Archive for November 22, 2014

Populære apper gjøres til skadevare

Selv om svært mange av rapportene som kommer om skadevare til smartmobiler og nettbrett framstår som overdrevne og overfladiske forsøk på å selge sikkerhetsprogramvare til slike enheter, så er slik skadevare samtidig et reelt problem. Det er likevel først og fremst knyttet til nedlasting fra uoffisielle kilder, det vil si tredjeparts applikasjonsbutikker og vilkårlige nettsteder. I noen land har mange av brukerne ikke noe annet valg enn å ty til slike alternativer.

Denne uken kom Arxan Technologies med en rapport som understreker faren ved å laste ned apper fra ukjente kilder. Også Arxan også penger på økt frykt for skadevare, men med en ganske annen tilnærming enn den tradisjonelle antivirusbransjen.

Arxan har tatt utgangspunkt i de hundre mest populære, betalte appene til henholdsvis Android og iOS, samt de 20 mest populære gratisapplikasjonene til hver av de to plattformene, for å se om appene blir klonet eller pakket om for deretter å bli distribuert via uoffisielle kanaler.

Les også: – Ligg unna uoffisielle applikasjoner

Hele 97 prosent av de hundre mest populære betalte appene til Android finnes i det Arxan kaller for hackede utgaver. Dette er likevel en nedgang fra de to foregående årene, hvor andelen var på 100 prosent.

Men også iOS-apper blir tilbudt i modifiserte utgaver. Andelen er noe lavere enn for Android – 87 prosent, men andelen har vokst fra 56 prosent i en tilsvarende undersøkelse i fjor. I 2012 var andelen riktignok på 92 prosent.

Andelene er noen lavere blant gratisappene. 80 prosent av gratisappene til Android finnes i hackede utgaver, en økning på 7 prosentpoeng fra i fjor.

Når det gjelder iOS, er 75 prosent av de 20 mest populære gratisappene tilgjengelige i hackede utgaver. Det er 22 prosentpoeng mer enn i fjor.

Ifølge Arxan er det relativt enkelt å klone apper, utstyre dem med litt skjult funksjonalitet og å distribuere dem. For de fleste vil det være umulig å se forskjell på skadevaren og originalen, dersom appbutikken bare har minimal sjekking av appenes navngivning og utgivere før de gjøres tilgjengelige for brukerne.

Les også: Falske sikkerhetsapper til Windows Phone


Enkel framstilling av hvordan en iOS-app kan gjøres om til skadevare.

I Arxans rapport er det listet en rekke verktøy som gjør dekryptering og «reverse engineering» av mobilapper enklere. Men denne virksomheten kan vanskeliggjøres. Ikke overraskende tilbyr Arxan slike løsninger, men mye kan også gjøres med enkle verktøy, for eksempel å fjerne debuggingsymboler fra den utgaven av appen som distribueres. I 25 prosent av appene Arxan testet, var dette ikke gjort. Det å la symbolene være igjen i appen er ifølge selskapet som å tilby en innholdsfortegnelse og en indeks over appen til hackere.

Det er typisk apper som har tilgang til sensitiv informasjon som klones og gjøres om til skadevare. Mange apper, også gratisapper, har tilgang til sensitiv informasjon som kan utnyttes av en angriper. Dette kan være alt fra innloggings- og betalingsinformasjon til helsedata og forretningshemmeligheter.

For vanlige brukere er det grunnleggende rådet at man ikke åpner opp for installasjon fra andre kilder enn den offisielle, altså Apple App Store, Google Play og tilsvarende. Slik nedlasting og installasjon skjer ikke ved uhell, fordi ingen av plattformene godtar i utgangspunktet installasjon fra andre, «ukjente» kilder. Men mens det i utgangspunktet kreves en jailbreak for å åpne for dette med iOS, er det betydelig enklere i Android. Men det kan ikke gjøres uten at man ignorerer flere advarsler om at dette kan være skadelig.

I Windows Phone kan apper installeres utenom Windows Phone Store dersom installasjonsfilen først er lagret på mobilens SD-kort.

Intel i kraftig medvind

Nye markeder og nye lanseringer gir Intel vind i seilene, noe som vises på aksjekursen.

Prosessor-produsenten ser meget optimistisk på 2015, og aksjene deres er per nå verdt mer enn på 14 år.

Intel har tjent på jevnt salg av pcer til bedriftsmarkedet, samt økende behov for brikker til servere. Selskapet har nå 98 prosent av servermarkedet, og leverer store mengder brikker til svært betydningsfulle kunder som Amazon og Google.

Aksjene til Intel steg 4,7 prosent ved stengetid i New York, og ligger på 35,95 dollar. Det er den høyeste prisen siden februar 2001. Verdien har økt med 39 prosent i løpet av året.

Finanssjefen til Intel, Stacy Smith, sa på et pressemøte at selskapet vokser igjen etter to år med nedgang, og 2014 ser ut til å bli et bedre år enn de hadde regnet med.

Intel er altså optimistiske når det gjelder neste år, men det er noen hindringer. Salget av pcer steg i 2014, da mange bedrifter oppgraderte sin maskinvare i løpet av året (blant annet fordi Windows XP ikke lenger støttes av Microsoft), men det er ikke garantert at etterspørselen etter nye prosessorer fortsetter i samme tempo neste år.

Intel håper likevel at flere kunder lar seg friste av nye typer hybrid-pcer i løpet av 2015. Intels Kirk Skaugen mener at de har klart å stanse noe av frafallet fra mer tradisjonelle pcer til dedikerte nettbrett.

Likevel klarer ikke Intel å skape seg en like sterk posisjon i markedet for mobile enheter som de har i pc-verdenen. Selskapet subsiderer produsenter for å bruke deres deler, som egentlig er for dyre til å bakes inn i vanlige nettbrett. Dette betyr tap for Intels mobilavdeling. Intel mener likevel at de ser fremgang også på det markedet, selv om det per i dag koster dem penger.

Intel bestemte seg nylig for å slå sammen mobil- og pc-avdelingene, slik at arbeidsprosessen effektiviseres, og skal være i rute for å overgå målet om å ha sine brikker i 40 millioner nettbrett i løpet av 2014.

Selskaper forventer at deres inntekter vil vokse med «mid single digits», altså rundt fem prosent, i løpet av 2015.

På tide å ta farvel med sliteren

– For å sitere Johan Rolfsen, så er det på tide å la gamle Fola Blakken hvile, sier Petter Merok, direktør for server & tools i Microsoft Norge og sikter til Windows Server 2003.

Neste sommer blir det slutt på stellet av den gamle arbeidshesten.

Da kommer det ikke lenger patcher og sikkerhetsoppgraderinger og når det skjer blir produktet stadig mer utsatt for feil og angrep.

Trenger støtte
Det siste året er det gjort 37 kritiske oppgraderinger av den gamle programvaren, men 14. juli 2015 er det slutt. Innen da må brukerne ha oppgradert til en ny plattform, eller funnet et annet alternativ. Hvis ikke kommer programvaren til å bli stadig mer usikker etter som tiden går. Det er ikke bare et problem knyttet til Windows Server 2003. Programvaren kan også utnyttes til andre angrep på selskapenes infrastruktur, i tillegg til at hele systemet kan bli mer ustabilt.

– Slik er det med alle programvareprodukter vi selger. Vi er forutsigbare og garanterer støtte i ti år på produktene. Fem år med det vi kaller mainstream support, det vil si at brukerne får automatiske oppdateringer eller via IT-sjefen og så fem år med det vi kaller utvidet support. I denne perioden retter vi alle viktige og kritiske ting. Men så er det slutt. Riktignok kan brukere kjøpe forlenget support, men det er uforholdsmessig dyrt, sier produktsjef for servere i Microsoft, Clara Landvall.

Tar tid
Merok understreker at det tar tid å migrere fra en generasjon serverprogramvare til den neste. Brukere som vil flytte over på Windows Server 2012 R2, som er siste versjon i dag, må regne med å bruke en til to måneder eller mer på jobben. Gamle programmer må testes grundig og eventuelt oppgraderes før man kan bytte plattformen.

Men det er også andre grunner til å tenke på å skifte ut gamlegampen.

– De som kjører forretningsløsninger som involverer bruk av betalingskort vil få problemer. Visa, Mastercard og andre forlanger at brukerne skal være på en infrastruktur som har full støtte, sier Merok.

Alternativer
Microsoft peker på at det også finnes andre alternativer til å drifte egne servere. Nettskyen fantes ikke i 2003, men i dag er det et godt alternativ til å håndtere egen infrastruktur.

– Det var hverken nettsky, avansert virtualisering eller den grad av mobilitet den gang, men i dag preger dette IT-landskapet. I stedet for å flytte alt over på neste servergenerasjon kan det være lurt å vurdere om man skal sette ut deler av programvaredriften i nettskyen i Microsoft Azure, eller til noen av våre partnere. Det er den samme teknologien i Azure som den vi benytter i Windows Server 2012 R2. Og de som flytter til nettskyen slipper å tenke på drift, oppgraderinger og patcher, sier Merok.

CAPEX til OPEX
Han fremholder at det er mange måter å dekke det samme behovet Windows Server 2003 dekket. Hver bruker bør gjøre en vurdering hva som er den riktige miksen. Noen vil sette ut det meste, mens andre vil stå for driften selv.

– De fleste vil nok komme bedre ut økonomisk med en mer moderne måte å dekke IT-behovet. Det kan være mye penger og arbeid å spare for de som kan leie drift over nettet i stedet for å investere i maskinvare og drifte den selv, sier Landvall.

Stort endringsbehov
Det er et sted mellom 23 og 24 millioner operative lisenser for Windows Server 2003 i verden og ganske mange titusener i Norge. Det betyr at det er et betydelig behov for å gjøre noe i året som kommer. Og som ikke det var nok nærmer databaseprogrammet SQL Server 2005 seg også tiårsalderen.

– Det er kanskje ikke så lurt å bytte til Windows Server 2012 R2 og så teste programvaren på et databaseprogram som går ut like etterpå. Det er nok en god ide å tenke på hva man bør gjøre med både server- og databaseprogramvaren, sier Merok, som understreker at Microsoft ikke er ute etter å skremme folk, men å opplyse IT-folk om hva de står overfor det neste året.

Selv vil de og partnerne gjerne stå til rådighet for kundene for å finne gode alternativer til programvaren som nå skal ut i kulden.

vNext
Selv om Server 2012 R2 har åtte år med støtte igjen vil Microsoft slippe en ny versjon av serverprogramvaren, kanskje så tidlig som neste år. Windows Server vNext vil følge ikke lenge etter at nye Windows 10 slippes og inneholde mye selskapet har lært fra Azure og om virtualisering.

Slik blir Windows 10 bedre for bedrifter

Microsoft har allerede uttalt flere ganger at kommende Windows 10 skal vinne bedriftsbrukerne tilbake, og nå forklarer selskapet mer om sine planer.

Det gjelder spesielt app-butikken og hvordan apper for bedrifter skal håndteres.

Det er allerede kjent at Windows 10 skal ha en felles app-butikk med andre Windows-plattformer, noe som vil gjøre det enklere for både utviklere og administratorer å rulle ut apper som fungerer på tvers av pcer, mobiler og nettbrett.

Nå kommer det frem mer informasjon i et blogg-innlegg.

Den første nyheten er at IT-administratorer vil få tilgang til en egen web-basert portal, der man logger seg inn med Azure Active Directory-identitet. Derfra vil IT-sjefene kunne kjøpe inn applikasjoner i store mengder, og bestemme hvem som skal få installere hva. Man vil kunne gi tilgang til utvalgte applikasjoner til utvalgte brukere, og den aktuelle brukeren vil få tilsendt en lenke for å laste ned appen.

Organisasjoner som har sine egne app-kataloger i egne bedriftsportaler vil kunne vise appene som er kjøpt på den nye Windows-butikken i sine egne portaler, med full integrasjon mellom administrasjonsverktøyene og butikken.

Det som er interessant er at mindre organisasjoner uten ressurser til å ha sine egne portaler vil kunne sette opp sine egne private seksjoner av Windows-butikken der kun deres applikasjoner befinner seg. Denne seksjonen vil både inneholde apper kjøpt fra Windows-portalen og bedriftens egne programmer, og de ansatte vil kunne ha tilgang til alt det bedriften vil gi dem tilgang til.

Til slutt kommer det også mer omfattende styringsmuligheter via mobil-plattformer. Bedriftene vil kunne kontrollere distribusjon av appene med System Center Configuration Manager, Microsoft Intune eller andre tjenester. Man vil kunne installere og avinstallere apper med disse verktøyene, kontrollere lisener og oppdateringer og mye mer. Det vil også være muligheter å laste ned og installere apper til enheter som normalt ikke har internett-tilgang, noe som visse bedrifter har behov for.

Microsoft oppfordrer igjen til å laste ned testversjonen av Windows 10, og testversjonene av den nye nettbutikken og portalen vil rulles ut i løpet av de kommende månedene.

Bli kvitt Google-annonsene

Man kan like eller mislike nettannonser, men de gjør det mulig for de fleste nettsteder å tilby sine tjenester uten å ta direkte betalt for det. Men noen lesere misliker annonsene så sterkt at de blokkerer dem og dermed reduserer nettstedenes helt nødvendige inntekter.

Denne uken avduket Google et alternativ inntektskilde for nettsteder, en mellomting mellom annonser på den ene siden og betalingsmur på den andre.

Google Contributor, som nå er tilgjengelig som i en begrenset testutgave, er en abonnementsordning hvor abonnentene betaler noen får dollar i måneden for å slippe å se Google-annonser på nettsteder som deltar i ordningen. I stedet for annonsene blir abonnentene vist en takkemelding.

Det månedlige beløpet kan abonnentene selv velge, innenfor intervallet 1 til 3 dollar.

Det er Gigaom som først har omtalt denne tjenesten, som nok må anses som et eksperiment. Tjenesten er så langt kun tilgjengelig for amerikanske nettsteder. Blant de ti nettstedene som er med fra starten av, er The Onion, Imgur, Mashable, WikiHow, ScienceDaily og Urban Dictionary.

En talsperson for Google sier til Gigaom at abonnementsbeløpet ikke utbetales direkte til de deltakernettstedene med en gang. I stedet utløses utbetalinger først når Contributer-abonnenter besøker nettstedet. På denne måten støtter abonnentene bare nettsteder de besøker ofte.

For nettstedene vil inntektene fra Contributer-ordningen komme inn på samme måte som annonseinntektene.

Om Contributer har noe for seg, vil tiden vise. Det virkelig spennende med Contributor er forsøket på å finne gi nettsteder nye inntektskilder. Så får man regne på det om inntektene fra Contributor kan være verdt bryet.

Her får drapsdømte lære å kode

San Quentin Prison er blant de mest beryktede i USA. Mytene har vokst i takt med utallige bøker og film om Californias eldste fengsel. Bildet som er skapt er utdatert. Fangene er ikke lenger de antatt farligste. De fleste er plassert i avdelinger med såkalt medium sikkerhet.

Innsatte har en rekke programmer med mål om å forberede dem på et liv utenfor murene. Det lages blant annet en avis av fangene kalt San Quentin News. Det er også mulig å ta utdannelse på college-nivå eller delta i idrettslag.

Web-utvikling
Nå har de også fått en unik mulighet til å lære seg koding og web-design.

Bak står organisasjonen The Last Mile. Den ble startet av en investor i Silicon Valley og hans kone med mål om å redusere tilbakefall-prosenten i delstatens fengsler. Statistikken viser at hele 61 prosent havner bak murene igjen etter soning, noe som er det høyeste tallet i USA.

Code 7370, som kurset heter, omfatter per i dag 18 innsatte med undervisning fire ganger i uken og åtte timer om dagen. Kurset går over et halvt år med fokus på JavaScript, CSS og HTML.

Nettstedet Ars Technica har besøkt San Quentin og snakket med flere av de involverte, inkludert drapsdømte fanger som nå lærer seg webutvikling.

Uten internett
Kurset er nokså vrient å gjennomføre rent praktisk. Ingen av de innsatte skal ha tilgang til internett, uansett omstendigheter. Derfor jobbes det på frakoblede datamaskiner, der alle filene blir lagret lokalt. Maskinene kjører Ubuntu og har tidligere tilhørt statskontorer. Selve undervisningen foregår over videokonferanse med instruktører fra en San Francisco-basert kodegruppe kalt Hack Reactor.

Målet er selvsagt å gi kursdeltakerne noe meningsfylt å gjøre under soningen, men arbeidet de utfører kan potensielt også ha en kommersiell verdi. Ifølge Shawn Drost, som leder undervisningen, ser arrangørene for seg at de 18 kan levere til kunder, uten at han hadde noen konkrete eksempler å vise til.

Tenker seg kunder
Amerikanske fengsler har hatt flere programmer som lar innsatte lage produkter, som deretter kjøpes av myndigheter, og det finnes i tillegg en måte for eksterne selskaper å bruke fanger som arbeidskraft, kalt JVP. Hvis et selskap skulle ønske å bruke innsatte til å kode, må de benytte seg av JVP-programmet, men problemet er selvsagt logistikken med å få koden ut av de frakoblede maskinene på en sikker måte.

Per i dag får i alle fall de innsatte muligheten til å lære så grunnleggende ting som å skru på en pc og identifisere de forskjellige delene. Mange av kursdeltakerne har tross alt sittet i fengsel i mange titalls år.

En av fangene Ars Technica fikk prate med, Joseph Demerson, er dømt for overlagt drap og har sittet i fengsel i 30 år. Nå lærer han seg å kode.

Her kan du finne nye IT-oppdrag

Første september var det frist for alle statlige etater for å rapportere inn alt som sluker unødvendig tid og ressurser i arbeidsdagen til byråkratene.

Populærbegrepet er «tidstyvene».

Målet er å luke ut og rette opp IT-systemer og arbeidsrutiner som ikke fungerer som de skal.

For pressen
Nå har Difi samlet rapportene i en åpen og søkbar database.
Datasettet kan også lastes ned.

Det hele finner du her.

– Det har vært stor etterspørsel fra pressen etter disse dataene. Derfor legges “tyvene” nå ut slik at det skal være enkelt å finne ut hva som er spilt inn, sier prosjektleder Mette Mannsåker hos Difi.

Digitale råvarer
De siste årene har stadig flere offentlig innsamlede data blitt tilgjengelig for allmennheten.

Målet er at datasettene skal være råstoff til nye inntektsbringende ideer og dermed bidra til nyskaping og økonomisk vekst.

Les også: Alle data ut til alle

Søke oppdrag
En umiddelbar tanke for en IT-leverandør kan være å lete etter mulige oppdrag i tidstyvbasen.

– Vi har også tenkt i de baner med tidstyvdatabasen, sier Mannsåker til digi.no.

Denne banken er helt fersk, og fremdeles strømmer det inn med rapporter fra etternølere.

– Nå skal vi gå i gang med å sortere og anbefale tiltak, sier prosjektlederen.

Plukke frukt
Du får klikke deg inn og saumfare databasen for lavthengende frukt i forhold til løsninger din bedrift sitter med.

Hvis du søker på «IT-løsning», er det ikke få sider med søkeresultater som dukker opp:

  • Feilregistreringer
  • Mangelfulle systemer for lønn
  • Ditto for reiseregninger
  • Tungvinte og halvmanuelle rutiner
  • Unødvendige krav til papirdokumentasjon ved siden av IT-systemet

Preste-trøbbel
Visste du for eksempel at prestene sliter med reiseregningene sine og etterlyser en felles løsning?

Her er problembeskrivelsen:
«Prestene har ulike IT-løsninger på sine kontorsteder. Dette gjør at det ikke er noen enhetlig plattform. Dette medfører at det stadig oppstår problemer og frustrasjon for mange prester når de skal skrive elektronisk reiseregning, hente ut lønnsslipp mm. Bispedømmekontoret har ikke mulighet til å løse alle problemene som oppstår, selv om vi ofte kan bistå. Løsningen er ofte å foreta manuell registrering via bispedømmekontoret, som igjen er en tidstyv for administrasjonen.»

Må ta ansvar
Til nå er det kommet inn rapporter om 1200 tidstyver.

Hvordan skal regjeringen bruke denne informasjonen?

Arbeidet ledes av Kommunal- og moderniseringsdepartementet. Her formidler seniorrådgiver Helge Kvandal følgende svar fra statssekretær Paul Chaffey (H):

– De ansvarlige departementene og etatene starter nå et arbeid med å vurdere hvilke tidstyver, meldt inn av andre enn dem selv, som skal gis prioritet i oppfølgingen. KMD skal koordinere arbeidet og bidra til at departementet som forårsaker tidstyven og følger opp, forklarer Chaffey.

Mer system
Noen tidstyver berører flere departementer. Disse vil KMD følge spesielt opp overfor de som har ansvaret.

– Databasen hjelper oss i systematiseringsarbeidet. Ved å offentliggjøre innspillene, bidrar vi til åpenhet og gode innspill i arbeidet, heter det fra politisk ledelse.

Tror stor webaktør kjøper Netflix i 2015

Det er ennå ikke blitt desember, men det britiske analyseselskapet CCS mente allerede denne uken at tiden er inne for å presentere det selskapet tror vil bli viktige begivenheter og trender i IT-markedet i 2015. Den mest oppsiktsvekkende spådommen er nok den om at Netflix vil bli kjøpt av en stor webaktør neste år.

– Alle webaktører ønsker seg en sterkere tilstedeværelse innen betalt video, noe Netflix har oppnådd med bemerkelsesverdig suksess, skriver CCS i en rapport som siteres av Financial Times.

CCS mener at Yahoo, Alibaba og Google er blant de potensielle beilerne. Analyseselskapet mener at Google vil etablere en konkurrent til Netflix i 2015, dersom selskapet ikke kjøper videotjenesten. Google har mye erfaring med strømming av video fra før, med både YouTube og Google Play Movies. Men bortsett fra den nye musikktjenesten i YouTube, har Google ingen abonnementsbaserte videotjenester.

Blant de øvrige spådommene for 2015 er at boblen innen 3D-skrivere i forbrukermarkedet vil sprekke og at det vil skje oppkjøp på internett som er flere ganger høyere enn Facebooks oppkjøp av WhatsApp – som til slutt endte på 21,8 milliarder dollar. Blant annet mener CCS at noen vestlige internett-aktører vil kjøpe opp noen østlige aktører i løpet av det kommende året, men også det motsatte. Dessuten mener CCS at Vodafone vil kjøpe Sky og at Google vil kjøpe GoPro i 2015.

Analyseselskapet mener også at kroppsnær teknologi vil forbli et svært fragmentert marked, selv med Apples inntreden, i alle fall fram til 2017. Produsentene av slike enheter må dessuten greie å presentere en klar hensikt med slike enheter.

CCS spår økt betydning for smartmobiler i mellomklassen i året som kommer. I dag skjer det meste i øvre og nedre prisklasse. Dessuten mener selskapets analytikere at passord slik vi kjenner dem vil være foreldet innen utgangen av 2018.

Office 365 får videotjeneste

Microsoft avduket denne uken Office 365 Video, en nettskybasert videotjeneste primært ment for internkommunikasjon i store bedrifter.

Tjenesten er basert på Azure Media Services, som skal ta seg av alt av koding og avspilling. Videoene lastes opp via et enkelt grensesnitt.

Foreløpig er tjenesten kun tilgjengelig for Office 365 First Release-kunder. Offisiell, global utrulling ventes å skje tidlig i 2015.

Hovedpoenget med å ta i bruk tjenesten, i stedet for å bruke for eksempel YouTube, er muligheten for finkornet tilgangskontroll, som er basert på Azure Active Directory. Dessuten kan videoene organiseres i ulike kanaler, som kan være tilgjengelige for visning eller redigering av utvalgte brukere eller grupper.

Den sosiale funksjonaliteten sørger integrasjonen med Yammer og Delve for. Sistnevnte var tidligere kjent under kodenavnet Oslo og er omtalt av digi.no her.

Videoene fra Office 365 Video skal kunne spilles av også på mobile enheter, men dette støttes foreløpig ikke. Microsoft har foreløpig sagt lite om hvorvidt videoene kan deles eksternt, enten i ekstranett eller på vanlige nettsteder, men det er noe som vurderes.

Dette er nok årsaken til at videotjenesten presenteres i YouTube-baserte videoer.

Flash
Litt overraskende er det kanskje at avspillingen av videoene krever Flash Player. Mange andre videotjenester støtter i dag HTML5-video. Microsoft forklarer at bruken av Flash er nødvendig for strømming dynamisk tilpasset tilgjengelig båndbredde og skjermstørrelse, samt for sikker videoleveranse.

All video skal være kryptert, både under transitt og lagring.

Office 365 Video vil være inkludert i Office 365 Enterprise-abonnementene , samt i tilsvarende abonnementer for akademiske institusjoner. Tjenesten skal ikke koste noe ekstra, bortsett fra at videoene lagret i Office 365 vil regnes med i den samlede lagringsmengden til SharePoint Online.

IT-sjefene åpner for angrep og innbrudd

Hvor sikre er egentlig norske IT-systemer, og hva er de vanligste sikkerhetsfeilene?

Nasjonal sikkerhetsmyndighet ser med bekymring på at vi ofte på kort tid og ved hjelp av enkle teknikker, er i stand til å bryte oss inn datasystemer – selv i samfunnskritiske organisasjoner.

Alt er ikke dårlig. Informasjonssikkerheten i mange norske virksomheter er bra – og godt er det. Men trusselaktørene som norske virksomheter møter på internett viser seg etter NSMs erfaringer både å ha nødvendig kompetanse, ressurser og ikke minst vilje til å bryte seg inn i norske nettverk. Derfor er det stort behov for å lukke så mange sårbarheter som overhode mulig snarest mulig.

Tester innbrudd
I NSM jobber vi blant annet med å teste hvor lett det er å bryte seg inn i datasystemer.


Nils Petter Wien er senioringeniør i Nasjonal sikkerhetsmyndighet (NSM).

Verktøyene er de samme som en hvilken som helst hacker vil ta i bruk for å prøve å bryte seg inn. Testene er nøye avtaleregulert og utføres for å hjelpe norske virksomheter med å styrke sikkerheten sin.

Her er et utvalg typiske feil vi finner når vi tester sikkerheten.

Manglende oppdateringer
Våre erfaringer viser at de fleste norske virksomheter blir stadig bedre til å oppdatere sine operativsystemer og vanlig kontorstøtteprogrammer (eksempelvis Microsoft Office-pakken).

For annen programvare er bildet dessverre annerledes.

Manglende sikkerhetsoppdateringer gjør IT-systemer unødvendig sårbare for dataangrep.

Microsofts oppdateringstjeneste, Microsoft Update, har gjort det relativt enkelt å oppdatere deres programvare. Vedlikehold av tredjepartsapplikasjoner, altså applikasjoner som er laget av andre enn virksomheten selv eller leverandøren av operativsystemet (som i de fleste tilfeller er Microsoft) krever som regel mer arbeid.

Det handler om blant annet den faktiske jobben med å utføre oppdateringen, mens den største forskjellen ligger i behovet for å teste oppdateringene, slik at produktene de oppdaterer fungerer som de skal.

Manglende oppdateringer er fremdeles et stort problem for norske virksomheter, som gjør at døra står på unødvendig mye på gløtt mange steder for folk som måtte prøve å bryte seg inn.

Svake passord
En enkel vei inn i mange datasystemer er passord som er lette å gjette seg frem til.

Dessverre er jobben ofte altfor enkel. Brukere velger svake passord, mange er mulig å gjette seg frem til.

Det er ikke uvanlig å bruke passord som «Sommerferie2014» eller kombinasjoner av virksomhetens navn og kjente årstall. Passord kan gjettes automatisert med en hastighet på flere milliarder kombinasjoner i sekundet.

I tillegg finner vi ofte standardpassord i bruk på printere og nettverksutstyr. Mange ellers godt sikrede nettverk kan følgelig enkelt kompromitteres gjennom enkle internettsøk etter produsentens standard brukernavn og passord. Problemet gjøres enda verre som følge av mangelfull nettverksfiltrering.

Mangelfull nettverksfiltrering
Svært mange angrep kunne vært stoppet, eller i alle fall gjort betraktelig vanskeligere, gjennom bedre nettverksfiltrering. Alt for mange virksomheter organiserer nettverkene sine som «flate nett». Dette betyr at de plasserer alt utstyr i samme nettverkssone.

For å forbedre sikkerheten, burde virksomhetene skilt brukerne fra servere og administrasjonssegmenter. Mange av de virksomhetene som faktisk skiller nettene sine, plasserer printerne sine i serversegmentet. Det er heller ikke uvanlig at printere ikke er underlagt filtrering. En eventuell angriper med fysisk tilgang til bygget kan følgelig omgå store deler av de implementerte sikkerhetsmekanismene i bygget gjennom å koble nettverkspunktet printeren er koblet til inn i en egen maskin.

Jo bedre virksomheter klarer å identifisere hvilke behov brukere og utstyr har for å kommunisere seg imellom, desto bedre er det mulig å sikre nettverkene sine gjennom nettverksfiltrering. Hvis brukeres datamaskiner ikke har behov for å kommunisere direkte med andre brukeres maskiner, er det heller ingen grunn til å åpne for det.

Om mulig bør adskillelse av ulike grupper gjøres ved hjelp av dedikerte brannmurer. Det bør som et absolutt minimum skilles i separate virtuelle lan (VLAN). Disse kan gjerne kombineres, for eksempel gjennom å skjerme brukere fra hverandre i ulike VLAN, mens servere og nettverksutstyr beskyttes mot brukere eller hverandre gjennom bruk av brannmurer.

Utgått på dato
Alle virksomheter bør regelmessig gjennomgå regelsettene på brannmurene sine. Brannmurregler kan enkelt forklares som å gi beskjed til informasjonssystemenes portvakter om hvem som skal slippes inn gjennom hvilke dører, og dermed også hvem som ikke skal slippes inn.

Stadig ser vi ellers gode brannmurregelsett som blir omgått gjennom mer eller mindre bevisst innføring av enkle feil. Mye tyder på at dette ofte skyldes midlertidig testing, gjerne i forbindelse med lansering av nye tjenester. Dette gjelder ikke minst virksomheter som har outsourcet drift.

Noen eksempler:

  • NSM har sett brannmurregler som var tydelig merket med “SKAL DENNE VÆRE HER?”, som slapp all trafikk gjennom virksomhetens brannmurer.
  • Man har også sett konkrete eksempler på regler merket “Midlertidig, fjernes innen 2006″ som slapp igjennom all trafikk mellom deler av nettverket de siste par årene.
  • Det er heller ikke uvanlig å finne umerkede brannmurregler som gir store tilganger, som viser seg å være presset igjennom av prosjektledere i forbindelse med prosjektleveranser.
  • For virksomheter som har outsourcet drift, finner man ofte at virksomhetenes brannmurer er satt opp til å slippe igjennom all trafikk fra den eksterne driftsleverandøren.

Overdreven bruk av administratortilgang
NSM ser at de fleste systemer har mange brukere med unødvendig høye rettigheter – ofte full administratortilgang.

Ansatte med behov for ekstra rettigheter, eksempelvis IT-drift, bør bare gis de rettighetene de faktisk trenger, ikke generelt fulle rettigheter. Eksempelvis bør en medarbeider på brukerstøtte som bare har behov for å kunne bytte brukeres passord bare gis denne rettigheten.

De som har høyere rettigheter, bør i tillegg ha konto med vanlige rettigheter som bør brukes når det ikke er nødvendig med høyere tilgang. Grunnen til dette er at de fleste virus eller annen skadevare som brukeren kan kjøre, for eksempel som følge av surfing på nettsider eller lesing av epost, får samme rettighet som brukeren selv.

Skadevare som har høyere rettigheter kan potensielt gjøre mer skade i systemet.

Mangelfull oversikt over brukere og utstyr
NSMs erfaringer viser at mange virksomheter har mangelfull oversikt over eget nett og egne ressurser. Mye gammelt og utdatert utstyr kjører i norske virksomheter uten at noen har oversikt over dem. Mye av dette utstyret viser seg å ikke være underlagt sikkerhetsoppdateringer eller annet vedlikehold.

Dette gjør at virksomhetene er unødvendig sårbare for eventuelle angrep.

For å gjøre vondt verre viser det seg i mange tilfeller at dette sårbare utstyret plassert på sentrale steder i nettverkene utenom eventuell nettverksfiltrering. Utstyret kan følgelig relativt enkelt fungere som et springbrett til å kompromittere sentralt utstyr som ellers hadde vært betraktelig bedre sikret mot eventuelle angripere.

Systemadministratorer er ofte ikke gode nok til å holde orden, og lar ofte gamle brukerkontoer være tilgjengelige. En brukerkonto, og aller helst en konto med administratorrettigheter, er en åpen dør inn til virksomhetens datasystemer.

Virksomhetene bør alltid fjerne all tilgang fra ansatte og andre som forlater virksomheten. For å sikre logger, bør ikke brukerkonti slettes, men sperres og fratas alle rettigheter. I tillegg bør virksomheter bli flinkere til å fjerne rettigheter de ansatte ikke lenger trenger, for eksempel ved intern endring av stilling eller arbeidsoppgaver.

Et komplisert felt
NSM er selvfølgelig klar over at det å utbedre feil krever tid og ressurser, og kanskje aller mest kompetanse. Dette kan virke som en stor utfordring, spesielt for små virksomheter.

For store organisasjoner er ofte oppetid høyere prioritert enn sikkerhet, og arbeidet blir vanskeliggjort av at nettverkene gjerne blir komplekse.

Allikevel er det nødvendig å prioritere sikring av datasystemer.

Informasjon om debattinnlegg og kronikker i digi.no

Alle innlegg må sendes til redaksjon@digi.no. Husk å legge ved et portrettbilde. Vi forbeholder oss retten til å redigere innsendt materiale.