NSA's hacking-chef: Zero day-sårbarheder er ikke vores vigtigste våben

Det er langt mindre dramatiske værktøjer, der giver NSA - og andre efterretningstjenester - adgang til et netværk, lyder det fra ledende NSA-medarbejder.

De fleste virksomheder eller myndigheder kan infiltreres på it-fronten uden brug af zero day-sårbarheder. Det afslørede Rob Joyce, chef for NSA's Tailored Access Operations, på en sikkerhedskonference for nylig, skriver Vice Motherboard.

NSA-chefens pointe var, at det også gælder for andre nationers efterretningstjenester, og derfor er det vigtigt at sørge for at gøre det så svært som muligt for efterretningstjenesterne at komme ind via andre kanaler end ukendte sikkerhedshuller.

»Jeg tror, mange forestiller sig, at staterne kører på zero day-sårbarheder. At du kan gå ud med en universalnøgle og låse enhver dør op. Sådan foregår det ikke. Jeg kan sige, at vedholdenhed og fokus kan få dig ind uden zero days,« sagde Rob Joyce ifølge Vice Motherboard.

Zero days er sikkerhedshuller, som endnu ikke er lukket af softwareproducenten og heller ikke kendes af sikkerhedsfirmaerne i det øjeblik, de bliver udnyttet. Der findes et marked for oplysninger om disse sårbarheder, som det blandt andet antages, at statslige efterretningstjenester benytter sig af.

Men i mange tilfælde er der altså ifølge NSA-chefen mere konventionelle veje ind i en organisation. Det kan eksempelvis være software, der ikke er opdateret for allerede kendte sikkerhedshuller, eller mangelfuld administration af brugerrettigheder.

Det kan også være medarbejdere, der tager deres pc med hjem og eksempelvis har Valves Steam-klient installeret.

Vil man gøre livet så surt for fremmede efterretningstjenester, der antages at infiltrere virksomheder for at udføre industrispionage, så er det altså i høj grad et spørgsmål om at sørge for at anvende velkendt sikkerhedspraksis.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (4)

Kommentarer (4)
Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017