Artikel top billede

(Foto: Computerworld)

Pulsen på sikkerhed anno 2016

Alt om DATA har talt med en sikkerhedsresearcher for at få fingeren på sikkerhedspulsen på internettet.

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

 

Industrispionage, ransomware og systematiserede angreb er blot nogle af de ting, der plager cyber-verdenen for tiden. For nylig fik vi her på Alt om DATA mulighed for at tale med en af sikkerhedsresearcherne fra sikkerhedsvirksomheden ESET. Researcherens navn er Robert LipovSký, der har en Masters fra Universitettet i Bratislava i Slovakiet, og han kan fortælle mere om truslerne lige nu på internettet.

Cyberangreb i Ukraine og Rusland

Som sikkerhedsresearcher for ESET har Robert været involveret i de sikkerhedsproblemer, der har været i Ukraine i forbindelse med den igangværende konflikt imellem Ukraine og Rusland. Specielt det første konfirmerede tilfælde, hvor et cyberangreb har haft direkte konsekvenser for den civile befolkning. Her taler vi om det meget publicerede angreb, der lagde dele af elnettet ned i flere timer i dele af Ukraine. En af de ting som fik mindre opmærksomhed i dette tilfælde var, at jernbanenetværket også blev ramt af det samme cyberangreb. Langt de fleste tror, at det er Rusland, der i et eller andet omfang stod bag dette angreb, men som med alle andre cyberangreb, er det svært at bevise, at et angreb er begået af en national stat eller en specifik hackergruppe støttet af en national stat. Man kan kun sandsynliggøre det i et eller andet omfang.

Robert LipovSký  er sikkerhedsresearhcer hos ESET. Arbejdet med it-sikkerhed var ikke et bevidst valg, men en rolle han fandt tilfældigt, og som han i dag er rigtig glad for. Robert LipovSký er sikkerhedsresearhcer hos ESET. Arbejdet med it-sikkerhed var ikke et bevidst valg, men en rolle han fandt tilfældigt, og som han i dag er rigtig glad for.

Industrispionage

Industrispionage er en anden ting, som Robert har stor viden indenfor. Industrispionage har eksisteret lige så længe, som der har eksisteret konkurrerende virksomheder. Nu er det blot ikke længere personer, der bryder ind og stjæler tegninger fra fysiske filkabinetter, men hackere som trænger ind i de forskellige virksomheders netværk og downloader information, de skal bruge/sælge. De virksomheder, som typisk bliver angrebet med spionage for øje, er dem, der laver forskning eller byder på opgaver i konkurrence med andre tilsvarende virksomheder.

Robert berettede om et eksempel fra Peru, hvor ESET observerede et angreb, der benyttede sig af AUTO CAD-script til at stjæle tegninger og oploade dem til servere i Kina. 98 % af alle de angreb, som ESET så med AUTO CAD-script, var lokaliseret til Peru, så et godt gæt i dette tilfælde er, at angrebet var designet af en gruppe hackere på vegne af en virksomhed i konkurrence med lokale Peruvianske virksomheder om en opgave.

Vi har i de sidste år hørt meget om, at Kina skulle være den helt store synder, hvad angår tyveri af industrihemmeligheder, men sandheden er, at det ikke er Kina alene, der begår den slags tyverier. Der er talrige eksempler på andre nationalstater, som er skyldige. Det er ofte kun fordi, USA er så højrøstede i deres beskyldninger, at Kina bliver fremhævet hele tiden. Dette er måske en smule dobbeltmoralsk, da USA har et utal af private ’efterretnings’-virksomheder, der lever af at skaffe oplysninger til deres kunder om deres konkurrenter.

Ransomware i stigning

Ransomware er oppe i tiden, og vi ser en stadig stigende mængde af angreb, der krypterer ofrenes filer for så at forlange løsepenge for nøglen til at dekryptere filerne. Vi hørte for nylig i pressen, at antallet af cryptolocker-angreb er steget med 25 % i det første kvartal af 2016. Cryptolockere spredes typisk via spam-e-mails, eller ved det der kaldes for ’drive by download’.

Drive by download består i, at en bruger surfer rundt på hjemmesider og tilfældigvis lander på en hjemmeside, der er inficeret med en cryptolocker.

I følge Robert er grunden til, at cryptolockere er så populære, at angrebet virker. Dem, der bliver inficeret med en cryptolocker, betaler typisk løsepenge for at få deres filer tilbage. Cryptolockere er en del af det, som Robert kalder for de ’lavthængende frugter’. Der er stadigvæk folk, der hacker for politiske formål, men typisk så er de angreb, som ESET ser, drevet af målet at tjene penge. De grupperinger, som står bag f.eks. cryptolockere, har det ene formål, at der skal penge i kassen. Derfor har de ikke som mål, at deres angreb nødvendigvis skal være enormt avancerede, når det nu er så nemt, som det er, at få en bruger til at klikke på et link i en e-mail eller åbne en vedhæftet fil.

Vi har i en tidligere artikel i Alt om DATA forudsagt, at vi vil se flere angreb imod de forskellige hypervisorer, der afvikler virtuelle maskiner, efterhånden som cloud computing breder sig. Her er Robert uenige med os, da hypervisorer vil kræve avancerede teknikker bag angrebet og en masse baggrundsviden. Derfor mener Robert at så længe, at penge er den primære grund for et angreb, så vil det være de lettere angreb, imod de lavt hængende frugter, der driver værket for de kriminelle grupperinger.

Angreb sat i system

Mens vi nu er ved de kriminelle grupperinger, så fortæller Robert også, at den professionalisering, som der findes i grupperne, nu har udviklet sig til, at der findes afdelinger, der udvikler de forskellige angreb, mens andre afdelinger fokuserer på at forme de forskellige angreb til forskellige formål. Til sidst er der afdelinger som tager sig af spredningen af disse angreb via spam eller inficerede hjemmesider.

Robert fortæller, at i nogle grupperinger, møder folk på arbejde om morgenen, udvikler på disse angreb og tager hjem om aftenen. Fuldstændigt som en normal arbejdstager her i Danmark. Arbejdspladsen er bare en kriminel en af slagsen!

Vi har længe vidst, at der var penge i at være cyberkriminel. I 2011 kom FBI ud med en rapport, der sagde, at der nu var flere penge i Cyber Crime, end der var i den internationale handel med narkotika. Den professionalisering, som Robert beskriver, er et vidnesbyrd om rigtigheden af FBI’s rapport.

0-day huller

Under snakken med Robert kom vi ind på handlen med de forskellige 0-days, som til stadighed bliver fundet i forskellig software. 0-day-huller er huller i software, som den virksomhed, der udvikler software, ikke er klar over eksisterer, og som de forskellige sikkerhedsleverandører heller ikke er klar over eksisterer.

Disse huller i software er den hellige gral for en kriminel hacker eller for en nationalstat for den sags skyld. Da jeg nævner disse 0-day-huller for Robert, får jeg et af disse skæve smil, som man ser fra mere eller mindre alle sikkerhedsresearchere, når de kommer op i en samtale.

Vi har tidligere i sikkerhedszonen skrevet om den handel, der sker med disse huller, og beskrevet, hvordan de bliver solgt til både firmaer, nationalstater og til ’sikkerheds’-firmaer, der sælger værktøjer til politistyrker over hele verden. ESET selv køber ikke disse huller, og hvis de finder nogle bliver den relevante softwarelevernadør adviseret om hullet i deres software. Det er langt fra alle sikkerhedsleverandører, der agerer på denne måde, for det er rigtigt mange penge, der kan være i at sælge sådan et hul – helt op til flere hundrede tusind dollars for det rigtige hul.

300.000 unikke vira om dagen

ESET leverer et antivirusprodukt og ligesom de andre leverandører af antivirus, så har ESET selvfølgelig er viruslaboratorium. Da vi kommer ind på det, fortæller Robert, at de ser 300.000 unikke vira på deres laboratoriemaskiner om dagen! Det er overvældende stort antal.

Mange af disse vira er naturligvis variationer af allerede kendte vira, som ikke kræver, at der skal en ingeniør til at kigge på koden. Det kan de automatiserede processer håndtere automatisk. Det er kun, hvis der kommer noget ind, som ESET ikke har set før, eller som de automatiserede processer ikke kan genkende, at et vira-eksempel bliver sendt til manuel behandling hos en softwareingeniør.

Som Robert fortæller, så er det relativt sjældent, at de ser noget, der er fuldkomment nyt, og som vil kræve, at deres ingeniører bruger flere dage på at finde ud af, hvad formålet med denne malware er, og hvad det er for noget software, som den går efter.