Læs også:
Så meget netværkstrafik sniffer myndighedernes cyber-vagthund
Sådan kan du undgå at blive ramt af logningsbekendtgørelsen
GovCERT er de danske myndigheders cyber-vagthund, og kan med sit censornetværk overvåge myndighedernes netværk.
Det drejer sig om overvågning af al netværkstrafik, der går ind og ud af myndighedernes og et ukendt antal regioner, kommuner og private virksomheder.
Enheden har siden oprettelsen i maj 2009 haft mulighed for at overvåge såkaldt trafikdata, men fik ved hjælp af en ny lovgivning fra 2011 mulighed for at gå endnu længere.
Censornetværket består af én censor per myndighed, der kan videresende information om angreb direkte til GovCERT's analytikere.
Computerworld giver dig her et indblik i, hvilke data GovCERT-enheden placeret under Center for Cybersikkerhed, der hører hjemme ved Forsvarsministeriet har adgang til.
Så langt må de gå
GovCERT har adgang til at undersøge to helt centrale dele af netværkstrafikken.
Det drejer sig om såkaldt trafikdata, der bruges til at spore, hvem der er afsender og modtager data.
"Hvis du afsender en e-mail, oprettes der en forbindelse fra ham, der vil sende en mail til modtagerens mailserver. Her sker der en oprettelse af forbindelse, når der skal sendes en mail. Den oprettelse kalder man trafikdata," forklarer Ulf Munkedal, der it-sikkerhedsekspert ved FortConsult.
Denne type data har GovCERT opsnappet hos myndighederne siden enheden blev oprettet i maj 2009.
Et enigt folketing besluttede per 1. juli 2011 at udvide GovCERT's beføjelser, så enheden fik lov til kigge direkte ned i indholdet af datapakkerne.
"Selve indholdet af mailen, altså det der står af tekst, det kalder man pakkedata." fortæller Ulf Munkedal.
Ved at åbne for overvågning og analysering af pakkedata, har GovCERT fået endnu større mulighed for at efterforske hændelser.
"For at opfylde GovCERT's funktion og formål er det nødvendigt at have adgang til pakke- og trafikdata." siger Thomas Kristmar, der er chef for Krisestyrings- og Operations-afdelingen ved Center for Cybersikkerhed.
Sådan længe gemmes data
GovCERT har lov til at gemme trafikdata i op til ét år, hvorimod pakkedata i udgangspunktet kun må gemmes i seks dage.
Men enheden har gennem lovgivningen selv mulighed for at vurdere, om pakkedata skal gemmes i længere tid.
"Udgangspunktet er, at pakkedata, der ikke vedrører en såkaldt sikkerhedshændelse, lagres i seks dage. Derefter slettes data automatisk." siger Thomas Kristmar og fortsætter:
"Hvis yderligere undersøgelser er nødvendige for at afgøre, om der er tale om en sikkerhedshændelse, vil GovCERT kunne gemme pakkedata i op til 14 kalenderdage. Efter den midlertidige periode skal pakkedata slettes,".
Enheden har samtidig mulighed for at gemme pakkedata i helt op til tre år, hvis analytikerne vurderer, at trafik- og pakkedata er relateret til en sikkerhedshændelse.
"Når der er tale om en sikkerhedshændelse, kan pakke- og trafikdata relateret til sikkerhedshændelsen gemmes i op til tre år." fortæller Thomas Kristmar.
Ifølge GovCERT gemmes al data lokalt på de enkelte censorer, der befinder sig hos myndighederne.
Her sidder censoren hos myndigheden
Som det ses på billedet ses et diagram over placeringen på censoren:
Sådan behandles mistænkelig netværkstrafik
GovCERT's analyseafdeling består af otte mand, der har vidt forskellige kompetencer, herunder datanomer, fysikere og ingeniører.
Analytikerne modtager besked, hvis censorerne i netværket opfanger aktivitet, som filteret opfatter som mistænksomt.
"I første omgang er det et spørgsmål om at vurdere sikkerhedshændelsen på baggrund af en eksempelvis en alarm. Her får analytikeren én datapakke frem og må vurdere, om det er et falsk eller ægte positiv fra proberne." fortæller Thomas Kristmar og fortsætter:
"Hvis det vurderes, at alarmen er ægte, og dermed at der er tale om en formodet sikkerhedshændelse, oprettes der en sag i vores hændelsessystem med henblik på at hente pakkedata fra proberen til nærmere analyse. Hændelsen registreres, da vi i alle tilfælde dokumenterer, at vi henter pakkedata fra proberne."
Afdelingen sletter pakkedata, hvis hændelsen vurderes til at være en såkaldt falsk positiv.
"Men hvis vi vurderer, at det er sikkerhedshændelser, så kan vi tage flere pakkedata, og hvis det vurderes, at der er tale om et angreb vil Center for Cybersikkerhed udsende en varsling, eller hvad vi nu finder nødvendigt at gøre," siger Thomas Kristmar.
GovCERT kan ikke foretage politianmeldelse for myndighederne, derfor videregives varslingsinformation direkte til den angrebne part.
"Det er myndigheden selv, der foretager politianmeldelse ud fra vores information. De kan derefter bede politiet om at rette henvendelse til os, da vi har hjemmel til at videregive pakke- og trafikdata, der knytter sig til en sikkerhedshændelse," fortæller Thomas Kristmar og fortsætter:
"Forsimplet kan man sige, at der i processen omkring et angreb indgår tre roller: At opdage og imødegå angrebet, det gør Center for Cybersikkerhed. Vurdering af truslen ud fra de, der angriber, det er efterretningstjenesternes arbejde. Selve opgaven med at efterforske og få angriberne fanget, det er politiets opgave,"
GovCERT må ikke undersøge krypteret trafik
Det er midlertidig ikke al trafik, GovCERT har mulighed for at undersøge til bunds.
Hvis angriberne benytter sig af https, ssl eller andre krypteringsformer, så har GovCERT ikke hjemmel til at dekryptere pakkedata.
Hvordan analyserer I så krypteret data?
"Det er super simpelt. Det gør vi nemlig ikke, da vi ikke har hjemmel til det. I forbindelse med etableringen af GovCERT, undersøgte vi, hvilke judiske rammer der skulle tilvejebringes for etablering af GovCERT's monitorering af internetforbindelser." fortæller Thomas Kristmar og fortsætter:
"For at skabe et klart juridisk grundlag viste det sig, at vi skulle have vores egen lov, Lov om behandlinger af personoplysninger ved driften af den statslige varslingstjeneste, og i bemærkningerne til den lov står der, at hvis kommunikationen er krypteret, så må vi ikke dekryptere den,"
Hvis man ikke må dekryptere trafikken, kan der så ikke stilles spørgsmålstegn ved hele censornettes anvendelse?
"Der er ingen tvivl om, at krypteringen udgør en udfordring for vores mulighed for at fungere ligeså godt, som vi gerne ville," Thomas Kristmar.
Selvom om pakkedata er krypteret, kan GovCERT stadig analysere de trafikdata, der viser, hvilken destination trafikken kommer fra.
Omfanget af netværket kendes ikke
Via en bekendtgørelse, der trådte i kraft per 1. januar 2013, fremgår det, at kommuner, regioner samt private virksomheder, som beskæftiger sig med kritisk infrastruktur, efter anmodning kan tilsluttes GovCERT's censornetværk.
Her fremgår det samtidig, at indtrædelse i netværket årligt koster 82.360 kroner for betaling af driftsomkostninger.
Men i realiteten har selvsamme parter haft mulighed for at tiltræde censornetværket siden oprettelsen af GovCERT enheden.
"Før det havde vi en forsøgsordning, hvor vi også havde regioner og kommuner med. Simpelthen for at afprøve, om det var relevant at tilbyde GovCERT's ydelser til denne kred og for at få klarhed over, om vi kunne få noget ud af, at få et indblik i trafikmønstrene ved andre dele af den offentlige sektor," fortæller Thomas Kristmar.
Hvilke regioner, kommuner og private virksomheder, der indgår i netværket, vil GovCERT ikke ud med. Men om myndighederne siger de dog:
"De ministerområder, der har centraliseret it-drift, har bedre dækning. Hvorimod de ministerområder, der har decentraliseret driften af den ene eller anden årsag, de vil alt andet lige have en ringere dækning, da ikke al internet kommunikation monitoreres." siger Thomas Kristmar.
Sådan fungerer filteret
Nerven i hele censornetværket er filteret, der ud fra opsatte kriterier skal sørge for, at sniffe netværkstrafik, der er interessant.
Filteret fodres derfor med flere former for information fra det, som GovCERT kalder åbne og lukkede kilder.
"Vores åbne kilder stammer fra internetkilder og kommercielle løsninger. Her får vi mere almindelige angrebsmetoder og teknikker at se. Det kunne være oplysninger om bestemte skadelige domæner," fortæller Thomas Kristmar og fortsætter:
"Lukkede kilder kommer eksempelvis fra andre CERT'er, men information fra lukkede kilder kommer også fra efterretningsverdenen. Her får Center for Cybersikkerhed information om særlige IP-adresser, domæner eller særlige angrebskarakteristika. Information fra efterretningstjenesten giver en anden dybde i informationen."
Læs også:
Så meget netværkstrafik sniffer myndighedernes cyber-vagthund