2010 stod i botnettets tegn

Ukendte sårbarheder, storpolitiske lækager og lukninger af botnet var blandt tendenserne i året, der gik, skriver Shehzad Ahmad i denne nytårsklumme fra Computerworld Online.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Lethic. Pushdo. Bredolab. Kryptiske navne, der dækker over nogle af de botnet, som var i mediernes søgelys i det snart forgangne år.

Heldigvis skyldes opmærksomheden, at det ikke gik så godt for dem.

Alle tre botnet blev mere eller mindre lammet i en periode.

Det skyldes, at politi og netudbydere satte ind mod dem.

Derudover bød 2010 på en sjældent avanceret orm, adskillige sårbarheder og angreb fra cloud. Sociale applikationer blev også udnyttet flittigt af hackere.

Men lad os starte med at se på botnetsituationen i dette tilbageblik på året, der gik.

Sikkerhedsfirmaer mod botnet

I starten af året blev botnettet Lethic lammet.

Det skete ved, at sikkerhedsfolk fra flere internetudbydere gik sammen om at sætte botnettets centrale kontrolservere ud af drift. Den 9. januar kom der ikke mere spam fra pc'er i Lethics botnet.

Freden varede en måned. Den 11. februar blev Lethic vakt til live igen.

Historien er typisk for de indgreb mod botnet, vi har set i årets løb: Man sætter ind mod de centrale servere, som sender kommandoer ud til pc'erne i botnettet.

Hurtig gevinst
Det giver en hurtig gevinst, hvor botnettet helt eller delvis sættes ud af drift.

Men som regel er det kun et spørgsmål om tid, før bagmændene har etableret en ny kommandostruktur.

Det så vi blandt andet med indsatsen mod Bredolab, der blev sat ud af drift i oktober. Her lykkedes det også at anholde en formodet bagmand.

Da kontrolserverne som regel kan erstattes, er det nødvendigt at sætte ind på flere fronter.

Her bragte året en interessant nyskabelse: Den 22. februar fik Microsoft nedlagt fogedforbud mod en række domænenavne, som anvendes af botnettet Waledac.

Ved at gå rettens vej gjorde firmaet det på den måde sværere for bagmændene at kommunikere med pc'erne i botnettet. Der er dog uenighed om, hvor effektiv metoden var.

Hvis botnet for alvor skal lammes, må man sætte ind over for de enkelte pc'er, der er inficeret med botnetprogrammer.

Derfor var det en god nyhed, da Microsoft i oktober tog Zeus/Zbot med i Værktøj til fjernelse af skadelig software (MSRT).

Det er et program, der kører automatisk hver måned på pc'er, der anvender Windows Update.

Efter en uge havde værktøjet renset næsten 275.000 pc'er for Zeus.

En anden indsats mod Zeus kom fra politiet i USA, Storbritannien og Ukraine:

I slutningen af september blev der anholdt omkring 100 mennesker, der mistænkes for at have brugt Zeus-softwaren til at få adgang til andres netbanker og stjæle penge fra dem.

Dette vi der komme til at ske
Lige efter nytår afslørede Google, at firmaet havde været udsat for et omfattende hackerangreb fra kinesiske IP-adresser.

Angriberne prøvede blandt andet at få fat i data fra Gmail-konti tilhørende kinesiske systemkritikere.

Til angrebet var der anvendt mindst ét hidtil ukendt sikkerhedshul, en sårbarhed i Internet Explorer. Microsoft lukkede hullet med en ekstraordinær rettelse i januar.

Den professionelle udførelse og målet for angrebet fik Google til at mistænke det officielle Kina for at stå bag.

Så sagen førte til, at Google holdt op med at tilbyde en censureret udgave af firmaets søgemaskine til kinesiske brugere.

Kina har officielt nægtet at have noget med angrebet at gøre.

Stuxnet mod Iran
Det storpolitiske spor fortsatte med opdagelsen af ormen Stuxnet.

Teknisk set var den spændende, fordi den anvendte flere hidtil ukendte sårbarheder. En af dem lå i Windows' behandling af genvejsfiler.

Den var så alvorlig, at Microsoft lukkede hullet med en ekstraordinær rettelse i august.

Men en nærmere analyse af Stuxnet afslørede endnu mere opsigtsvækkende detaljer:

Den var målrettet mod procesanlæg.

I november indrømmede Irans præsident, Mahmoud Ahmadinejad, at ormen havde givet problemer for nogle af landets uran-centrifuger.

Hvem der står bag Stuxnet er ikke opklaret.

Cloud mod IP-telefoni
Cloud og SaaS (Software as a Service) har været populære buzzwords i år.

Vi så da også nogle tidlige eksempler på, hvordan it-undergrunden kan udnytte centrale cloud-servere.

I april kom der således store mængder data fra servere i Amazons cloud-tjeneste EC2 (Elastic Compute Cloud) til IP-telefoniservere, der kører protokollen SIP (Session Initiation Protocol).

Det var forsøg på at gætte sig til brugernavne og passwords, så angriberne kunne komme ind på omstillingsanlæggene.

Svindlere mod Facebook
2010 blev året, hvor Facebook nåede over en halv milliard brugere på verdensplan.

Det ser netsvindlerne som en halv milliard potentielle ofre. Derfor så vi en stor mængde forsøg på svindel på den populære platform.

Næsten daglig kan man læse sensationelle overskrifter af typen "OMG! Look what happens when identical TWINS meet on Chat Roulette!", "Girl killed herself, after her dad posted This to her Wall" eller "this is hilarious! lol :P :P :P Distracting Beach Babes."

Formålet er næsten altid det samme: At lokke brugeren til enten at besøge en bestemt webside eller give en applikation adgang til at skrive på vedkommendes væg.

Bag det hele ligger et system af såkaldte survey scams.

Det går ud på, at bagmændene tjener penge, hver gang de kan lokke et offer til at udfylde et online spørgeskema.

I december så vi det første eksempel på den slags svindel, hvor lokkemaden var på dansk.

Et kig fremad
Der er sket mange flere ting i år, som kunne være værd at nævne her.

Senest har vi set hele affæren med Wikileaks, der både handler om beskyttelse af følsomme data og DoS-angreb.

Året bragte også flere anholdelser og domfældelser.

Men lad mig stoppe tilbageblikket her og i stedet kigge frem mod det nye år. Hvad vil vi se?

Der kommer helt sikkert endnu flere angreb, der udnytter sociale netværk som Facebook og Twitter.

Derudover vil vi se flere målrettede angreb. De vil næppe være så sofistikerede som Stuxnet, men på samme måde målrettede mod bestemte ofre.

Mobiltelefoner og andet udstyr, der ikke er traditionelle computere, vil også blive udsat for angreb.

Endelig er der hele virtualiseringsområdet. Den teknologi er så udbredt, at vi må vente flere forsøg på at knække hypervisoren og slippe ud af den virtuelle maskine.

Så der bliver nok at bestille for os i sikkerhedsbranchen.

Derfor er jeg glad for, at DK•CERT i år kunne indgå i et samarbejde med Danmarks nationale GovCERT.

EU har netop besluttet, at alle medlemslande skal have CERT-funktioner, som skal samarbejde i netværk.

Den opgave er vi godt rustet til i Danmark.

Godt nytår!

 

Oprindelig offentliggjort på Computerworld Online den 31. december 2010

LINKS

Blogindlæg fra Microsoft om Stuxnet

Angreb på IP-telefoni fra Amazon EC2, artikel fra DK•CERT

EU etablerer center mod it-kriminalitet, artikel fra DK•CERT

Denne klumme på Computerworld Online

Keywords: