Sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter, skriver artikkelforfatterne. Illustrasjonsfoto: monsitj/Thinkstock

Hackerne fant akilleshæl

To globale hacker-angrep har rystet verden. Sikkerhetshullet som slapp angriperne til, er trolig bare toppen av et isfjell.
Tirsdag, 11 juli, 2017 - 12:37

Av: Daniela Soares/Martin Gilje Jaatun, SINTEF

Fredag 12. mai i år ble fredag den 13. for mange databrukere. Løsepengeviruset «Wannacry» som gikk amok denne dagen, fikk lett spill – i nær 100 land. Årsaken var at et hyppig brukt operativsystem hadde en innebygd sårbarhet. Virus-slektningen «Petya», som slo til denne uken, utnyttet den samme svakheten. Akilleshælen er av et slag som – dessverre – ikke er uvanlig i IT-bransjen.    

Tilsvarende og liknende sikkerhetshull har nemlig vært påvist også i mye annen programvare.

I mai spurte mange seg om de rammede manglet brannmurer. Eller hadde de åpnet en svindel-epost? Men ingen av disse forutsetningene var nødvendige for «Wannacry». Viruset fant trolig veien rundt brannmurer via bærbare enheter som var brukt utenfor muren og deretter på innsiden.

Programvaren som ble angrepet i mai og juni, hadde en kjent sårbarhet. Den ble fikset noen dager før det første angrepet. De som ble rammet, hadde bare ikke oppdatert systemet sitt.  

Mer enn en «driftsjobb»

Men også en rekke program som er lagd for å betjenes via nettsider, har oppgjennom årene trengt oppgradering fordi de viste seg å være sårbare.

Sikkerhetshull i slike program har gjort hackere i stand til å overmanne programvaren, for eksempel ved å fylle søkefelt med informasjon av en annen type eller andre mengder enn det programmet er lagd for å motta. Ved å lure seg inn slik, kan kriminelle få skadelig kode til å spre seg og endre datasystemers oppførsel – herunder låse brukernes filer, slik tilfellet var under mai- og juni-angrepene. 

Alt dette viser at IT-sikkerhet er mer enn en «driftsjobb». Forsommerens globale angrep utnyttet en svakhet som kalles «Buffer overflow». Denne gjengangeren er beslektet med den såkalte «Heartbleed»-sårbarheten, som fantes i mer enn halvparten av verdens webservere mellom 2012 og 2014.

Manglende sikkerhetskunnskap

Flere studier har sannsynliggjort hva som er den bakenforliggende årsaken til slike sikkerhetshull: rett og slett at mange programvareutviklere ikke vet nok om hvordan programmer skal sikres mot misbruk.

Vi i Sintef har kartlagt kunnskapsnivået knyttet til programvaresikkerhet i et utvalg av norske virksomheter. Vi oppdaget at 50 prosent av programvareutviklerne her ikke stolte på at de var i stand til å utvikle sikre programkoder. I en liknende studie Microsoft gjorde verden over, var det tilsvarende tallet 60 prosent.

Dette er alvorlig. For om en programutvikler ikke søker gjennom koden sin for sikkerhetshull, er sannsynligheten for at den har problemer nærmere 100 prosent.  

Inn fra sidelinjen – ofte for seint

Kanskje er utviklernes manglende sikkerhetskunnskap en arv fra den tidlige dataalderen. I dag, etter at internett har fått alt til å henge sammen, har datakriminelle fått store angrepsflater mot et utall programvareprodukter. Men for ikke så lenge siden var dataprogrammer isolerte øyer. Bare den tiltenkte brukeren hadde tilgang. De som utviklet programmene, trengte derfor ikke å legge inn noe forsvar mot svindel fra folk med ondt i sinne.

Uansett hva årsaken er, så viser våre egne og andres studier at sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter. Dette enten formålet er å sikre seg mot ondsinnede som kommer seg innenfor brannmurer eller mot hackere som angriper åpent tilgjengelig programvare. Ofte er sikkerhetskompetansen ivaretatt av fagfolk som kommer inn i utviklingsprosjektene fra sidelinjen, gjerne for seint til at alle sårbarheter blir luket ut.     

«Forsøkskaniner» viser vei

I SINTEF står vi midt oppe i et forskningsprosjekt (SoS-Agile), der vi tester i hvilken grad kjente metoder kan gjøre programvareutviklere mer sikkerhetsbevisste. I ryggen har vi Forskningsrådet. Med oss som «forsøkskaniner» har vi programvareutviklere fra seks norske virksomheter. 

En rekke metoder er alt utviklet for å lære folk sikker programmering. Men det er forsket lite på hvor egnet hver og en av metodene er i en travel hverdag. Håpet vårt er å finne ut hvilke opplæringsmetoder som er best egnet for ulike typer virksomhet. Lykkes vi, kan IT-Norge gradvis gjøres mer robust mot hackerangrep. 

Kronikk første gang publisert i Dagens Næringsliv 30.06.17

På forsiden nå

Før sommerferien vil det vere installert ny smart straummålar i fire av fem norske heimar. I god tid før året er omme, vil stort sett alle hus og hytter ha fått ny AMS-målar.
Fredag, 22 juni, 2018 - 09:20
Tussa Kraft AS overtar Statkrafts 49 % eierandel i energiselskapet Istad AS i Møre og Romsdal. Statkraft overtok eierandelen i forbindelse med kjøpet av Trondheim Energiverk i 2002. De resterende eierandelene i Istad eies av Moldekraft AS (17 %) og Molde kommune (34 %).
Fredag, 22 juni, 2018 - 09:26
Helgeland kraft setter ned nettleien for husholdninger og næringsliv fra 1. juli og ut året.
Torsdag, 21 juni, 2018 - 09:43
NVE har bygd flaum- og erosjonssikring for å betre tryggleiken i Odda. Torsdag 21. juni vart sikringsanlegget overlevert til Odda kommune.
Fredag, 22 juni, 2018 - 09:33
Styret i Energi21 har lagt frem sin fjerde nasjonale strategi for forskning, utvikling, demonstrasjon og kommersialisering av ny klimavennlig energiteknologi.
Onsdag, 20 juni, 2018 - 10:00
Styret i Opplandskraft DA har vedtatt å investere 900 millioner kroner til utbygging av Tolga kraftverk i Tolga kommune. Eidsiva skal bygge og drifte kraftverket.
Tirsdag, 19 juni, 2018 - 09:47
Store investeringer i transmisjonsnettet gjør at Statnett øker nettleien til nettselskapene som i sin tur overfører strømmen til forbrukerne. I slutten av juni skal Statnett behandle en ny nettleiemodell som gjelder fra 2019.
Onsdag, 20 juni, 2018 - 09:48
- Regjeringen har gitt Avinor i oppdrag å utvikle et program som skal legge til rette for introduksjon av elektriske fly i kommersiell luftfart. Det var en stor opplevelse å få bli med på denne flygningen og se at vi er i gang med utviklingen av framtidens luftfart, sier samferdselsminister Ketil Solvik-Olsen.
Tirsdag, 19 juni, 2018 - 09:54
Fredagskommentar:
Fortsatt er den landbaserte energibransjen til de grader mannsdominert. Det er langt mellom kvinner i ledende posisjoner, men det er flere gode grunner til å tro at det ikke for evig og alltid vil være slik.
Fredag, 22 juni, 2018 - 16:41
I dag er det offisiell åpning av RENs sjøkabellager på Stord. Lageret inneholder 70 kilometer sjøkabel og er finansiert av sjøkabeleierne innenfor NVEs ordning for beredskapsmateriell.
Torsdag, 21 juni, 2018 - 09:37
I april sendte NVE forslag om å utsette fristen for splitting av felles kunde- eller måleverdidatabase for nettdrift og kraftsalg. Etter å ha vurdert innspillene til forslaget, vedtar NVE å utsette fristen til 1. januar 2021.
Torsdag, 21 juni, 2018 - 09:49
Sammen med forskningspartnere har Statnett utviklet en aluminiumsmast til bruk i det norske sentralnettet. Masten gir om lag halvparten av CO2-utslippet til en stålmast, når både produksjon og resirkulering blir med i regnestykket.
Onsdag, 20 juni, 2018 - 09:54
I forrige uke ble det tatt nok et stort skritt i retning av et europeisk kraftmarked. Med nye muligheter for å handle på tvers av grensene, åpnes nye muligheter for et kraftsystem med bedre balanse.
Mandag, 18 juni, 2018 - 09:49
OED har fattet vedtak i ni vannkraftsaker i Troms, Nordland, Trøndelag, og Sogn og Fjordane. Tre har fått ja, mens seks har fått nei.
Fredag, 22 juni, 2018 - 09:43
Severin Roald (42) blir ny direktør for kommunikasjon og myndighetskontakt i Statkraft. Han kommer fra stillingen som kommunikasjonsdirektør i Telenor-konsernet.
Onsdag, 20 juni, 2018 - 10:06
OED har stadfestet NVEs vedtak om å gi konsesjon til Norsk Miljø Energi AS til å reetablere Lindesnes vindkraftverk i Lindesnes kommune, Vest-Agder.
Torsdag, 21 juni, 2018 - 09:54
Lyn kan være livsfarlig hvis det kommer for nær og slår ned i det elektriske anlegget. Men det er noen forholdsregler du kan foreta for å sikre elektriske apparater og redusere faren for brann i boligen din.
Mandag, 18 juni, 2018 - 09:53
- BKK har vært en driver i utviklingen av et klimavennlig energisystem i 100 år. Den rollen ønsker vi å ha fremover også. Sol er i sterk vekst globalt og teknologien blir stadig mer effektiv og lønnsom. Det gjør sol interessant også i Norge. Nå åpner vi vårt første solenergianlegg og markerer samtidig at vi satser kommersielt på sol på Vestlandet, sier konsernsjef Jannicke Hilland.
Tirsdag, 19 juni, 2018 - 10:01