For nylig blev der oprettet et dansk GovCERT, der skal foretage en løbende vurdering af it-sikkerheden samt varsle myndigheder om it-sikkerhedsmæssige hændelser og trusler.
Når GovCERT er klar, kan organisationen få gode input fra ISP Sikkerhedsforum som siden maj 2004 har arbejdet for bedre sikkerhed på internettet. Organisationen er en sammenslutning af internetudbydere i Danmark, hvor der udveksles erfaringer om trusler mod internetudbydernes infrastruktur og internetbrugerne.
"Mange af os bruger Cisco-udstyr, så hvis der eksempelvis findes en sårbarhed i IOS (Cisco's styresystem, red.), der kan lægge corenet ned, så samarbejder vi om, hvordan der kan dæmmes op for truslen, indtil Cisco udbedrer fejlen," forklarer Torben Mellerup, formand for ISP Sikkerhedsforum.
Det er også i ISP Sikkerhedsforum, at internetudbyderne koordinerer deres indsats i tilfælde af en større trussel på tværs af internetudbyderne:
"Hvis der er noget voldsomt under opsejling, kommunikeres der på tværs mellem internetudbyderne om hvorvidt de har samme oplevelser. Det kan eksempelvis være et storstilet phishing-forsøg," siger Torben Mellerup.
Samarbejde med NITEC
Internetudbyderne er opsatte på hjælpe med at bekæmpe den ondsindede trafik på internettet og indgår gerne i samarbejde med politiet.
"Hvis nu Danske Bank udsættes for et DOS (Denial Of Service, red.)-angreb kan de vælge at gå til Nitec (det Nationale IT-efterforskningscenter, red). Nitec vil så arbejde sammen med internetudbyderne, da vi er lige så lidt interesseret i at have den slags trafik. Vi aktiverer vores beredskab og kommunikerer indbyrdes om at blackliste sites, hvor angrebet kommer fra," forklarer Torben Mellerup, der understreger, at selve anmeldelsen af den kriminelle handling skal rettes mod politiet; ikke internetudbyderen.
"Vi kan ikke tillade os at være politimænd, vi kan kun tillade os at være strikse i det omfang det går ud over vores egne kunder og net. I ISP Sikkerhedsforum har vi så muligheden for at arbejde sammen om generelle ting," forklarer Torben Mellerup.
Lister og filtre mod uønskede sites
Det er ikke kun i tilfælde af decidere angreb, at internetudbyderne anvender blacklister.
Blandt andet abonnerer de på RBL (Realtime Blackhole Lists), der forsøger at blokere spamsendere.
"Hvis en internetudbyder oplever, at der gang på gang kommer spam fra nogle bestemte servere i eksempelvis Italien, så blokerer han for dem.
Samtidig oplyser han RBL-listerne om, at han oplever spam fra de servere. Hvis andre ISP'er melder om det samme, bliver de taget med på listerne og derved blokeres de af alle ISP'er der abonnerer på de lister," forklarer Torben Mellerup, der foruden at være formand for ISP Sikkerhedsforum også er Technology Manager hos Stofa.
Torben Mellerup understreger, at det er op til den enkelte internetudbyder at vælge hvilke filtre og lister internetudbyderen vil abonnere på.
Hvis en virksomhed er så uheldig, at cyberkriminelle kaprer en server, kan virksomheden risikere, at få blokeret internetadgangen til serveren.
Sådan informeres om misbrug
Hvis en server eller pc kapres af ondsindede personer til at sprede spam eller malware, så risikerer man altså at få blokeret internetadgangen for den computer.
Som Computerworld tidligere har beskrevet, medførte en mistanke om et phishing-site hos hostingudbyderen Cortex Consult, at hostingfirmaets netforbindelse blev blokeret.
Grundet en fejl blev Cortex Consult ikke orienteret om lukningen, men normalt vil det være tilfældet.
"Normalt bliver de pågældende sites orienteret om, at de er kommet på RBL-listerne via deres abuse-konto.
Derfor skal der oprettes en abuse-konto, der er knyttet til websitet, når et domæne oprettes," siger Torben Mellerup.
Når et domæne registreres, er det vigtigt med en abuse-konto som er en mailadresse der kan kontaktes i tilfælde af, at et website misbruges til phishingforsøg eller udbredelse af spam og malware.
Fejl ved blokeringslister
Man skal være opmærksom på, at der kan ske fejl ved registreringen på de forskellige misbrugslister og danske internetudbydere har selv oplevet at optræde på nogle af de mange blokeringslister.
"Der sker fejl på listerne. TDC, Stofa og Cybercity har været på de lister, fordi en række inficerede pc'er har brugt udbyderens mailserver til at sende spam eller lignende.
Så skal man kontakte RBL-listerne og forklare, at man skal pilles af listen igen. Det er desværre også sket for nogle virksomheder, at de er blevet lukket ned. Der anvendes ofte et forsigtighedsprincip; hellere lukke et site for meget end et for lidt. Derfor bliver der ofte lukket ned med det samme og derefter informeres virksomheden. Virksomheden bliver generelt meget glad for at blive informeret om at deres servere misbruges," siger Torben Mellerup.
Hvis man fejlagtigt kommer på en liste, skal man kontakte organisationen bag den pågældende RBL-liste og bede om at blive fjernet igen.
"Hvis der er sket en fejl, så brokker man sig og bliver ved med at brokke sig indtil man er fjernet igen. I de fleste tilfælde sker det i løbet af et par dage," oplyser Torben Mellerup.
Reagerer ikke på abuse-mails
Generelt vil en abuse-konto blive kontaktet i tilfælde af mistanke om malware eller phishing-site, men det er ikke altid tilfældet.
"Det er ikke altid, at vi sender mail. Nogle gange siger vi til os selv, at det ikke kan svare sig. Phishing sites lever i meget kort tid, så nogle gange når vi ser på sagen, så er det væk," forklarer Torben Mellerup, der selv har fulgt et meget kortvarigt phishing-forsøg.
Her foregav en mail at være fra Paypal. Torben Mellerup kunne spore phishing-sitet til et hostingselskab i Estland, men efter blot tyve minutter var sitet forsvundet. Uden at Torben Mellerup havde kontaktet hostingselskabet.
Selv hvis phishingsitet havde været i luften i længere tid, er det ikke sikkert, at Torben Mellerup havde kontaktet det estiske hostingselskab. Ifølge Torben Mellerup er der nemlig forskel på, hvor seriøst hostingselskaber i forskellige lande tager henvendelser om misbrug.
"Der er sites, som er rasende ligeglade. De befinder sig som regel nogle steder hvor der ikke hersker lov og orden," siger Torben Mellerup og nævner Rusland, Estland, Letland, Lituaen og sydamerikanske nationer som Argentina, hvor der er lille sandsynlighed for respons.
"Du kan være rimelig sikker på, at hvis det er et tysk hostingcenter, hvor sådan noget foregår og det blev anmeldt, så vil der blive taget action på det. Det afhænger af det pågældende lands love," siger Torben Mellerup.
Er det håbløst at efterforske cyberkriminalitet?
Internetudbyderne er opsatte på at samarbejde om at indkredse og opspore bagmændene til cyberkriminalitet, selvom Torben Mellerup ikke har de store forhåbninger om succes.
Håbløst at efterforske
"Det er nok umuligt at lave en politimæssig efterforskning. Formentlig er det et uskyldigt website som udnyttes af de kriminelle. Måske er det en håndværker som har et website, der ikke er sikret ordentligt. Det er så blevet hacket og bliver måske brugt til et phishing-forsøg; eksempelvis med en paypal-lignende website. Dem, der har hacket sitet, kommer et sted fra ude i den store verden, og du kan være stensikker på, at de ikke anvender deres egen pc. Det vil være kropumuligt at finde ud af, hvor de er kommet ind og hvorfra," siger Torben Mellerup og fortsætter resigneret:
"Der er ikke rigtig noget at gøre ved det. Vi har set hackede maskiner hos kunder, hvor det så ud til, at de var blevet hacket fra Holland, men det viste sig så, at den hollandske maskine blot var en anden hacket maskine. Derfra var det håbløst at følge sporet. Det er profesionelle, der laver det her."
Krminaliteten er kommet for at blive
Derfor mener Torben Mellerup, at internetbrugere desværre må vænne sig til kriminalitet på internettet; ligesom i den virkelige verden.
"Det er nok kriminalitet som vi kommer til at leve med, som vi har levet med lommetyve og tricktyve i lang tid," mener Torben Mellerup.
