ITWatch

Klumme: Adgangskoden er det svageste led i et cyberangreb

De seneste år har der været en kraftig stigning i antallet af cyberangreb, hvor virksomheder har været udsat for økonomisk afpresning. Den udvikling har kun været mulig, fordi virksomheders it-sikkerhed er så tæt forbundet med brugen af adgangskoder.

Foto: PR

Især det store antal voldsomme ransomware-angreb har gjort det tydeligt, at adgangskoden er det svage led i sikkerhedskæden. Og eftersom adgangskoderne ikke er gode nok som beskyttelse mod it-kriminelle, er det spørgsmålet, om adgangskoder egentlig er den rigtige sikkerhedsløsning.

Det seneste store ransomware-angreb forhindrede for nylig firmaet Colonial Pipeline i at levere benzin til kunder i det sydlige og dele af det østlige USA. Colonial Pipeline måtte i forbindelse med angrebet lukke deres pipeline ned, eftersom firmaet ikke længere kunne drive den på sikker vis. På den måde lykkedes det for russiske it-kriminelle at skabe en hel del ravage – og midlertidigt højere benzinpriser.

Globalt koster ransomware-angreb hvert år virksomheder enorme summer. Ifølge en rapport fra Chainalysis betalte ofre for afpresning mindst 2,2 mia kr. til it-kriminelle i 2020, hvilket var fire gange så meget som året før.

Sådan bruges ransomware af it-kriminelle

Hvad kan virksomheder gøre for at forebygge ransomware-angreb? Det kan jeg bedst svare på ved at gennemgå, hvordan sådanne angreb foregår.

Step 1 i et angreb er, at angriberen finder frem til offeret. Søgningen sker i meget stor skala, hvor it-kriminelle ved hjælp af en række forskellige værktøjer scanner internettet for at finde svagheder i virksomheders netværk. Scanningsværktøjerne er i høj grad automatiske, og ofte bruger angriberne forskellige leverandører, som tilbyder at gennemføre scanningen.

Værktøjerne er meget effektive til at finde de mest sårbare angrebspunkter. De mest almindelige angrebspunkter findes i RDP (remote desktop protocol). Gennem RDP kan der opnås tilgang til computere fra distancen. Dette gør RDP til et ganske praktisk mål for ransomware-angribere. Ud over RDP findes der andre distanceværktøjer som fx VNC, TeamViewer og LogMeIn.

Hvordan kommer angriberne så ind, så de kan tage kontrollen over disse værktøjer? Det korte svar er adgangskoden. Oftest bruges en såkaldt 'brute force'-metode, som indebærer, at angriberne automatisk afprøver millioner af almindeligt forekommende adgangskoder, indtil de finder en kode, som fungerer. Det er almindeligt kendt, at adgangskoder ofte er ret lette at gætte. Når angriberne har fundet frem til en adgangsgivende kode, er tiden inde til at gå videre til step 2 i angrebet. Her logger angriberen ind på den ramte virksomheds netværk ved hjælp af et helt legitimt brugernavn og en adgangskode.

Derefter installeres det ransomware, som krypterer filer på netværket, så den angrebne virksomhed ikke kan bruge dem. En del af de programmer, som de cyberkriminelle bruger, kan hvem som helst købe. I sagen med Colonial Pipeline brugte de russiske cyberkriminelle Darkside, et ransomware som sælges ”as-a-service”.

Det sidste step i angrebene handler om at få penge ud af offeret. Normalt vil offeret blive presset til at betale et beløb i bitcoin, hvilket gør det svært at spore, hvor pengene forsvinder hen. En del af de cyberkriminelle 'opmuntrer' virksomheder til at betale ved at gennemgå filer og true med at afsløre følsom eller fortrolig information, fx forretningshemmeligheder.

Politiet i Washington DC blev eksempelvis for nylig truet med, at private oplysninger om 22 af deres ansatte ville blive afsløret. Blandt de private oplysninger, som de cyberkriminelle havde opnået adgang til, var politibetjentes fingeraftryk, deres hjemadresser og resultater af tests med løgnedetektor.

Tiden er inde til mere moderne metoder

Det siger sig selv, at det ikke er tilstrækkeligt i forhold til sådanne angreb, at man har backup-procedurer. Multifaktorautentificering er heller ikke effektfuld nok. Umiddelbart ser multifaktorautentificering ud til at være et middel mod stålne adgangskoder, men problemet er, at selv multifaktorautentificering er baseret på adgangskoder, fx engangsadgangskoder som sendes via sms eller andre usikre kanaler. Disse kanaler kan hackes på en række forskellige måder.

Tiden er inde til at tænke i helt nye baner, hvor vi eliminerer brugen af adgangskoder. I indsatsen mod ransomwareangreb vil adgangskoder aldrig blive stærke nok, heller ikke hvis de suppleres med ekstra faktorer. Sikkerheden øges først alvor, når vi fjerner adgangskoderne og bygger vores it-sikkerhed på andre og mere moderne metoder i stedet.

Klumme: Cyberrobusthed er intet værd uden sikre leverandører

Klumme: SMV’er kan nu høste lynfordele i skyen 

Mere fra ITWatch

Læs også

Relaterede

Seneste nyt

Se flere jobs