Slik unngår du bakdører i din bedrift

Hvor mange av de du kjenner har blitt hacket? Kanskje de mistet tilgangen til Instagram-kontoen, spammet venner med linker til tvilsomme sider via Facebook Messenger, eller hatt skygge-brukere på sin Spotify- eller Netflix-bruker? Har du blitt hacket? Jeg tror de fleste vet om flere som har vært utsatt for dette, men har det noe å si?

Media fokuserer ofte på de store hendelsene med bred påvirkning, der den tekniske utførelsen krever utrolig mye. Er dette de truslene vi sliter mest med? I løpet av denne artikkelen er målet å bruke anekdoter, observasjoner og nylige hendelser til å evaluere det norske samfunnets modenhet og tilnærming til IT-sikkerhet og hvordan dette påvirker hverdagen til både enkeltpersoner og bedrifter.

Forhåpentligvis kan jeg med dette innlegget gi noen gode svar på spørsmål som “Hva kan hver enkelt gjøre for å hindre at de blir utsatt for angrep privat?”, “Hvordan påvirker dine vaner på fritiden sikkerheten på jobb?“ og “Hva bør norske bedrifter vurdere for å bli bedre på sikkerhet?”.

Slik ble SolarWinds hacket

La oss begynne med å se på noen sårbarheter som har blitt offentliggjort i de siste årene, og se på hvordan de fungerer og hvorfor dette er problematisk. Jeg vil ta for meg to saker jeg godt synes illustrerer poenget: SolarWinds-angrepet og Microsoft Exchange-angrepet, også kalt ProxyLogon.

Først vil jeg raskt forklare hva som skjedde, og hvordan disse sårbarhetene virker og ble utnyttet.

Under SolarWinds-angrepet var det sannsynligvis nasjonale aktører som over lang tid hadde brukt tid på å forstå hvordan kode ble sendt ut som oppdateringer, etter å ha fått tilgang til SolarWinds interne nett. Ifølge Cybersecurity and Infrastructure Security Agency i USA fikk angriperne sannsynligvis den første tilgangen ved hjelp av en teknikk som heter password spraying. Dette betyr at en finner lekkede brukernavn og passord fra andre sider, og deretter prøver disse mot sider der man antar at de samme brukerne har en konto. Dermed prøver en bare alle kombinasjoner av kjente brukernavn og passord, og håper noen har gjenbrukt den samme informasjonen. Måten trusselaktørene angrep videre var ved å plante en bakdør inn i SolarWinds-produktenes kildekode under utsending av oppdateringer, som gjorde at trusselaktørene kunne få tilgang inn til alle firma som benyttet seg av produktene som hadde en bakdør. En rekke profilerte bedrifter og store nasjonale etater ble ofre for dette angrepet, blant annet datasikkerhetsfirmaet Fireeye og det norske oljefondet.

ProxyLogon-angrepene kunne sannsynligvis vært avverget

Ved ProxyLogon var det en sikkerhetsekspert som identifiserte og sendte inn en rapport til Microsoft om at han hadde funnet en ny sårbarhet. Informasjon om sårbarhetene lakk på et eller annet tidspunkt, fra ukjente aktører, og trusselaktører begynte å utnytte sårbarhetene. Alle Microsoft Exchange (Email) servere som var drevet lokalt (ikke levert som skyløsning) var sårbare og kunne styres og tas over ved å angripe over internett. Sårbarheten i seg selv besto av tre logikkfeil. Interessant nok var dette sårbarheten trusselaktørene brukte da Stortinget offentlig gikk ut med at de hadde blitt hacket igjen, i mars 2021.

Dette har angrepene til felles

• De er begge sårbarheter i programvare som brukes verden rundt
• De er komplekse sårbarheter som krever meget høy teknisk kunnskap og evne, både for å finne de og for å utnytte de
• De er i programvare som hovedsakelig brukes av firma, ikke enkeltpersoner
• De ble begge utnyttet av trusselaktører før sårbarhetene ble utbedret
• De er begge sårbarheter som gir nærmest full kontroll over maskinen som blir angrepet
• Hva kan man egentlig gjøre?

Nå tenker du kanskje: “Hvorfor bryr vi oss om hva de har til felles, de er jo forskjellige?” – og da har du jo rett – men det er noen nyttige refleksjoner å ta med seg: Hva kunne DU gjort for å gjøre en forskjell her? Hva kunne ha blitt gjort for å hindre dette? Svaret er, for de aller, aller fleste: ingenting. Her er det programmer man bruker hver dag som har sårbarheter i seg, som ingen vet om. Da er det i praksis nærmest umulig å beskytte seg mot denne typen angrep om en ønsker å benytte programmene til normal bruk. Det er kun i ettertid, når en har mer informasjon, at en kan gjøre tiltak. Til og med da er det i stor grad kun de med stor kunnskap innen IT-sikkerhet som kan gjøre grep og løse situasjonen.

Norge henger etter på IT-sikkerhet

Mitt inntrykk er at vi i Norge ofte liker å tro at slike ting ikke skjer hos oss. Nylig har vi hatt flere eksempler på store saker der IT-sikkerhet har vært i fokus. I samtaler med andre profesjonelle innen sikkerhet i Norge, familie, venner og i forbindelse med tester vi gjør, ser vi stadig vekk mangel på grunnleggende rutiner og sikringsmekanismer. Dette er ikke noe jeg sier for å svartmale norske bedrifters IT-miljøer, men jeg ønsker at vi skal være åpne og tydelige på at vi ikke har nok sikringstiltak på plass. Min opplevelse, anekdotalt også delt av mange av mine kolleger, er at Norge er mindre modne og har en lang vei å gå når det kommer til å ta i bruk og benytte seg av eksisterende sikkerhetsløsninger.

Tofaktorautentisering er bedre enn ingenting

For eksempel er det i stor grad mangel på bruk av, eller bruk av svak tofaktorautentisering i Norge (Les: funksjonen telefonen eller BankID-brikken din har når du logger inn i banken).
Et eksempel på svak tofaktor er løsninger der en bruker telefonnummeret (f.eks.: SMS). Dette kan angripes via såkalte SIM-swapping-angrep (noen ringer din telefonleverandør og sier de er deg og må flytte sitt abonnement over til et simkort de kontrollerer, fordi du har mistet tilgang til det forrige). Dette er nok ikke like vanlig og utbredt i Norge som internasjonalt, men jeg mener at vi bør stille et spørsmålstegn ved bruk av en suboptimal løsning, når så mange andre, bedre og mer lettvinte løsninger finnes. Det eksponerer en angrepsmulighet som i utgangspunktet ikke bør være der, og for høyverdimål (daglige ledere i store bedrifter, politikere o.l.) er det en enkel og billig måte å angripe på, som potensielt har meget stor avkastning. Et annet vanlig problem er at passordet kan resettes via mail, og den samme mailadressen også brukes til tofaktorverifisering og mottar tofaktorkoden. I praksis kan man da ta over kontoen raskt, ved å resette passord, deretter logge inn med tofaktorkoden som er sendt til samme konto, uten tilgang til noe annet enn offerets mailkonto. Med det sagt er det viktig å huske at i nesten alle tilfeller, er noen form for tofaktorkode bedre enn ingen (så lenge det faktisk er ekte tofaktor og ikke to passord gitt via samme kanal). Som for eksempel da en trusselaktør fikk tilgang til e-posten, og muligens mer, hos en ansatt i Tromsø kommune.

Bruk jobb-PC til jobb og privat PC til private ting

Et annet problem som har kommet de siste årene er at skillet mellom privat og jobb i stor grad har blitt mindre. Hjemmekontor er utbredt og jobb-PC-er nyttes til privat bruk, og private PC-er nyttes til arbeid – men er det et problem? Det første problemet med dette er virksomheters standard tilnærming, som pleide å være korrekt, om at perimetersikring er nok. Alt på det interne nettet er kun tilgjengelig for våre ansatte, så der er det ikke farlig at ting ikke er helt på stell. Med hjemmekontor og dårligere kontroll over hvem og hvilke enheter som har tilgang til det interne nettet, stemmer ikke dette lenger. Det har forøvrig vært sant også før hjemmekontor ble normen, da også mobile enheter gradvis har blitt sluppet inn på kontornettverk over tid. I den moderne verden er det kun et tidsspørsmål før noen får tilgang til det interne nettet, enten via tidligere ukjente sårbarheter, phishing, eller andre metoder. Da gjelder det å ha sikringsmekanismer også på innsiden.

Angrepsflaten er større i nettverket hjemme

Etter at skillet mellom jobb og privat har minsket, er dette problemet større da angrepsflaten er større når PC-er står i dårlige sikrede hjemmenett, brukes til privat aktivitet på suspekte forum og sider, og generelt er utsatt for mer tvilsom aktivitet enn det som ville vært tilfellet på kontoret. I verste fall kan en privat PC på samme nett, som brukes privat, ha blitt infisert og en trusselaktør kan på denne måten bevege seg gjennom nettet og over til jobb-maskinen, og deretter videre inn på virksomhetens intranett. Denne bevegelsen kan skje ved at man for eksempel har en gammel nettverksruter med kjente sårbarheter, som trusselaktøren benytter til å ta over kontroll. Derfra kan de ta en posisjon som mellommann i all trafikken som går ut av hjemmenettet, og injisere kode i nettsider som ikke benytter seg av sertifikater (HTTPS) eller ta over DNS-trafikk og ta eieren til en side med skadevare på, i stedet for den siden eieren ønsker å gå til. DNS fungerer slik at maskinen oversetter et domene (f.eks. pwc.no) til en IP-adresse (155.201.250.61), men om man kontrollerer nettverksruteren kan trusselaktørene potensielt ta over DNS-trafikken og dermed bytte ut IP-adressen med en de kontrollerer og har satt opp til å utnytte sårbarheter eller levere skadevare. Da hjelper det hverken med sterke passord eller tofaktorautentisering da PC-en står på døgnet rundt, og dermed er VPN-tilkoblingen også tilgjengelig.

Et annet typisk problem med miks av privat og jobb, er gjenbruk av passord, bruk av jobbens mailadresse i privat kontekst, og svake passord på bakgrunn av dårlige passordpolicyer. Dette fører til at en kan benytte seg av teknikker som brute force-angrep (bare prøv å la et program gjette alle mulige passord), eller at passord lekker fra andre sider og deretter knyttes opp mot selskapets brukerkonto og utnyttes ved å gjenbruke samme passord som det som har lekket.

Private maskiner mangler sikkerhetsnett

Til slutt vil jeg også nevne risikoen med å benytte private maskiner til jobb. Det mest innlysende er mangelen på kontroll fra virksomhetens side. Antivirus og sikringsløsninger finnes vanligvis på maskiner som er utdelt, men private maskiner har i liten grad samme sikkerhetsnett for brukerne, noe som øker risikoen for informasjonslekkasjer. Kompromitterte personlige kontoer kan også føre til lekkasjer om disse brukes til å jobbe med eller lagre informasjonen. Det noe mindre innlysende problemet er at informasjonen kan lekke ved at brukerne er uforsiktig og jobber i verktøy i skyen som ikke er private, at de laster opp filer i verktøy som tar vare på disse, eller på andre måter gjør informasjon tilgjengelig ved uhell. Slike ting er vanligvis blokkert hos virksomheter med høyere modenhet, men vi finner stadig informasjon som er offentlig tilgjengelig, som ikke bør være det, fordi ansatte har brukt verktøy på nett uten å forstå at informasjonen blir der permanent.

Benytt eksisterende løsninger

Det siste, typiske problemet jeg ønsker å ta for meg er hvordan vi ser på og benytter eksisterende programvare og løsninger. Vi ser ofte at bedrifter velger å benytte egenutviklede løsninger eller løsninger de har betalt for at skal utvikles kun for deres bruk over kjøp av eksisterende løsninger. Det er gode grunner for å gjøre dette, men kostnaden med tanke på sikkerheten til produktet er ofte ikke med i beregningen. Vi i bransjen hører også ofte argumenter som: “De finner så mye feil i programvaren som finnes, så vi ønsker heller å utvikle en bedre løsning selv” eller “Når det bare er vi som har og bruker det, er det ingen som vil angripe oss”. Dette er også typiske feller å gå i – nye og spesielle løsninger har ofte ikke mulighet til å bli testet over tid, ei heller tid til spesifikk sikkerhetstesting. Det betyr at det ofte finnes mange feil, inkludert sikkerhetshull, helt til løsningen er testet over tid og kontinuerlig forbedret. Dette er det ofte ikke budsjett for, og vi ser mange eksempler på at løsninger kjøpes og utvikles, deretter aldri oppdateres. Dermed blir aldri feil rettet opp i.

Stol på ekspertene

Sikkerhet er også et emne som krever inngående ekspertkunnskap, noe som ofte mangler i varierende grad hos utviklerne. Dette ender i at programvaren som kjøres kanskje ikke har kjente sårbarheter, men en haug av ukjente sårbarheter som venter på å bli oppdaget. Det at et produkt har mange kjente sikkerhetshull trenger ikke indikere at produktet er usikkert eller sikkert. Det sier bare noe om at løsningen hadde mange feil som nå har blitt fikset. Ideelt sett ønsker man å finne løsninger som historisk har hatt få feil, og at de feilene som har blitt funnet, er funnet over en lang tidsperiode. Da kan man med høy sannsynlighet anta at systemet er testet og har blitt utbedret, og at det nå er få eller ingen feil igjen. Man får også en tydelig indikasjon på at de som utvikler løsningen deler potensielle problemer med deg som kunde, og at de tar sikkerhet seriøst.

Testede løsninger er ofte best

Den overnevnte tilnærmingen har også tildels vært gjeldende for skyløsninger og delte løsninger. En tenker at om alle kan se og prøve å komme inn i løsningen er dette farligere enn om en skjuler det på et lokalt nett. I realiteten er slike skyløsninger ofte godt sikret med høyt fokus på å stoppe misbruk og utnytting av sårbarheter. I tillegg er det et eksplisitt krav om at brukeren beviser at de skal ha tilgang til løsningen, de slipper ikke inn bare fordi de er på rett nettverk slik det ofte er internt. Det gjør at en trusselaktør som klarer å phishe en bruker, ikke nødvendigvis enkelt kan hoppe videre til andre systemer og stjele informasjon.

Angriperne er opportunistiske

Det er også en vanlig tanke at om en har interne eller spesielle løsninger, så er det ingen som ønsker å angripe disse – “vi er jo så små i Norge at ingen bryr seg om vår LoggDegInn-løsning”. Dette var kanskje sant før, og er nok sant i den fysiske verden. Dessverre er det slik i vårt digitale rom at det er liten kostnad og stor gevinst assosiert med å kaste vide nett der en søker etter alle potensielt sårbare tjenester på hele internett og deretter automatisk utnytter de systemene som fyller visse krav. Det gjør at selv om ingen bryr som om “LoggDegInn-løsningen” eller virksomheten bak, så er de kriminelle opportunistiske og håper de kan tjene noen få, raske kroner (eller kanskje bitcoin).

Bruke kjente systemer som er gjennomtestet

På generell basis synes jeg det er enkelt å gi rådet: bruke kjente, testede systemer og løsninger. Ikke bruk egne løsninger med mindre absolutt nødvendig. Det finnes scenarioer der egenutviklede løsninger også er rett vei å gå, men da må man være klar over kostnaden som følger med det valget, både i potensiell risiko introdusert, samt kostnaden av vedlikehold og utbedring av feil.

Noen tips

• Benytt sterke passord – IKKE “Påske2022!”, men en variasjon av tall og bokstaver som ikke finnes i ordbøker, helst over 9 tegn. F.eks: “JegHarSlittMedåHuskeVanskeligePassordSiden1903!”
• Ikke gjenbruk passord, i hvert fall ikke mellom privat og jobb. Bruk helst en password manager. Om ikke, bruk forskjellige passord for viktige løsninger (bank, Altinn, etc.) og ha ett felles passord for ting du ikke bryr deg om (avis-kontoen din, Twitter, etc.)
• Sett opp og bruk tofaktorautentisering der det er mulig. Benytt sterke løsninger som tofaktor-apper, fysiske sikkerhetsnøkler eller biometri.
• Ikke påtving ansatte obligatorisk passordbytte regelmessig og uten god grunn. Benytt smarte løsninger og varsle de ansatte om de har et passord som er kompromittert, deretter krev passordbytte.
• Lær opp ansatte i hva som er de største risikoene og hvordan de unngår disse. Gjør dem rustet til å håndtere problemene godt når de på et tidspunkt oppstår, ved bruk av opplæring. Den viktigste delen av dette, mener jeg, er å ha en kultur for å si fra tidlig. Her er det viktig at sikkerhetsavdelingen har tydelig fokus på delt læring i etterkant, og ikke skyldspørsmål.
• Bruk ressurser som eksisterer. Jeg mener Norge er for dårlig til å utnytte de tekniske fremskrittene som finnes, og at vi heller bør bygge videre på de gode løsningene som er godt testet og sikret. Benytt skyløsninger og etablert programvare.
• Sørg for å sikre alle systemer, spesielt de som er tilgjengelig offentlig på internett. Ikke tro at fordi vi er få mennesker, en liten bedrift, eller har særegne løsninger, så er det ingen som prøver å angripe oss. Opportunistiske angripere filtrerer ikke, de prøver seg og tar alle sjanser som byr seg – uansett bakgrunn.
• Interne nett er kun sikre til en person klikker på en link i en mail eller kjører et program. Ikke stol blindt på perimeterkontroll. Det kan koste mer å låse ned ved en hendelse enn å sikre egne systemer ved hjelp av etablerte løsninger. Vi erfarer også at det kan være taktisk lurt da man får en kontrollert, umiddelbar kostnad i stedet for potensielt store, tilfeldige, uforutsette utgifter.

Ta enkle grep

Norge bør bli bedre på de enkle rutinene og teknologiene som gjør livet til oss angripere flerfoldige ganger hardere! Veien dit inkluderer bruk av godt testede løsninger, bedre passordrutiner, mer oppmerksomhet på sikring av IT, mer bruk av dedikert sikkerhetspersonell, bedre forståelse av fordeler og ulemper med bruk av etablerte tjenester, større budsjetter til sikring av IT-systemer, og mer åpenhet rundt sikkerhetsarbeid og problemer generelt.

Veien til sikkerhet er lang

Jeg ønsker å påpeke at det som nevnes i denne bloggen ikke dekker alt av områder og prosesser som kan hjelpe bedrifter å bli sikrere, ei heller er en løsning som fikser alt. Det er mange andre ting, eksempelvis risikovurderinger, arkitekturgjennomgang, strategier og annet som må til for å sørge for at en bedrift er, og holder seg, sikker. De overnevnte punktene er ment som et kritisk syn på Ola Nordmanns og den gjennomsnittlige bedriftens tekniske sikring av IT-systemer, samt norske (og menneskelige) vaner og mønster som ofte forekommer og fører til dårligere sikkerhet.

Penger må til

Jeg tror et grunnleggende løft på forståelse og tilnærming til sikkerhet hos vanlige brukere, samt de som tar avgjørelser rundt sikkerheten i IT-systemer, vil kunne gi stor uttelling i det norske markedet. Min oppfatning er at om virksomheter gjør grunnleggende grep og tar sikkerhet seriøst – spesielt innen valg av systemer og opplæring av brukere, men også i sine budsjetter – så vil vi se en markant endring i hvor godt sikret samfunnet og næringslivet er, samt potensielt spare en mengde penger over tid i form av avvergede angrep som løsepengevirus og utpressing.

Du påvirker sikkerheten

For å avslutte det hele ønsker jeg å komme med en oppfordring: Selv om du ikke er dataekspert eller sikkerhetsansvarlig, så påvirker du sikkerheten til bedriften en jobber for. Er du en vanlig bruker, så sørg for å følge de grunnleggende retningslinjene som gjør vår jobb som angripere vanskeligere. Om du har ansvar for IT-systemer i en bedrift, så bruk litt ekstra tid på å vurdere konsekvensene av valget man tar i forhold til sikkerhet og eventuell ekstra risiko og kostnad som følger dette. Og sist men ikke minst, om du er ansvarlig for budsjettering i en bedrift, vurder om ikke sikkerhet bør prioriteres mer i budsjettet for å komme opp på et høyere nivå. Jo raskere, jo bedre, da det kan være betydelig billigere enn alternativet – og kanskje også mer behagelig!