Eksperter: Ekstremt svært at vide, om Kina eller anden nation står bag cyberangreb

23. september 2014 kl. 06:296
Det er særdeles vanskeligt at sige med sikkerhed, hvorvidt et givent land faktisk står bag cyberangreb rettet mod eksempelvis Danmark.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Kina bliver i disse dage nævnt som sandsynligt ophavsland til en række cyberangreb rettet mod danske virksomheder og myndigheder. Ifølge flere eksperter, som Version2 har været i kontakt med, er det dog aldeles vanskeligt at sige med sikkerhed, hvorvidt et givent land - Kina eller andre - står bag sådanne angreb.

Ifølge DR peger pilen på Kina som ophavsland til cyberspionage mod danske mål. Og i den forbindelse bliver en rapport fra sikkerhedsfirmaet Mandiant fra sidste år nævnt. Ifølge rapporten kan 141 angreb mod vestlige virksomheder spores tilbage til en enhed i det kinesiske militær.

Rapporten har fået en del omtale i alverdens medier, også her på Version2. Den er dog også blevet kritiseret. Adm. direktør i it-sikkerhedsfirmaet Taia Global inc Jeffrey Carr har således ad flere omgange kritiseret rapporten, særligt for ikke at tage højde for, at andre aktører end Kina også kan stå bag de såkaldte APT-angreb (Advanced Persistent Threat).

Og ifølge den uafhængige britiske it-sikkerhedsekspert Graham Cluely er det stort set umuligt at sige med sikkerhed, hvorvidt et angreb faktisk kommer fra et specifikt land. Og skulle den del lykkes, er det endnu vanskeligere at bevise, at selve landet faktisk står bag og ikke en uafhængig hackergruppe med base i Kina eller andetsteds.

Artiklen fortsætter efter annoncen

»Det er ekstremt vanskeligt at være 100 pct. sikker på, hvilket land hackere muligvis opholder sig i. For slet ikke at tale om, hvorvidt hackerne er statssponserede,« skriver Cluely i en mail til Version2 og fortsætter:

»Jeg vil være ekstremt mistænksom over for nogen som helst, der peger fingeren mod et specifikt land, med mindre de er i stand til at hoste op med en forklaring på, HVORDAN de er nået frem til, at landet står bag.«

Graham Cluely påpeger, at det er nemt for hackere at overtage kontrollen med computere i et andet land og så bruge maskinerne til at gennemføre angreb.

»Med mindre du har fysisk adgang til en computer, hvordan ved du så, hvorvidt den bliver betjent af nogen, der sidder foran den, eller af en hacker i et andet land?«

Artiklen fortsætter efter annoncen

Sikkerhedseksperten fortæller, at det undertiden er spor i computerkode, der henleder opmærksomheden mod eventuelle bagmænd. Men det er ifølge Graham Cluely let for en hacker i eksempelvis Frankrig at lægge beskeder ind i koden, der står på eksempelvis tysk. Altså et forsøg på at aflede opmærksomheden fra de sande bagmænd.

»Alt dette skal tages med i overvejelserne, før du når til en ting, der er endnu sværere at bevise: Var der en regering bag?«

Dermed ikke sagt, at Kina, Rusland, USA eller britiske myndigheder ikke skulle stå bag malware, der har til formål at spionere mod andre lande, understreger Cluely.

»Det ville være naivt at tro, at de ikke har gjort det. Men på den anden side er det meget svært at bevise, at de har,« skriver han.

Den danske it-sikkerhedsekspert og direktør i Solido Networks Henrik Kramshøj er enig i, at det er vanskeligt at sige med sikkerhed, hvorvidt et givent land står bag et hackerangreb mod et andet land.

»Det er ret svært. Man kan have nogle tegn, der peger i forskellige retninger, men det kan også være et røgslør,« siger Henrik Kramshøj.

Hvis han selv skulle hacke en virksomhed i Danmark, ville han først hacke en computer i eksempelvis Sydamerika og så gå via den.

»Så man ikke kan se direkte, hvor angrebet kommer fra. Så peger det på Sydamerika. Og gør man det et par gange, forsvinder sporet altså.«

Artiklen fortsætter efter annoncen

Kunne man forestille sig en situation, hvor nogen eksempelvis har hacket en maskine i Kina, så det ser ud, som om angrebet kommer derfra?

»Ja, det kunne man sagtens. Det ville også være en måde at gøre det på. Efterlade nogle tydelige spor, der peger den vej.«

Dermed ikke sagt, at det er umuligt at finde frem til de rette bagmænd. Henrik Kramshøj nævner i den forbindelse muligheden for at designe en server, det faktisk er meningen, hackerne skal bryde ind i. Og når det sker, bliver hackernes maskiner inficeret med sporingssoftware.

En anden mulighed kunne være bevidst at lække data, der er let genkendelige. Eksempelvis en pdf med et særligt link, der kan bruges til at spore den, der måtte klikke på linket, forklarer Henrik Kramshøj.

Opdateret med kinesisk ambassades henvendelse til DR

Efter historierne om, at Kina skulle stå bag cyberspionage rettet mod Danmark, har den kinesiske ambassades chef for den politiske afdeling, Fu Wenyan, i en mail til DR Nyheder blandt andet skrevet:

»Da det er vanskeligt at skaffe beviser, mener vi ikke, at det er ansvarligt at drage konklusioner om, at angrebene kommer fra et bestemt land, eller at komme med beskyldninger mod nogle lande.«

»Vi er mere parate til at engagere os i dialog med andre lande for at opbygge forståelse og tillid og skabe en fælles indsats for at løse cyberudfordringerne. Men hvis Kina fejlagtigt bliver anklaget, vil vi bestemt aldrig acceptere det.«

Læs hele mailens ordlyd hos DR Nyheder

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
23. september 2014 kl. 15:59

at "vore allierede" (partners in crime) helst så, at mistanken rettedes mod Kina, når de selv havde været inde for at snuse. Det kræver jo ikke ret meget at gøre dette. F.eks. at bruge i zombie i Bejing som relæ og skrive "langtungting" i koden til en trojaner.

6
24. september 2014 kl. 17:00

Læs gerne analysen her:http://www.malware.lu/articles/2013/04/08/apt1-technical-backstage.htmlder linker til deres rapport om APT1http://www.malware.lu/assets/files/articles/RAP002_APT1_Technical_backstage.1.0.pdf

En god historie om hacking back - hvor de overtog botnet kontrolservere. Det giver en vis sikkerhed for hvem der står bag når man har 0wnet deres server ;-) De har også nogle fantastiske analyser af andet malware.

er også på twitter @malwarelu

2
23. september 2014 kl. 10:48

I min optik er Mandiant rapporten et fornemt stykke kommercielt fodarbejde. Den tegner desværre et ensidigt billede af et yderst komplekst trusselsområde.

Jeg har ved flere lejligheder holdt keynotes omkring netop APT'er, herunder bl.a. på CARO sidste år. Kunsten at spore en angribende part er ikke altid så simpelt som skitseret i APT1 værket. Men alt til trods er strategien fra Kinesisk side i hvert fald ændret radikalt siden den rapporten udkom. De er i dag en større del af et kamufleret landskab end for få år siden hvor de støjede betydeligt mere og i al simpelthen ikke gjorde meget for at sløre deres aktiviteter.

Med det sagt, så har den største trussel mod Skandinavien vist sig at komme fra et helt andet land, end de lande som er fremhævet her og andetsteds, nemlig Indien og deres DragonEye/Tourist (Hanove) kampagne (senere kendt som "Hangover"). Den ramte telesektoren uden de så den komme ...

5
23. september 2014 kl. 19:49

I min optik er Mandiant rapporten et fornemt stykke kommercielt fodarbejde. Den tegner desværre et ensidigt billede af et yderst komplekst trusselsområde.

Jævnfør forside og indhold lader det heller ikke til at være rapportens formål. Formålet lader til at være en rapport om eller måske rettere en profil af en APT gruppe som de internt kender som APT1 - Dvs. at den kun er en brik i et samlet trusselsbillede.

3
23. september 2014 kl. 11:49

Med det sagt, så har den største trussel mod Skandinavien vist sig at komme fra et helt andet land, end de lande som er fremhævet her og andetsteds, nemlig Indien og deres DragonEye/Tourist (Hanove) kampagne (senere kendt som "Hangover"). Den ramte telesektoren uden de så den komme ...

Glem ikke truslen fra vores såkaldt allierede, USA, som i flere tilfælde er blevet fanget med fingrerne i kagedåsen, og altså ikke kun spionerer med henblik på eliminering af trusler og terrorister, men også går efter at spionere på politikere og på at stjæle data fra virksomheder.