Tirsdag eftermiddag blev en række virksomheder i både Danmark og udlandet ramt af et hackerangreb.
Et af dem var det danske rederi Mærsk.
Hackerangrebet er det seneste i en række af angreb de seneste år. De har på flere punkter været forskellige: De har været programmeret på forskellige måder og har været målrettet forskellige dele af computerne, de har været mere eller mindre sofistikerede og har spredt sig i forskellige lande.
Men der er også én lighed: De har stort set alle været afhængige af menneskelige fejl.
Ifølge flere eksperter er angreb som det i denne uge mod blandt andet Mærsk kun mulige at gennemføre, fordi nogen (mennesker) ikke har opdateret de angrebne computere, og fordi nogen (mennesker) har åbnet en mail fra angriberne og klikket på en fil eller et link.
»Mange af de her angreb handler om den her menneskelige faktor. Vi tænker om opdateringer, at det kan vi gøre i morgen eller om en måned, fordi det er besværligt og udsætter det, som man egentlig skal bruge computeren til. Men de kan være helt afgørende for et angreb som dette, som benytter sig af netop manglende opdateringer,« siger konsulent Keld Norman fra i sikkerhedsvirksomheden Dubex.
Christian Dinesen fra sikkerhedsvirksomheden NNIT er enig. Selv om det at forebygge hackerangreb i udgangspunktet handler om at lave tekniske løsninger for at beskytte en computer mod et angreb fra en anden computer, så er de tekniske løsninger helt afhængige af brugerne.
»Og vi er generelt ikke forsigtige nok på nettet. I den virkelige verden ville de færreste tage imod en pakke eller åbne den, hvis man ikke havde bestilt den, og der stod et navn stavet forkert. Men på nettet er vi alt for ukritiske. Vi klikker på ting eller downloader og åbner en fil. I det her tilfælde har en person i virksomheden – og det er ikke nødvendigvis i Mærsk – klikket på en fil eller et link, og i det øjeblik har de hentet et stykke software til deres maskine, som efterfølgende har spredt sig,« siger han.
Dødningehoved på rød baggrund
Der er i skrivende stund (onsdag eftermiddag) stadig usikkerhed om detaljerne i angrebet.
Umiddelbart efter angrebet tirsdag gik sikkerhedseksperter i både Danmark og udlandet i gang med at analysere forløbet.
Først og fremmest for at stoppe virussen i at sprede sig, men derefter for at finde ud af, hvorfra angrebet begyndte, hvor avanceret det var, hvad formålet var, hvordan det var programmeret og ikke mindst hvem der stod bag.
En række virksomheder var onsdag eftermiddag stadig i gang.
»Vi er stadig i gang med at køre sandbox,« siger Keld Norman fra Dubex.
Han har ligesom andre kolleger i branchen sat computere op i et lukket netværk med det formål at lade virusen Petya angribe og derefter sidde ved siden af og studere, hvordan den ondsindede computerprogram angriber og spreder sig. Det er denne arbejdsmetode, man kalder sandbox.
»Vi er stadig i gang med at analysere, men noget tyder på, at det ikke har været et målrettet angreb. Det ser ud som om, at de bare har sendt en masse spammails ud.«
Derefter har personer i for eksempel Mærsk åbnet mailen og klikket på et link eller en fil, og på den måde givet virussen adgang til at sprede sig videre ud på netværket til andre computere for at kryptere flere harddiske.
»Den krypterer ikke computeren til at starte med,« siger Keld Norman.
»Den lægger sig i en fil, og når man har haft lukket den og starter den op næste gang, så starter den det program.«
Computeren fortæller brugeren, at den har opdaget en fejl og derfor vil tjekke harddisken. Windows har indbygget en funktion til netop at gøre dette – så for brugeren ser det helt reelt ud.
»Men i virkeligheden krypterer den disken. Og når den så er færdig med at tjekke disken, åbner et vindue med et dødningehoved på en rød baggrund, hvor der står: Du er blevet krypteret.«
Herefter er man blevet mødt af en besked om at betale 300 dollars til bagmændene.
Ud over at dokumentere angrebets forløb viser den foreløbige analyse, at Petya ikke kun krypterer indholdet, men også indsamler kodeord fra de angrebne computere, og at hackerne har brugt et program, som er udviklet af den amerikanske efterretningstjeneste NSA.
Det samme gjorde angrebet Wannacry i maj.
Et forkert klik
Det nye angreb er blevet sammenlignet med netop Wannacry.
I maj blev en række computere verden over angrebet af en virus, som ligesom Petya og flere andre angreb er startet med, at hackerne sendte mails ud til formentlig tilfældige personer.
Hvis man har klikket på en vedhæftning eller downloader en fil, har virussen spredt sig til computeren og derfra haft mulighed for at sprede sig til resten af netværket på arbejdspladsen eller i hjemmet.
Wannacry udnyttede et sikkerhedshul i ældre versioner af Microsofts styresystem Windows. Hullet blev lukket tidligere i år, og det var dermed ikke længere muligt for hackere at bruge dette sikkerhedshul, medmindre nogen havde glemt at opdatere Windows.
Det havde en del.
»Indtil videre har vi været dygtige til at finde tekniske løsninger på de angreb, der har været, men vi ser en tendens til, at den menneskelige svaghed stadig udnyttes i høj grad,« siger sikkerhedsrådgiver ved Fortconsult Peter Brahe.
Ifølge ham er menneskelige fejl – såsom at glemme at opdatere et styresystem eller at klikke på et link i en mail – årsag til de fleste angreb.
»De færreste lader sig efterhånden narre af de her Nigeria-breve. Men hackerne udvikler sig og finder nye måder at motivere os. Det virker ofte meget troværdigt. Designet i mailen ser rigtigt ud, og så udnytter de, at vi har travlt, at vi har ferie, og at der er mange, der skal kommunikeres med.«
Et angreb som Petya er i princippet ikke svært at forebygge: Det handler om at huske at opdatere sine programmer og være kritisk over for mails fra ukendte afsendere.
Men i praksis er det anderledes. Ikke mindst i en stor virksomhed som for eksempel Mærsk med mange tusinde medarbejdere, siger Christian Dinesen fra NNIT.
»De kriminelle skal kun have én person til at klikke på ét forkert link. Men som virksomhed skal jeg sørge for, at 55.000 mennesker har opdateret deres computere, og at de ikke klikker på de her ting. Der er stor sandsynlighed for, at en eller anden vil gøre det alligevel.«
som i atomkraft sangen, så kan vi ikke være afhængige af tusindvis af fejlfri mennesker i tusindvis af år, det ved vi jo godt ikke er muligt. Et for mig rimeligt spørgsmål er nu hvordan der opstår 'huller i sikkerheden' i styresystemerne? Er man holdt op med at tjekke og godkende systemer inden de frigives? Det er måske fordi det er vigtigt at komme først på markedet, og man kan altid lave et patch senere. Er vi ikke blevet for afhængige af computersystem til st det er en farbar vej fremover? Tænk hvis samme tankegang blev anvendt indenfor medicin, flysikkerhed...find selv på flere...
og jeg kan ikke være mene enig i den indledende sætning. Grundproblemet er, at almindelige mennesker, der ikke kan forudsættes at kende konsekvensen af et klik, uforvarende risikerer at pålægge systemer nedbrud af så væsentlig karakter som vi ser nu. Det ville ikke ske, hvis systemerne fra grunden var designet, så almindelig, daglig brug, var indkapslet uden mulighed for at påvirke systemet som helhed. I den sammenhæng er det ikke i orden, at eksperter fra sikkerhedsfirmaer gang på gang fremturer med, at menneskelig svaghed er årsagen. Årsagen er, at almindelige mennesker overhovedet har mulighed for at aktivere den funktion, der checker disken, eller rettere, at systemet tillader at virussen kan afvikles og gøre skade på systemet som helhed. Helt tilbage i tredserne talte man 'rings of protection', altså samme funktion som man havde i de gamle ridderborge. Der var flere mure til at beskytte de inderste - borgherren, kongen, ... -, men det blev lykkeligt glemt, da man fandt det nødvendigt at gøre systemerne "lette at bruge".
Computer-regel #1:
Det er menneskeligt at fejle -
At lave den helt store brøler,
kræver en computer.
Ang. "huller i sikkerheden":
Så vidt jeg ved, er moderne styresystemer simpelthen alt for komplekse til, at det er muligt at fjerne samtlige bugs og sikkerhedshuller. Der vil altid være sårbarheder, som ikke opdages, før det er for sent, der er simpelthen så mange kombinationsmuligheder, der kan gå galt - men ikke nødvendigvis gør det - at det ikke er muligt at tjekke dem alle før solen brænder ud.
Så det er ikke kun mennesker, der ikke er fejlfri, programmer og apps er nærmest per definition fejlbehæftede. At store koncerner ikke har backups og nødplaner parat, givet denne indbyggede fare for digitalt sammenbrud, siger mere om disse koncerner end det gør om den software, de anvender.
Så spørgsmålet om vi er blevet for afhængige af computersystem til at det er en farbar vej fremover, er det, der almindeligvis kaldes et rigtig godt spørgsmål. Med backups og nødplaner kunne mange ulykker afværges, men det koster penge, som diverse koncerner altså har valgt at spare. Så de ligger som de har redt.
NSA har fået skylden for at de svagheder i styresystemet Windows XP er blevet lækket og brugt til den ransomware der husere for tiden. Så for eftertiden burde alle styresystemer blive trykprøvet og kvalitetsmærket af NSA selv - i hele verdens interesse.
@Niels Nielsen
Ja. Problemet er i bund og grund en af mine kæpheste. Det er manglen på respekt for faglighed. IT-terror/kriminalitet/spionage har potentialet til at bringe en virksomhed i knæ, og virksomheder, hvor IT er defacto core business, har det potentialet til at få virksomheden til at gå til grunde.
Derfor er IT faglighed vigtigt. Måske hvis Mærsk ikke havde sparet så meget på IT budgettet, kunne man have modstået dette angreb bedre ?
// Jesper
hvis jeg solgte våben, ville jeg hilse hver en fjende kærkommen, at Mærsk nu er ramt, har vel øget fokus omkring IT ligesom det skete med forsvaret - ihvertfald råber alle Rusland, og i Rusland råber alle vesten... et er sikkert.. våbenindustrien blomster som aldrig før, og pengene strømmer ind til sikkerheds firmaerne.... jeg gad nok vide hvem der har interesse.....
Som jeg med et halvt øre forstod et indslag på CNN om angrebet, så var et computerprogram, som er særligt udbredt i Ukraine, blevet inficeret. Så eksperter mente, at russiske hackere stod bag. Programmet var så ikke kun begrænset til Ukraine, som blev særligt hårdt ramt, virussen endte også med at ramme virksomheder - ikke private computere - verden over. Blandt andre blev et russisk hospital ramt, så angrebet, hvis det var det, gav i så fald også bagslag. En analyse af virussens kode viste, at det ikke havde nyttet at betale det krævede beløb, da den del af koden, der skulle indeholde kill switch-koden, blot var en række tilfældige tegn. En dårlig reklame for kommende angreb.