Microsoft efter international ransomwarebølge: Stater skal stoppe med at hamstre sikkerhedsbrister

Illustration: WannaCry
Regeringers systematiserede brug af svagheder har gentagne gange vist sig at være farlige for offentligheden, mener Microsoft.

En omfattende kæde af ransomwareangreb har siden fredag spredt sig og ramt sundhedsvæsener, regeringer, virksomheder og privatpersoner verden over.

Angrebet udnytter en sårbarhed i forældede Windows-versioner, og efter angrebet har juridisk chef i Microsoft Brad Smith skrevet et blogindlæg, hvor han kritiserer verdens regeringer og deres efterretningstjenester for at finde, hemmeligholde og udnytte sårbarheder i diverse systemer.

Læs også: Alvorlig ransomware-orm: Microsoft lukker sikkerhedshul i Windows XP

Især kritiserer han den amerikanske regering og efterretningstjenesten NSA. Det hackerværktøj, der over weekenden blandt andet lagde store dele af Londons sundhedsvæsen ned, kom netop fra NSA.

»Regeringer må tænke over den skade, sådanne lækkede sårbarheder kan forårsage på civile,« skriver Brad Smith blandt andet på bloggen. Han mener tydeligvis, at regeringerne langt hen ad vejen er ansvarlige for, at det kunne gå så galt.

Læs også: Rapport: Vækst i cyberspionage - det begynder som en phishingmail

»Først så vi, hvordan sårbarheder opbevaret af CIA dukkede op på WikiLeaks, og nu har denne sårbarhed, som blev stjålet fra NSA, påvirket vores kunder overalt i verden. Gentagne gange er sårbarheder, som har været i regeringers hænder, blevet lækket til offentligheden og har forårsaget omfattende skade,« skriver Brad Smith.

Flere medier har også i løbet af weekenden skrevet, at det er den amerikanske efterretningstjeneste NSA, der har mistet det effektive ransomware-våben kaldet Wannacrypt, som er blevet brugt til at tage kontrollen over computere verden over og kryptere deres drev med.

Læs også: Hackerjæger: Nye kryptovaluta vil volde politiet kvaler i efterforskningen

Angrebene er sket med henblik på at afpresse de retmæssige ejere for løsepenge, hvis de igen vil have adgang til indholdet på deres computere og it-systemer. Målene har helt bevidst været centrale og vigtige systemer som eksempelvis sundhedssystemer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Cederberg

Microsoft vil have en verden hvor enhjørninger danser rundt mellem mennesker der har blomster i håret og hvor alt konflikt er forsvundet. Hmm ... det lyder mere som om PR afdelingen er i gang.

Efterretningstjenester lever af at spionere. For dem vil det altid være en balance mellem mulige gevinster i form af spionage/sabotage af fjender og skaden på eget samfund. Stuxnet er et godt eksempel på hvordan zero-day exploits kan udnyttes til at ramme en fjende.

Der er meget få exploits som stort set kun har positive effekter for efterretningstjenesten der udnytter det (Dual_EC_DRBG er et eksempel). I de fleste tilfælde vil det være en afvejning.

Umiddelbart vil jeg gætte på at hvis NSA fandt en metode til signifikant at reducere sikkerheden i RSA algoritmen, så vil man forsøge at stoppe brugen af RSA. De samfundsmæssige omkostninger vil simpelthen være for store.

Et hack af et 16 år gammelt OS som leverandøren for længst er stoppet med at supportere falder ikke ind i samme kategori som RSA. Et godt gæt er at hvis NSA havde fortalt Microsoft om problemet med SMB1, så ville Microsoft ikke have gjort noget ved XP. Ikke før det blev et PR problem.

René Nielsen

Jeg ville ønske at de overvågningsbegejstrede politikere ville tage ansvar for deres skødeløse politiske handlinger, men de er krøbet i ”Flyverskjul” og har travlt med at se ud som om, at de ikke kender ”noget til noget” og intet uagtsomt ansvar har for Wannacry-angrebet. Som Blackadder afventer de ovennævnte politikere blot at ”stormen lægger sig”.

Det er politiske partier som Dansk Folkeparti, Socialdemokratiet, Venstre, De konservative osv, jeg peger på. Og man bedes bemærke at også Microsoft mener at efterretningstjenester har en betydelig andel af den skade sådanne angreb medfører.

Bagdøre er noget l... fordi de åbner for enhver som har nøglen - uanset om man er hacker eller har en dommerkendelse. Politikere - tag ansvaret for de patienter som ikke kan behandles eller som måske bliver fejlbehandlet.

Jeg tror at tæt på 100% af alle IT angreb i Danmark er startet uden for Danmark af cyberkriminelle som f.eks. FSB. At jeg i praksis ikke kan retsforfølge FSB-ansatte fordi de bliver beskyttet af Rusland betyder ikke at de ikke er cyberkriminelle.

Jeg tror derfor ikke på at forretningen Danmark mister noget ved at gå ”all-in” på sikkerhed. Ikke kun hospitaler, men over hele linjen i både det private og det offentlige med end-to-end kryptering uden bagdøre, 2-faktor login og hele dynen.

Thomas Sevelsted Lauritzen

Et hack af et 16 år gammelt OS som leverandøren for længst er stoppet med at supportere falder ikke ind i samme kategori som RSA. Et godt gæt er at hvis NSA havde fortalt Microsoft om problemet med SMB1, så ville Microsoft ikke have gjort noget ved XP. Ikke før det blev et PR problem.

Hvis sårbarheden ikke var blevet lækket fra NSA, så var hullet ikke blevet lappet af MS og så havde alle windows PC'er været potentielle mål. Ikke kun de XP maskiner som MS ikke længere (men extraordinært i denne omgang) sender patches ud til.

Det eneste rigtige er at fortælle om sårbarheder til de virksomheder der er ansvarlige for produkterne. Gemmer man på sårbarhederne for at misbruge dem selv, så går man de kriminelles ærinde.

Havde NSA fortalt det til MS og de havde MS sidenhen ignoreret det, så havde det været et MS problem. Nu er det et NSA problem.

Rune Larsen

Det eneste rigtige er at fortælle om sårbarheder til de virksomheder der er ansvarlige for produkterne. Gemmer man på sårbarhederne for at misbruge dem selv, så går man de kriminelles ærinde.

Naiviteten kender åbenbart ingen grænser her på v2. U-patchede sikkerhedshuller = $$$. De sælges eller indleveres til bug bounty, men du er noget nær idiot hvis du ødelægger en god vulnerability ved at give den gratis til producenten.

Folk arbejder målrettet i årevis for at finde disse huller - det svarer til mine-drift. Der forærer du heller ikke guld-klumpen væk, når du endeligt har fundet den. Eller, det kan du godt, men så vinder dine konkurrenter rimeligt hurtigt i det store spil.

[...], så var hullet ikke blevet lappet af MS og så havde alle Windows PC'er været potentielle mål.

Og det tror du ikke stadigvæk de er? Suk.

Husk også at WannaCry først kom 2 måneder efter Microsoft patchede deres supporterede produkter.

Bente Hansen

Det eneste budskab jeg kunne finde var "HOV! Se! En distraktion!"


Ja, men det er dog sjældent, dog kun den juridiske chef, for et foretagende som er afhængige af offentlige velvillighed.

Går ud og siger at NSA, FBI, CIA, PET, FET og alle andre 3 bogstavet, samt hele administrationen. Er nogle inkompetente skvadernosser, uden indsigt og overblik. Som bringer alle sammen i civilsamfundet i faret, ved at lade de 3 bogstavet, lege med cyber masseødelæggelsesvåben, som de slet ikke kan passe på.

Forsvarsminister Claus Hjort Frederiksen ord, om at vi selv skal kunne angribe, lyder jo nu lige så totalt tåbeligt og idiotisk som det er.
I stedet for at bruge kræfter på at beskytte os selv, sådan noget som simpel mail sikkerhed og deslignende.

Hvem vil han nu angribe, som modsvar mod dette angreb ?

Det er samtidig en understregning af at regeringer og myndigheder, aldrig må få lov til at lave bagdøre, eller svagheder i vores alle sammens infrastruktur. De kan lige så lidt passe på nøgleren og information om dem. Som vores CPR, og sundhedsdata, som lige skal forbi piccolinen på den Kinesiske Ambassade.

Michael Cederberg

Det eneste rigtige er at fortælle om sårbarheder til de virksomheder der er ansvarlige for produkterne. Gemmer man på sårbarhederne for at misbruge dem selv, så går man de kriminelles ærinde.

Men så vil NSA have ganske svært ved at udføre deres arbejde. Hvad du end mener så kommer det ikke til at ske. Personligt er jeg glad for at NSA spionerer mod USA's og Danmarks fjender (og sikkert også mod Danmark, selvom det helt givet ikke er nødvendigt).

I dette tilfælde tilhører skylden primært afpresseren og sekundært alle de organisationer som stadigvæk har Windows XP koblet til internettet.

Såfremt NSA skulle oplyse om alle fundne fejl, så ville de ikke lede efter dem (i og med fejl af denne type kun har værdi for NSA når de ikke er fikset). I så fald ville fejlen have ligget der endnu ... indtil en anden fandt den.

Log ind eller Opret konto for at kommentere