Hvorfor forsøge at hacke komplekse sikkerhedssystemer, når man kan hacke mennesker så meget lettere?
Hackere benytter sig ofte af såkaldt ‘social engineering’, hvor intetanende personer i god tro åbner døren for de ubudte gæster.
»Hej, jeg ringer fra it-afdelingen. Der er lige et program, du skal installere.« Dette er et typisk eksempel på et telefonopkald fra en hacker, der bruger social engineering, og som prøver at narre dig til at give hackeren adgang til et it-system.
Et anden udbredt eksempel på social engineering er at placere en USB-nøgle på et kontor i en virksomhed. Når en medarbejder stikker USB-nøglen i sin computer for at finde ud af, hvem den tilhører, installeres et overvågningsprogram – og vupti hackere er nu i al ubemærkethed inde i virksomhedens it-system.
»Er hackere først kommet ind i it-systemet via en medarbejders computer, har de som regel lettere adgang til at rode rundt i dele af virksomhedens data,« siger Christian W. Probst, lektor ved DTU Informatik, der prøver at komme problemet til livs.
Social sikkerhedsmodel
For at imødegå udfordringen fra social engineering har Christian W. Probst sammen med kolleger udviklet en ny sikkerhedsmodel. I modellen fokuseres der ikke bare på sikkerhed ud fra en analyse af tekniske specifikationer, men også på de mennesker, der benytter teknikken.
»Virksomheder er generelt meget dygtige til at beskytte sig mod angreb udefra, men de garderer sig sjældent mod angreb indefra. Vores model analyserer sig frem til, hvor risikoen i et system findes. Et typisk overset led i sikkerhedskæden er netop brugerne,« fortæller Christian W. Probst.
Mere specifikt kigger han på adgangskontrollen for både mennesker og programmer. Hvilke muligheder har en aktør i et it-system, og hvilke konsekvenser kan det give?
»Min far har lige været udsat for et angreb«
Det smarte ved social engineering , at mange mennesker blindt stoler på en person, der tilsyneladende har autoritet og større viden, end en selv.
»Det eneste en hacker har brug for er én person, der ikke kender virksomhedens it-sikkerhedspolitik til punkt og prikke – så er de inde i systemet,« siger Christian W. Probst.
Sikkerhedsforskerens egen far har lige været udsat for et angreb.
»Min far på 72 modtog en mail, hvor der stod, at hans konto var overtrukket. Den dag var han træt, og så klikkede han på linket i mailen og endte med en virus på sin computer,« fortæller Christian W. Probst.
Dette dokument må aldrig komme ud fra virksomheden
\ Fakta
Hvad enten hackere bruger vedhæftede filer, telefonopkald eller USB-nøgler til at få foden ind i et it-system, kan det alt sammen samles under social engineering-paraplyen. Princippet er i alle tilfældene det samme: snyd mennesker i stedet for systemer.
Den 1. november går Christian W. Probst i marken for at teste sin nye sikkerhedsmodel. Eller mere konkret hvordan mennesker påvirker sikkerhedssystemer.
»I vores model lægger vi et dokument i en virksomheds it-system, hvor der står, at dette dokument aldrig må komme ud fra virksomheden.«
»Hvis vi efterfølgende er i stand til at vise i modellen, at dokumentet kan forlade virksomheden, betyder det, at en ondsindet aktør kan få adgang til virksomhedens data,« siger Christian W. Probst.
Sammen med partnere fra Aalborg Universitet, andre universiteter og virksomheder fra hele Europa, vil han undersøge effekten af for eksempel et angreb med en USB-nøgle. Kan man ved brug af social engineering få adgang til hemmelig data i en given virksomhed?
Cloud’en er kæmpe udfordring
Næste store udfordring for forskerne i it-sikkerhed er cloud computing.
Cloud computing har de sidste par år været et buzzword i it-verdenen. Begrebet dækker over, at dataopbevaring og regnekraft i stigende grad flyttes fra den enkelte bruger eller virksomhed ud i enorme datacentre kaldet skyen eller på nudansk ‘cloud’en’.
Tendensen kan sammenlignes med skiftet på fabrikker for 100 år siden, hvor man gik fra lokal elforsyning via vandhjul eller dampmaskiner til at få energi leveret fra store, centrale elselskaber.
»Cloud computing repræsenterer en speciel udfordring, da det betyder, at virksomheder får mindre kontrol over deres data. Virksomheder lejer jo ikke kun computere og regnekraft ved cloud computing, men også de ansatte i datacentret.«
»Sikkerhedskæden bliver mere kompliceret og får flere menneskelige led i overgangen til at it er en service, der leveres over internettet. Set med it-sikkerhedsbriller er cloud’en en kæmpe udfordring,« siger Christian W. Probst.
It-sikkerhed handler balance
Når man skal lave et it-system så sikkert som muligt, handler det dog ikke kun om at minimere risiko ved at begrænse medarbejdernes muligheder og adgang til information, påpeger forskeren.
»Det handler om at ramme balancen mellem at it-systemet er sikkert, og medarbejderne synes, det er til at bruge i dagligdagen. Man kan ikke bare regulere sig ud af problemerne.«
»Hvis man kun tænker sikkerhed, ender det med, at medarbejderne hverken kan eller gider bruge it-systemet, eller selv finder smutveje rundt om sikkerhedsmekanismerne,« slutter Christian W. Probst.
