»Blutige Selbjustiz«. »Paranoider Deutschenmoerder kommt in Psychiatrie«. Så blodigt lyder det, når Sober.P-ormen udsender højreorienteret propaganda på email til danske indbakker i disse dage.
Ormen, der i starten af maj plagede Danmark med et historisk udbrud, var ellers holdt op med at sprede sig, men ifølge sikkerhedsekspert Peter Kruse fra CSIS, har ormen blot ligget i dvale.
»Det er faktisk ret fikst lavet. Forfatteren har lavet en udløbsdato, hvorefter ormen ikke længere ville sprede sig. Men den vil stadig være på computeren og forsøge at forbinde til fem domæner, hvorfra den vil forsøge at hente en binær fil, og det er helt op til forfatteren, hvornår den fil skal hentes, og hvilken handling, den skal udføre,« siger han til ComON.
Han forklarer, at ormen arbejder med en såkaldte »Network Time Protocol«, NTP, således at tiden er synkroniseret på alle maskiner. Herved kan forfatterne af ormen styre ormen 100 procent.
Peter Kruse vurderer, at forfatteren bag ormen sidder i enten Tyskland eller Østrig og er højreorienteret.
Chefkonsulent ved DK•Cert, Preben Andersen, er dog ikke sikker på, at personen bag er højreorienteret.
»Der er jo også nogle, der er ude på at genere de højreorienterede, der er jo også den mulighed, at det er nogle af dem, der står bag,« siger han til ComON.
Han mener, at den »fikse« orm er en del af et billede, man må vende sig til.
»Tendensen er, at orme og vira bliver mere og mere intelligente. Vi er inde i en endeløs spiral,« siger han.
Ifølge ham har vira og orme tidligere været brugt til at udbrede propaganda.
»Der har været andre lignende budskaber. De mest almindelige er opfordringer til ulovligheder, som for eksempel phishing. Det vi ser lige nu er en del af den hverdag, vi skal lære at leve med,« siger han.
Ifølge Peter Kruse har tidligere versioner af Sober-ormen været brugt til at sprede højreorienteret propaganda.
Han fortæller, hvordan man kan beskytte sig mod ormen.
»Der er jo den gyldne regel ikke at åbne vedhæftede filer, man ikke ved hvad er, og hvor emailen indeholder tekst på et andet sprog. Derudover skal man også være opmærksom på vedhæftede pakkede filer i formater som for eksempel zip og rar,« siger han og forklarer, at man derudover skal have naturlig skepsis og selvfølgelig et opdateret system.
Det er Preben Andersen enig i.
»Man kan beskytte sig ved at være opdateret på sit system. Det er den helt store humle ved it-sikkerheden. 90 procent af de problemer, der er i øjeblikket, kan man omgå ved at have et opdateret system, og det er jo ret meget,« siger han.
Er Sober.P først kommet ind på system, er det dog straks sværere at slippe af med ormen.
»Når ormen først er blevet afviklet på et system, har den en række funktioner inkluderet, der fjerner blandt andet antivirus, firewall og sikkerhedsprogrammer,« siger Peter Kruse.
»Er et system blevet inficeret er der ikke meget andet at gøre end at omformatere computeren. Det understreger endnu engang vigtigheden ved brug af backups,« siger han.
En computer er først inficeret med Sober.P-ormen i det øjeblik, brugeren eksekverer den vedhæftede fil.
Premium
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?