Mød Micah Lee. Han er direktør for informationssikkerhed i First Look Media, der driver netmediet The Intercept. Det er de færreste medier i Danmark, der har en direktør for informationssikkerhed, men det er også de færreste medier i Danmark, der så ofte som The Intercept (https://theintercept.com/) har offentliggjort lækkede dokumenter og oplysninger fra efterretningstjenester i blandt andet USA og Storbritannien.
“Jeg bruger en masse tid på at sørge for, at vores personale følger best practices og er beskyttet mod trusler som f.eks. phishing-angreb. Jeg laver også teknisk undersøgende journalistik for The Intercept,” fortæller han til Samdata-magasinet.
Micah Lee skriver ofte om sikkerhed, blandt andet på twitter (link: https://twitter.com/micahflee), hvor han er meget aktiv. Tidligere på året publicerede han et længere og relativt pædagogisk debatindlæg, hvor han dissekerede et hackingangreb, som en af hans kollegaer i First Look Media havde været udsat for.
Risikabelt Excel-dokument
Gennemgangen startede med, at en af der kom en email med en vedhæftet .xls-fil, altså et Excel-dokument. Kun et ud af 56 testede antivirusprogrammer konstaterede, at filen var farlig, så antivirussoftwaren i sig selv var altså en ringe beskyttelse i den konkrete sag.
Micah Lee konverterede .xls-filen til en sikker .pdf-fil med opensource-værktøjet Dangerzone (https://dangerzone.rocks/), som First Look Media selv har udviklet. Det resulterede i, at han kunne åbne dokumentet og læse indholdet uden at eventuel ondsindet kode blev eksekveret. Dokuments første side var en grøn grafik, der efterlignede netop Excels logo. Logoet blev fulgt af en opfordring til at aktivere to funktioner i Excel, der ifølge Micah Lee formentligt ville resultere i, at skadelig kode i filen blev eksekveret.
Derefter bliver det mere teknisk. Med en online malware-scanner kunne Lee konstatere, at Excel-arket både havde et synligt ark og et usynligt. Det usynlige ark indeholdte makro-funktioner (en slags miniprogrammer, der kan afvikles inde i f.eks. et Word-dokument eller Excel-ark), der var forsøgt skjult. Det var gjort ved at konvertere læsbare tal bogstaver til tal, der refererede til bogstavernes placering i ASCII-tegnsættet. På den måde lignede indholdet ikke umiddelbart skadelig kode. Men Micah Lee skrev et kort Python-script, der konverterede tallene tilbage til bogstaver og pludselig stod det klart, at der ikke var tale om uskyldige cifre.
Der var i stedet tale om en række makroer, der skulle hente en fil fra to hjemmesider. De to hjemmesider, der begge kørte Wordpress, var formentlig hacket og agerede på den måde mellemled for hackerne uden at være klar over det.
De seneste år er der ofte blevet fundet sårbarheder i Wordpress, især i systemets mange plugins og themes, der bruges til at personalisere hjemmesider. På den måde kan kreative hackere bruge uforvarende hjemmesideejeres ikke-opdaterede sites til at opbevare og sende filer, der f.eks. laver en bagdør på den computer, hvor de eksekveres.
Om det var planen ved Micah Lee ikke med sikkerhed. Da han var færdig med at dissekere .xls-filen var dokumenterne fra de to Wordpress-sider nemlig fjernet og ikke længere til at få fat i. Han vurderer dog, at der formentligt har været tale om software, der ville placere en bagdør på kollegaens computer, så hackerne ville kunne følge med i alt, hvad brugeren foretog sig.
Du kan læse hele blogindlægget her: https://tech.firstlook.media/reverse-engineering-obfuscated-excel-4-macro-malware
Alle kan lære det
Mange, der arbejder med IT-sikkerhed, skriver præsentationstekster af deres fund, men det er de færreste, der gør det så relativt pædagogisk som Micah Lee. Selv peger han da også på, at folk, der arbejder med IT-sikkerhed bør blive bedre til at kommunikere med ikke-tekniske kollegaere.
“Jeg tror at noget af det handler om et behov for at lyde klog i stedet for at forklare ting klart og tydeligt. Men det er uheldigt, for der er rigtigt mange dygtige mennesker derude, som ville være gode til at bidrage til computersikkerhed, men som føler at de ikke har evnerne, selvom de helt klart har,” siger han.
Hans egen interesse i emnet startede som ung, fortæller han.
“Da jeg var teenager i de tidlige 00’ere lærte jeg mig selv at programmere videospil. Jeg elskede at programmere. Det er utroligt hvor meget et enkelt menneske kan opnå hvis de kan instruere computere i at gøre det for dem. Jeg synes at menneskerettigheder, frihed og privatliv er utroligt vigtigt, især nu hvor alle er forbundet til internettet hele tiden, og det er en vigtig motivation for mig.”
Han opfordrer alle, der synes at IT-sikkerhed er spændende, til at kaste sig over det.
“Vær ikke bange for bare at prøve noget. Hvis du har en idé til et program, også selvom du ikke ved hvordan man programmerer endnu, så prøv at lær nok til at programmere det. Hvis du finder et stykke malware og vil vide hvordan det virker, så start en virtuel maskine og kør koden, så kan du bruge et program som Wireshark til at se hvilken netværkstrafik, der opstår når koden bliver afviklet,” siger Micah Lee.