Den største it-sikkerhedshistorie i januar var utvivlsomt Googles oplysning om, at firmaet var blevet angrebet af hackere fra kinesiske IP-adresser.
Over 30 andre firmaer var udsat for lignende angreb.
Efter nogle dage viste det sig, at hackerne udnyttede et hidtil ukendt sikkerhedshul i Internet Explorer til at komme ind på ofrenes pc'er.
Rettelsen blev fremskyndet
Microsoft kendte allerede til sårbarheden, som firmaet blev gjort opmærksom på i september.
Derfor var Microsoft godt i gang med at udvikle en sikkerhedsrettelse, der skulle udsendes sammen med de øvrige rettelser i februar.
Men da sårbarheden nu blev offentligt kendt, gik der ikke lang tid, før eksempler på angrebsprogrammer var tilgængelige.
Derfor valgte Microsoft at udgive rettelsen før planlagt. Så den kom allerede den 21. januar.
En interessant detalje er, at rettelsen ikke kun lukker det aktuelle sikkerhedshul. Den fjerner også syv andre sårbarheder, som ikke har været offentligt kendt.
Aurora angreb IE 6
Den sårbarhed, der blev brugt i angrebet, er kendt som CVE-2010-0249.
Den opstår, når Internet Explorer prøver at tilgå memory, som er initialiseret forkert.
Angrebene mod Google og andre firmaer har fået navnet Aurora.
De brugte et angrebsprogram, der kun virkede under Internet Explorer 6. Angrebsprogrammet havde form som et link til en webside, der aktiverede sårbarheden. Herefter blev der installeret en trojansk hest på pc'en.
Nogle iagttagere har i øvrigt moret sig over, at der åbenbart må sidde nogen i Google, som bruger en for længst forældet version af konkurrentens browser.
De dystre spor fra Kina
Sikkerhedsforsker Joe Stewart har analyseret koden til det program, der blev installeret på de sårbare pc'er. Han har især kigget efter tegn på, om den ser ud til at være skrevet af kinesere.
Det ser det ikke umiddelbart ud til: Sprogindstillingerne i ressourcedelen af filen er således sat til engelsk.
Men han faldt over et mærkeligt valg af algoritme. Til en fejlkorrektionsalgoritme bruger programmet en metode, som adskiller sig fra normen.
Joe Stewart har søgt efter lignende algoritmer på nettet. Han har fundet nogle, og de stammer alle fra Kina.
Det officielle Kina har afvist at være involveret i angrebet.
Kan DEP slås fra?
Siden det første angrebsprogram blev offentliggjort har der været forlydender om, at det skulle være muligt at omgå DEP-beskyttelsen (Data Execution Prevention).
DEP findes i Vista og Windows 7. Funktionen forhindrer, at der kan køres programkode fra områder af memory, der er afsat til data.
Dermed beskytter funktionen mod udnyttelse af sårbarheden, hvis den er aktiveret.
Microsoft mener, at der nok findes angrebsprogrammer, som kan omgå DEP og udnytte sårbarheden. Men de er ikke set anvendt i praksis.
Under alle omstændigheder anbefaler jeg alle at installere rettelsen. Og så er det også en god ide at opgradere til Internet Explorer 8, hvis det er muligt.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.
I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
