Forskergruppe fikk alle data slettet etter hackerangrep

En forskergruppe som drev et EU-prosjekt ble utsatt for at hele studien de jobbet med ble slettet etter angrep. Et svakt passord antas å være årsaken.

Stian Husemoen er seksjonssjef ved NTNUs enhet for digital sikkerhet.
Publisert
Systemene er litt for åpne ved NTNU, mener de to sikkerhetsekspertene Christoffer Vargtass Hallstensen og Gaute Wangen.

- Cyberangrep er et sterkt voksende problem for universiteter og andre forskningsinstitusjoner, sier Stian Husemoen til Universitetsavisa.

Han er seksjonssjef ved NTNUs enhet for digital sikkerhet. Under NTNUs temadag for sikkerhet og beredskap onsdag fortalte han om forskergruppen som ble utsatt for hackere.

- For denne forskergruppen endte det bra, siden de hadde ferdigstilt rapporten uka før. Dersom det ikke hadde skjedd, kunne de i verste fall ha mistet EU-bevilgningen, noe som ville vært temmelig fatalt, sier Husemoen.

Følg UA på Facebook, Twitter og Instagram.

5415 NTNU-kontoer ble hacket

Sjefen for digital sikkerhet ved NTNU har et personlig skrekkscenario:

- Det er at vi blir utsatt for noe tilsvarende det globale angrepet i fjor vår, WannaCry, som blant annet lammet store sykehus, i Storbritannia og andre steder. Det var en nær miss, som å høre kula suse forbi hodet. Dette har potensial til å holde meg våken om natta, medgir han.

At digitale innbrudd utgjør en betydelig sikkerhetstrussel mot NTNUs virksomhet, kan senior sikkerhetsanalytiker Christoffer Vargtass Hallstensen og seniorrådgiver Gaute Wangen berette.

I desember i fjor ble det frigjort 20 gigabyte med brukernavn og passord av hackere. Disse ble lagt åpent ut på nettet. Av disse kom 5415 kontoer fra de fire institusjonene som fusjonerte inn i NTNU. Av disse ga 105 fortsatt tilgang til NTNUs nettverk. 

Men hva er farlig med det – hva kan disse brukes, eller misbrukes, til?

Ifølge de to digitale sikkerhetsekspertene, som i det daglige holder til ved NTNU i Gjøvik, er det en hel rekke ting. Dels handler det om rene, digitale innbrudd for å stjele verdier som lages ved universitetet, i første rekke forskningsresultater. Her er både fremmede makters e-tjenester og kommersielle aktører på banen. Dels dreier det seg om utpresning via løsepengevirus: Man bryter seg inn på datamaskiner og krypterer innholdet for deretter å be om løsepenger.

LES OGSÅ: Hackere kan sette fyr på huset ditt

Datamining

Men det handler også for en stor del om å anvende NTNUs ressurser til å utføre kriminell aktivitet andre steder.

- Vi vet for eksempel at da Russland rettet digitale angrep mot Ukraina i forbindelse med invasjonen der for noen år tilbake, «bisto» NTNU i angrepet, med sin datakraft, forteller Hallstensen.

- Skjer dette i dag?

- Hvert sekund. Men vi jobber kontinuerlig med å forbedre forsvarslinjene.

Andre former for misbruk dreier seg om data mining - å «grave fram» digital valuta ved hjelp av strøm og datakraft hentet fra NTNUs systemer – eller å skaffe seg adgang til dyre, vitenskapelige tidsskrifter.

- NTNU abonnerer på mange forskningstidsskrifter som er til dels meget dyre. Det fins universiteter og forskningsinstitusjoner i andre steder av verden som ikke har råd til slikt. Vi har et eksempel på at noen i fjor sommer skaffet seg ulovlig adgang og lastet ned mellom 1000 og 1200 vitenskapelige artikler, før tidsskriftet selv oppdaget innbruddet og frøs kontoen. Det førte blant annet til at hele NTNUs konto i dette aktuelle tilfellet ble frosset for ei uke, noe som medførte problemer for forskere, forteller Wangen.

LES OGSÅ: Gjøvik vil samarbeide med Ålesund om cybersikkerhet
LES OGSÅ: NTNU får 1,6 millioner for å styrke kunnskapen om datasikkerhet

NTNUs systemer for åpne

Hvordan er så situasjonen ved universitetet?

Systemene er litt for åpne ved NTNU, mener de to sikkerhetsekspertene. Grovt sett handler det om at det er for lett å komme seg innenfor den ytre muren, og er man inne så er man for en stor del inne. Alternativet er å bygge flere lag av sikkerhetsmekanismer: Hvor den første dekker ikke veldig sensitive opplysninger, og så møter man neste mekanisme som beskytter de litt mer «verneverdige» dataene. Og så videre. Dette kalles grunnsikring, og den burde vært bedre, men dette er en kompleks øvelse på grunn av teknologisk arv.

- Dette handler om den historiske utviklingen av datasystemene, som har vært utviklet litt her og der, og hvor deler av databasene ikke ble designet for å bli lagt ut på nettet.

De er blitt dyktigere

- Hvor kommer angrepene fra?

- Fra internett! Det er vanskelig å si noe veldig konkret om hvor de som gjør dette sitter. Dels fordi man bruker tredjeparts maskiner som kan befinne seg i et annet land. IP-messig kommer de fra USA, europeiske land som Frankrike og Tyskland, fra Kina, India og flere til. Men igjen – at maskinene som brukes befinner seg i disse landene trenger ikke fortelle noe om hvem det er som står bak, sier Gaute Wangen.

- Det viktige for oss er hva de er ute etter, og taktikken og metodene de anvender. Det vi kan si, er at de som driver med dette, med phishing og ulike former for tyveri av brukerkontoer, er blitt veldig mye dyktigere på det i dag. For bare noen få år siden var de blant annet så dårlige i norsk at du så det med en gang. Slik er det ikke lenger, sier Christopher Hallstensen.