Dropper seks år gammelt udstyr: Statens it-sikkerhedsenhed udvikler nu selv sniffer-bokse

Illustration: REDPIXEL.PL/Bigstock
Center for Cybersikkerhed er i fuld gang med at udrulle, hvad de beskriver som egenudviklede enheder der kan holde øje med farlig trafik til og fra blandt andet ministerier.

Rundt om i civile og militære organisationer er Center for Cybersikkerhed i gang med at udskifte de ca. 30 enheder, der overvåger datatrafik for ondsindet aktivitet.

Det fremgår af Center for Cybersikkerheds (CFCS) nyligt udkomne beretning for 2014. (PDF) Her står, at man er påbegyndt implementeringen af en helt ny type alarmenheder, der skal installeres hos centrets kunder. Alarmenhederne beskriver centeret som egenudviklede.

De egenudviklede produkter skal erstatte de enheder, der allerede overvåger trafikken til og fra ministerier og andre statslige organisationer. Her holder man øje med mistænkelig datatrafik. Det kunne eksempelvis være en IP-destination til en kendt, ondsindet server.

Tilbage i 2011 kunne chefen for den daværende statslige varslingstjeneste GovCERT, Thomas Kristmar, fortælle følgende til Version2 om de dengang nye alarmenheder.

»Man kan sige, at den tager en kopi af datapakkerne og sender den til os. Og så varsler vi ministeriet, hvis kommunikationen eksempelvis foregår med kendte, skadelige hjemmesider,« siger han.

I dag er GovCERT blevet en del af det, der kaldes netsikkerhedstjenesten under Center for Cybersikkerhed. Af centerets hjemmeside fremgår det, at netsikkerhedstjenesten har til opgave at opdage, analysere og bidrage til at imødegå sikkerhedshændelser hos forsvaret samt virksomheder og statslige myndigheder, der er tilsluttet tjenestens såkaldte sensornet. Som altså udgøres af de enheder, der nu er ved at blive udskiftet.

Af hjemmesiden fremgår det desuden, at 'Netsikkerhedstjenestens indsats fokuserer på de mest avancerede angreb, der oftest udføres af statsstøttede aktører, eller cyberangreb, der i øvrigt kan påvirke det danske samfund i væsentlig grad'.

Digitale fingeraftryk

I den nyudkomne beretning for 2014 fortæller CFCS i relation til enhederne, at centrets netværksanalytikere løbende indsamler den nyeste viden om cyberangreb og finder de digitale spor og mønstre, der identificerer et angreb.

»Disse digitale fingeraftryk lægges ud i specialkonstruerede alarmenheder, som er placeret på netsikkerhedstjenestens kunders internetforbindelser. Her sammenholder alarmenheden hele tiden kundens datatrafik, der løber gennem forbindelserne, med de digitale fingeraftryk,« står der i beretningen.

Her kan man også læse, at der pr. 31. december 2014 var 18 alarmenheder på det civile område og 11 alarmenheder på det militære område.

Center for Cybersikkerhed har ikke ønsket at stille op til interview i forhold til de nye enheder, som centeret er ved at udrulle. Men CFCS har svaret på en række spørgsmål fra Version2 via e-mail. Centeret skriver blandt andet, at alle enheder er ved at blive udskiftet, og at man er godt halvvejs i den proces.

Derudover skriver CFCS, at der med egenudviklet menes, at der er tale om en 'del standard-hardware og et antal open source-komponenter på softwaresiden'.

Hvorfor er I gået over til at lave egenudviklede alarmenheder?

»Rationalet bag at udvikle konceptet og produktet selv er at sikre en fuldstændig og smidig sammenhæng mellem sensorens output og den bagvedliggende struktur til at behandle og vise data. En anden vigtig faktor var hurtigt og uden større omkostning at kunne ændre på udviklingsretningen undervejs i processen i takt med anvendelsen af konceptet i daglig drift,« skriver specialkonsulent i CFCS Karina Epstein i mailen og fortsætter:

»Som led i fokuseringen af Netsikkerhedstjenestens indsats på de mest avancerede trusler, herunder APT-angreb (avancerede og vedvarende angreb, red.), er den nye sensorteknologi særligt velegnet til at opdage denne form for trusler. Teknologien understøtter således centrets primære fokus.«

CFCS oplyser desuden, at konceptet med egenudviklede enheder opstod i 2013, og at enkelte dele af systemet sat i drift i takt med, at de blev færdigudviklet.

2013 var også året, hvor den tidligere sysadmin Edward Snowden afslørede detaljeret oplysninger om amerikansk efterretningsaktivitet. Blandt andet i forhold til, at der skulle være indbyggede bagdøre i produkter, så NSA kunne lytte med på linjen.

Hos CFCS afviser man dog pure, at fremkomsten af disse informationer skulle have været en medvirkende faktor i forhold til, at man nu er ved at skifte til egenudviklede produkter.

I oplyser, at konceptet med egenudviklede enheder startede i 2013. Det er samme år, som den såkaldte whistleblower Edward Snowden begyndte at offentliggøre oplysninger om amerikansk efterretningsaktivitet. Oplysningerne indikerede blandt andet, at der kunne være såkaldte bagdøre bygget ind i software og hardware. Har oplysninger, som Edward Snowden har frembragt, været en medvirkende faktor til, at man hos Center for Cybersikkerhed i dag er i gang med at udskifte sensor-enheder, der er centralt placeret hos blandt andet styrelser og ministerier, med software, man I højere grad selv har indblik i hvordan fungerer?

»På ingen måde. Systemet, som erstattes, er på nuværende tidspunkt seks år gammelt og opfylder ikke længere Center for Cybersikkerheds forretningsmæssige behov,« oplyser sektionschef Morten Rosted Vang fra Center for Cybersikkerhed, ligeledes via e-mail.

Han fortæller i samme mail, at CFCS ikke ønsker at oplyse, hvilken type open source-software der er tale om i de nye enheder.

En mulig kandidat i den sammenhæng kunne være en kombination af et Linux-system og open source-softwaren Snort. Det er i hvert fald det umiddelbare bud fra open source-kender og it-sikkerhedsmand Poul-Henning Kamp, som Version2 har forhørt sig hos.

På Snorts hjemmeside under FAQ beskrives programmet på følgende vis, undersat til dansk fra engelsk:

»Snort er et open source-network intrusion prevention system, i stand til at foretage realtidsanalyse af trafik og logning af pakker på IP-netværk. Det kan foretage protokolanalyse, indholdssøgning/matching, og det kan bruges til at detektere forskellige angreb og prober, såsom buffer overflows, stealth port-scanninger, CGI-angreb, SMB-prober, forsøg på OS-fingerprinting og meget mere.«

Ny prismodel

2015 byder ikke bare på udrulning af nye bokse fra CFCS. Prismodellen for, hvad ikke-statslige organisationer skal betale for at være tilsluttet sensor-netværket under netsikkerhedstjenesten bliver også ændret i takt med, at de nye bokse bliver rullet ud.

Af bekendtgørelse om tilslutning til Center for Cybersikkerheds netsikkerhedstjeneste, opdateret december 2014, fremgår det i paragraf 1:

»Tilslutning til Center for Cybersikkerheds netsikkerhedstjeneste sker for regioner, kommuner eller virksomheder, der er beskæftiget med samfundsvigtige funktioner«

Det fremgår af CFCS’s hjemmeside, at tilslutning for de førnævnte organisationer sker efter ønske. Det er da heller ikke gratis for de ikke-statslige organisationer at blive tilsluttet sensornetværket.

De gamle enheder, der i bekendtgørelsen bliver benævnt EDA, koster årligt 80.153 kroner ekskl. moms at have stående pr. alarmenhed.

Det er vel at mærke, til alarmenheden udskiftes med de nye alarmenheder, der benævnes henholdsvis NSS-1 eller NSS-2.

I 2015 er det årlige gebyr for at være tilsluttet NSS-1 249.000 kroner ekskl. moms pr. alarmenhed og 317.000 kr. ekskl. moms pr. alarmenhed af typen NSS-2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere