Sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter, skriver artikkelforfatterne. Illustrasjonsfoto: monsitj/Thinkstock

Hackerne fant akilleshæl

To globale hacker-angrep har rystet verden. Sikkerhetshullet som slapp angriperne til, er trolig bare toppen av et isfjell.
Tirsdag, 11 juli, 2017 - 12:37

Av: Daniela Soares/Martin Gilje Jaatun, SINTEF

Fredag 12. mai i år ble fredag den 13. for mange databrukere. Løsepengeviruset «Wannacry» som gikk amok denne dagen, fikk lett spill – i nær 100 land. Årsaken var at et hyppig brukt operativsystem hadde en innebygd sårbarhet. Virus-slektningen «Petya», som slo til denne uken, utnyttet den samme svakheten. Akilleshælen er av et slag som – dessverre – ikke er uvanlig i IT-bransjen.    

Tilsvarende og liknende sikkerhetshull har nemlig vært påvist også i mye annen programvare.

I mai spurte mange seg om de rammede manglet brannmurer. Eller hadde de åpnet en svindel-epost? Men ingen av disse forutsetningene var nødvendige for «Wannacry». Viruset fant trolig veien rundt brannmurer via bærbare enheter som var brukt utenfor muren og deretter på innsiden.

Programvaren som ble angrepet i mai og juni, hadde en kjent sårbarhet. Den ble fikset noen dager før det første angrepet. De som ble rammet, hadde bare ikke oppdatert systemet sitt.  

Mer enn en «driftsjobb»

Men også en rekke program som er lagd for å betjenes via nettsider, har oppgjennom årene trengt oppgradering fordi de viste seg å være sårbare.

Sikkerhetshull i slike program har gjort hackere i stand til å overmanne programvaren, for eksempel ved å fylle søkefelt med informasjon av en annen type eller andre mengder enn det programmet er lagd for å motta. Ved å lure seg inn slik, kan kriminelle få skadelig kode til å spre seg og endre datasystemers oppførsel – herunder låse brukernes filer, slik tilfellet var under mai- og juni-angrepene. 

Alt dette viser at IT-sikkerhet er mer enn en «driftsjobb». Forsommerens globale angrep utnyttet en svakhet som kalles «Buffer overflow». Denne gjengangeren er beslektet med den såkalte «Heartbleed»-sårbarheten, som fantes i mer enn halvparten av verdens webservere mellom 2012 og 2014.

Manglende sikkerhetskunnskap

Flere studier har sannsynliggjort hva som er den bakenforliggende årsaken til slike sikkerhetshull: rett og slett at mange programvareutviklere ikke vet nok om hvordan programmer skal sikres mot misbruk.

Vi i Sintef har kartlagt kunnskapsnivået knyttet til programvaresikkerhet i et utvalg av norske virksomheter. Vi oppdaget at 50 prosent av programvareutviklerne her ikke stolte på at de var i stand til å utvikle sikre programkoder. I en liknende studie Microsoft gjorde verden over, var det tilsvarende tallet 60 prosent.

Dette er alvorlig. For om en programutvikler ikke søker gjennom koden sin for sikkerhetshull, er sannsynligheten for at den har problemer nærmere 100 prosent.  

Inn fra sidelinjen – ofte for seint

Kanskje er utviklernes manglende sikkerhetskunnskap en arv fra den tidlige dataalderen. I dag, etter at internett har fått alt til å henge sammen, har datakriminelle fått store angrepsflater mot et utall programvareprodukter. Men for ikke så lenge siden var dataprogrammer isolerte øyer. Bare den tiltenkte brukeren hadde tilgang. De som utviklet programmene, trengte derfor ikke å legge inn noe forsvar mot svindel fra folk med ondt i sinne.

Uansett hva årsaken er, så viser våre egne og andres studier at sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter. Dette enten formålet er å sikre seg mot ondsinnede som kommer seg innenfor brannmurer eller mot hackere som angriper åpent tilgjengelig programvare. Ofte er sikkerhetskompetansen ivaretatt av fagfolk som kommer inn i utviklingsprosjektene fra sidelinjen, gjerne for seint til at alle sårbarheter blir luket ut.     

«Forsøkskaniner» viser vei

I SINTEF står vi midt oppe i et forskningsprosjekt (SoS-Agile), der vi tester i hvilken grad kjente metoder kan gjøre programvareutviklere mer sikkerhetsbevisste. I ryggen har vi Forskningsrådet. Med oss som «forsøkskaniner» har vi programvareutviklere fra seks norske virksomheter. 

En rekke metoder er alt utviklet for å lære folk sikker programmering. Men det er forsket lite på hvor egnet hver og en av metodene er i en travel hverdag. Håpet vårt er å finne ut hvilke opplæringsmetoder som er best egnet for ulike typer virksomhet. Lykkes vi, kan IT-Norge gradvis gjøres mer robust mot hackerangrep. 

Kronikk første gang publisert i Dagens Næringsliv 30.06.17

På forsiden nå

Statnett har nå fått på plass en fullstendig løsning for de bosniske arbeiderne som det forrige uke ble avdekket hadde arbeidskontrakter med svært alvorlige mangler.
Tirsdag, 19 september, 2017 - 22:06
OED har stadfestet konsesjonen til TrønderEnergi Kraft AS for Stokkfjellet vindkraftverk i Selbu. Samtidig opprettholdes NVEs avslag til E.ONs til søknad om konsesjon for Kopperaa vindkraftverk i Meråker kommune.
Onsdag, 20 september, 2017 - 08:33
Lørdag gikk startskuddet for et av verdens største idrettsarrangementer i Bergen, Sykkel-VM 2017. I ni dager vil mesterskapet pågå, med 12 konkurranser og et rikholdig kulturprogram fra morgen til kveld.
Mandag, 18 september, 2017 - 09:34
SORIA, Norges største samarbeid om anskaffelse, utrulling og drift av AMS-målere avsluttes 30. september 2017.
Mandag, 18 september, 2017 - 09:42
Tellenes Vindpark i Rogaland, som innvies i dag, representerer en viktig milepæl i det grønne skiftet. Vindparken er anslått til å gi en årlig produksjon som tilsvarer energiforbruket til 27.500 eneboliger.
Onsdag, 20 september, 2017 - 09:28
- Virksomheten i Tyskland er viktig for den videre utviklingen av konsernet. Der er såkalte fremtidige markedsmodeller allerede en realitet. Erfaringen derfra skal vi ta med inn i de nordiske kraftmarkedene. Kunnskapen om det tyske markedet blir også verdifull når kablene er på plass, og vi skal realisere det store verdipotensialet norsk vannkraft har i Tyskland, sier konserndirektør Steffen Syvertsen.
Tirsdag, 19 september, 2017 - 09:19
Gjennomsnittlig strømpris for husholdningene, utenom avgifter og nettleie, var 33,1 øre/kWh i 2. kvartal 2017. Dette er en oppgang på 15 prosent sammenliknet med 2. kvartal i 2016.
Mandag, 18 september, 2017 - 09:28
Byggingen av Nye Jordal Amfi er nå i gang. Ved å kombinere en rekke spennende teknologiske løsninger reduseres energibruken til en tredel av det som er blitt brukt i gamle Jordal Amfi. Enova bidrar med 22 millioner kroner til det som trolig blir en av verdens mest energieffektive ishaller.
Fredag, 15 september, 2017 - 09:35
Fredagskommentar:
Sannsynligheten for å bli rammet av en naturhendelse er større enn å bli rammet av terror. I 2016 ble 24,2 millioner mennesker verden over fordrevet av naturkatastrofer. De aller fleste av disse lever i fattige og værutsatte land.
Fredag, 15 september, 2017 - 09:20
Statnett har brukt våren og sommeren på å rive gamle og legge nye strømkabler i Oslofjorden. Kablene går mellom Solberg i Hurum kommune og Brenntangen i Vestby kommune. Nå er det første av to kabelanlegg satt i drift.
Fredag, 15 september, 2017 - 09:07
I forbindelse med en undersøkelse av arbeidsforholdene på ett av Statnetts prosjekter på Sør-Vestlandet avdekket Statnett flere svært alvorlige forhold i arbeidskontraktene til bosniske ansatte hos en av Statnetts entreprenører. Forholdene er meldt til Arbeidstilsynet og blir fulgt opp.
Søndag, 17 september, 2017 - 12:24
NVE må utvise varsomhet når de igjen skal vurdere behovet for å endre referanserenten for beregning av tillatt inntekt for nettselskapene. Dette fordi nettselskapene trenger stabile og forutsigbare rammevilkår, mener Energi Norge.
Fredag, 15 september, 2017 - 09:13
Hydrogenproduksjon ved norske småkraftverk kan være lønnsomt. Det viser to nye studier utført av IFE og SINTEF, på oppdrag fra NVE og Småkraftforeninga.
Tirsdag, 19 september, 2017 - 11:04
Bergen Engines AS, et selskap i Rolls-Royce-konsernet, har signert kontrakter for levering av to kraftverk til Bangladesh med en samlet kontraktsverdi på 133 millioner Euro.
Mandag, 18 september, 2017 - 09:49
Drangedal everk KF ønsker å nytte meir av fallet i elva Suvdøla i Drangedal. Det er eit kraftverk i vassdraget i dag. For å få ei meir effektiv og moderne drift vil Everket fjerne det gamle kraftverket, og forlenge den eksisterende røyrgata for å auke produksjonen i eit nytt Suvdøla kraftverk som utnytter ei større fallhøgd og meir av den regulerte vassføringa.
Onsdag, 20 september, 2017 - 08:44
Tiden før og etter AMS er som natt og dag. Med denne teknologien har det åpnet seg en helt ny verden av muligheter til å håndtere et mangfold av utfordringer i strømnettet, forteller nettsjef Jan Erik Brattbakk i Ringeriks-Kraft Nett.
Torsdag, 14 september, 2017 - 09:37
Metodebladet er utgitt i samarbeid med REN, i forbindelse med Metodedagene i Drammen Travpark 14. og 15. juni.
Onsdag, 14 juni, 2017 - 16:15
I forrige uke avdekket Statnett flere svært alvorlige forhold i arbeidskontraktene til bosniske arbeidere hos en av entreprenørene på ett av selskapets prosjekter på Sør-Vestlandet. Mandag meldte en bosnisk nettavis at de 22 montørene kommer til å bli sagt opp av sin arbeidsgiver i hjemlandet.
Tirsdag, 19 september, 2017 - 09:04