Derfor er hackerne altid et skridt foran

2016-07-01

It-sikkerhed er i stigende grad kommet på direktionens agenda og med god grund. Danske virksomheder kæmper i øjeblikket en ulige kamp mod ondsindede hackere. En kamp, som kræver nye kompetencer og anderledes tankegang – og prioritering både i virksomhedsledelsen og på samfundsniveau.

Det betaler sig at være på den forkerte side af loven

En dygtig hacker indkasserer let mange millioner kroner om året, hvorimod en sikkerhedskonsulent eller etisk hacker langt fra kan måle sig med de beløb. Samtidig gemmer hackerne sig bag en skærm, godt beskyttet af diverse sikkerhedsforanstaltninger, og myndighederne har sjældent ressourcerne eller kompetencerne til at afsløre dem.

 

Ransomware angreb er stigende 

Revisionsselskaberne har gjort 2016 til året, hvor de for alvor går efter virksomheder, der mangler fokus på sikkerhed. De havde nok ikke regnet med, at de ville få hjælp af hackerne i form af omfanget af ransomware angreb. De fleste virksomheder har haft ransomware tæt på eller er blevet ramt inden for det sidste år. Ransomware muterer i øjeblikket, og det er heldigvis ikke altid, at det er til det værre. For nylig udkom den sidste afart af ransomware, som krypterede harddisken, men heldigvis findes også Whitehat hackere eller andre eksperter, der kan trævle et stykke malware igennem for den kode, der anvendes til at angribe med.

 

Vi skal gøre de gode hackere til de bedste

En mor gav sin 16-årige søn en skideballe, da han fortalte, at han ville være hacker. Hun så straks den kriminelle løbebane på trods af, at ikke alle hackere har onde hensigter. I stedet er det essentielt, at unge får mulighed for at udnytte og udvikle deres viden og interesse inden for it-sikkerhed. Antallet af godsindede hackere er langt fra tilstrækkeligt i forhold til de ondsindede kompetencer, som vi er oppe imod. Desværre har vi ikke et sted i Danmark, hvor man kan blive uddannet etisk hacker. Man kan først tage kurser, efter man har taget en anden videregående uddannelse. 

Vi har ikke været gode nok til at uddanne vores undervisere, og de unge i folkeskolen og på højere uddannelsessteder har ofte mere viden om it, end underviserne har. Det er et problem og kan friste mange til at tilegne sig adgang til systemer eller indsamle fortrolig information. Hvis vi starter i folkeskolen med at lære vores unge mennesker, at det her er et område, som er ulovligt eller farligt at bevæge sig ind på, så kan vi forhåbentligt påvirke dem til at informere om sikkerhedshuller frem for at udnytte dem kriminelt.

 

Danmark sakker bagud 

USA, Kina og Rusland har i flere år haft deres egen uddannelse af militære enheder eller statstjenester, der hacker for landet. I Danmark er Forsvarets Efterretningstjeneste først nu i gang med at etablere en uddannelse, som starter til august – ironisk nok ugen før verdens største hackerkonference løber af stablen i Las Vegas. Firmaer som Microsoft, IBM og Apple afholder også hackerkonferencer, der dels lærer virksomhedernes sikkerhedsfolk, hvad de er oppe imod, men som også hjælper deres udviklere med at blive bedre. Der afholdes ganske få hackerkonferencer i Danmark, og de har ofte fokus på registrering af deltagere, hvilket afholder de bedste fra at deltage, hvormed formålet med konferencen udvandes.

 

Hackerne kæmper i samlet flok

Når danske virksomheder bliver hacket, er de ikke stolte af at stå frem på grund af risikoen for repressalier i form af tabt omsætning, utilfredse aktionærer eller negativ presse. Hackerne derimod samarbejder på tværs med adgang til viden og værktøjer, som kan hentes med et enkelt klik på internettet. De deler viden og værktøjer med hinanden gennem IRC grupper (internet relay chat), mailgrupper og fora. Ofte foregår det i open source miljøer, hvor alle kan bidrage. Man ser også, at professionelle hackere udnytter mindreårige Script Kiddies til at udføre arbejdet, da de ikke kan straffes på grund af deres unge alder. Nogle gange får man som Script Kiddie et værktøj, der i virkeligheden er en bagdør for hackerne, så de kan udnytte de informationer, der samles ind.

 

Prioritering af oppetid koster på sikkerheden

I dag er der stort fokus på oppetid, hvor dygtige vi er til at levere og hvor meget produkterne kan. Programmer og operativsystemer skal være online 24/7, og genstart betyder nedetid, hvilket betyder, at sikkerhedsopdateringer ikke installeres jævnligt. Det kan simple skannerprogrammer let afsløre, og de ligger frit tilgængeligt på nettet. Hackeren har masser af tid til at teste, hvorimod mindre firmaer ofte kun har en enkelt person ansat til at klare it-opgaverne, og der er ofte ikke tid til at sætte sig ind i de sidste nye type angreb eller at skanne serverne, inden hackeren gør det. De fleste it-teknikere kender problematikken, men prisen for at sikre sit netværk med redundante systemer er ofte det dobbelte, og mange vælger derfor den simple løsning på bekostning af sikkerheden.

 

Sikkerhedsboard skal sikre videndeling og indrapportering af angreb

Hvis vi skal kunne følge med hackerne, skal Danmark have et forum, hvor de, som er blevet hacket, kan dele deres viden med andre ligesindede uden risiko for, at informationer bliver lækket. I Danmark bør man derfor oprette et sikkerhedsboard, hvor man anonymt kan indrapportere sikkerhedsangreb til et politisk uafhængigt board eller team, som tager sig af de indrapporterede sager og sørger for at formidle relevant viden og erfaring videre til relevante virksomheder, institutioner, universiteter og sikkerhedsfirmaer. Folketinget er i gang med at nedsætte forslag til et udvalg, men har den udfordring, at man i dag mangler rådgivere med den nødvendige viden til at kunne vejlede politikerne.

Hackerens ordborg

Hacker: En hacker er en teknisk dygtig person, der ikke er bange for at skille ting ad for at se hvordan de virker. Selv om der også findes hackere, som ikke er ondsindede, så er begrebet it-nørd langt mere accepteret at bruge.

Malware: Malware er en inficeret fil. Hackeren gemmer deres ondsindede kode i programmet, og den intetanende bruger eksekverer det. Oftest ser vi kryptering af filer, men der findes mange afarter af kode, som en hacker kan anvende.

Script Kiddie: I programmerings- og hackingkulturen er en Script Kiddie en ufaglært person, der bruger scripts eller programmer udviklet af andre til at angribe computersystemer og netværk for at skamfere hjemmesider.

Exploits: Exploits er et stykke software – en luns af data eller en sekvens af kommandoer, som udnytter en fejl eller en sårbarhed for at forårsage utilsigtet eller uventet opførsel på computerens software eller hardware.

Whitehat/Blackhat hackere: Betegnelsen stammer fra gamle dage med sort-hvid film, hvor skurken havde en sort hat på og helten havde en hvid hat på.