Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. oktober 2004.
It-sikkerhedsfirmaerne har fokus på at komme et par skridt foran dem, der sviner nettet til med ondartet kode og spam.
Nutidens forsvarsværker mod angreb rendes over ende. Derfor løber både de etablerede sikkerhedsfirmaer og de unge samme vej. Det gælder om at kunne handle på forkant i stedet for på bagkant. Proaktivt i stedet for reaktivt.
Men det gælder også om at give slutkunderne langt bedre værktøjer til løbende og lynhurtigt at identificere risici og minske disse, før hackerne når at udnytte nyopdagede sårbarheder. Og slutkunderne skal have værktøjer, der sorterer støj fra væsentlig information, når det gælder logfiler og varsler.
Her præsenteres et lille udsnit af de tiltag, som er lige på trapperne. Og nogle af dem, der har taget det første skridt ud i den virkelige verden.
Symantec: Før ulykken sker
Hos verdens største it-sikkerhedsselskab, Symantec, samler man analytikere og udviklingsfolk, så snart selskabet har fået viden om en ny sårbarhed.
- Vi ser nærmere på, hvad koden, der skal udnytte hullet, sandsynligvis vil gøre - trin for trin - og vor software holder udkig efter det, siger Peter Michael Jensen, adm. dir. for Symantec i Danmark.
Denne form for forebyggelse kalder Symantec for Generic Exploit Blocking. Funktionaliteten kom i august i et enkelt produkt, men vil blive integreret i alle produkter.
Allerede i dag hæfter af selskabets antivirusprodukter sig ved tegn på unormal opførsel, og standser den. Det sker for eksempel, hvis et program begynder at fyre masser kopier af sig selv af sted. Funktionaliteten Behaviour Blocking vil fremover skulle fange endnu mere.
Reglerne for, hvorledes en transaktion skal se ud - det være sig en http eller en anden - er grundlag for en tredje forsvarsteknologi. På "ydersiden" ser datastrømmen måske korrekt ud, men hackerne lægger ting indeni, som ikke hører til. Teknologien Protocol Anomaly Detection - andre steder kaldet Deep Packet Inspection - ville have fanget Code Red, Slammer og Blaster. Symantec har teknologien i visse produkter, men vil udbrede den.
Billedtekst: - Mange af vore nye teknologier er på vej ud på markedet, men endnu leder vi efter teknologi til at håndtere sikkerheden ved webservices, siger Peter Michael Jensen, adm. dir. Symantec. Webservices er betegnelsen for de tjenester, som en computer kan anmode en anden om uden menneskelig indblanding, og det kan være alt fra kreditvurdering til adresseopslag.
Microsoft: Summen af fire ting
For Microsoft hviler fremtidens sikkerhed på fire søjler: Forbedrede patchrutiner. Mindre spam. Forbedret systemadministration. Og så skal sikkerhed højere op på dagordenen på de bonede gulve, oplyser Ole Kjeldsen, teknisk chef for storkundegruppen hos Microsoft Danmark.
Ifølge Ole Kjeldsen er patchrutinerne især i fokus i den store forskningsafdeling, Microsoft Research.
På spamsiden forsøger softwaregiganten at få samlet hele industrien om, at der skal en afsender-ID på mails, så modtagere kan vælge kun at modtage mails fra "godkendte" afsendere. Ole Kjeldsen kalder funktionaliteten en slags "Reklamer Nej Tak".
Og så skal der sættes ind fra første kodelinie. Applikationer bør kodes med tanke på systemadministrationen. Hvis en applikation begynder at trække på andre end de ressourcer, som udvikleren har givet grønt lys for, skal der varsles. Microsoft tager selv hul på denne side med næste version af Visual Studio-udviklingsværktøjet, der bærer kodenavnet Whidbey. Men også dette initiativ kræver bred opbakning fra it-industrien.
HP: Vira tvinges i kø
Hewlett-Packard tager med en ny teknologi udgangspunkt i det beklagelige faktum, at ondartet kode indimellem slipper igennem alle værn. Når uheldet er sket - måske grundet en menneskelig fejl - gælder det til gengæld om at forhindre den lynhurtige spredning.
