Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
Det offentlige Danmark blev brutalt vækket af Sobig.F. Mail-serverne på Statens Datanet gik ned eller blev lukket, da Sobig.F fik adgang til de store elektroniske adressebøger i ministerierne og begyndte masseudsendelser på Statens Datanet af virusbefængte mails.
OFFENTLIG SIKKERHED
Klokken er 6.30 om morgenen tirsdag den 19. august. Europa vågner. Over alt puster man stadig ud efter den foregående uges Blaster-orm, der lagde mange virksomheder og private ADSL-brugere ned.
På Slotsholmen vågner Christiansborg, og den første trafik ind igennem ministeriernes tunge døre begynder så småt. Morgenfolket er på færde - både de flittige og dem, der er bagefter og lige skal give den en skalle, før telefonerne begynder at ringe.
Computerne tændes på kontorerne. Der er mail. Rundt omkring i ministerierne klikkes på de vedhæftede .pif-filer, og vupti - så er der også virus. Sobig.F.
Vi vil klikke
- Vores erfaring er, at når mennesker modtager e-mails med virus, vil et stort antal af disse filer blive aktiveret, uanset hvor godt brugeren er orienteret om risikoen via sikkerhedspolitikker, standarder eller lignende, siger Jan Braginski, direktør for Tempest A/S.
En sikkerhed, der afhænger af, at brugerne ikke åbner farlige vedhæftede filer, er derfor ikke mere sikker end grænsen for den menneskelige nysgerrighed.
Brugerne i statsadministrationen dobbeltklikkede således også på Sobig.F-filerne den morgen. Nok til at trafikken overbelastede mange ministeriers mail-servere, så de gik ned eller måtte lukkes ned.
- Vi fik allerede fra morgenstunden klager over, at statsadministrationen spyede virus-mails ud i store mængder, siger Preben Andersen, chefkonsulent i Uni-C og leder af DK-CERT.
- Problemet er jo, at Finansministeriet og mange andre ministerier, som blev ramt, har meget store adressebøger, som Sobig-F kunne kopiere, siger Preben Andersen.
Snart var Folketinget også lagt ned, omend Folketingets server hurtigt blev genåbnet, efter sigende fordi folketingsmedlemmerne forlangte at få adgang til deres mails.
Statens Datanet ramt
Virus-mails spredte sig hurtigt fra ministerierne til Statens Datanet, som drives af CSC. 20 institutioner anvender Statens Datanet som mail-relæ, resten har deres egne servere, som står lokalt, og som drives af institutionen selv.
Ifølge Computerworlds oplysninger begyndte de lokale servere at gå ned en for en på grund af overbelastning allerede tirsdag morgen. Efterhånden som situationen blev kendt, valgte mange institutioner selv at lukke deres servere og adgangen til Statens Datanet ned.
Hermed blev den offentlige sektors elektroniske kommunikation reelt lammet, formentlig i det meste af et døgn.
Preben Andersen, DK-CERT, fortæller, at det første anti-virusfirma var klar med en kur ved 12-tiden den 19. august, de andre firmaer var først klar ved 16-tiden, fordi Europa lige skulle vække de Blaster-trætte antivirus-folk i USA, først og indtil da var der intet, man kunne gøre - andet end at lukke sin computer.
- TDC gjorde dog noget meget konstruktivt, da de besluttede at filtrere Sobig-mails fra. ISP'erne plejer ikke at gribe ind i trafikken, så det her var et flot initiativ, siger Preben Andersen.
E-dag gør sårbar
Hos CSC oplyser kommunikationsdirektør Marcus Bjørn Kraft, at CSC ikke selv var ramt af virus. Men ingen steder har man ifølge Computerworlds oplysninger overblik over, hvor mange institutioner der var uden adgang til Statens Datanet og elektronisk kommunikation i forbindelse med Sobig.F eller hvor længe.
- Set i lyset af e-dag synes jeg, det er betænkeligt, at man ikke har noget overblik over, hvad virusangreb betyder for den offentlige sektors effektivitet, siger Marcus Bjørn Kraft og henviser til, at CSC allerede i februar i år advarede Den Digitale Taskforce om faren ved virus.
I brevet fra CSC til Den Digitale Taskforce hedder det blandt andet:
"Overgang fra analog post til digital post introducerer langt flere offentlige post-adresser, som optages i langt flere adressebøger på kryds og tværs af den offentlige sektor. Herved introduceres langt større potentiel eksponering fra virus og DoS/DDoS-angreb. Risikoen er, at der ved virus vil ske kontaminering af langt flere miljøer samt ved DoS/DDoS-angreb eller "Email Bombing Attack" sker deciderede lammelser af de ramte system. Der er således tale om, at det offentliges brug af e-mail går fra at være "nyttig" til at være "vital".
Med andre ord: Den offentlige sektor bliver mere og mere sårbar over for virus.
- Der er ingen tvivl om, at det bliver nødvendigt at stramme skruen. Digital forvaltning kræver øget it-sikkerhed både for, at der er den fornødne sikkerhed for, at samfundet kan fungere, og for at borgerne kan have tillid til det offentlige, siger Preben Andersen.
Boks:
Ormen Blaster
W32/Blaster-ormen ramte Danmark mandag den 11. august.
- Mange store virksomheder blev ramt og gik ned med flaget i den første uge, Blaster huserede. Men også mange små virksomheder og private ADSL-brugere blev ramt, siger Preben Andersen, chefkonsulent i Uni-C og leder af DK-CERT.
Blaster-ormene kan komme ind i computere med Windows 2000, Windows XP, Windows NT og Windows server 2003 og computere, som ikke har fået installeret de seneste sikkerhedsopdateringer.
- I flere store organisationer har man betalt dyre lærepenge. Læren er, at man skal bruge tid på at installere sikkerhedsopdateringer, så snart de er tilgængelige. Det er et ledelsesanliggende at afsætte de nødvendige ressourcer til, at det kan blive gjort, siger Preben Andersen.
En firewall giver kun beskyttelse mod en orm, hvis der ikke kommer så meget som en eneste inficeret bærbar computer, som har været med hjemme i weekenden, på nettet. En computer med orm inden for firewallen er nok til at inficere samtlige ikke-opdaterede computere.
Boks:
Sobig.F, verdens hurtigste virus
En ny virus, W32.SOBIG.F, spredte sig den 19. august 2003 hurtigere, end nogen anden virus før har gjort.
Sobig-F spredes via e-mails som vedhæftet .pif-fil ved at aflæse adresser i mailsystemets adresselister og efterfølgende sende sig selv til adresserne. Afsenderadresserne på de udsendte virusmails er ofte kopieret fra adresselisterne (spoofing).
Antivirus-programmer er reaktive og kan ikke opfange nye vira, de ikke kender. Computere er derfor ubeskyttede, fra en virus bliver sendt i omløb frem til det tidspunkt, hvor antivirus-producenterne er klar med en opdatering.
Billedtekst:
- Der er ingen tvivl om, at det bliver nødvendigt at stramme skruen. Digital forvaltning kræver øget it-sikkerhed både for, at der er den fornødne sikkerhed for, at samfundet kan fungere, og for at borgerne kan have tillid til det offentlige, siger Preben Andersen, chefkonsulent i Uni-C og leder
af DK-CERT.
Foto: Torben Klint
