12. IT-nyhedsbrev fra Søren Noah
(udsendt 1. april 2004)


IGEN-IGEN: Det kan kraftigt anbefales at følge de gode råd mod virus og hacking, som jeg har liggende på nettet. På forsiden finder du punktet om disse ting (klik)


Virus: MyDoom, Bagle og NetSky i bandekrig

En mafia-lignende krig mellem virusprogrammører er i øjeblikket i fuld gang. De tre grupper, der står bag virus-ormene Bagle, MyDoom og NetSky, kæmper tilsyneladende en bitter indbyrdes kamp. Disse virus-orme forsøger at installere en skjult bagdør på modtagerens PC, så de senere kan fjernstyre og misbruge maskinen til et eller andet lyssky formål:

  • bruge maskinen som afsender af SPAM. Herved bliver uskyldige mennesker faktisk gjort kriminelle, uden at de selv ved det. Det hævdes i en ny undersøgelse fra antivirusfirmaet Sophos samt flere andre indenfor antivirus-branchen, at størstedelen af den spam man ser, er afsendt fra maskiner som er inficeret på denne måde. 

    Disse "åbne" maskiner kan endda "sælges" på det sorte marked til firmaer, som ønsker at kunne udsende store mængder spam, uden selv at skulle stå til regnskab for det. Og det er vist en ganske god forretning ...

  • bruge maskinen i et DOS-angreb. DOS står her for "Denial-of-Service" angreb, hvilket betyder, at en masse "zombie-computere" (ejet af uskyldige mennesker) på samme tidspunkt bliver fjernstyret til at afsende en frygtelig masse data-pakker til en bestemt server, som man gerne vil genere. Med det resultat, at serveren bukker under i kortere eller længere tid, indtil IT-afdelingen har fået liv i den igen. Dette kan godt tage flere dage. Microsoft (som alle elsker at hade) er ofte udsat for den slags, men mange andre IT-firmaer o.lign. har været udsat for effektive DOS-angreb. 

    Virussen MyDoom har i de nyeste varianter den kedelige egenskab, at den forsøger at samle alle de smittede computere i et såkaldt DOS-angreb mod antivirus-firmaet Symantec. Altså: man får en sværm af smittede "zombie-computere" til at sende beskeder til Symantec's server på samme tidspunkt. Dette vil ofte få serveren til at gå ned i en periode. Ikke så smart for alle brugerne af f.eks. Norton Antivirus, som får opdateret deres antivirus-program via Internet hos Symantec's servere …

Krig på ord

Krigen bliver ført på flere niveauer. Disse 3 virus-orme forsøger faktisk at slå hinanden ihjel ... Hvis den ene installerer sig på en PC, hvor en af de andre findes i forvejen, så forsøger den at af-installere den. Altså fjerne den fra PC'en for at "besidde" den alene. Men derudover foregår krigen også i verbale fornærmelser mod fjenden. Varianten NetSky.F indeholder ligesom de tidligere orme en skjult tekst, som denne gang lyder: "Skynet AntiVirus - Bagle - you are a looser!!!!".

Svaret fra de øvrige parter i krigen kom prompte. Bagle.K og MyDoom.H dukkede op omkring en time senere. Disse personlige angreb kan få krigen til at blusse yderligere op, idet det frygtes, at virusprogrammørernes ego og stolthed bliver en større faktor fremover og gør krigen mere intens. Det kommer til at skade alle os andre, der blot er uskyldige ofre for visse personers trang til at tjene hurtige penge og lave hærværk på nettet.

En af de beskeder, der har fået antivirusfirmaerne til at lægge to og to sammen og konkludere, at motivet for krigen kan være penge, er beskeden i ormen Bagle.J.: " Hey,NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war?".

Beskeden er et klart svar fra gruppen bag Bagle til NetSky-gruppen, som netop havde udsendt en ny orm, der forsøgte at fjerne Bagle.

Bredbåndskunder ender som spamcentraler

Når der er penge i orm og virus, skyldes det, at der bliver færre og færre egentlige postservere, som kan bruges til spam (de filtrerer effektivt spam-mails fra), og mange af dem, der er tilbage, bliver ofte ignoreret af Internetudbydernes postservere. Derfor når reklamerne ikke frem til brugerne.

En PC, der er inficeret med en bagdør, og står hos en almindelig Internetbruger, som har en bredbåndsforbindelse, kan derfor være en udvej for spammerne.

Sophos appellerer især til private Internetbrugere med bredbånd om at kontrollere, hvorvidt deres PC’er medvirker til forsendelse af spam. Antivirusfirmaet McAfee tilbyder det lille effektive program "Stinger" som kan finde alle de nuværende varianter af disse ormevirus samt over 35 andre. Stinger (som kun fylder 7-800 kb) kan downloades gratis her: http://vil.nai.com/vil/stinger

De åbne PC’er kan misbruges til mange forskellige formål. Eksempelvis blev PC'er, var inficeret med Sobig, i efteråret misbrugt til DOS-angreb mod Spamhaus og andre anti-spamvirksomheder. Ifølge en ny undersøgelse mister de europæiske virksomheder omkring 163 milliarder kroner om året i tabt arbejdstid og produktivitet efter virusangreb.

Ny "Bagle" er både orm og virus

To af de nyere Bagle-orme udgiver sig for at være en e-mail fra administratoren af den postserver, som modtagerens mailadresse tilhører. Udover at sprede sig via e-mail inficerer de nye orme også programmer på PC'en ligesom en virus.

Bagle-ormene angriber alle PC'er med styresystemet Windows. Måden hvorpå Bagle.N forsøger at lokke modtageren til at åbne den vedhæftede fil, minder om J-varianten af Bagle: Den udgiver sig for at være en e-mail fra administratoren på det domæne, som modtagerens e-mail-adresse ligger på. Altså vil knud@eksempel.dk få en e-mail, som på engelsk hævder at være fra administratoren af postserveren eksempel.dk.

Netop denne fremgangsmåde, som Bagle.J også brugte, gør ormen ekstra farlig, fordi den kan sprede sig til brugere, som stoler på, at der faktisk er tale om en vigtig e-mail. Specielt fordi e-mailen fortæller modtageren, at vedkommendes e-mailkonto er blevet misbrugt.

Selve ormen ankommer vedhæftet som enten en PIF, EXE, ZIP eller RAR-fil. Både ZIP og RAR-filerne er beskyttet med en adgangskode, som står i selve mailen for at gøre det hele endnu mere troværdigt.

Noget nyt ved de to seneste varianter af den efterhånden ganske store Bagle-familie er, at de to orme også spreder sig som en egentlig (gammeldags) virus. Det vil sige, at ormen inficerer programmer, der ligger på den angrebne PC.

Ormen lægger sin egen kode ind i alle de programfiler, den finder på PC'en. Når et inficeret program åbnes, bliver ormen også aktiveret. Bagle.N spreder sig både via e-mail og fildelingsprogrammer som eksempelvis Kazaa.

Mange antivirusprogrammer vil opfange i hvert fald en del af de nye Bagle-orme takket være de såkaldte heuristiske virusscannere. Sådan en scanner genkender en virus på nogle generelle kendetegn. Flere antivirusfirmaer har i kølvandet på de mange varianter af Bagle og NetSky udarbejdet særlige signalementer af ormene, som gør, at virusscannerne i et vist omfang også kan genkende de nye (kommende) varianter.


Orm udnytter (gammelt) hul i Internet Explorer

Programmørerne bag Bagle-ormene har endnu en gang skiftet taktik. De seneste tre varianter af ormen spreder ikke den skadelige kode i selve e-mailen. I stedet udnytter Bagle en sårbarhed i Microsofts webbrowser, Internet Explorer, til at sprede sig automatisk, når en bruger åbner mailen i Outlook - d.v.s. markerer en mail som derefter straks åbnes nedenunder i "indholdsruden".

Tidligere har samtlige versioner spredt sig som vedhæftede filer i e-mail, men de nyeste versioner udnytter i stedet en ældre sårbarhed i Microsoft Internet Explorer, som Microsoft dog allerede i oktober 2003 udsendte en rettelse til. Men den har mange (dumme) brugere altså endnu ikke fået hentet og installeret via Funktioner > Windows Update ...

Det betyder, at der ikke længere er en fil med virus i selve e-mailen. Dermed bliver Bagle-ormene ikke nødvendigvis stoppet af de såkaldte gateway-scannere, som kontrollerer mange virksomheders e-mail for virus.

Fra og med Q-versionen af Bagle udsender ormen i stedet en HTML-formatteret e-mail, som forsøger at udnytte et sikkerhedshul i Internet Explorer og dermed også i postprogrammerne Outlook og Outlook Express. Når e-mailen åbnes, forsøger den (via nogle usynlige linjer i HTML-koden) at forbinde sig til en server, hvorfra den henter selve ormen ned, som derefter inficerer systemet på samme måde som de tidligere versioner.

OBS: Hvis man straks vil slette en sådan mail, så er man jo nødt til først at markere den på listen - og hvis man bruger "indholdsrude" så vises indholdet straks ... og så er skaden måske allerede sket. 

Derfor kan det voldsomt anbefales både at slå "indholdsrude" fra (Vis > Indholdsrude, så dette punkt slukkes) og udelukke brug af HTML-indhold i mails. Det betyder så, at du ikke kan sende eller modtage formaterede mails (d.v.s. med forskellige farver, skrifttyper og billeder) - and so what?? Vi må lide lidt for sikkerheden !


TDC og Microsoft i fælles front mod virus

Microsoft har oprettet et samarbejde med 32 Internetudbydere over hele verden, som til sammen råder over mere end 150 millioner Internet-brugere. Danske TDC er med i samarbejdet, der skal styrke beredskabet mellem Internetudbyderne, hvis f.eks. en ny Blaster-orm bryder ud.

- Det er vigtigt, at vi kan samarbejde tæt med Microsoft. Når en orm som Blaster drøner ud over hele verden, så kan Microsoft komme med opdateringen, som lukker hullet, men mange gange er det os, som står med problemet, fordi kunderne henvender sig til os, siger underdirektør Per Rasmussen fra TDC Internet.

150 millioner netkunder dækket

En række andre danske teleselskaber er også indirekte med i samarbejdet gennem deres udenlandske moderselskaber. Det gælder blandt andet Telia og Tiscali. I alt dækker samarbejdet mere end 150 millioner Internetkunder over hele verden.

- Jeg tror, det kan have en ret stor effekt, fordi vi kan reagere med nogle tiltag, som dæmper spredningen af de her virusser, siger Per Rasmussen.

Udover det akutte beredskab skal projektet også fungere som et forum, hvor Internetudbyderne har mulighed for at komme med input til Microsoft. Ifølge Microsoft har samarbejdet allerede været på arbejde. Da ormen MyDoom blev spredt på Internettet, blev netværket brugt til at informere medlemmerne og begrænse ormens udbredelse.

Samme netværk står bag et værktøj, Blaster Cleaner, som automatisk fjerner ormen MS-Blaster fra inficerede maskiner. Blaster Cleaner har ifølge Microsoft fjernet Blaster-ormen fra mere end otte millioner inficerede systemer.


Softwarehuller bliver farligere

I modsætning til tidligere år var der i 2003 ingen stigning i antallet af softwarehuller, fastslår sikkerhedsfirmaet Symantec i deres halvårlige rapport "Internet Security Threat Report". Til gengæld blev hullerne farligere og nemmere at udnytte.

I 2003 blev der ifølge rapporten offentliggjort 2.636 sikkerhedshuller, hvilket er en lille stigning på to procent i forhold til 2002. Det står i skarp kontrast til perioden fra 2001 til 2002, hvor antallet af opdagede sikkerhedshuller steg 81 procent.

Til gengæld er hackerne blevet skrappere til at udnytte hullerne, fastslår rapporten. Det skyldes blandt andet, at det kræver mindre ekspertise at udnytte mange af de nye huller, og at der findes værktøjer og kodestumper, som hackerne frit kan benytte.

Denne adfærd knyttes som regel sammen med den gruppe af angribere, som kaldes for Script Kiddies, hvilket betegner hackere, som ikke har teknisk indsigt, men i stedet benytter mere eller mindre automatiske hacker-værktøjer til at angribe systemer med.

Fejl bliver farligere

Symantec vurderer, at selv om antallet af huller ikke er steget, så er fejlenes karakter alvorligere. Sikkerhedsfirmaet fremhæver særligt Microsofts browser, Internet Explorer, hvor antallet af kendte huller voksede med 70 procent.

Da hullerne både bliver farligere og nemmere at udnytte, går der mindre tid fra sikkerhedshullet opdages, til angribere udnytter hullet. Som eksempel peger Symantec på ormen Gaobot, som udnyttede et hul i Microsofts Workstation Service mindre end to uger efter at hullet blev offentliggjort.

Hackernes motiver er ikke længere nysgerrighed eller simpel trang til at begå hærværk. Symantecs rapport fremhæver, at antallet af angreb, som motiveres af informationstyveri, blev femdoblet andet halvår af 2003. Det er kreditkortnumre og passwords, som tyvene går efter.

Hackerne benytter også i stigende grad skjulte bagdøre, som orme og virusser har efterladt på ofrenes maskiner. Det er i særdeleshed hjemme-PC'er, som udnyttes på den måde. Derfor slår Symantec også på tromme for fuldautomatiske opdateringsfunktioner i styresystemerne, sådan som det ses i den kommende Service Pack 2 til Windows XP.


Firewall slår igen mod hackere

Det amerikanske firma Symbiot Security mener, at det ikke er nok at forsvare sig passivt mod hackerangreb. Derfor har selskabet udviklet et kontroversielt sikkerhedssystem, der kan give hackerne igen af samme skuffe, som de selv angriber med. Med ondt skal ondt fordrives …

Præcist hvordan systemet kan slå igen, vil Symbiot ikke afsløre før den officielle lancering 31. marts, men ifølge pressemeddelelsen fra selskabet vil der blive sat hårdt mod hårdt. Jo mere intenst angrebet er, jo længere det varer, og jo alvorligere konsekvenser det har, jo hårdere slår systemet igen.

Kunder risikerer hackersag

Et system, som slår igen mod hackere, er langt fra uproblematisk. Der er både juridiske, etiske og tekniske problemer, som brugerne af systemet skal være forberedt på at tage stilling til. Et modangreb mod en hacker vil nemlig i mange lande blive opfattet som et hackerangreb i sig selv, og derfor kan den virksomhed, som forsvarer sig, risikere selv at få en hackersag på halsen.

De hackere, som forsøger at trænge gennem en virksomheds IT-forsvarsværker, vil ofte skjule sporene, så angrebet ser ud til at komme et andet sted fra end den maskine, hackeren sidder ved. F.eks. via en skjult bagdør på en fremmed PC. Derfor er der ingen garanti for, at Symbiots system ikke slår til mod uskyldige. Symbiot hævder dog, at systemet er i stand til at identificere angriberne korrekt.

De fleste sikkerhedseksperter anbefaler i stedet, at man holder sin sti ren, og svarer igen på et angreb ved at sikre beviserne, underrette de relevante Internetudbydere og kontakte myndighederne, hvis det er nødvendigt.

Andre peger dog på, at der kan være situationer, hvor der ikke er tid til at vente på at gå de traditionelle veje. Hvis det er et kritisk system, som bliver angrebet, så kan et hurtigt modangreb i yderste konsekvens redde liv. Hvis eksempelvis alarmcentralens telefoncentral bliver slået ud på grund af et oversvømmelsesangreb, Denial of Service (DOS), så kan den hurtigste måde at få systemet op at køre igen være at lægge angrebsmaskinen ned.


Terrorpakken

I uge 13 kom regeringens "terrorpakke" til høring i Folketinget. Forslaget fra Justitsministeriet vil bl.a. betyde, at teleselskaberne skal opbevare alle kundernes telefon – og Internetdata i et år. V.h.a. en dommerkendelse kan politiet så få adgang til disse data i efterforskningen af alvorlig kriminalitet: terror, økonomisk kriminalitet, børneporno m.v.

Selvom der betages en lov hurtigt, så kan der dog sagtens gå 1-2 år, før teleselskaberne har det nødvendige udstyr til at logge/opbevare alle disse data. Og de er iøvrigt godt sure over denne ekstra byrde og ekstra udgift, sku' vi lige hilse og sige. Faktisk overvejer telebranchen at kræve en form for kompensation fra staten, som trækker denne opgave ned over hovedet på dem !

Danske virksomheder benytter mindst overvågning

De danske medarbejdere er blandt dem i Europa, som overvåges mindst. Det viser en undersøgelse fra Hitachi Data Systems. Mens knap hver tredje dansker risikerer at få sin mail- og instant message-kommunikation tjekket af sine chefer, gælder det samme for syv ud af 10 spaniere. Tony Franke, direktør i Dansk IT, mener, at det skyldes, at danskerne er meget troværdige. Derfor er der heller ingen grund til at overvåge dem.


Danmark siger ja til europæiske chip-pas

Justitsminister Lene Espersen (K) og Folketingets Europaudvalg er blevet enige om, at Danmark siger ja til nye pas forsynet med mikrochip-teknologi. På chippen skal der lagres personlige oplysninger, billede og måske fingeraftryk.  

Passet et led i EU's forsøg på at dæmme op for terrorister og andre kriminelle, der rejser på falske papirer. Chippene skal nemlig sætte en stopper for falske pas. Justitsministeren og Europaudvalget tøver derimod med at anbefale biometriske funktioner i de nye pas. I udgangspunktet er de smålune på ideen om at indføre fingeraftryks-scannere, mens mere komplicerede teknologier som ansigts- og iris-genkendelse, ikke vækker genklang. Endnu.

- Vi har en åben holdning til det. Det er noget, der giver passene høj troværdighed og sikkerhed. Endnu er teknikken til de elektroniske chips i pas, visa og andre rejsepapirer ikke færdigudviklet. Og ingen ved, hvor hurtigt de i givet fald kan blive standard i EU, siger justitsministeren.

Hun oplyser, at danskerne ikke behøver at frygte for retssikkerheden, da der ikke bliver brug for nye centrale registre over danskerne med indførelsen af de nye chip-pas.

- Der er ikke lagt op til et nyt, centralt register. Og hvis det kom på tale, så ville det kræve en meget grundig behandling, siger Lene Espersen til Ritzau.


Lokumsbrættet er renere end dit tastatur

Hvis du troede, at din PC var fuldstændig virusfri, så kan du godt tro om igen. Der bor op til 400 gange flere bakterier på et tastatur til en PC end på et almindeligt toiletsæde ... Kontormiljøer er rene rugemaskiner for mikroorganismer, fordi mennesker nyser, hoster og trækker vejret, lyder konklusionen på en amerikansk undersøgelse.

Professor i mikrobiologi Charles Gerba fra Arizonas Universitet har indsamlet prøver fra kontormiljøer for at måle, hvor mange mikrober vi deler vores arbejdsdag med.

- Skriveborde er bakteriernes kantiner. Her får de morgenmad, frokost og alt, hvad de ellers har brug for, efterhånden som vi tilbringer flere og flere timer på kontoret, siger Gerba ifølge nyhedsbureauet AFP.

I løbet af en arbejdsdag når vi at pille os i næsen, klø os i håret, måske også lidt i øret, så en tur til i næsen, et par host og et nys. Og måske også lige et smut ud ved det "rigtige" toiletsæde ... Hver eneste gang bliver der overført bakterier til omgivelserne og især de overflader, vi berører med vores hænder.

Ifølge professor Charles Gerbas undersøgelse fra Arizonas Universitet er det telefonerne, der er hjemsted for flest mikroskopiske livsformer.

På en telefon lever der op til 3.895 bakterier per kvadratcentimeter. På et tastatur er det 510 og på en computermus er det 260. Skrivebordet er også et travlt sted: 3.249 bakterier på en kvadratcentimeter af skrivebordet.

- Når personer, som er smittet med bakterier fra eksempelvis en forkølelse, bevæger sig rundt på kontoret, overfører de bakterierne til alle de overflader, de berører. Her kan bakterier eller influenzavirus overleve i op til tre døgn. Et kontor kan på den måde blive til en sand rugemaskine for mikroorganismer, siger Charles Gerba ifølge AFP.


Det var alt for denne gang. Du kan i endnu højere grad holde dig opdateret med nyheder på IT-området ved (gratis) at abonnere på nyhedsbrev via e-mail hos f.eks. nedenstående websteder, men de vigtigste nyheder herfra er måske allerede med i MIT nyhedsbrev.

 

Stay cool – og pas nu på derude på Internettet ...!!

:-) Søren Noah (IT-lærer)

Søren Noah

Zap over på hele 
Søren Noah's IT-website

.