Hvor sikre er egentlig norske IT-systemer, og hva er de vanligste sikkerhetsfeilene?

Nasjonal sikkerhetsmyndighet ser med bekymring på at vi ofte på kort tid og ved hjelp av enkle teknikker, er i stand til å bryte oss inn datasystemer – selv i samfunnskritiske organisasjoner.

Alt er ikke dårlig. Informasjonssikkerheten i mange norske virksomheter er bra – og godt er det. Men trusselaktørene som norske virksomheter møter på internett viser seg etter NSMs erfaringer både å ha nødvendig kompetanse, ressurser og ikke minst vilje til å bryte seg inn i norske nettverk. Derfor er det stort behov for å lukke så mange sårbarheter som overhode mulig snarest mulig.

Tester innbrudd
I NSM jobber vi blant annet med å teste hvor lett det er å bryte seg inn i datasystemer.

Verktøyene er de samme som en hvilken som helst hacker vil ta i bruk for å prøve å bryte seg inn. Testene er nøye avtaleregulert og utføres for å hjelpe norske virksomheter med å styrke sikkerheten sin.

Her er et utvalg typiske feil vi finner når vi tester sikkerheten.

Manglende oppdateringer
Våre erfaringer viser at de fleste norske virksomheter blir stadig bedre til å oppdatere sine operativsystemer og vanlig kontorstøtteprogrammer (eksempelvis Microsoft Office-pakken).

For annen programvare er bildet dessverre annerledes.

Manglende sikkerhetsoppdateringer gjør IT-systemer unødvendig sårbare for dataangrep.

Microsofts oppdateringstjeneste, Microsoft Update, har gjort det relativt enkelt å oppdatere deres programvare. Vedlikehold av tredjepartsapplikasjoner, altså applikasjoner som er laget av andre enn virksomheten selv eller leverandøren av operativsystemet (som i de fleste tilfeller er Microsoft) krever som regel mer arbeid.

Det handler om blant annet den faktiske jobben med å utføre oppdateringen, mens den største forskjellen ligger i behovet for å teste oppdateringene, slik at produktene de oppdaterer fungerer som de skal.

Manglende oppdateringer er fremdeles et stort problem for norske virksomheter, som gjør at døra står på unødvendig mye på gløtt mange steder for folk som måtte prøve å bryte seg inn.

Svake passord
En enkel vei inn i mange datasystemer er passord som er lette å gjette seg frem til.

Dessverre er jobben ofte altfor enkel. Brukere velger svake passord, mange er mulig å gjette seg frem til.

Det er ikke uvanlig å bruke passord som «Sommerferie2014» eller kombinasjoner av virksomhetens navn og kjente årstall. Passord kan gjettes automatisert med en hastighet på flere milliarder kombinasjoner i sekundet.

I tillegg finner vi ofte standardpassord i bruk på printere og nettverksutstyr. Mange ellers godt sikrede nettverk kan følgelig enkelt kompromitteres gjennom enkle internettsøk etter produsentens standard brukernavn og passord. Problemet gjøres enda verre som følge av mangelfull nettverksfiltrering.

Mangelfull nettverksfiltrering
Svært mange angrep kunne vært stoppet, eller i alle fall gjort betraktelig vanskeligere, gjennom bedre nettverksfiltrering. Alt for mange virksomheter organiserer nettverkene sine som «flate nett». Dette betyr at de plasserer alt utstyr i samme nettverkssone.

For å forbedre sikkerheten, burde virksomhetene skilt brukerne fra servere og administrasjonssegmenter. Mange av de virksomhetene som faktisk skiller nettene sine, plasserer printerne sine i serversegmentet. Det er heller ikke uvanlig at printere ikke er underlagt filtrering. En eventuell angriper med fysisk tilgang til bygget kan følgelig omgå store deler av de implementerte sikkerhetsmekanismene i bygget gjennom å koble nettverkspunktet printeren er koblet til inn i en egen maskin.

