Truslen i cyperspace

Errit Muller

Errit Müller

VP

February 21, 2013 at 10:18

Center for Cybersikkerhed (CFCS) under forsvarets efterretningstjeneste (FE) har den 29. januar 2013 udgivet en redegørelse med vurdering af truslen i Cyberspace.

 

Vurderingen omfatter bl.a. moderne industrispionage og tyveri af intellektuel ejendom, f.eks. proprietær viden, forskningsresultater og andre forretningshemmeligheder fra danske virksomheder.

Truslen er reel og kommer navnlig fra stater, som bruger informationerne til at understøtte deres egen økonomiske og samfundsmæssige udvikling.

Se redegørelsen herunder:

29. januar 2013

Center for Cybersikkerhed: Truslen i cyberspace

Hovedvurdering

De alvorligste trusler mod Danmark i cyberspace kommer fra statslige aktører, der udnytter internettet til at spionere og stjæle dansk intellektuel ejendom, f.eks. proprietær viden, forskningsresultater og forretningshemmeligheder. Truslen kommer navnlig fra stater, som bruger informationerne til at understøtte deres egen økonomiske og samfundsmæssige udvikling.

Ikke-statslige aktører i form af hacktivister og cyberkriminelle udgør ligeledes en trussel mod Danmark. Center for Cybersikkerhed (CFCS) vurderer, at disse grupper har en kapacitet til at forstyrre eller forårsage mindre skade på dansk informations- og kommunikationsteknologisk infrastruktur samt indhente og offentliggøre følsomme data.

En alvorlig og stigende trussel er de såkaldte ”supply chain threats”, hvor der allerede i produktionen af hard- og software bliver installeret malware eller teknisk styrbare komponenter, som en aktør skjult kan fjernstyre over internettet.

Den såkaldte ”insider- trussel” er en anden væsentlig trussel mod en organisation eller virksomhed, hvor en medarbejder eller anden betroet person bevidst bryder sikkerheden og herved medvirker til tyveri af data eller overfører skadelig software til informations- og kommunikationsteknologiske systemer. En variant heraf er den situation, hvor en medarbejder eller anden betroet person ved en målrettet indsats fra en tredjepart ubevidst foretager sig en handling, der bryder sikkerheden.

Det er meget sandsynligt, at udenlandske efterretningstjenester på kort- og mellemlangt sigt fortsat vil indsamle dansk intellektuel ejendom og strategisk viden om Danmarks politiske, militære, økonomiske og samfundsmæssige forhold. Det er ikke sandsynligt, at en statslig aktør inden for denne tidshorisont vil have til hensigt at udføre ødelæggende cyberangreb mod dansk informations- og kommunikationsteknologiske infrastruktur. Det er heller ikke sandsynligt, at ikke-statslige aktører opnår evnen til at gennemføre sådanne angreb.

Selvom netværk og systemer bliver udviklet gennem implementering af styrkede sikkerhedsforanstaltninger, er der en risiko for, at der samtidig implementeres nye sårbarheder, der kan udnyttes til cyberspionage. Det medfører, at systemer og netværk kontinuerligt bør overvåges for at fastholde en acceptabel sikkerhed.

 

Detaljeret redegørelse

Danmark er regelmæssigt udsat for forsøg på indtrængen i den danske informations- og kommunikationsteknologiske infrastruktur, men der er endnu ikke set et ødelæggende cyberangreb i Danmark.

Aktører

Nationalstater

Flere stater har i det seneste årti styrket deres kapaciteter med henblik på at indhente informationer fra computere og netværk. Denne kapacitet bliver normalt opbygget inden for militæret og efterretnings- og sikkerhedstjenesterne.

Ud over indhentning af intellektuel ejendom samt økonomiske og politiske oplysninger fra vestlige firmaer og myndigheder har staterne ofte fokus på indhentning af oplysninger om aktiviteter, personer og organisationer, som de betragter som en trussel, f.eks. systemkritiske personer eller organisationer.

Med den stadig stigende brug af informations og kommunikationsteknologi og ikke mindst internettet, vurderer CFCS, at tyveri af intellektuel ejendom og egentlig cyberspionage er stigende. Handlingerne kan ske over store afstande og via tredjelande. Det gør det meget vanskeligt at afdække, hvem der står bag, og handlingerne kan gennemføres som målrettede angreb mod enkeltpersoner eller organisationer, der besidder sensitive informationer. Ligeledes kan de målrettes mod firmaer for at indhente informationer om patenter, budgetter eller fremtidsplaner. En udbredt fremgangsmåde er såkaldt spear phishing, hvor eksempelvis en tilsyneladende troværdig e-mail sendes til centrale personer i en virksomhed eller organisation for at stjæle oplysninger.

Der er tegn på, at nogle stater anvender ikke-statslige grupperinger og enkeltpersoner til at gennemføre cyberangreb for at undgå, at cyberangreb mod og kompromittering af andre nationers informations- og kommunikationsteknologiske systemer bliver tilskrevet de pågældende stater. Det er set, at nogle stater anvender egne studerende på universiteter enten hjemme eller i den nation, man ønsker at angribe eller kompromittere, til at gennemføre sådanne aktiviteter.

Det er sandsynligt, at stater vil fortsætte med at anvende betragtelige ressourcer på at udvikle offensive og defensive cyberkapaciteter. CFCS vurderer, at der fortsat vil være stater, der vil kompromittere netværk og servere for at skaffe sig informationer, der kan understøtte deres økonomiske, militære og samfundsmæssige udvikling. Det vurderes ikke sandsynligt, at der er stater, der på kort eller mellemlangt sigt vil udføre et ødelæggende cyberangreb mod den danske informations- og kommunikationsteknologiske infrastruktur. Det er sandsynligt, at cyberspace i stigende grad vil blive anvendt til spionageformål.

Ikke-statslige aktører

Hacktivister

Truslen fra cyberspace kommer i stigende grad fra forskellige grupper af hackere, hvis cyberaktiviteter ofte er politisk eller ideologisk motiverede. Den politisk motiverede hacking bliver ofte kaldt for hacktivisme, som er en sammentrækning af hacking og aktivisme.

En af de mest aktive hackergrupper er Anonymous, som er et løst sammenhængende hackerkollektiv, hvor associerede personer kan udføre angreb i gruppens navn. Anonymous ønsker gennem sine hackeraktiviteter at gøre opmærksom på sociale og politiske forhold og tiltag, som den betragter som censur af internettet.

Den 24. december 2011 hackede en gruppe med tilknytning til Anonymous ind på serverne hos tænketanken Strategic Forecasting (Stratfor), hvor de skaffede sig adgang til firmaets kundedatabase. Anonymous offentliggjorde efterfølgende navne, adresser, kodeord og kreditkortoplysninger på flere af Stratfors kunder.

Også i Danmark eksisterer der aktive hackergrupper. En gruppering ved navn UN1M4TR1X0 (Unimatrix Zero) med selverklæret tilknytning til Anonymous tog i begyndelse af 2012 ansvaret at have hacket nyhedsbureauet Ritzau, interesseorganisationen IT-Branchen samt Statsforvaltningernes hjemmeside. En anden dansk hackergruppering, der går under navnet Unorthodox, tog i april 2012 ansvaret for at gøre PET’s hjemmeside utilgængelig. Dette skete som en protest mod brugen af aflytningssoftware, der kan installeres på en mistænkts computer. Folketingets hjemmeside blev i januar 2012 tilsvarende udsat for et DDOS angreb og folketingsmedlemmernes internetforbindelser blev ustabile. Angrebet skete i protest mod Danmarks mulige tilslutning til Anti-CounterfeitingTrade Agreement (ACTA).

CFCS vurderer, at hacktivister har evnen til at udføre angreb, der kan forstyrre eller forårsage mindre skade på danske myndigheders informations- og kommunikationsteknologiske systemer. Hacktivisterne kan endvidere skaffe sig adgang til personfølsomme og forretningskritiske informationer, hvor net og systemer ikkehar en tilstrækkelig sikring.

Udvikling af angrebsmetoder

Cybertrusler kan opdeles i to kategorier. De lavteknologiske og ikke målrettede angreb, som hverken kræver store tekniske færdigheder eller solid økonomi at realisere, og de højt specialiserede målrettede angreb, som bliver udført af eksperter og muligvis understøttes af statslige aktører.

Den første kategori udgør især et problem på grund af kvantiteten, og består eksempelvis i simple netværksscanninger og spam-mail til brug for phishing. Sådanne angreb kan i vid udstrækning bortfiltreres ved brug af passende sikkerhedsforanstaltninger.

Målrettede angreb

Den anden kategori adresserer særlige forhold typisk fokuseret mod veldefinerede mål – heraf betegnelsen målrettede angreb. Et avanceret eksempel er Stuxnet, der er en såkaldt computerorm, der i 2010 inficerede Siemens Programmable Logic Controllers (PLC) i Iran. Stuxnet var udarbejdet med indgående kendskab til og viden om sårbarheder i den konkrete infrastruktur og de tilhørende anvendte komponenter.

Fakta om Advanced Persistent Threats (APT)

APT betegner truslen fra hackere, der forsøger at opnå uautoriseret adgang til en udvalgt myndighed eller virksomheds netværk. Angrebet gennemføres som regel med spionage for øje og forberedes normalt grundigt. Det kan strække sig over meget lang tid, eksempelvis flere år. Angriberen søger ved brug af forskelligt malware at opretholde adgang til netværket og løbende udtrække data herfra. Den anvendte malware vil blive løbende opdateret for at undgå opdagelse og der vil normalt blive brugt flere forskelligetyper malware samtidigt for at kunne bevare adgang til netværket, selvom angrebet måtte blive opdaget.

Også danske virksomheder og myndigheder har været udsat for målrettede angreb. I 2012 har CFCS i flere tilfælde været indsat med henblik på at hjælpe berørte institutioner med at bekæmpe målrettede angreb. Forsvarsindustrien har været særligt udsat, da den har avanceret produktudvikling, som kan være interessant for andre aktører. Det er klart, at denne type angreb er foretaget af aktører, som har store ressourcer til rådighed, og som har god tid til at vente på et resultat. CFCS vurderer, at sådanne angreb enten udføresaf statslige eller statssponsorerede aktører.

Målrettede angreb er meget effektive. I et tilfælde blev der sendt en mail, der angiveligt kom fra ledelsen til ti personer med en vedhæftet fil, der skulle omhandle medarbejdere. Otte ud af ti modtagere klikkede på den vedhæftede fil. CFCS kan konstatere, at store mængder data kan være stjålet fra disse virksomheder. I et tilfælde har angriberen haft fodfæste i virksomhedens net i tre år. Dette er moderne industrispionage, som kan sikre konkurrenter et forskningsmæssigt forspring uden at være nødt til at anvende store summer på en selvstændig udviklingsindsats.

Mobile enheders sikkerhed

Den teknologiske udvikling i cyberspace medfører bl.a. at antallet af maskiner og udstyr, der opkobles til internettet stiger hastigt og forventes at være flerdoblet inden for få år. I fremtiden vil flere systemer og netværk af vital betydning for samfundet være integreret via nettet. Ansatte i virksomheder og i offentlige myndigheder vil i stigende omfang kunne få adgang til informationer i firmaernes eller organisationernes netværk fra mobile enheder. Ofte har de mobile enheder ikke den samme grad af sikkerhed som stationære eller bærbare computere. Det medfører en øget risiko for, at data, der bliver sendt mellem disse medier, bliver kompromitteret, eller at selve enheden bliver brugt til at få direkte adgang til et netværk.

Bedre bekæmpelse af malware

Den teknologiske udvikling betyder dog også, at der er øget fokus på sikkerheden i kommende informations- og kommunikationsteknologiske systemer. Det medfører, at det vil være stadig sværere for ikkeprofessionelle at udvikle værktøjer, der kan ødelægge, inficere eller overtage kontrollen med computere og informations- og kommunikationsteknologiske systemer. Flere institutioner og firmaer er endvidere begyndt at beskytte sensitive og fortrolige informationer gennem fysisk adskillelse af deres netværk fra internettet eller ved at sikre deres netværk gennem sektionering og rettighedsstyret adgangskontrol.

Malware

Malware, som er programmer, der gør skade eller udfører uønskede handlinger på en computer, er blevet mere sofistikeret og har fået indbygget flere angrebsmetoder. Kompleksiteten i kodningen af visse typer af malware tyder på, at de er udviklet af cyberaktører med en stor teknisk indsigt og mange ressourcer. Noget malware er skabt med henblik på at udføre meget målrettede handlinger, mens andet malware rammer mere bredt.

”Conficker”: Computerormen ”Conficker” er et eksempel på malware, der de seneste år har været en stor trussel mod virksomheders datasikkerhed. ”Conficker” forsøger automatisk at logge ind på computere ved systematisk at afprøve en række lette kodeord. ”Conficker” kan endvidere anvende mindst tre forskellige angrebmetoder, som består i at udnytte en sårbarhed i Windows 2008 eller sprede sig i et netværk eller via USB-medier.

