Den mest alvorlige sikkerhedsbrist nogensinde: Universitet måtte aflyse eksamener

I disse døgn har it-afdelinger verden over travlt med at beskytte sig mod hackere.

Travlheden er opstået, efter der er fundet en alvorlig sikkerhedsbrist i et meget udbredt softwareprogram ved navn Log4J. 

Fejlen betyder, at hackerne kan trænge helt ind i hjertet af computersystemerne hos en række af verdens største virksomheder.

Hvis de vel at mærke når at trænge ind, før selskabernes it-afdelinger når at lukke hullet.

Det kapløb med tiden har kostet software-eksperter verden over deres nattesøvn de seneste dage. Mandag fik det Aarhus Universitet til - for en sikkerheds skyld - at udskyde den skriftlige eksamen for 220 studerende.

- Vi lukkede for adgangen til vores systemer, så hackere ikke kunne komme ind, men det betød, at vi ikke kunne afholde de planlagte eksamener, fortæller Sys Christina Vestergaard, der er kommunikations- og pressechef på Aarhus Universitet, til TV 2.

Hun understreger, at universitetet ikke har været udsat for et hackerangreb, men at man lukkede præventivt for systemerne, så man kunne undersøge, om der var en brist i sikkerheden.

Har travlt med at lukke huller

Fejlen er fundet i et stykke software fra selskabet Apache, som rigtig mange at verdens store virksomheder, offentlige institutioner og statslige kontorer bruger.

Log4J har en sikkerhedsfejl, der gør det muligt at overtage kontrollen med softwaren udefra og bruge den til at snige sig ind i brugernes computersystemer.

- Denne sårbarhed er en af de mest alvorlige, jeg har set i hele min karriere, sagde lederen af den amerikanske regerings departement for cybersikkerhed (CISA) i dag en indtrængende advarsel til amerikanske virksomhedsledere.

Lederen af CISA, Jen Easterly, advarede om, at der nu var et intenst kapløb i gang over hele verden mellem virksomhedernes IT-afdelinger, der havde travlt med at få lukket sikkerhedshullet, og hackere, der forsøgte at udnytte den usædvanlige sikkerhedsbrist.

- Vi må gå ud fra, at denne sikkerhedsbrist vil blive udnyttet massivt af kyndige kræfter. Der er kun meget begrænset tid til at tage de nødvendige skridt, der skal til for at begrænse muligheden for skader, sagde hun ifølge tv-stationen CNN.

Fejlen har eksisteret i årevis

Log4J er et stykke software, som selskaberne kan bruge til at overvåge og registrere, hvad andre af deres software-programmer foretager sig.

Softwaren er gratis, og bliver udbygget og vedligeholdt af entusiaster i nonprofitorganisationen Apache. Sikkerhedsbristen har tilsyneladende ligget i software-programmet lige siden 2013, uden nogen havde opdaget den.

Men i september opdagede en kinesisk computerspecialist, tilknyttet det store kinesiske e-handelsfirma Alibaba, den afgørende svaghed i programmet.

En svaghed, der gjorde det muligt for hackere at komme helt ind i maskinrummet hos de selskaber, der havde Log4J installeret i deres systemer.

Han skyndte sig at advare programmørerne hos Apache om, de skulle få lukket hullet hurtigst muligt.

Men samtidigt begyndte hackere verden over at interessere sig for hullet i Log4J.

Hemmelig kryptovaluta

Ifølge cybersikkerhedsselskabet Bitdefender har man siden 10. december registreret angreb på en række forskellige selskaber verden over.

De fleste af disse angreb har dog ikke haft til formål at overtage kontrollen med dele af selskabernes computersystemer.

I stedet har hackerne listet sig til i al hemmelighed at bruge selskabernes computerkraft til at fremstille kryptovaluta.

Bitdefender oplyser til TV 2, at man i øjeblikket ikke har registreret angreb på større danske selskaber.

Til gengæld har man set et angreb på det, som Bitdefender kalder ”et vigtigt europæisk selskab” - uden man dog ønsker at identificere selskabet nærmere.

Om kap med hackerne

Programmørerne fra Apache har nu færdiggjort en opdatering af Log4J, der lukker sikkerhedshullet.

Og nu arbejder IT-afdelinger i hele verden på at få det installeret, så der kan blive sat en prop i hullet, før hackerne når indenfor.

På Aarhus Universitet var man tirsdag nået så langt, at man nu er klar til at genoptage de skriftlige eksaminer som planlagt.