Ansattes chat afslører store sikkerhedshuller

Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 9. september 2005.


Et dansk it-sikkerhedsselskab har tæt på danmarksrekord i røde øren. En ansat klikkede på et link i en chat-besked fra en god bekendt, men intet skete. Kort tid efter indløb der imidlertid et lind strøm af henvendelser fra de andre på hans chat-kontaktliste. "Hvorfor sendte du os den besked?" lød det typiske spørgsmål.
Vor mand i sikkerhedsfirmaet var godt i gang med at smitte alle på sin kontaktliste - kunder, leverandører, venner, familie - med ondartet kode.

Denne hændelse fra det virkelige liv er på ingen vis usædvanlig. Smitte via de små, øjeblikkelige chat-beskeder - via instant messaging (IM) - er i fuld gang. Det usædvanlige er imidlertid, at de fleste af landets virksomheder er lige så uforberedte på angreb via chat, som de var for ti år siden mod angreb via e-mails.
Sådan lyder vurderingen fra en række sikkerhedseksperter, som Computerworld har været i kontakt med. Mens e-mailserveren er beskyttet som et fort, og e-mail-brug er reguleret af sikkerhedspolitikken, hersker der stadig wild west-tilstande for instant messaging. Det på trods af, at brugen er overmåde populær blandt ansatte - også til arbejdsbrug. Det viser en barometermåling, som Computerworld.dk har foretaget.
Som det fremgår af diagrammet på side to i denne avis, chatter hele 55 procent af de 6.000 personer, der har svaret. Kun 9 procent bruger udelukkende chat til privat brug. Med til billedet hører, at profilen af den typiske læser af Computerworld.dk er: en mand i 30'erne, bosat i hovedstadsområdet, daglig bruger, og brugen er erhvervsmæssigt betinget.
Selv om det ikke er en videnskabelig undersøgelse, vinder den genklang hos sikkerhedseksperterne.
- Virksomhederne har ikke forstået omfanget af brugen, og udbredelsen af IM-brugen sker langt hurtigere, end det skete med mail, hvor virksomhedens it-afdeling stort set altid måtte involveres, siger Steen Petersen, sikkerhedsarkitekt hos Ementor.

Hos eSec, der scanner mails for op mod 80 virksomheder, lyder samme vurdering:
- Vi kan se, at der er øget brug af chat på netværket, og at der er angreb, der lykkes ad den vej, fortæller administrerende direktør Ole Smitto.
Hos en af eSecs kunder kom smitten ind via MSN Messenger. En ansat blev mødt af en chatbesked fra en god ven, da han mandag morgen tændte for pc'en. "Tjek det her. Det er spændende som ind i h ...", lød essensen af den engelske tekst.
Men klikket på lænken inficerede brugerens pc med et stykke kode, som ikke alene slog antivirus fra, men også andre sikkerhedsrelaterede opdateringer. Koden med navnet Tixanbots egentlige mission var imidlertid at åbne en "bagdør", så bagmanden kan overtage kontrollen med pc'en og måske bruge den som led i et koordineret kæmpeangreb.
- Brugeren trykkede på lænken, selv om den var på engelsk, fordi beskeden kom fra en person, han stoler på, siger Ole Smitto.

Ifølge Ementors Steen Pedersen skyldes den uforsigtige omgang med instant messaging, at tilliden til den kommunikationsform endnu ikke har fået det knæk, som tilliden til e-mails for længst har fået.
- Oveni kommer, at vi efterhånden alle ved, at man ved e-mails kan spoofe - altså gemme sig bag en tilforladelig afsender såsom en bank. Men det kan man endnu ikke med chat, siger Steen Pedersen.

