Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon

Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Læs nu
Du har ingen artikler på din læseliste

Uddannelser i 2030.
Der er flere nye uddannelser i it-sikkerhed på vej, og i fremtiden vil der  være et større behov for den slags specialister. 

Her er det undervisningen med et hold på KEA, der har faget Cops and hackers.
Arkivfoto:: Martin Lehmann

Uddannelser i 2030. Der er flere nye uddannelser i it-sikkerhed på vej, og i fremtiden vil der være et større behov for den slags specialister. Her er det undervisningen med et hold på KEA, der har faget Cops and hackers.

Internationalt
Læs artiklen senere Gemt (klik for at fjerne) Læst

Jagt på hackere: Vi skal helt tilbage til ’patient nul’

Sikkerhedsfirmaer har gjort hackergruppen Lazarus til hovedmistænkt i WannaCry-angrebet. Men beviserne er få og spekulationerne mange i sagen, der kan trække tråde til Nordkorea.

Internationalt
Læs artiklen senere Gemt (klik for at fjerne) Læst

Måske var det den amerikanske efterretningstjeneste NSA, der opdagede og udviklede den sårbarhed i Windows XP-styresystemet, der siden blev forvandlet til en åben ladeport for ransomware-ormen WannaCry.

Måske blev oplysningerne om den sårbarhed stjålet af hackergruppen The Shadow Brokers og lagt ud til fri afbenyttelse på internettet for et par måneder siden. Måske blev informationerne snuppet af en anden hackergruppe – muligvis Lazarus – der bagefter sendte WannaCry på et digitalt korstog gennem blandt andet det britiske sundhedssystem.

Og måske har Lazarus-gruppen tætte forbindelser til det totalitære nordkoreanske regime. Sådan lyder det i hvert fald fra det amerikanske forbundspoliti, FBI.

Når det drejer sig om at finde ud af, hvem der stod bag weekendens omfattende hackerangreb, er det indtil videre meget sparsomt med håndfaste beviser og konklusioner. Der er ingen smoking gun. Til gengæld er der en masse indikationer, der altså lige nu peger pilen i retning af Nordkorea.

Man kan starte med at følge pengene, og det er utrolig nemt i den her situation

Ifølge Peter Kruse, der er cybersikkerhedsekspert og medstifter af it-sikkerhedsfirmaet CSIS, vil det få »alvorlige konsekvenser for Nordkorea«, hvis der skulle blive samlet nok beviser for regimets forbindelse til WannaCry-angrebet. Og det første skridt mod de mere håndfaste beviser er at finde frem til den allerførste computer, der blev ramt af WannaCry-ormen.

»Man skal gå helt tilbage til roden, hvor det hele startede, og så gennemsøge gerningsstedet ved den allerførste hændelse. Det er det, man kalder ’patient nul’«, siger Peter Kruse.

Hos patient nul begynder en detaljeret søgning efter efterladenskaber. Her er det bare ikke fingeraftryk og dna, men IP- adresser eller stumper af mistænkelige koder.

»I denne sag har vi så en kodesammenligning, hvor mine kolleger fra Kaspersky og Symantec illustrerer, at der er et overlap mellem noget af det kodesegment, der ligger i WannaCry, og noget kode, der tidligere er lavet af Lazarus«, siger Peter Kruse og henviser til et blogopslag, der blev offentliggjort på it-sikkerhedsvirksomheden Kasperskys hjemmeside mandag aften.

It-sikkerhedsfirmaet Symantec har desuden fundet et lille stykke kode i en tidlig version af WannaCry-ormen, som er fuldstændig magen til et stykke kode fra et andet hackerværktøj ved navn Contopee. Og Contopee er ifølge sikkerhedsfirmaet højst sandsynligt blevet brugt af Lazarus til at stjæle 80 millioner dollars fra banker i Bangladesh.

I et opslag på deres egen hjemmeside skrev Kaspersky i april, at en af deres forskningspartnere har kunnet koble en europæisk server, som blev brugt i et angreb på den polske banksektor, til en »meget ualmindelig« IP-adresse i Nordkorea.

Det stærkeste bevis mod Lazarus-gruppen er altså indtil videre, at to lange dokumenter af koder fra to forskellige hackerværktøjer, hvoraf det ene er brugt af Lazarus, indeholder en lille bid, der er præcis magen til hinanden.

Symantec skriver i en mail til Politiken, at sporene »kun repræsenterer svage sammenhænge« og ikke indikerer et »definitivt link mellem Lazarus og WannaCry«, og at de derfor »fortsætter med at lede efter stærkere forbindelser«.

Bitcoins lugter

Ifølge Christian Panton, der er it-sikkerhedskonsulent i den internetpolitiske tænketank Bitbureauet, er der »i den grad« behov for en stærkere kobling til Lazarus. Sammenfaldet mellem de to kodestrenge kan være et forsøg på at bringe andre under mistanke, siger han.

»Det kan lige så godt være brugt offensivt af hackerne. Simpelthen som et læk af oplysninger, der skal få efterforskerne til at gå i en bestemt retning«, siger Christian Panton.

Selv om sammenfaldet mellem kodestrengene kan være et plantet bevis, der skal sende efterretningstjenesterne og de mange private sikkerhedsvirksomheder i en forkert retning, mener både Peter Kruse og Christian Panton, at det skal efterforskes nærmere.

Men der er et andet muligt ømt punkt i hackernes adfærd, der ifølge både Kruse og Panton er oplagt at sætte under lup. Noget, der virker næsten »amatøristisk«, hvis man spørger Christian Panton.

Annonce

Artiklen fortsætter efter annoncen

Annonce

»Man kan starte med at følge pengene, og det er utrolig nemt i den her situation«, siger Christian Panton og forklarer, at det virker, som om hackerne ikke har været »særlig omhyggelige« eller ligefrem »ligeglade« med betalingsdelen i WannaCry-ransomwaren. Det kan man blandt andet se på de adresser, man skal sende pengene til, hvis man er blevet ramt.

Sandsynligheden for at finde gerningsmændene er snæver, hvis ikke nul

Er man blevet ramt af WannaCry, der blokerer adgangen til ens filer, skal man sende pengene til bagmændene via en bitcoinkonto, hvis man vil have sine filer tilbage igen. Men ifølge Christian Panton er der i weekendens ransomwareangreb kun brugt få bitcoin-konti.

»Der er kun brugt tre konti, som alle nu kender til. Hvis de bitcoins skal bruges et andet sted, kan man jo se, at de bliver flyttet over i nye bitcoin-punge. Dermed kan man faktisk spore de her penge i meget, meget vidt omfang«, siger Christian Panton og tilføjer:

»’Money doesn’t smell’, plejer man at sige, men det gør bitcoins faktisk«.

En »amatøragtig« operation

Ifølge it-sikkerhedsvirksomheden Kaspersky begyndte Lazarus først for nylig at interessere sig for at profitere økonomisk på deres angreb. Netop evnen til effektivt at inddrive store mængder penge lader til at være stort set fraværende i WannaCry-angrebet.

»De mere professionelle ransomware-hackere har systematiseret og automatiseret det hele, så de bare skal læne sig tilbage i kontorstolen og grine, mens pengene ruller ind, men det kan de her ikke gøre. De er nødt til at manuelt at aflevere en nøgle, så brugerne kan dekryptere deres data«, siger Peter Kruse og kalder det en »på mange måder amatøragtig« operation.

Han bakkes op af Christian Panton fra Bitbureauet:

»Når hackernes ofre kun har fået få bitcoin-adresser at aflevere penge på, er det svært for bagmændene at vide, hvor betalingerne kommer fra. Og det er man jo nødt til at være sikker på, hvis man skal låse brugernes filer op, når de har betalt. Det virker lidt amatøragtigt«, siger Christian Panton.

Artiklen fortsætter efter annoncen

Annonce

Selv hvis det er amatører, der står bag, er det meget usandsynligt, at vi nogensinde får sat ansigt på og retsforfulgt de hackere, der sad bag tastaturet ved WannaCry-angrebet.

»Sandsynligheden er snæver, hvis ikke nul. Det er utrolig svært at komme efter folk i de her tilfælde. Hvis man har fanget en specifik person, så er det tit, fordi vedkommende simpelthen har trådt ved siden af eller talt over sig«, siger Christian Panton. Peter Kruse supplerer:

»Den er lig nul. Selv hvis en stat ansatte folk til at lave digitale våben, ville de jo aldrig udlevere en person, der får løn af den stat«, siger han.

Læs mere:

Annonce

For abonnenter

Annonce

Podcasts

Forsiden