100.000 danske pc'er fanget i botnet: It-branchen famler med løsninger

Inficerede computere er et stort problem, også i Danmark, hvor cirka 100.000 maskiner er ramt. Men der er ingen nemme løsninger på problemet med botnet, viste paneldebat om emnet.

De lever i det skjulte, men udgør et stort problem.

I Danmark er omkring 100.000 computere blevet inficeret og indlemmet i botnet, der kan aktiveres og bruges til nye angreb eller spam, eller mere passivt til at indsamle passwords og andre fortrolige oplysninger.

Derfor var der inviteret til paneldebat om emnet på Dansk IT's konference om it-sikkerhed, med en politiker, Dansk Industri samt TDC i panelet. Alle kunne blive enige om problemet, men hvordan man lige kommer det til livs, stod mindre klart.

Hos Dansk Industri havde konsulent Henning Mortensen beskæftiget sig med truslen i halvandet år.

?Vi betragter det som et stort problem, og vi tror på, at der kommer mere og mere avanceret bot-kode. De økonomiske incitamenter er store for de it-kriminelle,? sagde han.

Desværre er der ingen nemme løsninger, lød vurderingen.

?Vi bliver nødt til at være mange aktører, der arbejder sammen mod botnet. For der er ingen simple løsninger,? sagde Henning Mortensen.

Et oplagt samarbejde er mellem internetudbyderne og varslingstjenester som DK-Cert og GovCert. Og den er TDC med på, lød det fra firmaets tekniske sikkerhedschef Lars Højberg. Man er faktisk allerede godt i gang med at få klaret formaliteterne, så samarbejdet kan blive skudt i gang.

TDC har også selv været i gang med nogle anti-botnet-tiltag. For eksempel har TDC's internetkunder fået lukket port 25 for dynamiske IP-adresser, som bliver brugt til at sende spam. Datatrafik til de servere, der kontrollerer et botnet, bliver også så vidt muligt null-routet, altså 'sendt ned i et hul i jorden', som sikkerhedschefen formulerede det.

Men problemet er at afgøre, hvad der er skadeligt og skal stoppes. En fra publikum foreslog, at man brugte lister over farlige IP-adresser fra sikkerhedsfirmaer, i stedet for selv at finde frem til dem. Men det kunne ikke stå alene, mente TDC-manden.

?Vi vil gerne have en myndighed indover til at verificere, hvad der skal blokeres. Hvis der er falske positiver i en liste fra et firma, og vi så blokerer en hjemmeside uden grund, kan det have en rigtig grim effekt. Det ville være et problem for os,? sagde Lars Højberg.

Dansk Industri mente heller ikke, at internetudbyderne skal fungere som politi på nettet, uden grønt lys fra for eksempel GovCert, der kom op og køre i slutningen af 2010.

Awareness var en anden angrebsvinkel. TDC har oplysning til kunderne om it-sikkerhed på hjemmesiden og deltager også i Netsikker Nu-kampagnen. Men en fra publikum citerede sikkerhedsguruen Bruce Schneier for, at awareness er død. Emnet er for komplekst og truslerne ændrer sig hele tiden, så løsningen var at designe systemerne sikkert fra starten.

?Security by design er godt, men det er en stor skude at vende. Vi når nok aldrig perfekt design, så der er et stort rum for forbedring gennem højere awareness,? mente Henning Mortensen.

Walled gardens er en anden tilgang, som TDC og Dansk Industri kigger på. Her spærrer internetudbyderen for adgangen til nettet hos brugere, der øjensynligt er blevet indlemmet i et botnet. Det eneste, man så kan se i browseren via den linje, er information om problemet og besked om at rense computeren.

Fra politisk side deltog Socialdemokraternes it-ordfører Yildiz Akdogan, mest for at lære om truslen. Men hun ville gerne gøre sit ved at få nedsat en bredt sammensat gruppe, der kunne finde frem til løsninger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Maciej Szeliga
  1. Hvem der bliver inficeret ?
  2. Hvad der bliver inficeret ?
  3. Hvor de bliver inficeret ?
  4. Hvorfor de bliver inficeret ?

...så kunne man begynde at tænke på: 5. Hvordan får man løst problemet. 6. Hvordan dem som har gjort noget for ikke at være i risikozonen ikke bliver gjort til sorte får uden support (bl.a. Linux-, xBSD-, Mac-folk og dem som ikke kører med admin rettigheder i Windows).

  • 0
  • 0
#4 Thomas Jensen

"Vi vil gerne have en myndighed indover til at verificere, hvad der skal blokeres. (...)"

Helt forståeligt og helt rimeligt. Vi må så bare sørge for at der til enhver tid er gennemsigtighed omkring hvad disse myndigheder anbefaler der blokeres for og hvorfor.

Walled gardens er en anden tilgang (...) Det eneste, man så kan se i browseren via den linje, er information om problemet og besked om at rense computeren.

Hvis man kan se kunden har en bot på sin computer, så kan man vel også route dens traffik til null? Gør den så mere skade? Hvorfor forlange/forvente kunden selv kan "rense" sin computer?

Hvis man har en myndighed der identificerer bots, og giver anbefalinger til internetudbyderne om hvad der skal blokeres, så kunne man måske også give dem tilladelse til at destruere bots?

  • 0
  • 0
#5 Morten Lind

Hele artiklen nævner ikke alternative OS. Hvorfor? Det er som at læse en afhandling fra de mest lærde i bygge og anlægsbranchen, som handler om alle mulige måder at grave huller med teskeer ... uden nævnelse af spader og gravemaskiner!

  • 0
  • 0
#6 Maciej Szeliga

Hvis man kan se kunden har en bot på sin computer, så kan man vel også route dens traffik til null? Gør den så mere skade? Hvorfor forlange/forvente kunden selv kan "rense" sin computer?

Hvorfor kan man forvente at folk selv ved at dækkene på bilen skal skiftes ? Hvorfor kan man forlange at fodgængere stopper for rødt ?

Hvis man har en myndighed der identificerer bots, og giver anbefalinger til internetudbyderne om hvad der skal blokeres, så kunne man måske også give dem tilladelse til at destruere bots?

Identificere bot'ene er en ting, blokere for kommunikationen er en anden, kommunikationen foregår på almindeligt brugte protokoller og der er endda deonstreret fjernstyring via Twitter. Det er bot'en som skal fjernes,

  • 0
  • 0
#8 Thomas Jensen

Hvorfor kan man forvente at folk selv ved at dækkene på bilen skal skiftes ? Hvorfor kan man forlange at fodgængere stopper for rødt ?

Hvorfor forvente/forlange det, hvis man teknisk kan unødvendiggøre det?

Identificere bot'ene er en ting, blokere for kommunikationen er en anden,

Er det? Hvem siger det er brugerens computer der skal blokeres? Hvis man blokerer for det bot'en kommunikerer med, så er problemet vel løst?

  • 0
  • 0
#9 Maciej Szeliga

Hvorfor forvente/forlange det, hvis man teknisk kan unødvendiggøre det?

Det kan man med mange ting... også dækskifte. Det du foreslår afhjælper intet og vil gøre livet surt for alle. Det er PC'eren som skal renses og derefter holdes ren. Folk skal bare lære det, ligsom de lærer at bruge en opvaskemaskine eller et fjernsyn, hvis de ikke kan lære det så er systemet for svært til at kunne bruges, (al henvendelse vedr. den sag skal ske til S. Ballmer) eller de er for dumme til at bruge det. Jeg gider i øvrigt ikke diskutere hvorvidt PC'ere skal kunne bruges af folk som ikke vil vide hvordan man bruger sin komputer, hvis de ikke vil vide det så må de betale sig fra det.

Er det? Hvem siger det er brugerens computer der skal blokeres? Hvis man blokerer for det bot'en kommunikerer med, så er problemet vel løst?

Så du vil blokere for Twitter eller måske Facebook ? Ethvert site som du rimeligt anonymt og hurtigt kan opdatere indholdet på kan bruges til at styre et botnet.

  • 0
  • 0
#11 Thomas Jensen

"For dumme" og "så må de betale sig fra det"... Du glemmer vist hvem der er skurk og hvem der er offer.

Så du vil blokere for Twitter eller måske Facebook ?

Jeg har tillid til det kan gøres tilpas intelligent til ikke at være et problem.

Men det skal nok passe at der "ikke er nogen nemme løsninger". Og jeg er enig i, at det optimale sikkert er at fjerne bot'en. Fint. Så lad os gøre det lovmæssigt nemmere at angribe disse botnet. Så længe der er åbenhed omkring hvad der sker, har jeg ihvertfald ikke noget problem med at give politiet eller GovCert eller andre, lov til at bekrige dem med de fornødne midler. Var der ikke en der nævnte, at her kan man da bruge den der NemID java-applet til noget fornuftigt?

  • 0
  • 0
#12 Ole Juul

Er det? Hvem siger det er brugerens computer der skal blokeres? Hvis man blokerer for det bot'en kommunikerer med, så er problemet vel løst?

IOW, The internet. Som Maciej Szeliga siger, kan det jo være en vær site. Det kan også være en site der ikke eksistere endnu, eller kun eksistere for et meget kort tid.

  • 0
  • 0
#13 Maciej Szeliga

Du glemmer vist hvem der er skurk og hvem der er offer.

Nej det gør jeg ikke. Jeg ved godt at det lyder sådan men den barske realitet er, at computere slet ikke så simple som de gøres til af sælgere og computerfirmaer. På nuværende tidspunkt skal ejeren sætte sig tilstrækkeligt ind i tingene selv eller batale sig fra det. Det er trist men sandt. Det man kunne pålægge ISP'erne er at de skal tilbyde online skanning af alt det man henter for dem som ønsker det.

Fint. Så lad os gøre det lovmæssigt nemmere at angribe disse botnet. Så længe der er åbenhed omkring hvad der sker, har jeg ihvertfald ikke noget problem med at give politiet eller GovCert eller andre, lov til at bekrige dem med de fornødne midler.

Det er jeg så helt enig i. Udfordringen i det er at man så skal have indført en lovgivning på tværs af grænserne, hvilket rent politisk er et større problem.

  • 0
  • 0
#14 Maciej Szeliga

Hele artiklen nævner ikke alternative OS. Hvorfor? Det er som at læse en afhandling fra de mest lærde i bygge og anlægsbranchen, som handler om alle mulige måder at grave huller med teskeer ... uden nævnelse af spader og gravemaskiner!

Det er derfor jeg efterlyser en undersøgelse...

  • 0
  • 0
#15 Martin Kofoed

Hele artiklen nævner ikke alternative OS. Hvorfor?

Ssshh!! Nu er vi jo blevet tudet ørene fulde med, at vi KUN går fri på grund af lav udbredelse. Så skal du da ikke komme her og UDBREDE!! ;-)

"Du slipper jo kun for virus fordi ingen gider at skrive virus til en platform med 1% udbredelse!", synes at være et af de gode argumenter for bare at lade stå til.

Jeg er ret ligeglad. Hvis det vitterligt ER derfor, jeg har bevæget mig under radaren i over 5 år nu, så kan jeg sagtens leve med det. Jeg vælger nu selv at tro, at det skyldes en kombination af tre ting:

1) Udbredelse 2) Brugernes gennemsnitlige kvalifikationer 3) Systemets design

Vedr. pkt. 2, så er det naturligvis ikke nødvendigt med specielle kvalifikationer. Mine forældre kører eksempelvis Linux uden problemer. Men hos en brugergruppe, som aktivt har fravalgt Windows, må det gennemsnitlige vidensniveau nødvendigvis være højere. Der er flere "lusers" på Windows end på Linux og Mac. Og den tendens bliver vel bare værre og værre, for hvor skal alle de teknisk mindrebemidlede få hjælp fra efterhånden, hvis eksperterne kører noget andet? Personligt har jeg ikke ydet Windows-assistance i flere år, simpelthen fordi jeg ikke kan finde ud af det. Jeg bruger det ikke, og jeg gider ikke spilde tid på det.

  • 0
  • 0
#16 Andreas Andersen

Der er flere "lusers" på Windows end på Linux og Mac. Og den tendens bliver vel bare værre og værre, for hvor skal alle de teknisk mindrebemidlede få hjælp fra efterhånden, hvis eksperterne kører noget andet?

Ja der er flere bruger med mindre teknisk viden som køre windows, men der er stadig flere brugere med teknisk som køre med windows end mac og linux til sammen. Så lad være med at dreje denne debat over på windows vs mac vs linux.

Til debatten: Hvor realistisk er det at alle lige pludseligt skifter OS? Og hvad skulle de skifte til? Hverken mac, linux eller andre OS'er er mere sikkert end windows, hvis man sætter det i forhold til hvor let det er og hvor meget man kan. Som tidligere nævnt er det bare et spørgsmål om at hakkere ikke gider at skrive viruser til linux og mac fordi der ikke er nok der bruger dem. Det svare til at superbest kun har åbent i fra 10-15 hvor de fleste er på arbejde. Det giver heller ikke mening, og vil være spildt arbejde.

  • 0
  • 0
#17 Martin Frandsen
  1. Kan en re-installation fjerne det/de root-kits som mange botnet angiveligt bygger på?.

  2. Har ladet mig fortælle, at nogle angreb bider sig fast i BIOS, er det korrekt?

Hvis man kan fjerne et rootkit / botnet ved at re-installere... I så fald bør awareness-delen af strategien opfordre PC-byggere - firmaer såvel som familiens pc-handyman - til at gøre det til en vane, at lave en nem "re-etablerings-funktion." Kan eventuelt gøres med et disk-image og en simpel boot-menu. Har selv anvendt Norton Ghost og lignende løsninger.

Næste problem er naturligvis de mange eksterne USB lager enheder. Der kan "smitten" ligge og vente til en anden dag.

Min oplevelse: Brancen og brugerne har brug for bedre værktøjer til at opdage og fjerne rootkits og den malware der fødes af dem. Leverandører af maskiner til "almindelige private kunder," bør være mere pro-aktive. Det er også i deres interesse at levere et mere tidssvarende produkt. Folkeskole/Gymnasieklasser bør orienteres om IT-sikkerhed af samme grund som man fortæller dem om seksuelt overførte sygdommme - de kan nemt komme i uføre hvis de ikke er informerede.

Måske kunne man efterligne look'et fra 80'ernes AIDS-kampagner og youtube/facebook'e en "kampagne" uden det skal koste en milliard....

./me goes off to play with video-editing software, collection of 80's tracks and neon spandex tights... I've said too much.

  • 0
  • 0
#18 Jørgen Henningsen

I så fald bør awareness-delen af strategien opfordre PC-byggere - firmaer såvel som familiens pc-handyman - til at gøre det til en vane, at lave en nem "re-etablerings-funktion."

Ja please, lad os bygge IT infrastrukturen op på at alle PC'er skal reinstalleres jævnligt. Jeg vil heller ikke gøre det her til MS bashing, men tænk hvis det var din bil som pludselig stoppede fordi den skulle reinstalleres. Ville du kunne leve med det?

  • 0
  • 0
#20 Michael Degn

@Martin,

De fleste rootkits ændrer MBR og kan ikke detekteres fra det installerede OS. Denne type bliver fjernet i samme øjeblik maskinen formateres.

Men som du nævner, findes der også rootkits til BIOS. Det er dog ikke så meget man ser til dem. Sådan et rootkit installeres ved at flashe BIOS - hvilket kan lade sig gøre inde fra Windows på mange maskiner. Men rootkit'et skal tilpasses nøje til BIOS. Dermed kan der ikke bare bruges generisk kode.

Den type rootkit vil være svær at opdage, men kan fjernes igen ved at flashe BIOS påny.

Visse producenter har dog lavet foranstaltninger, så BIOS kun kan flashes ved at boote op med en bestemt tastekombination og f.eks. FreeDOS samt firmware.

  • 0
  • 0
#21 Lars Olesen

Man skulle måske se mere på den måde computer og internettet i dag bliver benyttet og den almene viden omkring computer. Man har idag flere områder, hvor folk skal igennem længer træning og tests, for at bruge et given produkt eller hobbyer som vi tager for givet, og en meneskeret at vi har adgang til, her kan fx. nævnes bil som man skal have kørekort til, jagt og jagttegn osv. Jeg ved det lyder som en drastisk ting at man skal have "kørekort" til internettet, men det er bare sådan at i dag kan man, pga. af uvidenhed, kan skade andre menesker og firmaer økonomisk, hvis man ikke gider/kan sætte sig ind i nogle relative simple foranstaltninger for at sikre sin computer.... jeg siger absulut ikke at denne måske noget voldsome metode er vejen frem, men måske skal vi bare til at tænke noget mere ude af boksen for at komme det til livs og samtidig måske tage hånd om andre af it-tidens følge problemer

  • 0
  • 0
Log ind eller Opret konto for at kommentere