Jo bedre virksomheter klarer å identifisere hvilke behov brukere og utstyr har for å kommunisere seg imellom, desto bedre er det mulig å sikre nettverkene sine gjennom nettverksfiltrering. Hvis brukeres datamaskiner ikke har behov for å kommunisere direkte med andre brukeres maskiner, er det heller ingen grunn til å åpne for det.

Om mulig bør adskillelse av ulike grupper gjøres ved hjelp av dedikerte brannmurer. Det bør som et absolutt minimum skilles i separate virtuelle lan (VLAN). Disse kan gjerne kombineres, for eksempel gjennom å skjerme brukere fra hverandre i ulike VLAN, mens servere og nettverksutstyr beskyttes mot brukere eller hverandre gjennom bruk av brannmurer.

Utgått på dato
Alle virksomheter bør regelmessig gjennomgå regelsettene på brannmurene sine. Brannmurregler kan enkelt forklares som å gi beskjed til informasjonssystemenes portvakter om hvem som skal slippes inn gjennom hvilke dører, og dermed også hvem som ikke skal slippes inn.

Stadig ser vi ellers gode brannmurregelsett som blir omgått gjennom mer eller mindre bevisst innføring av enkle feil. Mye tyder på at dette ofte skyldes midlertidig testing, gjerne i forbindelse med lansering av nye tjenester. Dette gjelder ikke minst virksomheter som har outsourcet drift.

Noen eksempler:

• NSM har sett brannmurregler som var tydelig merket med “SKAL DENNE VÆRE HER?”, som slapp all trafikk gjennom virksomhetens brannmurer.
• Man har også sett konkrete eksempler på regler merket “Midlertidig, fjernes innen 2006″ som slapp igjennom all trafikk mellom deler av nettverket de siste par årene.
• Det er heller ikke uvanlig å finne umerkede brannmurregler som gir store tilganger, som viser seg å være presset igjennom av prosjektledere i forbindelse med prosjektleveranser.
• For virksomheter som har outsourcet drift, finner man ofte at virksomhetenes brannmurer er satt opp til å slippe igjennom all trafikk fra den eksterne driftsleverandøren.

Overdreven bruk av administratortilgang
NSM ser at de fleste systemer har mange brukere med unødvendig høye rettigheter – ofte full administratortilgang.

Ansatte med behov for ekstra rettigheter, eksempelvis IT-drift, bør bare gis de rettighetene de faktisk trenger, ikke generelt fulle rettigheter. Eksempelvis bør en medarbeider på brukerstøtte som bare har behov for å kunne bytte brukeres passord bare gis denne rettigheten.

De som har høyere rettigheter, bør i tillegg ha konto med vanlige rettigheter som bør brukes når det ikke er nødvendig med høyere tilgang. Grunnen til dette er at de fleste virus eller annen skadevare som brukeren kan kjøre, for eksempel som følge av surfing på nettsider eller lesing av epost, får samme rettighet som brukeren selv.

Skadevare som har høyere rettigheter kan potensielt gjøre mer skade i systemet.

Mangelfull oversikt over brukere og utstyr
NSMs erfaringer viser at mange virksomheter har mangelfull oversikt over eget nett og egne ressurser. Mye gammelt og utdatert utstyr kjører i norske virksomheter uten at noen har oversikt over dem. Mye av dette utstyret viser seg å ikke være underlagt sikkerhetsoppdateringer eller annet vedlikehold.

Dette gjør at virksomhetene er unødvendig sårbare for eventuelle angrep.

For å gjøre vondt verre viser det seg i mange tilfeller at dette sårbare utstyret plassert på sentrale steder i nettverkene utenom eventuell nettverksfiltrering. Utstyret kan følgelig relativt enkelt fungere som et springbrett til å kompromittere sentralt utstyr som ellers hadde vært betraktelig bedre sikret mot eventuelle angripere.

Systemadministratorer er ofte ikke gode nok til å holde orden, og lar ofte gamle brukerkontoer være tilgjengelige. En brukerkonto, og aller helst en konto med administratorrettigheter, er en åpen dør inn til virksomhetens datasystemer.

Virksomhetene bør alltid fjerne all tilgang fra ansatte og andre som forlater virksomheten. For å sikre logger, bør ikke brukerkonti slettes, men sperres og fratas alle rettigheter. I tillegg bør virksomheter bli flinkere til å fjerne rettigheter de ansatte ikke lenger trenger, for eksempel ved intern endring av stilling eller arbeidsoppgaver.

Et komplisert felt
NSM er selvfølgelig klar over at det å utbedre feil krever tid og ressurser, og kanskje aller mest kompetanse. Dette kan virke som en stor utfordring, spesielt for små virksomheter.

For store organisasjoner er ofte oppetid høyere prioritert enn sikkerhet, og arbeidet blir vanskeliggjort av at nettverkene gjerne blir komplekse.

Allikevel er det nødvendig å prioritere sikring av datasystemer.

Forskere hos Google har utviklet et system som ved hjelp av maskinlæring kan lage korte beskrivelser av hva som vises på et bilde, slik som beskrivelsen som er gjengitt under toppbildet i saken og under bildene lenger ned i saken. Systemet kalles for Neural Image Caption (NIC) Generator. Det omtales i denne forskningsrapporten.

Datamaskiner har lenge kunnet gjenkjenne enkeltobjekter i bilder, for eksempel et ansikt eller en katt. Men det er langt vanskeligere for datamaskinene å lage en kortfattet oppsummering av det som kan være en ganske komplisert scene. Da kreves det en dypere representasjon av det som foregår, å forstå hvordan de ulike objektene er relatert til hverandre, samt å oversette det hele til et naturlig språk.

De fleste mennesker kan gjøre dette helt uten videre. Men for synshemmede er bilder ofte til liten nytte, selv om de kan være helt vesentlige for seende. Det er langt fra alltid at bilder ledsages av en forklarende bildetekst.

Men det er ikke bare synshemmede som vil kunne ta i bruk slik teknologi når den etter hvert blir videreutviklet og moden. Det er allerede nå mulig å se for seg flere andre bruksområder.

Det mest selvfølgelige bruksområdet Google er å bruk NIC-generatoren i forbindelse med bildesøket. Dersom noen søker etter et bilde av «en flokk med elefanter som går over en tørr gresslette», så vil søkemotoren kunne finne fram til slike bilder basert på beskriver som NIC-generatoren har lagt i Googles metadata for bilder med nettopp slike motiver. Men foreløpig er dette mer teori enn praksis.

Man kan også tenke seg at teknologien på lenger sikt kan brukes til mer avansert bildeanalyse, for eksempel hos en etterretningsorganisasjon som teller stridsvogner i satellittbilder. Det kan også brukes til å få en tekstbasert beskrivelse av samtlige bilder i fotosamlingen til virksomheter og privatpersoner, slik man kan søke på den samme måten som i de webbaserte søketjenesten.

Eksperimentene til forskerne viste at NIC-generatoren stort sett var i stand til å generere fornuftige setninger. Men som bildet under viser, er det fortsatt en del å gå på når det gjelder tolkningen av innholdet.

Google har jobbet noen år med bildegjenkjenning og ulike områder innen kunstig intelligens. Blant annet bruker selskapet slike teknikker til å gjenkjenne husnummer i Street View-bildene, noe som man i blant kan se resultatene av i selskapets Recaptcha-tjeneste.

I bildesøket til Google har det en god stund vært mulig å laste opp bilder eller peke til bilder på andre nettsteder, for så å få søketjenesten til å finne bilder som ligner. Det samme er mulig i mobilappen Google Goggles. Ansiktsgjenkjennelse i verktøy som Picasa er selvfølgelig gammelt nytt.

Google er på ingen måte de eneste selskapet som bruker og videreutvikler bildegjenkjenning og annen kunstig intelligens. Både Facebook og kinesiske Baidu investerer tungt i dette området. Det langt mindre kjente selskapet Viblio tilbyr på sin side automatisk tagging av videoopptak.

Oslo/Stavanger (NTB-Mette Estep): Norge ligger under snittet i bruk av data på skolen. Det viser den første internasjonale studien av digitale kunnskaper hos ungdomsskoleelever.

ICILS 2013 er den første internasjonale studien av digitale ferdigheter blant ungdomsskoleelever og bruk av digitalt verktøy på skolen, hjemme og andre steder. Til tross for relativ lav bruk av datateknikk på skolen, ligger norske niendeklassinger godt over gjennomsnittet i kunnskap om informasjons- og kommunikasjonsteknologi (IKT).

Både kunnskapsminister Torbjørn Røe Isaksen (H) og nestleder i Utdanningsforbundet, Steffen Handal, reagerer på at norske lærere ifølge undersøkelsen bruker mindre datateknikk i undervisningen enn det internasjonale gjennomsnittet:

– Det er viktig at skolene blir enda bedre til å gi lærerne muligheten til å utvikle sin digitale kompetanse. Over halvparten av lærerne opplever at skolen ikke i tilstrekkelig grad har lagt til rette for dette, selv om lærerne ønsker det, sier Handal.

I undersøkelsen er norske lærere mer positive til bruk av IKT i undervisningen enn lærerne i de andre landene i undersøkelsen.

Flinke jenter
Norske elever ligger generelt over snittet sammenlignet med de 17 andre landene. Tsjekkiske elever skiller seg ut i toppen, norske er i sjiktet like under. Jentene presterer bedre enn guttene på testen i alle land som er med, også i Norge.

Undersøkelsen rangerer elevene på fire nivåer og viser at Norge har flere elever på de to øverste ferdighetsnivåene enn gjennomsnittet: 30 prosent av de norske elevene skårer her, mot 23 prosent av elevene i de 18 landene sett under ett. Bare Tsjekkia skårer bedre.

Hjemmelært
I spørreundersøkelsen svarer bare 8 prosent av norske elever at de bruker digitalt verktøy daglig på skolen, mens 75 prosent bruker datamaskin hjemme daglig.

Samtidig sier flere norske elever enn det internasjonale gjennomsnittet at de har lært digitale ferdigheter på skolen om hvordan de skal forholde seg til kilder og informasjon på nett.

Studien omfatter 60.000 elever i 8. og 9. klasse på mer enn 3.300 skoler. Den består av en test på kunnskapsnivå, supplert av spørreundersøkelse og data fra nesten 35.000 lærere. Blant deltakerlandene er Norge, Tyskland, Danmark, Sveits og Nederland fra Vest-Europa. Bare Tyskland og Norge rangeres, ettersom det er mangelfulle data fra de andre landene. De øvrige landene er Litauen, Tyrkia, Kroatia, Russland, Tsjekkia, Polen, Slovakia, Slovenia, Australia, Chile, Korea og Thailand. (©NTB)

Oppdatert klokken 13.16: Saken er utvidet.

Brikkeprodusenten Qualcomm er allerede ganske dominerende på mobilmarkedet, og leverer prosessorer til de aller fleste produsentene.

Nå vil det erfarne firmaet inn på et nytt marked, nemlig servere, og dermed utfordre giganter som Intel og AMD.

Det er uavklart når Qualcomm skal begynne å selge brikkene eller hva de vil koste, skriver Wall Street Journal (via Engadget), men toppsjefen Steve Mollenkompf forteller at de har kontakt med kunder, men at det tar tid å bygge opp en virksomhet av denne typen.

Prosessorteknologien som Qualcomm vil bruke baserer seg på ARM-teknologier, som altså er bredt brukt i mobile brikker og noen enkelte serverløsninger. Det er likevel Intels arkitektur som fortsatt dominerer markedet.

Mange serverprodusenter har imidlertid etterlyst alternativer til x86-arkitekturen, og ARM-brikkene har én stor fordel, nemlig lavere energiforbruk, selv om de kanskje ikke er så kraftige som Intels mektigste løsninger.

Det å bruke store mengder, gjerne hundrevis av svakere, men effektive brikker, er for mange mer attraktivt enn å installere noen få, kraftige, men krevende Intel-prosessorer. Spesielt drift av massive nettsider som Facebook kan være relevant for Qualcomm, da slike selskaper kan tilpasse sine datasentre til å håndtere spesifikke oppgaver enklere med ARM-brikkene. Qualcomm har også brukt nettopp Facebook som et eksempel på en kunde de gjerne vil jobbe med.

Steve Mollemkompf sier at selskapets satsning på servermarkdet kan generere opptil 15 milliarder dollar i inntekter innen år 2020.

Google skal være interessert i komme inn på det kinesiske markedet igjen. I 2010 ble hele den kinesiske virksomheten til selskapet flyttet til Hong Kong. Antatt statlige IT-angrep og omfattende sensur skal ha vært hovedårsakene til dette.

Men nå kan det se ut til at selskapet har planer om å løsne litt på denne boikotten, i alle fall når det gjelder nettbutikken Google Play. Gjennom denne tilbyr Google blant annet Android-applikasjoner, musikk og film.

Det er nettavisen The Information som melder om dette. Avisen siterer ikke navngitte personer som skal ha kjennskap til planene.

Også Reuter skriver det samme, i stor grad basert på The Information-artikkelen som befinner seg bak en betalingsmur.

Ifølge kildene skal Google allerede i fjor ha vært i samtaler med kinesiske myndigheter om en kinesisk utgave av Google Play. Android-brukere i Kina må bruke tredjeparts app-butikker for å få tilgang til Android-apper. Mange av disse har tilsynelatende ingen kontroll over hva slags apper som distribueres, noe som har ført til et omfattende skadevareproblem for Android-enheter i Kina. Det oppdages i blant også skadevare i Google Play, men disse blir stort sett fjernet før de rekker å gjøre noen skade. De fleste rapporter om skadevare til Android dreier seg om trojanere funnet i tredjeparts markedsplasser i Kina og Russland.

Selv om Google og de kinesiske myndighetene blir enige om en lansering av Google Play i landet, er det ingen automatikk i at de kinesiske Android-brukerne får tilgang til tjenesten. Det forutsetter en avtale mellom leverandøren av de enkelte enhetene og Google. Det er ikke gitt at eksisterende enheter vil bli omfattet av en slik mulighet.

Utviklere
Et mer konkret bevis på at Google er i ferd med å slakke litt på den stramme linjen mot Kina, ble kunngjort av selskapet selv i går.

Nyheten er at kinesiske utviklere nå får tilgang til å distribuere og selge apper via Google Play til brukere i mer enn 130 andre land. Eventuelle inntekter vil bli overført til utviklerens kinesiske bankkonto.

Google tillater nå utviklere i 60 ulike land å distribuere apper via Google Play. Dette antallet har blitt betydelig utvidet det siste året, og Google planlegger å åpne for denne muligheten også i flere andre land.

Beats er som kjent en integrert del av Apple, men det er fremdeles ikke helt avklart hvordan Apple kommer til å bruke musikk-tjenesten i sine produkter. Per i dag får amerikanske brukere fremhevet appen i App Store som en av essensielle iOS-programmene ved siden av iWork og lignende.

Ifølge Financial Times (via The Verge) vil brukere snart få Beats-applikasjonen installert uansett om de vil eller ikke. En oppdatering som skal skje tidlig neste år vil gjøre Beats til en integrert del av iOS, som en app som ikke kan avinstalleres.

En gang i tiden gjorde Apple det samme med applikasjoner som iBooks eller Podcasts, som opprinnelig måtte lastes ned separat, men senere ble integrert med resten av iOS. Å gjøre Beats en del av den samme pakken fremstår som ganske logisk, hvis Apple ønsker å få flere brukere til tjenesten.

Financial Times skriver også at Beats kan få en overhaling og rebranding i samme slengen, noe andre kilder også tidligere har hevdet.

Det vil likevel fortsatt kreves et separat betalabonnement for Beats, skriver avisen.

Beats Music har siden lansering ikke akkurat vært en trussel mot de etablerte strømmetjenestene som Spotify, og det anslås at tjenesten har rundt 110,000 abonnenter. Det vil derfor være ganske essensielt for Apple å bake Beats tettere inn i universet sitt hvis de skal få valuta tilbake for investeringen sin. Det å forhåndsinstallere appen på alle iPhone-enheter vil være en start.