Forrige uke hadde InnoMag et oppslag der en «IT-ekspert tar oppgjør med norsk sikkerhetshypokondri». Innledningen i det oppslaget er forsåvidt riktig nok. Det er mer usunn trafikk på nett. Det er stadig flere forsøk på å bryte seg inn på nettsteder. Og det er stadig nye varianter på ondsinnet e-post og økning i mengde søppelpost. Så langt er det rett. Men deretter svikter ekspertens resonnement.

I stedet for å anerkjenne at denne problematikken er noe alle brukere av internett må ta innover seg så parkerer han det hele som «svake eller mangelfulle mekanismer». Og han har selvfølgelig en enkel (og gratis) løsning på problemet: DMARC.

Når en IT-ekspert hevder at det finnes kun én løsning så er han/hun ingen ekspert.

Jo, DMARC kan redusere mengden søppelpost. Og mengden e-post med phishing, ransomware osv. Fordi DMARC gir en form for kontroll av opphav for den enkelte e-postmeldingen. Men DMARC som eneste metode er omtrent like nytteløst som det håpløse forslaget fra Bill Gates på WEF i 2004 (porto på e-post; skjermklipp fra cnn.com).

Svakheten i ekspertens forslag til løsning er antagelsen om at all søppelpost og ondsinnet post sendes fra andre enn de man vil ha post fra.

Jo, det finnes en god del e-post der avsender er forfalsket og dette vil kunne filtreres bort mye bedre enn i dag dersom alle benytter DMARC. Men det er minst to forhold som DMARC ikke beskytter mot. Og begge disse metodene ble benyttet under den mye omtalte hackingen ved valget i USA som har fått både politikere, media, PST osv. til å gå fullstendig av skaftet:

  • Hackere benytter den enkelte brukers kontoidentitet (brukernavn/passord) for å logge seg inn til brukerens e-posttjener.
  • Hackere får smuglet inn programvare på brukerens datamaskin.

For å stanse slikt mest mulig effektivt er man her avhengig av bevissthet om dette blant brukerne. Når InnoMags ekspert hevder at «Hovedproblemet er ikke dumme eller skjødesløse brukere» så er jeg altså delvis sterkt uenig. Dumheten vil jeg ikke kommentere med annet enn at den kan vi slett ikke gjøre noe med. Men det er en egenskap hos kun en liten andel brukere. Skjødesløsheten kan vi gjøre noe med. Og skjødesløsheten er et alvorlig problem.

Aller verst er det når skjødesløsheten er blitt en del av det normale operasjonsmønsteret. Så normalt at brukere som er skjødesløse med egne hjemme-PCer er like skjødesløse med utstyret de har tilgang til på jobb. Og verst er det når skjødesløsheten er en del av de IT-profesjonelles hverdagslige rutiner.

En nettverksansvarlig som baserer seg på kun én metode for sikring av kommunikasjon er i beste fall naiv. En mer riktig beskrivelse vil nok være: forstokket!

Hvordan klarte hackere få ut e-post under valget i USA sist høst?

Det vi vet med sikkerhet er at noen fikk tilgang til e-post de ikke skulle ha tilgang til. Det har ikke kommet frem opplysninger som entydig peker på om denne tilgangen skjedde på tjenernivå (i e-posttjener) eller klientnivå (på brukers datautstyr). Sannsynligvis var det tilgang på begge nivå. Særlig siden alt tyder på at det også ble sendt ut e-poster «på vegne av» brukere uten at de visste det.

Vi som til daglig steller med drift av nettsteder og benytter en rekke metoder for overvåkning og kontroll av datatrafikken rundt disse nettstedene har en felles interesse: sikkerhetshull. En noe sær interesse. Vi vet at slike hull finnes. Og vi sørger for å tette dem så hurtig som overhodet mulig når de oppdages. Hvis vi altså ikke er skjødesløse. Og når vi har tettet sikkerhetshullene så titter vi litt på trafikken på tjenerne igjen. Og vi ser etter om det er noen som prøver seg. Om det er noen som vil se om vi har tettet sikkerhetshullene. Særlig etter at kunnskapen om hvert slikt sikkerhetshull er blitt allmenn.

I gjennomgang av nettsteder referert til i ulike sammenhenger i valgkampen fant man flere nettsteder med sikkerhetshull. Hackere, både de organiserte gruppene og «løsarbeidere», benytter ofte et eller flere ganske så uskyldige nettsteder som første virkemiddel. Nettstedet settes gjerne opp i en alment tilgjengelig driftstjeneste og det gis et tilforlatelig domenenavn og noe som virker som et uskyldig innhold. Ofte ønsker de å skjule sporene sine enda bedre så de leter frem et nettsted med et sikkerhetshull og benytter dette.

