av Roar Thon

I Aftenposten på fredag forteller Ulstein konsernet at de har vært målet for omfattende dataspionasje. En sak som føyer seg inn i rekken av andre saker, kjent eller ukjent for offentligheten. Dataangrepet er én av 16 alvorlige hendelser som er avdekket i første kvartal 2014 mot private og offentlige selskaper og virksomheter i Norge.

I fjor ble det avdekket 50 slik alvorlige hendelser og angrepsmetode nr. 1 for målrettede dataangrep baserer seg på noe veldig mange av oss bruker flere ganger om dagen.

Hva jeg snakker om? E-post selvfølgelig. Dette universelle digitale kommunikasjonsverktøyet som gjør det mulig å skrive til andre mennesker uavhengig av operativ system. E-post er også digitale spioners favorittverktøy til å iverksette det digitale angrepet som – dersom det lykkes, gjør det mulig å trenge inn i datamaskiner og nettverk for å stjele informasjon av betydning og verdi. Det som er deres favorittverktøy bruker de fleste av oss hver eneste dag og er utsatt for en betydelig risiko hvor den enkeltes atferd faktisk er med på å avgjøre om en digital spion lykkes eller ikke.

Hvordan brukes e-post til angrep/spionasje?

Noe forenklet kan vi si at e-post er den eneste kommunikasjonskanal vi automatisk «tillater» at andre tar direkte kontakt med oss på. I realiteten kan alle andre med en e-post adresse fra hele verden sende oss informasjon, filer m.m. Det åpner for at vi kan kontaktes av enhver med gode eller onde hensikter.
Som et forenklet eksempel så sender jeg deg en e-post hvor det står:

Hei!

1) Jeg trenger penger, kan du overføre 4000 kroner til min konto?
2) Du bør lese den vedlagte PDF filen
3) Du bør sjekke ut denne linken

Hilsen Roar

Jeg har ved å sende deg én e-post, levert tre metoder å «angripe» deg på.

Den første metoden er et forsøk på å svindle deg gjennom sosial manipulasjon, ved å skape en troverdig situasjon som lurer deg til å gi fra deg penger eller informasjon som jeg kan utnytte senere. Mange kjenner slike forsøk som Nigeria-svindel eller Nigeria-brev, men de kan også omtales som nettfiske. 

Den andre metoden er å oppfordre deg til å lese et vedlegg til e-posten jeg sendte deg. Jeg har infisert vedlegget med en «kode» (skadevare, virus, ondsinnet kode – ukjært barn har også mange navn) som gjør at det starter et digitalt angrep på din datamaskin når du åpner vedlegget. Du kommer ikke til å se eller forstå at det digitale angrepet har startet når du åpner vedlegget. Du vil med stor sannsynlighet kunne lese vedlegget som inneholder akkurat det jeg som avsender påstår at det inneholder. Men din åpning av vedlegget har startet den digitale kampen mellom hvor god angriperen er og hvor gode forsvarsmekanismer du eller din arbeidsgiver har. Jeg kommer tilbake med mer om dette lenger ned i bloggen.

Den tredje metoden er å be deg å sjekke ut en link som når du trykker på den iverksetter et digitalt angrep. Jeg kan få linken til å se ut som den tilsynelatende tar deg til et nettområde med høy troverdighet, mens den i realiteten tar deg et helt annet sted. Det er altså nettstedet du kobler deg til som iverksetter et digitalt angrep på din datamaskin.

Dette er en forenklet måte å beskrive e-post som «angrepsvåpen», men det er ikke sjelden at vi ser reelle eksempler som kombinerer flere av metodene og gjør det enda vanskeligere for mottakeren å stå imot.

Hvorfor e-post?
Det er et betimelig spørsmål om hvordan er det mulig at en så «enkel» tjeneste som e-post utgjør en så høy risiko for både enkeltbrukere og organisasjoner. Jeg skal forsøke å bryte det ned i noen enkelte faktorer. Men før jeg gjør dette er det viktig å forstå en grunnleggende ting om dagens situasjon.

Hollywood versjonen av en hacker er Hollywood versjonen av en hacker!

«Hollywood versjonen» av en hacker er «Hollywood versjonen» av en hacker. Det vil si at dersom det hadde vært så enkelt at hackeren setter seg ned med sin datamaskin og i løpet av fem minutter har hackeren trengt seg gjennom alle tekniske forsvarstiltak hos «Pentagon», da hadde vi hatt enorme problemer i vårt digitale samfunn. Jeg skriver ikke engang utfordringer, jeg skriver problemer, fordi det hadde vært store problemer.

Jeg hevder at vi blir bedre og bedre på å sikre oss rent teknologisk og det medfører at risikoen overføres til de menneskene som allerede har lovlig tilgang til de systemene som «hackeren» ønsker tilgang til. Med andre ord, den enkleste veien til målet går gjennom menneskene med tilgang og ikke direkte gjennom teknologien. De samme menneskene er enkle å nå via e-post.

Det enkleste i dag er å sende en e-post for å starte angrepet og her er noen årsaker til hvorfor det er slik:

  • De aller fleste av oss har en eller flere e-post adresser
  • De aller fleste bedrifter/organisasjoner bruker e-post til å kommunisere eksternt
  • Posten skal frem! (Gjelder også e-post) Den når som regel frem til mottaker
  • Det er faktisk mottakers jobb å åpne, lese og besvare e-post (spesielt i arbeidslivet)
  • De tekniske systemene tillater mottaker å åpne e-post og vedlegg (Selvsagt!)
  • Mottaker av e-post er som oftest godtroende (Mennesket – hackerens beste venn)
  • Forholdvis enkelt å fremstille seg (avsender) som noe man ikke er
  • Krever høy bevissthet for å avsløre de ikke-tekniske tegn på en «skummel» e-post.

Den siste årsaken er at angrepsmetoden fungerer og gir en høy grad av utbytte for angriperen. Det er i realiteten et kost/nytte spørsmål og ressurs- og kostnadsbruken ved å bruke e-post som angrepsvåpen er lav.

Hvem bruker e-post til digitale angrep?
E-post som angrepsvåpen benyttes av alle grupperinger som vi betegner som trusselaktører på nett. Alle med ulik formål, ressurser og kompetanse.
Noen er mer målrettet enn andre når de bare sender ut en eller to e-poster til sitt mål (f.eks. en bedrift), mens andre går for volum når de sender ut flere tusen e-post fra det som ser ut til å komme fra Skatteetaten eller den Danske Bank. Formålet er også forskjellig. Digitale spioner konsentrerer seg om å stjele informasjon og er i mindre grad interessert i id-tyveri og småpenger.

På toppen av pyramiden for digitale trusselaktører finner vi statlige etterretningsorganisasjoner i tradisjonell forstand, statsfinansierte eller statsstøttede organisasjoner som bedriver digital spionasje og på tredjeplass kriminelle organisasjoner med god teknologisk kompetanse og ressurser.
Det er dessverre ingenting å utsette på trusselaktørenes kompetanse, ressurser og deres evne og målrettede vilje til å angripe, trenge seg inn i – og hente ut informasjon fra datanettverk. Det skjer daglig, og det skjer over lang tid.

Konsekvensene av at norske bedrifter som Telenor, Ulstein og andre blir utsatt for digital spionasje, er ikke nødvendigvis tydelig i et kortsiktig perspektiv. Det medfører at slike spionasjesaker får noe abstrakt over seg. Konsekvensene kommer ikke før over tid og dersom informasjonen unyttes profesjonelt av de som skaffet seg ulovlig tilgang til den, skjer det på en subtil måte som indirekte skjuler utnyttelsen, men ikke nødvendigvis sluttkonsekvensene for de som mistet sin informasjon.

Som samfunn har vi sannsynligvis allerede tapt store verdier uten fullt ut å forstå at vi har et tap basert på digital spionasje. Det kan være anbudet vi aldri vant eller forhandlingen vi “tapte” basert på at en konkurrent eller motpart satt med alle kortene på forhånd.

Angriperen blir bedre og bedre, men blir vi det?
Dersom vi holder oss til e-post som angrepsmetode er det grunnlag for å si at angriperen blir bedre og bedre. Vi har beveget oss fra generelt dårlige sosiale manipuleringsforsøk ala Nigeria-brev på dårlig engelsk, til god engelsk, til dårlig norsk og til god norsk som sammen med helt andre manipuleringsmetoder utfordrer brukernes evne til å bidra til å stanse at det digitale angrepet starter. (Åpning av vedlegg og linker)

Vi ser nå bruken av falske e-poster som trer naturlig inn i den daglige dialogen mellom kollegaer i samme bedrift eller andre e-poster som forutsetter at angriperen har benyttet mye ressurser i forarbeidet før e-posten sendes akkurat til den ene mottakeren. Sjansen er betydelig høyere for at du åpner et vedlegg eller en link som er av høy profesjonell interesse for deg som ansatt eller et vedlegg eller link som treffer dine innerste lidenskaper og interesser – enn om du skulle få et «godt» tilbud fra en Nigeriansk prins.

Det finnes en enkelt måte å redusere risikoen på. Det er å slutte å bruke e-post, men det kommer ikke til å skje i neste uke! Det er mulig noe slikt skjer i fremtiden, men ikke nødvendigvis for å redusere risiko, men fordi det da finnes noe som fungerer bedre som et universelt kommunikasjonsmiddel. Det er mulig mange ville ha jublet over å kunne slutte å bruke e-post, kanskje av helt andre årsaker enn informasjonssikkerhet, men jeg tror de kommer til å måtte vente lenge.

Vi må, slik det ser ut, leve med e-post og da bør vi ta inn over oss at e-post er angrepsvåpen nr.1.

Det er ikke enkelt å skulle løse denne utfordringen. Det gjøres mye på den tekniske siden, men også her ser vi store forbedringspunkter. Veldig mange norske virksomheter har fortsatt ikke gjennomført grunnleggende og enkle tekniske tiltak som ville øke deres evne til å beskytte seg. 

Det gis også enkelte vanskelige og til dels dårlige råd. På den ene siden «advares» brukerne mot e-post samtidig som det forventes at vi som brukere (både i arbeidslivet og privat) skal motta, vurdere, åpne vedlegg, videresende om så er. Da kan det ikke gis råd som; «åpne aldri e-post eller vedlegg fra folk du ikke kjenner» Det er jo nettopp det vi må, dersom vi skal gjøre jobben vår. Slike anbefalinger oppleves kanskje som gode sikkerhetsråd, men de overlever ikke møtet med hverdagen for den enkelte bruker.

Vi må leve med risiko
Uansett teknologiske tiltak, kommer vi til å få e-poster i innboksen vår som potensielt er skadelig for virksomheten vi arbeider i eller for oss som enkeltindivider. Her kommer vi etter min mening ikke forbi behovet for ytterligere styrke kunnskapen og kompetansen hos den enkelte på en slik måte at det etableres en atferd som kan bidra til å identifisere hvilke e-poster m vedlegg som kan utgjøre en slik risiko. Vi kommer aldri dit hvor brukeren kan avsløre alt før han/hun åpner et vedlegg, men vi kan forbedre vår evne til å avsløre de åpenbare forsøkene på å lure oss. Vi er faktisk avhengig av å bruke den enkelte som en menneskelig sensor, men dette er ikke enkelt.

Slik det er nå må vi leve med risikoen knyttet til e-post, men vi bør forbedre de teknologiske og de menneskelige sikkerhetstiltakene. Men det har liten hensikt å gjøre det ene uten å gjøre det andre.