Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. oktober 2004.
intet er sikkert: Det ændrede trusselsbillede gør, at de klassiske forsvarsværker skal suppleres med nye lag sikkerhed.
Alt for få dage forløber uden nye uheldsvangre informationer på sikkerhedsfronten. En dag byder på en ny orm, der forhindrer fjernelse af sig selv, og næste dag gælder det et teleselskabs konstatering af, at tusindvis af pc'er hos intetanende brugere er "sovende agenter" for hackere.
Dertil kommer alle de nye mutationer af kendte vira og orme. Tidligere var de måneder om at sprede sig, nu tælles dagene og snart kun minutterne. Og så er der alle "de første" - de første stykker ondartet kode rettet mod helt nye områder.
Intet er sikkert længere. Mobiltelefonen er ikke længere fredet land, ej heller Intels nye familie af 64 bit-mikroprocessorer. E-mail har længe været akilleshælen. Instant Messaging (øjeblikkelige beskeder) nærmer sig samme farekategori, og nu begynder advarselslamperne at blinke for IP-telefoni. Oveni er der alle de gamle problemer, der rækker lige fra sårbarheder i Internet Explorer til misbrug af peer-to-peer-teknologi - en pc til pc-kontakt.
Faktum er, at it-installationernes klassiske ydre forsvarsværk, firewall'en, ikke længere altid slår til. Det samme gælder det klassiske indre forsvarsvæk i form af et antivirusprogram.
Kurs mod port 80
Firewall'en - ydermuren, der beskytter mod angreb fra internettet - er porøs, og det skal den være, for ellers kunne vi hverken browse internettet eller sende en e-mail.
Hackerne retter i dag især opmærksomheden mod de porte, som, de ved, står åbne såsom port 80. Det er porten, som pr. automatik benyttes til kontakten mellem pc'en og en webside. Også port 25, der bruges af e-mail-programmer, er et yndet angrebsmål.
- Derfor er det vigtigt, at man kigger lidt dybere i, hvad der flyder igennem de meget anvendte porte, siger Christian Bjørn, der er sikkerhedskonsulent hos Check Point, en af de store leverandører af firewalls.
Applikationer i farezonen
Det er først og fremmest applikationerne, hackerne i dag retter deres angreb mod, mens det tidligere var styresystemet og dets håndtering af datapakkerne på netværket. Lige nu forsøger hackerne typisk at bruge den søgeboks, som findes på de fleste websider, for at stikke snablen ned i databasen.
Når den "rigtige" bruger taster nogle ord ind i søgefeltet, ender ordene typisk i en forespørgsel til en database - en stump kode. Men hackeren skriver selv en stump kode ind i søgefeltet, og den udløser hen ad vejen information, der hjælper ham på vej.
Derfor skal firewall-teknologien kigge dybere på, hvad der kommer ind, og det kaldes også "deep packet inspection".
Både Check Point og Juniper har funktionalitet, og den tredje store firewall-leverandør, Cisco, er på vej med funktionaliteten.
Men selv den dybe inspektion hjælper ikke, hvis skurken sender sin ondartede kode krypteret og beskyttet via en VPN-forbindelse (Virtual Private Network).
Stopper indbrudstransaktionen
Svigter firewall'en, kan næste stopklods være Intrusion Detection (ID) - software, der opdager, hvis der er sket "indbrud" - på netværket eller serveren. Skridtet videre går man med Intrusion Protection (IP). Her er softwaren ikke alene på udkig efter indbrud, men blokerer også for den mistænkelige transaktion.
Disse produkter kan imidlertid også blive snydt. Et af de alvorligere problemer er, at de ofte handler "overilet" på transaktioner, der faktisk er ok, hvilket vækker irritation ikke alene hos sikkerhedsfolkene, men også hos slutbrugerne. I værst fald slukkes for varslerne.
Klassikeren, antivirusprogrammet, fanger de vira og orme, hvis karakteristika man kender, og rydder op efter dem. Kommer der en ny type ondartet kode, hvis konstruktion ikke genkendes, slipper den igennem. Først når antivirus-firmaerne har fået gennemanalyseret denne type og opdateret virus-definitionerne, og måske tilmed programmet, kan der sættes en stopper for den nye trussel.
Et andet klassisk problem med antivirus hænger sammen med den udstrakte brug af bærbare computere. Et konkret angreb, der har ramt en dansk virksomhed, illustrerer problemet:
En medarbejder, der kommer fra ferie, kobler sig på arbejdspladsen - altså bag firewall'en, med sin bærbare på nettet, men den er inficeret. Ormen klatrer ud på nettet og inficerer alle pc'er. Miseren ligger i, at den bærbare grundet ferien ikke var blevet forsynet med de seneste virusdefinitioner.
Læren af både Slammer og Blaster var, at hvis blot én dårligt konfigureret computer var koblet til nettet, var spillet ude, uanset hvor fornemt resten var beskyttet.
Derfor er der også sikkerhedsfolk, som mener, at hver enkelt pc skal forsynes med en personlig firewall, så virussen, der smuttede ind på nettet via en inficeret bærbar, ikke smitter videre.
Sættes i karantæne
Det allerbedste ville være, om en smittet pc blev nægtet adgang til nettet. Ligeså hvis dens forsvar ikke var tilstrækkeligt opdateret. Og en computer, som er på nettet, skal vippes af, hvis en scanning viser, at det halter med de sikkerhedsmæssige ajourføringer.
Det er da også målet for flere af aktørerne i sikkerhedsbranchen. På dette område ses blandt andet et samarbejde mellem antivirus-firmaet Trend Micro og Cisco, der producerer netværksknudepunkter i form af routers og switches samt firewalls.
Ifølge Cisco skal der flyttes langt mere sikkerhedsmæssig intelligens ud i netværket.
- Jo tidligere, vi kan fange og eliminere problemerne, jo bedre, siger Henrik Ballermann, teknisk chef hos Cisco i Danmark.
Boks:
Sørgelige kendsgerninger
• Code Red fordoblede infektionsraten hvert 37. minut. Slammer klarede det på blot 8,5 sekunder, og efter ti minutter var 90 procent af alle ubeskyttede servere smittet.
• Blaster raserede netværk verden over blot 27 dage efter, at sårbarheden var blevet offentligt kendt. For Sasser gik der 17 dage, mens Witty var ude efter en dag.
• Da My Doom toppede, var en ud af 12 e-mails inficeret.
Kilde: Symantec/IDG