Forsvarsforum

Snoker etter hackere

I et murbygg på Akershus festning sitter Christophe Birkeland. Sammen
med kollegene jobber han med å oppdage hackerangrep rettet mot Norge.

Tips en venn 25.02.2005Deres fremste verktøy er avanserte datamaskiner som analyserer trafikken fra Internett inn mot kritisk infrastruktur.
Formålet med Varslingssystem for digital infrastruktur (VDI), som avdelingen heter, er ikke å arrestere hackere, men å varsle før farlige angrep er fullbyrdet.
– Vi er en slags innbruddsalarm, men ikke noe politi, sier sjefsingeniør Christophe Birkeland. VDI er den eneste delen av Nasjonal sikkerhetsmyndighet som ikke er lokalisert på Kolsås. Enheten ble startet høsten 2000, i erkjennelsen av at internettbaserte trusler blir tøffere og er i rask vekst. VDI er et resultat av samarbeidet mellom Nasjonal sikkerhetsmyndighet, Politiets sikkerhetstjeneste og den militære e-tjenesten.

Automatisert
Overvåkninga er i stor grad automatisk ved at en sensor «ser» trafikken på nettet. Hvis noen for eksempel gjentatte
ganger prøver seg mot en dataserver uten å ha passordet, blinker ei lampe – for å forklare det enkelt. Alarmen kan også gå hvis noen prøver å «snakke» med veldig mange maskiner samtidig.
– I slike tilfeller går vi inn for å finne ut hvorfor lampene blinker. I 99 prosent av tilfellene er det falsk alarm, og det er i snitt mange tusen slike hver dag, forklarer Birkeland. Men hver dag er det alarmer som ikke er falske, uten at det er fare for kritisk infrastruktur. Når alarmen går, følger det også ei melding. Kontrollen kan være at sikkerhetsanalytikeren kjører kommandoer for å finne avvikende mønster, eller han følger med på weben og analyserer hva som skjer. Iblant tas det også kontakt med internasjonale samarbeidspartnere for å avklare hendelser. Det har til nå ikke vært noen angrep som har berørt nasjonal sikkerhet, men flere ganger i året forekommer det alvorlige og målrettede angrep som har gjort at operatørene har ringt opp de berørte institusjonene.

Oppdager snoking
På samme måte som når en innbruddstyv orienterer seg i et boligstrøk før han gjør et innbrudd, vil en datakriminell
prøve å orientere seg før han bryter seg inn i en dataserver. Det er denne datasnokingen VDI skal avsløre, og om nødvendig varsle slik at vitale samfunnsinstanser kan gå av nett for å skjerme seg.
– Vi skal til enhver tid ha oversikt. Det betyr at vi følger med på Internett, websider, mailinglister og nyhetsgrupper. Og vi betegner som alvorlig det som berører nasjonal sikkerhet og fare for menneskeliv, presiserer Birkeland. I Nederland ble flere svært vitale web-servere satt ut av spill da en hackergruppe utførte et cyberangrep som protest mot helsereformene sist høst. Demonstrasjoner kan i framtida skje fra en hvilken som helst pc, for eksempel ved at det sendes trojanske hester på nettet.

Internett-avhengig
Et mulig skrekkscenario er at Internett kollapser. Produksjonssystemer som bankvesenet, kraftforsyningen og
transportsektoren er avhengig av internett. Iver Johansen – statsviter som arbeider med sikkerhetspolitiske studier
på Forsvarets forskningsinstitutt – uttrykker seg slik:
– Et terrorangrep mot Internett vil kunne få større konsekvenser enn al-Qaidas angrep mot tvillingtårnene i New York. Kompleksiteten i nettet er så stor at det er vanskelig å forutsi resultatet av et massivt angrep i cyberspace.
Han mener det er et tidsspørsmål før de vestlige samfunn blir utsatt for et alvorlig angrep på Internett.
– Jeg vil nødig være spekulativ, men deler av Østen, USA og Europa er veldig avhengig av Internett, og dermed også sårbare. Det er åpenbart at et massivt angrep mot nettet vil føre til at liv kan gå tapt, sier Johansen, og sikter til helsevesenets avhengighet av nettet. Han betegner Internett som en organisme som vokser ukontrollert, hvor ingen har styring og ingen vet hva som vil bli resultatet dersom deler faller ut. Kompleksiteten er rett og slett for stor til å ha oversikt. For eksempel mistet Sør-Afrika og Romania nettforbindelsen da tvillingtårnene falt, fordi servere og kabler ble ødelagt. Det er 13 hovedmaskiner over hele verden, såkalte «root DNS»-servere, og minimum fire må være i drift for at nettet skal fungere.

