Den digitale slagmark: Etiske vs. ondsindede hackere
Introduktion
Ved du, at Citibank (Citigroup) i 2011 led et cyberangreb, der resulterede i tyveri af næsten 2,7 millioner dollars?
Skuespillerne har netop udnyttet et simpelt databrud på deres hjemmeside. De havde udnyttet det i flere måneder, før det blev opdaget. Det led banken meget under, da over 360.000 konti er blevet ramt, og det var noget af en udfordring at komme af med det.
Resumé
Fødsel af informationssikkerhed
I de sidste to årtier er datalogi vokset drastisk; meget er blevet opdaget og meget er blevet forbedret. I dag har computere og teknologier intet at gøre med dem, der eksisterede i begyndelsen, i hvert fald i deres former og funktionaliteter. Det var det, der rejste en ny skat, en skat, som ikke var let tilgængelig før. Meget ville have været anderledes med det, det er Information.
Vigtigheden af information er blevet så stor, at den kan redde menneskeliv! Det er også meget vigtigt i vores daglige liv, og vi finder det i mange former. I denne artikel skal vi tale om digital information, med andre ord information gemt på computere, og vi vil omtale det som data.
Data er overalt, i skoler, hospitaler, banker, regeringer, militære, supermarkeder osv. Så dybest set har alle i verden data. Dens betydning er forskellig fra person til person og fra en brug til en anden; det kan nogle gange være meget kritisk.
Desværre, da intet er perfekt i denne verden, kan adgangen til disse oplysninger blive kompromitteret. Det er mest på grund af den menneskelige faktor i mange former. Det kan enten være en fejl, en glip eller nogle gange blot uagtsomhed. Dette kan føre til at efterlade sikkerhedshuller i et digitalt system, vi omtaler disse huller som sårbarheder.
Og der er mange mennesker med ondsindede hensigter, der forsøger at drage fordel af disse sårbarheder og målrette dem for deres egen skyld. De kaldes Hackere.
Hackere ses som kriminelle, og det er langt fra forkert. Konsekvenserne af deres handlinger kan være katastrofale, herunder pengetab og ødelæggelsen af mange menneskers liv, men nogle gange er der mindre skader, som ikke kan være ubetydelige. Vi vil tage et kig på nogle af disse konsekvenser senere.
Deres eksistens har gjort det uundgåeligt at tage sig af Informationssikkerhed ved at have folk, der kæmper mod dem (hackere).
De kaldes Ethical Hackers, deres opgave er grundlæggende at forhindre eller minimere hackers angreb (også kendt som cyberangreb). De er mennesker, der arbejder for at gøre den digitale verden til et mere sikkert sted.
Cyberangreb
Så cyberangreb, som er blevet introduceret før, er hackere handlinger. Hackere angriber systemer for at stjæle, udføre uautoriserede ændringer eller endda ødelægge data til mange ondsindede formål.
De fleste af disse angreb kan kategoriseres i en af disse tre kategorier.
Angreb mod systemer
I dette tilfælde er sårbarhederne generelt forårsaget af en teknisk fejl i systemet. Hackere bruger deres viden om systemet og hvordan det fungerer til at finde en utilpasset måde at bruge det til deres fordel, og de kan få uautoriseret adgang til en ressource eller endda systemet som helhed.
Vi taler generelt om:
-
Zero Day exploits (for nylig opdagede sårbarheder, der ikke er blevet rettet, hvilket betyder, at de stadig er til stede i den seneste version af systemet).
-
CVE'er (codes of vulnerability exploits) er beviser på koncepter, der er relevante over for forældede systemer.
-
Man-in-the-midten-angreb, Denial Of Service (DOS), Distributed Denial Of Service (DDOS) osv.
Angreb mod mennesker
Det er almindeligt kendt, at det mest sårbare punkt i et digitalt system er mennesker. Det er den mest uforudsigelige skuespiller i den. Mange cyberangreb er faktisk blevet udført mod folk, der arbejder i virksomheder, afslører kritiske data eller udfører katastrofale handlinger i mange systemer.
Her er et citat, jeg vil afsløre
"Der er intet plaster til menneskelig dumhed".
Hvilket betyder, at der ikke kan gøres noget, når det lykkes en hacker selv at hacke folk! Her taler vi mere om social engineering, som har til formål at hacke en persons mentalitet ved at bruge mange teknikker som phishing.
Angreb mod systemer gennem mennesker
I dette tilfælde er formålet med angrebet generelt at ødelægge data eller funktionsfejle et system. Dette gøres ved at få folk til at bruge ondsindede computerprogrammer kaldet malware.
Det er programmer, der enten ødelægger data, ændrer deres form fuldstændigt, gør det ubrugeligt, eller endda lækker det, hvilket fører til alvorlige konsekvenser. Og det er opgaven
-
virus: programmer, der spredes meget hurtigt på et system eller i et netværk
-
ransomware: malware, der krypterer data via en stærk algoritme og beder om løsesum for at få dem tilbage.
-
Trojanske heste, orme osv.
-
På den anden side kan malware forblive inaktiv og kun stjæle data, som spyware gør.
Og som du ser, opnås disse kun ved menneskelige fejl, der på en eller anden måde inkluderer dem i systemet.
Nogle kritiske cyberkatastrofer
I det sidste årti har verden kendt til adskillige cyberangreb, der har haft alvorlige konsekvenser.
Dette fik organisationer til at bekymre sig mere om deres systemsikkerhed.
Her er nogle af de mest kendte:
- Sony Pictures Hack (2014)
Cyberangrebet på Sony Pictures Entertainment i 2014, som blev tilskrevet Nordkorea, førte til afsløring af fortrolige data, herunder ikke-udgivne film og følsomme medarbejderoplysninger. Gerningsmændene, der opererede under pseudonymet "Guardians of Peace", krævede, at Sony stoppede udgivelsen af filmen "The Interview", som indeholdt et fiktivt plot, der involverede mordet på Nordkoreas leder.
- WannaCry Ransomware (2017)
WannaCry, et verdensomspændende ransomware-angreb, opsøgte specifikt computere, der brugte forældede Windows-versioner. Dette ondsindede program spredte sig hurtigt og påvirkede både organisationer og enkeltpersoner over hele kloden. Den udnyttede en sikkerhedssårbarhed, som NSA havde fjernet til at kryptere ofrenes filer, hvilket fik dem til at betale en løsesum for datadekryptering. Før der skete væsentlig skade, identificerede en sikkerhedsforsker tilfældigt en mekanisme til at stoppe angrebet.
- SolarWinds Cyberangreb (2020)
SolarWinds cyberangreb var et indviklet planlagt forsyningskædebrud, der var rettet mod SolarWinds, et fremtrædende it-administrationsfirma. Overfaldsmændene kompromitterede SolarWinds' softwareopdateringer og gav dem adgang til forskellige enheders systemer, herunder offentlige myndigheder og fremtrædende virksomheder. Angrebet var forbundet med en russisk Advanced Persistent Threat (APT) gruppe.
- Log4j (2021)
Log4j, et veletableret Java-værktøj med en historie på to årtier, stødte på et afgørende øjeblik i december 2021 med opdagelsen af en kritisk sårbarhed ved navn Log4Shell. Denne fejl tillod uautoriserede og ufaglærte ondsindede aktører at tage kontrol over applikationer, hvilket førte til dyre sikkerhedsbrud.
- Twitter (5,4 millioner brugerkonti stjålet fra et socialt ingeniørangreb 2022)
Den 5. august 2022 udsendte Twitter en overraskende meddelelse, der afslørede, at en hacker, der opererede under pseudonymet "djævel", havde udnyttet en nul-dages sårbarhed. Dette brud gjorde det muligt for dem at forbinde personlige identifikationsdetaljer som telefonnumre og e-mailadresser med brugerkonti på den sociale medieplatform.
Ved at gribe muligheden, som denne sårbarhed gav, udgav hackeren efterfølgende et stort datasæt på onlinefora, og prissatte det til $30.000. Fejlens eksistens var blevet offentligt kendt i juni 2021, hvilket påvirkede mere end 5 millioner brugere.
