Usynlige spioner optrapper spyware-krig

Brugen af usynlige spionprogrammer er blevet mere almindeligt som spyware-bagmændenes modtræk mod anti-spyware. De bedste kan kun spores indirekte.

Spyware-bagmændene har smidt handskerne og har taget et gammelt camouflage-kneb i brug for at holde forretningen kørende i takt med, at anti-spyware nærmest er blevet standard i antivirus-software.

Forsvarsmekanismen for spyware-programmørerne er de såkaldte "rootkits".

Det er en særlig type bagdørsprogrammer, som kan være ekstremt vanskelige at spore, når først de er installeret på et system.

Rootkits har eksisteret i mere end et årti til primært Unix-systemer, men er i løbet af det sidste år for alvor dukket op i Windows-verdenen, som er spyware-bagmændenes primære mål.

- Den mest udbredte og alarmerende tendens, vi har set med disse bagdøre, er sammenkoblingen med profit-motiveret kriminalitet som eksempelvis kreditkortsvindel og identitetstyveri, siger udviklingschef Alfred Huger fra Symantec til Network World.

Microsoft advarede tidligere på året om den nye tendens og flere antivirusfirmaer har udviklet specialiserede værktøjer, som kan finde og fjerne de kendte rootkits.

Microsofts advarsel kom efter, selskabet havde fundet rootkits, som lægger sig i selve kernen af Windows og derfor ikke kan ses af konventionelle antivirusprogrammer.

Rootkits spredes typisk ved besøg på usikre hjemmesider, hvor bagmændene udnytter sårbarheder i webbrowseren til at installere den ondsindede software. Både sårbarheder i Internet Explorer og Mozilla-browsere bliver udnyttet på denne måde, oplyser sikkerhedsfirmaet Symantec.

Firmaet Websense registrerede i første halvår af 2005 mere end 2.500 personlige hjemmesider og weblogs, som lagde plads til installation af ondsindede programmer. De fleste findes på servere, som tilbyder gratis hjemmesideplads.

For at bekæmpe rootkits er den første forsvarsbastion at sørge for at holde softwaren på klient-cp'erne opdateret for at lukke de mest udnyttede sikkerhedshuller.

Dernæst kan anti-spyware og antivirus give en vis beskyttelse, men der er ikke tale om en stensikker garanti over for de nyeste typer af rootkits.

Når et rootkit er installeret på systemet, vil det lægge sig mellem det, brugeren oplever, og selve styresystemet. Det betyder, at brugeren ikke kan se, at spionprogrammet kører, fordi det ikke kan ses i eksempelvis Windows' Jobliste.

Mange anti-rootkit-programmer forsøger at spore rootkits ved at sammenligne Joblisten med Windows' interne liste af aktive processer for at finde forskelle.

De nyeste rootkits formår imidlertid at gemme sig så godt, at de kun kan findes ved at se, om der er sket ændringer i de undersystemer, der behandler undtagelser i systemets hukommelse, oplyser Mikko Hypponen fra finske F-Secure til Network World.

Det kan betyde, at antivirus-firmaernes konventionelle modtræk måske ikke er tiltrækkelige til at eliminere truslen fra rootkits.

- Rootkits er per definition svære at spore. De bedre af dem er endnu sværere at spore, siger teknisk chef Alan Paller fra SANS Institute til Network World.

Løsningen for it-chefen kan derfor være at satse mindre på specialiseret anti-rootkit-software på klienterne og i stedet holde bedre øje med netværket.

Ved at overvåge trafikken er det muligt at opspore inficerede systemer ud fra usædvanlig trafik. Det kan eksempelvis være en webserver, som begynder at transmittere FTP-trafik.

Netværkstrafikken følger typisk nogle simple regler, hvor trafikken fra spionprogrammer vil skille sig ud. Servere er blot servere og begynder ikke af sig selv at etablere forbindelser. Klient-pc'er sender normalt ikke data mellem hinanden. Det kan være et signal om, at der er noget galt.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere