Sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter, skriver artikkelforfatterne. Illustrasjonsfoto: monsitj/Thinkstock

Hackerne fant akilleshæl

To globale hacker-angrep har rystet verden. Sikkerhetshullet som slapp angriperne til, er trolig bare toppen av et isfjell.
Tirsdag, 11 juli, 2017 - 12:37

Av: Daniela Soares/Martin Gilje Jaatun, SINTEF

Fredag 12. mai i år ble fredag den 13. for mange databrukere. Løsepengeviruset «Wannacry» som gikk amok denne dagen, fikk lett spill – i nær 100 land. Årsaken var at et hyppig brukt operativsystem hadde en innebygd sårbarhet. Virus-slektningen «Petya», som slo til denne uken, utnyttet den samme svakheten. Akilleshælen er av et slag som – dessverre – ikke er uvanlig i IT-bransjen.    

Tilsvarende og liknende sikkerhetshull har nemlig vært påvist også i mye annen programvare.

I mai spurte mange seg om de rammede manglet brannmurer. Eller hadde de åpnet en svindel-epost? Men ingen av disse forutsetningene var nødvendige for «Wannacry». Viruset fant trolig veien rundt brannmurer via bærbare enheter som var brukt utenfor muren og deretter på innsiden.

Programvaren som ble angrepet i mai og juni, hadde en kjent sårbarhet. Den ble fikset noen dager før det første angrepet. De som ble rammet, hadde bare ikke oppdatert systemet sitt.  

Mer enn en «driftsjobb»

Men også en rekke program som er lagd for å betjenes via nettsider, har oppgjennom årene trengt oppgradering fordi de viste seg å være sårbare.

Sikkerhetshull i slike program har gjort hackere i stand til å overmanne programvaren, for eksempel ved å fylle søkefelt med informasjon av en annen type eller andre mengder enn det programmet er lagd for å motta. Ved å lure seg inn slik, kan kriminelle få skadelig kode til å spre seg og endre datasystemers oppførsel – herunder låse brukernes filer, slik tilfellet var under mai- og juni-angrepene. 

Alt dette viser at IT-sikkerhet er mer enn en «driftsjobb». Forsommerens globale angrep utnyttet en svakhet som kalles «Buffer overflow». Denne gjengangeren er beslektet med den såkalte «Heartbleed»-sårbarheten, som fantes i mer enn halvparten av verdens webservere mellom 2012 og 2014.

Manglende sikkerhetskunnskap

Flere studier har sannsynliggjort hva som er den bakenforliggende årsaken til slike sikkerhetshull: rett og slett at mange programvareutviklere ikke vet nok om hvordan programmer skal sikres mot misbruk.

Vi i Sintef har kartlagt kunnskapsnivået knyttet til programvaresikkerhet i et utvalg av norske virksomheter. Vi oppdaget at 50 prosent av programvareutviklerne her ikke stolte på at de var i stand til å utvikle sikre programkoder. I en liknende studie Microsoft gjorde verden over, var det tilsvarende tallet 60 prosent.

Dette er alvorlig. For om en programutvikler ikke søker gjennom koden sin for sikkerhetshull, er sannsynligheten for at den har problemer nærmere 100 prosent.  

Inn fra sidelinjen – ofte for seint

Kanskje er utviklernes manglende sikkerhetskunnskap en arv fra den tidlige dataalderen. I dag, etter at internett har fått alt til å henge sammen, har datakriminelle fått store angrepsflater mot et utall programvareprodukter. Men for ikke så lenge siden var dataprogrammer isolerte øyer. Bare den tiltenkte brukeren hadde tilgang. De som utviklet programmene, trengte derfor ikke å legge inn noe forsvar mot svindel fra folk med ondt i sinne.

Uansett hva årsaken er, så viser våre egne og andres studier at sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter. Dette enten formålet er å sikre seg mot ondsinnede som kommer seg innenfor brannmurer eller mot hackere som angriper åpent tilgjengelig programvare. Ofte er sikkerhetskompetansen ivaretatt av fagfolk som kommer inn i utviklingsprosjektene fra sidelinjen, gjerne for seint til at alle sårbarheter blir luket ut.     

«Forsøkskaniner» viser vei

I SINTEF står vi midt oppe i et forskningsprosjekt (SoS-Agile), der vi tester i hvilken grad kjente metoder kan gjøre programvareutviklere mer sikkerhetsbevisste. I ryggen har vi Forskningsrådet. Med oss som «forsøkskaniner» har vi programvareutviklere fra seks norske virksomheter. 

En rekke metoder er alt utviklet for å lære folk sikker programmering. Men det er forsket lite på hvor egnet hver og en av metodene er i en travel hverdag. Håpet vårt er å finne ut hvilke opplæringsmetoder som er best egnet for ulike typer virksomhet. Lykkes vi, kan IT-Norge gradvis gjøres mer robust mot hackerangrep. 

Kronikk første gang publisert i Dagens Næringsliv 30.06.17

På forsiden nå

I 2018 vil 150 lærlinger fra hele landet starte sin læretid i Bravida. Målet er at alle skal få fast ansettelse i selskapet etter bestått fagprøve.
Tirsdag, 24 april, 2018 - 09:31
I 2017 var det 30 år siden Alta kraftverk ble satt i ordinær drift. I nettutstillingen «Kampen om Alta» får du historier fra demonstranter, politikere, utbyggerne, folkeaksjonen, media, politi og det samiske samfunnet, for å nevne noen.
Onsdag, 25 april, 2018 - 09:09
Årsresultatet for 2017 ble 89 millioner kroner, noe som er 51 millioner høyere enn i 2016. De viktigste årsakene til den positive utviklingen er høy produksjon, reduserte drifts- og finanskostnader og ikke minst en stigende kraftpris. Styret forslår at det betales et utbytte på 56 millioner kroner.
Onsdag, 25 april, 2018 - 09:17
Solcellesesongen har starter sterkt på Sørlandet. Til tross for en snørik vinter og sen vår, ligger 2018 an til å bli et rekordår for nye solcelleanlegg i landsdelen.
Onsdag, 25 april, 2018 - 09:27
Prissikring i Haugaland Kraft gir felleskraftkundene en redusert strømkostnad på totalt 8,1 MNOK.
Mandag, 23 april, 2018 - 10:09
Regnskapet i Vardar for 2017 er preget av negativ verdiutvikling på inngåtte sikringsderivater knyttet til valuta. Konsernet avlegger et resultat etter skatt på 74 millioner kroner, mot 189 millioner kroner i 2016.
Mandag, 23 april, 2018 - 09:52
Statkraft og Finnfjord har inngått en ny langsiktig industrikraftavtale for perioden 2018 til 2031. Leveransen er totalt på 8,5 TWh, med årlige leveranser på omlag 0,65 TWh.
Mandag, 23 april, 2018 - 09:56
Hver tredje nordmann frykter storflom når snøen smelter i vårvarmen. Drøyt 20 prosent av de spurte mener at kommunen de bor i, ikke er godt nok forberedt på flom.
Fredag, 20 april, 2018 - 09:24
Fredagskommentar:
Fra stortingets talerstol påsto Bjørnar Moxnes (Rødt) tidligere denne uken at en ny strømkabelforbindelse mellom Norge og Skottland ville tømme Vestlandet for kraft. Større vrøvl er det lenge siden vi har hørt.
Fredag, 20 april, 2018 - 11:27
For at kundene skal oppleve strømmarkedet som et trygt sted å handle, oppfordrer Energi Norge NVE til å øke innsatsen mot selskaper som bryter lover og regler i markedet.
Fredag, 20 april, 2018 - 09:17
Klimapolitikk, teknologiutvikling og nye rammebetingelser vil føre til store endringer i kraftsystemet. For noen dager siden la de nordiske systemoperatørene frem en rapport om felles løsninger for fremtidens nordiske kraftsystem.
Tirsdag, 24 april, 2018 - 09:50
I år er det 10 år siden Tafjord startet opp med Tafjord EnergiArena. På denne tiden har et hundretall bedrifter til sammen spart 150 millioner kroner i energikostnader gjennom programmet.
Tirsdag, 24 april, 2018 - 09:42
Den totale fyllingsgraden i kraftmagasinene lå omtrent på normalen ved årsskiftet, men sank kraftig i løpet av første kvartal. Ved utgangen av kvartalet lå fyllingsgraden 8,8 prosentpoeng under normalt, og spesielt i Midt-Norge var ressurssituasjonen knapp.
Fredag, 20 april, 2018 - 09:38
OED har fattet vedtak i fire vannkraftsaker i Telemark, Trøndelag og Sogn og Fjordane. Departementet har opprettholdt NVEs konsesjon og vilkår for Gjuvåa kraftverk og Bøla kraftverk. Søknadene om Neselva II kraftverk og Djupsåna kraftverk er avslått i samsvar med NVEs vedtak.
Tirsdag, 24 april, 2018 - 09:36
Helgeland Kraft, Nordlandsnett og Salten Kraftsamband inngår samarbeid om felles nettsentral i Mosjøen og produksjonssentral i Fauske.
Torsdag, 19 april, 2018 - 08:05
Statkraft har besluttet at bygging av Storlia kraftverk i Eidfjord kommune kan fortsette i et byggetrinn 2. Storlia kraftverk skal utnytte 75 meter høydeforskjell mellom Bjoreio og Sysenvatnet. Kraftverket er planlagt med en installasjon på ca. 8,5 MW.
Fredag, 20 april, 2018 - 09:30
Statnett og Veidekke gjennomfører nå det første fossilfrie anleggsarbeidet i Norge. Alle anleggsmaskiner, lastebiler og biler går på strøm eller fornybar diesel.
Mandag, 23 april, 2018 - 09:46
Jeg oppfordrer fagfolk i landets elektrotekniske miljø til å engasjere seg i internasjonalt samarbeid. Det bidrar til å utvikle mye verdifull kompetanse.
Torsdag, 19 april, 2018 - 07:49