Debat
Mine nyheder

Vi har ikke publiceret nogle artikler for nyligt i de emner, du følger. Søg efter andre emner her.

Du har ingen overvågninger endnu

Klik på ikonet for at overvåge
emner og journalister.

Lær at angribe dig selv

Flere virksomheder kunne med fordel gøre brug af virtuelle automatvåben, som illuderer cyberangreb.

ADVANCE FOR USE MONDAY, DEC. 21, 2015 AT 3:01 A.M. EST (2201 GMT) AND THEREAFTER; THIS STORY MAY NOT BE PUBLISHED, BROADCAST OR POSTED ONLINE BEFORE MONDAY, DEC. 21, 2015 AT 3:01 A.M. EST (2201 GMT) - This Wednesday, May 20, 2015 photo shows server banks inside a data center at AEP headquarters in Columbus, Ohio. Like most big utilities, AEP's power plants, substations and other vital equipment are managed by a network that is separated from the company's business software with layers of authentication, and is not accessible via the Internet. Creating that separation, and making sure that separation is maintained, is among the most important things utilities can do to protect the grid's physical assets. (AP Photo/John Minchillo)

Det gælder i mange af livets forhold, at du bør lære dine svagheder at kende, hvis du vil vurdere din sande styrke. It-sikkerhed er ingen undtagelse.

Derfor er det værd at gøre opmærksom på udbuddet af cyberangrebsværktøjer, som automatisk kan afsløre og udnytte it-systemers svagheder. Et af disse værktøjer blev præsenteret på IT-Universitetet i København forleden, hvor godt 100 it-sikkerhedsfolk var mødt op til en konference med øl, pizza og faglige oplæg.

Oplægsholderen var Hans-Michael Varbaek, som til daglig arbejder i TDC. Han havde udviklet et værktøj, hvor man bl.a. kan se, hvor meget data man kan hive ud af et givent it-system. Det fortrinlige ved dette værktøj (eller cyberangrebsmaskine) er, at det imiterer et cyberangreb og samtidig egner sig til undervisning af folk, som vil sikre deres it-systemer.

Og undervisning er der brug for. Ifølge en nylig vurdering fra Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste står danske myndigheder og virksomheder overfor en meget høj trussel for både cyberspinoage og cyberkriminalitet. Derudover vurderes det, at den teknologiske udvikling indenfor Internet of Things (produkter med internetopkobling) og kunstig intelligens vil medføre, at større angrebsflader vil blive åbnet for ondsindede hackere.

Disse hackere har længe kendt til cyberangrebsmaskinerne og mange af dem er bekendte med tjenesten Metasploit, som også Hans-Michael Varbaek har brugt til at udvikle sit værktøj. Metasploits services kan bruges til at designe automatiske cyberangrebsvåben, som systematisk angriber it-systemer. Metasploit er udviklet med henblik på at udnytte it-systemernes mest udbredte svagheder, og hvis man ellers kan finde deres hjemmeside og har lidt it-teknisk snilde, kan man med tjenestens virtuelle byggeklodser målrette sit angreb mod specifikke virksomheder, offentlige administrationer og privatpersoner.

I princippet kan hvem som helst med de rette evner bruge Metasploit. Nogle af brugerne er angiveligt sponserede af fremmede stater, som forsøger at påvirke den politiske situation til deres fordel, mens andre er teenagere, som bare vil se, hvor langt de kan komme ind på forbudt område. Også er der brugere som Hans-Michael Varbaek, der bruger Megasploit til at udvikle cyberforsvar.

Herhjemme bruger mange store virksomheder cyberangrebsmaskiner, men de små og mellemstore virksomheder halter bagefter. Det bør der laves om på. De er faktisk ikke så svære at bruge, og det vil helt sikkert være umagen værd at teste, hvor høje de virtuelle sikkerhedsmure omkring virksomhedernes værdier er, før det er for sent.

Af Alessandro Bruni, adjunkt, Center for Information Security and Trust Research (CIST), IT-Universitetet og Jari Kickbusch, forskningskommunikatør, IT-Universitetet

BRANCHENYT
Læs også