Slik fjernstyrer ukrainske hackere politiets datamaskiner

Tore Neset, redaktør i digi.no og Itavisen.no skriver et friskt innlegg i dag, titulert «Vekk med Windows». Bakgrunnen for dette er at mens både Kripos, helse vest og det norske politiet har latt store deler av sine datanettverk styres av kriminelle ukrainske hackere, bytter det franske politiet ut sine 90.000 Windows-klienter med Ubuntu. De har bare byttet ut 5.000 så langt siden 2004, men har allerede spart 50 millioner euro(!) på lisenser og vedlikeholdskostnader.

Der har vi fått det oppsummert svart på hvitt, at Windows-plattformen er veldig utsatt for virus, og at Ubuntu ikke bare er billigere lisensmessig (gratis lisens, last ned og installer nå!), men også enklere og billigere i drift.

Ja, hva venter vi på? At alle tjenester vi har skal bli slått ut av virus før det skjer noe? Nei! Nok sløsing på leketøy!

Bortsett fra at det er ustabilt på grunn av skrotprogramvare og virusjaget har jeg ikke noe personlig mot Windows. Det spiller mange av spillene dine best. Derimot har jeg noe mot lukket kode i offentlig sektor, da jeg mener lukket kode er nødt til å bli dårligere enn åpen kode. Grunnen til dette er svært enkel. Kode er matte. Det finnes regler for matte, og regler for sikker kode. Åpen kode kan enkelt sjekkes av hvem som helst, og det er ikke så vanskelig å forstå for en programmerer. Siden åpen kode skal sees av mange legger man seg gjerne litt mer flid når man skriver den i utgangspunktet også. Erfaringer viser også at fri programvareprosjekter er nesten 3 ganger så raske til å tette igjen sikkerhetshull som Microsoft.

Hvis man er Kripos, eller Norge, eller USA hadde man kanskje ønsket å ansette er par stykker til å se gjennom kildekoden til det man bruker før alt blir fjernstyrt fra Ukraina?

Det burde være et krav fra det offentlige om at innkjøpt programvare bør kunne sjekkes, videreutvikles og gjenbrukes.

Det rare med hele saken er at når det gjelder hva som helst innenfor offentlig sektor, så skal det spares. Skal du kjøpe noe må du ha en god grunn til det. Når det gjelder programvare så er dette anderledes; du får Microsoft Windows, Internet Explorer og Microsoft Office selv om du ikke trenger det.

Allerede i 2004 var det flere skoler og instanser som gikk over til linux. Hvis de har klart det i 5 år, skulle ikke resten snart kunne følge? Dette er ikke et teknisk spørsmål, men et politisk.

Lurte du på hvordan i all verden ukrainske hackere kan fjernstyre norsk politis datamaskiner? Det er dessverre alt for enkelt. Det er bare snakk om å følge med på varslede sårbarheter og konseptkode, implementere den i et program som sjekker etter oppdateringer og gir dem kontroll over datamaskinen, og spre dette. Det viser seg at svært mange ikke rekker å oppdatere alle sine maskiner på et halvt år, så da er det bare å kjøre på.

Når først man har fått inn en ondvare på en maskin, kan man gjøre akkurat som man vil. For eksempel sette inn en ondvare til, bedre gjemt enn den første slik at man bevarer kontrollen selv etter fjerning. Man kan selvfølgelig få lastet ned alle data fra maskinen, og man kan logge tastetrykk og skjermbilder. Hele datamaskinen og alle dens tilganger er da helt i hendene på den som har laget den ondsinnede programvaren. Dette er ikke storm i et vannglass, dette er storm i en orkan.

VG melder at politiet neppe var utsatt for et målrettet angrep, og neida, dette var ikke et målrettet angrep. Men kan noen fortelle meg hvor mange målrettede angrep som har vært utført siden oktober i fjor? – Nei det er det ingen som kan, for det er ingen måte å finne ut det på. Hvis noen lager egen kode for å angripe en enkelt aktør vil ikke antivirusselskapene få tak i programvare, og dermed ikke få laget noe som kan finne den igjen. Det er på tide at politikere innser hvor alvorlig dette faktisk er.

6 thoughts on “Slik fjernstyrer ukrainske hackere politiets datamaskiner”

  1. Her var det mye gjetting og antagelser.

    Nei, det er ikke likhetstegn mellom Conficker og fjernstyring av maskiner (tips: Sjekk analysene av Conficker for å se hvordan den _faktisk_ fungerer).

    Nei, det er ingen automatikk i at man blir sikrere om man bytter til Linux, OSX, Atheos eller hvilket system man er mest tilhenger av. Tips: Kunnskap om et system er viktigere enn systemet i seg selv.

    Du snakker om tillit til operativsystemet. Hva med tillit til kompilatoren som man bruker for å kompilere operativsystemet? Eller tillit til mikrokoden i Prosessorene? Tredjeparts drivere?

    Anbefaler at du leser gjennom refleksjonene til Ken Thompson (regner med du vet hvem han er): http://cm.bell-labs.com/who/ken/trust.html

  2. Jeg hverken gjetter eller antar noe som helst. Jeg vet svært godt hvordan Conficker fungerer, og hvis skaperen hadde sagt hopp, så hadde Windows hoppet. Hvor er det du mener å ha funnet ut noe annet?

    Det er en automatikk i at hvis man bytter til et sikrere system så er man sikrere. Derimot er intet system vanntett, så ytterligere sikring er nødvendig. Det er også på tide at man begynner å legge hodene sammen for å sikre en felles plattform for offentlig forvaltning (globalt).

    Ken Thompson har gjort en viktig jobb, og det var viktige refleksjoner han gjorde der når han skrev det i 1984. Thrusting thrust-problemet gjelder for alle platformer.

  3. Ref fjernstyring: Den versjonen av conficker det er snakk om, kontakter spesifikke domenenavn som er generert etter en formel. Om jeg ikke tar helt feil her, er alle fremtidige domenenavn under kontroll. Derfor har ikke skaperen av conficker lengre muligheter for å tilgjengeliggjøre filer som ormen kan laste ned.

    Ref svaret ditt om skifte av OS: Jeg er enig i det meste av det du skriver i svaret, men andre setning motsier den første. Dvs, sikkring av default installasjon er alltid nødvendig. Dette krever kunnskap. Og det er til syvende og sist kunnskap som avgjør hvor sikkert det ferdig konfigurerte systemet er.

    Ikke missforstå meg. Jeg vet også at det er forskjeller som gjør et OS mer egnet enn et annet mtp sikkerhet, men dette gjelder kun kunnskapen til de som designer/drifter systemene er lik. Med andre ord, jeg ville valgt et Windows system om det var det driftsavdelingen hadde kunnskaper om. Tilsvarende vil Linux være riktig system om driftsavdelingen har kunnskapene som trengs.

  4. Datamaskinene som ble infisert utførte akkurat de instruksjonene som programmereren hadde bedt den om å gjøre. Det var i de to første variantene å kontakte 250 servere for å sjekke etter oppdatering. Disse 250 serverne er under kontroll. Den tredje oppdagede varianten forsøker å kontakte 50.000 servere, disse er ikke under kontroll. Programmereren kunne like gjerne bedt maskinene om å lete etter informasjon internt og sende hjem det som fantes relevant.

    At et system er sikrere enn et annet utelukker ikke at begge til en viss grad er usikre. Flikking på standard installasjon er en nødvendighet, men det hjelper ingen ting mot sikkerhetshull i for eksempel server service.

    Driftsavdelingen er ikke rette instans til å bestemme dette. De kan komme med råd, men kan også helt fint sendes på kurs hvis de trenger det. I offentlig sektor kan man ikke la de ansattes kunnskaper avgjøre hva som må gjøres. Hvordan skulle det bli på andre områder? Her i bygda legger vi ikke asfalt, fordi vi er flinkere til å legge ut pukk?

    Driftsavdelingen må kunne håndtere det av programvare som organisasjoner velger å kjøpe. For IT-drift er det ikke vanskelig å sette seg inn i Linux, de fleste der er vant til å sette seg inn i ny programvare hele tiden. Likhetene er flere enn ulikhetene. Selv hadde jeg brukt nesten utelukkende Windows i ti år før jeg ga opp og la inn linux på min bærbare. Det gikk ikke lenge før alt føltes helt naturlig, omtrent som når man bytter bil. For brukerne spiller det ingen rolle, så lenge det virker.

  5. Hrmf. Ta i det minste et google søk på Conficker. Vi snakker om 250 unike domener _pr_dag_ (og mener å huske at ICANN har sperret for videre registrering av disse).

    Og nei, den forsøker ikke å kontakte 50.000 servere. Den genererer 50.000 domenenavn, hvorav den kun forsøker å kontakte 500. Igjen, vi snakker pr dag her. Merk også at det er en vesentlig forskjell på å forsøke å kontakte domener kontra servere her.

    Ang hva utvikleren _kunne_ ha gjort: Tenk over dette; hva forsøker Conficker å gjøre? Hvorfor kan vi ikke bruke utviklerens egen teknikk for å fjerne ormen fra nett? Hvorfor har utvikleren valgt å gjøre det på akkurat denne måten? Det er mer enn bare teknologi som er interessant med denne ormen… men desverre blendes IT folk av teknologi… Det ser vi spesielt i debatten omkring OS.

  6. Du har rett i at det var 250 pr dag, og nå er 50.000 pr dag ja. Men når man kontakter et domene må man nødvendigvis treffe en server for at noe action skal skje. Samma det vel 🙂

    Conficker forsøker å lage et botnet, da det er der pengene i ondvare ligger om dagen. Vi kan forsøke å bruke utviklerens egen metode for å fjerne ormen, men vi kan ikke være helt sikre på at det går bra, og i så fall ville det være litt leit å lage ti millioner blåskjermer. (Men litt kult også :))

    Metoden som er brukt er ganske fiffig, i og med at Conficker gjemmer seg så godt i maskinen som den gjør. Den opptrer diskret og ønsker som annen ondvare som lages om dagen selvfølgelig ikke å bli oppdaget, da botnet er målet. Hvis du ikke blir oppdaget har du vunnet. Om noen har klart seg inn uoppdaget, ja så er de der enda.

    Oppdatering av ondvaren er farlig, hvis man klarer å få klemt en linje ut av en server (ja som står bak et domene, vi vet det) uten at noen fikk det med seg vil man kan ha gjemt en andre ondvare et annet sted i datamaskinen. Hvis man lager denne typen programvare tar man selvfølgelig i bruk alle skitne triks som finnes. Klarer man

    Botnet brukes til syvende og sist målrettede angrep, spam og alt annet man kan finne på å tjene penger på.

    Teknologi er bare et hjelpemiddel, for kriminelle, eller for offentlige ansatte. Det burde virke bedre for offentlige ansatte enn for det gjør for kriminelle.

    Bruk av fri programvare i offentlig sektor er ikke et teknisk, men et politisk spørsmål.

Leave a Reply

Your email address will not be published. Required fields are marked *