Hacking

Vi har svært ved at dæmme op overfor angriberne

Trusselsniveauet har langt oversteget skalaerne og kapaciteten er langt over, hvad almindelige danske virksomheder har til rådighed. Det fortæller cybersikkerhedsekspert Henrik Kramselund i denne status.

I dag vil man i dag også få skadelig kode fra udviklerne af det software, man bruger.


Henrik Kramselund, du er cybersikkerhedsekspert, hvad er særligt oppe i tiden lige nu, når vi taler sikkerhed og hacking?

Der bliver naturligvis snakket en del om AI, men det er frygteligt at høre på og IMHO ikke et relevant eller interessant emne. Vi har naturligvis brugt computerkraft til at sikre vores netværk, men det er ikke hverken nyt eller anderledes,

Det som er oppe i tiden lige nu, er at trusselsniveauet langt har oversteget skalaerne. Center for Cybersikkerhed kan ikke finde røde farver der illustrerer farerne godt nok, professionelle it-sikkerhedsfolk kan ikke følge med. Så der er en stor risiko for angreb og succesfulde angreb med et konstant pres.

Det betyder, at vi fra at have kontinuert overlappende sikkerhedshændelser så er konstante sikkerhedshændelser i mange parallelle spor.

Hvor man tidligere talte om supply chain sårbarheder undervejs i leverancerne, hvor hacker kunne indføje skadelig kode, vil man i dag også få skadelig kode fra udviklerne af det software, man bruger.

Det skyldes, at projekter sælges og købes af onde aktører, så en almindelig opgradering af et browserplugin eller et stykke software man tidligere har installeret, vil modtage opdateringer fra et firma som har købt sig adgang til en installeret brugerbase.

Jeg ser også fortsat et større pres på it-sikkerhedsprodukter, helt ned til de fysiske devices som firewalls og VPN gateways som bliver dissekeret og fundet alvorlige sårbarheder i.
Det drejer sig om næsten alle de større producenter af netværksudstyr, så der er al grund til at holde ekstra øje med infrastrukturerne.

Eksempelvis kan man følge de sager der bliver omtalt af it-sikkerhedsfolk på Mastodon https://cvecrowd.com/
 

Så mange sårbarheder, at en dansk virksomhed vil have svært ved overhovedet at vide om nogle af disse er relevante for virksomheden.


 Det er blevet påpeget, at der i dag er så mange sårbarheder, at det næsten er umuligt at sikre systemer, hvad betyder det?
Antallet af kendte sårbarheder kan følges via CVE systemet, se eksempelvis https://cve.mitre.org/ og https://www.cvedetails.com/
Der kan man se udviklingen over tid.
Dags dato kan man eksempelvis på CVEdetails læse, at der er kommet 142 nye CVEer siden i går og 196 er opdateret, men over 30 dage er det rystende 3.200 nye og +6000 opdateringer.

Det er så mange sårbarheder, at en dansk virksomhed vil have svært ved overhovedet at vide om nogle af disse er relevante for virksomheden.

Har vi det software installeret, og hvor i hvilke versioner? Er disse versioner sårbare,? Bruger vi den sårbare funktion? Kan vi deaktivere noget funktionalitet (workaround) eller kan vi opdatere? Er der opdateringer?
Mange spørgsmål, som skal besvares og allesammen tager ressourcer.
 

Andre tænker slet ikke så meget på sikkerhed under udviklingen af software og det betyder, at der /er/ sårbarheder i software. 


Hvorfor er der så mange sårbarheder, og hvad kan vi gøre?
Der er mange sårbarheder, fordi det er tæt på umuligt at producere perfekt software. Selv it-sikkerhedsbevidste eksperter laver fejl i software.
Min typiske reference er Wietse Venema, som engang udtalte at han formenligt lavede en sikkerhedsmæssigt relevant fejl for hver 1.000 linjer kode. Andre tænker slet ikke så meget på sikkerhed under udviklingen af software og det betyder, at der /er/ sårbarheder i software, 

Det man kan gøre som udvikler er at benytte sikre udviklingsprocesser, der er mange forkortelser som Secure Development Lifecycle, men andre forkortelser som SDLC, SSDLC benyttes også. Kort opsummeret betyder disse at man tænker sikkerhed ind fra starten og igennem hele processen.

