Forsvaret strammer regler for USB-nøgler efter hacking i Afghanistan

Forsvaret har strammet reglerne for 'bærbare datamedier' efter angreb på lukket netværk i Afghanistan. Ifølge tre danske eksperter er en USB-nøgle det mest sandsynlige våben i sagen.

Det er stadig et mørklagt kapitel for offentligheden, hvordan et lukket computernetværk med militære hemmeligheder hos de danske styrker i Helmand-provinsen blev infiltreret af malware i 2009.

Men det er sandsynligvis sket gennem en kombination af en USB-nøgle og et stykke malware - ondsindet software - og bagmændene kan meget vel være en udenlandsk efterretningstjeneste. Det fortæller tre danske it-sikkerhedseksperter til Version2.

Teorien styrkes af, at Forsvarets Efterretningstjeneste, FE, til DR2 Deadline oplyser, at reglerne for brugen af 'bærbare datamedier' siden hændelsen er blevet indskærpet.

De tre sikkerhedseksperter understreger over for Version2, at der foreløbigt er tale om spekulationer fra deres side, så længe sagens detaljer står hen i det uvisse. Derfor kommenterer de ikke på den konkrete hændelse.

Læs også: Hackere fik adgang til tophemmelige oplysninger om danske soldater i Afghanistan

Læs også: V: Hackerangreb mod danske soldater skal frem i lyset

Det vides endnu heller ikke med sikkerhed, i hvilket omfang danske soldater kan være blevet bragt i fare af hændelsen, og om fortrolige, militære oplysninger er blevet lækket. Det vil hverken FE eller forsvarsminister Nick Hækkerup (S) indtil videre svare på.

Men det er meget sandsynligt, at malwaren er listet ind på det lukkede netværk gennem et transportabelt, fysisk medie som en USB-nøgle, en dvd eller en cd-rom.

»Det er klart, at transportmedier udgør den største fare, når man taler om lukkede netværk,« siger sikkerhedschef i it-sikkerhedsfirmaet Secunia, Thomas Kristensen til Version2.

Flere forhindringer på vejen

Samme forklaring får man fra sikkerhedskonsulent Peter Kruse fra it-sikkerhedsfirmaet CSIS.

»Hvis jeg skulle udføre det, ville jeg designe koden til at køre automatisk og gemme data på USB-nøglen. Når så nøglen bliver bragt fra det lukkede netværk ud til det åbne, ved offeret ikke selv, at han tager data fra det lukkede netværk med ud. Så han tager måske USB-nøglen med hjem og sætter den i en Windows-pc, hvorefter data automatisk bliver transmitteret videre til en command and control-server (hackernes kontrolmaskiner, red.). Det er det rent teoretiske scenarie,« siger han til Version2.

De tre sikkerhedseksperter peger på flere forhindringer, som gør det til en vanskelig opgave at trænge ind på et lukket netværk, som ikke er koblet til internettet, og derefter skaffe data ud der fra igen.

For det første skal malwaren, der for eksempel kan ligge skjult i et Word-dokument eller en billedfil, flyttes ind på det lukkede netværk. Det kan for eksempel ske ved fysisk at anbringe inficerede USB-nøgler i det område, hvor de ansatte med adgang til det lukkede netværk arbejder.

Når angriberen først er kommet så langt, kræves der oven i det kendskab til den software, der kører på computerne på netværket. Først da ved man nemlig, hvilke exploits det kræver at udnytte sårbarheder i softwaren.

Ifølge Thomas Kristensen er det dog tit et træk ved lukkede netværk, at de ikke kører den nyeste og mest opdaterede software.

»Man kan formode, at man har en konservativ tilgang til opdateringer af softwaren på et lukket netværk. Hvis man har det, så er exploits relativt tilgængelige derude,« forklarer Thomas Kristensen til Version2.

Efterretningstjeneste kan stå bag

Ifølge Thomas Kristensen er det dog, uanset hvad, ikke hvem som helst, der sætter den slags angreb i gang:

»Det er sandsynligt, at en efterretningstjeneste står bag det. Nogle af de her exploits, som udnytter sårbarheder gennem Office-dokumenter eller billedfiler, går for titusindvis af dollars på det sorte marked. Så det er ikke hvem som helst, der gør det,« siger Thomas Kristensen til Version2.

Hvis det er tilfældet, bør forsvaret stramme sikkerheden yderligere, mener sikkerhedschef i Evidon og Version2-blogger Patrick Mylund Nielsen.

»Så har vi grund til bekymring. Det mest effektive, forsvaret ville kunne gøre, er at begrænse ikke bare WAN-adgangen, men al LAN-trafik, der ikke er strengt nødvendig, og sanitere og inspicere al den trafik, der er,« forklarer han i en e-mail til Version2.

