Artikel top billede

It-sikkerhed er ren kold krig: "Udstyret og værktøjerne er russiske, kommer med russiske instruktioner og diskuteres i russisktalende fora"

Når Raimund Genes, Trend Micros globale CTO fortæller, er det som at (gen)læse en klassisk koldkrigsroman fra le Carré: På den ene side står russerne parat til angreb og på den anden side kyniske amerikanske efterretningstjenester med forholdsvis lidt respekt for den frihed, som de skal forestille at forsvare.

Men Raimund Genes er ikke ude i et politisk ærinde. Han beskriver bare it-sikkerhedssituationen for Computerworld over en frokost i det regnfulde København.

For ifølge sikkerhedsveteranen, som har over 20 års ansættelse i japanske Trend Micro bag sig, spiller storpolitik en stadig større rolle for it-sikkerheden - eller manglen på samme.

Amerikanske bagdøre og russiske forbindelser

Og det er et skyggespil, som hverken europæiske lande eller store it-firmaer kan undgå at forholde sig til:

"Jeg var for nyligt i et mindre europæisk land hvor bekymringen helt klart gik på USA's opførsel. Se bare da FBI krævede en bagdør til iPhones af Apple. Det nægtede Apple - for hvis de havde gjort det, så var de røget ud af Rusland."

Men i lyset af Snowden og med Trumps valgsejr er det naturligt at holde et vagtsomt øje på amerikanernes sult efter data? Det er Raimund Genes, CTO for japansk-ejede Trend Micro, da helle ikke uenig i:

"Vi vandt for ikke så længe siden et udbud om at levere en sikkerhedsløsning til regeringen i et europæisk land. I udbudsmaterialet skulle man garantere, at der ikke er adgang for regeringer i firmaets løsninger. Vi og de europæiske firmaer garanterede det, men de amerikanske firmaer ignorerede den del. Det fik mig virkelig til at stoppe op og tænke over hvad der sker."

Men, påpeger han, det må ikke skygge for, at de konkrete sikkerhedstrusler hovedsageligt er russiske eksportvarer:

"For et sikkerhedsfirma som os er Rusland enormt interessant. Ikke som forretning, men som oprindelsesland for størstedelen af hvad der rammer din maskine pt."

"Samtidig kan man se, at myndighederne beskytter firmaerne. Derfor taler jeg også oftere om stats-tolerede angreb end stats-sponserede angreb. Især når det gælder Rusland."

"Et godt eksempel er 'Angler exploit kit', som forsvandt uden forklaring for et stykke tid siden. Lige pludseligt forsvandt både hjemmesiden og holdet bag det.

Artiklen fortsætter under billedet...

Det viste sige at den russiske efterretningstjeneste, FSB, i al hemmelighed havde anholdt folkene bag. Deres forbrydelse var, at de havde solgt angrebs-programmet til de forkerte folk, som så havde inficeret for mange mennesker i Rusland. Så slog myndighederne ned. Men det sker ellers ikke.", uddyber Raimund Genes og forklarer, at selve angrebene kommer fra servere i hele verden, men udgangspunktet er russisk software:

"Det her er et globalt marked. Men udstyret og værktøjerne er russiske, kommer med russiske instruktioner og diskuteres i russisktalende fora. Derfor ansætter vi stadig flere folk som har russisk som modersmål for at være helt sikre på, at vi afkoder alt hvad de taler om. "

"Dem som lavede Neutrino [ny malware, red.] anslår vi til at være i alt 30 til 40 personer. De kunne sidde hvor som helst - i Danmark, i Rusland eller i Rumænien. Men når pengene skal flyttes er det helt sikkert over Østeuropa."

Rusland står dog ikke alene, for også Kina har mange producenter af skadelig software. Der er bare en stor forskel: Softwaren er målrettet angreb på hjemmemarkedet:

"Vi ser bestemt også kinesiske angreb. Men det interessante er, at hvad der sker i Kina bliver i Kina. Det gælder også de mange mange slags mobilt malware. 90% af det software forlader aldrig Kina, men angriber lokale enheder."

"Det sker fordi der ikke er en officiel Android app store i Kina. Så kinesiske brugere udsættes for utrolige mængder af skadelig software, som lader som om, at de er populære spil eller lignende.

Det er derfor det er så vigtigt at bruge den officielle app store fra Google eller Apple, så er du rimelig sikker."

"Det er også i Kina vi har set ransomware til smarte fjernsyn. Det aktiverer hackerne så lige før en populær udsendelse, og så må du betale, hvis du vil se mere. Det sker fordi de fleste TV i Kina kører ikke-opdaterede versioner af Android 4.0."

Angreb på it-udstyr følger derfor, ifølge Raimund Genes, ofte sprogområder med mobil malware på kinesisk, russisk og et helt netværk af grupper, som fokuserer på den spansktalende del af internettet.

Bevæger de sig uden for deres naturlige sprogområder bliver især der e-mail-baserede angreb ofte grinet af på grund af de maskineoversatte beskeder.

Angriber med perfekt tysk snød firmaer

Det er nemt at grine af ransomware-angreb i håbløse mails med stavefejl erkender sikkerhedseksperten. Men det er ikke altid så let, forklarer Raimund Genes:

"Et af de bedste angreb jeg har set var i Tyskland. Og bag det stod en fyr, som talte og skrev perfekt tysk, helt ned til hvornår man bruger det mere formelle 'Sie'.

Hans opgave var at sende ansøgninger til tyske firmaer med ledige stillinger og vedhæfte sit CV, foto og alt det man skal.

Det så rigtigt troværdigt ud, og han var en attraktiv kandidat med flere certificeringer.

Til sidst i ansøgningen undskylder han dog, at hans filer med yderligere dokumentation var for store til vedhæfte - og linkede til sin Dropbox-konto, hvor resten kunne læses. Der var ransomwaren så."

Selv påpeger han, at det næste store problematiske sikkerheds-område er Afrika. Ikke mindst fordi der komme stadig flere hurtige internetforbindelser til den del af kloden.

Det er dog stadig, ifølge Raimund Genes, de traditionelle Nigeria-breve og e-mail baserede fupnumre, som kommer ud af Afrika.

Men de sidste par år er de blevet kombineret med den såkaldte CEO-fraud, hvor en svindler lader som om han er direktør og vil have millioner overført med det samme fordi han står midt i en udenlandsk virksomhedshandel.

Svindlede for 50 millioner på en internetcafé i Nigeria

På grund af den udbredte korruption og de mange penge, som der typisk er involveret kan det være rigtigt svært at komme til bunds i sagerne forklarer Raimund Genes:

"Vi hjalp Interpol med at finde nogle der lavede CEO-svindel med base i Nigeria. Efter et par år blev de fundet. Det viste sig at være 3 fyre, som fra en internetcafé havde scoret 50 millioner. De havde ikke engang deres eget kontor".

I modsætning til de gammeldags spam-mails, som blev sendt bredt ud, er de moderne svindlere langt mere målrettede:

"Jeg var selv i Barcelona for nyligt og havde skrevet det på min LinkedIn-profil. Kort efter fik jeg en mail på min private konto fra en spansk advokat. Han undskyldte for sit dårlige engelsk, men en af hans klienter havde tilfældigvis samme efternavn som mig. Klienten var lige død og havde efterladt sig en del millioner. Dem kunne vi dele i et fupnummer, hvor advokaten skulle lave papirerne, og jeg skulle udgive mig for at være den afdøde klient.", forklarer Raimund Genes.

"Det var ret godt lavet. Han kendte både mit navn, og at jeg var i Spanien på forretningsrejse. Havde jeg vendt tilbage så var det nok endt med det sædvanlige om, at han lige skulle bruge lidt penge til retssagen og lignende. Men udgangspunktet var slet ikke dårligt."

Og mens det kan være svært at stoppe en beslutsom statsmagt fra at få adgang til dine eller virksomgedens data, så opfordrer Raimund Genes virksomheder til at i det mindste få etableret et finmasket e-mail-filter.

For som han understreger til sidst:

"Ransomware har slet ikke toppet endnu. Alene i 2016 så vi vildt mange nye toolkits: 147 helt nye familier af skadelig software fandt vi 2016. I 2015 var det samme tal 17."

"Den slags kits kræver meget arbejde at bygge helt fra bunden, så det sker fordi der er købere til dem. Købere som vil bruge dem aktivt."

Læs også: Mød de to russiske hackergrupper, der spreder skræk og rædsel i hele it-verdenen