WannaCry og NotPetya: Hvad vi har lært om it-sikkerhed i 2017
Kommentar. WannaCry og NotPetya kommer efter alt at dømme til at få pladser i malwarens 'hall of fame'. Om ikke andet så fordi de markerer et punkt, hvor vi bør overveje, hvordan vi prioriterer it-sikkerhed.
Begge anvendte elementer af ransomware, men det vil være forkert at anskue disse to trusler som gængs ransomware. Især for NotPetya var der ingen af de almindelige ransomware-foranstaltninger, som havde beskyttet de store globale virksomheder, der blev ramt.
Hvis man kan tale om almindelig ransomware, så er det kendetegnet ved at foregå via e-mail og social engineering, hvor brugeren skal lokkes til at åbne og eksekvere en fil. Hvis brugeren gør dette, så krypteres brugerens filer og ofte også filer på eksempelvis delte netværksdrev.
Det er derfor, at awareness, altså træning af brugernes påpasselighed, er et vigtigt element i forsvaret mod ransomware.
Men WannaCry spredte sig efter alt at dømme ikke via e-mail. Den udnyttede derimod et sikkerhedshul til at sprede sig til sårbare Windows 7-maskiner via lokalnetværk og internettet. Brugeren skulle ikke gøre noget.
Sikkerhedshullet stammede fra et læk fra efterretningstjenesten NSA, men Microsoft havde udsendt en sikkerhedsopdatering i marts, to måneder før WannaCry-angrebet. Derfor understregede WannaCry endnu en gang, at det er vigtigt at holde sin software opdateret.
Men for at sprede sig, skulle der være åbent på én af to netværksporte, som det er normal god praksis ikke at lade stå åben ud til internettet. Derfor er den måske lidt oversete pointe med WannaCry, at man ikke kommer uden om en fornuftig firewall-politik.
Ingen mail, stjal administratorrettigheder
NotPetya var igen anderledes end typisk ransomware. Den ankom ikke via e-mail, men ser i stedet ud til at være kommet ind via en opdateringsfunktion til et stykke software til skatteindberetning, som virksomheder, der opererer i Ukranie, ikke kan komme uden om at benytte. Når NotPetya var kommet ind på en Windows-pc, så afsøgte den pc'en for credentials - altså identitetsoplysninger for brugere med flere rettigheder.
Disse rettigheder blev brugt til både at kryptere den inficerede pc yderligere, men også til at sprede malwaren via lokalnetværket. NotPetya kan altså endnu en gang fremhæve den klassiske lære om at begrænse brugernes rettigheder og ikke mindst begrænse de enheder og tjenester, som kører i organisationen med vide administratorrettigheder.
Når først malware er inde på en maskine, så er der et større arsenal til rådighed til eskalering af rettigheder lokalt, og metoden, NotPetya benytter, er triviel.
Tilbage står vi med, at klassiske ransomware-råd med 'lad være med at åbne filer fra folk, du ikke kender' og 'husk at opdatere dine programmer' ikke i sig selv havde beskyttet mod NotPetya.
Det sidste af de klassiske ransomware-råd er desværre dét, der er mest besværligt, nemlig at man skal tage backup, sørge for, at denne backup er adskilt og ikke ryger med i et eventuelt angreb, og ikke mindst skal man kunne bruge backuppen til at gendanne sine systemer.
Lige i tilfældet med NotPetya kunne det være lidt mere besværligt at komme tilbage på fode, fordi den muligvis kunne overskrive bootsektoren på en måde, som ville gøre det nødvendigt at geninstallere Windows, ligesom man kan argumentere for, at det vil være fornuftigt at tilbagekalde de kompromitterede rettigheder.
Men der var ingen awareness-kampagner eller undskyldninger om, at 'brugerne skal bare lade være med at klikke på filer i mails', som kunne have stoppet de to angreb. Awareness er vigtigt, men det har sine begrænsninger.
De bedste phishing-mails kan i dag være svære at skelne fra legitime mails, som kan tikke ind i mailboxen hos en medarbejder i en virksomhed. Derfor er der andre, ofte oversete tiltag, som bør overvejes. Ud over selvfølgelig at sikre sine egne domæner mod phishing-misbrug.
Segmentér netværket
Vi ved endnu ikke med sikkerhed, hvordan NotPetya helt præcist spredte sig. Alt tyder på, at det begyndte i Ukraine og derfra bredte sig via eksempelvis vpn-tunneler til de globale koncerners hovedkvarterer. Hvis det er tilfældet, så slår det en tyk streg under, at netværk bør segmenteres.
Det skal ikke være trivielt for malware, som havner på en Windows-pc i bogholderiet i kontoret i Odessa, at sprede sig til servere eller til netværket i hovedsædet i København. Og selv hvis vpn-tunneler ikke kan undgås, så bør man opbygge sit netværk på en måde, så en orm, som spreder sig automatisk via netværket, ikke kan lægge alle afdelinger ned.
Tilsvarende er det vigtigt at være klar over, at sådan et angreb kan ramme, selvom man opdaterer sin software og har uddannet brugerne. Derfor er det afgørende, at man har procedurerne på plads til at få gendannet systemer og data til så tæt på fuld drift som muligt så hurtigt, det kan lade sig gøre.
Disaster recovery er ikke kun for en brand i datacentret eller oversvømmelse i serverrummet. Backup og restore kan også sikre mod den mistede pc i taxaen og den ukrainske netværksorm.
Og det sidste, man bør gøre, er at læne sig tilbage og sige, at ransomware er noget, der sker, fordi brugerne er uforsigtige. Selv hvis brugerne er uforsigtige, så er det it-afdelingens ansvar at kunne gøre skaden god igen. For på et tidspunkt er der en bruger, der åbner en forfalsket mail eller en vpn-tunnel, og så har it-afdelingen balladen.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.