Forsvarets nett
– Er også Forsvaret ille ute ved et nettangrep?
– Gradert materiale er helt atskilt fra Internett og FisBasis, men også Forsvaret får problemer hvis Internett går ned, sier Birkeland på VDI.
– Hvorfor gidder folk å ødelegge et datanettverk når de selv ikke tjener noe på det?
– Angrepet i Nederland er et eksempel på at denne type datahacking er gått fra å være et tidsfordriv på gutterommet
til å bli politisk eller økonomisk motivert. Noen kan drive utpressing ved å true med å gjøre et datasystem ubrukelig. Og ingen web-servere er sikre i lengden.

Botnets ny metode
En ny type datakrim er bruken av såkalte botnets. Det er i praksis å sørge for at mange tusen datamaskiner «forgiftes» med et slags virus uten at brukeren selv vet om det. Deretter kan angriperen bruke disse mange tusen maskinene til å gjøre hva han vil, som tjenestenektangrep, kompromittering av systemer eller utsendelse av spam. Denne type datakrim kom for alvor i 2004, og Telenor sikkerhetssenter avslørte bruken av et slikt botnet i høst.
Christophe Birkeland tror økonomisk motivert datakrim vil øke kraftig i omfang og at virusene eller ormene stadig vil bli hissigere. Derfor haster det med å få opprettet et nasjonalt Computer Emergency Response Team (CERT), som skal reagere på angrep som VDI oppdager.
– NSM foreslår å bygge ut VDI med en ny funksjon som kan være i drift 24 timer i døgnet. Dette er budsjettert til
å koste sju millioner kroner. Den store CERT-en i USA ble opprettet etter Morris-ormen i 1988, og de siste ormeangrepen har kommet opp i milliardkostnader fordi de frambringer voldsom trafikk.

TORBJØRN LØVLAND
ARNE FLAATEN (FOTO)

HER STOPPES DU. Christophe Birkeland ved Varslingssystem for digital infrastruktur slipper ikke fotografer inn i Norges hackerovervåkningsbygg.

GODE DATARÅD
- Installér programvare for antivirus, som oppdateres automatisk umiddelbart hver gang man kobler seg på Internett.
- Slett uten å lese e-post som er sendt fra ukjent og mistenkelig adressat
- Installér/aktivér en personlig brannmur.
- Aktivér automatisk oppdatering av operativsystemet.
- Logg ut og koble fra Internett når maskinen ikke er i bruk, selv om du har bredbåndstilknytning.

MILLIARDTAP
I 2003 ble norske virksomheter utsatt for 2,7 millioner forsøk på datainnbrudd og femti millioner forsøk på virusinfeksjon. Imidlertid ble bare 187 saker anmeldt og 54 personer straffedømt for datakrim. Det samlede tap anslås i en mørketallsundersøkelse til fem milliarder kroner.
– Denne type kriminalitet, som for noen år tilbake var preget av guttestreker, har nå blitt mer vinningsorientert,
økonomisk motivert og har hyppigere tilfeller av tungt skadeverk. Det er et økende antall saker hvor overtredelser
involverer andre land. Det er derfor et økende behov for harmonisering av lovverk og samarbeid over landegrensene, sier leder for Politiets datakrimsenter, Rune Fløisbonn.

Boolsk søkeuttrykk

Søkeuttrykk

Søketips

• Bruk bindestrek (-) for å utelukke et ord fra søkeresultatet
  F.eks. ola -kari finner dokumenter med ola men ikke kari
• Søk etter flere ord ved siden av hverandre ved å sette dem i anførselstegn (")
  F.eks. "ola nordmann" finner dokumenter der ordene ola og nordmann forekommer ved siden av hverandre
• Bruk boolske operatorer (AND, OR osv) i søkestrengen
  F.eks. ola AND kari finner dokumenter der bãde ola og kari forekommer.
• Bruk asterisk (*) som jokertegn
  F.eks. "ola n*mann" finner ola nordmann og ola neumann

Valg

Begrens søket til Hele arkivet Hele 2005 Nummer 1/2 Nummer 3 Nummer 4 Nummer 5 Nummer 6/7 Nummer 8 Nummer 9 Nummer 10 Nummer 11 Hele 2004 Nummer 1/2 Nummer 3 Nummer 4 Nummer 5 Nummer 6/7 Nummer 8 Nummer 9 Nummer 10 Nummer 11 Nummer 12 Hele 2003 Nummer 1 Nummer 2 Nummer 3 Nummer 4 Nummer 5 Nummer 6 Nummer 7 Nummer 8 Nummer 9/10 Nummer 11 Nummer 12 Nummer 13 Nummer 14/15 Nummer 16 Nummer 17 Nummer 18 Nummer 19/20 Nummer 21/22 Årsnummer 2003 Nummer 23/24 Hele 2002 Nummer 1 Nummer 2 Nummer 3 Nummer 4 Nummer 5 Nummer 23/24 Nummer 22 Nummer 21 Nummer 20 Nummer 19 Nummer 18 Nummer 17 Nummer 16 Nummer 14/15 Nummer 13 Nummer 12 Nummer 11 Nummer 9/10 Nummer 8 Nummer 7 Nummer 6 Hele 2001 Nummer 1 Nummer 2 Nummer 3 Nummer 4 Nummer 5 Nummer 6 Nummer 7 Nummer 8 Nummer 9 Nummer 10 Nummer 11 Nummer 12 Nummer 13 Nummer 14/15 Nummer 16 Hele 2000 Nummer 1 Nummer 2 Nummer 3 Nummer 4 Nummer 5/6 Nummer 7 Nummer 8 Nummer 9 Nummer 10 Nummer 11 Nummer 12 Nummer 13 Nummer 14/15 Nummer 16 Nummer 17 Nummer 18 Nummer 19 Nummer 20 Nummer 21 Nummer 22 Nummer 23 Hele 1999 Nummer 1 Nummer 2 Nummer 3 Nummer 4 Nummer 5 Nummer 6 Nummer 7 Nummer 8 Nummer 9 Nummer 10 Nummer 11 Nummer 13 Nummer 14/15 Nummer 12 Nummer 16 Nummer 17 Nummer 18 Nummer 19 Nummer 20 Nummer 21 Nummer 22 Nummer 23/24 Hele 1998 Nummer 1 Nummer 2 Nummer 3 Nummer 4 Nummer 5 Nummer 6 Nummer 7 Nummer 8 Nummer 9 Nummer 10 Nummer 11 Nummer 12 Nummer 13 Nummer 14/15 Nummer 16 Nummer 17 Nummer 18 Nummer 19 Nummer 20 Nummer 21 Nummer 22 Nummer 23/24 Hele 1997 Nummer 1 Nummer 2 Nummer 3 Nummer 4 Nummer 5 Nummer 6 Nummer 7/8 Nummer 9 Nummer 10 Nummer 11 Nummer 12 Nummer 13 Nummer 14/15 Nummer 16 Nummer 17 Nummer 18 Nummer 19 Nummer 20 Nummer 21 Hele 1996 Nummer 6 Nummer 8 Nummer 9 Nummer 10 Nummer 11 Nummer 12 Nummer 13 Nummer 14/15 Nummer 16 Nummer 17 Nummer 18 Nummer 19 Nummer 20 Nummer 21 Nummer 22 Nummer 23 Nummer 24 Hele 1995 Hele 2006 Nummer 1/2 Nummer 3 Nummer 4 Nummer 5 Nummer 6 Nummer 7/8 Nummer 9 Nummer 10 Nummer 11 Nummer 12 Hele 2007 Nummer 1/2 Nummer 3 Nummer 4 Nummer 5 Nummer 11 Nummer 6

NB! Arkivet er under oppbygging.

Antall treff pr. side 10 30 50 100