24.09.2018

”Sikkerhed er et meget asymmetrisk spil. De gode skal dække alle baser altid. De onde skal bare finde ét hul én gang for at finde guld. Regeringer er mere forbundne nu, end de nogensinde har været. De har en enorm angrebsflade. Uanset hvor godt du forsvarer den, kommer du i sidste ende til at få sikkerhedsbrud.”

Interview af Simon Bækgaard

RÆSON: Hvordan har malware [skadelig software, red.] udviklet sig som fænomen over de sidste ti år?
BOTEZATU: En af de første ting, der har ændret sig, er forekomsten af malware. For ti år siden eksisterede der måske seks millioner stykker malware. Nu er vi tættere på 800 millioner, og vækstraten er et sted mellem 3-400.000 nye stykker malware hver eneste dag. Landskabet har ændret sig dramatisk, fordi internettet har gjort det muligt at tjene penge på malwaren. Tidligere var der en håndfuld stykker malware, som ikke kunne gøre så meget skade, fordi de angreb isolerede computere. De ville nedlægge og inficere disse computere, men der var intet datatyveri eller -udsivning.

En stor milepæl var i 2014, da en ny stamme af malware opstod – ransomware – som er en af de mest udbredte typer i dag. De første, der brugte den, var et hold cyberkriminelle, som opererede under navnet CryptoLocker. De inficerede en given computer, krypterede alt på den og viste en meddelelse, der bad brugeren om at betale det, der svarer til 300 dollars i bitcoins til en bestemt digital pung, hvorefter de ville dekryptere informationen. De var så aktive, at de indsamlede over 28 millioner dollars på kun fire måneder. Denne enorme sum penge for en cyberkriminel bande var et levende bevis på, at man kan leve af krypto-ransomware, og kort efter begyndte rigtig mange andre at gøre det. Vi så fx malwarebander specialiseret i banksektoren, som flyttede til ransomware, fordi det var mindre risikabelt. Det involverede ikke fysisk kontakt med hæveautomater eller andre svage punkter, hvor du kunne blive opsnappet af politiet. At trække penge ud var meget lettere på grund af bitcoins opståen.

Fra da af brød helvede løs. Nu, næsten seks år efter den første stamme af ransomware, ser vi omkring femten nye typer dukke op på markedet hver måned. Ud af disse bliver kun ca. 10 pct. dekrypteret uden at betale pengene, fordi de har nogle fejl, som gør det muligt for os at genskabe nøglen. Oversigtsskøn hævder, at krypto-ransomware har en påvirkning på næsten to milliarder dollars om året, så det er en enorm omsætning for skurkene, og de bliver ved med at lave ransomwaren mere effektiv og konkurrencedygtig.

Sidste år identificerede vi en stamme af ransomware, der hedder Goldeneye eller NotPetya, som var ransomware i forklædning. Det var faktisk en måde at levere et cybervåben til et land og stadig forklæde det som et kommercielt angreb. NotPetya krypterede ikke bare al informationen, men forhindrede, at computeren startede op. Firmaer som Mærsk blev ramt, og genoprettelsen var meget svær og tog flere måneder. Det viser, at cyberkrigsførelse faktisk er en langt lettere måde at invadere et land end at gøre det med tropper eller ved militær styrke, fordi den slags aktiviteter er synlige fra en satellit. Et cyberangreb mod en virksomhed efterlader ingen spor. Det skaber meget tvivl, og det er meget svært at tilskrive en statslig aktør.

RÆSON: Hvordan har vores forsvarsmekanismer udviklet sig for at møde disse nye trusler?
BOTEZATU: Ransomware er en type malware, man ikke kan bekæmpe efter en infektion. Under meget sjældne omstændigheder kan man dekryptere dataene uden at betale pengene, men sædvanligvis er forebyggelse det eneste, man kan gøre mod ransomware. Som sikkerhedsvirksomhed har vi først og fremmest arbejdet på at skrive så meget om ransomware og lægge så meget vejledning ud som muligt, så folk ikke vil blive ofre for det. Vi har instrueret dem i at bruge antivirusprogrammer, blive vant til at tage backups, så selv hvis vores eller nogle af vores konkurrenters beskyttelse fejler i ét sekund, og folk bliver inficeret, kan de starte fra backup i stedet for at betale skurkene. For hver gang du betaler, hjælper du faktisk ransomwaremiljøet med at tjene penge på din fiasko og finansiere den næste runde forskning og udvikling af malware.

