Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 10. oktober 2003.
Tidens hotteste hacker-jager er finnen Mikko Hypponen - han blev verdenskendt i august på at knække Sobig.F-koden. Nu siger han, at kriminelle hackere laver virus for penge for at sælge adresserne - de såkaldte proxylister - til spammere, som sælger dem videre til store, respekterede virksomheders jagt på nye kunder.
Kommerciel virus
- Det er nyt, at der er en forbindelse mellem virus-hackere og erhvervslivets normale forretningsliv - mellem kriminelle hackeres produktion af vira og orme og det nålestribede erhvervsliv i verdens største virksomheder, siger Mikko Hypponen, antivirus-direktør i finske, børsnoterede F-Secure, producent af sikkerhedssoftware.
Virus og orme i computere kaldes ofte for nettets mere eller mindre harmløse graffiti. Hackerangreb udført af unge nørder, som keder sig og skal blære sig over for hinanden og pigerne. Der er de kriminelle, som stjæler kreditkortnumre, og der er den egentlige hacker-spionage mod lande og industri. Men der er dukket en ny klasse kriminelle op på nettet, ifølge Hypponen. De arbejder i en kompleks og uoverskuelig organisation som kinesiske æsker.
Det er hackere, som laver virus for penge. Virus som bruges til angreb på computere og forsyner hackerne med adresser, de såkaldte proxylister. Adresserne sælger hackere til spammere, og herfra sælges adresserne videre som potentielle nye kundemner til det etablerede erhvervsliv.
- Det er en ny udvikling, som vi opdagede i Sobig. Men Sobig er ikke den eneste sag. Slacke for tre uger siden, som prøvede at konkurrere med Sobig, den bruges også af spammere. Så vi ser en mere og mere tydelig forbindelse mellem virus-hackerne og spam.
Hypponen ved ikke, hvor mange penge der omsættes, men det er tilsyneladende profitabelt. Ellers ville de ikke fortsætte, og Sobig-operationen har nu kørt i et år. Det må være temmelig stort med adskillige folk indblandet.
- Vi ved ikke, hvilken slags folk det er. Vi ved ikke hvor i verden, de opholder sig. Disse fyre ved, hvordan de skal gøre sig usynlige på internettet. De eneste, som du kan spore, er spammerne. Det er ikke de samme fyre. Det er virus-hackerne som laver proxy og sælger proxylisterne til spammerne. De bliver ved at gensælge den samme liste til spammerne. Hvis du kigger på en maskine inficeret med Sobig, som er blevet til en proxy, så ser du mindst 20 forskellige spammer-grupper som bruger den samme maskine. De har købt den samme liste, siger Mikko Hypponen, F-Secure.
Spam
Spamming er en velkendt god forretning. Det er næsten gratis at sende e-mails, som annoncerer for et eller andet. Porno, forsikring, lån, viagra, medicin, septitanke og services.
I en undersøgelse blev spammails åbnet, og efterforskeren svarede på en hjemmeside om lån med falsk, men sporbar information. Et par dage senere blev han kontaktet af forskellige banker med tilbud om lån.
Det var ikke lyssky andenranks banker, men store, professionelle amerikanske banker, eksempelvis Ameritrade. Efterforskeren fortalte banken om, hvad han havde gjort. Alle banker svarede det samme: Vi spammer ikke. De havde købt adressen fra et respekteret selskab, som i årevis havde levet af at sælge navne- og adresseoplysninger til långivere. De havde købt adresserne fra et andet firma i en anden stat for fem dollars stykket. Og de havde købt adresserne fra et firma i Minnesota for to dollar stykket. Som havde købt fra Spanien for en dollar - der havde købt i Brasilien for en halv dollar osv. osv. indtil sporet forsvandt op i den blå luft.
Flere spammere er fanget og dømt - typisk med bøder. For tre år siden blev to formodede spammere likvideret med skud i hovedet uden for New York. Men hackerne går fri.
- Virus og hacking er et internationalt problem, som kun løses med internationale regler og politi. Men vi ser aldrig Interpol, og vi mangler international lovgivning. EU er på vej med europæiske regler, men Slacke foregik i seks lande, heraf kun to i Europa. Med al den spam frygter jeg, at e-mail er død om 24 måneder. Lige nu filtrerer teleselskaberne (ISP'er) bjerge af spam, men spam kan sendes, så det ikke kan tages i et filter. Det bliver e-mailens død, siger Mikko Hypponen.
Billedtekst:
- Virus og hacking er et internationalt problem, som kun løses med internationale regler og politi, siger chefen for finske F-Secure Mikko Hypponen.
Foto: Torben Klint
Boks:
Mikko Hypponen blev verdenskendt på en uge
¥ Tirsdag den 19. august 2003 kl. 6.10 GMT fik han tilsendt Sobig-F.
¥ Kl. 8.43 havde han som den første en F-Secure update ude til kunderne.
¥ Kl. 9.45 brød Sobig-epidemien for alvor ud globalt - og i løbet af dagen kom de andre softwarefirmaer med updates (Sophus kl. 10.37, Symantec kl. 12.53, Trend kl 13.39 og McAfee kl. 14.21.
¥ Torsdag: Som de første lykkedes det Mikko Hypponen og hans folk at afkode virussen, finde maskinerne og få lukket ni ned.
¥ Fredag kl. 21.00: Sobig var programmeret til at aktiveres via 20 inficerede computere. Syv maskiner blev fundet om fredagen i samarbejde med FBI i København og Estland samt Microsoft.
¥ Fredag 15 minutter før deadline kl. 21: Der manglede stadig to computere, den ene var slukket, den anden crashede, da tusindvis af computere forsøgte at koble sig på.
¥ Søndag: To dage efter var Mikko Hypponen deltager i en virus-kongres i USA. Den var arrangeret et halvt år tidligere. Så da Mikko ankom til USA med "Sobig på hænderne" blev han mediernes helt og forsidestof i bl.a. New York Times og US Today.
Definitioner:
Virus: Et selv-replikerende computerprogram. Kilde: Symantec
Orm: Et program som laver kopier af sig selv på nettet. Eksempelvis fra en netværks harddisk til en anden ved at kopiere sig selv via e-mail eller anden "transport-mekanisme".
Kilde: Symantec
Proxy: Proxyservere sletter spor. Det er serverprogrammer, som fungerer som formidlere mellem for eksempel webservere og browsere. Browseren sender sin ordre til web-serveren via proxyserveren. Proxyserveren kontakter web-serveren, modtager svaret og sender det videre til brugeren. På den måde kan man indføre filtrering af indhold og spare på båndbredden, idet populære sider kun skal hentes Èn gang, for at alle proxyserverens brugere kan se dem.
En oplagt form for misbrug består i at sende kommandoer til postservere gennem åbne proxyservere via HTTP Connect. På den måde kan spam-afsendere udsende tusindvis af e-mail-reklamer, uden at nogen kan se deres rigtige IP-adresse. Hvis man analyserer header-oplysningerne i de udsendte spam-mails, vil man kun se IP-adressen på den åbne proxyserver, spam-afsenderen har misbrugt. Herudover kan hackere anvende proxyservere til at skjule deres spor. De kan for eksempel lade en proxyserver forbinde sig til en proxyserver, der forbinder sig til en proxyserver, som udfører en portscanning. På den måde vil det tage lang tid at følge hackerens spor, især hvis serverne befinder sig hos forskellige internetudbydere i forskellige lande.
Kilde: Torben B. Sørensen, Uni-C/DK-CERT
