Sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter, skriver artikkelforfatterne. Illustrasjonsfoto: monsitj/Thinkstock

Hackerne fant akilleshæl

To globale hacker-angrep har rystet verden. Sikkerhetshullet som slapp angriperne til, er trolig bare toppen av et isfjell.
Tirsdag, 11 juli, 2017 - 12:37

Av: Daniela Soares/Martin Gilje Jaatun, SINTEF

Fredag 12. mai i år ble fredag den 13. for mange databrukere. Løsepengeviruset «Wannacry» som gikk amok denne dagen, fikk lett spill – i nær 100 land. Årsaken var at et hyppig brukt operativsystem hadde en innebygd sårbarhet. Virus-slektningen «Petya», som slo til denne uken, utnyttet den samme svakheten. Akilleshælen er av et slag som – dessverre – ikke er uvanlig i IT-bransjen.    

Tilsvarende og liknende sikkerhetshull har nemlig vært påvist også i mye annen programvare.

I mai spurte mange seg om de rammede manglet brannmurer. Eller hadde de åpnet en svindel-epost? Men ingen av disse forutsetningene var nødvendige for «Wannacry». Viruset fant trolig veien rundt brannmurer via bærbare enheter som var brukt utenfor muren og deretter på innsiden.

Programvaren som ble angrepet i mai og juni, hadde en kjent sårbarhet. Den ble fikset noen dager før det første angrepet. De som ble rammet, hadde bare ikke oppdatert systemet sitt.  

Mer enn en «driftsjobb»

Men også en rekke program som er lagd for å betjenes via nettsider, har oppgjennom årene trengt oppgradering fordi de viste seg å være sårbare.

Sikkerhetshull i slike program har gjort hackere i stand til å overmanne programvaren, for eksempel ved å fylle søkefelt med informasjon av en annen type eller andre mengder enn det programmet er lagd for å motta. Ved å lure seg inn slik, kan kriminelle få skadelig kode til å spre seg og endre datasystemers oppførsel – herunder låse brukernes filer, slik tilfellet var under mai- og juni-angrepene. 

Alt dette viser at IT-sikkerhet er mer enn en «driftsjobb». Forsommerens globale angrep utnyttet en svakhet som kalles «Buffer overflow». Denne gjengangeren er beslektet med den såkalte «Heartbleed»-sårbarheten, som fantes i mer enn halvparten av verdens webservere mellom 2012 og 2014.

Manglende sikkerhetskunnskap

Flere studier har sannsynliggjort hva som er den bakenforliggende årsaken til slike sikkerhetshull: rett og slett at mange programvareutviklere ikke vet nok om hvordan programmer skal sikres mot misbruk.

Vi i Sintef har kartlagt kunnskapsnivået knyttet til programvaresikkerhet i et utvalg av norske virksomheter. Vi oppdaget at 50 prosent av programvareutviklerne her ikke stolte på at de var i stand til å utvikle sikre programkoder. I en liknende studie Microsoft gjorde verden over, var det tilsvarende tallet 60 prosent.

Dette er alvorlig. For om en programutvikler ikke søker gjennom koden sin for sikkerhetshull, er sannsynligheten for at den har problemer nærmere 100 prosent.  

Inn fra sidelinjen – ofte for seint

Kanskje er utviklernes manglende sikkerhetskunnskap en arv fra den tidlige dataalderen. I dag, etter at internett har fått alt til å henge sammen, har datakriminelle fått store angrepsflater mot et utall programvareprodukter. Men for ikke så lenge siden var dataprogrammer isolerte øyer. Bare den tiltenkte brukeren hadde tilgang. De som utviklet programmene, trengte derfor ikke å legge inn noe forsvar mot svindel fra folk med ondt i sinne.

Uansett hva årsaken er, så viser våre egne og andres studier at sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter. Dette enten formålet er å sikre seg mot ondsinnede som kommer seg innenfor brannmurer eller mot hackere som angriper åpent tilgjengelig programvare. Ofte er sikkerhetskompetansen ivaretatt av fagfolk som kommer inn i utviklingsprosjektene fra sidelinjen, gjerne for seint til at alle sårbarheter blir luket ut.     

«Forsøkskaniner» viser vei

I SINTEF står vi midt oppe i et forskningsprosjekt (SoS-Agile), der vi tester i hvilken grad kjente metoder kan gjøre programvareutviklere mer sikkerhetsbevisste. I ryggen har vi Forskningsrådet. Med oss som «forsøkskaniner» har vi programvareutviklere fra seks norske virksomheter. 

En rekke metoder er alt utviklet for å lære folk sikker programmering. Men det er forsket lite på hvor egnet hver og en av metodene er i en travel hverdag. Håpet vårt er å finne ut hvilke opplæringsmetoder som er best egnet for ulike typer virksomhet. Lykkes vi, kan IT-Norge gradvis gjøres mer robust mot hackerangrep. 

Kronikk første gang publisert i Dagens Næringsliv 30.06.17

På forsiden nå

Vannkraft:
Et nyrenovert vannkraftverk på svensk side av grensen betaler 50 millioner kroner mindre i skatt årlig enn om det hadde ligget i Norge. Det viser beregninger fra NTE, gjengitt i Dagens Næringsliv i går.
Tirsdag, 21 november, 2017 - 07:40
- PST, Nasjonal sikkerhetsmyndighet (NSM) og Nasjonal kommunikasjonsmyndighet (Nkom) har avdekket flere alvorlige avvik når det gjelder sikkerheten i Nødnett. Det tar vi på største alvor, og har for lengst startet arbeidet med å tette sikkerhetshullene, sier direktør i DSB, Cecilie Daae.
Onsdag, 22 november, 2017 - 09:06
Damkrona er Den Norske Damkomiteens hederspris, og i år var det dam Elgjsø som vant den gjeve prisen. - Det er en anerkjennelse å vinne en slik pris, sier Swecos Trond Lyngstad.
Tirsdag, 21 november, 2017 - 07:54
NTNU-prosjekt skal gjøre batterier mer miljøvennlige. De nye elektrodene vil inneholde skall fra kiselalger, og alginat fra stortare.
Mandag, 20 november, 2017 - 09:18
Nå kobles solstrømmen på Tveita senter, Møllergata 39 og Manglerud senter i Oslo. Holder været kobles også Lambertseter senter og OUS Mortensrud opp.
Onsdag, 22 november, 2017 - 09:14
Tre av aggregatene på Evenstad kraftstasjon har vært stanset siden mai måned på grunn rehabilitering av kraftstasjonen. Nå er aggregat 3 satt i drift.
Mandag, 20 november, 2017 - 09:34
En kollisjon mellom fly og drone kan resultere i alvorlige ulykker og tap av menneskeliv. I slike tilfeller risikerer droneføreren å stå til ansvar for millionerstatninger og fengselsstraff. Uforsvarlig droneflygning kan føre til livsfarlige situasjoner, særlig ved lufthavner.
Mandag, 20 november, 2017 - 09:12
Strukturendring i nettbransjen:
For NVE virker det å ha gått prestisje i å sammenslå norske nettselskap. Så mye prestisje at direktoratet tyr til kunstige argumenter for å fremme konsolidering.
Onsdag, 22 november, 2017 - 09:20
Fredagskommentar:
Jeg har vært tett på en av de største omstillingene i norsk industri. Tro meg; det var ingen øvelse for amatører. Det er SSB-saken er kraftig påminnelse om.
Fredag, 17 november, 2017 - 09:25
Takket være norsk støtte over mange år kan Mosambik bli en regional strømgigant i Afrika.
Tirsdag, 21 november, 2017 - 07:44
Kjell Myrann er av DSB engasjert til å lede arbeidet med å utrede en fremtidsrettet omlegging av virksomheten til DLE (Det Lokale Eltilsyn). Oppgaven har et tidsperspektiv på to til tre år.
Torsdag, 16 november, 2017 - 09:01
Kommentar:
I Afrika sør for Sahara mangler 600 millioner mennesker tilgang til energi. 116 nye kullkraftverk er under planlegging i Afrika og Midtøsten for å imøtekomme det økende energibehovet. Om vi skal lykkes med å stanse klimaendringene, haster det med store investeringer i ren energi.
Tirsdag, 21 november, 2017 - 08:03
OED har stadfestet NVEs konsesjon til Buheii Vindkraft AS om bygging og drift av Buheii vindkraftverk i Kvinesdal kommune.
Mandag, 20 november, 2017 - 09:24
Alle kunder forventer nå at leverandørene tilbyr mer kontroll og styring av eget energiforbruk, skriver Capgemini i sin Wemo-rapport 2017.
Torsdag, 16 november, 2017 - 09:29
Sammen skal LinjePartner AS og GrunnPartner AS levere nettkobling til Hitra 2 Vindpark. Oppdraget er vunnet i konkurranse med lokale og nasjonale leverandører.
Onsdag, 22 november, 2017 - 09:25
I konkurranse med over 130 europeiske søknader har det NTNU-baserte prosjektet HydroFlex nå fått tildelt nesten 60 millioner kroner i forskningsmidler fra EU-kommisjonens Horizon 2020.
Onsdag, 15 november, 2017 - 09:02
Denne uken ble luka mellom Skjerkevatn og Nåvatn åpnet for siste gang. Nå fyller Agder Energi et nytt magasin i Åseral i Vest-Agder.
Fredag, 17 november, 2017 - 08:58
Teknologi for sol- og vindkraft blir stadig billigere, mens utbyggingskostnaden for kullkraft står på stedet hvil og kjernekraftverk er blitt vesentlig dyrere.
Fredag, 17 november, 2017 - 09:05