12.
IT-nyhedsbrev
fra Søren Noah
(udsendt 1. april 2004)
IGEN-IGEN: Det kan kraftigt anbefales at følge de gode råd mod virus og hacking, som jeg har liggende på nettet. På forsiden finder du punktet om disse ting (klik)
Virus: MyDoom,
Bagle og NetSky i bandekrig
En mafia-lignende krig
mellem virusprogrammører er i øjeblikket i fuld gang. De tre grupper, der står
bag virus-ormene Bagle, MyDoom og NetSky, kæmper tilsyneladende en bitter
indbyrdes kamp. Disse virus-orme forsøger at installere en skjult bagdør
på modtagerens PC, så de senere kan fjernstyre og misbruge
maskinen til et eller andet lyssky formål:
- bruge maskinen som
afsender af SPAM. Herved bliver uskyldige mennesker faktisk gjort
kriminelle, uden at de selv ved det. Det hævdes i en ny undersøgelse fra
antivirusfirmaet Sophos samt flere andre indenfor antivirus-branchen, at størstedelen
af den spam man ser, er afsendt fra maskiner som er inficeret på denne måde.
Disse "åbne" maskiner kan endda "sælges" på det sorte marked til firmaer, som ønsker at kunne udsende store mængder spam, uden selv at skulle stå til regnskab for det. Og det er vist en ganske god forretning ...
- bruge maskinen i et DOS-angreb.
DOS står her for "Denial-of-Service" angreb, hvilket betyder, at
en masse "zombie-computere" (ejet af uskyldige mennesker) på
samme tidspunkt bliver fjernstyret til at afsende en frygtelig masse
data-pakker til en bestemt server, som man gerne vil genere. Med det
resultat, at serveren bukker under i kortere eller længere tid, indtil
IT-afdelingen har fået liv i den igen. Dette kan godt tage flere dage.
Microsoft (som alle elsker at hade) er ofte udsat for den slags, men mange
andre IT-firmaer o.lign. har været udsat for effektive DOS-angreb.
Virussen MyDoom har i de nyeste varianter den kedelige egenskab, at den forsøger at samle alle de smittede computere i et såkaldt DOS-angreb mod antivirus-firmaet Symantec. Altså: man får en sværm af smittede "zombie-computere" til at sende beskeder til Symantec's server på samme tidspunkt. Dette vil ofte få serveren til at gå ned i en periode. Ikke så smart for alle brugerne af f.eks. Norton Antivirus, som får opdateret deres antivirus-program via Internet hos Symantec's servere …
Krig på ord
Krigen bliver ført på
flere niveauer. Disse 3 virus-orme forsøger faktisk at slå hinanden ihjel ...
Hvis den ene installerer sig på en PC, hvor en af de andre findes i forvejen,
så forsøger den at af-installere den. Altså fjerne den fra PC'en for at
"besidde" den alene. Men derudover foregår krigen også i verbale
fornærmelser mod fjenden.
Svaret fra de øvrige
parter i krigen kom prompte. Bagle.K og MyDoom.H dukkede op omkring en time
senere. Disse personlige angreb kan få krigen til at blusse yderligere op, idet
det frygtes, at virusprogrammørernes ego og stolthed bliver en større faktor
fremover og gør krigen mere intens. Det kommer til at skade alle os andre, der
blot er uskyldige ofre for visse personers trang til at tjene hurtige penge og
lave hærværk på nettet.
En af de beskeder, der
har fået antivirusfirmaerne til at lægge to og to sammen og konkludere, at
motivet for krigen kan være penge, er beskeden i ormen Bagle.J.: "
Hey,NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war?".
Beskeden er et klart
svar fra gruppen bag Bagle til NetSky-gruppen, som netop havde udsendt en ny
orm, der forsøgte at fjerne Bagle.
Bredbåndskunder ender som spamcentraler
Når der er penge i orm
og virus, skyldes det, at der bliver færre og færre egentlige postservere, som
kan bruges til spam (de filtrerer effektivt spam-mails fra), og mange af dem,
der er tilbage, bliver ofte ignoreret af Internetudbydernes postservere. Derfor
når reklamerne ikke frem til brugerne.