Som reaktion på denne hændelse handlede Twitter hurtigt og kontaktede de berørte kontoejere direkte og gav vejledning. De opfordrede brugerne til at implementere to-faktor-godkendelse som en væsentlig beskyttelse mod uautoriseret adgang til deres konti.
Etiske hackere
Som tidligere nævnt fik stigningen af hackere på teknologiområdet organisationer til at tænke på løsninger til at øge deres systemsikkerhed.
De var således nødt til at finde stillinger eller job, der ville betale for at gennemgå disse systemer og opdage sårbarheder for at reparere eller rette dem. De mennesker, der indtager disse holdninger, er faktisk dem, vi kalder etiske hackere.
Etisk hacking er opdelt i to hovedkategorier
-
Offensiv sikkerhed: Også kendt som penetrationstest eller etisk hacking, er praksis med at simulere cyberangreb på en organisations systemer for at identificere sårbarheder og svagheder. Hovedmålet med offensiv sikkerhed er proaktivt at opdage og adressere sikkerhedsproblemer, før ondsindede aktører kan udnytte dem.
-
Defensiv sikkerhed: Det fokuserer på at beskytte en organisations systemer, data og netværksinfrastruktur mod potentielle trusler. Dens primære mål er at forhindre uautoriseret adgang, databrud og andre sikkerhedshændelser.
Etisk hacking tager generelt forskellige tilgange eller hold, når man sikrer et system; nogle af disse er:
-
Red teaming: er en struktureret og systematisk tilgang til at teste og evaluere sikkerheden i en organisations systemer, processer og forsvar. Det involverer simulering af cyberangreb og andre trusler for at vurdere en organisations sikkerhedsposition, sårbarheder og overordnede modstandsdygtighed. Det primære mål med red teaming er at give en upartisk og realistisk vurdering af en organisations sikkerhedskapaciteter og identificere svagheder, som måske ikke er tydelige gennem traditionelle sikkerhedstestmetoder.
-
Blue Teaming: Blue Teams er ansvarlige for at beskytte en organisations digitale aktiver, systemer og data mod cybertrusler, samtidig med at de arbejder på at opdage og reagere på sikkerhedshændelser. I modsætning til røde teams, som simulerer angreb og modstridende aktiviteter, er blå teams primært optaget af at opretholde og forbedre organisationens sikkerhedsposition
-
Purple teaming: er en kollaborativ og integreret tilgang til cybersikkerhed, der kombinerer indsatsen fra både røde teams og blå teams i en organisation. Målet med lilla teaming er at forbedre en organisations overordnede sikkerhedsposition ved at lette kommunikation, videndeling og fælles test mellem disse to teams
Der er andre typer hold, der er mere specialiserede, som billedet nedenfor viser
Med hensyn til vigtigheden af deres rolle i informationsverdenen, er der flere organisationer og virksomheder, der er specialiserede i at levere tjenester inden for infosec-området, såsom penetrationstest og applikationsgennemgang.
Ikke kun organisationer, men freelancere inden for dette felt har set en interessant stigning med fremkomsten af Bug Bounty Hunting-programmer (programmer lanceret af virksomheder, der belønner enkeltpersoner for at rapportere sårbarheder, de finder på deres systemer).
Konklusion
Som konklusion må vi konstatere, at krigen mellem etiske og uetiske hackere ikke er noget, der kan afsluttes, så længe digital information forbliver en kritisk ressource.
Alle bør være opmærksomme på informationssikkerhedspraksis, som overhovedet ikke kræver teknisk viden. Og at tænke på at have en karriere inden for cybersikkerhed er et interessant valg, da etiske hackere er meget efterspurgte derude, og der er mange ressourcer til at begynde at lære med det samme! Så for at afslutte denne artikel har vi et spørgsmål til dig. Har du nogensinde været ramt af et cyberangreb som phishing, eller er du allerede blevet ramt af ransomware eller en virus? Fortæl os det!