Det gør organisationer som OWASP, og to eksempler er:

https://owasp.org/www-project-integration-standards/writeups/owasp_in_sdlc/

https://owasp.org/www-project-web-security-testing-guide/

Den sidste er i version 4.2 en guide på 465 siders PDF! Det er således en masse viden som skal integreres i processerne med udvikling.

Fordelen er til gengæld, at kvaliteten af softwaren bliver bedre, så der er færre fejl generelt, bedre oppetid og formentlig et bedre design som giver bedre performance og skalerbarhed. Det giver værdi for virksomhederne.

 

 Ser du nye tendenser i forhold til, hvem der arbejder med sikkerhed og hacking?
Jeg ser ikke så mange tendenser i hvem der arbejder med sikkerhed, men jeg synes, at der sker en højere grad af specialisering.

Dem som er indenfor et felt, vil fokusere mere snævert på deres valgte område. Det sker, som jeg ser det af nødvendighed, det er komplekst at følge med og der er mange nuancer. Til gengæld gør det, at vi måske har færre generalister med bred viden - det er svært at få et overblik hvis man ikke har absorberet det hen over mange år.

Selv er jeg glad for at have været med i mange år, og må selv smide flere emner væk, som jeg ikke kan følge med i grundet manglende tid i hverdagen.

Hvis det ikke kan opdateres og sikres, er det en latent trussel for hele virksomhedens overlevelse.


Kan man tale om et hacking-miljø og hvem er de?
Der er stadig hackermiljøer med dem, der bryder ind, eventuelt grundet de gamle årsager som interesse, sjov og aktivisme. Generelt vil jeg dog mene at truslerne i dag er skabt af professionelle hackere.

Det vil sige enten forbryderorganisationer, som forsøger at tjene penge eller statssponsorerede som ønsker fordele ved at overtage ressourcer i andre lande.

Der benyttes et væld af krumspring for at maskere, hvem det er som angriber, men der kommer gode historier ud jævnligt hvor organisationer identificerer angriberne.

Vi har svært ved at dæmme op overfor angriberne, da ressourcerne og kapaciteten er langt over hvad almindelige danske virksomheder har til rådighed.

Min bedste anbefaling bliver nok at se kritisk på infrastrukturer og begynde at begrænse brugen af it-systemerne.
Hvis et ældre it-system tjener lidt penge, men risikoen hvis der sker bare et indbrud i det overstiger værdien, så luk det selv med det samme. Hvis det ikke kan opdateres og sikres, er det en latent trussel for hele virksomhedens overlevelse.

 


Læs også...

Jargon har i årevis samlet forklaringer på tech-forkortelser, it-udtryk og ord. Det er blevet til et ret massiv og enkelt opslagsværk over it-kultur…

Isak Juel Nielsen er 20 år og studerer datalogi på Syddansk Universitet.

I Estland vokser udviklingen derfor også nedefra, fordi de lytter oppefra. Det har gjort dem til verdensmestre i iværksætteri, og det har skabt…

PROSA oplever en tendens til at muligheden for hjemmearbejde blandt vores medlemmer indskrænkes. Regler om hjemmearbejde er langt de fleste steder et…

Lønsamtaler kan give sved på panden, men med den rette strategi kan du forlade chefens kontor med mere i lønningsposen. Mariam Senounou er jurist hos…

Man kan lære mange ting på skolebænken, men meget læring kommer også fra virkeligheden. Det har tre software design-studerende i den grad mærket på…

Microsoft vil starte en atomreaktor op igen for at give grøn strøm til deres datacentre, specielt dem med AI. Hvis det reelt går igennem, og de får…

En ny feature i et af Googles AI-værktøjer gør det muligt at lave en podcast på få minutter. Featuren er så nem at bruge, at den egentlig ikke behøver…

Millioner af udviklere verden over bruger hver dag JavaScript – men hvorfor er programmeringssproget blevet så populært? PROSAbladet har talt med…

Et nyt projekt indsamler danske stemmer for at sikre, at AI-løsninger fremover også kan tale med dialekter. Du kan også donere din stemme, skriver DR.…