Ifølge New York Times er sidste uges hack af Microsoft sandsynligvis
foretaget via en hjemme-pc som havde adgang til Microsoft´s virtuelle
netværk. Selvom Microsoft forsøger at begrænse skaderne og samtidig deres ry
og i den seneste pressemeddelelse derfor understreger at hackerne kun har
haft adgang til deres netværk i et par uger er skaden allerede sket. Det er
for de fleste ligegyldigt om sikkerheden hos verdens førende softwareproducent er knækket i ugevis eller i få timer. Fundamentalt er bekymringen,
at det kunne ske.
Hacket p.g.a. af uddateret antivirus program?
Sikkerhedseksperter hos Microsoft prøver at finde frem til årsagen for at
sikkerheden blev brudt. Flere peger på at den trojanske hest
VBS.Coolnot.worm (QAZ) er den primære årsag til
at en person kunne få fingrene i følsomme login oplysninger fra en hjemme-pc.
Denne trojaner med ormeegenskaber har ellers længe været kendt af
producenterne af antivirus-programmer i længere tid og har været inkluderet
i opdaterede virusdefinitioner. Det kan derfor tænkes, at den pågældende
Microsoft-medarbejder ikke har fået opdateret sit antivirus-program. En
anden mulighed er, at der ikke har været installeret et antivirus-program.
Adgang til kildekoden af nyt produkt (.net)
Rich Miller, talsmand for Microsoft, siger i et interview til BBC News
følgende: "Da vi først indså omfanget af angrebet valgte vi at involvere
FBI". Hackerne fik adgang til et "high level" sikkerhedsområde d. 14.
oktober 2000. I såkaldt "low-level" sikkerhedsniveau kan hackerne læse
Microsoft ansattes e-mailadresser og andre interne dokumenter og det
udelukkes ikke at hackerne har haft adgang til systemet i længere tid end en
uge. Det understreges at adgangen til "high-level" kun har været mulig i
dagene mellem d. 14.10 - 25.10 2000.
Samtidig siger Rich Miller, at
hackernes største bedrift var at tiltvinge sig adgang til kildekoden til et
produkt som endnu ikke er frigivet og først forventes klar engang i 2002.
Microsoft ønsker ikke at uddybe hvilket produkt der specifikt er tale om.
Der er imidlertid intet som tyder på at hackerne har downloaded den store
kildekode eller modificeret den, udtaler han. Det afslører deres interne
log-filer.
Microsoft´s sikkerhedseksperter kunne ikke spore hackerne
Microsoft erkender i et interview i Yahoo News, at de ikke har haft held med
at spore den eller de gerningsmænd, som har infiltreret systemet. Dette på
trods af, at Microsoft har leget kat og mus med hackerne i mere end 1 uge i
det interne netværk. Mark Rasch som et direktør for sikkerhedsfirmaet Global
Integrity siger at det ikke er ualmindeligt for firmaer at de må opgive
jagten på hackerne. "Det er kun de dumme som bliver fanget", udtaler han til
Yahoo News. De mere snedige er bedre til at dække deres spor og bliver
derfor vanskelige at fange.
Kæden er ikke stærkere ...
Når en softwaregigant knækker nakken på en trojansk hest som allerede er
kendt hos samtlige antivirus producenter sætter det tingene i et dystert
perspektiv. Det kan også ske for den lokale producent af vandmålerudstyr,
Den Danske Bank eller Mærsk. Sikkerhed er et omfattende emne som involverer
mere end blot optimal konfiguration af software/hardware. Det handler også
om at være i stand til at udarbejde en sikkerhedspolitik som er "bred nok"
til at kunne forstås af alle og til at udrydde evt. misforståelser. Et kendt
mundheld: "kæden er aldrig stærkere end det svageste led" passer som
skræddersyet til denne problemstilling.
Udbygning af sikkerhedspolitikken
Jeg har ved flere lejligheder gennemgået eksisterende sikkerhedspolitikker
og i ca. 70-80% af tilfældene har regelsættet ikke tydeligt nok omfattet
brugen af hjemme PC´ere. En medarbejder, som har adgang til et netværk fra
en hjemme-pc, skal opføre sig på samme ansvarlige måde derhjemme som på
arbejde. Sikkerhedspolitikken bør derfor omfatte brugere af hjemme pc´ere på
arbejdspladser.
En kompromitteret hjemme-pc med adgang til et virtuelt
netværk er det samme som en hacker får direkte adgang til et netværk. Det
kan ofte være vanskeligere at finde hackeren hvis denne tvinger sig adgang
via en "legal" pc og har mulighed for at oprette kontoer. I dette tilfælde
blev "sikkerhedshullet" først konstateret da "hackerne" begyndte at oprette
uautoriserede konti. Dette skete angiveligt 14 dage efter, at de første gang
havde tiltvunget sig adgang til netværket.
Når vi herhjemme taler meget om hjemmearbejdspladser er det fundamentalt
vigtigt, at vi har alle disse erfaringer med i vores overvejelser. Det skal
med andre ord sikres, at sådanne episoder ikke forekommer herhjemme. De
medarbejdere som vi beslutter skal arbejde hjemmefra må i deres
arbejdsbeskrivelse sørge for, at vedligeholde antivirus software og evt.
installere en personlig firewall.
Virksomheden bør sikre at dette ansvar
opfyldes. Pc´eren, som stilles til rådighed af firmaet, må kun anvendes i
arbejdsmæssig sammenhæng. Det er med andre ord ikke forsvarligt at børn og
andre familiemedlemmer har adgang til selv samme pc som kobles op på et VPN (Virtual Private Network).