Det har ikke været muligt at få nogen af de ramte firmaer til at stå frem. Enkelte firmaer har dog truffet deres forholdsregler gennem et klart forbud mod chatsoftware. Det gælder for eksempel revisions- og rådgivningsfirmaet KPMG, der til gengæld ser angreb hos sine kunder.
- Normen i den sikkerhedspolitik, som vi ser, er, at man skriver noget om e-mails, men langtfra altid noget om chat, fortæller Carsten Heilbuth, partner hos KPMG og øverste ansvarlige for it-sikkerhedsrådgivningen.

Også hos Novo Nordisks it-selskab, NNIT, er det forbudt at bruge instant messaging, og det er ikke muligt for de ansatte at downloade chatsoftware på pc'erne. Men der vil blive åbnet for den nye, øjeblikkelige kommunikationsform.
- Vi er i gang med et projekt, hvor hele messaging-siden sikres i lige så høj grad som mail-siden, oplyser Torben Skriver Frandsen, direktør for NNIT.

Boks:
Sagt om instant messaging
"Vi ser ondartet kode, der kommer ind via e-mails, bruge chatprotokollen - Internet Relay Chat - til kommunikationen med "generalen" - den, der efterfølgende overtager styringen af pc'en. Det var for eksempel tilfældet med Zotob-ormen, der også hærgede i danske virksomheder."
Ken Willén, sikkerhedsekspert hos Symantec.

"Vi kender endnu ikke til angreb på danske kunder, men de kommer uden tvivl, hvis man tillader brugen af point-to-point (pc til pc, red.) chat. Man bør bruge en serverbaseret løsning."
Martin Grundtvig, leder af IBM's sikkerhedsgruppe på 300 mand.

Boks:
Instant messaging
Hvor e-mail er en asynkron kommunikationsform, er chat en synkron - øjeblikkelig. En anden forskel er, at man kan altid se på sin "buddy list" - kontaktliste - hvem af dem, man normalt chatter med, som er online lige nu. Altså, om man overhovedet kan nå personen lige nu.

Der findes flere produkter til instant messaging (IM) på markedet, og da de i modsætning til mailprodukter ikke kan kommunikere indbyrdes, er det ikke usædvanligt, at folk har flere chatprogrammer åbne på deres pc'er.

Oprindeligt var ICQ giganten, hvad angår software. ICQ blev senere købt af AOL (America Online), der i dag hører til blandt giganterne lige som Microsoft, der blandt andet har MSN Messenger. Også Yahoo har chat, og søgesuccesen Google er netop gået ud med tilbudet. Dertil kommer, at Skype, hvis IP-telefoni bruges af millioner, også arbejder på at udbrede brugen af sin chat.

Ti gange så mange angreb
Mængden af angreb via chatsoftware er eksploderet i 2005. Ifølge det amerikanske it-sikkerhedssselskab IMlogic var der ved udgangen af august konstateret ti gange flere slags trusler end i hele 2004. IMlogic, der er specialiseret i instant messaging, har flere af USA's allerstørste virksomheder i kundekredsen.

60 procent af alle angreb er skræddersyet til Microsofts chatsoftware, 33 procent til AOL's produkt og 7 procent til Yahoos, oplyser IMlogic. Over 1.000 forskellige typer angreb via IM og anden peer-to-peer-brug er konstateret i 2005.

Kontrol med instant messaging
Anvendelsen af instant messaging (IM) bør håndteres som anvendelsen af e-mail, det vil sige med en central, dedikeret server i centrum, og der skal blokeres for direkte (pc til pc) IM.

Via messenger-servere kan man kontrollere, hvem der har adgang til IM, hvornår de har adgang, og hvilket indhold (vedhæftede filer, links m.v.) der må være på indgående og udgående beskeder. I Microsoftmiljøet vil Microsofts Live Commmunication Server kunne håndtere de mest brugte IM-produkter. Der findes også separat IM-server til IBM Notes-miljøet.

Disse servere skal ligesom mail-servere beskyttes med antivirus-software med mere.

Kilde: Sikkerhedsarkitekt Steen Pedersen, Ementor.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere