Ti år med ondsindede angreb

Gennemgangen herunder af de seneste ti års hacker- og virusangreb viser, at hvad der før handlede om prestige og fantasi idag er cool business og organiserede bander. Samtidig bliver samfundet stadigt mere digitalt og dermed sårbart over for it-kriminalitet.

1999: Melissa

Melissa var det første eksempel på en hurtigtspredende makrovirus. Den fik på rekordtid stor udbredelse ved at sprede sig, når brugere åbnede særligt udformede Worddokumenter, som indeholdt en makro, der videresendte virussen som et vedhæftet Worddokument til kontakter indsamlet fra adressebogen på ofrets Windowsmaskine. Virussen blev frigivet den 26. marts 1999 og satte alverdens e-mail-indbakker under hårdt pres. Melissas bagmand, David L. Smith, blev anholdt en uge efter, virussen blev sluppet løs, og senere idømt 20 måneders fængsel.

2000: I Love You

I Love You-virussen hærgede omkring årtusindskiftet, hvor både CIA og det engelske parlament fik virus. I Danmark gik det ud over Bornholms Kommunes it-systemer. Ligesom Melissa året før spredte I Love You-virussen sig ved at videresende filer, hvor den selv var vedhæftet, til personer i ofrets Outlook-kontaktliste. Virussen forsøgte at narre ofrene til at klikke på det vedhæftede VBScript med navnet love-letter-for-you.txt.vbs. Ved aktivering overskrev virussen vigtige filer på den ramte klient.

2001: Code Red

Code Red-virussen kom fra Kina og gik målrettet efter hullede IIS-webservere fra Microsoft, som indeholdt en bufferoverflow-sårbarhed, der gjorde det muligt for virussen at eksekvere vilkårlig kode på webserveren. Selvom Microsoft en måned efter, hullet i webserveren blev opdaget, frigav en patch, havde virussen allerede inficeret hundredtusindvis af webservere verden over. De inficerede servere blev en lille måneds tid efter angrebet forsøgt brugt i Denial-of-Service-angreb. Ormen var ikke videre anonym, da de hackede hjemmesider blev udstyret med beskeden 'HELLO! Welcome to http://www.worm.com! Hacked By Chinese!' Ligesom den heller ikke var specielt intelligent, da den både forsøgte at inficere patchede og upatchede IIS-servere, samt Apache-servere.

2002: It-sikkerhed

Efter flere brutale omgange med - efter datidens målestok - hårdføre vira, kommer it-sikkerhed på den politiske dagsorden. Videnskabsminister Helge Sander (V) udpeger otte medlemmer af et nyt it-sikkerhedsråd - Rådet for it-sikkerhed - der får Allan Fischer-Madsen fra konsulentvirksomheden Devoteam som formand. Rådet, der træder sammen ved indgangen til 2003, får som primær opgave at rådgive om it-sikkerhedsspørgsmål, både nationalt og internationalt, lyder det fra videnskabsministeren. Næsten samtidig med, at det nye råd bliver bebudet, går en række virksomheder sammen om at danne Center for it-sikkerhed, der får sikkerhedschef Per B. Hansen som leder. Centret består af blandt andet Danske Bank, Cisco og forskere fra Århus Universitet.

2003: IM-orme

Som noget nyt kaster de it-kriminelle, som nu udgøres af mere eller mindre professionelle bander, sig over at snige skadelige kode ind på pc'er via Instant Messaging-klinter som ICQ og Microsofts Messenger. Det smarte ved metoden er, at den omgår traditionelle antivirus-mekanismer, der eksempelvis fjerner potentielt skadelige, vedhæftede filer fra e-mails. I 2003 anslår sikkerhedsvirksomheden Symantec, at antallet af angreb via fildelingstjenester og IM-klienter er steget med 400 procent i forhold til året før. Den skadelige kode kan sprede sig automatisk via IM-klienterne til samtlige kontakterpersoner på den inficerede klient ved eksempelvis at sende beskeder med links til hjemmesider med skadelig kode, som umiddelbart ser ud til at være afsendt af et rigtigt menneske.

2004: Netbanker

En kunde i Nordea bliver offer for det første registrerede netbankindbrud i Danmark. Kunden har fået sin hjemme-pc inficeret med en trojansk hest, der har gjort det muligt for en 3. part at nappe en kopi af det certifikat, der ligger på kundens computer, og som bliver brugt til at sikre, at det kun er fra den pågældende computer, der kan opnås adgang til netbanken. Desuden har hackeren, ligeledes via den skadelige software, også haft held til at aflure kundens kodeord, og derefter har der været fri adgang til netbanken. Kuppet blev i modsætning til senere forsøg på indbrud i danske netbanker ikke udført af profesionelle bander, men af en 20-årig mand og gav i første omgang 25.000 kroner i udbytte, som han havde overført til sig selv. Manden blev anholdt kort efter indbruddet.

2005: Botnet

I takt med, at de it-kriminielle bliver stadigt mere organiserede, begynder begrebet botnet også at vinde frem. Nettene består af mange tusinde og efter sigende nogle gange millioner af inficerede maskiner, der kan fjernstyres fra centralt hold og eksempelvis sættes til at udføre et Distributed Denial of Service-angreb mod en hjemmeside og dermed lægge den ned. Botnettene bliver dog typisk brugt af bagmændene til udsendelse af spam. Blandt andet er det svært at se, hvor spam-posten stammer fra, da sporet blot fører tilbage til de som regel intetanende ofres computere og ikke til de egentlige bagmænd. Og desuden stiller zombie-maskinerne, som computerne i botnet-hæren kaldes, samlet set en stor mængde båndbredde og computerkraft til råddighed for spamudsenderne.

2006: Hospitalet

It-kriminaliteten tager en helt ny og alvorlig drejning, da flere tusinde maskiner på Hvidovre Hospital blev ramt af computervirussen worm nuwar, der forsøgte at udsende spam fra hospitalets computere. Virussen muterede i seks varianter og ramte 1.500 ud af 1.800 maskiner på hospitalet. Virussen bevirkede, at hospitalet måtte lukke for adgangen til både internettet og netværksdrev for at få udbruddet under kontrol. Selvom hospitalet havde antivirus, lykkedes det ikke for softwaren at stoppe virussen, fordi den på det tidspunkt var så ny, at signaturfilerne i anti-virussoftwaren ikke kunne genkende den. Hvidovre Hospital bedyrede dengang, at ingen patienters liv var i fare på grund af computervirussen, men at hændelsen havde påvirket driften på hospitalet.

2007: Tredje part

De it-kriminelle begynder for alvor at gå efter sikkerhedshuller i tredjepartsapplikationer som Quicktime og Adobe Flashplayer. Det sker bl.a. som resultat af, at Microsoft har fået sat opdateringen af kernekomponeter i verdens mest udbredte styresystem Windows på skinner, ligesom de fleste brugere og virksomheder har forstået budskabet om at holde styresystemet på computeren løbende opdateret. Anderledes sløjt står det til med opdateringen af tredjepartssoftware, som i modsætning til de indbyggede komponenter i Windows ikke opdateres fra centralt hold. Desuden er det langt fra al tredjepartssoftware, der indeholder funktionalitet til automatisk opdatering. Antallet af indbrud i danske netbanker bliver desuden tredoblet i 2007 til mindst 70 angreb.

2008-: Kommuner

Mængden af malware - virusser, trojanske heste, orme og anden skadelig computerkode - stiger fortsat eksplosivt, og samtidig bliver malwaren mere avanceret. Malware begynder at indeholde funktionalitet til at kunne forsvare sig ved at angribe sikkerhedseksperternes forsøg på uskadeliggøre det. Flere danske kommuner bliver i 2009 ramt af et af de mest avancerede og omsiggribende stykker malware, verden har set - den såkaldte Conficker-orm. Ormen spreder sig aggressivt til flere millioner pc'er verden over via et upatchet hul i Windows-styresystemet og inficerede usb-nøgler, der bliver sat i klienter på netværket. Regionale malwareangreb gør det desuden vanskeligt at beskytte sig med antivirussoftware, som lokalt holder sig under antivirusproducenternes radar.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Hvad var det nu den hed den der ting ?
Fredag d. 13?
Af de bootsector vira, der florerede slut 80'erne-start 90'erne, er det det eneste navn jeg husker.

Jeg kan dog ikke huske hvad den lavede, kun at det var et TSR program, der blev aktiveret når det var en fredag - og den 13.

Ondsindet tror jeg nok den var, men vist mere ovre i hærværk (aka slette filer/formattere C drevet)

  • 0
  • 0
Jesper Stein Sandal

Ti-års-listen misser også lige netop Chernobyl/CIH fra 1998. Måske den mest destruktive virus, der er set i det fri.

Fredag d. 13. hed også Jerusalem og er ifølge Wikipedia fra 1988.

Jeg synes også, der var en anden virus, som blev ved med at dukke op på folks disketter i 1990'erne, men jeg kan ikke huske navnet.

  • 0
  • 0
Tine Andersen

>>. ikke en gennemgang af alle de orme og vira der har ramt Linux, Unix, BSD, og Mac?>>

Hvorfor kommer Linux med ELF-scanner? Det er jo sært- hvis der ikke findes virus...

Nå jo- alt andet får virus- endnu. Man er jo direkte ubegavet, hvis man tror Mac og Linux er sikre- bare fordi, der ikke er noget stort endnu.

Mvh
Tine

  • 0
  • 0
Christian Nobel

Hvorfor kommer Linux med ELF-scanner?

????????????????????

Nå jo- alt andet får virus- endnu. Man er jo direkte ubegavet, hvis man tror Mac og Linux er sikre- bare fordi, der ikke er noget stort endnu.

Hvis man satte sig lidt ind i tingene ville man vide at Linux faktisk er rigtig stort, bare ikke på desktoppen, men på steder hvor det ville være meget mere interessant at sprede virus, fordi man ville kunne lamme stort set hele infrastrukturen.

Og Macs er der faktisk ved at være ret mange af!

Men vær så venlig at nævne 1 virus til en af disse platforme der rent faktisk har spredt sig, og ikke bare er laboratoriefostre?

/Christian

  • 0
  • 0
Michael Eriksen

ELF-scanner? Ja, jeg undrer mig da også.

Efter som Linux er extremt udbredt som server-OS, er den jo en lækkerbisken som offer for vira i modsætning til en eller anden blodfattig Windows desktop. Alligevel har man ikke set een eneste effektiv virus til Linux.

  • 0
  • 0
Anonym

Jeg synes også, der var en anden virus, som blev ved med at dukke op på folks disketter i 1990'erne, men jeg kan ikke huske navnet.

Jeg kan heller ikke huske hvilke navne der blev brugt, men når du nævner 90'erne, kommer jeg i tanke om, at jeg engang modtog en indrapporteringsdiskette fra Tod & Skat til intrastat.

Intrastat blev vist igangsat i '93.

Men pinligt, synes jeg, for Told & Skat at de distribuerede virusbefængte disketter.

Det var den der, der hægtede sig på copy kommandoen og spredte sig til både disketter og harddiske, når der blev udført en copy kommando.

Hvad den gjorde hvis den 'gik i udbrud' husker jeg ikke.

  • 0
  • 0
Anonym

Hov, kommer lige i tanke om endnu en pinlig - ca samme periode.

Installationsdisketter til HP's OpenView (tror jeg nok det hed) var også inficeret med den der 'copy virus'.

Pinligt for HP teknikeren at få scannet sine medbragte disketter inden de måtte komme i vores udstyr ;)

  • 0
  • 0
Log ind eller Opret konto for at kommentere