Klumme: Året 2007 set i bakspejlet

Tonny Bjørn fra sikkerhedsfirmaet Virus112 gør i denne klumme status over de mest udbredte sikkerhedsproblemer i året der gik.

Skal det forgangne år summeres op med få ord, vil anonymitet, botnet, 0-Day, trojan, rootkit og spam være de mest fremtrædende. Men også SQL Injection og Cross Site Scripting skal nævnes i denne sammenhæng. Generelt set kan man sige, at sårbarheder blev udnyttet meget mere målrettet, i året der gik.

Året 2007 har været et travlt år. Antallet af sårbarheder har måske været konstant i forhold til de forgange år, men udnyttelsen af dem har været både målrettet og prompte. Dette har blandt andet medført, at bot netværkene er vokset og nu reelt udgør en trussel mod it-sikkerheden.

Forsigtige gisninger har angivet, at mellem 1 og 1,5 millioner computere på verdensplan er 'ejet' af Botnet bagmænd. Virus112 har blandt andet været med til at finde frem til Russiske servere, der kontrollerede et ukendt antal bots.

Bot-netværkenes styrke ligger ikke kun i deres store antal, men i særdeleshed også i den omstillingsparathed disse Super Bots giver. De er designet til at kunne bruges til alt fra direkte hacking, udsendelse af spam, Denial of Service (DoS) angreb til simpel keylogging. Oftest er de kun en opdatering væk fra at kunne håndtere ny funktionalitet.

De tidlige og mere simple botnet var hierarkisk opbyggede. Bagmændene udsendte kommandoer fra et centralt sted, som gradvist forplantede sig ud i strukturen. Herefter gik deres elektroniske soldater i gang med at udføre ordren. Kunne man bryde et lag i strukturen, ville dele af bot-netværket være passivt.

De senere versioner er dog mere intelligente og benytter en form for Peer-2-Peer funktionalitet. De kan
kommunikere med 'naboen' og selv udgøre en server, hvor andre eller nyerhvervede bots kan blive opdateret. Afbrydes den direkte kommandovej til bagmanden, da vil disse bots forsøge at gøre opmærksom på deres eksistens via forud-programmerede regler. De er dog stadig passive soldater, men nærmer sig en eliteenhed hvor der arbejdes indenfor fastlagte rammer.

0-Day Exploits

Begrebet '0-Day exploit' er egentlig en misvisende betegnelse. Det beskriver, at samme dag en
sårbarhed er fundet, så bliver den publiceret og udnyttet. I mange tilfælde forholder det sig dog helt anderledes. Størstedelen af de sårbarheder der rapporteres ud offentligt, er meddelt producenten langt tidligere.

Eksempelvis tog det Microsoft over 6 måneder at komme med en rettelse til en DNS server sårbarhed, der muliggjorde DNS cache poisoning angreb. Microsoft blev informeret i april måned 2007, men patchen kom først i slut november 2007. Adobe var også i ilden med PDF sårbarheden i september måned 2007 - og her kom der først en egentlig rettelse 32 dage senere.

I folkemunde forstås 0-Day Exploit dog lidt anderledes. Her er det fra en sårbarhed publiceres på nettet, til en horde af hackere og script-kiddies begynder at udnytte den. Her er PDF-sagen, hvor skadelig kode kunne afvikles gennem PDF filer, et rigtig godt eksempel. Allerede dagen efter at Adobe publicerede rettede versioner af deres software, indløb de første rapporter om at skadelige PDF filer var i omløb. Det store spørgsmål er så, om det skyldes at folk fik opgraderet til en rettet version, at det i hele taget blev opdaget.

En dansk virksomhed nåede at blive ramt og fortalte om det offentligt. Det samlede tab sneg sig op på 2,6 millioner kroner. Det blev sandsynligvis kun stoppet, da et "muldyr" fik dårlig samvittighed og var med til at stoppe svindlen.

En ting er dog sikkert, at uanset hvordan begrebet 0-Day Exploits tolkes, så er og vil det også være en del af 2008. Der er oven i købet oprettet websites, hvor det er muligt at købe og byde på exploits til forskellige produkter i stil med eBay og QXL. Og så længe der er en økonomisk gevinst at hente, vil det være attraktivt.

En rød tråd i størstedelen årets sårbarheder er, at de findes i software som mange benytter i forskellig
regi. Det er for eksempel sårbarheder i plug-ins til de mest benyttede browsere, som bruges til at inficere en brugers pc med malware.

Kan man ramme slutbrugeren, så er vejen oftest også åben ind til virksomheden. Det er bestemt ikke gået ubemærket hen i hackerkredse - ej heller for de bagmænd der styrer de store botnet. Det svageste led i kæden, hvor den største volumen også findes, vil altid være det foretrukne mål.

Website sårbarheder

2007 blev også året, hvor Danmark så et ægte phishing site. En ung studerende fik efter sigende stjålet
sin identitet og stod med ét som ejer af et domæne, der var en kopi af den rigtige PayPal side. På siden forsøgte man at lokke kreditkort- og personoplysninger ud af de besøgende.

Et stort antal websites verden over blev udsat for Cross Site Scripting (XSS) angreb. Det afledte en stigning i phishing angreb, hvor man tilsyneladende ser siderne fra en ægte service - men i virkeligheden arbejder på en kopi der ligner til forveksling. I andre tilfælde blev XSS brugt til at stjæle login-sessions, således hackeren frit kunne få adgang.

Også hacking af websites ved hjælp af blandt andet SQL Injection så dagens lys i dansk regi. Et større dansk mediehus blev ramt af denne type angreb i slutningen af året, hvilket medførte en nedetid på flere dage, mens der blev ryddet op.

Det kan undre, at der stadig er websites, som er sårbare over for SQL Injection. Med fare for at få en hær af udviklere på nakken - så er det med andre ord oftest dårlig kode (herunder manglende viden), som er årsagen. Manglende inputvalidering åbner op for Injection muligheden.

Et par andre store mediehuse lærte på den hårde måde, at man ikke blindt skal stole på eksterne samarbejds-partnere, men at man bør sætte krav til deres sikkerhed. Specielt hvis man indlemmer deres kode direkte på ens eget website.

Anonym med en bagside

Anonymitet blev også et særdeles varmt emne i 2007. I starten af året sendte IT-Politisk Forening og
fagforeningen PROSA cd'en "Polippix" ud til 12.000 af Prosa's medlemmer. På denne lå programmer til at beskytte sit privatliv og surfe anonymt på internet.
Justitsminister Lene Espersen (K) kritiserede skarpt dette træk, hvilket sandsynligvis hænger sammen med, at det omgår den logningsbekendtgørelse, der trådte i kraft midt i september 2007. Her blev teleudbydere pålagt at logge information i et år.

Intentionen med logningsbekendtgørelsen var at imødekomme og hjælpe med optrevling af eksempelvis terror-, pirat- og børnepornosager. Men er i praksis er de tiltænkte foranstaltninger for lette at omgå eller kamuflere.

Prosa var hurtig på aftrækkeren og tilbød at undervise journalister i at omgå logningen i forbindelse med kildebeskyttelse. Kurserne skulle blandt andet lære journalister at bruge krypteringsnetværket TOR (The Onion Router) til at sikre anonym færden. I slutningen af august 2007 faldt brugen af TOR dog til jorden, da en svensk ekshacker afslørede password og e-mail adresser til 100 forskellige ambassader og regeringsorganer verden over ved hjælp af en veldokumenteret svaghed i TOR netværket.

Ved at sætte TOR exit-nodes op rundt omkring i verden, som dekrypterer data før de sendes til den endelige destination, kunne han direkte filtrere POP3 og SMTP trafik fra. Da denne type kommunikation som standard sender brugernavn, kodeord og indhold i klar tekst - kunne han med lethed læse fortrolige oplysninger.

Han beviste dermed, at dette kunne lade sig gøre uden at hacke - men ved at læse dokumentationen. Det mest skræmmende er, at der findes flere tusinde exit-nodes på nettet, som man ikke kender ejerskabet af. Dette er senere hen udnævnt til "hack of the year".

Truslen fra øst(en)

Selvom rapporter angiver, at størstedelen af verdens hackere har til huse i USA, så har mange af de
angreb som ramte skandinaviske virksomheder primært været fra kinesiske eller russiske hackere. Men
også tyske og tyrkiske hackere har været på spil.
Specielt de kinesiske hackere har været om sig i 2007.

Virus112 har ved flere lejligheder været inde over sager, hvor der ved back-tracing blev fundet frem til de kinesiske servere, der indeholdt den malware, som skulle bruges til videre inficering. Gældende for alle disse scenarier var, at den benyttede kode var gennemtænkt og tydeligvis udarbejdet af personer med indsigt i brugeradfærd og sårbarheder.

Denne trussel skal tages seriøst. Så snart Kinas infrastruktur kommer helt op i omdrejninger, så vil mængden af hackere i eliteklassen stige
drastisk.

Virus, orme og spam

Spammerne led et svigende nederlag midt på året, hvor spamkongen Robert Alan Soloway, som var en af verdens mest aktive og professionelle spammere, blev arresteret. Men den enes død, den andens brød. Russian Business Network (RBN) stod klar i kulissen til at tage over med Storm ormen.

Mængden af spam har generelt set været stødt stigende i hele 2007. Kombinationen af mere intelligente orme og større botnets har resulteret i en gennemsnitlig forøgelse på mere end 90 procent. Det har været måleligt, når et botnet spamangreb blev sat i gang.

Antallet af virus og orme har derimod været nedadgående. Men det skal på ingen måde betragtes som en sejrstale over en slået fjende. For de orme som har nået verden rundt, har til gengæld været mere effektive end tidligere set. Storm ormen er her et godt eksempel.

Udviklerne udnytter blandt andet, at der går en vis tid før antivirusproducenterne har signaturer liggende klar. Alt der behøves er et vindue på nogle få timer, hvor brugerne ikke er beskyttet. Herefter sørger effektive distributionskanaler for (så som botnet), at flere tusinde får en udgave af den seneste orm. Så snart de første signaturer kommer ud - så er angrebet allerede nedadgående eller helt overstået.

Det er sjældent, men ikke ualmindeligt, at der kan være flere timers forskel på frigivelsen af signaturer
producenterne i mellem. Virus112 tager hånd om dette problem ved blandt andet at benytte flere forskellige scannere.

Trojans og droppers

Modsat virus og orme, så lever trojaneren i bedste velgående. Det er hackerens mest effektive værktøj til at komme ind i en virksomhed, og det benyttes også af botnet bagmænd til at få flere i fælden. De introduceres oftest af brugeren selv, ved installering af software som er hentet ned fra nettet. Trojanere kan være gemt i alle typer af programmer, men er typisk pakket ind i software, som appellerer til underholdning (spil) eller til at udføre specielle opgaver (tools).

Så snart programmet er installeret af brugeren, oftest under en administrativ konto, så kan det stille og roligt begynde at arbejde. I bedste fald opdager antivirusprogrammet noget mistænkeligt, hvis det er
opdateret, men somme tider når trojaneren at hente anden malware. Det er derfor helt centralt at holde
sit antivirus program opdateret.

Mere aggressivt malware og exploits

I det hele taget har 2007 vist et glimt af, hvad som venter i 2008. På blot et døgn, hvori denne tekst er
skrevet, er der publiceret to fulde beskrivelser med kode til udførelse af SQL Injection angreb mod to kendte CMS systemer - samt et exploit rettet mod DivX Player 6.6. Og det er på hackersites, som alle kan komme ind på.

Malware bagmændene har uden tvivl benyttet 2007 til at udvikle og afprøve forskellige komponenter, der, hvis de kombineres, vil medføre angreb, som er mere farlige og langt sværere at opdage. Malware koderne gennemgår også en heuristisk proces, hvor de anskuer et problem ud fra tidligere erfaring.

Et eksempel er rootkits. Vi skal kun få år tilbage, hvor praktisk taget ingen havde hørt om rootkits på Windows platformen - selvom det er været kendt på *nix platformen siden starten af 1990'erne. Men fra omkring 2002 migrerede rootkits til Windows - og har siden eksploderet i både antal og omfang.

Fra at være software rettet mod systemkernen - spås kommende generationer af rootkits at rette sig mod systemets hardware. Dette alene bringer helt nye problemer på banen i forbindelse med itsikkerhed. For hvordan sikrer man sig mod, at den hardware der produceres billigt i Kina, ikke indeholder fragmenter af kode, som kan bruges til et angreb?

Året 2007 var spændende sikkerhedsmæssigt set. Men 2008 tegner allerede nu til at blive endnu mere 'spændende'.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere