IT

– Ikke ødelegg FOST

Leif Hamnes
17. juni 2009 - 10:15
Vis mer

Tross ung alder er seniorkonsulent Preben Nyløkken (24) i Watchcom allerede en respektert skikkelse i det norske IT-sikkerhetsmiljøet.

Det samme kan sies om Forsvarets Sikkerhetstjeneste (FOST), som har vært skyteskive for en samlet rikspresse den siste uka.

Les også: Hurra for skandalen

– FOST har landets fremste ekspertise og de klart største ressursene innen IT-sikkerhet. De gjør en svært nødvendig jobb i å sikre forsvar og regjeringsapparat mot nettrusler – bedre enn noen kommersiell aktør er i stand til per i dag. Det vil være veldig uheldig om den såkalte overvåkingssaken gir en politisk prosess som reduserer FOSTs slagkraft, sier Nyløkken.

Les også: – Riktig å overvåke hele nettverket

Slik jobber FOST

(NB: Klikk på bildet for større versjon.)
(NB: Klikk på bildet for større versjon.)



FORVIRRET? Watchcom-ekspert Preben Nyløkken har hjulpet TU.no å skissere hvordan Forsvarets nettverk kan ha tråkket feil i forbindelse med overvåkningsmistankene mot kongehus og regjering.



Ikke en mann for mye

Nyløkken har selv utviklet nettsveiperen Greywolf. Daglig besøker den nær en halv million norske nettdomener på jakt etter skadelig kode.

Og stadig oftere finner programmet det det leter etter. Per i dag er rundt 2000 norske nettsider rammet av hackere i en eller annen form- oftest fra Kina og Russland.

Også nettstedene til store bedrifter og riksmedier er eller har vært på lista, ifølge Watchcom-eksperten.

– I mediene er det slått stort opp at FOST har ekspandert i rask takt, og at avdelingen teller rundt 100 mann i dag. Slik jeg tolker trusselbildet, trenger ikke det å bety noe annet enn at FOST har satt inn de ressursene som trengs for å møte økte utfordringer. En kommersiell aktør med samme ansvar ville trolig est like mye ut – minst, sier Nyløkken til Teknisk Ukeblad.

Les også: – Riktig å overvåke hele nettverket

Fra spam til piksler

Skurkene på nettet har de siste 3-5 årene skiftet hovedfokus, fra spam og Nigeria-brev til hacking av nettsteder.

Forklaringen ligger i at produsentene av spamfiltre, i særdeleshet Cisco-oppkjøpte IronPort, omsider lyktes der andre har feilet, mener Nyløkken.

– Nærmest over natten kunne vi registrere at antallet angrep mot websider økte, og at Norge i større grad ble en del av det globale trusselbildet. I dag er metodene sofistikerte, og den skadelige koden ofte usynlig, forteller han.

– Reell trussel

Gjemt i én skjermpiksel, en såkalt iframe, kan det plantes en «minimert» kinesisk nettside. Denne skanner etter programvare du har glemt å oppdatere, som Adobe, Java eller Quick Time.

Svakheter utnyttes til å plante spionprogrammer, og oftest henger antivirusprogrammet to-tre dager etter. I mellomtiden er du sårbar om du bruker kredittkortet.

– 1500 norske nettsider er infisert på denne måten akkurat nå. Om personene bak skulle lykkes å plante en slik orm på innsiden av regjeringsapparatets datanettverk, og oppdager hva de sitter på, ville vi se en skandale av helt andre dimensjoner enn det vi har nå, sier Nyløkken.

Et spørsmål om juss

Han tror overvåkingssaken i realiteten handler om menneskelig svikt – en mulig juridisk prosedyrefeil da FOST skulle varsle om en trussel – ikke metodene som ble brukt for å avdekke den samme trusselen.

Les også: Juristløse overvåkere

– I motsetning til hva mange tror, har ikke webhacking i dag lenger noe å gjøre med å bryte seg inn i webserveren – men selve web-applikasjonen. Dermed er monitorering av dataflyt og et oppegående webfilter helt nødvendig for å oppnå et sikret nettverk. Dette gjelder enten det dreier seg om Forsvaret, regjeringen eller private bedrifter, sier Nyløkken.

Avslørte MSN

Seniorrådgiver Vidar Sandland i NorSIS minner om at nettopp monitorering av bedriftsnettverk i sin tid avslørte at den norske MSN-nettsiden ble infisert av skadelig programvare.

– Den gang ble det oppdaget at maskiner i bedriftsnettverkene oppførte seg unormalt. Det vi fokuserer på på generell basis, er at kontroll av datatrafikk er viktig – altså ikke enkeltpersoner, men datastrømmer, sier Sandland.

Trenger klare regler

Han understreker at de forhåndsdefinerte rammene for monitorering må være krystallklare.

– I en bedrift fins det også klare regler for hva som er tillatt og ikke. Eksempelvis kan pornosider bli sperret, etter at det først er informert om det på e-postinstruks eller lignende. Også ditt eget antivirusprogram skanner jo all datatrafikk, og stopper ting det gjenkjenner som skadelig – men innenfor de rammene som er gitt, sier Sandland.

NSM vil dysse ned

Nasjonal sikkerhetsmyndighet (NSM) er tilsynsmyndighet, som sjekker tekniske standard og at FOST-personalet har rett sertifisering.

Overfor TV 2 lanserte forsvarssjef Sverre Diesen, til blant andre Preben Nyløkkens overraskelse, ideen om at NSM eller Forsvarsdepartementet kunne overta ansvaret for FOSTs oppgaver,«for å styrke kontrollen».

Informasjonsrådgiver Kjetil Berg Veire vil imidlertid ikke kommentere saken i det hele tatt – fordi den er betent nok fra før.

– NSM kommenterer ikke saken fordi den er under etterforskning, og fordi NSM ikke ønsker å bidra til mer oppmerksomhet rundt saken, sier Berg Veire.

Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.