Af Aksel Brinck, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Den 26. marts kom der en chokerende meddelelse fra en af verdens største leverandører af hardware, Asus. Taiwan-virksomheden var klar med en vigtig opdatering af det værktøj, Asus Live Update Utility, som installerer opgraderinger af Asus-software på producentens pc’er. Årsag: Hackere havde sidste år skaffet sig adgang til en af de servere, der huser opdateringsværktøjet.
Dette ”bagdørsangreb”, ShadowHammer, gav hackerne adgang til at placere alle mulige typer malware på computerne, efter at Asus-brugerne havde foretaget en rutineopdatering. Hackerne kunne for eksempel aflure, hvad der foregik på computerne. Installationen af bagdøren var så intelligent udført, at den fil, der inficerede computerne, var underskrevet med et korrekt digitalt certifikat fra Asus.
Hackerne udnyttede dog kun den åbne bagdør til at kigge ind i nogle få hundrede virksomhedscomputere, som kriminelle bagmænd formentlig havde udpeget som ofre. Men trods den begrænsede skade – millioner af inficerede Asus-pc’er gik fri – var mange pc-brugere rystede. Og angrebet demonstrerede, at hackerne nu er ved at åbne en helt ny angrebsflanke.
De fleste hackerangreb sker stadig ved, at brugerne klikker på et usikkert link i en e-mail eller på en hjemmeside. Klikket udløser en skjult installation af malware. Men vi pc-brugere er blevet mere forsigtige, og mange usikre mails sorteres væk af mailudbydere. Derfor går hackerne nu i stigende grad efter hardwaren.
Bundkort som bagdør
Man kan også sige, at de it-kriminelle nu går efter forsyningskæden. De prøver at trænge ind gennem opdateringer eller endnu oftere under selve produktionen af computere, servere og anden elektronik. Hvis de får held med det, er hardwaren allerede inficeret, når brugeren første gang trykker på startknappen.
Vi hører ikke altid om disse angreb, for hverken elektronik- eller pc-producenter synes, de har nogen interesse i at fortælle om dem. Det var ikke Asus, der først kunne oplyse om ShadowHammer-bagdøren. Det var et onlinemedie, Hardware.com. Her havde journalisterne fået oplysningerne fra sikkerhedsfirmaet Kaspersky, der opdagede angrebet i januar i år. Asus reagerede dog retfærdigvis hurtigt på informationen fra Kaspersky og kontaktede brugere og presse. Producenten har siden forstærket sin indsats for at sikre sig mod lignende fremtidige bagholdsangreb.
Den manglende lyst til at oplyse om angreb inde i forsyningskæden dokumenterer en anden historie fra oktober sidste år. Kernen i historien, der stammer fra den anerkendte erhvervsnyhedstjeneste Bloomberg, blev pure afvist af de berørte virksomheder, Amazon og Apple.
Bloomberg hævdede i artiklen, at en hemmelig enhed i det kinesiske militær havde foretaget ændringer på bundkort produceret hos fire kinesiske underleverandører. Bundkortene blev installeret på servere, der anvendes af blandt andet Apple.
Ifølge artiklen skulle det have været Amazon, der opdagede sikkerhedsbristen, da den amerikanske gigant var ved at opkøbe en kinesisk virksomhed. Serverne med de kompromitterede bundkort blev samlet af et amerikansk firma, Supermicro, der er specialiseret i high-end-servere til store erhvervsvirksomheder. Supermicro købte bundkortene hos mindre kinesiske leverandører. Disse skulle ifølge artiklen være blevet bestukket eller truet af det kinesiske militær til at installere en lille, ekstra komponent, som ville give militæret en hacker-bagdør ind i de virksomheder, som købte serverne.
Den fysiske adgang til bundkortet skal være kontrolleret. En modificeret komponent kan fungere som en trojansk hest.Sikkerhed i Kina
Trods Amazons og Apples klare afvisning af historien – Apples topchef Tim Cook ville endda have nyhedstjenesten til at trække artiklen tilbage – fastholder Bloomberg, at den er korrekt. Hvis det er tilfældet, er den endnu et eksempel på, at fremtidens trusler lige så vel kan komme fra elektronikken i computerudstyr som fra links i e-mails.
I det hele taget retter mistanken sig mod Kina, hvor langt størstedelen af verdens producenter af elektronisk udstyr til computere befinder sig. Udfordringen er ikke, at kinesiske virksomheder har interesse i at udføre hardware-hacking eller på anden måde stille spørgsmålstegn ved den forsyningskæde, som de selv er en del af. Selvfølgelig ikke.
Problemerne bunder i, at staten i Kina har beføjelser, der gør, at man ikke har nogen mulighed for at gardere sig mod statsbaseret hacking. Mistanken hviler hele tiden over de kinesiske virksomheder – det er også årsagen til den mistænkeliggørelse, verdens største leverandør af backbone-udstyr til mobilnetværk Huawei har været udsat for.
I nogle lande, herunder USA, er Huawei endda blevet udelukket fra at opbygge mobil infrastruktur.
Men hvad kan man så gøre for at sikre sig mod hackerangreb, der rammer hardwaren, mens den er undervejs gennem forsyningskæden? Er vi pc-brugere helt fortabte og uden mulighed for at forhindre, at vi bliver snigløbet gennem computerens elektronik?
Nu er det ikke sådan, at pc-producenterne er døve, blinde og ufølsomme og ikke har opdaget kundernes bekymring og den reelle, nye hackertrussel.
Lenovos nye koncept
Lenovo er en af de markedsledende pc-producenter, der er gået mest radikalt til værks. Det er en kinesisk ejet virksomhed, og den har noget at forsvare. Lenovos brands og koncept er oprindelig udviklet af IBM, men Lenovos pc’er er i dag ligeså udbredte i store og små erhvervsvirksomheder over hele kloden, som de var, dengang IBM stod bag for eksempel den populære bærbare computer ThinkPad. Den position vil Lenovo selvfølgelig fastholde.
Virksomheden har derfor valgt en linje, der hedder stærkt fokus på sikkerhed, men også åbenhed. I praksis har producenten samlet og udbygget sine vidt forskellige sikkerhedstiltag under et nyt begreb, ThinkShield. Navnet og konceptet blev fundet i fjor. Det hele er blevet limet sammen på en måde, så Lenovo nu kan hævde at levere ThinkPads, der er sikret fra vugge til grav. I denne sammenhæng er især ”vugge” interessant. For hackerne har for længst opdaget, at der er muligheder ude på fabriksgulvene.
Underleverandører til Lenovos ThinkPad-computere skal acceptere at følge branchestandarder og overholde strenge sikkerhedskrav. Desuden producerer Lenovo på egne fabrikker, hvor der føres løbende kontrol. Men tillid er som bekendt et skrøbeligt fænomen, så når en ThinkPad er produceret, tager Lenovo et snapshot af maskinens data. Det lægges som en rapport på en server hos processorgiganten Intel. På den måde kan kunden efter modtagelse af maskinen være sikker på, at den ikke er blevet ændret undervejs. Kunden kan nemlig køre et program, som tester computerens data op mod data i rapporten.
Lenovo lover også kunderne, at hvis der konstateres sårbarheder på for eksempel en fabrik, er den pågældende underleverandør forpligtet til at informere Lenovo, som lader oplysningerne gå videre til kunderne med det samme. Officielt er det altså Lenovos politik, at virksomheden ikke fortier nogen sikkerhedstrusler. Det er nye tider, for tidligere blev hackerangreb næsten altid fortiet. Erfaringen er dog, at kampen mod hackere er nemmere at vinde, hvis alle berørte har en åben informationspolitik.
Lenovo har til den professionelle linje af bærbare computere udviklet sikkerhedskonceptet ThinkShield.Business er sikrest
Det er især i store virksomheder og kritiske offentlige institutioner, at sikkerhed helt ned på produktionsniveauet spiller en stor rolle. Virksomheder frygter industrispionage, og staten frygter spionage fra andre stater. Derfor er det især de businessrettede computere, som lige nu er bedst rustede mod hackerangreb i forsyningskæden, eller når der skal foretages opdateringer af den software, som følger med computeren. Det gælder uanset, om du køber en maskine fra Lenovo, HP, Dell eller en af de andre store pc-leverandører, som har fokus på sikkerheden i alle faser af en computers levetid.
Så hvis sikkerhed er en virkelig høj prioritet for dig, så skal du have fat i en Lenovo ThinkPad eller en business-rettet pc fra en af de andre producenter. Pc’er til konsumenter er dog ikke forsvarsløse. Men de er heller ikke helt så interessante for hardware-hackere, for de informationer hackerne kan hente ud gennem en bagdør på en konsument-pc, har ikke samme kommercielle eller politiske vægt, som tilfældet kan være med en business-maskine eller en server.
Hackere er næsten altid drevet af ønsket om at tjene penge. Det gælder også de stadigt flere hardware-hackere. Derfor er business-computeren placeret forrest ved hardware-fronten i cyberkrigen, mens pc’en på hjemmekontoret har en mindre udsat position og blot hører en svag krigsrummel i det fjerne.