For år tilbage var det typiske hacker-scenarie en enlig angriber og måske nogle venner, der arbejdede sent om natten på Mountain Dew og ledte efter IP-adresser med offentlig adgang. Når de fandt en, opregnede de reklametjenesterne (webserver, SQL-server og så videre), brød ind ved hjælp af et væld af sårbarheder og udforskede derefter den kompromitterede virksomhed til deres fulde tilfredshed. Ofte var deres hensigt udforskende. Hvis de gjorde noget ulovligt, var det typisk en forbrydelse, der blev begået på et spontant tidspunkt.
My, hvor har tiderne dog ændret sig.
Når man beskriver et typisk hacker-scenarie, skal man i dag begynde længe før hackeren eller endda hackeren, med organisationen bag angrebet. I dag er hacking hele tiden kriminelt, hele tiden, komplet med udbudsmarkeder for malware, kriminalitetssyndikater, botnet til leje, statslige aktører og cyberkrigsførelse, der er gået amok.
Her er de ni største trusler, som it-sikkerhedsprofessionelle i dag står over for.
- Trussel nr. 1: Cyberkriminalitetssyndikater
- Trussel nr. 2: Små svindlere – og de pengesmuglere og hvidvaskere, der støtter dem
- Trussel nr. 3: Hacktivister
- Trussel nr. 4: Tyveri af intellektuel ejendom og virksomhedsspionage
- Trussel nr. 5: Malware-lejesoldater
- Trussel nr. 6: Botnet som en tjeneste
- Trussel nr. 7: Alt-i-en-malware
- Trussel nr. 8: Det stadig mere kompromitterede web
- Trussel nr. 9: Cyberkrigsførelse
- Kriminalitet og ingen straf
Trussel nr. 1: Cyberkriminalitetssyndikater
Selv om den enlige kriminelle hjerne stadig eksisterer, er de fleste ondsindede hackerangreb i dag resultatet af organiserede grupper, hvoraf mange er professionelle. Traditionelle organiserede kriminelle grupper, der tidligere stod for narkotika, spil, retsforfølgelse og afpresning, har kastet deres hat ind i ringen for pengegribning på nettet, men konkurrencen er hård, og de ledes ikke af mafiosoer, men af flere meget store grupper af professionelle kriminelle, der specifikt er rettet mod cyberkriminalitet.
Mange af de mest succesfulde organiserede cyberkriminelle syndikater er virksomheder, der leder store affilierede konglomeratgrupper, meget i stil med de lovlige distribuerede marketinghierarkier. Faktisk har nutidens cyberkriminelle sandsynligvis mere til fælles med en Avon- eller Mary Kay-repræsentant, end nogen af dem ønsker at indrømme.
Mindre grupper med få medlemmer hacker stadig, men i stigende grad er it-sikkerhedsprofessionelle oppe imod store selskaber, der er dedikeret til slyngeladfærd. Tænk på fuldtidsansatte medarbejdere, HR-afdelinger, projektledelsesteams og teamledere. Og det er alt sammen kriminelt, ikke flere sjove beskeder udskrevet på skærmen eller andre teenage-anekdoter. De fleste opererer åbent, og nogle – som Russian Business Network – har endda deres egne Wikipedia-indlæg. Det får en til at ønske sig tilbage til gamle dage, ikke sandt?
Specialisering og arbejdsdeling er kernen i disse organisationer. En enkelt mastermind eller en inderkreds vil lede kollektivet. Sergenter og underafdelinger vil specialisere sig inden for forskellige områder, med en arm dedikeret til at skabe malware, en anden dedikeret til markedsføring, en anden, der etablerer og vedligeholder distributionskanalen, og endnu en anden, der står for at skabe botnets og udleje dem til andre ondsindede (se nedenfor).
Det er ikke så underligt, at de gængse IT-sikkerhedspraksisser bare ikke virker mod nutidens malware, eftersom cyberkriminalitet har udviklet sig til en servicebaseret industri på flere niveauer med det åbenlyse mål at snyde virksomheder og mennesker for deres penge og intellektuelle ejendom.
Trussel nr. 2: Små svindlere – og de pengesmuglere og hvidvaskere, der støtter dem
Næsten alle cyberkriminelle organisationer er syndikater eller selskaber. Nogle er simpelthen iværksættere, små virksomheder, der kun er ude efter én ting: penge.
Disse ondsindede mom-and-pop-operationer kan stjæle identiteter og adgangskoder, eller de kan forårsage ondsindet omdirigering for at få dem. I sidste ende vil de have penge. De iværksætter svigagtige kreditkort- eller banktransaktioner og konverterer deres ulovligt optjente gevinster til lokal valuta ved hjælp af pengemuldyr, elektronisk kontantdistribution, e-banking eller en anden form for hvidvaskning af penge.
Det er ikke svært at finde hvidvaskere. Der er dusinvis til hundredvis af enheder, der konkurrerer om at være den, der får en stor procentdel af den ulovligt skaffede byttegods. Faktisk ville du blive overrasket over den konkurrencemæssige og offentlige karakter af alle de andre mennesker, der tigger om at gøre støtteforretninger med internetkriminelle. De reklamerer med “no questions asked”, “skudsikker” hosting i lande, der ligger langt fra retslige stævninger, og de tilbyder offentlige opslagstavler, softwaretilbud, 24/7-telefonsupport, budfora, tilfredse kundereferencer, anti-malware-færdigheder til at undgå malware og al den service, der hjælper andre til at blive bedre online-kriminelle. Et stort antal af disse grupper tjener titusindvis af millioner af dollars hvert år.
Mange af disse grupper og personerne bag dem er blevet identificeret (og anholdt) i løbet af de seneste år. Deres profiler på de sociale medier viser glade mennesker med store huse, dyre biler og tilfredse familier, der tager på ferier i udlandet. Hvis de har den mindste smule skyldfølelse ved at stjæle penge fra andre, ses det ikke.
Forestil dig grillfesterne i nabolaget, hvor de fortæller naboer og venner, at de driver en “internetmarkedsføringsvirksomhed” – alt imens de social engineering sig til millioner til stor forfærdelse for it-sikkerhedsprofessionelle, der har gjort stort set alt, hvad man kan for at beskytte brugerne mod dem selv.
Trussel nr. 3: Hacktivister
Hvor det i begyndelsen ikke var ualmindeligt at prale med exploits, søger nutidens cyberkriminelle at flyve under radaren — med undtagelse af de voksende legioner af hacktivister.
IT-sikkerhedsprofessionelle må kæmpe med et stigende antal løse sammenslutninger af personer, der er dedikeret til politisk aktivisme, som f.eks. den berygtede Anonymous-gruppe. Politisk motiverede hackere har eksisteret, siden hacking blev født. Den store ændring er, at mere af det foregår i det åbne rum, og at samfundet anerkender det som en accepteret form for politisk aktivisme.
Politiske hackergrupper kommunikerer ofte, anonymt eller ej, i åbne fora, hvor de annoncerer deres mål og hackerværktøjer på forhånd. De samler flere medlemmer, fremfører deres klager til medierne for at skaffe offentlig støtte og opfører sig forbavset, hvis de bliver arresteret for deres ulovlige gerninger. Deres hensigt er at bringe offeret i forlegenhed og skabe negativ medieopmærksomhed på offeret så meget som muligt, uanset om det omfatter hacking af kundeoplysninger, udførelse af DDoS-angreb (distributed denial of service) eller blot at skabe yderligere problemer for offerets virksomhed.
Politisk hacktivisme har oftest til hensigt at forårsage økonomisk smerte for sit offer i et forsøg på at ændre offerets adfærd. Enkeltpersoner kan være følgeskader i denne kamp, og uanset om man tror på hacktivistens politiske sag eller ej, er hensigten og metoden fortsat kriminel.
Trussel nr. 4: Tyveri af intellektuel ejendom og virksomhedsspionage
De fleste it-sikkerhedsprofiler må kæmpe med den store gruppe ondsindede hackere, der stjæler intellektuel ejendom fra virksomheder eller udfører ren og skær virksomhedsspionage. Deres metode er at bryde ind i en virksomheds it-aktiver, dumpe alle adgangskoderne og med tiden stjæle gigabytevis af fortrolige oplysninger: patenter, nye produktideer, militære hemmeligheder, finansielle oplysninger, forretningsplaner osv. De videregiver værdifulde oplysninger til deres kunder for at opnå økonomisk gevinst, og de holder sig skjult i den angrebne virksomheds netværk så længe som muligt.
For at høste deres belønning aflytter de vigtige e-mails, plyndrer databaser og får adgang til så mange oplysninger, at mange er begyndt at udvikle deres egne ondsindede søgemaskiner og forespørgselsværktøjer for at adskille foderet fra den mere interessante intellektuelle ejendom.
