Sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter, skriver artikkelforfatterne. Illustrasjonsfoto: monsitj/Thinkstock

Hackerne fant akilleshæl

To globale hacker-angrep har rystet verden. Sikkerhetshullet som slapp angriperne til, er trolig bare toppen av et isfjell.
Tirsdag, 11 juli, 2017 - 12:37

Av: Daniela Soares/Martin Gilje Jaatun, SINTEF

Fredag 12. mai i år ble fredag den 13. for mange databrukere. Løsepengeviruset «Wannacry» som gikk amok denne dagen, fikk lett spill – i nær 100 land. Årsaken var at et hyppig brukt operativsystem hadde en innebygd sårbarhet. Virus-slektningen «Petya», som slo til denne uken, utnyttet den samme svakheten. Akilleshælen er av et slag som – dessverre – ikke er uvanlig i IT-bransjen.    

Tilsvarende og liknende sikkerhetshull har nemlig vært påvist også i mye annen programvare.

I mai spurte mange seg om de rammede manglet brannmurer. Eller hadde de åpnet en svindel-epost? Men ingen av disse forutsetningene var nødvendige for «Wannacry». Viruset fant trolig veien rundt brannmurer via bærbare enheter som var brukt utenfor muren og deretter på innsiden.

Programvaren som ble angrepet i mai og juni, hadde en kjent sårbarhet. Den ble fikset noen dager før det første angrepet. De som ble rammet, hadde bare ikke oppdatert systemet sitt.  

Mer enn en «driftsjobb»

Men også en rekke program som er lagd for å betjenes via nettsider, har oppgjennom årene trengt oppgradering fordi de viste seg å være sårbare.

Sikkerhetshull i slike program har gjort hackere i stand til å overmanne programvaren, for eksempel ved å fylle søkefelt med informasjon av en annen type eller andre mengder enn det programmet er lagd for å motta. Ved å lure seg inn slik, kan kriminelle få skadelig kode til å spre seg og endre datasystemers oppførsel – herunder låse brukernes filer, slik tilfellet var under mai- og juni-angrepene. 

Alt dette viser at IT-sikkerhet er mer enn en «driftsjobb». Forsommerens globale angrep utnyttet en svakhet som kalles «Buffer overflow». Denne gjengangeren er beslektet med den såkalte «Heartbleed»-sårbarheten, som fantes i mer enn halvparten av verdens webservere mellom 2012 og 2014.

Manglende sikkerhetskunnskap

Flere studier har sannsynliggjort hva som er den bakenforliggende årsaken til slike sikkerhetshull: rett og slett at mange programvareutviklere ikke vet nok om hvordan programmer skal sikres mot misbruk.

Vi i Sintef har kartlagt kunnskapsnivået knyttet til programvaresikkerhet i et utvalg av norske virksomheter. Vi oppdaget at 50 prosent av programvareutviklerne her ikke stolte på at de var i stand til å utvikle sikre programkoder. I en liknende studie Microsoft gjorde verden over, var det tilsvarende tallet 60 prosent.

Dette er alvorlig. For om en programutvikler ikke søker gjennom koden sin for sikkerhetshull, er sannsynligheten for at den har problemer nærmere 100 prosent.  

Inn fra sidelinjen – ofte for seint

Kanskje er utviklernes manglende sikkerhetskunnskap en arv fra den tidlige dataalderen. I dag, etter at internett har fått alt til å henge sammen, har datakriminelle fått store angrepsflater mot et utall programvareprodukter. Men for ikke så lenge siden var dataprogrammer isolerte øyer. Bare den tiltenkte brukeren hadde tilgang. De som utviklet programmene, trengte derfor ikke å legge inn noe forsvar mot svindel fra folk med ondt i sinne.

Uansett hva årsaken er, så viser våre egne og andres studier at sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter. Dette enten formålet er å sikre seg mot ondsinnede som kommer seg innenfor brannmurer eller mot hackere som angriper åpent tilgjengelig programvare. Ofte er sikkerhetskompetansen ivaretatt av fagfolk som kommer inn i utviklingsprosjektene fra sidelinjen, gjerne for seint til at alle sårbarheter blir luket ut.     

«Forsøkskaniner» viser vei

I SINTEF står vi midt oppe i et forskningsprosjekt (SoS-Agile), der vi tester i hvilken grad kjente metoder kan gjøre programvareutviklere mer sikkerhetsbevisste. I ryggen har vi Forskningsrådet. Med oss som «forsøkskaniner» har vi programvareutviklere fra seks norske virksomheter. 

En rekke metoder er alt utviklet for å lære folk sikker programmering. Men det er forsket lite på hvor egnet hver og en av metodene er i en travel hverdag. Håpet vårt er å finne ut hvilke opplæringsmetoder som er best egnet for ulike typer virksomhet. Lykkes vi, kan IT-Norge gradvis gjøres mer robust mot hackerangrep. 

Kronikk første gang publisert i Dagens Næringsliv 30.06.17

På forsiden nå

Energibransjen vil innføre «rushtids-avgift» på strøm. Det kan bli vrient for kundene å følge med på prisene. Men hjelp er underveis. Nå vil et nytt forskningsprosjekt sørge for at strømkunder automatisk kan unngå høyere strømregninger.
Mandag, 24 juli, 2017 - 11:44
Finansdepartementet sendte 25. april 2017 ut forslag til nye regler om eiendomsskatt på produksjonsrelaterte nett og kraftanlegg med høringsfrist er 25. juli 2017.
Mandag, 24 juli, 2017 - 11:51
Statkraft oppnådde i andre kvartal 2017 et underliggende driftsresultat før avskrivninger (EBITDA) på 3047 millioner kroner, en økning på 609 millioner kroner sammenlignet med tilsvarende periode i 2016. Kvartalets resultat etter skatt endte på 1884 millioner kroner.
Torsdag, 20 juli, 2017 - 10:55
BKK ser på muligheten for å etablere et felles produksjonsselskap på Vestlandet sammen med Hydro og SFE. Selskapet kan bli en av de største vannkraftprodusentene i Norge.
Tirsdag, 18 juli, 2017 - 08:36
Etter å ha støttet 230 hurtigladere for elbil langs hovedfartsårene i Norge, vil Enova fra høsten av tilby pengestøtte for utbygging i kommuner som har færre enn to hurtigladere fra før.
Fredag, 21 juli, 2017 - 10:52
Nedgangen i produsentprisindeksen fra mai til juni 2017 kommer av prisfall på energivarer på 5,6 prosent. Lavere priser på olje, petroleumsprodukter og elektrisitet var årsaken til fallet.
Onsdag, 19 juli, 2017 - 10:29
Konsernet Gudbrandsdal Energi har underskrevet avtale med Rune C. Vamråk (55) som ny konsernsjef.
Mandag, 17 juli, 2017 - 10:50
Det ble gjort 23% færre leverandørskifter for husholdninger i første kvartal 2017 enn for tilsvarende periode i 2016.
Onsdag, 19 juli, 2017 - 10:24
Fredagskommentar:
Industri og Energi gir inntrykk av at strømprisen vil dobles på grunn av nye utenlandskabler fra Norge. Prognoser fra NVE viser derimot at strømprisen kun vil stige med 2 øre/kWh som følge av de nye utenlandskablene som er under bygging.
Fredag, 14 juli, 2017 - 13:20
Det norske kraftsystemet gikk inn i 2. kvartal med 9 TWh mindre vann og snø enn normalt. Mer nedbør enn normalt har bedret den hydrologiske balansen i Norge, som nå er 3 TWh over normalen. Til tross for dette var strømprisen i Sør-Norge nærmere 20 prosent høyere i 2. kvartal i år, enn tilsvarende periode i fjor.
Torsdag, 13 juli, 2017 - 11:57
Har du tisset på et strømgjerde uten å få vondt? Da har du gjort det feil.
Onsdag, 19 juli, 2017 - 10:39
Vindparken Midtfjellet utvides med 11 Nordex-turbiner av typen N117 med en nominell effekt på 3,6 MW Den installerte kapasiteten til parken økes dermed med 40 MW til hele 150 MW.
Torsdag, 20 juli, 2017 - 11:11
Elbil-salget slo alle rekorder i juni. I løpet av et år har elbilene doblet markedsandelen fra 14 til 28 prosent. Likevel, elbilene vil ikke ha stor betydning for det samlede strømforbruket.
Mandag, 17 juli, 2017 - 10:56
I over ett år har Lyse Elnett brukt droner for å finne feil på strømlinjer eller enkeltkomponenter i strømmaster. I løpet av året er det funnet flere arbeidsoppgaver der bruk av drone vil være fornuftig.
Fredag, 21 juli, 2017 - 10:43
ABB AbilityTM MACHTM-kontrollsystemet øker overføringskapasiteten i oppgraderingen av den svensk-danske Konti-Skan-forbindelsen.
Fredag, 14 juli, 2017 - 13:11
Otera står for alt det elektriske arbeidet når Norges største vindpark bygges i Egersund.
Tirsdag, 18 juli, 2017 - 08:42
Metodebladet er utgitt i samarbeid med REN, i forbindelse med Metodedagene i Drammen Travpark 14. og 15. juni.
Onsdag, 14 juni, 2017 - 16:15
Lyse Elnett prosjekterer og bygger strømnett til mellom 2500 og 3500 nye boliger og næringsbygg hvert år. I tillegg blir det gjort arbeid for å øke kapasiteten til kunder ved behov. Lyse er opptatt av å levere gode tjenester. Vi sender derfor ut spørreundersøkelse for å få vite hvordan kunder opplever våre leveranser.
Torsdag, 20 juli, 2017 - 11:22