Giv os national strategi for it-sikkerhed

Både angreb og sårbarheder er i vækst, viser tal for informationssikkerheden i 2012. Shehzad Ahmad efterlyser en national strategi på området i denne klumme fra Computerworld.

Shehzad Ahmad, der er chef for det danske Computer Emergency Response Team (DKCERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

45 procent. Så meget steg mængden af sikkerhedshændelser fra 2011 til 2012. DKCERT behandlede over 13.000 hændelser sidste år.

Det fremgår af DKCERT Trendrapport 2012, som snart udkommer. I denne klumme løfter jeg sløret for nogle af nøgletallene og de tendenser, de er udtryk for.

Der var vækst over hele linjen, når vi ser på 2012 i et sikkerhedsperspektiv. Det gælder også den offentlige interesse for emnet.

Tidligere var Computerworld og lignende medier alene om at dække it-sikkerhed. Men i dag modtager jeg henvendelser fra dagspressen, radio og tv, når der for eksempel er en ny sårbarhed i Internet Explorer eller Java.

Den vækst i interessen afspejler en vækst i truslerne.

Sidste år blev der således fundet flere nye sårbarheder end i de foregående år: Med i alt 5.293 nye sårbarheder var der en vækst på 27 procent på verdensplan.

Væksten understreger, at vi i Danmark har behov for en national strategi for informationssikkerhed. Sådan en har vi i DKCERT tidligere efterlyst.

I årets trendrapport peger vi på, hvem vi kan lade os inspirere af: I Norge har fire ministerier i fællesskab lagt en national strategi for it-sikkerhed.

SQL-indsætning bliver udnyttet
Godt en fjerdedel af de nye sårbarheder i 2012 blev fundet i web-applikationer. Dermed fortsætter en tendens, vi har set de foregående år med stadig flere web-sårbarheder.

I 2012 var der en række tilfælde, hvor passwords eller andre fortrolige oplysninger blev lagt ud på nettet.

Kilden var i de fleste tilfælde sårbare websystemer. Eller mere præcist: SQL-indsætning.

Det vil sige, at en programmeringsfejl gør det muligt at indsætte databasekommandoer i for eksempel søgefelter på en webside. Sårbarheden gør, at kommandoerne afvikles, og resultatet vises på websiden. På den måde fik en hacker således fat i brugernavne og adgangskoder til dating-sitet Sex.dk.

Så mit råd lyder: Kig jeres web-applikationer efter i sømmene. Og få lukket de SQL-huller, før ubudne gæster trænger ind gennem dem.

Inficerede servere
Også på et andet punkt spiller webservere en uheldig rolle: Helt legitime servere er med til at sprede skadelige programmer og phishing-sider.

Vi registrerede 1.564 tilfælde i 2012, hvor danske websteder var inficeret med skadelige programmer, som de spredte videre.

Det er en vækst på 46 procent.

Fødekæden i den slags angreb ser således ud:

En webserver har en sårbarhed, ofte i CMS'et (Content Management System) eller udvidelser til det.
En hacker bruger et automatisk angrebsprogram til at finde servere med sårbarheden. Når den sårbare server er fundet, bliver der installeret et program på den.

Programmet ændrer på de sider, der vises til webstedets besøgende.

Typisk indføjes der en linje, der henter data fra et eksternt websted med en Iframe-kommando.

Når man besøger webstedet, hentes den usynlige Iframe ind.

Den indeholder en side, der afprøver en række kendte sårbarheder i browseren eller udvidelser som for eksempel Flash Player eller Java.

Hvis blot en af sårbarhederne er til stede, bliver pc'en inficeret med et skadeligt program.

Den Iframe, som afprøver forskellige angrebsmetoder, vil som regel henvise til en server med et såkaldt exploit kit.

Angribernes pakkeløsning
Et exploit kit er hackerens pakkeløsning: Det er en programpakke, der indeholder angrebsprogrammer (exploits) til en stribe sårbarheder.

Sikkerhedsfirmaer er enige om, at der var en klar vækst i exploit kits sidste år.

Det mest omtalte hedder Blackhole, men der er mange andre på markedet.

At exploits er udbredte fremgår også af, at de udgjorde 8,6 procent af de skadelige programmer, som F-Secure fandt på danskerens pc'er sidste år. Tidligere har andelen ligget under tre procent.

Svindel med phishing
Det er dog ikke altid, at bagmændene lægger skadelige programmer på den sårbare webserver, de finder frem til.

I nogle tilfælde bruger de den bare som webserver: De lægger falske websider ind på den til brug i phishing-svindel.

Den slags hændelser behandlede vi 1.211 af sidste år. Det er kun en stigning på 13 procent i forhold til 2011.

Der er dog ingen sammenhæng mellem, hvor en phishing-side fysisk er placeret, og hvem den er rettet mod. Vi har således set en stor mængde phishing-mails, der angiver at komme fra Skat. De indeholder links, der fører til servere rundt om i verden, som bagmændene har lagt deres falske Skat-websider ind på.

Hver fjerde er sårbar
Det stigende antal sårbarheder i websystemer passer godt sammen med de sårbarheder, der findes ude på de servere, der er i drift. Det fremgår af resultaterne fra vores scanninger af computere på Forskningsnettet.

I alt fandt vores scanninger sårbarheder på næsten hver fjerde af de computere, der svarede på scanningen.

På de sårbare IP-adresser lå der i gennemsnit 9,4 sårbarheder. Tre ud af fire sårbarheder lå i websystemer.

Der kommer mange flere tal og statistikker om it-sikkerhedssituationen i Danmark, når DKCERTs Trendrapport 2012 udkommer inden længe.


Oprindelig offentliggjort i Computerworld og på Computerworld Online den 8. februar 2013

LINKS

Keywords: