Spionasjeforsvar

Det digitale trusselbildet er overveldende og lammende komplisert; spionasje fra konkurerende aktører, utro tjenere, cyberkriminelle, samt statsmakter og teknologikjemper ute av kontroll. Vi tilbyr kartlegging, rådgivning og implementasjon av løsninger fra en bred meny av tiltak.

Tiltaksmeny

Bekymret og forvirret? Ring eller skriv til oss for en hyggelig og oppklarende dialog om de mange tiltakene vi tilbyr og hvilken ende deres organisasjon bør ta tak i først.

…eller les videre!

Kryptert kommunikasjon og datatrafikk

Første forsvarslinje mot avlytting er å gjøre datastrømmene uleselige for den som måtte ha interesse av å lytte; industrispioner, internett og tjenesteleverandører, egne myndigheter og fremmede etterretningstjenester eller andre cyberkriminelle.

Den mest fundamentale strategien er å kryptere hele nettverksstrømmen gjennom virtuelle nettverkstuneller, best kjent som VPN. Alle datastrømmer kan sikres med VPN1 og vi har bred erfaring med de viktigste løsningene, som IPsec, OpenVPN og Wireguard for å nevne noen. Nettverkspakkene kan krypteres på ulike nivåer; lag 2 (ethernet/data-link) og lag 3 (IP/nettverks-link) som beskrevet i OSI-modellen. Hovedforskjellen mellom lag 2 og 3 er hvor dypt eller hvor stor del av nettverkspakkene som krypteres2. Lag 3 er den mest brukte og mest praktiske løsningen for de fleste formål, blant annet fordi det har en lavere båndbreddekostnad (overhead) og teknisk sett er en renere konfigurasjon. Lag 2 gir imidlertid tilnærmet ubegrensede muligheter til å linke sammen enheter, systemer og andre nettverkskomponenter, som kan være ønskelig for noen installasjoner.

Vi kan også bistå med å sette opp ende-til-ende kryptering av informasjonskringkasting og flerveiskomunikasjon, uavhengig om det er video, lyd eller tekst. Andre datastrømmer av mer teknisk karakter, som DNS-oppslag3, fjernbetjening4, filoverføring samt telemetri, kan vi også sikre. Slik sikring skiller seg fra VPN ved at det ikke kreves en forhåndsdefinert og rettningsbestemt trafikk og at det lar to eller flere parter kommunisere normalt uten å kreve konfigurasjon. Det meste av moderne internettrafikk krypteres på denne måten via HTTPS.

For å sikre at kommunikasjonen kun når den man ønsker å kommunisere med, kreves utveksling av en forhåndsutdelt nøkkel (PSK/Pre-shared key) eller nøkkelsystemer med privat og offentlig nøkkel. Vi kan sette opp 100% uavhengige løsninger for nøkler og sertifikater, anskaffe dem kostnadsfritt fra utstederen Letsencrypt, eller kjøpe dem fra kommersielle tilbydere.

Innbruddssikret lagring og backup

Bedriftens data er også sårbar for fysiske innbrudd, ikke bare de som skjer via Internett. Gjensalgsverdien på stjålet utstyr er ikke nødvendigvis så høy, men riktig type data kan potensielt være verdt millioner. En laptop eller USB-stikk på avveie blir med stor sansynlighet strippet for filer som deretter videreselges til høystbydende for egen vinning eller utpressing. Typiske eksempler på data som lekkes er interne rapporter, eposter, presentasjoner, kontrakter og konfidensielle kundedata. Dataskapet på kontoret og backupenheter kan fort lide samme skjebne. Utstyret trenger ikke en gang å forsvinne. Utspekulerte datasnoker kan, gitt ett uoppmerksomt øyeblikk med fysisk tilgang, simpelthen kopiere innholdet fra sårbare lagringsmedium uten at eieren en gang er klar over at en alvorlig lekasje har funnet sted.

Som med kommunikasjon og datatrafikk er kryptering av fysiske enheter et sentralt tiltakt i ethvert spionasjeforsvar. Kryptering kan foregå på harddisk-5, filsystem-6, database-7, eller enkeltfil-nivå8. Operativsystem, filformater, applikasjoner og hardware håndterer dette på ulike måter og når dette skal integreres med eksisterende infrastruktur og arbeidsflyt er det mange hensyn som må tas. Metodene man bruker for å låse ned og opp de krypterte enhetene er også mange, som f.eks pinkoder, passord, nøkkelkort, biometri og USB-nøkler. Vi hjelper dere å kartlegge deres situasjon og finne hensiktsmessige løsninger for å sikre bedriftens data.

Finmasket tilgangskontroll

Vi anbefaler nulltillit9 som utgangspunkt for tilgangskontroll, hvor ingen brukere eller enheter får tilgang til mer data eller flere interne ressurser enn de faktisk trenger. Ledelsen har andre behov enn resepsjonisten og tilgangene må vurderes og tildeles deretter. Samtidig må man passe på at systemteknikere ikke ender opp som småkonger og at de holdes ansvarlig og under oppsyn når de behandler sensitive data.

Tilgangskontroll bør bestå av tre sentrale aspekter; identitet, tilganger og loggføring10. Alle brukere og enheter får tildelt en unik digital identitet med tilpassede tilganger. Hvis flere legitimerer seg med samme identitet blir sikkerheten betydelig forringet. Et ofte oversett sikkerhetsaspekt er loggføringen, som er helt avgjørende for å stadfeste hvem som har lest, kopiert eller endret hva og på hvilket tidspunkt. Dette er den eneste mekanismen man har for å spore opp når, hvor og hvordan en lekasje fant sted – og omfanget.11

Disse tre sentrale aspektene håndteres av modulære verktøy i et orkestrert samspill – hver av dem med ulike funksjoner, avgrensninger og kompatibilitetshensyn. Tilgangen kan kontrolleres på flere nivåer:

  • Nettverksnivå12
  • Enhetsnivå13
  • Datalagringsnivå (filsystemer og databaser)14
  • Protokoll- og programvarenivå15
  • Eksternt nivå (tredjepartssystemer og skytjenester)16

De mest kjente sentraliserte løsningene er basert på protokoller som Kerberos, LDAP, PKI-implementasjoner, RADIUS, Oauth og/eller OpenID. Katalogtjenester som Microsoft Active Directory, Apple Open Directory, Samba (f.o.m. v4) og FreeIPA er eksempler på sentraliserte systemer hvor disse protokollene kombineres i ulike konfigurasjoner. Skyleverandører som Microsoft (via Azure AD) og Google (via Secure LDAP service) tilbyr både komplette tjenester og synkronisering av bedriftens eksisterende brukerkataloger mot skyplatformene deres. Dette er en tjenester vi i Skyfritt sterkt fraråder å bruke.

Tilgangskontrollister (ACL) er en frittstående funksjonalitet som benyttes i de fleste filsystemer, databaser og brannmurer, samt i mange enkeltapplikasjoner. Omfang, utforming og virkemåte varierer fra system til system og må nøye konfigureres for å ivareta sikkerheten. Oversikt og kontroll over slike lister er nødvendig også i relativt enkle systemer hvor drifts- og datasikkerhet er påkrevd. Vi anbefaler sterkt at tilgangskontrollister utformes og kobles sammen med nevnte sentraliserte systemer. Dessverre er integrasjonsmulighetene ofte mangelfulle i kommeriselle og åpne løsninger og i slike tilfeller bør sammenkoblingen automatiseres via egenutviklede script.

Skadeanalyse og datainnbrudsalarm

Har man mistanke om innbrudd og tyveri av data er man prisgitt sporene som blir lagt igjen for å få et bilde av skaden. Utfordingen i den digitale verden er at informasjon kan kopieres uten tap. I den fysiske verden oppdager man raskt hvis et arkivskap har forsvunnet, men når den samme informasjonen er digital kan den enkelt dupliseres uten at originalene forsvinner.

Etter et fysisk innbrudd er det vanlig å finne tydelige spor som en knust rute, smadret dør, spor etter sko og lignende. Digitale spor er en mer kompleks afære; de fleste systemer har en viss grad av loggføring som kan brukes for å analysere innbruddet i ettertid. Samtidig er det trivielt for en kyndig spion å slette egne spor. Man er med andre ord prisgitt kvaliteten på loggføringen og spionens ferdighetsnivå.

Har bedriften installert en innbrudsalarm og et overvåkningskamera blir det betydelig lettere å analysere et fysisk innbrudd – det samme gjelder også for digitale systemer. En proaktiv og gjennomtenkt løsning i den digitale verden vil lette analysearbeidet betydelig. Antiskadevare på enkeltenheter, datainnbrudsoppdagelse (IDS)17 på nettverksnivå og overføring av loggfiler til en “tuklesikker” sentralisert database er tiltak som vil gjøre bedriften oppmerksom på innbruddsforsøk. For å logge, sortere og analysere relevante spor i sanntid anbefaler vi å samkjøre de nevnte systemene i en sentral sikkerhets- og hendelsesbehandler (SIEM)18. Behovene varierer fra bedrift til bedrift og vi hjelper dere med å kartlegge og sette sammen løsninger som er tilpasset deres situasjon og budsjett.

Automatisk brannslukking

Sikkerhetstiltak som automatisk iverksettes når visse betingelser inntreffer er en kjent strategi. Ved brann i gamle trebygg er det vanlig at sprinkelanlegget aktiveres der sensorene oppdager røyk og varme. I industribygg og større skip lukkes branndørene for å strupe tilgangen til oksygen. Hvis alarmen trigges i et museum fylt med uerstattelige objekter stenges bygget ned på få sekunder og de mest verdifulle gjenstandene forflyttes mekanisk til sikre hvelv. Tilsvarende strategier bør implementeres for å beskytte bedriftens digitale infrastruktur og spionutsatte data. Velkjente sikkerhetstiltak i den digitale sfæren er antivirusprogramvare som nekter deg å åpne en fil og nedstenging av en konto med for mange uriktige passordforsøk – tiltak som bare er starten på et solid forsvar mot uønskede hendelser.

For utsatte virksomheter der en IDS (datainnbrudsoppdager) anses som nødvendig er det naturlig å knytte automatiserte responser til visse type alarmer via en IPS (system for datainnbrudsforhindrelse). Flere løsninger har en tett integrasjon mellom nettopp IDS- og IPS-funksjonaliteten på samme måte som et moderne antivirusprogram ikke bare oppdager en trussel, men også isolerer den infiserte filen.

En av de enkleste variantene av en kombinert IDS og IPS (ofte kalt IDPS) er Fail2ban, som installeres på en enkeltserver og blokkerer IP-addresser basert på et gitt antall misslykkede innlogginger eller nettsideoppslag. SNORT er et eksempel på en mer omfattende pakkeanalysator som kobles rett i den fysiske infrastrukturuen og til bredriftens brannmurer. En sentral sikkerhets- og hendelsesbehandler (SIEM) er en virksomhetsomspennende enhet som samkjører og avmåler responser på alle nivåer i hele virksomehten.

Automatiserte digitale responser som er verdt å nevne er nedstenging av hele systemer eller sentrale komponenter i enkeltsystemer, tilgangsnekt for brukerere og enheter, nedlåsing av harddisker, filsystemer eller databaser. Slike tiltak kan være tidsbestemt eller kreve interaksjon fra én eller flere sentrale nøkkelpersoner for å reverseres. Krypteringsnøkler kan elimineres fra systemminne og datalagre når filer låses og må så hentes fra en fysisk safe for å gjennopprette tilgangen.

Elektroniske honningfeller

En velkent og proaktiv etterretningsteknikk egnet til å avsløre både utro tjenere og eksterne spioner, er strategiske honningfeller. Fellene kan være systemer designet med kjente sikkerhetsbrister som utplasseres i organisasjonens infrastruktur eller vannmerkede dataobjekter19 i organisasjonens datalagre.

Ved å benytte sårbare systemer som en honningfelle er det mulig å avsløre spionasjoneforsøk når de pågår. Med dagens virtualiserings- og databehandlingsmuligheter20 kan fellene fryses i tid, sanntidsovervåkes og til slutt nullstilles for å unngå at reelle systemer og innfrastruktur utsettes for fare. Etterretningsinformasjonen fra honningfellene kan samkjøres med IDPS- og/eller SIEM-systemer for å automatisere hensiktsmessige responser. Kombinasjonen er et kostnadseffektivt verktøy for å avsløre både målrettede og maskinelle angrep.

Denne type feller er et ypperlig elektronisk førstelinjeforsvar fordi innbrudsforsøk lett kan avsløres og stoppes. Mange utbredte angrepsverktøy blir ubrukelige og krever manuelle og mer sofistikerte metoder – som igjen øker kostnaden for angriperen. Om spioner er klar over at organisasjonen er rigget med feller eller ikke, er altså ikke et motargument mot å benytte dem.

Anonymisering og kamuflasje av datastrømmer

Selv om krypterte tunneler sikrer innholdet i datastrømmene, vil endepunktene fortsatt være synlige for omverdenen. Hvem som kommuniserer med hvem, når og hvor ofte omtales som metadata og kan enkelt samles inn fra endepunktene tross kryptering. Dette kan sammenlignes med at innholdet i et forseglet brev forblir ulest på sin reise gjennom postgangen, men at mottager og avsender forblir synlig for alle som håndterer forsendelsen på dens vei. I mange situasjoner kan metadata være like avlslørende som det faktiske innholdet man utveksler. Noen typer kommunikasjon er så sensitiv at nulltilit overfor alle tredjeparter, som ISPer, leverandører eller myndigheter, er den eneste meningsfulle innfallsvinkelen.

Journalister, advokater eller tilsvarende aktører kan ha behov for å skjule hvem de prater med og hvilken informasjon de oppsøker. Når en varsler tar kontakt med en journalist eller advokat må vedkommende føle seg trygg på at identiteten forblir skjult. Legitimiteten til disse viktige samfunnsinistitusjonene avhenger av at publikum kan være trygge på at konfidensialiteten blir ivaretatt. Fordi metadata også avslører hva man søker etter og hvilke nettsider21 man besøker, kan den som lytter lære overraskende mye om den avlyttede uten å ha tilgang til den faktiske datatrafikken i klartekst. I juni 2020 stemte stortinget ja til regjeringens forslag om Tilrettelagt Innhenting22, en ny e-lov som gir etterretningstjenesten tillatelse til masseinnsamling av metadata fra all trafikk som krysser den norske grensen.

Ressurssterke aktører, som etteretningstejenster eller storteknologiselskaper, kan benytte trafikkorrelasjonsangrep23 for å enkelt samle inn metadata fra VPN-brukere. Tunnelering med ulike inn og utpunkter som krysser juridiske soner, også kalt multihop-VPN eller dobbelt-VPN24, gjør det betydelig vanskeligere for en avlytter å samle inn metadata. I tilfeller der nulltilliten er en ufravikelig forutsetning, anbefaler vi imidlertid tunnelering gjennom anonymiseringsnettverket TOR. Dette er den mest solide strategien for å skjule metadata fra tredjeparter, gjerne med egenkontrollerte VPN-endepunkter via “skjulte tjenester”25 og på den måten forhindre at trafikk forlater annonymiseringsnettverket. Flere komeriselle VPN-tilbydere gir deg også muligheten til å kombinere ordinære tuneller og TOR.

Opplæring, bevisstgjøring og rutiner

Tiltakene vi presenterer over er tekniske løsninger på spionasjeangrep rettet mot maskiner, men menneskepsyken er et betydelig lettere bytte. Sosial manipulasjon har alltid vært en effektivt og svært utbredt angrepsform. Angriperen kan f.eks ringe og utgi seg for å være en autoritetsfigur og på den måten tilegne seg konfidensiell informasjon. Falske eposter er også veldig utbredt og lurer mange til å oppgi detaljer som passord og personalia. Det er heller ikke utenkelig at falsk vennskapelighet, flørting eller bestikkelser benyttes. En spion med fysisk tilgang til et kontorlokale eller en maskin kan installere spionprogramvare eller plugge inn en liten og diskrét nettverksenhet som oppretter en VPN-tunnel som omgår bedriftens brannmur. Spioner kombinerer ofte sosiale og tekniske metoder fordi det øker sjansene for et vellykket innbrudd.

Svakheter i bedriftens rutiner og ansattes (u)vaner typiske angrepsvektorer for målrettet spionasje. Det kan være så enkelt som at ansatte glemmer å stenge tilgangen til arbeidsstasjonen før lunsj eller at noen etterlater laptopen ulåst i et møte med en tredjepart. Kanskje slurves det med å sikre backupenheter eller man unlater å kryptere dem. Brukerkontoer fra tidligere ansatte utgjør også en risiko hvis de ikke stenges ned eller slettes.

Organisasjonens forsvar blir aldri sterkere enn det svakeste leddet. Det kan være utfordrende for ansatte som er mindre teknisk anlagt å se behovet for plagsomme og inngripende sikkerhetstiltak. På den andre siden kan ansatte med et høyt teknisk ferdighetsnivå være vel så utsatt for visse former for sosial manipulasjon eller å falle for fristelsen til å ignorere vedtatte rutiner. Alle som ønsker å beskytte seg mot spionasje må være klar over farene nevnt over – all verdens dyre tekniske tiltak kan i verste fall omgåes med falsk vennlighet rettet mot nøkkelpersoner eller én manipulerende phishing-epost.

Vi tilbyr skreddersydd opplæring tilpasset deres behov og til de ulike ferdighetsnivåene blant de ansatte. Vi gjennomgår eksisterende rutiner, hvorvidt de overholdes og om det er behov for å skape nye. Sluttresultatet er sikkerhetsbevissthet på tvers av hele organisasjonen og en skjerpet teft for å gjenkjenne og mostå spionasjeangrep.


  1. VPN skjuler i mindre grad metadata, altså data om data, men dette kan løses gjennom ulikte strategier for anonymisering og kamuflasje av datastrømmer ↩︎

  2. Openvpn støtter Lag2-direkte. For Wireguard og IPSec kreves i tillegg egne tunelleringsprotokoller som GRE over Ethernet (forkortet EoGRE og utviklet av Cisco), Ethernet over IP (forkortet EoIP som er en Mikrotik-proprioritær variant) eller L2TPv3. Den relativt nye standarden VxLAN bør også nevnes i denne sammenheng, da den er spesifikt utviklet for å tunnellere Lag2 mot skytjenester. ↩︎

  3. DNS-protokollen ble designet med et totalt fravær av sikkerhetstenkning. I moderne tid er det gjort grep for å bøte på dette via utvidelsen DNSSEC for å sikre oppslagenes gyldighet. Det er også etablert to sentrale standarder for å sikre oppslagene fra avlytting DNS over HTTPS (DoH) og DNS over TLS (DoT). ↩︎

  4. Remote Desktop, terminaltilgang, VR-systemer etc. ↩︎

  5. LUKS (Linux), BitLocker (Microsoft/Windows), FileVault (Apple/mac), eller gjennom plattformuavhengige verktøy som VeraCrypt (videreutvikling av TrueCrypt). ↩︎

  6. Moderne filsystemer som Ext4, ZFS, NTFS og APFS støtter transparent datakryptering (TDE). ↩︎

  7. TDE støttes også av de fleste moderne databasystemer, både de kommersielle databasemotortilbyderne som Oracle og Microsoft samt åpen kildekodeprosjekter som som PostGres og MariaDB/MySQL. ↩︎

  8. Enkeltfiler kan krypteres direkte via generiske krypteringsverktøy som OpenPGP eller OpenSSL. De kan også beskyttet i komprimerings- og arkiveringskontainere som zip, rar eller 7z. Mange dokumenterformat støtter kryptering direkte, som f.eks. OpenDocument (.odf, .odp etc.), Microsoft Open XML (.docx, .pptx etc.), PDF etc. ↩︎

  9. NIST er i ferd med å standarisere begrepet Zero Trust Archtecture (ZTA). Utkastet kan leses på NIST.gov. Et annet relevant og mye brukt uttrykk med opphav i miltæret er prinsippet om “Need to know” hvor informasjonstilgang gies basert på sikkerhetsklarering og behov. Vi anbefaler også å innføre et analogt “Need to Do”-prinsipp knyttet til alle IKT-systemer som begrenser tilganger for teknisk og administrativt personell til de oppgavene de trenger å utføre for å få jobben gjort. ↩︎

  10. https://en.wikipedia.org/wiki/AAA_(computer_security) ↩︎

  11. For å hindre at spioner, teknikkere med gudekomplekser eller uinviterte “gjester” sletter eller endrer loggfilene bør disse alltid sendes til en ekstern logg-database. ↩︎

  12. Brannmurer og WiFi-passord er blant de mest kjente kontrollmekanismene. Switcher og trådløse aksesspunkt kan imidlertid også sikres via mer avanserte mekanismer som EAP-autentisering og IEEE 801.x, eventuelt krav om VPN-tilkobling mellom usikre og sikre nettverkssoner. ↩︎

  13. De fleste operativsystemer med flerbrukermiljø støtter pålogging via sentraliserte databaser som LDAP, Kerberos og RADIUS. De fleste UNIX-systemer bruker det modulære rammeverket pam til denne oppgaven. ↩︎

  14. De mest relevante akksesslistetypene for filsystemer er POSIX-ACLer og i moderne tid utvidelesen xattrs, samt NFSv4-ACLer og NTFS-ACLer ↩︎

  15. Mange enkeltprogrammer som e-post-klienter eller regnskapsverktøy har egen intern tilknytning mot sentrale påloggingssystemer, det samme gjelder for mange web-baserte systemer. ↩︎

  16. Håndtering av tilgang til innloggingsinformasjon (som passord og brukernavn) bør gjøres i passorbehandlingssystemer som eksempelvis Bitwarden. ↩︎

  17. Blant annet SNORT, Fail2ban og OSSEC ↩︎

  18. Blant annet OSSIM og Apache Metron ↩︎

  19. Filer, dokumenter, datasett, hele databaser eller enkle databaseoppføringer. ↩︎

  20. Snapshoting av hele filsystemer med f.eks. ZFS. ↩︎

  21. For å holde sin aktivitet på nettet fullstendig anonym må en årvåken bruker vokte sin egen arbeidsflate. Både nettlesere, nettsider, operativsystemer og (spion)programvare, samt pålogging til eksterne systemer, avslører ens identitet med enkelhet uavhengig av sikringstilltak knyttet til det underliggende nettverkslaget. En svært utbredt metode for å spore brukeres nettaktivitet er elektroniske fingeravtrykk. Privatmodus og sletting av “cookies” bør være et minstkrav. Hvis man vil unngå identifisering og sporing på nett er operativsystemet TailsOS et godt alternativ. ↩︎

  22. Ny lov for e-tjenesten blir vedtatt (NRK) ↩︎

  23. En variant av korrelasjonssangrep på trafikknivå, der eksempelvis en etteretningsorganiasjon både overvåker et VPN-endepunkt og trafikk som krysser landegrensen. ↩︎

  24. Her er inn- og utnodene ulike. Slik at en bruker i Norge kan koble seg til en norsk node, og surfe via en server i for eksempel Nederland. Forklart prinsippielt her: https://restoreprivacy.com/multi-hop-vpn/. ↩︎

  25. “Onion Services”, tidligere kalt “Hidden Services”. ↩︎