VIRUS: En skjermdump fra en datamaskin ved et britisk sykehus fredag. Foto: @fendifille via AP / NTB scanpix
VIRUS: En skjermdump fra en datamaskin ved et britisk sykehus fredag. Foto: @fendifille via AP / NTB scanpixVis mer

Ikke vært på jobb i helga? Da må du være ekstra varsom når du åpner e-post på mandag

Løsepengeviruset er foreløpig stoppet - men nye versjoner kan dukke opp allerede i morgen.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Flere norske virksomheter ble fredag utsatt for viruset «Wannacry». Over 200 000 ofre i minst 150 land skal være berørt av dataangrepet som omtales som tidenes største.

Løsepengeviruset, eller «ransomware» som det også kalles, tar datamaskiner som gissel, krypterer filene og krever løsepenger for å dekryptere filene og gi deg tilgang til maskina igjen. I det aktuelle angrepet er løsepengesummen på minst 300 dollar (rundt 2600 norske kroner). Pengene må betales i den digitale valutaen bitcoin.

- For øyeblikket er spredningen av det spesifikke viruset stoppet. En sikkerhetsperson klarte å kjøpe et domene, som gjorde at en såkalt «killswitch» ble aktivert, sier Gunnar Ugland, leder for Telenors sikkerhetssenter, til Dagbladet.

Opprettet domene - stoppet virus

Sikkerhetspersonen er en Twitter-bruker ved navn MalwareTech. Ifølge The Guardian har personen, sammen med Darien Huss, som er ansatt hos sikkerhetsfirmaet Proofpoint, lest seg gjennom hardkodingen i skadeprogramvaren.

- Domenenavnet var hardkodet i kodingen. Domenenavnet var ikke registrert fra før, så denne personen fortet seg å registere det. Så ble det opprettet en vanlig webside, noe som gjorde at en «killswitch» automatisk ble aktivert, forklarer Ugland i Telenor.

I et intervju med BBC, forteller MalwareTech at et nytt angrep trolig vil være rett rundt hjørnet.

- Det kommer et nytt ett... ganske sannsynlig på mandag, sier han.

Det som da skjer er som følger: Dersom man har fått en e-post med viruset «Wannacry», og utløser aktiveringen av skadevareprogrammet, vil programvaren kontakte domenet og sjekke om den får svar. Før domenet ble registrert og aktivert, fikk ikke programvaren svar. Da startet krypteringen av filer og spredningen av viruset. Nå som skadeprogramvaren får svar, stoppes krypteringen og den videre spredningen.

- Domenet var ment som en funksjon for angriperen, men av en eller annen grunn var det ikke registrert. «Killswitchen» gjelder imidlertid bare for den koden som var del av det opprinnelige angrepet. Koden kan endres og det kan sendes ut nye e-poster, selv om vi foreløpig ikke har registrert at det har skjedd, sier Gunnar Ugland.

Sender ut e-post

Det er derfor ingen grunn til å tro at det aktuelle angrepet er over, selv om spredningen av det ene viruset er stoppet.

- Det er viktig å huske på at det sitter mennesker bak angrepet som jobber aktivt med denne kampanjen, det er ikke helautomatisk. Man ser blant annet at summen for løsepenger har økt fra 300 til 600 dollar, noe som er en indikasjon på at ting endres underveis. Vi har ikke sett flere angrep, men det er viktig at vi bruker helga aktivt for å sørge for at vi får fikset problemene før mandag. Folk burde absolutt holde seg unna ukjent e-post, sier Ugland.

- Vi er usikre på om det finnes andre veier inn enn e-post, så arbeidshypotesen vår er at e-post er måten skadevaren blir spredd på. Skadevaren trenger bare utnytte sårbarheten i én maskin for å spre seg til alle maskinene på et nettverk, dersom systemet ikke er oppgradert. Internasjonalt ser man jo at veldig mange ikke har oppgraderte systemer. Her i Norge har skadevaren ennå ikke nådd systemer som er samfunnskritiske, sier Hans Christian Pretorius, avdelingsdirektør i Nasjonal sikkerhetsmyndighet (NSM), til Dagbladet.

NSM vet ennå ikke hvordan e-postene som sendes ut ser ut, men jobber med å få tak i eksempler. Hypotesen det jobbes ut fra er at filene i skadeprogramvaren tilpasses det språket maskina er innstilt på, og at de aller fleste språk er lagt inn.

- Tilpasset norske brukere

- Man er rimelig sikre på at de som står bak ikke får ut noen informasjon fra maskinene som blir rammet, og at de bare driver utpressing for å få penger. Vi trodde innledningsvis at dette var rettet mot helsesektoren, fordi britisk helsesektor ble truffet hardt, men lista over sektorer som er rammet er lang. Det virker som om de går høyt og lavt på tvers av nasjoner og interesseområder. Det finnes også bevis på at angrepet er tilpasset norske brukere fordi meldingen om innbetaling av løsepenger også eksisterer på norsk.

Det er dermed ikke usannsynlig at skadevaren fortsatt vil kunne spre seg i Norge.

- Vi er spente på hva som skjer når folk kommer på jobb på mandag. Dersom det ligger en e-post med et aktivt virus og venter et sted, så kan viruset spre seg dersom e-posten åpnes. Vi oppfordrer folk til å være ekstra varsomme, og til ikke å åpne e-poster fra ukjente avsendere som ikke virker aktuelt for deres sektor. I og med at angrepet er såpass stort, jobber vi ut fra en arbeidshypotese om at e-posten ikke er veldig tilpasset, sier Pretorius.

- Vi vil se flere angrep

Dette er neppe heller det siste angrepet som vil ramme norske og utenlandske virksomheter.

Torgeir Waterhouse, direktør i IKT-Norge, mener det bør være like viktig å snakke om datasikkerhet på styremøter, som driftstekniske elementer.

- Vi vil se flere angrep i framtida. Noe av det viktigste bedrifter kan gjøre, er å sette dataangrep på agendaen i styrerommet. I tillegg mener jeg at vi må lære mer om teknologi på skolen og i høyere utdanning. Vi lærer barn og ferdes i trafikken, og på samme måte bør de lære seg hvordan de skal opptre i den digitale verden, sier Waterhouse til Dagbladet.

I dataangrepet er ikke norske servere rammet, men norske virksomheter som har servere i utlandet. Waterhouse tror at det også i Norge finnes svakheter i IKT-systemene. Han tenker for eksempel på offentlig sektor.

- Jeg tror det finnes store variasjoner om hvor gode vi er på datasikkerhet. Generelt stiller Norge sterkere enn andre land og vi skal være glade for at vi lykkes med det, men det hjelper oss ingenting når angrepet er et faktum, sier han.

Kan i verste fall medføre død

Waterhouse tror det også varierer hvor mye kunnskap nordmenn har, og hvor godt folk kjenner til hvordan de kan beskytte seg mot datasikkerhet.

- Jeg tror det er en god kombinasjon av naivitet, og å ikke vite at man trenger å vite bedre. Det er nok også noen som ikke vet at det finnes en risiko for å bli angrepet. Jeg tror også folk vet de burde ha mer kunnskap om det, men at noen ikke vet hvordan de skal gripe an, sier Torgeir Waterhouse og fortsetter:

- I diskusjonene om datasikkerhet ender vi ofte å snakke om at det er tekniske spørsmål, men det kan faktisk få virkelig store problemer hvis vi ikke tar det alvorlig nok. For eksempel får ikke noen behandling på et sykehus fordi det har blitt hacket. Dette er snakk om ekte mennesker. I verste tilfelle kan noen dø, dersom et sykehus blir hacket.

Bruker sensornettverk

Hans Christian Pretorius i NSM forteller at man jobber mot angrep som dette i flere dimensjoner.

- Helt konkret finnes det noe som heter VDI. Det er et sensornettverk som finnes hos de fleste samfunnsviktige, offentlige institusjoner, samt hos ganske mange private aktører. Vi kan naturlig nok ikke si hvem som har dette nettverket, fordi det ikke er meningen at folk skal vite hvor det finnes. Dette sensornettverket har evne og kapasitet til å oppdage forsøk på angrep, slik som denne typen skadevare som kommer inn på e-post, for så å kommunisere det videre ut.

Sensornettverket oppdateres hele tiden med nye «signaturer», noe som gjør at man får varsel dersom ny informasjon dukker opp.

- Utover det finnes det ganske mange ulike sektormiljøer som har en egen evne til å oppdage angrep. Vi jobber med sektorer som helse og finans, og store bedrifter som Telenor, og vi utveksler hele tiden oppdatert informasjon. I tillegg har vi et internasjonalt samarbeid, så alt ligger til rette for at man skal være best mulig rustet mot et angrep som dette.

Hindres med godt håndverk

Selv om angrepet i denne omgang peilet seg inn på ikke-oppgraderte systemer, sier Pretorius at det ikke er umulig at et annet type angrep vil kunne finne sted i framtida.

- Da tenker man på angrep som utnytter en ikke-kjent sårbarhet, altså en sårbarhet som eksisterer, og som noen vet om, men hvor det ikke finnes noen oppgradering. Det er imidlertid liten risiko for at det brukes i så vide angrep som man nå har sett, fordi det er ekstremt kostbart å skulle utføre et slikt angrep. I det du har utnyttet en slik sårbarhet har du fortalt hele verden at du vet om dette hullet. Når man først skal utnytte det, må man enten gjøre angrepet ekstremt stort eller veldig målrettet mot ett enkelt mål som man vet innehar kritisk informasjon.

Og for å beskytte seg mot et angrep som utnytter en sårbarhet i systemet, er både bedrifter og enkeltpersoner nødt til å være klar over følgende:

- Det handler om sikker drift og forvaltning. Man må oppgradere programvare, ha virusprogrammer på plass, kanskje sette opp e-post-serveren slik at kjørbare filer ikke tillates. Akkurat dette angrepet hindrer man med godt håndverk. Vi har kommunisert dette lenge, samtidig som vi vet og ser at det ikke gjøres. Det handler om ressurser, prioriteringer og rutiner, og kanskje en større bevissthet fra toppledelsen som jo til slutt er dem som velger hvor mye ressurser man vil bruke, sier avdelingsdirektøren i NSM.