Om smarte skurker, sikkerhet og sårbarhet

I dag er meget kraftige verktøy for å sikre informasjon allment tilgjengelige. Likevel har vi aldri vært så sårbare for informasjonssamfunnets trusler som nå, kommenterer Håkon Styri.

Denne sommeren har informasjonstjenere blitt angrepet av Code Red. I utgangspunktet en relativt ufarlig orm som det var enkelt å bli kvitt og beskytte seg mot. Likevel har et stort antall maskiner blitt kompromittert, og det har etter sigende kostet næringsliv og samfunnet store beløp å håndtere problemene. Det var før en ny orm som utnytter det samme sikkerhetshullet og noe misvisende kalles Code Red II ble oppdaget. Dette er en orm som kan gjøre langt mer skade.

En del e-postbrukere har også merket ormen SirCam som i enkelte tilfeller har gjort meget stor skade ved å sende tilfeldige filer til andre brukere. Noen av disse filene har hatt hatt meget sensitiv informasjon. Sensitiv informasjon har også Aetat lagt ut på nettet, uten at eksterne trusler kan få skylden for dét.

Ellers har vi kunnet bekymre oss over spørsmålet om hvor sikre bankkortene våre egentlig er, for ikke å snakke om hvor sårbare vi er dersom bankenes datasystem svikter.

Hvor sårbare er vi?

For litt over ett år siden kom Sårbarhetsutvalg med sin innstilling. Den gir en ganske god oversikt. Det interessante spørsmålet nå er: Har vi brukt denne kunnskapen til å bli mindre sårbare? Det er mulig å forårsake store forstyrrelser i samfunnslivet ved å angripe mange små funksjoner samtidig. Er små og mellomstore bedrifter blitt mindre sårbare i løpet av det siste året? Hvor mange øver regelmessig på situasjoner hvor et stort antall PC-er blir slått ut av virus, viktige data blir slettet eller at bedriftens datanett bryter sammen? Hvor mange har gode planer klare for slike situasjoner? Hvor mange har god oversikt over hva et angrep utenfra eller en slurvefeil fra en ansatt kan koste virksomheten?

Den virkelige prøven på beredskapen er når det uforutsette oppstår. Det usannsynlige uhellet, eller situasjonen som oppstår så sjelden at, at - vel, at det ikke var meningen at noen skulle være sløve akkurat da. Det vesentlige er hvor lang tid det tar å rette opp feilen, ikke hvor usannsynlig det var at problemet oppsto.

Ormebolet Internett

Det er ganske skremmende å se på en orm som Code Red. Én ting er det første angrepet. Dagens systemer er såpass komplekse at vi må ta høyde for at nye sikkerhetshull blir oppdaget. Det andre angrepet burde derimot ikke fått så stort omfang som det fikk, og når det samme hullet utnyttes for tredje gang på kort tid er det grunn til å bli ganske bekymret over antall maskiner som blir kompromittert.

Det burde ikke overraske noen å bli utsatt for forskjellige typer angrep på Internettet. Det er et åpent nett hvor alle har tilgang. Det er omtrent som å bo i en storby. Det vil alltid finnes skurker, snushaner, ramp og plageånder som kan gjøret livet surt for akkurat deg. Problemet er at såpass mange av oss er nokså nyinnflyttet til den digitale storbyen. Det er mye å lære.

Sterke krefter, svake ledd

En mulig årsak til mangelfull sikkerhet er presset fra en overopphetet økonomi. Det har vært mangel på kvalifiserte fagfolk og det har hastet med å lansere nye

tjenester. Erfarne sikkerhetsfolk gror ikke på trær, men programmerere klarer lett å lage programmene sine uten sikkerhetsgjennomganger. Dermed har ikke

produkt- og tjenesteutviklingen stoppet helt opp. Enkelte har nok også sett på sikkerhet som fordyrende og forsinkende. Noen virksomheter i den nye økonomien har vært for små til at ansvar for sikkerhet blir en hel stilling. Dette har bidratt til både usikre tjenester og sårbare virksomheter.

Sikkerhet, brukervennlighet, funksjonalitet og pris er ofte egenskaper som må veies opp mot hverandre. Noen ganger baserer man seg på at det er grenser for hvor dumme ting en ansatt eller en kunde kan finne på. At brukerne selv skal huske passord og holde dem hemmelige er helt vanlig. Dessverre forekommer det nok at enkelte sikrer seg mot ormer og virus ved å ikke åpne skumle e-postvedlegg eller laste ned programmer over nettet. På informasjonsmotorveien er det mange som kjører uten bremser.

En ganske utrolig påstand som har kommet fram i forbindelse med e-postormen SirCam er at ormen Code Red har fått altfor stor oppmerksomhet. Nå kan jeg forstå at mange journalister løper i flokk etter den til en hver tid største nyheten. Det jeg ikke får meg til å tro er at mange bedrifter har sikkerhetsansvarlige som bare klarer å ha én tanke i hodet samtidig.

Alt for ofte møter jeg brukere som har et antivirusprogram, men som har glemt å laste ned de siste oppdateringene. Mange oppdaterer disse først når de hører at det er nytt virus eller orm i omløp, når en venn eller kollega blir rammet eller når man i et våkent øyeblikk ser det kommer en e-post med vedlegg som ser litt skummelt ut. Å påstå et den ene ormen tok oppmerksomheten fra den andre er litt for utrolig. Uansett, omtalen av Code Red burde inspirert brukerne til å laste ned ferske oppdateringer og på den måten fått vaksine mot SirCam også.

Smarte skurker

Ofte blir det framhevet at det finnes IT-kriminelle med høy kompetanse som bruker avanserte metoder for å gjøre slikt som kriminelle gjør. Det stemmer, men det er viktig å huske på at smarte skurker ikke gjør ting vanskeligere enn nødvendig for å nå målet. De må ikke forveksles med forfattere på jakt etter god dramatikk til bøker og filmer. De må heller ikke forveksles med hackere på jakt etter omdømme og publisitet framfor utbytte, til tross for at disse, i motsetning til forfattere, utgjør en reell trussel. Smarte skurker velger de enkleste mulighetene.

I en digital verden kan «det store kuppet» realiseres som et stort antall småtyverier. Når datamaskiner gjør arbeidet blir fem tusen tyverier av 200 kroner et alternativ til ett ran med én million i utbytte. For den kriminelle er det viktigste å unngå straff. For en del år siden var jeg med på å avdekke deler av en kriminell organisasjon hvor hver konto ble tappet kun én gang. Heldigvis hadde ikke denne gjengen disiplin nok til å begrense hvert enkelt tilfelle til et lite beløp, men det har andre klart.

Takk og pris har bankene har god oversikt over hvor store tap de har på denne typen kriminalitet. Vi kan trygt regne med at de vil sette inn de nødvendige tiltak dersom tapene blir for store. Utfordringen er å ha oversikten over våre egne konti slik at vi oppdager mindre uregelmessigheter.

Selv om det er mulig å bruke avansert teknologi for å avlytte en enkelt kredittkorttransaksjon så betyr ikke dette at det er den største trusselen i dag. Hvorfor bruke avanserte metoder når man kan bruke de enkle? For det amerikanske markedet opplyser den offentlige organisasjonen Internet Fraud Complaint Center i en rapport for første kvartal i år at 64 prosent av rapporterte bedragerier på Internettet er i forbindelse med nettauksjoner. I 80 prosent av disse tilfellene er betalingsformen sjekk eller betalingsanvisning. Det skal mer til enn å være forsiktig med å bruke kredittkortet på nettet. (Når dette er sagt vil jeg understreke at kredittkort er oftere brukt ved andre former for bedrageri på Internettet, og selv om internettauksjoner fremdeles dominerer er andelen synkende.)

E-svakheter

Ny teknologi medfører også nye trusler, men det ser ut til at det er de tradisjonelle svakhetene som er farligst. Det er mennesker som lar seg friste og forlede, ikke maskiner. Det hjelper ikke å tviholde på kredittkortet ditt samtidig som du gir kontanter til en svindler. Dersom du har anskaffet en avansert bilalarm som har mobiltelefon og kan fortelle hvor bilen er så kan det hende biltyven har skaffet seg en støysender som kan blokkere for mobilsamtaler til bilen er utenfor rekkevidde.

Den tradisjonelle trusselen er at du blir avledet, den nye trusselen er at de kriminelle har avanserte dingser de også.