En dag i starten af ’90erne sad jeg og bladrede i manualen: ”Implementing UUCP over X.21”. Jeg var fast besluttet på at blive i stand til at sende og modtage e-mails fra verden udenfor – noget, der ikke var almindeligt på den tid.
På en af siderne dukkede ordet: ”security” op. Min krøllede hjerne slog en kolbøtte, og samme eftermiddag drog jeg ud og købte bogen: ”The Cuckoo’s Egg”1 – af Clifford Stoll, en astronom, der blev cyberdetektiv for at afsløre et netværk af spioner, der truede national sikkerhed. Historien begynder med en tilsyneladende ubetydelig regnskabsfejl, som fører Stoll på sporet af en hacker, der har brudt ind i computere på Lawrence Berkeley National Laboratory. Jeg “slugte” bogen på meget kort tid og uden at vide det, havde jeg lige taget de første skridt på en lang og spændende karrierevej.
Danmarks første hackere
Senere samme år deltog jeg i et seminar om IT-sikkerhed med den daværende leder af den danske CERT hos UNI-C: Jørgen Bo Madsen. Her berettede han i medrivende vendinger om sagen om Danmarks første hackere: Jub Jub Bird og Sprocket.
Tilbage på kontoret samme dag afprøvede jeg nogle nytillærte teknikker på min daværende chef, som jeg sender mange taknemmelige tanker for at anspore mig til at forfølge min nysgerrighed og søge udfordringer på EDB-sikkerhedsområdet.
Nuvel – ”EDB-sikkerhed” var nok næppe et rigtigt ”område” på dette tidspunkt, men mere en flok dysfunktionelle EDB-folk, der altid, i stedet for at følge vejledningen, tænkte tingene ”omvendt”: ”Hvad nu hvis man i stedet gjorde sådan og sådan…”.
Den første internetorm
Det var, som sagt, en tid hvor internetadgang fra din arbejdsplads ikke var en selvfølge, og det var naturligvis en afgørende parameter i valget af mit nye job.
Internettet var noget, man snakkede om hos vores kunder, og de ville vide mere om, hvad man kunne bruge dette fænomen til, og hvordan man blev tilsluttet.
Jeg kunne selv, via denne guldåre af viden, konstatere, at allerede i ’88 havde fyr ved navn Robert Tappan Morris sat sig for at finde ud af, hvor stort internettet faktisk var. Efter lidt kodearbejde og et tryk på <Enter> var den første internetorm — og den første DDoS hændelse — en realitet.
Det var vist ikke mandens hensigt at tilegne sig denne legacy, men det var nok den reelle start på en af de mest progressive brancher, vi kender i dag: Cyber-security.
Som jeg husker den tid, så var opfattelsen, at hvis man havde Antivirus og en Firewall, så var man på den grønne gren.
Antivirus-programmer interesserede mig ikke, men jeg gik meget op i — og deltog i slaget om — hvilken firewall-teknologi, der var den bedste.
Mistilliden opstår
Valget stod mellem Checkpoints Statefull Inspection teknologi, Cisco’s PIX — som i princippet bare var en kasse, der lavede NAT, og så var der endelig Raptor Eagle’s Proxy teknologi.
Det var et drabeligt slag, der blev udkæmpet mellem disse producenter, sekunderet af leverandørens mere eller mindre lødige indlæg i diverse newsgroups.
Jeg — og mange flere af min slags — var meget optaget af teknikken og de muligheder, der ligger deri. Jeg kunne med min firewall bestemme mig for, at alle dem, der var tilsluttet indersiden, var de gode – og alle på ydersiden var de onde. Det var sådan, det var, og jeg var ”sheriffen”, der holdt ro og orden i byen.
Fascinationen ved at kunne kommunikere med folk på den anden side af jorden var stor, og det var det, der var drivkraften. Ganske få mennesker tænkte over ”bagsiden af medaljen” ved denne pludselige teknologiske globalisering, og vi måtte alle gøre os hver vores erfaringer.
Jeg husker selv mit ”I see the light-moment”, hvor jeg netop havde installeret en internetforbindelse med tilhørende firewall hos en kunde. Med en vis portion selvtilfredshed viste jeg resultatet frem for kunden. De kunne nu pege deres Netscape browser mod http://info.cern.ch/ alt, imens firewall-loggen rullede ned over skærmen med de karakteristiske grønne (accept) og røde (drop) linier.
