Risker på Internet

Transaktioner värda miljarder och miljarder pengar sker över Internet varje sekund, varje minut,  varje dag. Vi själva sköter bankärende via Internet minst en gång i månad. Vi köper kläder, mat, möbler, blommor, bilar, olika prylar över Internet så att vi bland miljontals människor är beroende av apps som fungerar över Internet. Men hur säkert är Internet?

Bild 1: Risker på Internet

It-relaterade brott – lagar och fakta

Dataintrång innebär att man utan tillstånd väljer att ge sig själv tillgång till information som lagras digitalt. Med åtkomst till digital information kan man ändra, ta bort eller lägga till ytterligare information utan tillstånd. Dataintrång är så klart brottsligt.

Polisen yttrar sig på sin hemsida över IT-relaterade brott:

Idag är de flesta brott it-relaterade på något sätt. Per definition är it-brott dataintrång och datorbedrägeri, men det finns flera brott som är direkt kopplade till it och sociala medier.

Identifiering av aktuella nätverksrisker

Tillbaka i “gamla dagar” var nätverksrisker mycket enklare. Vi hade folk som ville ha gratistelefonsamtal och sådant. Internet var i sin linda och folk försökte ge sig till känna. I slutet av 1990-talet och början av 2000-talet blev det en markant ökning av antalet datavirus, men fortfarande handlade det om att få berömmelse.

Nätverksrisker idag är helt annorlunda. Dagens attackmetoder har blivit destruktiva och kriminella därav mer komplexa/avancerade. De förändras ständigt och nya dyker upp hela tiden. Det är svårt att kartlägga vem eller vilka som kommer att attackera ett nätverk, men man kan alltid förbereda sig genom att studera generella aspekter av potentiella angripare exempelvis:

  • Terrorister
  • Kriminella
  • Hackare
  • Missnöjda anställda
  • Konkurrenter
  • Någon som har tillgång till en datorutrustning

Olika termer används för att hänvisa till dessa angripare, inklusive hacker/cracker (brottslig hacker), script-kiddie, hactivist mm. I listan ovan inkluderas också statliga myndigheter och länder som utövar spioneri och cyberkrig.

Här samlas en kort lista på skadliga mjukvara där inkluderas olika datavirus, maskar, trojaner, DOS-attacker samt hackerverktyg. Det som är gemensamt för dessa verktyg är deras syfte, att utnyttja säkerhetshål i nätverksenheterna. Allt detta för att lura sig in i ett system, kontrollera det och sprida sig själva vidare till andra datorer.

Definitioner jag använder hämtar jag från en Internet-guide från Daniel Goldberg och Linus Larsson.

Malware

Bild 2: Malware

Malicious software, eller skadlig mjukvara som har för syfte att utföra intrång på datorer utan datoranvändarens samtycke. I denna grupp inkluderas datorvirus, maskar, trojaner, rootkits, bakdörr, spioner, tangentbordsskanner (keyloggers) mm.

Datorvirus/datavirus

Ett datavirus är en skadlig kod som är kopplad till legitima program eller körbara filer. De flesta datavirus kräver aktivering genom en association till annat program. Ett datavirus kan lägga sig vilande under en längre period och sedan kan det aktiveras vid en viss tidpunkt eller datum. När ett datavirus har aktiverats kan till exempel skanna hårddisken och söka andra körbara filer för att infektera de.

pic36a-virus
Bild 3: Dator- eller Datavirus

Tidigare var e-post ett effektivt sätt att sprida datorvirus, men inte längre eftersom de flesta system använder spamfilter. Numera kan datorvirus sprida sig via webben. Internetanvändare är ständigt på jakt efter gratis program och då är detta bästa sätt för datorvirus att sprida sig över hela världen. Populära länkar till gratis programvara finns överallt och särskilt på sociala medier och webbsidor.

Datavirus kan också vara ofarliga exempelvis sådana som visar en bild på skärmen, eller farliga och destruktiva till exempel de som ändrar eller tar bort filer på hårddisken. Datavirus kan också programmeras att mutera/ändra utseende för att undvika vara upptäckt.

Worms eller maskar

Till skillnad från datavirus är maskar fristående program som inte behöver infektera filer eller program för att existera. Precis som naturens maskar kan dator-maskar krypa sig överallt, vissa kan kopiera sig över ett nätverk, andra lägger sig på USB-minne eller själva lägger sig som bifogat fil i ett mejl.

En mask exekverar själv godtycklig kod och installerar kopior av sig själv i minnet av den infekterade datorn. Därefter skannar masken nätverket och söker öppna utgångar så att den kan sprida sig vidare.

Bild 4: SQL Slammer

Maskar är ansvariga för några av de mest förödande attackerna mot Internet. Till exempel SQL Slammer från januari 2003 saktade den globala Internettrafiken till följd av Denial of Service. Över 250.000 servrar påverkades inom 30 minuter efter dess release.

Masken utnyttjade ett fel i Microsoft SQL Servers buffert minne. Trots att en patch för denna sårbarhet släpptes i mitten av 2002. Detta är ett bra exempel på varför viktiga uppdateringar och patchar för operativsystem och applikationer ska regleras via nätverkssäkerhetspolicy.

Trots förbättrade antivirusmetoder har maskar fortsatt att utvecklas och fortfarande utgör idag ett hot. Men även om maskar har blivit mer sofistikerade med tiden tenderar de fortfarande att vara baserade på att utnyttja svagheter i program.

De flesta maskangrepp har tre huvudkomponenter:

    • Självaktivering – En mask installerar sig själv med hjälp av en funktion (e-postbilaga, körbar fil, trojansk häst) på en sårbar systemet.
    • Förökningsmekanism – Efter att ha fått tillgång till en enhet replikerar masken sig själv och lokaliserar nya mål.
    • Payload – Resulterande koder i infektionsprocesser återanvänds.

Maskars arbetsfaser

I flera år har man studerat hur olika maskar och datavirus fungerar, Deras gemensamma arbetsmetoder har uppdelats i fem faser:

    • Probe fas – Utsatta mål identifieras. Målet är att hitta datorer som kan undermineras. Internet Control Message Protocol (ICMP) ping användes för att kartlägga nätverk. Operativsystem ska identifieras därmed sårbara applikationer. Hackare kan få lösenord med sociala luriga metoder (social engineering), dictionary attack, brute-force, eller nätverks sniffning.
    • Penetrate fas – Hackares kod överförs till utsatta mål. Målet är att få den hackade datorn exekvera koden genom en attack vektor, såsom en buffer overflow, ActiveX eller Common Gateway Interface (CGI) sårbarheter, eller ett e-postvirus.
    • Persist fas – Efter attacken har framgångsrikt startat från minnet, försöker koden befästa sig på målsystemet, så att koden är tillgänglig för angriparen även om systemet startas om. Detta uppnås genom att modifiera systemfiler, vilket gör ändringar i registret och installerar ny kod.
    • Propagate fas – Angriparen skannar efter fler sårbarheter i andra angränsade maskiner. Målet är att fortplanta sig genom att skicka kopior av skadlig kod via e-post, nedladdning av filer eller FTP-tjänster, aktiva webbanslutningar.
    • Paralyze fas – Verklig skada sker i systemet. Filer kan raderas, system kan krascha, informationen kan bli stulen, och distribuerade DoS (DDoS) attacker kan startas.

Morris masken

pic24-robert-morris
Bild 6: 1988 Robert Morris

2 november 1988 Robert Morris skapade den första Internet masken med 99 rader kod. När Morris mask släpptes infekterades 10 % av alla datorer på Internet. Även om masken inte var destruktiv överbelastades många datorer uppkopplade till Internet med onödiga processhanteringar.

Robert Morris förklarade att han var nyfiken över antal anslutna datorer till Internet. Han fick tre års skyddstillsyn, 400 timmars samhällstjänst och böter på US $ 10 000

Trojan Horse

Till skillnad från datorvirus kan existera trojaner helt för sig själva. Att programmera trojaner har visat sig vara lättare än att programmera datorvirus. När en trojan har fått fäste på ens dator kan den användas för en hel del. Till exempel kan den avlyssna det du skriver på tangentbordet så att man kan komma åt lösenord, kontokortsnummer eller andra känsliga information.

En annan vanlig funktion är att en infekterad dator kan kapas och fjärrstyras. Det kallas ofta att den ingår i ett botnät, ett stort nät som består av många andra kapade datorer med syfte att utföra synkroniserade attacker.

En trojansk häst representerar dold innehåll och skadlig kod som utnyttjar användarens rättigheter. Till exempel ett nedladdade Spel från Internet kan bära en trojansk häst. När du installerar och kör spelet körs i bakgrunden dold och skadlig kod. Dessa kod kan orsaka omedelbart skada, ger fjärråtkomst till systemet (en bakdörr), eller utföra handlingar enligt instruktionerna på distans, till exempel som “skicka mig lösenords fil en gång per vecka.” Skräddarsydda skriftliga trojanska hästar är svåra att upptäcka.

Bild 5: Trojan horse

Trojanska hästar brukar klassificeras efter de skador de orsakar eller det sätt på vilket de bryter mot ett system:

      • Remote-access Trojan Horse – möjliggör obehörig fjärråtkomst
      • Data sändare Trojan Horse – ger angriparen känsliga uppgifter såsom lösenord
      • Destruktiva Trojan Horse – korrumperar eller raderar filer
      • Proxy Trojan Horse – användarens dator fungerar som en proxyserver
      • FTP Trojan Horse Öppnar port 21
      • Säkerhetsprogram Trojan Horse  – stoppar antivirusprogram eller brandväggar
      • Denial of Service Trojan Horse – bromsar eller stoppar nätverksaktivitet

 Melissa datorvirus

26 mars 1999 – den första makrovirus, Melissa datorviruset spred sig över Internet och överbelastade epost servrar. Datorviruset skannade datorer och skickade ut 50 nya meddelanden till e-postadresser tagna ur Microsoft Outlooks adresslista.

pic25a-melissa-virus
Bild 7: 1999 Melissa datorvirus
  1. Avändaren identifierades som J. R. Whipple (John Rapper, en av de första telefon phreak)
  2. Meddelandena hade då texten “Important message from Bob Smith” i ärenderaden
  3. Meddelandet “Here is that document you asked for …. don´t show anyone else :-)”
  4. Datorviruset spreds främst genom bifogade infekterade Word dokument

När en användare öppnade bilagan, satts igång datorviruset och kontrollerade Windows register efter en nyckel som talade om systemet redan var smittat (för att minska risken för upptäckt).

Hans skapare, David Smith, dömdes till 20 månader i fängelse och 5 000 USD i böter.

Code Red

I juli 2001 angreps webbservrar på Internet av Code Red masken som lyckades infektera över 350 000 servrar.

pic17-code-red
Bild 8: 2001 Code Red masken

Masken förhindrade åtkomst till servrarna genom att hålla de upptagna. Code Red även påverkade nätverk i vilka de infekterade servrarna fanns.

Om yrkesverksamma säkerhetsansvariga hade förebyggt lämpliga säkerhetsåtgärder (säkerhetspolicy) skulle Code Red masken kunnat stoppas.

Datorvirushistorik med Mikko Hyppönen

Det känns som en riktigt stor uppdrag att sammanfatta utvecklingen av diverse datavirus/datorvirus genom alla åren. Det är en lång lista, spännande men för långt för en enkel kurs som denna. Här ovan nämndes några exempel av malware och med hjälp av en internationell säkerhetsspecialist från Finland, Mikko Hyppönen, har vi möjlighet att resa i 50 minuter från den enkla och ofarliga BRAIN till den avancerade Stuxnet. En mask son troligen utvecklades för att angripa Irans kärnanläggningar och med det höjdes upp troligen cyberkriget:

Stuxnet

Stuxtnet masken upptäcktes sommaren 2010, men den hade då troligen redan funnits ett år. Stuxnet skiljer sig från vanliga malware eftersom den var designad för att styra speciella maskiner i en kärnanläggning. Stuxnet söker efter maskiner från Siemmens avsett för tung industri så att de kan styras. Här nedan en video på 26 minuter med Ben Hammersley från BBC News, säkerhetsspecialister Mikko Hyppönen och Eugene Kaspersky som analyserar hur Stuxnet har designats och vad blev konsekvenserna: