LEDER: De it-kriminelle bliver kun stærkere, rigere og dygtigere – sæt hæren ind

Illustration: MI Grafik

Stadigt flere virksomheder vågner op med pistolen for panden, fordi hackere lykkes med at infiltrere deres systemer og installere ransomware og spionprogrammer. For mange er det kun starten på problemerne. For nægter man at betale for ransomware, oplever 80 procent af ofrene, at deres data deles på internettet efterfølgende for at lægge yderligere pres på dem. Og er man først faldet i kløerne på hackere, bruger de gerne virksomheden som it-springbræt til at angribe virksomhedens kunder eller leverandører

Det er klassisk afpresning, det er orga­niseret kriminalitet og folkene bag er dybt professionelle. Det er internet-rockere, der truer danske og internationale virksomheder, men modsat den gængse organiserede kriminalitet aner det danske politi ikke, hvad det skal stille op. Derfor kan politiet for eksempel ikke pege på så meget som én sag mod ransomwareaktører fra dansk side.

Den rungende tomme statistik bevidner, hvor svært det er at komme efter teknisk kompetente modstandere, der gemmer sig bag sofistikeret teknologi, som tillader de kriminelle at skjule deres færden. De kriminelle rammer os fra bagsiden af privacy-månen med teknologier, der oprindeligt er udviklet til at skjule whistleblowere og journalister.

Forestil dig, at virksomheder i Danmark jævnligt blev lukket af af bevæbnede mørke­mænd, indtil de betalte dem for at forlade butikken eller kontoret. Hvor mange tilfælde skulle der til, før det tog dagsordenen på Christiansborg? Hvor mange hospitaler og forsyningsselskaber skulle lukkes af disse professionelle afpressere, før hæren blev sat til at bevogte dem eller drive dem ud? Ganske, ganske få. Alt ville blive sat ind, den slags aktivitet er uacceptabel i et land som Danmark.

Men internet-piraterne stortrives, og som pirater i det gamle Caribien bliver grupperne stærkere, rigere og mere berygtede for hvert succesfuldt plyndringstogt. Det tillader dem at udvikle ny skadelig software, tiltrække nye, dygtige medsammensvorne og købe viden om sårbarheder i it-systemer på det mørke net.

Trods sin bryske og kriminelle natur virker hacking fjern og ukonkret, indtil mørkemændene banker på den digitale dør med trusler om fallit og datalæk af uhørte dimensioner. I sidste uge mistede den danske leverandør af udstyr til leg og fitness Kompan 500 gigabyte data, der blev lagt online efter et ransomwareangreb. Kompan fik lækket pas- og sundhedsoplysninger på selskabets medarbejdere, og det bringer dem i fare for identitetstyveri resten af deres liv, fordi det danske, offentlige system er bygget omkring et CPR-nummer, man ikke bare kan ændre.

Internet-piraternes evne til at skjule sig digitalt gør det svært at handle, men det er ingen undskyldning. Det danske politi har ikke kompetencer eller ressourcer nok til at gøre andet end at råde folk til ikke at betale – med et spinkelt håb om at ødelægge de kriminelles forretningsmodel. Det virker bare ikke, for flere danske virksomheder ser ingen anden udvej end netop at betale, og det samme sker i udlandet. Og hæren kan ikke sættes ind som i den analoge verden, for piraterne sidder hovedsagelig i Rusland og Kina – eller kan den?

Venter vi, til det danske, digitale farvand er fyldt med ubåde, der sænker og plyndrer alt, de kan få ram på, og fortæller vores civile både, at de må blive i havnen, hvis de ikke vil acceptere risikoen? Stævner vores lille flåde ud alene, eller går Danmark i spidsen for en international koalition mod online-pirateri? Internettet er internationalt farvand, og vores skibe lider nød – det bliver kun værre og værre.

I dag må Danmarks digitale hær i Forsvarets Efterretningstjeneste kun deltage i offensive operationer og skabe digital ødelæggelse, hvis vi er i krig, eller Folketinget konkret har taget stilling til den enkelte sag. Udvid rammerne, så vi kan ødelægge ubådsbasen og ramme hackernes infrastruktur på det lyse og mørke internet i ‘fredstid’. For kun et år siden sendte vi faktisk vores analoge flåde til Guinea-bugten for at bekæmpe pirateri som en del af en FN-koalition. Skibene blev hjulpet af hackere fra Forsvarets Efterretningstjeneste, men disse hackere har aldrig i historien fået lov at gå ind alene i fredstid. Det er nødvendigt at rejse en diskussion om, hvorvidt vi skal tillade offensive, digitale aktioner i fredstid, som blandt andre USA har gjort for længe siden.

Måske skyldes numseklisteret under beslutningstagerne under dette bombardement af hackerangreb, at de ikke ved, hvor de skal gå hen. For uanset hvilken løsning man vælger, kan Danmark ikke løse denne slags problemer selv. Det samme gælder så mange andre globale udfordringer – klima, miljø og makroøkonomi løses i EU, der lige nu også er ved at revidere NIS-direktivet, som handler om cybersikkerhed. Vil man som politiker op af stolen og gøre en forskel er det ét sted at lægge kræfterne.

Det er kun et spørgsmål om tid, før det går helt galt, og hackerne opdager huller i vores store samfundskritiske selskaber og organisationer. Hvis det amerikanske forsvarsministerium kan gennemkompromitteres med ét hack, som det skete i fjor med Solar­winds-hacket, kan ingen dansk virksomhed eller organisation føle sig sikker.

Lederen udtrykker Ingeniørens holdning, der fastlægges af vores lederkollegium.

Illustration: Ingeniøren
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

I har ret i jeres vurdering af problemets alvorlighed, men jeres løsningsforslag er naivt og vanvittigt. Hæren kan ikke ramme dem, de ikke kan se, og det er nemt at gemme sig online, så som regel kan man ikke bare hacke hackerne tilbage.

Det vil heller ikke hjælpe at fratage de almindelige borgere deres få muligheder for digitalt forsvar - tværtimod. CPR systemet er et godt eksempel. Det er på høje tid, at det laves om til noget der bedre beskytter borgernes identitet.

For os, der arbejder med it-sikkerhed, virker hacking hverken fjern eller ukonkret, men allestedsnærværende og til tider elegant.

Mange virksomheder tilbyder bounties, hvis de bliver hackede af White hats. Det tilskynder en kultur med høj sikkerhed, hvor vi hjælpes med at finde og lukke hullerne.

Vi må også erkende, at nogle magter kan man ikke forsvare sig mod. Som tidl. israelske pm udtalte: Alt kan hackes. Det bedste forsvar for danske virksomheder er at sikre sig, at omkostningerne ved et hack er højere end udbyttet. I hacker-kredse måles "omkostning" som risikoen for at deres angrebsmetode bliver kendt og hullet lukket, så deres værktøj ikke længere dur.

For de virksomheder der ikke opdaterer og overvåger deres systemer, er omkostningen derfor nul, så hvis de har noget af værdi, kan de forvente at blive hacket.

  • 27
  • 1

Det er kun et spørgsmål om tid, før det går helt galt, og hackerne opdager huller i vores store samfundskritiske selskaber og organisationer. Hvis det amerikanske forsvarsministerium kan gennemkompromitteres med ét hack, som det skete i fjor med Solar­winds-hacket, kan ingen dansk virksomhed eller organisation føle sig sikker.

Det er jo selvfølgeligt rigtigt, men langt fra unikt for danske virksomheder eller organisationer - problemet har været kendt længe, og er rimeligt globalt. IT befinder sig ofte i en eller anden version af en umulig opgave, hvor de ingen ekstra penge får hvis alt kører som det skal, og ellers ses som en udgift uden eksistensgrundlag når tingene stopper med at virke - hvormed de heller ikke får mere end højst nødvendigt til at fikse problemet. Gad vide hvor stort et Hack der skal til, før IT/sikkerhed begynder at blive set som et godt sted at investere nu, for at spare penge senere? Der er trods alt nok en del virksomheder, der reelt set kun er et Hack fra at skulle dreje nøglen om, hvis deres backup viser sig at være problematisk, eller de ikke kan genetablere services hurtigt nok. Ærgerligt der ikke var råd til at teste den slags mens det gik godt, og endnu mere ærgerligt at det viste sig ikke at virke da det gik skidt.

Det er sikkert ringe trøst, men danske virksomheder er næppe mere eller mindre sårbare på det område, end tilsvarende udenlandske virksomheder.

  • 15
  • 0

Det er internet-rockere, der truer danske og internationale virksomheder...Og hæren kan ikke sættes ind som i den analoge verden, for piraterne sidder hovedsagelig i Rusland og Kina

Må gå ud fra, at denne antagelse kommer fra særligt it-kyndige, der har gransket de større, undersøgte angreb. Intuitivt finder jeg det dog lidt ulogisk ene og alene at placere moderne høj-teknologisk kriminalitet øst på i nogle få af de gamle 'usually suspects'-lande.

Hvorfor tiltror man ikke DK og resten af den vestlige verdens organiserede kriminelle kompetance på sådanne områder? Delvist i konkurrence, delvist i tæt samarbejde, evt. på tværs af landegrænserne. Havde jeg været dansk særlig it-kyndig og samtidigt kriminel, ville jeg inderst inde nok være lidt stødt på manchetterne. Vi er et af verdens mest digitaliserede lande. Må åbne op for adskillige interessante forretningsmodeller i den lyssky verden.

  • 9
  • 8

Alt kan hackes.

Nej - kun hvis ét eller andet kæmpe fjols har gjort det muligt, og det er det, der er problemet!

Går vi over 30 år tilbage i tiden til Commodore Amiga 2000, havde man et eksempel på den stort set virus- og hackerfri computer, som basalt set kunne det samme som en Windows PC idag incl. vinduer og fuld multitasking. BIOS kernen, som også indeholdt et DOS system (så langt er dagens PC'er endnu ikke nået), var gemt i en ROM, som kun kunne ændres ved en rent mekanisk udskiftning, og det grafiske operativsystem blev så læst ind fra en 880 kbyte diskette, som derefter kunne fjernes, og som kunne være skrivebeskyttet, og det kunne alle datadisketter også - men så kom softwarenørderne hos Microsoft til med bl.a. DLL helvede, registreringsdatabase og Gbytes af software, som absolut ingen kan overskue og dermed gøre sikkert!

Giv mig bare én eneste grund til at en hjemmeside eller en request fra internettet skal have lov til at kryptere en harddisk uden nogen som helst tilladelse endsige advarsel, at man skal kunne omprogrammere en mus til andet end at være mus (mousejack), eller at en filtype (DOC, PDF etc.) kan indeholde andre typer data eller behandles anderledes, end man forventer! Her var Microsoft også førende med macroer til Word, så det ikke længere krævede ekspertise at lave simple virus.

Man læser gang på gang, at forbrugeren skal passe på ikke at trykke på en usikker link; men internettet er netop baseret på, at man skal kunne klikke sig frem til hidtil ukendt information, så ingen kan vide, hvad der ligger bag næste klik. Det er bare softwarenørdernes forkølede undskyldning for ikke at kunne overskue det, de selv laver, og sikkerheden har de for længt overladt til 3. parts firmaer i form af antivirus software.

Vi ligger som bl.a. Microsoft og vores politikere har redt. Den normale forbruger og virksomhed kan intet gøre, for her er det take-it-or-leave-it; men hvis man var gået sammen i EU og forlangt, hvordan en computer til offentlig brug skal være opbygget i stedet for bare at spørge, hvad Microsoft og andre kan levere som standard, havde problemet ikke eksisteret eller ialtfald ikke i nær så stort omfang. Jeg mindes 56-bit kryptering (DES) til folketinget, fordi Microsoft ikke kunne gøre det bedre, og så måtte man jo tage det!

Det er hamrende naivt at tro, at nogen nogensinde bliver i stand til at overskue Gbytes af software og dermed kan gøre det sikkert, så man kan lige så godt acceptere, at sikkerhed kun kan laves i hardware, og kom ikke at sige, at det ikke kan lade sig gøre, for det var Commodore Amiga et eksempel på, selv om det selvfølgelig kunne det gøres endnu bedre. F.eks. kunne man have en separat sikkerhedsprocessor med software i ROM, der tager sig af al dataskrivning og læsning (BIOS), så bestemte partitioner og stier kan skrivebeskyttes, og man kunne have et grafiksystem med en write-only hukommelse, så man kan lægge sit eget "vandmærke" på som baggrund for alle winduer fra sikkerhedsprocessoren, så ingen hacker kan eftergøre dem. Man kunne også have en nøgleafbryder, som man kun slog til, når man ville installere nye programmer, og chefen kunne have nøglen, så en uforsigtig medarbejder ikke bare gør det i tankeløshed; men absolut intet af den slags kan lade sig gøre på det hamrende ineffektive makværk af en "object building, object disposing", byte moving machine", som vi alle er pisket til at bruge idag.

  • 22
  • 6

Disse hackere operere oftes med et lands velsignelse og beskyttelse, som fx Rusland, da det betragtes som en offensiv kapacitet.

Kan de angribe vores energiforsyning og hvorfor har de ikke gjort det endnu?

Har de mulighed for at hacke ind i fx vindmøller og overtage styringen af dem?

Når det ikke er sket, endnu, skyldes det så at de ikke vil offentligører deres potential?

  • 5
  • 5

Kan de angribe vores energiforsyning og hvorfor har de ikke gjort det endnu?

ved man med sikkerhed, at de ikke har gjort noget i den dur og allerede tjener pænt derpå? Men i stedet for få, store angreb, der lægger storbyer ned på én gang, da mange små diffuse angreb. Evt. via allerede kompromitterede personer hist og her i de relevante organisationer. Ét stort angreb kunne svare til at slagte guldgåsen, da risikoen for effektive modforanstaltninger fra det officielle samfund ville være større?

  • 7
  • 1

Nej - kun hvis ét eller andet kæmpe fjols har gjort det muligt, og det er det, der er problemet!

Går vi over 30 år tilbage i tiden til Commodore Amiga 2000,

Jeg er lidt usikker på, om Amigaens sikkerhed skyldtes fraværet af fjolser eller de manglende muligheder for at sprede et angreb fra maskine til maskine.

Fjolser er uden tvivl noget af forklaringen, ligeså overdrevent sparsommelige typer. Og nogle flere typer af mennesker. Ideen om at alt skal kunne snakke med alt og let skal kunne betjenes af mange, hører nok til fjolse-kategorien. Men kompleksiteten af software har udviklet sig langt ud over, hvad normale ikke-fjolser kan overskue. Dem, der kan overskue det, arbejder med sikkerhed - på begge sider.

Andre problemer skyldes angrebsmetoder, som ingen anede kunne eksistere, da nogle af komponenterne blev udviklet.

Jeg er usikker på Amigaen, men havde den overhovedet noget så basalt som beskyttelse af lageret mod tilgang fra andre kørende programmer?

  • 5
  • 0

Hvad om vi gav FE lovhjemmel til at penteste ikke bare offentligt ejede netværk men også private danske virksomheder?

Det kunne da være med til at styrke det danske "forsvar".

  • 1
  • 4

Jeg er usikker på Amigaen, men havde den overhovedet noget så basalt som beskyttelse af lageret mod tilgang fra andre kørende programmer?

Nej, men det er også næsten lige meget, for det, man skal beskytte, er permanent lager som disketter, harddiskpartitioner og stier, flash-diske, USB-stik etc.; men tag bare det sidste. For over 30 år siden var det helt naturligt, at et datamedie (disketter og harddiske) kunne skrivebeskyttes; men det kan man ikke idag med et USB-stik. På trods af, at sandsynligheden for virus og hackerangreb og konsekvenserne deraf var langt mindre for 30 år siden end nu og grænsende til 0, var sikkerheden betydelig større dengang.

Mærsk anslår, at hackerangrebet kostede dem op mod 1,9 milliarder kr, og det havde været endnu mere, hvis de ikke var blevet delvist reddet af en server uden strøm, som derfor ikke blev ramt. For det beløb kunne man sagtens udvikle den virus- og hackerfrie computer; men dem, der har de økonomiske muskler og/eller køber for milliarder af kr. EDB udstyr (EU) og derfor kan få det, som de vil have det, gør ingenting, og vi andre må bare tage det, vi kan få.

  • 7
  • 3

Nej, men det er også næsten lige meget, for det, man skal beskytte, er permanent lager som disketter, harddiskpartitioner og stier, flash-diske, USB-stik etc.; For over 30 år siden var det helt naturligt, at et datamedie (disketter og harddiske) kunne skrivebeskyttes;

Det er helt forkert. Kan man angribe lageret (ram og swapfil), så kan man hente data ud. Også uden at behøve lagre noget malware på en diskette. Det kan komme via en åben port.

Skrivebeskyttede harddiske er en sjældenhed i dag. Det var de vist også for 30 år siden.

