaren skulle blive fundet, vil det være umuligt at afsløre de ansvarlige.

Sikkerhedseksperter betegner Hammertoss som noget af det mest avancerede, som de har set, og det er de færreste virksomheder, der risikerer at blive angrebet med så kraftige våben.

Hvem der end kontrollerer Hammertoss-koden, så kan den forventes at blive reserveret til nogle få, udvalgte mål af ekstraordinær stor værdi.

Men mellem de alvorlige drengestreger med SQL Injection på den en side og Hammertoss-artisteriet på den anden side ligger der et stort, kriminelt miljø, der professionelt, kompetent og vedvarende retter avanceret skyts imod enhver virksomhed – offentlige og private – hvor der er noget at komme efter.

At dømme efter graden af beskyttelse imod dette vedvarende og kvalificerede angrebspres, så mangler ledelsen i mange virksomheder enten viden om, hvad de er oppe imod, eller også mener de ikke, at deres virksomhed besidder noget, der er værd at stjæle.

pwcsecurity2015
The Global State of Information Security® Survey 2016 , pwc, 2015

Henvisninger og baggrund: 02.11.2015