GovCert: Sådan tackler du angreb fra hacktivister

25. januar 2012 kl. 14:06
Det handler om basal sikkerhed, hvis du ikke vil være næste offer for et angreb fra Anonymous, Lulzsec og andre hacktivism-grupper.
Artiklen er ældre end 30 dage

»Hvis man lægger sig fladt ned på en vej, bliver man kørt over. Det gælder også i it-verdenen.«

Sådan lød konklusionen, da statens it-sikkerhedstjeneste GovCert gav gode råd om hacktivism-angreb på konferencen It-sikkerhed 2012.

Det er nemlig ofte helt basale angreb og sårbarheder, som bliver udnyttet, når et firma eller en organisation bliver offer for hacktivister som Anonymous og Lulzsec, forklarede Thomas Kristmar, der er leder af GovCert.

Hacktivism er et fænomen, der har bredt sig de senere år, hvor løst sammensatte hackergrupper bruger internettet som arena for protestråb og aktivisme. Typisk bliver en eller flere hjemmesider lagt ned af denial-of-service-angreb, hvis de bliver sat i forbindelse med noget, som får hacktivisterne på barrikaderne.

Artiklen fortsætter efter annoncen

For eksempel gik der ikke mange timer fra fildelingstjenesten Megaupload blev lukket, til både FBI og det amerikanske justitsministerium havde fået lagt deres hjemmesider ned.

Og netop et denial-of-service-angreb, hvor et stort antal computere bombarderer en hjemmeside med forespørgsler, er næsten altid første trin, forklarede Thomas Kristmar, der brugte forkortelsen ’DDoS’ om den type angreb.

»Når det amerikanske justistsministeriums hjemmeside bliver lagt ned, viser det – at en hjemmeside kan DDoS’es. Wow. Selvfølgeligt kan den det. Lad være med at gå i panik, hvis det sker. Men fortæl pressen, at I sagtens kan leve med et Ddos-angreb,« forklarede han.

Har man som firma eller myndighed gjort sig upopulær hos hackergrupperne, vil Ddos-angrebet typisk være første bølge. Men derefter kommer normalt næste skridt fra hackerne, og det kan man langt bedre beskytte sig imod.

»De metoder, der bliver brugt, er SQL-injections, cross-site-scripting og lignende. Det er ikke noget, vi ikke har hørt om før, venner. Og vi kender de helt standard sikkerhedsråd, der kan beskytte os mod det,« lød opsangen fra GovCert-lederen.

Når et amerikansk sikkerhedsfirma som HBGary bliver hacket, er det ikke fordi, at Anonymous-hackerne er meget dygtige, men fordi sikkerheden var pinligt ringe hos HBGary. 40.000 fortrolige e-mails fra firmaet blev lækket, da HBGary pralede med at have fået krammet på Anonymous-gruppen.

»Her er et helt gratis tip: Hvis I skal provokere hackergrupper, så hav styr på egen sikkerhed først,« sagde Thomas Kristmar.

En anden tendens i hacktivism-angrebene er, at de finder det blødeste punkt i it-sikkerheden. Det er ikke så afgørende, hvor det er, så længe det kan udlægges som en sejr for hackerne. For eksempel endte en protest mod politibrutalitet i USA med, at lokale sherif-kontorer blev hacket og filer fra de ansattes computere blev lagt ud på nettet.

»Man tager de lavthængende frugter, for der er forskel på hackernes skillset. Det er altså ikke nok, at hovedkvarteret er sikret,« forklarede han.

Bliver man ramt, er det vigtigt at politianmelde angrebet, men har man bare nogenlunde styr på grundlæggende it-sikkerhed, vil vejen være lukket for det meste hacktivism.

»Det er banale fejl, der giver alt denne medietumult. Det er basic stuff som, ’jeg har vist ikke sørget for input-validering’,« konstaterede Thomas Kristmar og gav it-branchen generelt en opsang for, at så tåbelige fejl stadig kan give problemer.

Og der er nye problemer på vej, konstaterede han, i takt med at vores telefoner nu opfører sig som små computere og er forbundet til internettet.

»Det er tankevækkende, hvor hurtigt vi glemmer, hvad vi har lært de sidste 25 år. Nu er det blevet moderne at gå på nettet med mobiltelefonen, uden beskyttelse. Vi ved jo godt, hvad der skal til, men hvorfor gør vi det så ikke? Hvordan kan man udlevere en mobiltelefon uden at stille krav om beskyttelse. Jeg synes ikke, vi er gode til at lære af fejltagelserne,« sagde Thomas Kristmar.

Konferencen It-sikkerhed 2012 er arrangeret af Dansk IT. Version2 er mediepartner på konferencen.

Ingen kommentarer endnu.  Start debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger