Rambøll: Fyringsgrund at ignorere brud på ... - LiveBook

12 Ingeniøren · 1. sektion · 17. juni 2011
perspektiv
Hacktivister går efter den
digitale strube på virksomheder
Eksperter: Dagens aktivister kaster cyberbrosten
Antallet af politisk motiverede
onlineangreb er nærmest
eksploderet, og hackerne kan
få held til at trumfe deres
vilje igennem, vurderer
eksperter.
hacktivisme
Af Jakob Møllerhøj jak@ing.dk
‘Vi kan ikke lide den amerikanske regering
særlig meget (...) deres websteder
er ikke særlig sikre (...)’.
Sådan lød en del af beskeden fra
hackergruppen LulzSec (LulzSecurity),
da gruppen i denne uge tog æren
for at have hacket det amerikanske
senats website. Eksemplet er blot et
ud af en nærmest eksplosivt voksende
mængde hackerangreb, der den
senere tid har ramt organisationer og
virksomheder.
At intensiteten af hackerangrebene
er høj, bliver understreget af, at der,
mens denne artikel bliver skrevet,
dukker en nyhed op om, at nogen, der
hævder at være fra hackergruppen
Anonymous, via Youtube truer den
amerikanske centralbank, blandt andet
med en henvisning til bankens
rolle i den globale finanskrise.
Og det er ganske sigende for denne
nye bølge af hackerangreb. Fællesnævneren
for hackingen lader nemlig
til at være politiske motiver snarere
end økonomisk gevinst. Den politisk
motiverede hacking benævnes
ofte hacktivisme, en sammentrækning
af hacking og aktivisme.
»Hacktivisme er noget, vi generelt
ser en voldsom stigning inden for. De
folk, der før i tiden ville overveje at løbe
på gaden og kaste med en brosten,
de gør noget andet i stedet for: De går
på nettet og kaster med en cyberbrosten,«
siger Ulf Munkedal, direktør i
it-sikkerhedsvirksomheden Fortconsult.
Et generationsskifte
Teknisk chef for antivirusvirksomheden
Kaspersky Lab i Norden
Patrick Mylund mener ligefrem, at
antallet af hacktivistisk motiverede
angreb er eksploderet.
»Hacktivisme har været der næsten
siden internettets start. Men når
det er eksploderet, tror jeg, det skyldes,
at der er kommet en samling af
værktøjer, der gør det utrolig let at
trænge ind i systemer, hvor det tidligere
var meget få folk, der havde evnen
til at trænge ind,« siger han og
tilføjer:
»Hvem som helst kan være hacktivist.
Der er ikke en generel karakteristik
andet end, at de fleste har computerfærdigheder.
Det kan være alt fra
sikkerhedsforskere til folk, der bare
har haft computer som hobby. Det er
ikke generelt kriminelle mennesker,
selvom det kan det selvfølgelig også
være,« siger han og understreger, at
han ikke selv er hacktivist.
Patrick Mylund mener, at der dels
ligger et generationsskifte til grund
for den nye bølge af hackerangreb.
»Det er en generation af nye internetbrugere,
der er ved at vågne op. De
er ved at finde ud af, at de har meget
mere magt, end de egentlig troede,
og at de ting, de gør, virker,« siger
han.
Derudover er strømninger i tiden
en del af forklaringen på hacktivismens
opblomstring, hvor blandt andet
whistleblower-tjenesten Wikileaks
spiller en rolle, mener Patrick
Mylund.
»Der sker mange ting i øjeblikket,
som gør, at det her bliver mere og mere
relevant. Wikileaks er en stor
trend, som handler om gennemsigtighed
i regeringer og virksomheder.
Via Wikileaks bliver folk måske ikke
direkte opfordret til at hacke sig ind i
firmaer, men i hvert fald til at dele information,«
siger han.
Wikileaks og hacktivister er to ord,
der i løbet af 2010 begyndte at optræde
sammen, da hackergrupper kastede
sig over flere finansielle virksomheder,
blandt andet Mastercard, fordi
disse ikke længere ville varetage indbetalinger
til Wikileaks. Mastercard
og andre blev derfor udsat for et såkaldt
DDoS-angreb (Distributed Denial
of Service), som bevirkede, at selskabernes
hjemmesider blev utilgængelige.
Netop DDoS-angreb, som kort fortalt
består i at få en server til at gå ned
ved at sende en masse data til den fra
flere forskellige IP-adresser og som
derfor er en meget synlig form for angreb,
er blandt hacktivisternes foretrukne
værktøj, siger Ulf Munkedal.
Han understreger, at et DDoS-angreb
på grund af sin natur kan være
svært for virksomheden selv at beskytte
sig imod. Og derfor er det vigtigt
at forhøre sig hos virksomhedens
internetudbyder om, hvordan denne
er gearet til at stoppe DDoS-angreb.
Også defacement – en form for
hackerangreb, hvor der bliver lavet
om på indholdet af en hjemmeside
– er en synlig og populær metode
blandt hacktivister, forklarer Ulf
Munkedal. Et eksempel på defacement
var, da LulzSec i slutningen af
maj måned i år oprettede en falsk nyhed
på den amerikanske tv-station
PBS’ hjemmeside om, at den afdøde
rapper Tupac ikke var død alligevel.
Hacktivisterne anvender dog også
andre metoder end defacement og
DDoS-angreb for at gøre opmærksom
på deres sag.
Sony står for skud
En af de virksomheder, som de seneste
måneder har været udsat for angreb
af forskellig karakter, er den japanske
Playstation-producent Sony.
Således har flere af virksomhedens
afdelinger stået for skud – såsom Sony
Pictures, Sony Online Entertainment
og PSN-netværket, hvor Playstation-ejere
verden over kan spille
mod hinanden via internettet. Da
PSN blev hacket, medførte det, at flere
millioner brugeres private data
blev lækket.
Angrebene mod Sony, som tilsyneladende
ingen ende vil tage, menes at
udspringe af, at virksomheden blandt
andet har truet med sagsanlæg mod
folk for at omgå sikkerheden på spillekonsollen
Playstation 3, så det er muligt
at afvikle software på maskinen,
som Sony ikke har godkendt.
Den finske sikkerhedsekspert Mikko
Hypponen fra antivirusvirksom-
Folk, der hævder at repræsentere
gruppen Anonymous, har via Youtubevideoer
truet med at angribe den amerikanske
centralbank, hvis ikke bankens
bestyrelsesformand Ben Bernanke træder
tilbage.
Hackergruppen Anonymous blev
verdenskendt for sine aktioner mod
Scientology i 2008, som foregik under
navnet Project Chanology. Aktionerne
begyndte, da Scientology ville have
en video med skuespilleren Tom Cruise
fjernet fra Youtube. Det fik Anonymous
til at beskylde Scientology for internetcensur.
På den baggrund lancerede
Anonymous blandt andet ‘denial-ofservice’-angreb
mod Scientology-hjemmesider.
Efterfølgende opfordrede personer,
der hævdede at tale på vegne af
Anonymous, via Youtube-videoer til
demonstrationer mod Scientology. Billedet
viser nogle af demonstranterne
iført masker inspireret af figuren V fra
tegneserierne V for Vendetta.
Kilde: Wikipedia
George Francis Hotz, også kaldet
Geohot, er kendt for først at omgå sikkerheden
i Apples iPhone og sidenhen
for at finde frem til de digitale nøgler i
Sonys spillekonsol Playstation 3. Det fik
Sony til at hive manden i retten, hvorefter
hackere iværksatte voldsomme angreb
mod forskellige Sony-foretagender.
Analytikere har tidligere over for
Wallstreet Journal anslået, at Sony risikerer
at miste over fem milliarder kroner
som direkte følge af bare nogle af
angrebene. Foto: Wikipedia
heden F-Secure har i den forbindelse
tidligere sagt til Ingeniørens it-medie
Version2, at angrebene har været
med til at demonstrere, at den japanske
virksomhed på den ene side gør
meget for at beskytte egne, intellektuelle
data, mens Sony på den anden
side ikke har formået at beskytte
kundernes data.
Sikkerhedsekspert Peter Kruse fra
den danske virksomhed CSIS mener,
at der nu er gået decideret sport i at
hacke virksomheder som Sony efter
de første vellykkede angreb.
»Jagten er gået ind. Det er trofæer,
og det er trendy. Det er lidt sejt,« siger
han.
Spørgsmålet er dog, om folkene
bag hacktivisme generelt set opnår
andet end trendy ‘trofæer’ og så selvfølgelig
at genere ofrene for hackerangrebene.
Peter Kruse gætter på, at
hacktivistiske angreb godt kan påvirke
den måde, en virksomhed som
f.eks. Sony handler på.
»Jeg tror, vi kommer til at se et Sony-budget
på it-sikkerhed, som er betydeligt
højere, end vi har set tidligere.
Og så tror jeg måske også, at vi
kommer til at se en politisk ændring i
Sonys måde at agere på,« siger Peter
Kruse.
Patrick Mylund fra Kaspersky Lab
mener dog ikke, at hacking er den
bedste metode, hvis man vil påvirke
en virksomhed som Sony til at ændre
politik. Faktisk ser han det som
en mulighed, at hackerangrebene
måske ligefrem kan få Sony til at arbejde
for mere kontrol og flere restriktioner
på internettet, så hackergrupperne
får sværere ved at gennemføre
lignende angreb i fremtiden.
Men hos Sony tænker de folk,
der afgør den slags, sig formentlig
nok også om en ekstra gang i forhold
til sådan noget som at retsforfølge
brugere, der forsøger at omgå sikkerheden
i en Playstation, mener
Patrick Mylund.
»Jeg tror, de vil lave en risikoevaluering
af, hvad der bedst betaler sig: At
vinde en retssag mod en person, der
har gjort noget, eller at blive offer for
vreden fra hundredvis af anonyme
mennesker, der forsøger at trænge
sig ind på netværket.
Ingeniøren har forgæves forsøgt at
indhente en kommentar fra Sony
selv. j