– Galskap å legge fra seg en usikret laptop

– Galskap å legge fra seg en usikret laptop

Vi slår av en prat med hackerne som ivaretar rikets sikkerhet.

Hei, dette er en Ekstra-sak som noen har delt med deg.

Lyst til å lese mer? Få fri tilgang, ny og bedre forside og annonsefritt nettsted for kun 49,- i måneden.
Prøv én måned gratis Les mer om Tek Ekstra
Annonsør­innhold
Les hele saken »

Har du byttet passord på grunn av en av de mange passordlekkasjene i det siste? Faren i slike situasjoner er høyst reell, og er du uheldig kan du selv, eller kortselskapet ditt, ende opp med tusenvis av kroner i minus. Se for deg dette i en mye større skala. En skala der Visa eller MasterCard ikke ville vært i stand til å dekke tapet. Det er vanskelig å få katta tilbake i sekken igjen, om først sensitive data har lekket.

Det er dette de ansatte ved Nasjonal Sikkerhetsmyndighet, NSM, jobber med hver dag. NSM har hjemmebase i Kolsås leir, og favner 240 sjeler som alle jobber med datasikkerhet på ett eller annet vis. Vi la turen innom, og fikk snakke med seksjonssjef Jørgen Botnan, og to av hans medhjelpere som skal få forbli navnløse.

Rikets sikkerhet

Jørgen Botnan er seksjonssjef i NSM, og snakker forholdsvis fritt om hvordan etaten går frem når den tester sikkerheten til viktige aktører i Norge.
Jørgen Botnan er seksjonssjef i NSM, og snakker forholdsvis fritt om hvordan etaten går frem når den tester sikkerheten til viktige aktører i Norge.Foto: Finn Jarle Kvalheim, Tek.no

– Utgangspunktet for NSMs tilblivelse er sikkerhetsloven. Det er å beskytte Norge mot spionasje, sabotasje og terrorisme. Og da er det rikets sikkerhet, og selvstendighet, det er snakk om. Altså helt øverst i pyramiden, forklarer seksjonssjef Botnan, før han tilføyer at dette har utviklet seg over tid og at mandatet er noe utvidet etter at loven trådte i kraft i 2001.

Rikets sikkerhet. Ord vi hører støtt og stadig, men som likevel veier tungt. Spesielt i en verden der et forholdsvis trygt land ikke er en selvfølge for alle. Vanligvis formidles disse ordene fra en talerstol, ofte under en pressekonferanse. Å få slå av en nærmere to timer lang prat med mennesker som har direkte ansvar for å passe på denne viktige delen av samfunnet vårt er ikke hverdagskost.

– Så hva er det vi gjør da? På inntrengningstesting, den lille øya vår, spør seksjonssjefen ut i luften, før Teks nysgjerrige medarbeidere, Jørgen Nilsen og undertegnede, rekker å spørre om det åpenbare.

– Vi hjelper bare virksomheter som er underlagt sikkerhetsloven. Det betyr at vi tester sikkerhetsgraderte systemer. Det er det bare vi som har lov til å gjøre. Altså systemer som er begrenset, konfidensielt, hemmelig, eller strengt hemmelig, og det som tilsvarer på NATO-siden, forklarer Botnan.

NATO har egne sikkerhetsgraderinger, der Cosmic Top Secret tilsvarer det norske forsvarets merkelapp «strengt hemmelig». Botnan fortsetter med å forklare hvorfor NSMs oppgaver har blitt utvidet de senere årene.

– Det er jo minst like mange sårbarheter og utfordringer knyttet til de ugraderte systemene. Spesielt når de igjen kobles opp mot de graderte infrastrukturene. Så vi har fått utvidet mandatet vårt litt, for virksomheter som det så pent heter er underlagt sikkerhetsloven. Hvis du på en eller annen måte behandler skjermingsverdig informasjon, så får vi lov til å hjelpe deg, også med ugraderte systemer.

Må ha tillatelse til å hjelpe

Kongen og kronprinsen pryder veggen på det støysikrede møterommet.
Kongen og kronprinsen pryder veggen på det støysikrede møterommet.Foto: Finn Jarle Kvalheim, Tek.no

Å få lov til å hjelpe er en setning som sier mye. Både om kravene som stilles til NSM, og om den trangen til å bedre datasikkerheten i Norge som vi aner når seksjonssjefen snakker om emnet.

– Det er veldig nøye regulert dette her. Vi har ikke noe blankofullmakt til å gjøre noe som helst. Vi må ha samtykke. Rammen er veldig viktig. Vi er ikke en troll ut av eske-kapasitet som bare spretter ut og gjør rare ting.

– Alt starter med en anmodning, som regel. Enten at noen spør oss, kan dere hjelpe oss, eller hvis det er en eller annen sektor som vi ser har et problem. Vi kan si at vi tror dere har et problem, samtykker dere til at vi hjelper dere? Og det sier de alltid ja til, for det er fint å få hjelp, forklarer Botnan som noen øyeblikk tidligere rettet oppmerksomheten vår mot en kosedyrvariant av en St. Bernhardshund.

– Vi er et hjelpemiddel. Vi er rådgivere og hjelpere. Det er derfor vi har maskoten vår der. Det er på en måte menneskets beste venn, og det er sånn vi ser på oss selv og. Så vi liker å hjelpe folk. Det kan jo være ubehagelig, for vi avslører jo sårbarheter. Men, det er jo for å hjelpe, med å gjøre ting mer robust og mer sikkert.

Maskotten er ikke det eneste synlige tegnet i møterommet vårt på at sikkerhet tas alvorlig. For det første er møterommet sikret. Vi får beskjed om at vi er de første journalistene som slipper inn på dette møterommet, som er sikret mot gjennombløding av både lyd og radiobølger. Rommet står på stylter, og gir fritt innsyn rundt det hele. Det har også egen ventilasjon som er koblet på en sinnrik måte for å hindre lyd og radiobølger fra å ferdes den veien. Såpass må til når rommet skal brukes til samtaler med strengt hemmelig innhold.

– Vi har en forankring i loven, men du må selvfølgelig ha en slags avtale som ligger på plass i bånn her, for ellers er det straffbart. Vi må jo jobbe med dette når vi er på jobb, og så må man gjøre noe annet når man kommer hjem, for det er ikke lov å gjøre dette når man er hjemme. Det ligger i sakens natur at da må vi ha en ganske tight ramme på det, forklarer Botnan som åpenbart ikke bare kan ta hjemmekontor om T-banen står stille.

Tester kan ta alt fra en uke til ubestemt tid

– Vi har et eget opplæringsprogram, som tar fra ni måneder til ett år cirka, hvis du har en master i IT. Når du er ferdig med det får du et godkjentstempel som inntrengningstester da, og får lov til å teste på vegne av NSM.

Den totale testkapasiteten i løpet av et gitt år er hemmelig, men Botnan avslører at en inntrengningstest kan vare alt fra en uke til måneder og år.

– Vi må ha avtaler og samtykke og hele den juridiske biten. Å ta det på en dag er vel bortimot umulig. At vi klarer å få et oppdrag på en mandag, og ha rapporten ferdig til fredag, det har vi klart i enkelte tilfeller. Men, det synes vi ikke er noe gøy, for da får man litt for dårlig tid.

– Er det når noen har skikkelig bange anelser?

– Ja, det kan være det. Men det kan like gjerne være at noen har behov for en test for å få et system godkjent.

Litt mer konkret foregår testene på en rekke ulike måter, men hvor enn viktig jobben er, driver ikke inntrengningstesterne med James Bond-virksomhet. Det presiseres at de ikke kler seg ut som vaktmestere, og forsøker å snike seg forbi vaktposter og liknende. Litt snikete kan de likevel være.

Rekkefølgen i et angrep

E-postangrep er fortsatt noen av de vanligste typene angrep som utføres. Vi får demonstrert gangen i et fiktivt angrep av en av NSMs hackere.
E-postangrep er fortsatt noen av de vanligste typene angrep som utføres. Vi får demonstrert gangen i et fiktivt angrep av en av NSMs hackere.Foto: Laget for Tek.no av NSM

Vi blir vist papirer som forklarer rekkefølgen i et slikt simulert angrep, der starten ofte inkluderer undersøkelser av hva som ligger åpent ute. Sosiale medier fremheves som en viktig kilde til slik informasjon.

Videre i angrepet kan det hende denne informasjonen brukes til å sende ut lokke-e-poster. Disse har forholdsvis lite til felles med det store volumet av søppelpost som sendes ut i tusentall.

Det er lukrativt å kunne angripe fra hvor som helst i verden. Altså må det foregå via internett på en eller annen måte. Og hvordan gjør man det? Det er e-post. Det er sånn det angripes. Det er liksom den store bolken. Da er det en kombinasjon av menneskelige og teknologiske svakheter. Du må jo først lures til å åpne denne e-posten. Det er jo veldig enkelt, for du har blottlagt deg på sosiale medier. Alle vet alt om deg likevel. Det er lett å skrive en e-post som du forventer du skal få.

– Du tror ikke at det er prinsen fra Nigeria ...

En adventskalender som krever Java er kanskje ikke så vanlig, men ikke helt utenkelig heller.
En adventskalender som krever Java er kanskje ikke så vanlig, men ikke helt utenkelig heller.Foto: Laget for Tek.no av NSM

– Nei, nei, ikke sant! Det er ikke sånn. Det er mer; Hei nå er det ny sesong, her er kjøreplanen for neste kvartal på fotballtreninga. Og ungene dine går faktisk på den fotballen. Det er på en måte helt genuint. Det eksisterer ingen grunn til at du ikke skal åpne den.

Fare på ferde

Så fort e-posten, et vedlegg eller en lenke fra e-posten er åpnet, er det fare på ferde. Vi får en praktisk demonstrasjon, forkledt som en adventskalender hos et helt tilfeldig valgt nettmedium. For anledningen har utvikleren valgt Java, og han har også signert koden sin, for at færrest mulig advarsler skal dukke opp underveis. Den eneste advarselen vi får se på målmaskinen er den som tillater Java-appleten å kjøre, den vi er vant til, gjennom noen år med BankID-pålogging.

Java-appleten er skrevet spesifikt for formålet, og det som lurer seg bak blir dermed ikke fanget opp av oppdatert sikkerhetsprogramvare. Siden den er signert får du heller ikke opp flere advarsler enn denne.
Java-appleten er skrevet spesifikt for formålet, og det som lurer bak blir dermed ikke fanget opp av oppdatert sikkerhetsprogramvare. Siden den er signert får du heller ikke opp flere advarsler enn denne.Foto: Laget for Tek.no av NSM

Så fort det lille stykket kode kjører, reagerer et annet skjermbilde, som varsler at en bruker er pålogget. Straks etter begynner vår mann å hente ut tastetrykk fra den rammede maskinen. Keyloggeren er installert, og fungerer.

Dette er kun én av mange måter NSM, såvel som ondsinnede hackere, skaffer seg tilgang på systemer på. Passordknekking er en annen viktig del av en inntrengningstest. Dette gjør NSM på relativt ordinært utstyr, i form av en kraftig arbeidsstasjon med plass til en hel rekke skjermkort. Utstyret kan kjøpes av hvem som helst, og vi får vite at det muligens er tiltenkt såkalt CAD, eller computer aided design, i utgangspunktet.

Den massive regnekraftene flerfoldige skjermkort kan by på, er imidlertid også nok til å knekke ett av tre passord NSM kjører gjennom den. Det kan du lese mer om i denne artikkelen.

Skaffer seg flere fotfester

«Julekalenderen» har koblet seg til.
«Julekalenderen» har koblet seg til.Foto: Laget for Tek.no av NSM

Så fort NSM har fått én tilgang begynner jobben med å skaffe seg flere holdepunkter i nettverket. Det kan dreie seg om å få tilgang på selve infrastrukturen, med svitsjer og rutere, eller det kan handle om å prøve ett eller to nye passord om dagen på arbeidsstasjoner til man til slutt kommer inn. Vel inne forsøker NSM-hackerne å opprette nye brukerkontoer. De forsøker også å sette opp applikasjoner med utgående trafikk, som de kan reversere. Brannmurer er gode på å blokkere innkommende trafikk, men de skal slippe gjennom trafikk ut av nettet. På denne måten blir statshackerne både mindre synlige, og de får et fotfeste de kan logge på senere.

Kontrollverktøyet er også koblet til serveren.
Kontrollverktøyet er også koblet til serveren.Foto: Laget for Tek.no av NSM

– Det er folk som hiver inn utstyr i nettet, kanskje soner ut en tjeneste i firewallen sin, og så står den med standard brukernavn og passord på internett. Enkelte servere har altfor mye rettigheter i nettet som de ikke trenger. Eller de har glemt å tighte til brannmurreglene i nettet sitt, slik at det er for mye åpning mellom sonene. Det å sone nettet og splitte tjenestene fra hverandre gjør et angrep vanskeligere, forklarer en av de to navnløse hackerne vi har med oss.

Så fort fotfestet er etablert, begynner hackerne å lete etter gull. Hva det nå enn er målet forsøker, eller burde forsøke, å verne.

– Det er noen som er stolt av å se oss, og det skulle bare mangle, skyter hackeren inn.

Noen øyeblikk senere kan vi lese ut et helt påloggingsforsøk, inkludert et svakt passord, i klartekst.
Noen øyeblikk senere kan vi lese ut et helt påloggingsforsøk, inkludert et svakt passord, i klartekst.Foto: Laget for Tek.no av NSM

– Det er verre med de som ikke ser oss. Og det er en del av de og. Det er kanskje fifty fifty. Da har man ikke ting på stell, altså. Og det et ganske dramatisk funn i seg selv, forklarer seksjonssefen.

Likevel er det ofte svært enkle sikkerhetsglipper det handler om. Feiltrinn som minner veldig mye om dem du kan finne mange av på Gardermoens hittegodskontor, for eksempel. Vi legger igjen usikret teknologi rundt oss.

 – Galskap å legge igjen usikret laptop

– Fysisk tilgang er fortsatt et problem. Da er vi litt inne på tingenes internett og det nettverksbaserte samfunnet. Ting blir lettere og mindre. Folk mister telefonen sin, eller mister laptoper. Du legger igjen laptopen din på hotellrommet mens du er ute og spiser middag. Spørsmålet er hvem som har tilgang på det rommet mens du er ute. Hvor mange minutter trenger du med den laptopen for å få gjøre noe ugagn. Med en del grunnleggende kryptomekanismer, altså full harddiskkryptering, gjør du jobben vår veldig mye vanskeligere. Men, det er dessverre veldig mange som ikke bruker den type funksjonalitet, sier Botnan.

Han anbefaler både harddiskkryptering, sikrede oppstartmekanismer og at du bærer med deg halvparten av krypteringsnøkkelen på en USB-pinne i lomma. Det vil være galskap å legge igjen en usikret laptop på hotellrommet uten å ha tatt disse tiltakene, får vi vite.

På spørsmål om hvordan dette forholder seg for mobiltelefoner får vi forklart at det skjer ting også på denne fronten, og at det nok er for tidlig å friskmelde Android og iOS foreløpig. Noe mer i dybden på akkurat det ønsker de ikke å gå.

Et langt passord kan også være svakt. Hvis innholdet kan hentes fra en ordbok, eller inneholder årstall, kan denne maskinen knekke det temmelig fort. Rundt en tredel av passordene NSM kjører gjennom maskinen lar seg knekke.
Et langt passord kan også være svakt. Hvis innholdet kan hentes fra en ordbok, eller inneholder årstall, kan denne maskinen knekke det temmelig fort. Rundt en tredel av passordene NSM kjører gjennom maskinen lar seg knekke.Foto: Finn Jarle Kvalheim, Tek.no

NSM kjører i hovedsak testene sine på aktive nettverk og utstyr. De gjør også andre tester på referanseutstyr og liknende.

– Er dere redde for å ødelegge noe inni der, spør Kjetil Berg Veire, NSMs informasjonssjef som også er til stede.

– Selvfølgelig er vi redd for at ting skal gå i stykker. Det har jo vært en del av rutinene og konseptet vårt fra starten av. Så vi er skalert og rigga for å teste produksjonssystemer live, forklarer Botnan.

Så hvordan holde seg sikker? NSM anbefaler at man holder både programvare og maskinvare oppdatert. Det er også fornuftig at sluttbrukere i bedriften ikke har administratortilgang på PC-en sin. Blokkering av applikasjoner gjennom lister over godkjent og ikke godkjent programvare er også et effektivt tiltak. Det griper litt inn i brukerens muligheter, men skal til sammen være nok til å stoppe mellom 80 og 90 prosent av angrep.

Ønsker å hjelpe privatpersoner også

Tingenes internett fremheves som en utfordring. Alt er oppkoblet, inkludert kjøleskap, biler og klokker. Også helserelatert utstyr har radiosendere.
Tingenes internett fremheves som en utfordring. Alt er oppkoblet, inkludert kjøleskap, biler og klokker. Også helserelatert utstyr har radiosendere.Foto: LG

Foreløpig jobber NSM utelukkende med tematikk knyttet til sikkerhetsloven, og bedrifter som på en eller annen måte er underlagt den. Dermed er ikke NSM et organ folk flest kan be inn i stua på kaker, kaffe og inntrengningstest.

– Nå er det bare virksomheter vi hjelper, konstaterer Botnan, men understreker at usikret utstyr på internett er en risiko.

– Vi prøver å lage et opplegg som kan hjelpe folk. Hvis du er så uheldig, at du kan ikke mye om data, og så har du babycallen stående på rommet eller, ved siden av senga di på soverommet. Du har ikke helt styring på brannmurer og passord og ting og tang. Så har du eksponert det da, og enhver fjortenåring som kan bruke nettjenester som Usikkert.no og Shodan kan titte inn på soverommet ditt, eller se på ungen din. Det er ikke noe trivelig, og det er lett å gjøre noe med egentlig. Og det har vi veldig lyst til.

– Nå kobler jo folk opp kjøleskap og vaskemaskiner også?

– Mitt neste kjøleskap skal være kobla på. Klokka di, hun som hadde insulinpumpe med app som kan styres fra telefonen. Så det er jo nye utfordringer når du skal være på rom hvor du egentlig ikke har lov å ha radiosendere, så har du faktisk en i brystkassa. Det skjer kjempefort. Lovgiving henger ikke med. Mennesker henger ikke med. Spennende tider. Gøy. Moro for ungene det her! Ja, vi elsker det virkelig, avslutter Botnan før besøket rundes av.

Datasikkerhet er like viktig når maskinvaren pensjoneres. Les mer om hvordan du kan slette innholdet ditt sikkert, før du kaster eller selger IT-utstyret.

Norges beste mobilabonnement

April 2019

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Youteam 1 GB


Jeg bruker middels mye data:

GE Mobil Leve 6 GB


Jeg bruker mye data:

Chili 25 GB


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Til toppen