 

For hver gang du betaler, hjælper du faktisk ransomwaremiljøet med at tjene penge på din fiasko og finansiere den næste runde forskning og udvikling af malware
_______

 

RÆSON: Det virker som om, der ikke er meget, vi kan gøre ved ransomware – at vi ikke kan være 100 pct. sikre udover at tage backup?
BOTEZATU: Ransomware opfører sig anderledes end det meste andet malware. En spambot skaber indkomst, så længe den inficerer din computer, så dens effekter kommer kun til udtryk, mens spambotten kører. Hvis du bliver inficeret af en spambot, kommer du til at sende e-mails i ti minutter – efter det identificerer jeg [som antivirusfirma, red.] malwaren, fjerner det, og så stopper det hele der. Ransomware kører derimod én gang på din computer, krypterer alt, og du kan detektere det og fjerne det, men dine data vil stadig være krypterede. Et antivirusprogram taber denne kamp. Hvis du bliver brudt ned i ét sekund, er du nedlagt for evigt.

Selvfølgelig sidder vi ikke bare og venter på, at katastrofen rammer – vi har udviklet proaktive teknologier imod dette scenarie. Vi har en anti-ransomware-feature, som overvåger bestemte mapper. Fx skal min dokumentmappe ikke tilgås af noget program, der kører på computeren. Hvis antivirusprogrammet opdager det, vil det nægte adgang, fordi det sandsynligvis er et krypto-ransomware-angreb mod den mappe. Så selv hvis resten af din computer bliver offer for ransomware, vil den ikke være i stand til at skrive i de mapper, du har udpeget som sikre.

Derudover bruger vi i stadig højere grad adfærdsbaserede teknologier, der virker således: Et ukendt program får lov til at køre, men hver operation, det foretager på computeren, bliver inspiceret nøje. Når vi opdager, at programmet forsøger at interagere med operativsystemet på en potentielt usikker måde, får det strafpoint, men har stadig lov til at fortsætte. Vi stopper programmet, når det overskrider et bestemt antal strafpoint, for så er programmet sandsynligvis i gang med en serie ondsindede operationer, og det er derefter for risikabelt at lade det fortsætte. Idéen om adfærdsmæssig beskyttelse er uovervindelig, fordi det ikke reagerer på kendte eller ukendte koder, men på programmets opførsel på min computer. Hvis nogen prøver at røre mig, er det måske en venlig gestus, men hvis han hiver pungen op af min lomme, er han med sikkerhed en tyv, og så stopper jeg ham. Det virker, og vi har haft relativt gode resultater med denne teknologi. Dog er adfærdsteknologi sædvanligvis det sidste forsvarsværk, fordi det er meget ressourceintensivt, så det gør ting langsommere.

RÆSON: Hvem skal være bange for malware?
BOTEZATU: Sidste år var der en enorm vækst i Bitcoins værdi, som toppede på næsten 20.000 dollars i december, og siden november har hackere helt sikkert skiftet fra at lave ransomware til forbrugere til cryptojacking for forbrugere. Cryptojacking er en teknik, hvor man miner [validerer kryptovaluta-transaktioner for betaling i samme valuta, red.] digitale valutaer ved at bruge ofrets computer. Så ofrets computer laver hele arbejdet, men pengene går til de kriminelle.

Ransomware har ændret sig, siden forbrugere er begyndt at blive angrebet af cryptojacking, da det har flyttet sig til virksomheds- og regeringssiden. Nu ser vi ransomware, der er optimeret til at inficere store netværk. Af disse netværk vil jeg nævne sundheds-, transport-, uddannelses- og telekommunikationssektorerne, som er de mest angrebene netværk, fordi de afhænger dramatisk meget af data. Der er forskellige grunde til at søge at angribe netop dem. Med sundhedssektoren er det åbenlyst: Du kan ikke operere personer, hvis du ikke har deres journaler, fordi så ved du ikke, hvad de er allergiske over for, hvilken blodtype de har og så videre. Så hvis patientens journal er blevet krypteret, vil du betale et hvilket som helst beløb for at få den information tilbage. NHS [National Health Service, red.] i Storbritannien har, så vidt jeg ved, haft flest ransomware-angreb nogensinde, og der er ikke en måned uden en nyhedsartikel, der siger, at NHS er blevet offer for ransomware. Telekommunikation er essentielt for virksomheder og samfundet, så endnu engang gælder det, at hvem end der bliver inficeret, betaler. Uddannelsessektoren bliver normalt forsøgt angrebet, fordi de har en stor angrebsoverflade og meget lidt personale til at håndtere disse slags angreb.

Vi har opdaget, at ransomware normalt inficerer én computer med en spredningskode til at hoppe fra en arbejdsstation til en anden, indtil den kompromitterer hele netværket. Ransomware er stadig konkurrencedygtigt, men det har flyttet sig til virksomhedssiden, måske fordi vi er lykkedes med at uddanne folk. De er stoppet med at betale så meget, som de plejede. Nu er hackere rykket videre til institutioner, fordi de bliver nødt til at få deres data tilbage, koste hvad det vil.

 

Uanset hvor godt du forsvarer [angrebsfladen], og uanset hvilken anti-malware-sikkerhedsløsning du installerer, kommer du i sidste ende til at få sikkerhedsbrud. En sikkerhedsløsning kan ikke tilbyde 100 pct. beskyttelse
_______

 

RÆSON: Er det rimeligt at sige, at næsten ingen regeringer gør nok for at beskytte dem selv imod disse trusler? Hvad kan de gøre?
BOTEZATU: Sikkerhed er et meget asymmetrisk spil. De gode skal dække alle baser altid. De onde skal bare finde ét hul én gang for at finde guld. Husk på, at regeringer er mere forbundne nu, end de nogensinde har været. De har API’er [software, der fungerer som grænseflade mellem ét stykke software og et andet, red] sat ud, som snakker med andre services, fx finansministerier og banker. De har afdelinger, der strækker sig ud over landets grænser. De har cloud services, de har e-mail, de har slutpunkter inde i regeringsbygninger. Det er en enorm angrebsflade. Uanset hvor godt du forsvarer den, og uanset hvilken anti-malware-sikkerhedsløsning du installerer, kommer du i sidste ende til at få sikkerhedsbrud. En sikkerhedsløsning kan ikke tilbyde 100 pct. beskyttelse.

I gennemsnit bør en virksomhed bruge ca. 30 pct. af sin omsætning på sikkerhed, så hvis du bruger mindre end det, gør du det nok forkert. Dog er sikkerhed oftest en af de laveste prioriteter – især i et regeringsmiljø, hvor du skal gøre folk glade inden næste valg. Selv hvis sikkerheden dækker det tekniske aspekt, beskytter det ikke mod menneskelige fejl, som er hovedårsag til omkring 80 pct. af alle angreb. Så udover at bruge penge på teknologi til at dække dine baser, skal du også bruge penge på at uddanne folk og hjælpe dem til at forstå, hvad phishing [når folk snydes til at udlevere fortrolige oplysninger som passwords via mail, red.] er, hvordan man undgår det, og hvordan man skal rapportere forsøg på det.

RÆSON: Folk taler om stormagter med hensyn til militær magt, men hvis vi ser på cyberkrigsførselskapabiliteter, hvem er så verdens stormagter?
BOTEZATU: De samme. Cyberkapabiliteter er begrænset til en håndfuld stater. Hvis jeg skulle spekulere, ville jeg sige, at det er USA, Rusland, Kina, Israel og måske Storbritannien. Det er de vigtigste spillere på cyberkrigsscenen.

RÆSON: På hvilken måde har de kapabiliteter? Støtter de hackergrupper, eller ansætter de hackere selv?
BOTEZATU: De udvikler sandsynligvis deres egne operationer som en forlængelse af traditionel krigsførelse, fordi cyber nu er den femte dimension i krig efter land, himmel, rum og hav.

Bare tænk tilbage på Rusland-Ukraine-hændelsen. Den er det bedste og mest komplekse eksempel på en stedfortræderkrig, og hvis den konflikt var sket i 1960’erne, ville det have lignet en klassisk krig med kampvogne og så videre. Det er der intet behov for nu. Dette var solidt bevis på, at du kan invadere et naboland gennem en stedfortræderkrig. Du kan nedlægge dets infrastruktur.

RÆSON: Så russerne brugte også cyberkrigsførelse under Ukrainekrisen?
BOTEZATU: Ja. Det er meget mere bekvemt. Med ”det” mener jeg omfanget, fordi cyberkrigsførelse ikke efterlader spor, det kan ikke tilskrives nogen bestemt, så selv hvis du antager, at der er et land bagved, kunne du tage fejl. Det skaber mistillid og sætter meget pres på din udenrigsafdeling. Cyberkrigsførelsens effekter er lige så virkelige som effekterne af selve krigen. At nedlægge en suveræn stats infrastruktur, at skære i forsyninger, at øge et lands afhængighed af dine egne ressourcer, når deres netværk ikke kan håndtere det – det er ødelæggelse. Det mest effektive, du kan gøre, ville være at tage strømmen på tværs af et helt land. Det skaber et helvede, fordi intet virker, når der ikke er strøm. Du kan ikke skaffe penge, du taber aktier, og transporten og hospitaler lukker ned. Der var fx et civilt angreb på et kraftværk i Finland i november 2016, som stressede elnettet så meget, at det svigtede og lukkede ned, og folk var efterladt i kulden i midten af den finske vinter. Det har en potentielt katastrofal påvirkning på befolkningen – folk vil dø. Det er utroligt, og det er ikke et filmscenarie længere. Det er den virkelighed, vi lever i.

 

Det mest effektive, du kan gøre, ville være at tage strømmen på tværs af et helt land. Det skaber et helvede, fordi intet virker, når der ikke er strøm
_______

 

RÆSON: Hvad er målet for en regering ved at lukke et land ned på den måde?
BOTEZATU: At udsende advarsler, at lamme økonomien, at skabe muligheder – når dit elnet er lukket ned, fordi et kraftværk ikke virker, importerer du energi fra nabolandene.

RÆSON: Kan det også være indledningen til en invasion?
BOTEZATU: Det er som det typiske bankkup. Når kriminelle angriber en bank, begynder de med at udløse et distributed denial-of-service (DDoS)-angreb på bankens hjemmeside, så hele IT-afdelingen er beskæftiget med det. Men det er bare et røgslør til at købe nok tid til at komme ind i virksomhedens netværk og stjæle pengene, fordi penge er det ultimative mål. DDoS-angrebet er ikke deres førsteprioritet, men det holder folk beskæftiget. På samme måde; hvis du tager strømmen i et helt land, bliver det lettere at komme ind med tanks, fordi alle allerede er gået i panik, folks moral er lav, og hele landet vil bruge mere tid på at få elnettet til at køre end på at forsvare sine grænser.

RÆSON: Bruger statsaffilierede hackergrupper ransomware?
BOTEZATU: Nej, normalt er ransomware forbundet med kommercielle operationer, fordi det skaber indtægt. Der findes mindre undtagelser som NotPetya/Goldeneye, som jeg fortalte om før, som tydeligvis var et cyberangreb forklædt som ransomware, men de fleste avancerede angreb mod regeringer og institutioner prøver at udtrække følsomme oplysninger. Information er det primære, som regeringer leder efter.

RÆSON: Hvis vi træder et skridt tilbage i denne cyber-warfare-diskussion, hvordan er dit syn på det som en politisk slagmark i den internationale politiske arena, og hvordan tror du, det vil se ud om 5-10 år?
BOTEZATU: Der vil være mere fokus på cyber end nogensinde før. Vi ser allerede tegn på, at beskyttere øger deres indsats. Jeg kan give et par eksempler. For nogle år siden, tilbage i Stuxnet-eraen [Stuxnet var et angiveligt amerikansk-israelsk cybervåben, red.] i 2010, identificerede vi Stuxnet, og så var der tre års stilhed. Ingen store cyberangreb, intet der tegnede billedet af en avanceret, vedvarende trussel eller en trussel rettet mod stater. Nu er der omkring 12-13 avancerede og målrettede angreb om året. Og det er kun det omfang, vi er i stand til at opdage. Derudover havde de avancerede angreb for flere år siden altid en eller anden form for signatur fra den gruppe, der styrede dem. Man kunne sige, at APT28 [russisk hackergruppe, red] blev identificeret her, her og her, selv om det var i forskellige lande og industrier. I dag bliver det sværere at lave en sådan en tilskrivning, fordi statsaktørerne ikke bygger denne type avanceret malware internt, men i stedet bruger legitime open source-værktøjer til ondsindede formål.

 

Nu er der omkring 12-13 avancerede og målrettede angreb om året. Og det er kun det omfang, vi er i stand til at opdage
_______

 

Et godt eksempel kunne være ”Netrepser”-kampagnen, som vi identificerede sidste år. Den var lavet med flere forskellige open source-komponenter, der blev brugt af systemadministratorer til at lave backups eller gendanne Windows-passwords. Det eneste, der holdt sammen på det, og som instruerede det til at opføre sig ondsindet, var et lille fragment af kode, der var skrevet i JavaScript, som er meget effektivt og nærmest ikke efterlader sig nogen spor. Det er ligesom en kniv, man kan bruge til enten at skære brød eller til at dræbe nogen med. Det var et godt værktøj, som antivirus-softwaren ikke gjorde nogen indsigelser imod, som ikke påkalder sig opmærksomhed, og som ikke havde nogen hackergruppes signatur, fordi det var blevet lavet af legitime leverandører eller software-udviklere. Det var udelukkende det, at nogen var smarte nok til at stykke det sammen i en avanceret trusselsstruktur, der kunne kontrolleres udefra til skurkenes fordel.

Det har altid være svært at tilskrive nogen et angreb – man blev ofte nødt til at gætte, og man skulle være heldig for at kunne slå helt fast, at et avanceret angreb var begået af en nationalstat. I dag er det umuligt, fordi man på den ene side ikke har nogen cyberkriminelle gruppers signaturer. Det andet advarselstegn er, at avancerede, målrettede angreb – cyberkrigsførelse – ikke er begrænset til en håndfuld nationalstater, der er i stand til selv at udvikle denne trusselstype. Det bliver også tilgængeligt for tredjeverdenslande, fordi det er billigt. Den eneste ressourcekrævende opgave er at målrette det mod folk og bryde gennem den statslige (eller andet essentiel) infrastruktur, man har sigte på, og derefter, hvis man suger store mængder information at have et efterretningshold dedikeret til nøje at lede igennem den stjålne information og kategorisere, hvad der er vigtigt eller ej.

RÆSON: Vil dette udjævne magtbalancen mellem stormagterne og små, mindre magtfulde stater?
BOTEZATU: Nej, jeg tror, det vil sprede kaos, ligesom Nordkorea med atombomben. Man vil få mange flere aktører med cybervåben, og hvis alle fører en eller anden form for cyberkrig, så ender det skidt for alle. Det gør cyberkrigsførelse til en handelsvare.

RÆSON: Er det sandsynligt, at vi kommer til at se et land blive fuldstændig brudt ned og afskåret fra elektricitet inden for 5-10 år?
BOTEZATU: Det er allerede sket. Det var præcis dét, der skete med Goldeneye/NotPetya. Ukraine var offline og sat fuldstændig ud af drift en hel dag. Selvfølgelig kom de hurtigt på fode igen efter angrebet, men det var, fordi det ikke var et vedvarende angreb. Det var bare noget malware, der sivede ind i et land og spredte sig som en skovbrand. Og ikke nok med, at det slog Ukraine helt ud, det ramte også flere andre lande, der havde afdelingskontorer i Ukraine. Ukraines transportsystem i Kiev samt deres lufthavne og kraftværker gik ned. Olieindustrien blev fuldstændig lukket ned. Vi i Rumænien lukkede proaktivt virksomheder, indtil hovedparten af infektionen var drevet over, bare for at være sikre på, at disse virksomheder ikke blev inficeret. ■

 

Man vil få mange flere aktører med cybervåben, og hvis alle fører en eller anden form for cyberkrig, så ender det skidt for alle. Det gør cyberkrigsførelse til en handelsvare
_______

Apropos denne artikel:

Rasmus Emborg: Vi må se i øjnene, at Ruslands gamle imperiedrømme er ved at blive til virkelighed

Jens Ladefoged Mortensen: Trumps toldkrig viser, at tyngdepunktet har flyttet sig væk fra Vesten – hvis det overhovedet findes længere

Vil Silicon Valley redde eller smadre Vesten? Mikkel Vedby med Anders Theis Bolman i Lille Land, Hvorhen

Pâkzâd og Lindstad: Trump indleder en global toldkrig – Norden viser en bedre vej

Interview med Helen Thompson: Her er rationalet bag Trumps tariffer

Tao Bjørn & T. N. Sørensen i RÆSON SØNDAG: Trump tager fejl, hvis han tror, at Kina ikke kan gengælde handelskrigen. Beijing er klar og forberedt til tænderne