Denne slags angribere er kendt som en avanceret vedvarende trussel (APT) eller en determineret menneskelig modstander (DHA). Kun få store virksomheder er ikke blevet kompromitteret med succes af disse kampagner.
Trussel nr. 5: Malware-lejesoldater
Uanset hvilken hensigt eller gruppe der står bag cyberkriminaliteten, er der nogen, der skal lave den skadelige software. Tidligere lavede en enkelt programmør malware til eget brug eller måske for at sælge den. I dag er der hold og virksomheder, der udelukkende er dedikeret til at skrive malware for at omgå specifikke sikkerhedsforsvar, angribe specifikke kunder og opnå specifikke mål. De sælges på det åbne marked i tilbudsfora.
Ofte er den skadelige software flerfaset og komponeret. Et mindre stub-program har til opgave at foretage den indledende udnyttelse af offerets computer, og når det er sikkert placeret for at sikre, at det overlever en genstart, kontakter det en “moderskibs”-webserver for at få yderligere instruktioner. Ofte sender det oprindelige stub-program DNS-forespørgsler ud for at finde moderskibet, som ofte selv er en kompromitteret computer, der midlertidigt fungerer som moderskib. Disse DNS-forespørgsler sendes til DNS-servere, som lige så ofte kan være uskyldigt inficerede offercomputere. DNS-serverne bevæger sig fra computer til computer, ligesom moderskibets webservere gør det.
Når de er blevet kontaktet, omdirigerer DNS- og moderskibsserveren ofte den initierende stub-klient til andre DNS- og moderskibsservere. På denne måde bliver stubklienten omdirigeret igen og igen (ofte mere end et dusin gange) til nyligt udnyttede computere, indtil stubprogrammet til sidst modtager sine endelige instruktioner, og det mere permanente skadelige program installeres. Denne opsætning gør det meget vanskeligt for it-sikkerhedsfolk at forsvare sig mod deres varer.
Trussel nr. 6: Botnet som en tjeneste
Botnet er ikke længere kun for deres skabere. Efter at have mere end sandsynligt købt det malwareprogram, der skaber botnettet, vil ejerne i dag enten bruge botnettet til sig selv eller leje det ud til andre på timebasis eller efter en anden målestok.
Metoden er velkendt. Hver version af malwareprogrammet forsøger at udnytte op til titusindvis af computere i et forsøg på at skabe et enkelt botnet, der vil fungere efter skaberens bud. Hver bot i botnettet opretter til sidst forbindelse tilbage til sin(e) kommando- og kontrolserver(e) (C&C) for at få sine seneste instruktioner. Disse instruktioner omfatter ofte at aflevere et ransomware-program. Der er fundet botnet med hundredtusindvis af inficerede computere.
Nu, hvor der er så mange aktive botnet (titusindvis af millioner af inficerede computere hver dag), er det forholdsvis billigt at leje botnet, hvilket betyder endnu flere problemer for it-sikkerhedseksperter.
Malware-bekæmpere vil ofte forsøge at nedlægge C&C-serverne eller overtage dem, så de kan instruere de forbundne botter om at desinficere deres værtscomputere og dø.
Trussel nr. 7: Alt-i-en-malware
Sofistikerede malware-programmer tilbyder ofte alt-i-en, suppe-til-nødder-funktionalitet. De inficerer ikke kun slutbrugeren, men bryder også ind på websteder og modificerer dem for at hjælpe med at inficere flere ofre. Disse alt-i-én-malwareprogrammer leveres ofte med forvaltningskonsoller, så deres ejere og skabere kan holde styr på, hvad botnettet laver, hvem de inficerer, og hvilke programmer der har størst succes.
De fleste skadelige programmer er trojanske heste. Computervirus og orme er for længst ophørt med at være de mest populære typer malware. I de fleste tilfælde bliver slutbrugeren narret til at køre en trojansk hest, der annonceres som en nødvendig antivirus-scanning, et diskdefragmenteringsværktøj eller et andet tilsyneladende vigtigt eller uskadeligt værktøj. Brugerens normale forsvar bliver snydt, fordi den webside, der tilbyder den ulovlige eksekverbare fil, oftest er et pålideligt websted, som brugeren har besøgt mange gange. De onde fyre har simpelthen kompromitteret webstedet ved hjælp af et væld af tricks og indsat et par linjer JavaScript, der omdirigerer brugerens browser til det trojanske hestprogram.
Trussel nr. 8: Det stadig mere kompromitterede web
På det mest grundlæggende niveau er et websted simpelthen en computer, ligesom en almindelig slutbrugerarbejdsstation. Til gengæld er webmastere slutbrugere ligesom alle andre. Det er ikke overraskende, at det legitime web er fyldt med ondsindede JavaScript-omdirigeringslinks.
Det er ikke udelukkende et spørgsmål om, at webmasteres computere bliver udnyttet, der fører til stigningen i antallet af kompromitterede webservere. Oftere finder angriberne en svaghed eller sårbarhed på et websted, som giver dem mulighed for at omgå administratorgodkendelse og skrive ondsindede scripts.
De almindelige sårbarheder på websteder omfatter dårlige adgangskoder, sårbarheder ved cross-site scripting, SQL-injektion, sårbar software og usikre tilladelser. Open Web Application Security Project Top 10-listen er autoritet for, hvordan de fleste webservere bliver kompromitteret.
Mange gange er det ikke webserveren eller dens applikationssoftware, men et link eller en reklame, der bliver hacket. Det er almindeligt, at bannerannoncer, som ofte placeres og roteres af generelle reklamebureauer, ender med at blive inficeret. Det sker også, at malware-fyrene køber annonceplads på populære webservere.
Da mange af de onde gerningsmænd præsenterer sig selv som forretningsmænd fra legitime virksomheder, komplet med hovedkvarter, visitkort og udgiftskonti, er det ikke altid så let at adskille de legitime annoncekilder fra de onde, som ofte begynder at reklamere for et legitimt produkt for så at skifte linket i annoncen ud med et uærligt produkt, efter at annoncekampagnen er i gang. En af de mere interessante udnyttelser involverede hackere, der kompromitterede et tegneseriesyndikat, således at alle aviser, der genudgav de berørte tegneserier, endte med at sende malware. Man kan ikke engang stole på en tegneserie længere.
Et andet problem med hackede websteder er, at de computere, der er vært for et websted, ofte kan være vært for flere websteder, nogle gange i hundredvis eller tusindvis af websteder. Et hacket websted kan hurtigt føre til tusindvis af andre.
Uanset hvordan webstedet er blevet hacket, bliver den uskyldige bruger, som måske har besøgt dette bestemte websted i årevis uden problemer, en dag opfordret til at installere et uventet program. Selv om de er overraskede, er det faktum, at prompten kommer fra et websted, som de kender og stoler på, nok til at få dem til at køre programmet. Herefter er spillet slut. Slutbrugerens computer (eller mobile enhed) er endnu et tandhjul i nogens store botnet.
Trussel nr. 9: Cyberkrigsførelse
Nationale staters cyberkrigsprogrammer er i en klasse for sig selv og er ikke noget, som de fleste it-sikkerhedsprofiler støder på i deres daglige rutiner. Disse hemmelige operationer skaber komplekse, professionelle cyberkrigsprogrammer, der har til hensigt at overvåge modstandere eller fjerne en modstanders funktionalitet, men som Stuxnet og Duqu viser, kan konsekvenserne af disse metoder få konsekvenser for mere end blot de tilsigtede mål. Vi har nu endda nationalstater som Nordkorea, der nedlægger og udnytter en Fortune 500-virksomhed, fordi den ikke kunne lide en bestemt film.
Kriminalitet og ingen straf
Nogle ofre kommer sig aldrig over udnyttelse. Deres kreditoplysninger er for evigt mærket af en hackers svigagtige transaktion, malware bruger offerets adressebogsliste til at videresende sig selv til venner og familiemedlemmer, ofre for tyveri af intellektuel ejendom bruger titusindvis af millioner af dollars på reparation og forebyggelse.
Det værste er, at næsten ingen af dem, der bruger ovennævnte ondsindede angreb, bliver retsforfulgt med succes. De professionelle kriminelle på internettet lever i bedste velgående, fordi internettet ikke er godt til at fremskaffe beviser, der kan indbringes for retten. Selv hvis det kunne, lever de mistænkte uden for offerets retspraksis. Det meste hacking er som standard anonymt, og sporene forsvinder og sløres i løbet af millisekunder. Lige nu lever vi i internettets “vilde, vilde vesten”-dage. Efterhånden som det modnes, vil de kriminelle tilflugtssteder tørre ud. Indtil da har IT-sikkerhedsprofessionelle deres arbejde foran sig.