Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 9. september 2005.
Et dansk it-sikkerhedsselskab har tæt på danmarksrekord i røde øren. En ansat klikkede på et link i en chat-besked fra en god bekendt, men intet skete. Kort tid efter indløb der imidlertid et lind strøm af henvendelser fra de andre på hans chat-kontaktliste. "Hvorfor sendte du os den besked?" lød det typiske spørgsmål.
Vor mand i sikkerhedsfirmaet var godt i gang med at smitte alle på sin kontaktliste - kunder, leverandører, venner, familie - med ondartet kode.
Denne hændelse fra det virkelige liv er på ingen vis usædvanlig. Smitte via de små, øjeblikkelige chat-beskeder - via instant messaging (IM) - er i fuld gang. Det usædvanlige er imidlertid, at de fleste af landets virksomheder er lige så uforberedte på angreb via chat, som de var for ti år siden mod angreb via e-mails.
Sådan lyder vurderingen fra en række sikkerhedseksperter, som Computerworld har været i kontakt med. Mens e-mailserveren er beskyttet som et fort, og e-mail-brug er reguleret af sikkerhedspolitikken, hersker der stadig wild west-tilstande for instant messaging. Det på trods af, at brugen er overmåde populær blandt ansatte - også til arbejdsbrug. Det viser en barometermåling, som Computerworld.dk har foretaget.
Som det fremgår af diagrammet på side to i denne avis, chatter hele 55 procent af de 6.000 personer, der har svaret. Kun 9 procent bruger udelukkende chat til privat brug. Med til billedet hører, at profilen af den typiske læser af Computerworld.dk er: en mand i 30'erne, bosat i hovedstadsområdet, daglig bruger, og brugen er erhvervsmæssigt betinget.
Selv om det ikke er en videnskabelig undersøgelse, vinder den genklang hos sikkerhedseksperterne.
- Virksomhederne har ikke forstået omfanget af brugen, og udbredelsen af IM-brugen sker langt hurtigere, end det skete med mail, hvor virksomhedens it-afdeling stort set altid måtte involveres, siger Steen Petersen, sikkerhedsarkitekt hos Ementor.
Hos eSec, der scanner mails for op mod 80 virksomheder, lyder samme vurdering:
- Vi kan se, at der er øget brug af chat på netværket, og at der er angreb, der lykkes ad den vej, fortæller administrerende direktør Ole Smitto.
Hos en af eSecs kunder kom smitten ind via MSN Messenger. En ansat blev mødt af en chatbesked fra en god ven, da han mandag morgen tændte for pc'en. "Tjek det her. Det er spændende som ind i h ...", lød essensen af den engelske tekst.
Men klikket på lænken inficerede brugerens pc med et stykke kode, som ikke alene slog antivirus fra, men også andre sikkerhedsrelaterede opdateringer. Koden med navnet Tixanbots egentlige mission var imidlertid at åbne en "bagdør", så bagmanden kan overtage kontrollen med pc'en og måske bruge den som led i et koordineret kæmpeangreb.
- Brugeren trykkede på lænken, selv om den var på engelsk, fordi beskeden kom fra en person, han stoler på, siger Ole Smitto.
Ifølge Ementors Steen Pedersen skyldes den uforsigtige omgang med instant messaging, at tilliden til den kommunikationsform endnu ikke har fået det knæk, som tilliden til e-mails for længst har fået.
- Oveni kommer, at vi efterhånden alle ved, at man ved e-mails kan spoofe - altså gemme sig bag en tilforladelig afsender såsom en bank. Men det kan man endnu ikke med chat, siger Steen Pedersen.
Det har ikke været muligt at få nogen af de ramte firmaer til at stå frem. Enkelte firmaer har dog truffet deres forholdsregler gennem et klart forbud mod chatsoftware. Det gælder for eksempel revisions- og rådgivningsfirmaet KPMG, der til gengæld ser angreb hos sine kunder.
- Normen i den sikkerhedspolitik, som vi ser, er, at man skriver noget om e-mails, men langtfra altid noget om chat, fortæller Carsten Heilbuth, partner hos KPMG og øverste ansvarlige for it-sikkerhedsrådgivningen.
Også hos Novo Nordisks it-selskab, NNIT, er det forbudt at bruge instant messaging, og det er ikke muligt for de ansatte at downloade chatsoftware på pc'erne. Men der vil blive åbnet for den nye, øjeblikkelige kommunikationsform.
- Vi er i gang med et projekt, hvor hele messaging-siden sikres i lige så høj grad som mail-siden, oplyser Torben Skriver Frandsen, direktør for NNIT.
Boks:
Sagt om instant messaging
"Vi ser ondartet kode, der kommer ind via e-mails, bruge chatprotokollen - Internet Relay Chat - til kommunikationen med "generalen" - den, der efterfølgende overtager styringen af pc'en. Det var for eksempel tilfældet med Zotob-ormen, der også hærgede i danske virksomheder."
Ken Willén, sikkerhedsekspert hos Symantec.
"Vi kender endnu ikke til angreb på danske kunder, men de kommer uden tvivl, hvis man tillader brugen af point-to-point (pc til pc, red.) chat. Man bør bruge en serverbaseret løsning."
Martin Grundtvig, leder af IBM's sikkerhedsgruppe på 300 mand.
Boks:
Instant messaging
Hvor e-mail er en asynkron kommunikationsform, er chat en synkron - øjeblikkelig. En anden forskel er, at man kan altid se på sin "buddy list" - kontaktliste - hvem af dem, man normalt chatter med, som er online lige nu. Altså, om man overhovedet kan nå personen lige nu.
Der findes flere produkter til instant messaging (IM) på markedet, og da de i modsætning til mailprodukter ikke kan kommunikere indbyrdes, er det ikke usædvanligt, at folk har flere chatprogrammer åbne på deres pc'er.
Oprindeligt var ICQ giganten, hvad angår software. ICQ blev senere købt af AOL (America Online), der i dag hører til blandt giganterne lige som Microsoft, der blandt andet har MSN Messenger. Også Yahoo har chat, og søgesuccesen Google er netop gået ud med tilbudet. Dertil kommer, at Skype, hvis IP-telefoni bruges af millioner, også arbejder på at udbrede brugen af sin chat.
Ti gange så mange angreb
Mængden af angreb via chatsoftware er eksploderet i 2005. Ifølge det amerikanske it-sikkerhedssselskab IMlogic var der ved udgangen af august konstateret ti gange flere slags trusler end i hele 2004. IMlogic, der er specialiseret i instant messaging, har flere af USA's allerstørste virksomheder i kundekredsen.
60 procent af alle angreb er skræddersyet til Microsofts chatsoftware, 33 procent til AOL's produkt og 7 procent til Yahoos, oplyser IMlogic. Over 1.000 forskellige typer angreb via IM og anden peer-to-peer-brug er konstateret i 2005.
Kontrol med instant messaging
Anvendelsen af instant messaging (IM) bør håndteres som anvendelsen af e-mail, det vil sige med en central, dedikeret server i centrum, og der skal blokeres for direkte (pc til pc) IM.
Via messenger-servere kan man kontrollere, hvem der har adgang til IM, hvornår de har adgang, og hvilket indhold (vedhæftede filer, links m.v.) der må være på indgående og udgående beskeder. I Microsoftmiljøet vil Microsofts Live Commmunication Server kunne håndtere de mest brugte IM-produkter. Der findes også separat IM-server til IBM Notes-miljøet.
Disse servere skal ligesom mail-servere beskyttes med antivirus-software med mere.
Kilde: Sikkerhedsarkitekt Steen Pedersen, Ementor.