En PC, der er inficeret
med en bagdør, og står hos en almindelig Internetbruger, som har en bredbåndsforbindelse,
kan derfor være en udvej for spammerne.
Sophos
appellerer især til private Internetbrugere med bredbånd om at kontrollere,
hvorvidt deres PC’er medvirker til forsendelse af spam. Antivirusfirmaet McAfee
tilbyder det lille effektive program "Stinger" som kan finde
alle de nuværende varianter af disse ormevirus samt over 35 andre. Stinger (som
kun fylder 7-800 kb) kan downloades gratis her: http://vil.nai.com/vil/stinger
De åbne PC’er kan
misbruges til mange forskellige formål. Eksempelvis blev PC'er, var inficeret
med Sobig, i efteråret misbrugt til DOS-angreb mod Spamhaus og andre
anti-spamvirksomheder. Ifølge en ny undersøgelse mister de europæiske
virksomheder omkring 163 milliarder kroner om året i tabt arbejdstid og
produktivitet efter virusangreb.
Ny "Bagle" er både orm og virus
To af de nyere
Bagle-orme
udgiver sig for at være en e-mail fra administratoren af den postserver, som
modtagerens mailadresse tilhører. Udover at sprede sig via e-mail inficerer de
nye orme også programmer på PC'en ligesom en virus.
Bagle-ormene angriber
alle PC'er med styresystemet Windows. Måden hvorpå Bagle.N forsøger at lokke
modtageren til at åbne den vedhæftede fil, minder om J-varianten af Bagle: Den
udgiver sig for at være en e-mail fra administratoren på det domæne, som
modtagerens e-mail-adresse ligger på. Altså vil knud@eksempel.dk få en
e-mail, som på engelsk hævder at være fra administratoren af postserveren
eksempel.dk.
Netop denne fremgangsmåde,
som Bagle.J også brugte, gør ormen ekstra farlig, fordi den kan sprede sig til
brugere, som stoler på, at der faktisk er tale om en vigtig e-mail. Specielt
fordi e-mailen fortæller modtageren, at vedkommendes e-mailkonto er blevet
misbrugt.
Selve ormen ankommer
vedhæftet som enten en PIF, EXE, ZIP eller RAR-fil. Både ZIP og RAR-filerne er
beskyttet med en adgangskode, som står i selve mailen for at gøre det hele
endnu mere troværdigt.
Noget nyt ved de to
seneste varianter af den efterhånden ganske store Bagle-familie er, at de to
orme også spreder sig som en egentlig (gammeldags) virus. Det vil sige, at
ormen inficerer programmer, der ligger på den angrebne PC.
Ormen lægger sin egen
kode ind i alle de programfiler, den finder på PC'en. Når et inficeret program
åbnes, bliver ormen også aktiveret. Bagle.N spreder sig både via e-mail og
fildelingsprogrammer som eksempelvis Kazaa.
Mange antivirusprogrammer vil opfange i hvert fald en del af de nye Bagle-orme takket være de såkaldte heuristiske virusscannere. Sådan en scanner genkender en virus på nogle generelle kendetegn. Flere antivirusfirmaer har i kølvandet på de mange varianter af Bagle og NetSky udarbejdet særlige signalementer af ormene, som gør, at virusscannerne i et vist omfang også kan genkende de nye (kommende) varianter.
Orm
udnytter (gammelt) hul i Internet Explorer
Programmørerne bag
Bagle-ormene har endnu en gang skiftet taktik. De seneste tre varianter af ormen
spreder ikke den skadelige kode i selve e-mailen. I stedet udnytter Bagle en sårbarhed
i Microsofts webbrowser, Internet Explorer, til at sprede sig automatisk, når
en bruger åbner mailen i Outlook - d.v.s. markerer en mail som derefter
straks åbnes nedenunder i "indholdsruden".
Tidligere har samtlige
versioner spredt sig som vedhæftede filer i e-mail, men de nyeste versioner
udnytter i stedet en ældre sårbarhed i Microsoft Internet Explorer, som
Microsoft dog allerede i oktober 2003 udsendte en rettelse til. Men den har
mange (dumme) brugere altså endnu ikke fået hentet og installeret via
Funktioner > Windows Update ...
Det betyder, at der ikke
længere er en fil med virus i selve e-mailen. Dermed bliver Bagle-ormene ikke nødvendigvis
stoppet af de såkaldte gateway-scannere, som kontrollerer mange virksomheders
e-mail for virus.
Fra og med Q-versionen af Bagle udsender ormen i stedet en HTML-formatteret e-mail, som forsøger at udnytte et sikkerhedshul i Internet Explorer og dermed også i postprogrammerne Outlook og Outlook Express. Når e-mailen åbnes, forsøger den (via nogle usynlige linjer i HTML-koden) at forbinde sig til en server, hvorfra den henter selve ormen ned, som derefter inficerer systemet på samme måde som de tidligere versioner.
OBS: Hvis man straks vil slette en sådan mail, så er man jo nødt til først at markere den på listen - og hvis man bruger "indholdsrude" så vises indholdet straks ... og så er skaden måske allerede sket.
Derfor kan det
voldsomt anbefales både at slå "indholdsrude" fra (Vis >
Indholdsrude, så dette punkt slukkes) og udelukke brug af HTML-indhold i mails.
Det betyder så, at du ikke kan sende eller modtage formaterede mails (d.v.s.
med forskellige farver, skrifttyper og billeder) - and so what?? Vi må lide
lidt for sikkerheden !
TDC og
Microsoft i fælles front mod virus
Microsoft har oprettet
et samarbejde med 32 Internetudbydere over hele verden, som til sammen råder
over mere end 150 millioner Internet-brugere. Danske TDC er med i samarbejdet,
der skal styrke beredskabet mellem Internetudbyderne, hvis f.eks. en ny
Blaster-orm bryder ud.
- Det er vigtigt, at vi
kan samarbejde tæt med Microsoft. Når en orm som Blaster drøner ud over hele
verden, så kan Microsoft komme med opdateringen, som lukker hullet, men mange
gange er det os, som står med problemet, fordi kunderne henvender sig til os,
siger underdirektør Per Rasmussen fra TDC Internet.
150 millioner
netkunder dækket
En række andre danske
teleselskaber er også indirekte med i samarbejdet gennem deres udenlandske
moderselskaber. Det gælder blandt andet Telia og Tiscali. I alt dækker
samarbejdet mere end 150 millioner Internetkunder over hele verden.
- Jeg tror, det kan have
en ret stor effekt, fordi vi kan reagere med nogle tiltag, som dæmper
spredningen af de her virusser, siger Per Rasmussen.
Udover det akutte
beredskab skal projektet også fungere som et forum, hvor Internetudbyderne har
mulighed for at komme med input til Microsoft.
Samme netværk står bag et værktøj, Blaster Cleaner, som automatisk fjerner ormen MS-Blaster fra inficerede maskiner. Blaster Cleaner har ifølge Microsoft fjernet Blaster-ormen fra mere end otte millioner inficerede systemer.
Softwarehuller
bliver farligere
I modsætning til
tidligere år var der i 2003 ingen stigning i antallet af softwarehuller, fastslår
sikkerhedsfirmaet Symantec
i deres halvårlige rapport "Internet Security Threat Report". Til
gengæld blev hullerne farligere og nemmere at udnytte.
I 2003 blev der ifølge
rapporten offentliggjort 2.636 sikkerhedshuller, hvilket er en lille stigning på
to procent i forhold til 2002. Det står i skarp kontrast til perioden fra 2001
til 2002, hvor antallet af opdagede sikkerhedshuller steg 81 procent.
Til gengæld er hackerne
blevet skrappere til at udnytte hullerne, fastslår rapporten. Det skyldes
blandt andet, at det kræver mindre ekspertise at udnytte mange af de nye
huller, og at der findes værktøjer og kodestumper, som hackerne frit kan
benytte.
Denne adfærd knyttes
som regel sammen med den gruppe af angribere, som kaldes for Script Kiddies,
hvilket betegner hackere, som ikke har teknisk indsigt, men i stedet benytter
mere eller mindre automatiske hacker-værktøjer til at angribe systemer med.
Fejl bliver farligere
Symantec vurderer, at
selv om antallet af huller ikke er steget, så er fejlenes karakter alvorligere.
Sikkerhedsfirmaet fremhæver særligt Microsofts browser, Internet Explorer,
hvor antallet af kendte huller voksede med 70 procent.
Da hullerne både bliver
farligere og nemmere at udnytte, går der mindre tid fra sikkerhedshullet
opdages, til angribere udnytter hullet. Som eksempel peger Symantec på ormen
Gaobot, som udnyttede et hul i Microsofts Workstation Service mindre end to uger
efter at hullet blev offentliggjort.
Hackernes motiver er
ikke længere nysgerrighed eller simpel trang til at begå hærværk. Symantecs
rapport fremhæver, at antallet af angreb, som motiveres af informationstyveri,
blev femdoblet andet halvår af 2003. Det er kreditkortnumre og passwords, som
tyvene går efter.
Hackerne benytter også
i stigende grad skjulte bagdøre, som orme og virusser har efterladt på
ofrenes maskiner. Det er i særdeleshed hjemme-PC'er, som udnyttes på den måde.
Derfor slår Symantec også på tromme for fuldautomatiske opdateringsfunktioner
i styresystemerne, sådan som det ses i den kommende Service Pack 2 til Windows
XP.
Firewall slår igen mod hackere
Det amerikanske firma Symbiot
Security mener, at det ikke er nok at forsvare sig passivt mod hackerangreb.
Derfor har selskabet udviklet et kontroversielt sikkerhedssystem, der kan give
hackerne igen af samme skuffe, som de selv angriber med. Med ondt skal ondt
fordrives …
Præcist hvordan
systemet kan slå igen, vil Symbiot ikke afsløre før den officielle lancering
31. marts, men ifølge pressemeddelelsen fra selskabet vil der blive sat hårdt
mod hårdt. Jo mere intenst angrebet er, jo længere det varer, og jo
alvorligere konsekvenser det har, jo hårdere slår systemet igen.
Kunder risikerer
hackersag
Et system, som slår
igen mod hackere, er langt fra uproblematisk. Der er både juridiske, etiske og
tekniske problemer, som brugerne af systemet skal være forberedt på at tage
stilling til. Et modangreb mod en hacker vil nemlig i mange lande blive opfattet
som et hackerangreb i sig selv, og derfor kan den virksomhed, som forsvarer sig,
risikere selv at få en hackersag på halsen.
De hackere, som forsøger
at trænge gennem en virksomheds IT-forsvarsværker, vil ofte skjule sporene, så
angrebet ser ud til at komme et andet sted fra end den maskine, hackeren sidder
ved. F.eks. via en skjult bagdør på en fremmed PC. Derfor er der ingen garanti
for, at Symbiots system ikke slår til mod uskyldige. Symbiot hævder dog, at
systemet er i stand til at identificere angriberne korrekt.
De fleste
sikkerhedseksperter anbefaler i stedet, at man holder sin sti ren, og svarer
igen på et angreb ved at sikre beviserne, underrette de relevante
Internetudbydere og kontakte myndighederne, hvis det er nødvendigt.
Andre peger dog på, at
der kan være situationer, hvor der ikke er tid til at vente på at gå de
traditionelle veje. Hvis det er et kritisk system, som bliver angrebet, så kan
et hurtigt modangreb i yderste konsekvens redde liv.
Terrorpakken
I uge 13 kom regeringens
"terrorpakke" til høring i Folketinget. Forslaget fra
Justitsministeriet vil bl.a. betyde, at teleselskaberne skal opbevare alle
kundernes telefon – og Internetdata i et år. V.h.a. en dommerkendelse kan
politiet så få adgang til disse data i efterforskningen af alvorlig
kriminalitet: terror, økonomisk kriminalitet, børneporno m.v.
Selvom der betages en
lov hurtigt, så kan der dog sagtens gå 1-2 år, før teleselskaberne har det nødvendige
udstyr til at logge/opbevare alle disse data. Og de er iøvrigt godt sure over
denne ekstra byrde og ekstra udgift, sku' vi lige hilse og sige. Faktisk
overvejer telebranchen at kræve en form for kompensation fra staten, som
trækker denne opgave ned over hovedet på dem !
Danske
virksomheder benytter mindst overvågning
De danske medarbejdere
er blandt dem i Europa, som overvåges mindst. Det viser en undersøgelse fra
Hitachi Data Systems. Mens knap hver tredje dansker risikerer at få sin mail-
og instant message-kommunikation tjekket af sine chefer, gælder det samme for
syv ud af 10 spaniere. Tony Franke, direktør i Dansk
IT, mener, at det skyldes, at danskerne er meget troværdige. Derfor er der
heller ingen grund til at overvåge dem.
Danmark siger
ja til europæiske chip-pas
Justitsminister Lene
Espersen (K) og Folketingets Europaudvalg er blevet enige om, at Danmark siger
ja til nye pas forsynet med mikrochip-teknologi. På chippen skal der lagres
personlige oplysninger, billede og måske fingeraftryk.
Passet et led i EU's
forsøg på at dæmme op for terrorister og andre kriminelle, der rejser på
falske papirer. Chippene skal nemlig sætte en stopper for falske pas.
- Vi har en åben
holdning til det. Det er noget, der giver passene høj troværdighed og
sikkerhed. Endnu er teknikken til de elektroniske chips i pas, visa og andre
rejsepapirer ikke færdigudviklet. Og ingen ved, hvor hurtigt de i givet fald
kan blive standard i EU, siger justitsministeren.
Hun oplyser, at
danskerne ikke behøver at frygte for retssikkerheden, da der ikke bliver brug
for nye centrale registre over danskerne med indførelsen af de nye chip-pas.
- Der er ikke lagt op
til et nyt, centralt register. Og hvis det kom på tale, så ville det kræve en
meget grundig behandling, siger Lene Espersen til Ritzau.
Lokumsbrættet
er renere end dit tastatur
Hvis du troede, at din
PC var fuldstændig virusfri, så kan du godt tro om igen. Der bor op til 400
gange flere bakterier på et tastatur til en PC end på et almindeligt toiletsæde
... Kontormiljøer er rene rugemaskiner for mikroorganismer, fordi mennesker
nyser, hoster og trækker vejret, lyder konklusionen på en amerikansk undersøgelse.
Professor i mikrobiologi
Charles Gerba fra Arizonas Universitet har indsamlet prøver fra kontormiljøer
for at måle, hvor mange mikrober vi deler vores arbejdsdag med.
- Skriveborde er
bakteriernes kantiner. Her får de morgenmad, frokost og alt, hvad de ellers har
brug for, efterhånden som vi tilbringer flere og flere timer på kontoret,
siger Gerba ifølge nyhedsbureauet AFP.
I løbet af en
arbejdsdag når vi at pille os i næsen, klø os i håret, måske også lidt i
øret, så en tur til i næsen, et par host og et nys. Og måske også lige et
smut ud ved det "rigtige" toiletsæde ... Hver eneste gang bliver der
overført bakterier til omgivelserne og især de overflader, vi berører med
vores hænder.
Ifølge professor
Charles Gerbas undersøgelse fra Arizonas Universitet er det telefonerne, der er
hjemsted for flest mikroskopiske livsformer.
På en telefon lever der
op til 3.895 bakterier per kvadratcentimeter. På et tastatur er det 510 og på
en computermus er det 260. Skrivebordet er også et travlt sted: 3.249 bakterier
på en kvadratcentimeter af skrivebordet.
- Når personer, som er
smittet med bakterier fra eksempelvis en forkølelse, bevæger sig rundt på
kontoret, overfører de bakterierne til alle de overflader, de berører. Her kan
bakterier eller influenzavirus overleve i op til tre døgn. Et kontor kan på
den måde blive til en sand rugemaskine for mikroorganismer, siger Charles Gerba
ifølge AFP.
Det var alt for denne gang. Du kan i endnu højere grad holde dig opdateret med nyheder på IT-området ved (gratis) at abonnere på nyhedsbrev via e-mail hos f.eks. nedenstående websteder, men de vigtigste nyheder herfra er måske allerede med i MIT nyhedsbrev.
Stay cool – og pas nu på derude på Internettet ...!! :-) Søren Noah (IT-lærer)
|
|
.