NSA's hacking-chef: Zero day-sårbarheder er ikke vores vigtigste våben

Det er langt mindre dramatiske værktøjer, der giver NSA - og andre efterretningstjenester - adgang til et netværk, lyder det fra ledende NSA-medarbejder.

De fleste virksomheder eller myndigheder kan infiltreres på it-fronten uden brug af zero day-sårbarheder. Det afslørede Rob Joyce, chef for NSA's Tailored Access Operations, på en sikkerhedskonference for nylig, skriver Vice Motherboard.

NSA-chefens pointe var, at det også gælder for andre nationers efterretningstjenester, og derfor er det vigtigt at sørge for at gøre det så svært som muligt for efterretningstjenesterne at komme ind via andre kanaler end ukendte sikkerhedshuller.

»Jeg tror, mange forestiller sig, at staterne kører på zero day-sårbarheder. At du kan gå ud med en universalnøgle og låse enhver dør op. Sådan foregår det ikke. Jeg kan sige, at vedholdenhed og fokus kan få dig ind uden zero days,« sagde Rob Joyce ifølge Vice Motherboard.

Zero days er sikkerhedshuller, som endnu ikke er lukket af softwareproducenten og heller ikke kendes af sikkerhedsfirmaerne i det øjeblik, de bliver udnyttet. Der findes et marked for oplysninger om disse sårbarheder, som det blandt andet antages, at statslige efterretningstjenester benytter sig af.

Men i mange tilfælde er der altså ifølge NSA-chefen mere konventionelle veje ind i en organisation. Det kan eksempelvis være software, der ikke er opdateret for allerede kendte sikkerhedshuller, eller mangelfuld administration af brugerrettigheder.

Det kan også være medarbejdere, der tager deres pc med hjem og eksempelvis har Valves Steam-klient installeret.

Vil man gøre livet så surt for fremmede efterretningstjenester, der antages at infiltrere virksomheder for at udføre industrispionage, så er det altså i høj grad et spørgsmål om at sørge for at anvende velkendt sikkerhedspraksis.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017