SolarWinds: Everything Is Broken

Store dele af den kritiske infrastruktur i USA og Europa er blevet hacket. Konsekvenserne er uoverskuelige. Det burde ikke kunne ske.

I midten af december 2020 opdagede sikkerhedseksperter fra det amerikanske softwarefirma, FireEye, at hackere havde skaffet sig adgang til virksomhedens netværk og frit kunne tilgå næsten al information i alle systemer.

Få dage efter FireEyes opdagelse stod det klart, at stribevis af ministerier og offentlige organisationer i USA samt tusinder af private virksomheder i USA, Europa og Mellemøsten var omfattet af det samme hack. Det har efterfølgende vist sig, at hacket har stået på i hvert fald siden foråret 2020 og måske helt tilbage til efteråret 2019.

Hackerne er brudt ind via en app, der anvendes til systemadministration i store installationer.

På grund af sin funktion som værktøj for systemadministratorer, er appen udstyret med næsten ubegrænsede rettigheder i netværket. Den skal kunne komme rundt overalt for at give administratorerne mulighed for at overvåge al aktivitet på netværket.
Dette er helt normalt, og i store installationer er det nødvendigt for systemadministratorer at anvende den slags værktøj.

Appen er udviklet af den amerikanske virksomhed, SolarWinds, og som alle andre apps skal den løbende opdateres, og det er denne rutine som hackerne har udnyttet.
Hackerne har været i stand til at snige en bagdør ind i en af de løbende opdateringer, og på den måde har de opnået vidtgående adgang til tusindvis af store installationer.

Defending Forward

I USA, hvor det meste af regeringsapparatet, herunder Forsvarsministeriet, er omfattet af hacket, har sagen udviklet sig til en kæmpe skandale.

Siden de store hacks i 2015 og 2017, hvor den amerikanske centraladministration og Equifax, der er en af de største virksomheder i den finansielle sektor, mistede sensitive persondata for over 100 millioner borgere, har den amerikanske regering investeret mange milliarder dollars i cyberforsvar.

Der er desuden blevet oprettet en militær cyber-kommando, der nu fungerer side om side med de traditionelle værn for jord, vand og luft. Den militære cyber-kommando har samtidig kontrol over det berømte/berygtede NSA, der især har fokus på den indenlandske sikkerhed.

I amerikansk selvforståelse har de enorme investeringer i ny teknologi og udviklingen af en helt ny gren af det amerikanske militær bragt USA i en global førerposition inden for cyber, både når det gælder forsvar og angreb.

Kort tid før det aktuelle hack blev afsløret, havde generalen for den amerikanske cyber-kommando været ude og tale om, hvor langt USA er kommet inden for cyber, blandt andet ved at gøre aktivt brug af en taktik, der kaldes “Defending forward”.

“Defending forward” betegner en særlig aggressiv form for forsvar, og består blandt andet i at hacke dybt ind i andre landes vitale netværk, herunder regeringskontorer, militære installationer og kritisk infrastruktur som el og vand, etc.

Formålet med disse forsvars-hacks er ifølge den amerikanske cyber-kommando at overvåge og afsløre andre landes forsøg på at rette cyberangreb mod USA, for på den måde at kunne afværge angreb allerede inden de har fundet sted.

Men alt imens den amerikanske cyber-general holdt taler om den amerikanske cyber-overlegenhed, så havde hackere allerede i over et halvt år været dybt inde i nogle af USA’s mest sensitive netværk – herunden Pentagons – uden at nogen anede uråd.

På den baggrund har amerikanerne tydeligvis haft behov for at placere ansvaret for det aktuelle hack hos en formidabel fjende.

Hacket er derfor blevet tilskrevet en kendt gruppe ved navn APT29, der anses for at have tæt tilknytning til den russiske efterretningstjeneste. Gruppen menes at være bemandet med nogle af hacker-branchens skarpeste hoveder.

Logikken i at udpege netop denne gruppe synes at være, at hvis USA skal lide et så ydmygende cyber-nederlag, som det er sket her, så må det være de allerbedste i verden, der står bag.

De fleste amerikanske medier skriver derfor uden videre forbehold om “det russiske cyberangreb” og henviser til “kilder” i forsvaret og andre centrale cyber-myndigheder.

Men reelt har de amerikánske myndigheder – herunder cyber-kommandoen – endnu ikke været i stand til at afsløre, hvem der står bag det store hack, og russerne har selvfølgelig afvist ethvert kendskab til sagen.

På nuværende tidspunkt synes status at være, at hverken myndighederne eller de store techvirksomheder, som Microsoft og Amazon, der er hårdt ramt af hacket, har noget overblik over, hvad der er foregået, hvilke skader der er sket, hvem der er blevet hacket, hvad der i givet fald er blevet stjålet – eller hvem der står bag.

Det er tilsyneladende også uklart, hvad der kan gøres for at få hackerne smidt ud af de hackede netværk. Eksperterne taler om, at det kan blive nødvendigt at “brænde alle berørte systemer ned til grunden” og genopbygge dem igen sten for sten. En fuldstændig uoverskuelig opgave.

Manglende sikkerhedskultur

Meget er stadig tåget om dette omfattende hack, men to ting står allerede klart.

For det første: Nogle af USA og Europas mest kritiske it-installationer både i den offentlige og i den private sektor er p.t. dybt kompromitterede, med helt uoverskuelige konsekvenser.

For det andet: Hacket har afsløret en uhørt grad af sløseri i forvaltningen af de netværk, der er blevet kompromitteret.

Der kan gå mange måneder – eller år – før myndighederne får fuldt overblik over det første af disse to punkter, nemlig de praktiske konsekvenser af hacket.

Men vi ved allerede nu en del om det andet punkt, nemlig sløseriet i forvaltningen af samfundets kritiske netværk både i USA og i Europa.

Historien om historiens største hack er nemlig også historien om, hvordan omfattende ny cyber-lovgivning, milliardinvesteringer i teknologi og etableringen af nye militære cyber-enheder både i USA og Europa siden 2015 ikke har formået at lukke et af de mest gabende cyber-huller i samfundets kritiske infrastruktur, nemlig fraværet af en helt elementær sikkerhedskultur i de ansvarlige it-organisationer.

Umiddelbart rejser spørgsmålet sig, hvordan det kan lykkes at placere en bagdør i en app, der benyttes til systemadministration, og som er udstyret med rettigheder til alt og alle i hele netværket?

Hvordan kan sådan en app være blevet installeret, uden at én eneste af de ca. 18.000 kunder, der har installeret den, har opdaget bagdøren?

Svaret er, at koden i app-opdateringen ikke er blevet checket tilstrækkeligt inden installationen. Hverken af kunderne eller af leverandøren, SolarWinds.

Måske kunne kundernes mangel på en almindelig kritisk indstilling til den pågældende app forklares med, at tilliden til leverandøren, SolarWinds, var helt i top, og at paraderne hos kunderne derfor har været nede.

Det kan selvfølgelig ikke afvises, at kundernes tillid til SolarWinds har været i top, men det kan uden videre afvises, at der har været noget grundlag for en sådan tillid.

Når man tænker på, at vi har at gøre med en app, der har rettigheder til alt og alle i hele netværket i ministerier, offentlige myndigheder og nogle af verdens største private virksomheder, så forekommer det ubegribeligt, at ikke en eneste af kundernes sikkerhedsorganisationer tilsyneladende har reageret på, at passwordet til SolarWinds opdateringsserver var “solarwinds123”.

Umiddelbart kunne man tro, at det ville give en eller anden sikkerhedsansvarlig grund til at se lidt nærmere på, hvordan sikkerheden hos SolarWinds er blevet forvaltet mere generelt.

Hvis nogen havde set efter, ville de næppe kunne have undgået at bemærke, at en af sikkerhedseksperterne hos SolarWinds i 2017 sagde sin stilling op og smækkede med døren, fordi SolarWinds ledelse ikke ville høre på hans advarsler om “katastrofale” sikkerhedshuller i håndteringen af firmaets software.

De ville heller ikke have kunnet undgået at bemærke, at hele den oprindelige ledelse af teknisk kompetente personer hos SolarWinds var blevet skiftet ud med folk fra finansafdelingen, og at den nye ledelse var blevet udstyret med en bunden opgave af ejerne: skaf os en tredobling af virksomhedens overskud.

Ledelsen leverede på denne opgave gennem klassiske nedskæringer, der blandt andet ramte det interne sikkerhedsarbejde, og som førte til udlicitering af SolarWinds udviklingsarbejde til eksterne leverandører – i Hviderusland og andre lande i Østeuropa..

Det er stadig uklart, hvem der står bag dette hack. Men det er ingen hemmelighed, at Hviderusland er hjemsted for nogle af verdens mest kompetente hackere, og at de har vidtforgrenede internationale forbindelser.

På den baggrund er det mildt sagt overraskende at it-organisationen i Pentagon og i de tusindvis af andre store organisationer, der er blevet hacket, rutinemæssigt besluttede at installere opdateringen til en app med rettigheder til hele netværket, selvom koden i opdateringen stammede direkte fra Hviderusland.

Uanset hvem der står bag dette samfundsmæssigt set dybt forkastelige og økonomisk katastrofale hack, så må de ramte organisationer bære en betydelig del af ansvaret.

Deres uforsvarlige forvaltning af samfundets mest kritiske infrastruktur er den virkelige bagdør.


Credit til Bob Dylan for rubrikken.

Henvisninger og baggrund: 03-01-2021