Artikel top billede

DK-Cert: 2011 blev året for de målrettede angreb

Klumme: Hackerne droppede spredehaglene og gik over til målrettede præcisionsangreb i 2011. Året bragte også en stigning i angreb på smartphones.

Den 3. marts dobbeltklikkede en ansat i firmaet RSA på et vedhæftet Excel-regneark i en mail. Det blev indledningen til en af årets mest omtalte sikkerhedsaffærer.

Regnearket indeholdt et Flash-objekt, som udnyttede en sårbarhed i Flash til at afvikle programkode.

På den måde fik afsenderen af mailen adgang til netværket hos RSA.

Konsekvenserne blev kendt nogle måneder senere. Hackerne bag angrebet havde skaffet sig adgang til information om RSA's SecurID-system.

Det er et sikkerhedssystem, hvor man skal indtaste en talkode fra en lille elektronisk enhed for at logge ind.

Formålet med angrebet på RSA var øjensynlig at skaffe viden om SecurID, der gav hackerne mulighed for at angribe virksomheder i det militærindustrielle kompleks. Angrebet gik blandt andet ud over firmaet Lockheed Martin.

Skjult og målrettet

RSA-angrebet er en passende indgang til dette års nytårsklumme, hvor jeg samler op på nogle af de væsentlige it-sikkerhedshistorier fra det forgangne år.

Angrebet var nemlig typisk for en aktuel tendens: Målrettede angreb.

I sikkerhedsbranchen har man i et par år talt om såkaldte APT'er - Advanced Persistent Threats.

Der er ingen klar definition på dem, men et kendetegn er, at det er målrettede angreb, der foregår i det skjulte over længere tid.

APT-angreb kan være rettet mod kommercielle eller politiske mål.

RSA-angrebet var målrettet mod firmaer, der leverer til USA's militær. Derfor er det naturligt at antage, at formålet er industrispionage eller spionage mod militære mål.

Årets mest omtalte skadelige program var Duqu, som menes at være i familie med Stuxnet.

Også denne trussel blev benyttet til meget målrettede angreb. Der kendes til under en snes angreb med Duqu.

Trods den begrænsede udbredelse er Duqu også interessant for den brede offentlighed:

Den udnytter en sårbarhed, som var ukendt, da Duqu blev opdaget i oktober. Først med december måneds sikkerhedsrettelser lukkede Microsoft hullet.

Kemisk industri og oliebranchen

Et andet målrettet angreb foregik fra juli til september. Det var rettet mod virksomheder i den kemiske industri. 48 firmaer var i angribernes søgelys, heraf var 29 fra kemisk industri.

To danske computere blev inficeret under det såkaldte Nitro-angreb.

DK-CERT's norske søsterorganisation NorCERT oplevede i år en halv snes spionageangreb rettet mod virksomheder.

NorCERT mener, at en enkelt aktør står bag alle angrebene, der var rettet mod olie- og gassektoren, energiselskaber og forsvarsindustrien.

Angrebene skete i flere tilfælde i perioder, hvor firmaerne var involveret i forhandlinger om større kontrakter.

Hvis vi kigger nogle år tilbage i tiden, var der nogle få orme, som ramte hundredtusinder af pc'er.

Tænk på navne som Blaster og Nimda. I dag ser vi det modsatte: hundredtusinder af varianter rammer hver især et ganske lille udsnit af verdens computere.

Årsagen er, at skadelige programmer nu indgår som en del af våbenarsenalet hos organisationer, der tilhører enten organiseret kriminalitet eller nationalstater.

Formålet kan derfor enten være berigelsesforbrydelser eller efterretningsvirksomhed.

Hackere som aktivister

De it-kriminelle bag de målrettede angreb gør sig megen umage med ikke at blive opdaget. Den stik modsatte taktik så vi i den såkaldte Operation Anti-Security eller AntiSec.

Bag den stod hackergruppen LulzSec og aktivistgruppen Anonymous. Deres formål var at protestere mod myndigheders censur og overvågning af internettet.

