Du er det svakeste leddet i it-sikkerheten

Hackere får ofte adgang til it-systemer ved å utnytte det svakeste leddet i it-sikkerheten – mennesker. Nå har en forsker utviklet en sikkerhetsmodell som skal stenge det menneskelige sikkerhetshullet.
8.11 2012 05:00


Folk blir trøtte og uoppmerksomme. Derfor er de ofte det letteste målet for en hacker som skal bryte inn i et it-system. En ny sikkerhetsmodell utviklet på DTU skal gjøre livet mer vanskelig for hackerne.

Hvorfor forsøke å hacke komplekse sikkerhetssystem når det er så mye enklere å hacke mennesker?

Hackere bruker ofte såkalt «social engineering», hvor intetanende personer i god tro åpner døren for de ubudte gjestene.

«Hei, jeg ringer fra it-avdelingen. Det er et program du skal installere.» Dette er et typisk eksempel på «social engineering», der en hacker forsøker å få adgang til et it-system.

Et annen utbredt eksempel er å plassere en USB-nøkkel på et kontor i en bedrift. Når en medarbeider stikker den inn i datamaskinen sin for å finne ut hvem den tilhører, installeres et overvåkingsprogram – og så er hackeren inne i bedriftens it-system.

– Når hackere først har kommet inn i it-systemet via en medarbeiders datamaskin, har de som regel lettere adgang til å rote rundt i deler av bedriftens data, sier Christian W. Probst, førsteamanuensis ved DTU Informatik.

Sosial sikkerhetsmodell

For å møte utfordringen har Probst sammen med kolleger utviklet en ny sikkerhetsmodell. I modellen er det ikke bare teknologien som er i fokus, men også på de menneskene som bruker den.

– Bedrifter er generelt flinke til å beskytte seg mot angrep utenfra, men de garderer seg sjelden mot angrep innenfra. Modellen vår analyserer seg frem til hvor risikoen i et system ligger. Et typisk oversett ledd i sikkerhetslenken er nettopp brukerne, forteller Probst.

Mer spesifikt ser han på adgangskontrollen for både mennesker og programmer. Hvilke muligheter har en aktør i et it-system, og hvilke konsekvenser har disse mulighetene?

Trenger bare én

Det smarte ved «social engineering» at mange mennesker stoler blindt på en person ser ut til å ha autoritet og kunnskap.

– Det eneste en hacker trenger, er en person som ikke kjenner bedriftens sikkerhetspolitikk til punkt og prikke – så er de inne i systemet, sier Probst.

Sikkerhetsforskerens egen far har akkurat vært utsatt for et angrep.

– Faren min på 72 mottok en e-post hvor det sto at kontoen hans var overtrukket. Den dagen var han trøtt, og så klikket han på lenken i e-posten og endte med et virus på datamaskinen sin, forteller Probst.

Kritiske dokumenter

Nå skal den nye sikkerhetsmodell testes for alvor.

– I modellen vår legger vi et dokument i en bedrifts it-system, hvor det står at dette dokumentet aldri skal komme ut fra bedriften. Hvis vi senere kan vise i modellen at dokumentet kan forlate bedriften, betyr det at en ondsinnet aktør kan få adgang til bedriftens data, sier Probst.

Sammen med andre universiteter og bedrifter fra hele Europa vil han undersøke effekten av for eksempel et angrep med en USB-nøkkel. Kan man bruke det til å få adgang til hemmelige data i en gitt bedrift?

Nettskyen er en enorm utfordring

Neste store utfordring for forskerne er «cloud computing».

Det har de siste par årene vært et moteord i it-verdenen. Bakgrunnen er at dataoppbevaring og regnekraft i stigende grad flyttes fra den enkelte brukeren eller bedriften ut i enorme datasentre.

Det er samme utvikling som man så på fabrikker for 100 år siden, da man gikk fra lokal strømforsyning via vannhjul eller dampmaskiner til å få levert energi fra store, sentrale strømselskaper.

– Cloud computing representerer en spesiell utfordring fordi bedriftene får mindre kontroll over dataene sine. Bedriftene leier ikke bare datamaskiner og regnekraft ved cloud computing, men også de ansatte i datasenteret. Sikkerhetskjeden blir mer komplisert og får flere menneskelige ledd. Sikkerhetsmessig sett er nettskyen en enorm utfordring, sier Probst.

Handler om balanse

Når man skal lage et it-system så sikkert som mulig, handler det imidlertid ikke bare om å minimere risiko ved å begrense muligheter og adgang til informasjon, påpeker forskeren.

– Det handler om å finne balansen mellom sikkerhet og brukervennlighet. Man kan ikke bare regulere seg ut av problemene. Hvis man bare tenker sikkerhet, ender det med at medarbeiderne ikke vil bruke it-systemet, eller at de finner omveier rundt om sikkerhetsmekanismene, avslutter han.

© Videnskab.dk. Oversatt av Lars Nygaard for forskning.no.

forskning.no ønsker en åpen og saklig debatt. Vi forbeholder oss retten til å fjerne innlegg. Du må bruke ditt fulle navn. Vis regler

Regler for leserkommentarer på forskning.no:

  1. Diskuter sak, ikke person. Det er ikke tillatt å trakassere navngitte personer eller andre debattanter.
  2. Rasistiske og andre diskriminerende innlegg vil bli fjernet.
  3. Vi anbefaler at du skriver kort.
  4. forskning.no har redaktøraransvar for alt som publiseres, men den enkelte kommentator er også personlig ansvarlig for innholdet i innlegget.
  5. Publisering av opphavsrettsbeskyttet materiale er ikke tillatt. Du kan sitere korte utdrag av andre tekster eller artikler, men husk kildehenvisning.
  6. Alle innlegg blir kontrollert etter at de er lagt inn.
  7. Du kan selv melde inn innlegg som du mener er upassende.
  8. Du må bruke fullt navn. Anonyme innlegg vil bli slettet.

Annonse

Fakta:

Hackere kan bruke vedlegg, telefonkontakt eller USB-drives til å få foten innenfor i et it-system.

Det kalles social engineering.

Prinsippet er det samme: å lure mennesker i stedet for systemer.