Kunden betragtede kortvarigt skærmen, hvorefter han forsvandt ud af lokalet og kom kort efter tilbage med sin chef: “Se der – alle de røde linjer er folk, der prøver at hacke os. Hvor var det godt, vi fik en firewall!”.
Det tog et par timer at få beroliget omtalte chef og overbevist ham om, at vi hverken havde behov for at kontakte FBI, tilkalde politi eller afbryde forbindelsen.
Men da jeg sad alene i min bil og reflekterede over dagens begivenheder, slog det mig: Manden havde jo i princippet ret, og vi havde faktisk nået det næste trin i internet-revolutionen – mistillid!
Samtidig så vi en kommercialisering af internettet; Nu behøvede man ikke at bygge en stor skyskraber med et reklameskilt i toppen for at signalere sin størrelse og indflydelse. Nu kunne alle lave en fin hjemmeside og sende de samme signaler om ens virke og bedrifter. Der var endog virksomheder, der begyndte at eksperimentere med selvbetjening og sågar internethandel.
Et andet meget definerende tidspunkt for mig var således, da min bank lagde min konto på ”nettet”. Jeg husker tydeligt, hvor forfærdet jeg var: Hvordan kunne man dog tillade, at ”de onde” fik direkte tilgang til mine pengesager?
OK – måske var der mere i det end AntiVirus og Firewalls – og jeg måtte i gang med at studere andre teknologier som b.la. kryptering, autentifikation og autorisation.
Compliance, risk og governance bliver til
Jeg tror, at det var i den periode, hvor det så småt gik op for mig og andre, at denne nye og tæt forbundene verden potentielt kunne være meget sårbar.
Det var også på dette tidspunkt, hvor der var nogen, der syntes, at man var nødsaget til at gå lidt mere systematisk til værks. Der blev lagt et mere holistisk view ned over problemet, og nye discipliner blev inkluderet.
Holistisk- og systematisk var ikke tillægsord man ofte så i beskrivelser af min profil, og andre måtte træde til i et forsøg på at redde verden. GRC (Governance, Risk, and Compliance)-folkefærdet blev dermed født, og der gik ikke lang tid før disse, med rank ryg, og kun én enkelt hånd på tøjlerne, red igennem ”sikkerhedsbyen” på deres papir-tiger.
Sandheden er, at de nok havde været der hele tiden, men at det bare var mig, der havde snuden i teknikken og ikke kiggede op over 14” EGA skærm.
Men der var ingen tvivl om, at man var nødsaget til at anskue verden på en anden måde og faktisk forholde sig til den.
Selv undertegnede var nødt at anerkende, at nu skulle man lave sikkerhed for forretningens skyld – og ikke bare fordi, det var fedt. En formel, som ikke stod i min gamle formelsamling, skulle læres og danne grundlag for hele arbejdet med sikkerhed:
Risiko = Sandsynlighed x Konsekvens
Internettet vandt hurtig udbredelse og blev således den foretrukne platform for diverse lyssky eksperimenter.
Virus, defacing og andre lyssky aktiviteter tager til på internettet
2001 var således året, hvor vi stiftede bekendtskab med fænomener som ILOVEYOU Virus, Code Red og Nimda – sidstnævnte blev mit øgenavn i en årrække grundet en god kollegas kreative legen med bogstaverne i mine initialer.
Efterhånden blev der dog, de fleste steder, lukket effektivt af, så man ikke længere kunne tilgå virksomhedernes sårbare servere fra internettet. Typisk var der kun en Webserver og en e-mail gateway tilgængelig udefra. Men det mindskede ikke kreativiteten hos visse mennesker.
Defacing blev det nye samtaleemne, og der var mange, der fik skiftet indholdet af deres website ud med andre mere eller mindre underholdende budskaber. Budskaberne kunne have et politisk eller propagandist formål.
The New York Times måtte således lægge ryg (eller website) til pro-syrisk propaganda, og mere en 50 amerikanske regeringswebsteder blev defaced af to iranere som en reaktion på drabet på Irans militærgeneral Qasem Soleimani.