Grupperne udførte ude-af-drift-angreb på flere organisationer. Men mest opmærksomhed vakte det, at de offentliggjorde en række fortrolige oplysninger, som de havde fremskaffet ved hjælp af hacking.

På den måde blev mailadresser og bopælsoplysninger for en række ansatte i amerikansk politi således gjort tilgængelige for alle.

Adskillige sæt brugernavne og passwords blev også offentliggjort.

Anonymous og deres ligesindede udfører såkaldt hacktivisme - altså aktivisme understøttet med hackermetoder.

Til forskel fra dem, der udfører berigelsesforbrydelser, har hacktivisterne ikke noget imod at få opmærksomhed.

Det er dog afgørende for dem, at det er sagen og aktiviteterne, der bliver kendt, ikke de enkelte hackere.

I årets løb dukkede fænomenet Occupy op, hvor utilfredse borgere besatte forskellige områder i USA. Det ser også ud til at have en løs forbindelse til Anonymous.

Senest har vi set aktionen LulzXmas, som bagmændene beskriver som en Robin Hood-operation: De stjæler fra de rige banker og giver julegaver til de fattige.

Set fra et it-sikkerhedsperspektiv er der ikke væsentlige forskelle på at beskytte sine it-ressourcer mod traditionelle hackere og hacktivister.

Men der er større risiko for at få dårlig omtale, hvis man bliver offer for sidstnævnte.

Trusler mod smartphones

"Charlataner og bedragere."

Sådan beskrev Googles open source-talsmand Chris DiBona i et blogindlæg i november de firmaer, der sælger sikkerhedsprogrammer til smartphones.

Hans indlæg kom som reaktion på en række omtaler af skadelige programmer til smartphones.

I årets løb har især Android været plaget af programmer, der for eksempel sender SMS'er til dyre numre.

Der kendes stort set ikke til trusler, der kan installere sig selv i stil med de klassiske orme.

De fleste skadelige programmer til smartphones kræver aktiv medvirken fra brugerens side.

Det er desværre ikke så svært at opnå. Året igennem har der været flere eksempler på, at skadelige programmer kunne hentes på Android Market.

Et af de kriminelles seneste tricks går ud på at lægge en uskadelig app ud til download. Efter nogle uger lægges en opdatering ud. Den indeholder noget skadeligt.

Brugerne ser, der er kommet en opdatering. De overser, at applikationen nu beder om udvidede beføjelser (tilladelser), så de opdaterer til den skadelige udgave.

Der er fortsat langt flere skadelige programmer til pc'er end til mobiltelefoner.

Men der er kraftig vækst, og vi har set adskillige eksempler i praksis på inficerede smartphones.

Så jeg må afvise Chris DiBonas påstand: Der er god grund til at beskytte sin smartphone.

Selvfølgelig er et sikkerhedsprogram ingen garanti for, at telefonen ikke bliver inficeret, men det kan hjælpe med at fange de mest udbredte trusler.

Styr på det grundlæggende

Målrettede angreb, hacktivister og mobilsikkerhed. Det var de tre tendenser, jeg havde valgt at fokusere på i år.

I år har DK-CERT eksisteret i 20 år. Årsagen til oprettelsen var en af Danmarks første hackersager, og hackere er stadig et udbredt sikkerhedsproblem.

Men i mellemtiden har vi fået phishing, Facebook-svindel, falske antivirusprogrammer og mange andre trusler, vi ikke kendte for 20 år siden.

Lad mig derfor slutte med nogle tanker om fremtiden. Her følger mine forslag til, hvordan vi får et mere sikkert 2012.

Jeg foreslår, at vi fokuserer på at få de grundlæggende ting på plads.

Masser af websteder er i dag sårbare over for helt enkel SQL-indsætning.

Lad os gøre en indsats for at udrydde de sårbarheder, der er lettest for angriberne at udnytte.

Sæt dig som mål, at der ikke er en eneste mulighed for SQL-indsætning i din virksomheds web-applikationer, når året er omme.