Amigaens sikkerhed er ikke baseret på obscurity, den er baseret på absence of net og absence of hackers.

  • 7
  • 1

Det er helt forkert. Kan man angribe lageret (ram og swapfil), så kan man hente data ud.

Ja; men kun fordi ikke ét eneste program eller system på computere idag advarer, hvis noget sendes ud uden en ordre om at gøre det! Det kunne en sikkerhedsprocessor også tage sig af. Hvis man beder computeren om noget, skal den naturligvis gøre det, men advare ved evt. risici; men humlen er, at computeren ikke skal gøre noget, man ikke beder om, herunder at sende filer ud. Det er jo fuldstændig grotesk, at en computer pludselig begynder at sende måske Gbytes af data ud uden nogen autorisation til at gøre det og uden nogen advarsel.

For servere er det lidt anderledes, da deres opgave netop er at sende data ud på forlangende, så sikkerheden kan aldrig blive 100 %, selv om servere normalt styres og holdes opdateret af kompetente folk. Et datalæk kan selvfølgelig også være alvorligt, hvis data ikke er krypteret og derfor kan bruges af andre; men det er trods alt ikke så alvorligt som f.eks. et ransomware-angreb, der rammer ens permanente lager, så alt bliver ubrugeligt.

Skrivebeskyttede harddiske er en sjældenhed i dag. Det var de vist også for 30 år siden.

Nej, det var standard på bl.a. Digital's PDP-11 computere.

Amigaens sikkerhed er ikke baseret på obscurity, den er baseret på absence of net og absence of hackers.

Nej. Selvfølgelig var der stort set intet net (bortset fra Commodores eget) og ingen hackere dengang - jeg skriver jo netop også, at sandsynligheden for det var grænsende til 0; men en Amiga-lignende computer ville let kunne gøres sikker idag, fordi operativsystemet ikke var/er afhængig af konstant skriveafgang til permanent lager. Det er det, det hele handler om. Hvis et program som default kun har dataadgang ud mod grenene i et filtræ fra et givent punkt, men ikke ned mod roden og op i andre træer, kan man gøre systemet fleksibelt, uden at boot-sektor og andre stier kan rammes, og det kan let sikres med en sikkerhedsprocessor, som ikke kan omprogrammeres, hvilket det også handler om.

  • 4
  • 8

en Amiga-lignende computer ville let kunne gøres sikker idag, fordi operativsystemet ikke var/er afhængig af konstant skriveafgang til permanent lager. Det er det, det hele handler om. Hvis et program som default kun har dataadgang ud mod grenene i et filtræ fra et givent punkt, men ikke ned mod roden og op i andre træer, kan man gøre systemet fleksibelt, uden at boot-sektor og andre stier kan rammes,

Men hvis ikke engang operativsystemet kan skrive til disken, selv om det kører i en priviligeret tilstand, så bliver det nu lidt underligt. Og hvis der ikke er memory protection, så kan et program i lageret skrive til operativsystemet og så er vi atter åbne.

Rent bortset fra de fejl i operativsystemet, der giver lavt priviligerede programmer adgang til for meget, og som vi ikke kender endnu.

Det er ikke på nogen måde let at lave noget helt sikkert (derfor bør man stadig anstrenge sig for at gøre det). En antagelse om, at nu HAR man skabt noget helt sikkert, er at bede om problemer (både fjolser og ikke-fjolser kvajer sig af og til). Desuden skal en computer kunne bruges. Man kan da også sætte f.eks. Windows til at begrænse skriveadgang (og andet) for bestemte filer eller biblioteker. Det har aldrig hjulpet.

  • 3
  • 2

Men hvis ikke engang operativsystemet kan skrive til disken, selv om det kører i en priviligeret tilstand, så bliver det nu lidt underligt.

Hvorfor det?

Hvis jeg f.eks. vil starte Word, starter jeg med at åbne en fil. Det sker idag via en dialogboks, og præcis det samme vil ske på en sikker computer bortset fra, at dialogboksen kommer fra en separat sikkerhedsprocessor, som har den fysiske adgang til harddiskene. Når jeg så ønsker at gemme resultatet, sker det igen via en dialogboks - præcis som idag - blot fra sikkerhedsprocessoren, og samme procedure, hvis der skal sendes data ud på internettet til f.eks. en FTP-server.

Der vil ikke være flere dialogbokse end nu; men forskellen er bare, at intet program kan gøre noget skadeligt uden at gå via dem, og så kan brugeren jo bare klikke nej.

Og hvis der ikke er memory protection

Alle større, moderne mikroprocessorer har én eller anden memory protection; men selv uden den så værsågod, hvis nogen mener, de kan få noget ud af et memmory-dump på mange Gbytes!

, så kan et program i lageret skrive til operativsystemet og så er vi atter åbne.

Nej, for al adgang til permanent lager sker via sikkerhedsprocessoren, så uanset hvad hoverprocessoren måtte gøre, skal det godkendes af brugeren, før det kan volde skade.

Rent bortset fra de fejl i operativsystemet, der giver lavt priviligerede programmer adgang til for meget, og som vi ikke kender endnu.

Humlen er, at intet program kan få adgang til noget nedad i filtræet uden at gå via den sikre dialogboks, så det sker ikke.

Man kan da også sætte f.eks. Windows til at begrænse skriveadgang (og andet) for bestemte filer eller biblioteker. Det har aldrig hjulpet.

Nej, for man kan ikke beskytte noget i software, med mindre det sker i en separat processor, som ikke kan omprogrammeres. Al kryptering, dekryptering, skrivebeskyttelse og fysisk adgang til I/O må ske via sikkerhedsprocessoren.

  • 6
  • 9

Hvis militæret skulle sættes ind, så skulle det da være for at bombe et vist foretagende i Redmond sønder og sammen.

Nu har man i årtier, som Carsten også er inde på, ukritisk bekendt sig til notorisk usikker monokultur fra Microsoft, og i takt med MS så nogenlunde får styr på sagerne, så vælger man at gå i seng med Google og til en vis grad Apple.

Som samfund ligger vi fuldstændig som vi selv har redt - dette må og skal på ingen måde involverere militæret, for hvis først der sendes "atombomber" til højre og venstre i blinde, så er der stor chance for at de opfører sig som en boomerang og ryger lige tilbage i hovedet på os selv.

Nej vi skal træde et skridt tilbage, og lade være med at tilbede internettet som en ny guddom, og derfor dels adskille og isolere systemer og virksomheder, dels genindføre menneskelig interaktion, i stedet for at male os op i en krog med menneskefjendsker og usikre kontruktioner som f.eks. det såkaldte "NemID" og anden læggen alle æggene i en (af amerikanske kapitalinteressere kontrollerede) og kun en kurv.

Der skal ikke føres "krig", men der skal ændres på den fuldstændigt ukritiske måde vi de sidste 20-30 år har smidt barnet ud med badevandet.

Og at Ingeniørens notoriske røde triumfvirat i ramme alvor kan kan foreslå at sætte hæren ind skriger da til himlen.

  • 14
  • 2

Måske skal vi starte med at skrive et nyt vers til Kong Kristian? Det er bedst at gøre det FØR, vi dybdebomber Øresund eller wiper en serverpark i Moskva eller hvor man nu forestiller sig at gøre det.

Jeg er ikke god til poesi, men noget i retning af

hans fingre tastede så fast, at fjendens net og server brast, da sank hver hjemmeside brat, i røg og damp, (skulle det være i halontåger???) backup de skreg, backup hvad reddes kan, hvo stå mod Trines barske mænd (m/k), i røg og hamp (skrivefejl, undskyld).

  • 10
  • 0

Går vi over 30 år tilbage i tiden til Commodore Amiga 2000, havde man et eksempel på den stort set virus- og hackerfri computer, so

Amigaen var NOTORISK for alle sine vira, og der er præcist ingen sikkerhed i AmigaOS. Som i ingen overhovedet, enhver process har lov til at rette i alting. Arkitekturen i AmigaOS er fundamentalt inkompatibel med hukommelsesbeskyttelse, endnu mere end Mac OS 7 og i særdeleshed Windows 3.11. Hele designet er baseret på at kernel-kald ikke kræver et sikkerhedscheck.

Man kan lære meget af Amigaens design, men ikke noget om sikkerhed.

  • 9
  • 1

bringes til at læse om emnet på Version2, hvor emnet er behandlet af kompetente folk ?

Så ville de forstå at placeringen af midlerne til bekæmpelse af de IT-kriminalitet er en væsentlig del af problemet.

De mia. der er hældt i CFCS gør meget lidt gavn, fordi viden og erfaringer herfra, ikke er tilgængelig for private og offentlige virksomheder.

IT-kriminelle findes i alle afskygninger og lande. Langt de fleste er styret af ønsket om berigelse, uden nationale magtinteresser, og derfor helt udenfor forsvarets fokus.

Det er helt fornuftigt at se på hvordan man kan hjælpe til at beskytte private og virksomheder mod angreb fra (IT-)kriminelle. Det er det vi har politiet til, og der ville de penge og resourcer gavne, der nu via CFCS hældes i forsvarets afdeling for skæg og blå briller.

Så er vi slet ikke kommet ind på FE's samarbejde med USAnske efterretningstjenester, der er underlagt krav om at gavne erhvervslivet i USA. På dansk kaldet industrispionage.

  • 6
  • 0

Man kan lære meget af Amigaens design, men ikke noget om sikkerhed.

Du har tilsyneladende ikke fattet en brik af, hvad jeg skriver.

Det drejer sig om at beskytte permanent lager, og det kunne Amigaen i modsætning til en moderne PC. I princippet er det fuldstændig ligegyldigt, hvor meget virus, man får ind i en computer, bare den ikke kan gøre skade og er helt væk, når man slukker for strømmen.

Problemet idag er, at computeren på eget initiativ kan gøre noget, som man ikke forventer. Hvorfor skal det at læse en internetside være forbundet med en større risiko end det at læse en avis? Det, der kommer ind fra internettet, er jo basalt set ikke andet end 7-bit ASCII kode - gud bedre det - som kun kan gøre skade, hvis ét eller andet fjols har gjort det muligt; men den slags fjolser er der desværre mange af hos Microsoft, og det er det, der er problemet - ikke hackerne, som bare udnytter de huller, andre har skabt. Hvis det var umuligt at trænge ind og gøre skade, ville de nok miste interessen.

Jeg har aldrig skrevet, at man blindt skal kopiere Amigaen; men man skal fjerne behovet for, at operativsystemet hele tiden skal have skriveadgang til harddisken, så man kan lade den adgang gå via en sikkerhedsprocessor, som styrer og har al fysisk adgang til permanent lager og til udadgående kommunikation.

  • 3
  • 11

Det er iøvrigt sigende at linket til artiklen placeres ved siden af linket til en Podcast, hvor der berettes om at CFCS nægter at informere Århus kommune om deres undersøgelse af kameraer fra HIK Vision.

  • 4
  • 0

Det er helt fornuftigt at se på hvordan man kan hjælpe til at beskytte private og virksomheder mod angreb fra (IT-)kriminelle.

Vil de råd være andet end at holde computeren opdateret og benytte antivirusprogrammer - og så selvfølgelig lade være med at klikke på usikre links selv om end ikke en ekspert på forhånd kan vide, om en link er sikker eller ej?

Så længe adgangen til permanent lager og udadgående kommunikation kun er beskyttet af software, kommer man aldrig problemet til livs, og det bliver bare værre og værre, efterhånden som alt skal ske i en sky på den anden side af jordkloden, og programkomplekserne bliver større og større og dermed sværere at overskue og teste.

  • 5
  • 4

Det er hamrende naivt at tro, at nogen nogensinde bliver i stand til at overskue Gbytes af software og dermed kan gøre det sikkert, så man kan lige så godt acceptere, at sikkerhed kun kan laves i hardware, og kom ikke at sige, at det ikke kan lade sig gøre, for det var Commodore Amiga et eksempel på, selv om det selvfølgelig kunne det gøres endnu bedre.

Det betyder ikke meget hvor store programmerne er, for hvis det skal være sikkert, så skal det være sikkert, selvom ingen kan overskue noget. Med et godt operativsystem - eventuelt sammen med hardware - er muligt at opnå et sikkert system. Det kan opnås på to måder - ved hjælp af hardware (hardwaren skulle være lavet til det på f.eks. PC'er), eller ved hjælp af in-time compiling hvor hele hardware definationen er del af operativsystemet, og hele sikkerheden er i operativsystemets akitektur - in-time compileren nægter ganske enkelt at oversætte noget, eller at tage imod kode, som ikke må udføres.

Vi er enige om, at Windows operativsystemets er udviklet med henblik på at skulle hackes, og at det er årsagen til, at alt er lavet så uoverskuelig. Og sjov nok, har man forsøgt at sælge dette som at være sikkerheden, og enhver overskuelighed,at være et hackbar hul der manglede at blive lukket.

  • 0
  • 5

Re: I har ret i jeres vurdering

Men hvis ikke engang operativsystemet kan skrive til disken, selv om det kører i en priviligeret tilstand, så bliver det nu lidt underligt.

Hvorfor det?

Hvis jeg f.eks. vil starte Word, starter jeg med at åbne en fil. Det sker idag via en dialogboks, og præcis det samme vil ske på en sikker computer bortset fra, at dialogboksen kommer fra en separat sikkerhedsprocessor, som har den fysiske adgang til harddiskene. Når jeg så ønsker at gemme resultatet, sker det igen via en dialogboks - præcis som idag - blot fra sikkerhedsprocessoren, og samme procedure, hvis der skal sendes data ud på internettet til f.eks. en FTP-server.

Der vil ikke være flere dialogbokse end nu; men forskellen er bare, at intet program kan gøre noget skadeligt uden at gå via dem, og så kan brugeren jo bare klikke nej.

Og hvis der ikke er memory protection

Alle større, moderne mikroprocessorer har én eller anden memory protection; men selv uden den så værsågod, hvis nogen mener, de kan få noget ud af et memmory-dump på mange Gbytes!

, så kan et program i lageret skrive til operativsystemet og så er vi atter åbne.

Nej, for al adgang til permanent lager sker via sikkerhedsprocessoren, så uanset hvad hoverprocessoren måtte gøre, skal det godkendes af brugeren, før det kan volde skade.

Rent bortset fra de fejl i operativsystemet, der giver lavt priviligerede programmer adgang til for meget, og som vi ikke kender endnu.

Humlen er, at intet program kan få adgang til noget nedad i filtræet uden at gå via den sikre dialogboks, så det sker ikke.

Man kan da også sætte f.eks. Windows til at begrænse skriveadgang (og andet) for bestemte filer eller biblioteker. Det har aldrig hjulpet.

Nej, for man kan ikke beskytte noget i software, med mindre det sker i en separat processor, som ikke kan omprogrammeres. Al kryptering, dekryptering, skrivebeskyttelse og fysisk adgang til I/O må ske via sikkerhedsprocessoren.

Vi er enige. Hvis operativsystemer er 100% sikkert, så kan sikkerhedsprocessoren være en del af operativsystemet. Men, det kan være svært at bevise, at operativsystemet er sikkert.

Normalt er også nødvendigt, at programmerne kan have et lille stykke af harddisken selv. Men, vi er enige om, at hvis der skal hentes data udenfor programmets eget område, som det selv styrer, og ingen andre har adgang til, så skal det gå via en "sikkerhedsprocessor", og kun den pågældende fil overføres til programmet.

Derudover er også nødvendigt med større sikkerhed for operativsystem drivere, end der haves i dag. Bruger man ikke en driver, skriver f.eks. ikke ud på printeren, så må dens kode naturligvis ikke have betydning. Og, det er en fordel, at kunne konfigurere drivere, så de kun har de fysiske adgange, som giver mening. En printerdriver til en printer forbundet til USB porten, og som ikke skal have netværksadgang, må ikke kunne få netværksadgang. Drivere har en type for deres funktion, hvor kun de nødvendige hardware adgange er mulige. En netværks printer driver, må derimod gerne få netværks adgang, men kan være begrænset til bestemte protokoller, og til at ikke kunne anvende internet. Udover, at der er faste typer, med fastlagte hardware adgange, der ikke kan ændres, kan også være en fordel med mulighed for at selv opsætte typer, hvor man selv kan bestemme hvilke hardware og software adgange der haves.

For et program, bør man også kunne opsætte hvilke adgange det bør have - f.eks. behøver et kontorprogram måske ikke at have netværksadgang uden at gå via sikkerhedsprocessor, og behøver ikke adgang til webcam eller internettet, mens en IP-videotelefoni program type, skal have adgang til både webcam og internet.

En god datasikkerhed er dropbox princippet, hvor man kan få adgang til sine filer tilbage i tiden. Skulle man derved selv få noget slettet, eller rettet forkert, så er muligt at gå tilbage i tiden, og hente den tabte fil frem til nutiden.

  • 0
  • 5

eller ved hjælp af in-time compiling

Anvender operativsystemet in-time compiling, og garanterer sikkerheden ved denne compiling, og findes ingen mulighed for at få adgang til CPU'en uden om operativsystemets in-time compiler og hardware oversætter, så kan man også sætte krav til det grundlæggende sprog der bruges, f.eks. at det er deterministisk. Dette vil udelukke mange fejl i programmer. Er nødvendighed for tilfældigheder, kan de betragtes som en ekstern enhed, så programmets type skal opsættes, så der haves adgang til en tilfældighedsgenerator, f.eks. opsættes som "game", ellers kan programmet kun fungerer 100% deterministisk. Endeligt, er det en fordel, at man kan sammenkæde programmer der er lavet efter eksakt samme specifikation, og som fungerer ens, således operativsystemet kan udelukke programmeringsfejl. Denne udviklingsmetode udelukker menneskelige fejl ved implementering af software, og udelukker hacker bagveje og enhver fejl, der ikke direkte står klart specificeret i kravspecifikationen.

  • 0
  • 5

Alle de større ramte virksomheder har (formentlig) haft en BU-strategi som skulle sikre dem mod ethvert nedbrud, uanset årsag. Men pga. inkompetente EDB håndværkere er systemerne sårbare og derfor upålidelige. En væsentlig årsag til denne sårbarhed er at alle Harddiske er online. En Harddisk som er on-line er sårbar. Derfor er harddiskene med BU OGSÅ sårbare. Da Mærsk blev ramt af ransomware blev de delvist reddet af et strømnedbrud i et enkelt land. Disse harddiske var Off-line, og var derfor ikke ramt af ransomware. Hvis dette strømnedbrud ikke havde været der så havde Mærsk været i endnu større problemer. Min BU strategi: Kloner mine data fra en fysisk harddisk til en anden fysisk harddisk. BU harddisken bliver lagt ned i en gammel skotøjsæske, så den er helt sikkert Off-line. Kloneboksen er købt i Aldi for mange år siden for 500 kr. Min anbefaling er derfor at gemme BU i en tilstand hvor den er Off-line og slukket. Hvor svært kan det være ? Hvorfor er EDB håndværkerne så dumme - spørger jeg en smule provokerende.

  • 3
  • 4

Hvis dette strømnedbrud ikke havde været der så havde Mærsk været i endnu større problemer. Min BU strategi: Kloner mine data fra en fysisk harddisk til en anden fysisk harddisk. BU harddisken bliver lagt ned i en gammel skotøjsæske, så den er helt sikkert Off-line. Kloneboksen er købt i Aldi for mange år siden for 500 kr. Min anbefaling er derfor at gemme BU i en tilstand hvor den er Off-line og slukket. Hvor svært kan det være ? Hvorfor er EDB håndværkerne så dumme - spørger jeg en smule provokerende.

Hvis det væsentlige er at sikre data, og det er af mindre betydning de er hemmelige, så kan man eventuelt kombinere din metode med dropbox. Ved dropbox får du sikkerhed, fordi at dine data fysisk gemmes et helt andet sted, og de gemmer også automatisk backups af alt. Skulle det blive slettet, overskrevet, eller manipuleret med en virus, eller personer der får adgang til en computer legalt eller ej, vil de gamle versioner blive liggende, og du kan gå ind, og gå tilbage i tiden, og du kan også se hvilken bruger konto der er brugt til at manipulere eller ændre data, og dermed konto der måske har fået virus, eller er utilsigtet adgang til. Din offline kopi svarer lidt til dropbox, men har den fordel, at den er offline, og selvom der bruges dropbox, er det en god idé at kombinere med. Dropbox har den fordel, at du kan gå tilbage i tiden, og hente gamle udgaver hvis de skulle blive overskrevet, og at det er nemt at sammenligne og se hvilke data der er ændret. Er det kode, så er git også et godt supplement, der kan sammenlignes med dropbox, men mest er for tekst eller sourcekode. Er det hemmelige data kan du eventuelt gemme en kopi på dropbox af data, efter du har krypteret dem.

  • 2
  • 3

Et af problemerne er jo at politiuddannelsen er håbløst forældet.

Man uddanner stadigt folk til at jagte tasketyve...

Gør som de har gjort i USA i snart 100 år, tag nogle akademisk uddannede mennesker og giv dem en politiuddannelse oven i.

Det er fint nok at man har nogle eksperter på sidelinjen der kan den slags, men det bliver først godt, når personerne både har fuld teknisk og efterforskningsmæssig kompetence.

  • 7
  • 0

Et af problemerne er jo at politiuddannelsen er håbløst forældet.

Man uddanner stadigt folk til at jagte tasketyve...

Det ville forklarte politiets ulyst til at gøre noget ved "småting" på nettet (f.eks. afpresningsporno m.v., som fylder en hel del for tiden). De har (???) for få folk, der kan finde rundt i sådan noget, og hvis en almindelig (undskyld udtrykket) kriminalbetjent skal efterforske it-relateret kriminalitet, vil han bruge mange timer uden at komme nogen vegne. Så sagerne bliver hurtigt henlagt (politichefer ligner nok andre chefer).

Det var min fornemmelse, da jeg for en del år siden anmeldte en åben opfordring til mord. Det var ikke en politisag, hed det. Jeg skrev så til nogen i Købehanvn (Rigspolitiet tror jeg), som så ringede til det lokale politi med besked om at det kunne de ikke tillade sig at henlægge. Hvorefter en fortvivlet betjent ringede tilbage, at nu havde han fået indhentet logfiler, men han kunne ikke hitte rede i dem. Det er så også uden for mine kompetencer. De manglede i hvert fald den gang folk der kan den slags.

  • 4
  • 0

Åh ja, ledelsen er inkompetent, så lad os endelig sparke nedad :-(

Kommentar til # 34. Et firmas ledelse har sjældent den store EDB indsigt. Så det er et arbejde de overlader til specialister, eller specialistfirmaer. Bauhaus er også ramt af ransomware. Bauhaus udtalte efterfølgende: "Vi troede at vi HAVDE sikret vores data pålideligt. Men det viste sig ikke at være tilfældet". Et sikkerhedsfirma som ikke magter at tage højde for ransomware er ikke sin opgave voksen". Derfor min kritik af fagligheden hos de medarbejdere og EDB firmaer som ikke magter denne opgave.

  • 2
  • 3

Og selvfølgelig skal Danmark deltage og ramme fjenden hvor det gør ondt.

Kommentar til # 37. Ovenstående er en absurd udtalelse. Det er umuligt at "føre krig" imod en fjende som du ikke kan se, og som du ikke ved hvem er. Det bedste du kan gøre er at sikre dig, så du er (næsten) usårlig. Har været nødvendigt at tilføjet (næsten) for dit forsvarsværk kan have små sprækker. Men ingen tvivl om at det kan gøres meget bedre end de standardløsninger som "sikkerhedsfirmaer" i dag kan tilbyde.

  • 5
  • 1

Et sikkerhedsfirma som ikke magter at tage højde for ransomware er ikke sin opgave voksen.

Se det kan vi ikke være uenige i.

Derfor min kritik af fagligheden hos de medarbejdere og EDB firmaer som ikke magter denne opgave.

Vi kan også godt være enige i at at der er nogen EDB firmaer som ikke er deres opgave voksen, men det er et ledelses (og kultur) problem - det er noget bull**** at sparke nedad og klandre håndværkerne, de gør i det store hele det de får ordre til.

Vil du også give håndværkerne skylden for Bach-gruppens svindlerier?

Man kan så også sige, i forlængelse af hvad Martin skriver (#35), at der helt sikkert er mange skarpe medarbejdere hos cfcUs, men de befinder sig desværre bare i en organisation som er fatalt misforstået.

  • 2
  • 0

Kommentar til # 37. Ovenstående er en absurd udtalelse. Det er umuligt at "føre krig" imod en fjende som du ikke kan se, og som du ikke ved hvem er.

Hvis du lige læser linket om kapere, så rammer kaperkrig netop den civile økonomi. Hvis man ikke kan ramme fjenden, så rammer man fjendens økonomi.

Så det er ikke en absurd udtalelse i den forstand.

Den er absurd fordi vores økonomi er langt større og derfor mere sårbar. Så vi er ikke interesserede i sådan en krig.

  • 2
  • 0

Der findes et udvalg inden for Dansk Standards, der beskæftiger sig med standardiseringen for energisektoren (smart grid). Jeg er den eneste i Danmark, som beskæftiger sig med sikkerhedsstandardisering for el-sektoren. En opgave jeg umuligt kan overkomme. Her et hul i vor cybersikkerhed for vor kritiske infrastruktur, som ingen, heller ikke Dansk Standard, vil vedgå. Det bliver fuldstændigt ignoreret af CFCS.

Det ville være rart, hvis nogle raske svende fra Hæren kunne hjælpe til.

  • 4
  • 2

Gør som de har gjort i USA i snart 100 år, tag nogle akademisk uddannede mennesker og giv dem en politiuddannelse oven i.

Det er ikke ualmindeligt, at politifolk i Danmark har gymnasiel/HTX uddannelse, plus uddannelse i politiet. Man kan også blive politimand med erhvervsuddannelse som baggrund, eller politikadet.

Forsvaret har også uddannede akademikere og ingeniører.

Selvom jeg mener den amerikanske TV-krimiserie "numbers" er vildt overdrevet, så er ingen tvivl om, at der godt kan bruges personer med højere kvalifikationer indenfor efterforskningen.

  • 1
  • 0

På en måde er jeg egentlig enig i noget af præmissen - der er for få konsekvenser for de kommercielle aktører der afpresser, scammer, spammer osv. Det er et globalt problem, og den slags er svære at løse, så der bliver gjort for lidt ved det.

Det betyder ikke vi skal acceptere dårlig sikkerhed - men helt ærlig, på andre punkter bygger vores personlige sikkerhed i sidste instans på strafferetslige konsekvenser. Vi burde tænke strategisk på at hjælpe lande med indbyggere som angriber os, om de så sidder i Algeriet eller Nigeria eller Rusland, med at komme et sted hen hvor disse personer møder en konsekvens.

  • 0
  • 0

Jeg nævner blot lige for dem som siger at havde firmaet blot haft back up så at problemet ikke så stort, at de fleste firmaer betaler selvom de har gode backup, fordi det er lige så ødelæggende for dem hvis de stjålne data lækkes.

Ergo er det ikke så meget det at få data igen der er det primære, men at undgå at de stjålne data lækkes.

  • 1
  • 0

For at ramme fribytterne skal der ikke bruges hackere, men i stedet fysisk angreb.

Fribytterne nyder dog lokale myndigheders beskyttelse, ligesom fribytterne i Caribien. For det der skader vesten får østen til at stå bedre, og da der samtidig kommer hård valuta til landet, så bliver alle i øst reelt rigere, ihvertfald målt samfundsøkonomisk.

Så det er en svær en, medmindre der etableres en FN Anti-hacker specialenhed der kan stå for det.

Men når man ikke kunne få Østeuropa med i IMEI nummer blokering af stjålne telefoner, da det ville ramme dem hårdt økonomisk, så får man heller ikke hverken Kina, Rusland eller Nordkorea med på en sådan enhed.

  • 1
  • 0
Bidrag med din viden – log ind og deltag i debatten