Firewall slår ikke til når ormekrigene raser

Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. oktober 2004.


intet er sikkert: Det ændrede trusselsbillede gør, at de klassiske forsvarsværker skal suppleres med nye lag sikkerhed.

Alt for få dage forløber uden nye uheldsvangre informationer på sikkerhedsfronten. En dag byder på en ny orm, der forhindrer fjernelse af sig selv, og næste dag gælder det et teleselskabs konstatering af, at tusindvis af pc'er hos intetanende brugere er "sovende agenter" for hackere.
Dertil kommer alle de nye mutationer af kendte vira og orme. Tidligere var de måneder om at sprede sig, nu tælles dagene og snart kun minutterne. Og så er der alle "de første" - de første stykker ondartet kode rettet mod helt nye områder.
Intet er sikkert længere. Mobiltelefonen er ikke længere fredet land, ej heller Intels nye familie af 64 bit-mikroprocessorer. E-mail har længe været akilleshælen. Instant Messaging (øjeblikkelige beskeder) nærmer sig samme farekategori, og nu begynder advarselslamperne at blinke for IP-telefoni. Oveni er der alle de gamle problemer, der rækker lige fra sårbarheder i Internet Explorer til misbrug af peer-to-peer-teknologi - en pc til pc-kontakt.
Faktum er, at it-installationernes klassiske ydre forsvarsværk, firewall'en, ikke længere altid slår til. Det samme gælder det klassiske indre forsvarsvæk i form af et antivirusprogram.
Kurs mod port 80
Firewall'en - ydermuren, der beskytter mod angreb fra internettet - er porøs, og det skal den være, for ellers kunne vi hverken browse internettet eller sende en e-mail.
Hackerne retter i dag især opmærksomheden mod de porte, som, de ved, står åbne såsom port 80. Det er porten, som pr. automatik benyttes til kontakten mellem pc'en og en webside. Også port 25, der bruges af e-mail-programmer, er et yndet angrebsmål.
- Derfor er det vigtigt, at man kigger lidt dybere i, hvad der flyder igennem de meget anvendte porte, siger Christian Bjørn, der er sikkerhedskonsulent hos Check Point, en af de store leverandører af firewalls.
Applikationer i farezonen
Det er først og fremmest applikationerne, hackerne i dag retter deres angreb mod, mens det tidligere var styresystemet og dets håndtering af datapakkerne på netværket. Lige nu forsøger hackerne typisk at bruge den søgeboks, som findes på de fleste websider, for at stikke snablen ned i databasen.
Når den "rigtige" bruger taster nogle ord ind i søgefeltet, ender ordene typisk i en forespørgsel til en database - en stump kode. Men hackeren skriver selv en stump kode ind i søgefeltet, og den udløser hen ad vejen information, der hjælper ham på vej.
Derfor skal firewall-teknologien kigge dybere på, hvad der kommer ind, og det kaldes også "deep packet inspection".
Både Check Point og Juniper har funktionalitet, og den tredje store firewall-leverandør, Cisco, er på vej med funktionaliteten.
Men selv den dybe inspektion hjælper ikke, hvis skurken sender sin ondartede kode krypteret og beskyttet via en VPN-forbindelse (Virtual Private Network).
Stopper indbrudstransaktionen
Svigter firewall'en, kan næste stopklods være Intrusion Detection (ID) - software, der opdager, hvis der er sket "indbrud" - på netværket eller serveren. Skridtet videre går man med Intrusion Protection (IP). Her er softwaren ikke alene på udkig efter indbrud, men blokerer også for den mistænkelige transaktion.
Disse produkter kan imidlertid også blive snydt. Et af de alvorligere problemer er, at de ofte handler "overilet" på transaktioner, der faktisk er ok, hvilket vækker irritation ikke alene hos sikkerhedsfolkene, men også hos slutbrugerne. I værst fald slukkes for varslerne.
Klassikeren, antivirusprogrammet, fanger de vira og orme, hvis karakteristika man kender, og rydder op efter dem. Kommer der en ny type ondartet kode, hvis konstruktion ikke genkendes, slipper den igennem. Først når antivirus-firmaerne har fået gennemanalyseret denne type og opdateret virus-definitionerne, og måske tilmed programmet, kan der sættes en stopper for den nye trussel.
Et andet klassisk problem med antivirus hænger sammen med den udstrakte brug af bærbare computere. Et konkret angreb, der har ramt en dansk virksomhed, illustrerer problemet:
En medarbejder, der kommer fra ferie, kobler sig på arbejdspladsen - altså bag firewall'en, med sin bærbare på nettet, men den er inficeret. Ormen klatrer ud på nettet og inficerer alle pc'er. Miseren ligger i, at den bærbare grundet ferien ikke var blevet forsynet med de seneste virusdefinitioner.
Læren af både Slammer og Blaster var, at hvis blot én dårligt konfigureret computer var koblet til nettet, var spillet ude, uanset hvor fornemt resten var beskyttet.
Derfor er der også sikkerhedsfolk, som mener, at hver enkelt pc skal forsynes med en personlig firewall, så virussen, der smuttede ind på nettet via en inficeret bærbar, ikke smitter videre.
Sættes i karantæne
Det allerbedste ville være, om en smittet pc blev nægtet adgang til nettet. Ligeså hvis dens forsvar ikke var tilstrækkeligt opdateret. Og en computer, som er på nettet, skal vippes af, hvis en scanning viser, at det halter med de sikkerhedsmæssige ajourføringer.
Det er da også målet for flere af aktørerne i sikkerhedsbranchen. På dette område ses blandt andet et samarbejde mellem antivirus-firmaet Trend Micro og Cisco, der producerer netværksknudepunkter i form af routers og switches samt firewalls.
Ifølge Cisco skal der flyttes langt mere sikkerhedsmæssig intelligens ud i netværket.
- Jo tidligere, vi kan fange og eliminere problemerne, jo bedre, siger Henrik Ballermann, teknisk chef hos Cisco i Danmark.

Boks:
Sørgelige kendsgerninger
• Code Red fordoblede infektionsraten hvert 37. minut. Slammer klarede det på blot 8,5 sekunder, og efter ti minutter var 90 procent af alle ubeskyttede servere smittet.
• Blaster raserede netværk verden over blot 27 dage efter, at sårbarheden var blevet offentligt kendt. For Sasser gik der 17 dage, mens Witty var ude efter en dag.
• Da My Doom toppede, var en ud af 12 e-mails inficeret.
Kilde: Symantec/IDG




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere