Når det gælder cyberangreb, så er der flere ting mange ikke forstår. Selv såkaldte it-eksperter er ikke altid helt så opmærksomme som de burde være. Her til morgen fangede to sager min opmærksomhed fra Computerworlds morgen-briefing…
Den første var, at det lykkedes forbrydere at mine bitcoins for knap en femmer. Ikke nogen væsentlig formue, men ikke desto mindre opnået via adgang til et fagforbunds datasystemer.
Den anden var sagen om hackerangrebet på Det Kongelige bibliotek, som du kan læse om herfra.
Det skal siges med det samme, at det ER korrekt, at man ALDRIG skal have software online, som ikke er opdateret. Den pointe har jeg også selv beskrevet her på bloggen når det gælder bloggere, der ikke holder deres WordPress opdateret – og det gælder for ALLE it-systemer.
Det er OGSÅ fuldkommen korrekt, at en russisk ip-adresse i sig selv ikke er bevis på, at hackerne var russiske. Der findes flere systemer, som kan skjule ens fysiske ip-adresse via maskering med en kunstig ip-adresse, og det er også den teknik, som bruges af Tor-browseren, der typisk bruges af it-kriminelle, men bestemt også kan bruges i fuldkommen legitime sammenhænge, hvis du f.eks. vil tilgå hjemmesider i lande hvor censuren har lukket for bestemte nyhedskanaler…
Der hvor kæden hopper af er, når Information kan fortælle dette:
Thomas Lund-Sørensen fremfører også serverens indhold og formål som argument for, at Center for Cybersikkerhed ikke indhentede logfiler derfra.
»Det er ikke det store problem, når den data, der ligger på serveren, i forvejen er beregnet til at være offentlig tilgængelig. Havde det været mere beskyttelsesværdig information, så var det noget andet. Men substansen i den her sag er, at den ikke var alvorlig.«
Thomas Lund-Sørensen fortæller, at Center for Cybersikkerhed vurderer hver sag individuelt, før de går ind i dem.
Der er nemlig en MEGET væsentlig pointe man ikke må glemme. Hvis vi tænker tilbage på den seneste sag hvor billetsystemerne hos DSB gik helt ned, så nævnte man på TV2 News, at det DDoS [Distributed Denial of Service] angreb de var blevet udsat for var baseret på mange computere, som formodentlig var inficerede med malware, og som derved fungerede som digitale soldater i et kombineret forsøg på at nedbringe serverne, så KAN adgangen til én maskine på et netværk man stoler på være ganske vigtigt.
Hvad mener jeg så med det?
Tænk jer om, kære læsere. HVIS man skulle strukturere et kombineret angreb på langt væsentligere systemer, er det så ikke logik for burhøns, at det vil være vigtigt, at have ip-adresser, der IKKE vækker opsigt? En server med forskningsrapporter på en offentlig institution som Det Kongelige bibliotek kunne meget nemt befinde sig på en positiv-liste fordi der kunne være tale om en accepteret ip-adresse, hvorimod Svend Bents lokale Unreal Tournament-spilserver næppe er det…
Begynder det at give mening?
Et ‘ligegyldigt’ mål kan godt være langt mindre ligegyldigt end først antaget, og man SKAL være vågen og opmærksom, hvis man vil opfange de ting, der sker rundt omkring. En god it-administrator har en vis mængde paranoia i sin bagage, og man skal ALDRIG lade sig nøje med, at der på overfladen ikke er sket det store. Det er en del af jobbet at holde sig opdateret, og i særdeleshed være opmærksom på ALLE facetter af det, som foregår, hvis man vil have succes med sine opgaver.
God weekend til alle bloggens læsere. 🙂
