Hvis du vil holde din computer ren og sikker, så skal du holde den opdateret.
It-opdateringer lapper sikkerhedshuller, fjerner fejl og beskytter mod ondsindede trusler. De er gode.
Og hvis opdateringen kommer fra ens it-leverandør, så er det svært at bebrejde nogen, at de trykker ’opdater’.
Men hvad der lignede en opdatering, var i dette hack i virkeligheden en bagdør. En fælde, som tusindvis af virksomheder og myndigheder verden over hoppede i - og som blev en bagdør for særdeles ubudne gæster.
Hackerne har haft adgang til den amerikanske stats allerhelligste haller: de amerikanske finans-, forsvars-, handelsministerier samt et atomagentur. Og formentligt op mod 25-50 muligvis samfundskritiske danske virksomheder og myndigheder, oplyser Center for Cybersikkerhed til DR.
Nu er arbejdet med at forstå dimensionerne af det, der er blevet kaldt verdens største cyberangreb, gået i gang.
Hvis du ikke har fulgt med i sagen, kan du begynde her - hvor DRs techkorrespondent, Henrik Moltke, og cybersikkerhedsekspert og ekstern lektor på Copenhagen Business School, Jan Lemnitzer, svarer på de vigtigste spørgsmål.
Hvad er der sket?
- Det er et kæmpestort angreb og en meget, smart og kreativ måde, man har formået at gå under radaren på. De har lavet det, man kalder et forsyningskædeangreb, siger Henrik Moltke.
I starten af den kæde finder vi SolarWinds - en stor amerikansk virksomhed, der lever af at levere sikkerhedsløsninger.
- SolarWinds laver software, der giver dig overblik over netværkene i dit firma. Der er tusindvis af virksomheder over hele verden, der bruger det system, siger Jan Lemnitzer.
Hos SolarWinds fik hackerne held med at sende en korrupt softwareopdatering ud til SolarWinds kunder. Det blev startskuddet til den totale katastrofe.
- Som hacker har det her givet dig et tag selv bord med adgang til 18.000 firmaer, siger Jan Lemnitzer.
På listen af SolarWinds kunder finder vi nogle af de allerstørste virksomheder i USA. Udover det førnævnte amerikanske atomagentur og de helt centrale ministerier, er Microsoft og også det anerkendte sikkerhedsfirma FireEye på listen. Danske virksomheder er potentielt også involveret. Det vender vi tilbage til.
- Jeg tror kun, vi har set toppen af isbjerget af konsekvenserne ved det her angreb, siger Henrik Moltke.
Hvem har gjort det?
- Det ved vi ikke endnu med sikkerhed, men der er en del, der har peget på Rusland, siger Henrik Moltke.
- Det minder lidt om det angreb, Mærsk var ude for i 2017. Det var på samme måde, hvor man brugte opdateringer til et ukrainsk regnskabsprogram, som ramte deres kontorer og så bredte sig og betød, at Mærsk tabte millioner af kroner. Det er samme metode, man har brugt denne her gang.
Jan Lemnitzer er enig i sammenligningen til det Notpetya-angreb, som Mærsk var involveret i, som også var et såkaldt forsyningskædeangreb.
Men dette angreb bør man gange med 100 i omfang, mener han.
- Vi ved med sikkerhed, at der stod en nation bag det, men vi kan ikke sige med sikkerhed, at det var Rusland, selvom USA virker meget sikre på det punkt. Det kan tage mange år, før vi eventuelt finder ud af det.
Det russiske udenrigsministerium har ifølge Jyllands-Posten benægtet anklagerne om, at det skulle være den russiske stat, der står bag.
Hvad vil de med det her angreb?
Jan Lemnitzer griner, da han får spørgsmålet:
- Hvad du vil bruge det til? Vil du vide alt om, hvad der foregår med USA's atomvåben? Vil du have adgang til alle dokumenter og alle e-mails, der er blevet sendt fra det amerikanske statsdepartement? Ja tak. Vil du læse e-mails, der bliver sendt, i realtid? Ja, tak, siger Jan Lemnitzer.
SolarWinds har været hackernes værktøj og indgang, mens endemålet formentligt har været at få adgang til fortroligt materiale fra de amerikanske myndigheder:
- Det tyder på, at det er traditionel spionage, hvor man simpelthen bare indsamler information. Det er en stor indgang - man har fået adgang til en helt masse forskellige typer af virksomheder, siger Henrik Moltke.
- Der er ikke noget, der tyder på, at det er blevet brugt til så meget endnu. Men man ved, de har været inde i store amerikanske regeringsorganer. Blandt andet et atomagentur og Pentagon, hvor der jo er masser af følsomme oplysninger, siger Henrik Moltke.
Hackerne har – endnu – ikke destrueret eller ødelagt noget, selvom det formentligt vil være let for dem at gøre, mener Jan Lemnitzer.
Af den grund kan man teknisk set heller ikke kalde det for et cyberangreb, men cyberspionage, påpeger han.
Angrebet har stået på siden marts, oplyser det amerikanske sikkerhedsministerium. De har altså haft ni måneder til at rode dybt inde i den amerikanske stats hemmeligheder.
Hvad gør USA så nu?
- Man har ikke hørt noget som helst fra Donald Trump-administrationen, men Joe Biden, USA's kommende præsident, har været ude at sige, at det her er et kæmpe problem.
- Noget af det, der vil være snak om, er, at der efterhånden er brug for et globalt svar på de her problemer. Det er altså et problem, at man ikke har sanktioner mod for eksempel den her type angreb fra russiske hackere. Der er brug for et globalt svar, siger Henrik Moltke.
Jan Lemnitzer er ikke helt enig:
- USA har indført sanktioner mod kinesiske og russiske hackere, og EU har nu en stribe cybersanktioner, som de to gange har brugt mod Rusland i år. Spørgsmålet er, om det overhovedet gør et indtryk. SolarWinds-sagen tyder ikke på det.
Og hvad med Danmark?
DR har været i kontakt med Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. Centerets chef, Thomas Lund-Sørensen, forklarer, at foreløbigt op mod 25 til 50 danske virksomheder og også offentlige myndigheder, der bruger det korrupte system fra SolarWind, kan være impliceret:
- En række danske virksomheder bruger også de her versioner af SolarWinds system, som kommer med den her bagdør.
- Når bagdøren er installeret på ens systemer, giver det mulighed for, at dem, der kender bagdøren, kan hente informationer ud, siger han.
Om hackerne har fået adgang til fortrolige informationer hos de danske myndigheder er uvist:
- Det ved vi ikke på forhånd. Vi er i gang med at skabe os et overblik over, hvilke samfundskritiske virksomheder i Danmark, der kan være ramt, siger Thomas Lund-Sørensen.
Han opfordrer alle virksomheder med systemet SolarWind Orion om at tage kontakt til Center for Cybersikkerhed for at tjekke, om man er ramt af angrebet.
Rettelse, 20. december 11.00: Det fremgik i artiklen tidligere, at Notpetya-angrebet var russisk. Dette er rettet til ukrainsk.