Af Eskil Sørensen, 30/11/23
Det giver Center for Cybersikkerhed en forklaring på i en temaartikel, som centeret har publiceret på sin hjemmeside i mandags.
Kært barn har som bekendt mange navne. Også inden for cybersikkerhedsmiljøet, hvor begreberne er præget af, at de har overlevet i mange år, uden at folk udenfor har bekymret sig om dem, eller i mange tilfælde ikke interesseret sig for, hvad de egentlig betyder. Det forsøger Center for Cybersikkerhed nu at råde bod på – ikke kun med den nye temaartikel, men også med mange andre klassiske it-sikkerhedsudtryk, som igennem længere tid har haft sine egne ordforklaringer på centerets hjemmeside. Men i denne omgang er det altså de sagnomspundne Zero-days, som vi i DKCERT i mange år har brugt betegnelsen 0-dagssårbarheder om (og vil fortsætte med at gøre), der har fået en grundig gennemgang.
For 0-dagssårbarheder er (som navnet) antyder ’..sårbarheder i software, hvor man har haft nul dages forspring til at opdatere sine programmer, før sårbarheden bliver udnyttet af hackere.’
Men hvem er ’man’?
’Man’ er interessant at bruge lidt flere ord på, for hvem er egentlig denne ’man’, der har haft nul dages forspring?
I større organisationer er det typisk systemadministratorer, der har opgaven med at vedligeholde porteføljen af programmer, IT og software, som anvendes i organisationen. Systemadministratorer har mange opgaver, og derfor er 0-dagssårbarheder altid en stressfaktor, for det er ’..en kategori af sårbarheder, som kræver en ekstra indsats ud over at installere en opdatering, når den bliver tilgængelig.’ Da hackere i mange tilfælde har udnyttet sårbarheden, inden den bliver kendt af offentligheden, så skal systemadministratorer kaste alt, hvad de har i hænderne for at håndtere det, som kan blive eller allerede er en kritisk situation for organisationen.
I mindre organisationer og små og mellemstore virksomheder kan denne ’man’ være ejerlederen, it-nøglepersonen eller andre fagspecialister, der har fået opgaven. Og i familier vil det være den person, der har fået den utaknemmelige opgave at vedligeholde familiens mange devices. Hvis den ellers er blevet ham/hende tildelt. I større organisationer er systemadministratoren typisk udpeget til jobbet og har en teknisk uddannelse bag sig, i mindre organisationer, foreninger, virksomheder og i familierne er det næppe udpegede og uddannede it-sikkerhedsfolk, der klarer opgaverne. De kan både være nemme at håndtere, som det som regel er med telefoner og browsere – men også være svære, fordi det kræver dybere kendskab til it-landskabet i organisationerne. I øvrigt er en grundlæggende forudsætning at kunne håndtere en 0-dagssårbarhed i et system er, at man overhovedet har kendskabet til, at it-systemet eller softwaren anvendes i organisationen.
Dette - manglende kendskab til et system i en organisation - var fx tilfældet ifm. angrebet på energisektoren for nyligt; SektorCERTs prisværdigt åbne rapport om hændelsen afdækkede, at flere af energiselskaberne ikke var klar over, at de blandt systemerne havde en Zyxel firewall. Det var denne, der viste sig at have en sårbarhed, som blev udnyttet i forbindelse med angrebet.
'Man'= os alle sammen
Tema-artiklen fra Center for cybersikkerhed berører ikke hvem ’man’ er, men som ovenstående tekst antyder, er 'man' os alle sammen – alle, der ejer eller bruger digitale enheder, produkter og løsninger, og som har ansvaret for at holde dem opdateret og sikre, bl.a. når der opdages 0-dagssårbarheder.
Så derfor er temaartiklen relevant for os alle at læse – også selv om de fleste som regel betragter publikationer fra Center for Cybersikkerhed som værende henvendt til det professionelle miljø. Centeret skriver selv om temaartiklen, at den '..kan bruges som en introduktion og baggrund til at forstå problemstillingerne ved zero-day-sårbarheder.'
Men hvis man skøjter henover artiklen, fordi man tror, den kun er relevant for de professionelle, så tager 'man' fejl.
Links:
https://www.cfcs.dk/da/nyheder/2023/ny-temaartikel-om-zero-day-sarbarheder/