”2011 Recruitment plan.xls”. Det var namnet på filen som sänkte ett av världens viktigaste säkerhetsbolag tidigare i år. Intrånget mot RSA och dess mest kända produkt, SecurID, gjorde avtryck i hela säkerhetsvärlden.
Nycklar till den välbekanta säkerhetsdosan kom på vift, vilket öppnade för intrång mot de företag som förlitar sig på den för ett extra säkerhetsskydd när anställda loggar in. De är 40 miljoner stycken, spridda över hela världen. Men allt började alltså med den bifogade filen.
Den mejlades till några få anställda på RSA som skulle beröras just av en rekryteringsplan. En av dem gick på bluffen, öppnade Excelfilen och startade därmed en kodsnutt som utnyttjade ett tidigare okänt säkerhetshål i Adobe Flash. Kontrollen över datorn övergick i hackarens händer. Sedan var det en smal sak att snappa upp lösenord och leta sig vidare mot de känsligaste företagshemligheterna.
– Människan är alltid en av de svagaste länkarna, så det är troligt att sådana här attacker blir vanligare, säger Louise Yngström, professor i säkerhetsinformatik vid Stockholms universitet.
Till skillnad från vanligt nätfiske, som spammas ut till miljoner människor och bygger på att en minimal andel av dem går på bluffen, är spjutfiskeattacker noga riktade mot sitt mål. Spear phishing, som det kallas på engelska, blir därmed mycket svårt att upptäcka.
Ofta har angriparen gjort efterforskningar och tagit reda på vem på företaget som brukar mejla med vem, hur de formulerar sig och vilken typ av material som ofta skickas – allt för att göra brevet så trovärdigt som möjligt och få offret att öppna den bifogade, infekterade filen.
Dessutom slipper personen bakom intrånget besvära sig med servrar och brandväggar, som ofta är mer välskyddade. Attackens riktas rakt mot en helt vanlig pc, med alla dess brister och sårbara program. Inte sällan ser avsändaren ut att vara offrets kollega eller chef. Vem öppnar inte vad som ser ut att vara ett viktigt dokument, mejlat av chefen, korrekt beskrivet med den interna företagsjargongen?
– Systemen har blivit så komplexa att människor inte längre förstår hur mycket information de har, eller att de själva är en svag länk. De har inte någon policy klar för sig och arbetsgivaren har inte utbildat dem, säger Louise Yngström.
– Att lära sig policyn när man är ny räcker inte, den måste uppdateras. Systemen blir annorlunda, och attackerna blir annorlunda med tiden.
Det verkliga målet för attacken mot SecurID visade sig vara försvarsjätten Lockheed Martin. Med de stulna koderna kunde personerna bakom intrånget ta sig förbi Lockheed Martins säkerhetssystem och potentiellt komma över topphemlig information om vapensystem.
RSA är långt ifrån ensamt. Flera jätteföretag och organisationer har fallit offer för likande intrång den senaste tiden (se ruta till höger), och mörkertalet kan vara stort.
Det är svårt att se något som löser problemet i ett slag, men kanske är det dags att se över vilka delar av företagets it-infrastruktur som är uppkopplade på vanligt sätt.
– Frågan är om vi över huvud taget kan fortsätta använda det öppna internet. Man kan tänka sig att delar av nätet är öppet och att andra delar kräver starkare autentisering för att över huvud taget få koppla upp sig. Folk måste bli mer skeptiska, säger Louise Yngström.
1. Angriparen gör efterforskningar om offret. Vem väntar han eller hon sig viktig e-post från? Vilka typer av dokument brukar finnas bifogade? Vilka sårbara program finns på offrets dator?
2. Meddelandet går iväg, med fejkad avsändare och en bifogad fil innehållande skadlig kod. Brevet kan till exempel ge sken av att vara en viktig intern rapport, skickad från offrets chef.
3. Bilagans skadliga kod infekterar offrets dator och ger angriparen tillgång till den. Detta helt utan att datorns ägare märker någonting.
4. Väl inne på en del av nätverket kan angriparen ta sig vidare ut på företagets nätverk, för att till exempel stjäla företagshemligheter.
Flera stora företag och organisationer har fallit offer för skräddarsydda attacker den senaste tiden.
RSA
Säkerhetsföretaget bakom SecurID föll offer för en riktad attack i mars 2011. Med hjälp av koder till SecurID som stals kunde intrånget fortsätta mot Lockheed Martin.
IMF
I juni uppdagas vad som beskrivs som ett mycket omfattande intrång, troligtvis genom en spjutfiskeattack. Intrånget är extra oroande eftersom internationella valutafonden IMF delar it-system med världsbanken.
Ett stort antal Gmail-användare utsätts för riktade attacker. Bland dem högt uppsatta högt uppsatta amerikanska tjänstemän, kinesiska aktivister, journalister och regeringsföreträdare från andra länder, framförallt Sydkorea. Skräddarsydda meddelanden och infekterade filer som bilagor får många att falla för bluffen.
7,5% av programinvesteringarna i svenska företag är säkerhetsrelaterade. Den största delen går till traditionella områden som antivirus och brandväggar.
2 miljarder kronor omsätter säkerhetsmjukvara i Sverige. Identitets-
hantering och mobil säkerhet hör till de områden som växer snabbast. Källa: IDC
”Säkerhet ligger i topp i användarundersökningar och är det område som prioriteras högst när det gäller ny-investeringar”
Nils Molin, IDC