Lad os også få styr på patching-processen.

Jeg ser gode takter, men der er stadig mange eksempler på, at ældgamle sårbarheder kan udnyttes, fordi man ikke opdaterer til nyeste version af webserverprogrammer, databaser eller andre applikationer.

Lad os samarbejde om sikkerheden. It-sikkerhedsverdenen er opdelt i en række fraktioner og grupper.

Vi har fælles mål, men alligevel er vi ikke gode til at samarbejde, fordi vi måske er uenige om nogle detaljer.

Det må vi lave om på. Vores modstandere samarbejder og arbejder internationalt, det skal vi sikkerhedsfolk også gøre.

Med ønsket om et udvidet samarbejde mellem alle, der kæmper for bedre it-sikkerhed, vil jeg slutte denne nytårsklumme og ønske jer et godt og sikkert 2012. Godt nytår.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Erhvervsakademiet Lillebælt
Udvikling og salg af klassebaseret undervisning, blandt andet inden for multimedie og it.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cloud giver dig fleksibilitet, skalerbarhed og agilitet – men hvordan håndterer man sikkerheden?

Cloudsikkerhed handler om effektiv orkestrering og automatisering for at muliggøre hurtig detektion af og reaktion på hændelser. Det handler om at eliminere kompleksitet, sikre smidighed og sikre fleksibilitet. På dette seminar bliver du klogere på hvordan du planlægger, designer, implementerer og kører dit cybersikkerhedsprogram effektivt.

23. juni 2021 | Læs mere


Effektiv drift og support af applikationer i Dynamics 365 FO

Med Microsoft Dynamics 365 for Finance and Operations (FO) er forretningssystemet flyttet i skyen. Dermed er det slut med store opgraderingsprojekter, og virksomheder og organisationer skal i stedet være klar til løbende opdateringer, som sendes ud flere gange om året. Det kræver et særligt fokus på effektiv drift af applikationerne, hvis stabiliteten i applikationerne skal opretholdes og konkurrenceevnen bevares. I dette webinar bliver du inspireret til, hvordan du får mest muligt ud af din investering i Microsoft Dynamics 365 FO med en driftsaftale, så platformen udvikler sig sammen med din forretning.

24. juni 2021 | Læs mere


The intelligent business: From neat idea to reality

The choice to become a more intelligent business and optimize workflows is not always straightforward, but it requires that you take a step back and see the possibilities in other ways. Come inside when we try to focus on the intelligent business. Hear how SAP S / 4HANA makes processes intelligent and transforms traditional workflows.

01. juli 2021 | Læs mere






Premium
Den nye kulørte iMac er så Applesk at det næsten gør ondt – og derfor ville jeg ikke selv købe en
Apple-dyderne lever i allerbedste velgående i selskabets nye, lækre og farverige iMac – og det bør få dig til at se dig om efter noget andet.
Computerworld
Efter Windows 11-lækket: Her er de nye elementer - og lanceringsdatoen
Podcast: Hvad kan Windows 11 tilbyde? Hvad kræver det af dit hardware? Hvornår kommer det? Og hvorfor har NNIT indsat Pär Fors som ny topchef? Ham har vi mødt på hans kontor i Søborg. Få svarene i denne episode af Computerworlds nyhedspodcast.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
White paper
Sådan outsourcer du effektivt – og undgår fælderne
Nogle outsourcer for at minimere omkostningsniveauet, andre for at skaffe ressourcer og spidskompetencer, der er svære at skaffe lokalt – eller af en helt tredje årsag. Der er dog talrige forhold, der er gode at afdække, før man overhovedet begynder at lede en outsourcingudbyder. Man skal klarlægge egne projektbehov samt de spørgsmål og krav, man vil stille samt indsamle viden og erfaringer om, hvordan samarbejdet indledes, drives og styres optimalt. Dertil skal man kende til de hyppigste faldgruber, der kan få et ellers lovende outsourcingsamarbejde til at køre i grøften.