NSA's hacking-chef: Zero day-sårbarheder er ikke vores vigtigste våben

Det er langt mindre dramatiske værktøjer, der giver NSA - og andre efterretningstjenester - adgang til et netværk, lyder det fra ledende NSA-medarbejder.

De fleste virksomheder eller myndigheder kan infiltreres på it-fronten uden brug af zero day-sårbarheder. Det afslørede Rob Joyce, chef for NSA's Tailored Access Operations, på en sikkerhedskonference for nylig, skriver Vice Motherboard.

NSA-chefens pointe var, at det også gælder for andre nationers efterretningstjenester, og derfor er det vigtigt at sørge for at gøre det så svært som muligt for efterretningstjenesterne at komme ind via andre kanaler end ukendte sikkerhedshuller.

»Jeg tror, mange forestiller sig, at staterne kører på zero day-sårbarheder. At du kan gå ud med en universalnøgle og låse enhver dør op. Sådan foregår det ikke. Jeg kan sige, at vedholdenhed og fokus kan få dig ind uden zero days,« sagde Rob Joyce ifølge Vice Motherboard.

Zero days er sikkerhedshuller, som endnu ikke er lukket af softwareproducenten og heller ikke kendes af sikkerhedsfirmaerne i det øjeblik, de bliver udnyttet. Der findes et marked for oplysninger om disse sårbarheder, som det blandt andet antages, at statslige efterretningstjenester benytter sig af.

Men i mange tilfælde er der altså ifølge NSA-chefen mere konventionelle veje ind i en organisation. Det kan eksempelvis være software, der ikke er opdateret for allerede kendte sikkerhedshuller, eller mangelfuld administration af brugerrettigheder.

Det kan også være medarbejdere, der tager deres pc med hjem og eksempelvis har Valves Steam-klient installeret.

Vil man gøre livet så surt for fremmede efterretningstjenester, der antages at infiltrere virksomheder for at udføre industrispionage, så er det altså i høj grad et spørgsmål om at sørge for at anvende velkendt sikkerhedspraksis.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (4)

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 15:06

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017