»Hvis det virkelig er et lukket netværk, så betyder det, at deres maskiner ikke er tilsluttet nettet, men ikke nødvendigvis, at de ikke er tilsluttet hinanden. Det hjælper meget, men er relativt håbløst, hvis de alligevel kører uddaterede Windows-installationer med fil- og printer-deling aktiveret og så videre,« forklarer Patrick Mylund Nielsen.

Ifølge Peter Kruse har medierne formentlig kun nævnt toppen af isbjerget i dækningen af store sager som Stuxnet-ormen, der angreb industristyringssystemer tilknyttet det iranske atomprogram, og senest spionsoftwaren Flame.

Læs også: Spionprogrammet Flame brugte 80 domæner og var fire år under opsejling

»Vi har kun set en meget lille del af de angreb, der rent faktisk har været. Og helt grundlæggende er det jo blevet meget nemmere for den angribende part i dag sammenlignet med for 20 år siden, hvor den slags oplysninger lå fysisk forseglet i et kælderrum. I dag ligger de på filservere, og hvis der er digital adgang, så er der også adgang til en lækage,« siger sikkerhedskonsulenten.

Forsvarets Efterretningstjeneste (FE) har over for DR2 Deadline bekræftet, at der har været en 'it-hændelse' på et lukket netværk i Helmand-provinsen, og at 'systemer og netværk' er blevet påvirket af episoden. I mindst et andet tilfælde har hackere angrebet forsvarets it-systemer i Afghanistan.

Hverken FE eller forsvarsminister Nick Hækkerup (S) har ind til videre villet komme nærmere ind på, hvilke oplysninger den angribende part har fået fat i fra det lukkede netværk, og i hvilket omfang de kan have bragt danske soldaters liv i fare.

Version2 har siden efteråret 2011 forgæves forsøgt at få både FE og forsvarsministeren til at fortælle mere om cyberangreb mod danske styrker, efter at det norske forsvar sidste år åbnede op og fortalte om konkrete angreb mod norske styrkers it-systemer i Afghanistan.

Læs også: Efter cyberangreb på Norge: Forsvaret tavs om hacking af danske soldater

Opdateret: Indledningen korrigeret, så den nu afspejler, at det endnu er ubekræftet, om der har været tale om en lækage fra det lukkede netværk.

Følg forløbet

Kommentarer (15)

Henrik B Sørensen

eller burde 1. trin på checklisten for en administrator hos Forsvaret eller andre systemer med SÅ vigtig information være at : Fjerne adgang til eksterne lagringsmedier herunder med ikke begrænset til CD/DVD, Disketter, Memory Cards, Memory Sticks ?

Johnny Vestergaard

@Version2 Hvad belæg er der for at i skriver at "en bunke stærkt fortrolige, militære data" er mistet?
Er der overhovedet en historie her? Eller bliver der bare digtet mere og mere på historien i takt med at den bliver vredet gennem de forskellige medier?

Jacob Gorm Hansen

Hvis der er tale om at nogen har besvaeret sig med at komme ind, har de nok ogsaa taget hvad der var at tage. Det er katastrofalt, men ikke specielt overraskende at det danske forsvar mangler kompetencer paa dette omraade.

Mikkel Meister

Hej Jens og Johnny -

Tak for jeres indlæg. I har ret i, at indledningen i artiklen var strammet for meget i forhold til, hvad vi reelt ved lige nu. Den er nu rettet til, så den bedre afspejler den viden om sagen, som DR2 Deadline har gravet frem. Som det også fremgår, er resten af artiklen skrevet ud fra det forbehold, at eksperterne udtaler sig generelt om angreb mod lukkede netværk, og ikke om det konkrete tilfælde.

Vh Mikkel, v2.dk

Lars Tørnes Hansen

Hvis nogen har koblet en trådløs router til det lukkede netværk er det muligvis ikke længere så lukket, hvis f.eks. den trådløs WLAN kryptering er dårlig eller ikke eksisterende.

Så sådan en ekstra router er en ekstra mulighed for at få adgang til computere på et ellers lukket netværk - ud over de allerede nævnte 'bærbare lagermedier'.

Johan S. Larsen

Hvis de kan finde ud af at sætte et lukket netværk op (ikke fordi det er raketvidenskab som sådan), så tvivler jeg temmelig stærkt på de er så dumme at sætte et WLAN op, ihvertfald ikke uden at kryptere det eller sikre det via noget RADIUS server

Lars Tørnes Hansen

Re: Trådløs router

Hvis de kan finde ud af at sætte et lukket netværk op (ikke fordi det er raketvidenskab som sådan), så tvivler jeg temmelig stærkt på de er så dumme at sætte et WLAN op, ihvertfald ikke uden at kryptere det eller sikre det via noget RADIUS server


Jeg er udmærket klar over at deres IT folk er meget kompetente til deres job.

Jeg tænke selvfølgelig på uautoriserede netværksenheder opsat af ikke it-personer.

Der kan godt opstå en kultur, hvor den slags omgå reglerne foretagsomhed er accepteret.

Robert Larsen

De har forhåbentlig noget overvågning så man ikke bare kan indsætte udstyr...forhåbentlig også disablet ubrugte porte i switchen.

Hvis jeg sætter noget til firmaets netværk, så kommer vores admin og tæsker mig...og vi er ikke en efterretningstjeneste.

Lars Tørnes Hansen

De har forhåbentlig noget overvågning så man ikke bare kan indsætte udstyr...forhåbentlig også disablet ubrugte porte i switchen.

Hvis jeg sætter noget til firmaets netværk, så kommer vores admin og tæsker mig...og vi er ikke en efterretningstjeneste.

God pointe. Man må håbe at de har den slags automatisk overvågning.

En netværksgruppe for et større kollegie jeg har været med i havde noget overvågning der fjernede rouge DHCP servere fra nettet (I virkeligheden en alm. router, hvor brugeren har forbundet en LAN port til lejlighedens internet stik.

Det virkede fint.

Brugerne henvendte sig af sig selv, fordi deres internetforbindelse blev "klippet" permanent, så snart der blev fundet en rouge DHCP server tilsluttet deres netstik.

Vi fortalte dem hvad der var galt, og efter at de havde rettet fejlen, kunne vi derefter straks tilslutte dem igen via en kommando til netværket.

Jens Henriksen

Som det også fremgår, er resten af artiklen skrevet ud fra det forbehold, at eksperterne udtaler sig generelt om angreb mod lukkede netværk, og ikke om det konkrete tilfælde.


HEj Mikkel,

Har du prøvet af få en kommentar fra den myndighed der er ansvarlig for systemet?
Selvom et ministerium ikke vil udtale sig konkret om en tre (3) år gammel historie, så kan det godt være at de tillader forsvarets it-folk at sige noget mere konkret - især hvis lidt fakta kan tage gassen af ballonen.

Mvh. Jens

Jens Henriksen

Hvad synes du er bedst: At flytte en stor datamængde via et beskyttet fysisk medie eller få informationen frem via satcom eller dårlige landlinjer, men så sent at nogen dør som følge af manglende rettidig information?

Det der er indlysende rigtige løsninger i begrænsede og kontrollerede miljøer ikke er nødvendigvis muligt, når man skal samarbejde på tværs af nationer.
Se bare på redningsoperationer ved jordskælv og lignende - det er ikke sikkert, at dem der leverer sat-fotos nødvendigvis skal lukkes ind på det netværk hvor deres data skal anvendes.

Jens Henriksen

Det er katastrofalt


Ja at så mange falder over deres egne ben i forsøget på at nedgøre og råbe skandale på et så tyndt grundlag.
For det første er der ikke skyggen af dokumentation for nogen katastrofe, for det andet er der ikke skyggen af dokumentation for at det skulle være specielt kritisk information der er blottet, for det tredje er historien tre år gammel og selvom hvis overskriften var formuleret faktuelt korrekt: "Forsvaret strammede for for flere år siden sikkerheden omkring USB-nøgler, måske pga. malware-angreb på lukket system", så mangler der stadig substans til at berettige en artikel.

Enhver der har bare den ringeste militære erfaring, bare har læst en smule om emnet informationssikkerhed i relation, til militære operationer, eller har set en vilkårlig krigs, 007 eller spionfilm ved at det der beskyttes mest er den information der nu og her kan anvendes mod egne styrker. Den slags information har til gengæld en kort levetid, herunder fordi planlægningscyklussen er så kort at informationen forældes meget hurtigt. Den langlivede information har fjenden allerede, da den kan slå op i åbne kilder. Selv i spionfilm har de fanget den pointe at det ikke betyder en fis hvad fanger fortæller under tortur, hvis bare der går ganske kort tid.

I øvrigt er det min erfaring af folks kompetencer kommer til udtryk som funktion af den prioritet og finansiering deres arbejde gives, hvorfor fx 25 års udsultning af politiet har givet et syndigt rodet it-landskab, men hvis du tror du kan slutte derfra og til kompetencerne hos politiets it-folk, så siger det langt mere om dig, end om politiets (eller som i artilken her, forsvarets) it-folk.

Det var allerede mere opmærksomhed end den krumme agurk fortjener :-)

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Lederskab i praksisnært perspektiv - din vej til bedre resultater

Hvornår: 2015-09-22 Hvor: Storkøbenhavn Pris: kr. 33500.00

IT-instruktøruddannelse og certificering i Herskin-metoden

Hvornår: 2015-10-05 Hvor: Storkøbenhavn Pris: kr. 27800.00

Monitoring and Operating a Private Cloud [20246]

Hvornår: 2015-09-21 Hvor: Storkøbenhavn Pris: kr. 19500.00

Arkitektur Patterns

Hvornår: 2015-11-18 Hvor: Storkøbenhavn Pris: kr. 10600.00

CERT 70-489 : Developing Microsoft SharePoint Server 2013 Advanced Solutions

Hvornår: 2015-11-27 Hvor: Storkøbenhavn Pris: kr. 4950.00