Så igangsettes det som kalles et spydangrep. Man sender ut uskyldig utseende e-poster der det henvises til nettstedet og man forsøker å pirre e-postmottakerne ved å beskrive innholdet på nettstedet mest mulig positivt. I tillegg benyttes gjerne sosiale medier for å reklamere for det infiserte nettstedet. Så er det bare å vente på at den første ulykkelige sjelen kommer til nettstedet slik at man får satt igang neste steg. For at dette lureriet skal virke er man avhengig av at brukere er såpass skjødesløse at de ikke har sikret PC-en sin mot dette neste steget: nedlasting av programvare gjennom besøk på et nettsted.

I gjennomgang av nettsteder referert til i valgkampen fant man bl.a. et nettsted med WordPress publisering der det ble benyttet en utvidelse (plugin) kalt AffiliateWP. I enkelte versjoner av denne utvidelsen fantes det sikkerhetshull. Nettstedet som det ble referert til i undersøkelsene kjørte så sent som mars 2016 versjon 1.5.6 av utvidelsen. På tross av at utviklerne allerede ett år tidligere hadde påpekt at det var et sikkerhetshull i denne versjonen. Og at dette var rettet i versjon 1.5.7. I ett år hadde altså drifterne av nettstedet vært ganske så skjødesløse. Og nettstedet ble et brohode for videre spredning av ondsinnet programvare. (Det er også mulig at nettstedet ble drevet av hackerne selv).

På nettstedet var det så plassert kode som utnyttet svakheter i ulike operativsystemer. På dette ene nettstedet gikk man etter brukere som kom til nettstedet fra Windows-maskiner. Fordi man vil utnytte en svakhet i Windows DLL til å få plantet noen filer på brukerens PC. Det lyktes man med. Den skadeligen programvaren ble lastet ned til PC fra en veldig populær skytjeneste. Også populær hos hackerne. At politikere, valgkampmedarbeidere osv. ble rammet kan være tilsiktet. Men kan også være en ren tilfeldighet. Å peke ut syndebukker krever omfattende analyse.

Den nye programvaren som ble plantet på PCer ga hackere direkte tilgang til PCen og de kunne derfor stille og rolig hente opp all e-post og annen informasjon på den infiserte PCen. Og de kunne benytte seg av e-postklient på PCen. Som om de fjernbetjente den. Slikt kan ikke stanses av DMARC.

Det kan være verdt å merke seg at nettsteder som ikke vedlikeholdes jevnlig gjerne er lett bytte for kodeinnsprøyting (code injection) som danner slike vannhull (nerdebetegnelse for slik kode).

Du skal ikke tro så inderlig vel….

Jeg skal gi InnoMags IT-ekspert rett i en ting: Presentasjonene i media den seneste tiden rundt hacking osv. er det reneste sludder. Og det borger ikke godt for fremtiden at politikere har et så lavt bevissthetsnivå mht. teknologiens irrganger. Enda verre er det at deres rådgivere er like talentløse. Og når dette blandes sammen og slynges ut til Ola Nordmann gjennom medieoppslag som er total skivebom så kan noen og enhver bli en smule oppgitt.

Mine råd til den enkelte bruker blir derfor:

  1. Ikke tillegg innholdet i medieoppslagene for stor vekt. Du skal ikke tro så inderlig vel at de vet hva de snakker om.
  2. Ikke løp inn i tjeneste for de som vil begrense personvernet gjennom økt overvåkning. Du skal ikke tro så inderlig vel at deres metoder vil begrense kriminelle.
  3. Gjør hva du kan for å holde din egen sti ren. Husk å oppdatere programvare. Og lurer du på om det er noe rart på din egen maskin: kontakt noen som kan. Du skal ikke tro så inderlig vel at ingen vil plukke deg ut som et offer.
  4. Hør med din e-postleverandør om de har gode rutiner for overvåkning og kontroll av aktivitet på e-posttjener. Du skal ikke tro så inderlig vel leverandøren ikke lider av skjødesløshet.
  5. Og eier du et nettsted eller drifter noe slikt selv så passer du på oppdatering, overvåkning av trafikk, kontroll av programvare osv. Du skal ikke tro så inderlig vel at ingen vil bruke ditt nettsted som et brohode inn mot mer lyssky virksomhet.

Men situasjonen blir ikke bedre om alt sludder fra politikere, media, PST osv. takles som en enhåndsjobb fra IT-eksperter. President Truman skal ha sagt at han ønsket seg en «one-armed advisor». Fordi han var så lei av «on the other hand».

Neste gang InnoMag ønsker å la en IT-ekspert ta oppgjør med noe/noen så kan det jo være lurt å sjekke om eksperten har tatt en titt på åpent tilgjengelig dokumentasjon. Det burde ikke være for mye forlangt. Særlig når innholdet i «oppgjøret» stort sett bare er et dårlig skjult forsøk på å selge flest mulig kopier av en flere år gammel pdf.