”Stuxnet” er ligeledes et eksempel på yderst kompliceret malware, der fra begyndelsen har været målrettet til at ramme bestemte systemer, som bruges i industrien. Ifølge åbne kilder er ”Stuxnet” udviklet i et samarbejde mellem USA og Israel, og virussen satte ligeledes ifølge åbne kilder i 2010 centrifuger på uranberigelsesanlægget i Natanz i Iran ud af kraft.

”Flame”: I 2012 blev en computervirus ved navn Flame fundet på internettet. Virussen ser ud til at være en kompleks og avanceret malware. Iran, Israel, Sudan, Libanon, Saudi-Arabien og Egypten er blandt de lande, der målrettet er blevet angrebet af virussen, og flere eksperter mener, at virussen, der er i stand indsamle store mængder information fra inficerede computere, er udviklet af en eller flere statslige aktører. It-sikkerhedsfirmaet Kaspersky Lab har fundet ligheder i kodning af ”Flame” og ”Stuxnet”.

Supply chain threats

En alvorlig og stigende trussel er de såkaldte ”Supply chain threats”, hvor der allerede i produktionen af hard- og software bliver installeret malware eller teknisk styrbare komponenter, som en aktør kan fjernstyre over internettet. ”Supply chain threats” kan forekomme i flere led i produktionskæden. En sådan trussel kan f.eks. være til stede som ekstra, skjult software i avancerede programmerbare mikrochips, såkaldte FPGA'er. Sådanne mikrochips bliver i dag hyppigt benyttet til opbygning af komplekse styrings- eller kommunikationssystemer. Med den skjulte software kan indsættes såkaldte ”bagdøre” i de komplekse styringseller kommunikationssystemer, således at en ekstern part har mulighed for at kontrollere systemerne.

CFCS vurderer, at det er sandsynligt, at angrebsmetoder i cyberspace på kort og mellemlangt sigt vil blive mere sofistikerede og professionelle. Der vil dog fortsat være risiko for, at mindre professionelle aktører kan udnytte svagheder i software eller informations- og kommunikationsteknologiske systemer.

Fremtiden vil byde på flere og flere systemer og netværk, som vil blive integreret og være af vital betydning for samfundets virke. Selvom de foreliggende sikkerhedsforanstaltninger styrkes, og der implementeres nye sikkerhedsfunktionaliteter, vil udviklingen gøre, at der også vil implementeres nye sårbarheder, så systemer og netværk kontinuerligt bør overvåges.

Insider truslen

”Insider- truslen” dækker over, at personer i en organisation eller en virksomhed med fysisk adgang til informations- og kommunikationsteknologisk infrastruktur, som bevidst eller ubevidst medvirker til tyveri af data eller overfører malware til informations- og kommunikationsteknologiske systemer. Insider truslen kan opdeles i en bevidst- og en ubevidst trussel.

Den bevidste trussel kommer fra personer, der eksempelvis af ideologiske grunde eller for økonomisk vindings skyld uberettiget fjerner information fra en organisation eller en virksomhed, og overdrager det til en tredjepart. Et eksempel på den bevidste trussel er den amerikanske soldat Bradley Manning, som er anklaget for at have lækket fortrolige dokumenter fra krigene i Afghanistan og Irak til internetsiden WikiLeaks. Den bevidste trussel kan også bestå i, at en person installerer skadelig malware, der enten videresender informationer til en tredjepart, eller giver tredjeparten adgang til eller kontrollen over et system.

Den ubevidste trussel kommer fra personer, der bryder sikkerheden ved f.eks. at anvende private eller ikke godkendte USB-medier, der kan indeholde skadelig malware, som automatisk bliver aktiveret, når mediet bliver sat i computeren. Derved udsætter brugeren utilsigtet en computer eller et netværk for en betydelig sikkerhedsrisiko. Tilsvarende trusler kommer fra personer, der bevidst eller uagtsomt åbner inficerede filer i eksempelvis e-mails, der efterfølgende kan forårsage skader. Den ubevidste trussel kommer også fra personer, der offentliggør sensitiv information eller kompromitterende billeder på internettet, chatfora eller sociale medier som Facebook og Twitter.

CFCS har ved flere episoder konstateret, at USB-medier er blevet anvendt mellem lukkede sikrede systemer og åbne systemer med adgang til internettet. Derved opstår risikoen for, at eksempelvis malware sender klassificerede informationer fra et lukket system via internettet til udenforstående aktører.