Uskylden ved ”hacking” var væk, og det var ikke længere noget, man gjorde, fordi ”man kunne”, men fordi der var et formål med det.
Stuxnet politisk hacking
”Hacking” var blevet et værktøj, som man brugte i både aktivisme, storpolitik og som en decideret forretningsmodel. Dette blev manifesteret i historien om Stuxnet: Stuxnet er en meget kompleks computerorm, der ved et tilfælde blev opdaget på internettet i 2010 og menes at have været under udvikling siden mindst 2005. Den blev designet til at angribe og beskadige Irans nukleare program ved at manipulere med de centrifuger, som blev brugt til at berige uran. Stuxnet udnyttede flere ukendte sårbarheder i Windows-operativsystemet og Siemens Step7-software.
Det er bredt accepteret, at Stuxnet blev udviklet af USA og Israel som en del af en hemmelig operation kaldet Operation Olympic Games. Historien vil vide, at denne computerdrevne fremgangsmåde var alternativet til at angribe faciliteterne med bombefly – med mere uberegnelige, men helt sikkert mere vidtgående konsekvenser til følge.
Man taler stadig om, hvordan man fik denne kode smuglet ind i netværket, som formodentligt aldrig har været tilsluttet internettet.
Phishing og ransomware – brugeren som redskab
Netop denne problemstilling: at smugle ondsindet kode — eller andre misvisende informationer ind i virksomhederne — blev genstand for tiltagende opmærksomhed.
Vi er således mange, der har fået e-mails fra nigerianske prinser, som vil forære deres penge mange væk, og fra pakkeposten, der har tilbageholdt vores pakker fra udlandet pga. told-restance.
Fælles for denne type af angreb er, at man vil lokke brugeren til at ”dumme sig”. Hvad enten det handler om at svare på en e-mail, afvikle et program eller trykke på et link, hvor man ”logger sig ind”, så handler det om, at man udnytter brugerens privileger til at skaffe sig adgang til interne ressourcer og/eller informationer.
Phishing (som ovenstående benævnes) har hidtil været, og er stadig ofte, det første trin i et ransomwareangreb, som er blevet en industri i sig selv.
Ransomware-industrien er blevet en af de mest lukrative og skadelige former for cyberkriminalitet, hvor denne type malware krypterer offerets data og kræver en løsesum for at gendanne adgangen.
Disse angreb kan koste virksomheder millioner af dollars i løsesum. For eksempel har ransomware-angreb på store virksomheder resulteret i løsesummer på op til 75 millioner dollars PLUS omkostningerne til genetablering og i tabt produktivitet samt prisen for negativ påvirkning af virksomhedens omdømme.
Denne form for angreb har set en betydelig stigning i både hyppighed og sofistikering de seneste år, idet de kan iværksættes uden de store omkostninger. Dog med en lav hitrate, men med et meget stort payoff — skulle det lykkedes.
Ransomware er en global trussel, der påvirker organisationer over hele verden, og der er flere virksomheder, der har måtte lade livet på denne bekostning.
Den danske hosting-virksomhed CloudNordic var én af disse virksomheder. Alle deres — og deres kunders data — blev krypteret, og angiveligt hverken kunne eller ville virksomheden betale løsesummen. En af de følgende dage kunne man på CloudNordic’s website læse en kort skildring af forløbet samt et stort: ”Undskyld til kunderne”, som naturligvis også var berørt i større eller mindre grad. Telefonerne var lukket, og firmaet var gået konkurs.
Nationale og internationale myndigheder arbejder sammen for at bekæmpe denne form for cyberkriminalitet, men det er lidt “op ad bakke”, idet flere organisationer har en meget stor indtægt herved, og endog statsaktører bruger netop denne metode til at finansiere andre og mere sofistikerede aktiviteter.
NotPetya – et eksempel
En sådan aktivitet kunne være at finde alternative måder at smugle ondsindet kode ind i virksomhederne på.
Det var netop dette vores egen hæderkronede virksomhed Mærsk fik at føle.
En russisk gruppe fik kompromitteret en server i et firma, der lavede et meget populært ukrainsk regnskabsprogram kaldet MeDoc. Her fik de afgang til en softwareopdatering, der var på vej ud til kunderne, og NotPetya-malwaren blev indlejret i denne opdatering, og når brugerne downloadede og installerede denne opdatering, blev deres systemer inficeret med NotPetya.
Det var et angreb rettet direkte mod det ukrainske folk, hvor mange virksomheder, banker og butikker stod stille i længere tid — et forsøg på at destabilisere og sprede uro i landet.
Mærsk benyttede også dette regnskabsprogram i denne region af deres forretning og blev derfor ligeledes ramt. Desværre spredte det sig gennem virksomhedens verdensomspændende netværk.
NotPetya udnyttede en sårbarhed i Windows’ Server Message Block (SMB) protokol, kendt som EternalBlue, som også blev brugt af WannaCry-angrebet tidligere i 2017. Denne sårbarhed gjorde det muligt for malwaren at sprede sig hurtigt og automatisk fra en inficeret computer til andre computere på samme netværk.
Inden man havde set sig om, lå Mærsk stille over det meste af verden. Skibe lå for anker i havne rundt om i verden, og lastbiler holdt stille og spærrede indfaldsveje til mange store byer.
Det blev meget hurtigt en nyhed for verdenspressen, som gik ud til Hr.- og Fru. Jensen, som pludselig kunne snakke med om og forholde sig til IT-sikkerhed.
Det lykkedes Mærsk at få reetableret (hvilket er en god historie i sig selv), og de gjorde hele verden en kæmpe tjeneste (og tusind tak for det!!!!) ved at være åbne om hændelsen.
Dette må siges at være endnu et definerende tidspunkt i min karriere!
Man kunne læse i Mærsks regnskab, at hændelsen havde kostet mellem 1,3 og 1,9 milliarder kroner i tabt omsætning.
Med ét flyttede dialogen om IT-sikkerhed fra EDB-kælderen til direktionsgangen og bestyrelsesværelserne, og pludselig handlede det ikke om Firewalls og Antivirus, men om virksomheders overlevelse.
Jeg plejer at sige, at jeg i de første 25 år af min karriere har råbt: ”Ulven kommer”. Men siden de dage i 2017 har jeg sagt: ”Hvad sagde jeg”!
Den anden dimension af historien handler om: Hvem kan vi stole på?
Vi har altid fået at vide, at vi skulle opdatere vores systemer, men… hvad nu hvis det var vores sikkerhedssoftware, der blev kompromitteret?
Jeg tror, der er mange, der kan huske Solarwinds-hacket i 2020. Det var netop det software, der holdt øje med status på alle vores enheder, som også afslørede informationer om hele vores infrastruktur, og hvordan man potentielt kunne kompromittere den, der blev ramt. Her var der igen tale om et ”supply chain attack”, og mange var tæt på at give op i kampen mod de onde.
Hvem kan vi efterhånden stole på?
Jeg kunne blive ved med hændelser som Log4J, hvor de fleste faktisk ikke kunne sige, om de var sårbare eller ej og i hvilket omfang. For hvor mange maskiner har vi, der benytter dette bibliotek?
Facebook Data Breach, hvor vi ikke engang kender konsekvensen; For ikke at tale om den nylige Crowdstrike-hændelse, hvor netop sikkerhedssoftwaren lagde et ikke ubetydelig antal server ned: Selv i skyen, hvor man må formodes at de ypperste kompetencer er til rådighed. Der bliver kortere og kortere mellem eksemplerne.
Jeg har haft 30+ spændende år i den såkaldte ”cybersecurity-branche”, og det er kun virkeligheden, der har overgået fantasien og i en hast, de færreste har kunne forestille sig.
Og jeg tror, at jeg roligt kan sige, at ”problemet” nok ikke går væk i en overskuelig fremtid.
Men husk på, at Risiko = Sandsynlighed x Konsekvens, og vi har dermed to faktorer at skrue på.
Med en systematisk tilgang kan vi ofte nedsætte vores risiko betydeligt og i det mindste vide, hvor vi står.
Med ønsket om en god og sikker Cyber Security Month
Niels Mogensen,
Security Evangelist hos Conscia
Kilder:
1: https://en.wikipedia.org/wiki/The_Cuckoo%27s_Egg_(book)