Et år med botnet og SQL-angreb

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Forbryderne fandt nye veje til de værdifulde data, de var ude efter, i det år der snart er gået.

I årets løb har jeg især hæftet mig ved to tendenser: Botnet i mange former og frygten for at miste fortrolige data.

En af de nye veje, som fører til fortrolige data, består i en kombination af velkendte teknikker.

Den ene hedder SQL-indsætning: Ved at misbruge sikkerhedsfejl i webapplikationer kan uvedkommende lægge scriptkode ind på websider.

Når andre besøger websiderne, bliver deres pc smittet, idet scriptet udnytter kendte sårbarheder i browseren eller andre udbredte programmer.

Giftig kombination

Denne kombination af SQL-indsætning og "drive-by-installation" er særlig giftig, fordi den udnytter websteder, folk har tillid til. Hvis et populært websted er sårbart over for fx SQL-indsætning, kan det være med til at smitte tusinder af pc'er.

Når pc'erne bliver inficeret, bliver de ofte indrulleret i et botnet. Dermed kan bagmændene fjernstyre dem.

Pc'erne i botnettet misbruges gerne til at udsende spam, hoste phishing-websteder eller angribe andre computere.

I år så vi en kombination af SQL-indsætning og botnet: Et botnet ved navn Asprox blev brugt til at finde websteder, der var sårbare over for SQL-indsætning.

Herefter udnyttede pc'erne på botnettet sårbarheden til at inficere webstedet med.

Det skete blandt andet for Miljøstyrelsens websted.

Beskyt data på USB-nøgler
I årets løb har jeg holdt foredrag for mange danske virksomheder og organisationer. Et af de spørgsmål, jeg tit er blevet stillet, er, "Hvordan sikrer vi USB-enheder?"

Ofte viser det sig, at de er interesseret i andet og mere end små, bærbare USB-enheder: De vil vide, hvordan de kan beskytte sig mod at miste fortrolige data ved, at medarbejderne kopierer dem over på musikafspillere eller sender dem som e-mail.

Det handler om at beskytte sig mod datatab som følge af fejl snarere end bevidste angreb.

Derfor er flere også blevet interesserede i produkter, der beskytter virksomheder mod den form for tab af data.

Beskyttelse mod data-læk
Produkterne går blandt andet under betegnelsen Data Leak Prevention (DLP).

Et DLP-produkt kan fx forhindre, at data, der er stemplet fortrolige, kan kopieres til en USB-nøgle.

Jeg venter, at endnu flere danske virksomheder vil kigge på DLP i det kommende år. Ingen har lyst til at få udbasuneret firmaets navn sammen med beskeden om, at det har ladt data om tusindvis af kunder falde i de forkerte hænder.

Det store DNS-hul
Ellers var 2008 året, hvor en sikkerhedsforsker fandt en alvorlig sårbarhed i en af internettets basisteknologier: DNS (Domain Name System). Dan Kaminsky opdagede en metode, der gør det lettere at snige falske oplysninger ind i DNS-servere via såkaldt DNS cache poisoning.

Det var godt at se, hvordan internetbranchen i fællesskab gik i gang med at indføre rettelser, der mindskede risikoen.

Men et rettet program hjælper ikke noget, hvis det ikke bliver sat i drift. Og der kører stadig mange ældre versioner af BIND og andre DNS-serverprogrammer ude på nettet.

Historien om DNS-sårbarheden viser endnu engang, at der skal en kombination af teknologi og mennesker til, hvis sikkerhedsproblemerne skal løses.

Mit nytårsønske er derfor, at teknologien, organisationen og menneskene går op i en højere enhed til gavn for et mere sikkert it-miljø. Godt nytår!

 

Oprindelig bragt på Computerworld Online tirsdag den 30. december 2008

Keywords: