Truslen vokser hver dag
En lang række virksomheder, der beskæftiger sig med IT-sikkerhed, undersøger løbende hvordan angrebene udvikler sig. Resultatet er ikke opmuntrende. Alle peger på, at fænomenet vokser sig større for hver dag der går.
Sidste år gennemførte det internationale revisionsfirma PricewaterhouseCoopers f.eks. en undersøgelse blandt 250 danske virksomheder. Af dem havde 59 procent oplevet angreb eller hændelser relateret til cyberkriminalitet. I en tilsvarende undersøgelse i USA havde 79 procent af firmaerne oplevet lignende hændelser.
Tallene lyver ikke. Den teknologiske udvikling går med raketfart, men hackerne følger med.
Det kan være krævende at holde sig up to date på det komplekse område. I det følgende gennemgår SAMDATA Magasinet derfor nogle af de angrebsmetoder, der rammer danske virksomheder, myndigheder og privatpersoner.
\ Ransomware
De seneste år er ransomware blevet en af de helt store trusler mod IT-systemer. Arbejdsskadestyrelsen var f.eks. nødt til at lukke telefonsystemerne for borgerhenvendelser og stoppe al sagsbehandling, da de sidste sommer blev ofre for et ransomware-angreb.
Også arbejdsgiverorganisationen Dansk Erhverv samt Faxe Kommune har været udsat for de omfattende angreb. Otte procent af alle danskere blev udsat for ransomware i 2014 viser en rapport fra Digitaliseringsstyrelsen.
Kort fortalt betyder sådan et angreb, at hackere får adgang til en computer eller it-system, f.eks. ved at sende en kompromitteret fil med e-mail eller på anden vis at få en bruger til at åbne en fil, der straks krypterer alle filer på computeren med en nøgle, som kun hackerne har koden til. Samtlige filer bliver derfor ubrugelige.
Derefter bliver ofret bedt om at betale penge, typisk med den digitale bitcoin-valuta, til hackerne for at få koden, der kan fjerne ransomwaren.
For virksomheder og myndigheder betyder angrebene typisk, at produktionen går helt i stå. Samtidig risikerer de i sidste ende at miste store mængder data, hvorfor en dagsaktuel er vigtigere end nogensinde før.
I Australien har der også været sager, hvor smartphones og tablets er blevet ramt af ransomware. Mange brugere er derfor blevet tvunget til at betale et par hundrede kroner for igen at få adgang til familiefotos, kalender og e-mails.
\ DDoS
En lørdag aften i marts 2016 røg de på stribe. Aftonbladet, Sydsvenskan, Expressen, Svenska Dagbladet. Adskillige andre svenske mediers hjemmesider gik også ned i dét, der var det hidtil største angreb på svenske medievirksomheder.
Trafikken kom fra alle dele af verden og trafikken var pludselig 100 gange så massiv som til daglig. Derfor gik siderne midt på aftenen ned.
De såkaldte DDoS-angreb er nogle af de mest simple hackerangreb, og derfor meget udbredt. De foregår ved, at der fra en stor mængde computere oprettes forbindelser og sendes data til serveren, der ikke kan håndtere den store mængde trafik og til slut går ned.
I dag kan alle købe et DDoS-angreb for få dollars, mens det for ofret koster op mod 500 dollars – i minuttet, anslår sikkerhedsfirmaet Arbor Networds.
Herhjemme blev 3F og HK angrebet af DDoS-angreb i sommeren 2012 i forbindelse med den faglige konflikt på restauranten Vejlegården. I lignende angreb er NemID og Kommunernes Landsforening blevet ramt.
\ Browser-sårbarheder
Softwaregiganten Symantec, der bl.a. laver antivirusprogrammer, har kortlagt at antallet af såkaldte zero day-sårbarheder i browsere og browser-plugins steg fra 24 i 2014 til 54 i 2015 – en stigning på 125 procent.
En zero day-sårbarhed, eller blot en zero day, er et hidtil uopdaget sikkerhedshul i f.eks. en browser, et plugin til en browser eller anden software. De seneste år har er der løbende blevet opdaget zero days i især Adobes pdf-læser og flash-videoafspiller, men også Java har været hårdt ramt. Navnet henviser til, at udviklerne på de berørte programmer, der lider af sårbarhederne, har nul dage til at udvikle og udrulle en sikkerhedsopdatering.
Sårbarhederne kan udnyttes af hackere på forskellig vis. En mulighed er, at lægge en pdf-fil eller en video, der kun kan afspilles med Flash, på en hjemmeside. Når en bruger så henter og åbner pdf-filen eller afspiller videoen afvikles en stump kode, der giver hackeren adgang til brugerens computer.
Dette kan så bruges til at installere en permanent bagdør på computeren, der kan logge alt hvad der skrives på tastaturet og hvilke hjemmesider brugeren besøger, ligesom alle filer på computeren kan downloades. Bagdørene kan også bruges til at aktivere en computers webcam (indbygget kamera) og mikrofon, så hackeren kan overvåge brugeren – uden brugerens viden. Af samme årsag har mange sikkerhedsbevidste IT-folk sort tape over deres webcam.
Det var f.eks. tilfældet, da en københavnsk dj sendte inficerede filer til en række personer fra byens natteliv tilbage i 2013. Ad den vej fik han adgang til webcams og personlige filer, bl.a. nøgenfotos. Han vedstod sig i retten at have hacket 112 navngivne personer på den måde.
At udvikle nye zero days kræver stort teknisk viden. Af samme årsag sælges zero days typisk for både fem- og sekscifrede dollar-beløb til enten softwareproducenterne, efterretningstjenester eller andre hackere.
\ Webhacking
En mindre sofistikeret, men stadig teknisk krævende, hackingmetode er hacking af hjemmesider. Det sker enten med ødelæggelse som formål eller for at få fat i data på websitets server.
Angrebene sker ved, at hackeren udnytter kendte eller ukendte sårbarheder i webserverens software. Især ældre content management systemer er hårdt ramt, og den vigtigste sikkerhedsforanstaltning er at sikre, at al software på serveren altid er opdateret.
Er der tale om ødelæggelse, så kaldes det ofte “defacing”. Når en hjemmeside defaces, så lægger hackeren ofte blot en anden forside op end den originale for at håne, true eller genere hjemmesidens ejer og/eller brugere.
I andre situationer er der tale om hacking for at hente data ud fra serveren. Det kan f.eks. være en oversigt over alle brugeres navne, e-mailadresser og passwords eller i nogle tilfælde kreditkortinformation, der sidenhen kan sælges videre.
Af større angreb kan nævnes EBay (145.000.000 brugere), Adobe (36.000.000 brugere) og Sonys PlayStation-tjeneste (77.000.000 brugere).
Ved flere tilfælde er databaserne efterfølgende blev lækket på fildelingstjenester, hvorfor følsom data er blevet offentlig. Det var f.eks. tilfældet med utroskabstjenesten Ashley Madison, der blev hacket sidste år.
\ Social engineering
Begrebet “Social engineering” dækker over indtrængen i systemer ved hjælpe menneskelige evner. Det kan f.eks. være at udgive sig for at være elektriker for at få adgang til en virksomheds kontor, for derfra at installere en bagdør på en computer, der står tændt mens medarbejderne er til frokost.
Det kan også være at være at lægge en usb-stick på en parkeringsplads foran en myndigheds kontor. Når en medarbejder så finder usb-sticken og sætter den i sin computer for at finde ejeren, så installeres der uden hans viden en bagdør på computeren, som hackeren bagefter kan bruge til at få adgang til resten af myndighedens netværk.
Kevin Mitnick, en af verdens mest kendte hackere, forklarede i 2005 konceptet til CNN:
“Social engineering handler om at bruge bedrag, manipulation og indflydelse til at overbevise et menneske, der har adgang til et computersystem, til at gøre noget, f.eks. at åbne en vedhæftet fil i en e-mail.”
Fremtiden kræver
Ovenstående præsenterer en række af de sikkerhedstrusler, der kan ramme både private, virksomheder og myndigheder.
Et helt andet aspekt er den omfattende statslige internetovervågning, der de seneste år er blevet afsløret af bl.a. whistlebloweren Edward Snowden. Det er også en potentiel sikkerhedsrisiko, som alle med en internetforbindelse må forholde sig til.
Parallelt foregår der pt. en udvikling, hvor flere og flere af vores ejendele får sin egen internetforbindelse. Fremover er det således ikke kun hjemmesider og computere, der kan udsættes for hacking. Om få år vil sikkerhedstruslen også ramme køleskabe, radiatorer, biler, guitarer, cykler, graviditetsprøver og vaskemaskiner.
Dermed står det klart, at i takt med, at flere og flere områder af samfundet og vores liv bliver digitaliseret, så vokser truslen mod privatliv, forretningshemmeligheder og infrastruktur.
IT-konsulentgiganten Gartner vurderer, at der på verdensplan blev brugt 498 milliarder kroner på IT-sikkerhed verden over sidste år. Det er en stigning på 4,7 procent i forhold til 2014. Intet peger på, at udviklingen stopper de kommende år. Det betyder, at truslen i det mindste medfører en god ting: muligheden for, at der vil blive skabt flere jobs indenfor IT-sikkerhed.
Udfordringerne hober sig op. Det er bare med at komme i gang med at løse dem.