Sådan gør du, når du er blevet hacket

1 Hvad skal man gøre, når man er blevet hacket - eller har
mistanke om, at man er hacket?
En forudsætning i denne situation er, at der eksisterer kapacitet til at erkende og dokumentere, hvorvidt
man er hacket, og til at kunne fastslå omfanget. Det kræver, at der i organisationen er tilstrækkelig
logning på plads, kapacitet til at analysere de indsamlede logs og et opdateret overblik over egen ITinfrastruktur.
Erkende angrebet:
Hvis man har mistanke om, at et eller flere af ens systemer er blevet kompromitteret, bør man først og
fremmest undersøge egne logs for tegn på IT-angreb. Typisk handler det om at spore kommunikation
fra et internetdomæne gennem egen firewall, routere til den PC eller server, der har kommunikeret. Det
bør ligeledes undersøges, hvilken kommunikation PC'en eller serveren ellers har foretaget og hvordan,
om der er oprettet / ændret filer, om antivirus er opdateret og aktivt, og om system- eller
applikationsloggen viser tegn på unormal aktivitet.
Det er vigtigt i denne situation at have de kritiske briller på og nøje vurdere, om det angreb der
undersøges, er det eneste eller primære IT-angreb på organisationen, eller om der er andre og flere
angreb i gang samtidigt. Denne vurdering er afgørende, når angrebets omfang og skadevirkning
efterfølgende skal fastslås.
GovCERT kan bistå statslige myndigheder med rådgivning i den konkrete situation. Kontakt GovCERT
ved mistanke om hacking, og forsøg at have følgende oplysninger klar:
• Hvilke systemer er under angreb? (OS, IP-adresser, domæne)
• Hvilke konsekvenser vurderes angrebet at kunne have? (tyveri af følsomme oplysninger,
nedetid, adgang til andre systemer)
• Hvordan blev angrebet opdaget?
• Er der særlige karakteristika ved angrebet?
• Hvilke foranstaltninger er blevet iværksat, og hvilke forventes at kunne have en effekt?
• Hvilken slags logs er tilgængelige, er der mulighed for at øge logning ved igangværende
angreb?
• Er angrebet blevet politianmeldt?
• Kan relevante parter indrages? (Må GovCERT f.eks. tage kontakt til teleudbyder)
• Relevante kontaktpersoner og deres telefonnumre og email-adresser
Når angrebet er erkendt, og der er tilstrækkelig vished om omfanget af angrebet, bør man forsøge at

standse angrebet og isolere de berørte systemer så vidt som muligt. Herefter kan man igangsætte en
undersøgelse af hændelsen uden at risikere yderligere kompromittering.
IT-angreb bør hurtigst muligt anmeldes til Politiet, som vil vurdere, om der er behov for en egentlig
efterforskning. GovCERT kan bistå med kontakten til Politiet. Det sidste (og ofte mest
ressourcekrævende) skridt er derefter oprydningsarbejdet efter hændelsens afslutning.
1.1 Første fase: Akut-fasen
1.1.1 Stands angrebet
• Stop adgang til/fra internettet – inkl. e-mail
• Stop interne servere og/eller services, der kan viderebringe inficering via f.eks. file-shares
1.1.2 Angrebets omfang
For at kunne spore angrebets oprindelse, samt identificere omfanget af kompromitteringen, er
det vigtigt, at man sørger for at sikre blandt andet logfiler. Afhængig af angrebstypen vil man
muligvis kunne finde relevante oplysninger i forskellige typer logfiler:
• Netværkslogs: Firewall, DNS, IDS, proxy, NetFlow fra netværksenheder
• Serverlogs: Web server logs, applikationslogs, event logs, lokal IDS/firewall, scheduled tasks
I tilfælde af, at der ikke logges, bør der hurtigst muligt slås relevant logning til, der sendes til et centralt
samlingssted.
I forbindelse med undersøgelsen af logfilerne er det vigtigt at identificere, hvordan det er lykkedes
angriberne at tilegne sig adgang til systemerne. Drejer det sig f.eks. om en kendt sårbarhed, der har
været udnyttet?
1.1.3 Kontakt GovCERT
Ring til GovCERT på vores vagtnummer – 7231 9420 – og giv os så mange informationer om
hændelsen som muligt. Vi vil først stille nogle spørgsmål for at hjælpe os til at forstå hændelsen
bedre. Vi opretter derefter en sag, hvori al relevant information omkring hændelsen vil blive
registreret, og som kan være til hjælp i sagens undersøgelse.
1.1.4 Anmeld sagen til Politiet
Det Nationale IT-Efterforskningscenter (NITEC) bistår Politiet i sager vedrørende hacking samt andre
typer af elektronisk kriminalitet. Vi råder normalt kunder til at anmelde sager vedr. hacking til NITEC –
de kan kontaktes telefonisk på 3314 8888 eller via e-mail: it-kriminalitet@politi.dk

1.2 Anden fase: Oprydning
1.2.1 Identificer misbrugte brugerkonti
• Check filer og emails, der er tilknyttet de kompromitterede brugerkonti
• Check andre servere, hvor de misbrugte konti benyttes
1.2.2 Geninstallation af berørte systemer
• Geninstallation: Efter hændelsens afslutning bør alle berørte systemer geninstalleres for at sikre,
at der ikke efterlades malware eller bagdøre på dem. Data, der skal genskabes, bør genindlæses
fra en backup, der vides at være sikker.
• Opdateringer: Alle systemer bør så vidt muligt opdateres med de seneste sikkerhedspatches
1.2.3 Ændring af passwords
• Som minimum bør passwords tilhørende alle kompromitterede konti ændres. Hvis muligt, bør
alle administrative konti ligeledes ændres, herunder både dem, der er tilknyttet brugere og
services, samt lokale konti og domæne-konti
• Best practice: Alle passwords i hele domænet bør om muligt ændres
1.2.4 Check flytbare medier
• Undersøg flytbare medier, såsom USB-diske, CD'er, DVD'er og USB-nøgler, der kunne have
været i kontakt med de inficerede systemer. Eventuelt inficerede medier bør formateres eller
bortskaffes for at undgå geninficering via netværket.