Take IT Away Blog

Her finder du "take aways" omkring IT, så som IT-sikkerhed, Tips & Tricks, Office365, Cloud, Outsourcing og mere teknisk nørderi. God fornøjelse.

Alle artikler

Hvad gør en hacker? (Hop med ind i hackerens 5 angrebsfaser)

cwatch_hacker_outlined_563x362

Hackerangreb sker desværre oftere og oftere. 

Faktisk har to ud af tre virksomheder været udsat for hackerangreb eller anden form for IT-angreb i løbet af 2017. Det viser en undersøgelse fra Dansk Erhverv (1). Angrebene kan være alt lige fra 

  • at stjæle informationer
  • at lukke sider eller tjenester ned
  • at fastlåse data for at få løsepenge

I hvert 8. angreb har det ikke været muligt at stoppe hackeren. 

Skræmmende, ikke sandt?  

For bedre at kunne forstå og stoppe hackerne har vi derfor stillet os selv spørgsmålet: 

Hvordan arbejder en hacker?

Hvad gør  en hacker helt konkret, når vedkommende angriber os? 

For at få svar på de spørgsmål har vi allieret os med en, der kommer så tæt på en hacker, som muligt - nemlig en af Danmarks bedste IT-sikkerhedseksperter; Kim Elgaard, Certified Ethical Hacker fra Arrow ECS Denmark A/S. 

Som Certified Ethical Hacker er Kim en etisk hacker, der ved, hvordan han skal lede efter svagheder og sårbarheder i IT-systemer. Kim bruger den viden ligesom en ondsindet hacker ville gøre, men bare på en lovlig måde(!) for at få adgang til og stoppe sikkerhedshullerne i det konkrete IT-system. Med andre ord hjælper Kim virksomheder med at beskytte sig bedre imod de forskellige  online trusler. 

 

kim elgaard 2

 

Kim Elgaard, Certified Ethical Hacker, Arrow ECS Denmark A/S udtaler

 

"Når en virksomhed bliver angrebet, så sker det sjældent uden grundig forberedelse fra de IT-kriminelle. Hackerne bruger typisk fem faser, når de angriber en virksomhed."

 

 

 

Så lad os lige tage et nærmere kig på de fem faser.  

 

Hackerens tjekliste

1. fase er Reconnaissance-fasen eller sonderingsfasen

Den første fase kaldes også for Reconnaissance-fasen. Det er den fase, hvor hackeren sonderer terrænnet. Kim forklarer: 

"Denne fase bruges til at indsamle så meget information omkring målet som muligt. Der findes to typer af Reconnaissance/sondering. 

  • Den passive, hvor hackeren indsamler info uden at kontakte virksom-heden
  • Den aktive, hvor hackeren tager kontakt til virksomheden ved bl.a. at ringe eller skrive til virksomheden

Formålet med denne fase er, at indsamle så meget information, som muligt omkring et givent mål, så som:

  • ansatte
  • domænenavne
  • målets IP-adresser
  • netværk
  • DNS records
  • og hvilke webservere der bruges."

Lad os antage, at en hacker vil hacke et websites kontakter. 

Det kan han f.eks. gøre ved at: bruge en søgemaskine som Maltego, ved at undersøge den pågældende webside ved at checke links, job, jobtitler, e-mail, nyheder, etc. Eller hackeren kan bruge et værktøj som HTTPTrack til at downloade hele websitet til senere brug og dermed fastslå navne på ansatte, stillinger og e-mailaddresser. 

Efter sonderingsfasen går hackeren ind i scanningsfasen, der også kaldes for pre-angrebsfasen. 

 

2. fase er scanningsfasen eller pre-angrebsfasen

Kim forklarer, hvad næste skridt i hackerens arbejde er: 

"Den anden fase bruges til at indsnævre angrebsfladen for at kunne finde det bedste punkt til at angribe virksomheden, og for at kunne lave en profil på målet. Noget af den information, som vi finder i scanningsfasen, er bl.a.:

  • live systemer 
  • OS typer
  • kørende services
  • og hvilke sårbarheder der findes. 

I scanningsfasen bruger hackeren den information som han/hun fandt under reconnaissancen til at undersøge netværket". Indsamling af data

En hacker har typisk en hel række af værktøjer, han kan anvende i scannings-fasen så som dialers, port scanners, network mappers, sweepers og vulnerability scanners. 

Hackerne leder i denne fase efter hvilken som helst information, der kan hjælpe dem med at begå et angreb. Det kan være information så som computernavne, IP-adresser og brugerkontoer. 

Når hackeren har indsamlet den basale information, begynder vedkommende at teste netværket for mulige angrebsveje. Måske undersøger hackeren hvilken e-mailserver virksomheden bruger. Hackeren leder måske efter en automatiseret e-mail fra virksomhedens e-mailsystem eller måske kontakter vedkommende HR-afdelingen med en forespørgsel angående et job. 

Der er mange måder, at undersøge sikkerhedshullerne på. 

 

3. fase er Gaining Access - få adgang til systemet

Når hackeren har scannet og indsamlet den nødvendige information omkring sit mål, går han ind i den tredje og midterste fase. Det er i denne fase, at hackeren vælger, hvordan han skal angribe sit mål. Her designer hackeren et blueprint over målets netværk ved hjælp af de data, han/hun har indsamlet i fase 1 og fase 2. 

BlueprintsI denne fase er hackeren færdig med at scanne netværket og ved nu hvilke muligheder han/hun har for at få adgang til netværket.  Derefter angriber vedkommende målet og får adgang til det pågældende IT-system. 

Det er altså i denne fase, at den reelle hackning finder sted. 

Kim forklarer: 

"Når metode og målet er valgt, så starter angrebet, hvor hackeren bruger de tænkelige midler, der er, for at få adgang til en konto, eller et system. Det er alt lige fra Brute Force af password til Phishing mails til bestemte brugere.

Når hackeren har fået adgang til en konto, så starter arbejdet med at få eleveret rettighederne, så hackeren får administrativ adgang til et system eller netværk. Dette gør han/hun for at få fuld kontrol over det givne system."

De sårbarheder som hackeren har opdaget under reconnaissancefasen og scanningsfasen udnytter han/hun nu for at få adgang til systemet. Hackeren kan f.eks bruge et lokalt netværk (LAN) eller lokal adgang til en computer for at udnytte sit mål.   

Nu har hackeren fået adgang til systemet og det er i hackerkredse kendt som "owning the system". 

Nu "ejer" hackeren systemet, men det stopper desværre ikke her. 

 

 

4. fase er Maintaining Access - bevar kontrol over systemet

Når først hackeren har fået adgang til dit system, så gør vedkommende alt hvad han/hun kan for at beholde den adgang og bevare kontrol over systemet til fremtidig udnyttelse og angreb. Hackeren vil formodentlig teste de forskellige brugerkonti på domænet og oprette en administratorkonto til sig selv baseret på navnestrukturen og dermed forsøge at gemme sig blandt de andre brugerkonti. Som en sikkerhedsforanstaltning kan hackeren også identificere konti, der ikke har været i brug i lang tid. Her kan vedkommende så ændre passwordet og gøre denne brugerkonto til administrator for at få adgang over netværket. 

 

Phishing

Hackeren kan også udsende e-mails til andre brugere med en infiltreret fil. 

Der vil ikke være nogen åbenlyse angreb på dette tidspunkt og hvis angrebet ikke opdages, kan hackeren i ro og mag begynde at kopiere alle data så som e-mails, møder, kontakter, beskeder og filer, som så kan udnyttes senere. 

 

Kim uddyber:

"Når hackeren har fået adgang til og har kontrol over et system, så gør vedkommende hvad han/hun kan for at beholde denne adgang. Dette gøres ved at installere bagdøre på det system, vedkommende har fået kontrol over. På denne måde kan hackeren altid komme retur og vil have mulighed for at bruge sin adgang til at angribe andre systemer. Hackeren vil også kunne ændre og manipulere med data og konfigurationer på det kontrollerede system."

Nogle hackere hærder systemet mod andre hackere eller sikkerhedspersonale ved at sikre deres egen eksklusive adgang til systemet via bagdøre eller de såkaldte rootkids og Trojans. 

Når først hackeren har overtaget styringen af systemet, kan vedkommende bruge det som en base til at igangsætte yderligere angreb. På denne måde bliver det overtagede system ofte refereret til som et zombie system (2). 

 

 

5 og sidste fase er Covering Tracks - skjul dine spor

Når først en hacker har haft held med at få adgang til et system, skjuler de deres spor for at undgå at blive opdaget af sikkerhedspersonale, for at fjerne beviserne for hackningen og for at undgå retssager og straf. 

Fjerner spor

En hacker vil forsøge at fjerne alle spor af et angreb f.eks. ved at:

  • fjerne udsendte e-mails
  • ændre og rydde logfiler
  • fjerne systemalarmer.

 

Eksempler på aktivitet i denne fase af angrebet inkluderer steganografi, hvor hackeren skjuler sine handlinger, brugen af "tunneling protocols" og ændring af logfiler.  

Kim afslutter: 

"En af årsagerne til at et hackerangreb er successfuldt, er, at hackerne er gode til at skjule deres spor, og at der er for lidt central logning i virksomhed-erne.Ved at skjule sine spor, vil en hacker kunne gemme sig på det angrebne system. Herfra kan vedkommende manipulere og slette logfiler, for at skjule sin tilstedeværelse. Der er mange mekanismer, som kan bruges for at kunne beskytte sig mod hackerne. Det at vide hvordan de gør for at angribe, er første skridt på rejsen."

Beskyt dig selv mod hackere: Do's and don'ts

Hackerne er snu, men du kan gøre meget selv for at undgå et angreb. 

  • Brug kun passwords, der ikke kan afkodes ved gæt eller brute force.  Læs også: Hvorfor skal jeg ændre mit password til en passphrase 
  • Overvej at bruge 2-faktor godkendelse hvor det er muligt
  • Vær opmærksom på e-mails der beder om passwords. Indtast ikke dit password, hvis du ikke stoler på afsenderen
  • Verificer at afsenderen er den rigtige
  • Klik ikke på suspekte links
  • Scan altid filer 
  • Sørg for at have antivirus installeret
  • Log ud af dine sessioner

Hvis du tror, du er blevet ramt

Hvis du tror, at du er blevet kompromitteret skal du straks informere din IT-ansvarlige. Alle tilfælde skal tages seriøst, da sucessfulde angreb kan være altødelæggende for din virksomhed samt involverede partnere, kunder m.m. 

Vil du vide mere omkring, hvad du selv kan gøre?

Her får du vores e-bog med 56 tips til bedre databeskyttelse

56 databeskyttelsestip mockup

Du kan også altid tage en uforpligtende snak med en af vores konsulenter. 

Bliv ringet op

 

Relaterede artikler

Hvad er IT-outsourcing? (Fordele & ulemper, typer, eksempler)

Vil du gerne vide lidt mere om, hvad begrebet IT-outsourcing dækker over? Så er du havnet det rette sted.  I dette indlæg dykker vi ned i: Hvad er IT-outsourcing Statistik: outsourcing i Danmark  Mest uddelegerede IT-funktioner Hvorfor hyrer virksomheder andre til deres IT? Ulemper  Fordele Typer af outsourcing Hvad skal jeg være opmærksom på? Hvad er IT-outsourcing? Gartner beskriver IT-outsourcing som "brugen af externe service providers til effektivt at levere IT-processer, applikationsservice og infrastrukturløsninger"(1). Alle typer af outsourcing har én ting til fælles: det involverer at hyre en tredje-part uden for din virksomhed til at tage sig af specifikke forretningsområder for dig. Virksomheder i alle størrelsesordener benytter sig af outsourcing for i stedet at kunne skyde energien efter deres kerneforretning. På den måde kan de stadig få det bedste output inden for det outsourcede område, hvor de oftest ikke selv mestrer de krævede kompetencer.   Ifølge statista forventes det, at tallene for outsourcing af IT-infrastrukturen i Danmark vil kravle opad i årene frem (2). Statistikken herunder viser omsæt-ningen på IT-infrastruktur i Danmark fra 2016-2021. I 2018 blev omsætningen indenfor dette område fremsat til en værdi på 1.434,9 millioner U.S. dollars. Markedet inden for netop IT-infrastruktur forventes at beløbe sig til omkring  1.546,2 millioner U.S. dollars i år 2021.Statistik: outsourcing i Danmark:

Hvad gør en hacker? (Hop med ind i hackerens 5 angrebsfaser)

Hackerangreb sker desværre oftere og oftere.  Faktisk har to ud af tre virksomheder været udsat for hackerangreb eller anden form for IT-angreb i løbet af 2017. Det viser en undersøgelse fra Dansk Erhverv (1). Angrebene kan være alt lige fra  at stjæle informationer at lukke sider eller tjenester ned at fastlåse data for at få løsepenge I hvert 8. angreb har det ikke været muligt at stoppe hackeren.  Skræmmende, ikke sandt?   For bedre at kunne forstå og stoppe hackerne har vi derfor stillet os selv spørgsmålet:  Hvordan arbejder en hacker? Hvad gør  en hacker helt konkret, når vedkommende angriber os?  For at få svar på de spørgsmål har vi allieret os med en, der kommer så tæt på en hacker, som muligt - nemlig en af Danmarks bedste IT-sikkerhedseksperter; Kim Elgaard, Certified Ethical Hacker fra Arrow ECS Denmark A/S. 

Hvad er en sikker mail?

Skærpet krav ved e-mails med fortrolige oplysninger rammer den private sektor Databeskyttelse er på alles læber! Og Datatilsynet kræver nu, at alle i den private sektor skal sende sikre og krypterede e-mails, hver gang de sender en e-mail afsted med fortrolige og personfølsomme oplysninger. Kravet har allerede været gældende i den offentlige sektor siden år 2000, og nu har det altså også ramt private virksomheder.