Alarmklokkerne bimlede hos den amerikanske butikskæde Target den 30. november og 2. december sidste år. Men ingen reagerede på advarslerne, og dermed kunne hackere i ro og mag fortsætte angrebet og begynde at høste data om de betalingskort, kunderne brugte.
Det skriver Bloomberg Businessweek, som via insider-kilder har fundet frem til hele historien om, hvordan Target kunne have stoppet hackerne i tide.
Den store kæde med de mange Bilka-lignende varehuse i USA havde faktisk opgraderet it-sikkerheden massivt de seneste år, i modsætning til mange af konkurrenterne. Der er 300 it-sikkerhedsfolk ansat, og der var indkøbt avancerede overvågningssystemer, blandt andet produktet FireEye, som bliver brugt blandt andet af efterretningstjenester. Target havde brugt 8,6 millioner kroner på at købe softwaren.
FireEye fungerer ved at sende indgående trafik igennem virtuelle computere, der ligner en helt normal computer på netværket. Hackerne vil så tro, at de har fået foden inden for i netværket og vil hacker-operationen derfra, men overvågningen af denne ’sluse’ kan så afsløre, hvis der sker noget mistænkeligt.
Da Target-hackerne trængte ind den 30. november, blev de også hurtigt genkendt som uvedkommende gæster, og alarmen gik. Men ingen i Targets amerikanske sikkerhedsafdeling reagerede på alarmen, og hackerne kunne uforstyrret fortsætte deres arbejde.
Også den almindelige sikkerhedssoftware fra Symantec meldte om muligt hackerangreb og pegede på den server, som hackerne havde fået kontrol over. Og alarmen fra FireEye gik igen den 2. december, hvor hackerne installerede en ny version af malwaren. Igen var der ingen reaktion – og dermed var vejen banet for et af historiens største hackerangreb, hvor hackerne i to uger i de travle dage efter Thanksgiving og op til jul kunne kopiere data fra 40 millioner kunders betalingskort, samt personlige oplysninger om 70 millioner kunder.
Hele angrebet kunne faktisk have været stoppet i opløbet automatisk, for FireEye-softwaren kan selv slette filer, der bliver spottet som ondsindet. Men funktionen var slået fra, så Targets sikkerhedsfolk manuelt skulle godkende hvert indgreb. Det er ikke unormalt at vælge selv at have det sidste ord, men i Targets tilfælde kan det også skyldes, at FireEye var blevet rullet ud i løbet af 2013 og nogle steder stadig blev set på med skepsis, ifølge Bloombergs kilder hos firmaet.
Et andet problem med sikkerheden hos Target var måden, hackerne fik adgang på. De brugte en leverandørs konto til at logge ind på Targets systemer, men her burde der kun være adgang til de systemer, som bliver brugt i handlen med leverandører, altså mulighed for at sende en regning og aftale en kontrakt. Hackerne kom fra disse systemer hurtigt over i langt mere kritiske dele af Targets it-setup.
Havde Targets store it-sikkerhedsafdeling reageret på den første alarm, havde der været mulighed for at følge efter dataene, så snart de begyndte at forlade Targets systemer. I malware-koden – der i øvrigt ikke var særlig avanceret – lå nemlig brugernavn og password til den server, hvor dataene blev sendt til og hentet af hackerne én gang dagligt.
Leave a Reply