- Virussen skal kvæles. Dens evne til at sprede sig skal standses, siger Tony Redmond, der er teknologidirektør for HP's service- og sikkerheds programkontor.
Teknologien der kaldes Throttling (kvælning) fungerer ved at sætte en begrænsing på, hvor mange beskeder en computer må sende videre i sekundet. Virus-beskederne må derfor stå i kø og vente og i mellemtiden kan redningsarbejdet indledes.
Throttling-teknologien er netop smuttet ud fra laboratorierne til virkeligheden, når det gælder Unix-systemer. På Windows er der opstået uforudsete vanskeligheder, men ifølge Tony Redmond arbejder HP videre på at løse problemet.
Billedtekst:
- Siden 2002 har vi scannet vores eget net og dermed 250.000 systemer to gange dagligt for sårbarheder, som kunne udnyttes. Er der problemer, varsles den pågældende systemadministrator, og i værste fald smider vi den sårbare enhed af nettet. Den funktionalitet er vi netop begyndt at tilbyde eksternt, siger Tony Redmond, teknologidirektør hos Hewlett-Packard.
IBM: Algoritmer mod spam
Spam-bekæmpelse er svaret, når man spørger IBM Danmark om væsentlige forskningsindsatser vedrørende fremtidens værn. Spam koster produktivitet, båndbredde og værst af alt, tab af beskeder, der er valide og måske tilmed rummer afgørende information.
IBM har samlet forskere fra forskellige forskningsområder for at få den ultimative spam-bekæmpelse på banen. En prototype med navnet SpamGuru rummer en algoritme, Chung-Kwei, der oprindeligt er udviklet til gen- og protein-identifikation. I IBM-laboratoriet klarede Chung-Kwei at fange 96,56 procent af den spam, der var i en maildatabase med i alt 87.000 valide mails og spammails. Kun 0,066 blev fejlagtigt identificeret som spam, og det er lovende. Nutidens spamfiltre sorterer for mange valide mails fra.
Chung-Kwei er imidlertid blot én ud af flere algoritmer og andre filtreringsmekanismer, der vil indgå i SpamGuru. Ifølge IBM klassificerer prototypen omkring 200 beskeder pr. sekund på en 2,2 gigahertz Intel-platform.
Lovende iværksættere
It-sikkerhed er i fokus hos flere helt nye, dygtige amerikanske virksomheder, og mange udspringer af universitetsforskning. Faktisk udgør sikkerhedsspirerne over en tiendedel af de virksomheder, der er med på en Top100-liste over "Best in innovation". Listen er udarbejdet af KPMG i samarbejde med mediet Always On.
Flere af dem går nye veje for at opdage vira. De baserer ikke deres værn på de såkaldte virus-signaturer, der jo forudsætter, at man har set den pågældende virus før.
Men de unge iværksætterfirmaer byder på mere end det. Tjek for eksempel forescout.com, der vil forhindre, at ormeangreb sætter en stopper for driften, wholesecurity.com, der scanner mobile enheder, før de får lov til at logge sig på firmaets netværk. Tjek også ironport.com, der forudser virusangreb.
Blandt bemærkelsesværdige iværksætterfirmaer er også ncircle.com, hvis patchmanagement pr. automatik holder styr på, hvad der er koblet på nettet og disse enheders specifikke sårbarheder. Også everbee.com er værd at tage et kig på. Selskabet leverer en USB-dims, der rummer en personlig firewall, antivirus og andet godt - uden at nødvendiggøre ekstra installation af software på pc'en.
På skyboxsecurities.com kan man se hele sin installation gennem hackernes øjne. Det er software, der simulerer konsekvenserne af et angreb ud fra, hvad man har på nettet, ens sikkerhedsprodukter og ens sikkerhedspolitik. Determina.com, som udspringer fra forskning på Massachusetts Institute of Technology, byder på værn mod angreb, der retter sig mod memory såsom buffer overflows.
