Ustoppelig internet-trussel vokser

Botnettet Storm kan nedlægge alt. Millioner af inficerede zombie-pc'er er vokset til en kraftfuld hær, der i bedste science fiction-gyserstil også kan forsvare sig selv. Men hvem er generalen, der styrer hæren?

Verdens formodede største botnet har lige haft et-års fødselsdag. Nettet går under betegnelsen Storm og vokser til stadighed.

Sikkerhedsvirksomheden Trend Micro vurderer, at Storm tæller mindst en million zombie-pc'ere. Alene i juledagene og dagene omkring nytår steg antallet af zombier takket være målrettede spam-kampagner med op til 20 procent. Begrebet zombier dækker over computere inficeret med ondsindet kode, som gør det muligt for Storms bagmænd at kontrollere maskinerne, som en general kommanderer en hær. Og hæren kaldes et botnet.

Rekrutteringen til den voksende hær foregår eksempelvis via spam-mails, som typisk ikke indeholder en farlig fil ? de er for nemme for traditionel e-mail anti-virus software at opfange ? men i stedet et link til en hjemmeside med skadeligt indhold.

Zombie-hærens størrelse vurderer Trend Micro til samlet set at ligge på et sted mellem 1 million og 10 millioner computere spredt rundt omkring i verden. Men Storms præcise størrelse kan der kun gisnes om.

»Det ligger et sted midt i mellem, men det er formentligt meget dynamisk. Der er ikke ét tal, som er præcist,« siger senior antivirus-analytiker ved Trend Micro, David Sancho, til Version2.

Storm bliver hovedsageligt brugt til at udsendelse af spam. Botnettet bruger peer-to-peer teknologien Overnet. Når zombierne skal kommanderes foregår det ved, at instruktioner bliver distribueret ud gennem peer-to-peer netværket, hvorefter zombierne falder i geled. Problemet med den de-centrale peer-to-peer struktur set fra et sikkerhedssynspunkt er, at det er svært at finde hovedafbryderen.

»Det er meget svært at lukke ned. Hvis bare der er en, der er inficeret, så lever netværket. Og alle nye, som er inficerede, bliver en del af netværket. Så det er meget svært at stoppe det,« siger David Sancho.

Kan nedlægge alt

Selvom spam for tiden er Storms foretrukne aktivitet, så kan nettet meget mere. Det er eksempelvis ikke ufarligt for sikkerhedsfolk som David Sancho at forske i, hvordan Storm opererer. Botnettet er sat op til at kunne forsvare sig selv. Det vil sige, at når uautoriserede instruktioner eller andre fiksfakserier blive forsøgt af andre end Storms bagmænd, så risikerer man et modangreb.

David Sancho har selv haft den lidet behagelige følelse i maven, det må give, når verdens største zombie-hær vender blikket mod en specifik ip-adresse.

»For nyligt ændrede de deres kode. Der var en HTML-kommando, som gav os et link til et download. Det rigtige link var i virkeligheden gemt, krypteret. Så hvis ens automatiske system fulgte linket, som så ud til at være det rigtige, så fremprovokerede man automatisk et denial of service mod os selv. Og det gjorde vi,« fortæller David Sancho.

Det var dog ikke virksomheden Trend Micro, det gik udover, men særlige linjer til sikkerhedsforskerne, som blev ubrugelige på grund af angrebet.

Selvom det kun var eksperternes internetrouter, der oplevede smerten ved denial of service-angreb fra Storm, så kan David Sancho sagtens se problemet i, hvis Storm bliver beordret til at nedlægge eksempelvis hjemmesider med denial of service-angreb.

»Hvis et tilstrækkeligt stort antal pc'ere angriber, så er det meget svært at afværge,« siger han.

Og ifølge David Sancho, så kan ingen føle sig sikre.

»Det vil kunne nedlægge alt,« lyder den dystre melding fra sikkerhedseksperten, som dog er lidt i vildrede om, hvorvidt Google.com også ville kunne nedlægges helt af et målrettet angreb fra det gigantiske botnet.

Russisk korruption

Det er ikke kun Storms præcise størrelse, der er stor usikkerhed omkring. Også folkene bag og deres nationalitet er uvis. Dog peger noget på, at der er tale om organiseret kriminalitet i Rusland.

»Det formodes, at en stor, kriminel organisation, som kommer fra Rusland, er bag dette. Men det er kun spekulationer på nuværende tidspunkt, vi kan ikke være 100 procent sikre, men det er meget sandsynligt,« siger David Sancho.

Men selvom oprindelseslandet med nogen sandsynlighed kan bestemmes, så er det alligevel svært at få fat på de ansvarlige bag Storm. Dels foregår al kommunikation mellem spammere og bagmænd via undergrundsfora, som det ifølge David Sancho er svært at få adgang til, og desuden foregår kommunikationen på russisk.

Der er imidlertid også en anden faktor, som muligvis spiller ind på det faktum, at bagmændene stadig underslipper de russiske myndigheder.

»Faktum er, at har vi forsynet dem med en masse data, men fremgangen (i efterforskningen, red.) har ikke været så hurtig, som den kunne have været,« siger David Sancho og antyder, at korruption kan være en forklaring.

Vokser fortsat

Selvom han håber på det modsatte, har David Sancho en formodning om, at Storm vil tage yderligere til i styrke i 2008. Den bedste måde ikke at blive en del af zombie-hæren er ifølge David Sancho anti-virus software kombineret med software, der kan tjekke, om links i mails er skadelige, inden brugeren klikker på dem.

En undersøgelse som Trend Micro har foretaget blandt 17 europæiske lande viser, at Sverige er det land, hvor Storm er mest udbredt. Mens Danmark med en niendeplads lander præcist i midten af listen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Martin Kofoed

Kan man gøre andet end at køre med antivirus? Altså, kan man gøre noget mere radikalt, så som at vælge operativsystem ud fra trusselsbilledet?

Det kunne også være interessant at se den procentvise fordeling af inficerede platforme. Eksempelvis:

MacOS: 55% Linux: 30% Windows: 15%

(NB: fiktive tal alene for eksemplets skyld)

Eller ligger det implicit i denne slags artikler, hvilke operativsystemer man skal undgå?

  • 0
  • 0
#3 John Alex Hvidlykke

Du har sansynligvis ret i, at der er store forskelle på, hvilke systemer, der rammes. Jeg ville i hvert fald være forundret, hvis ikke tallet var 100% for Windows-pc'er med Internet Explorer, og hhv. 0% og 0% for MaCOS og Linux.

Uden at gøre mig til fortaler for det ene eller det andet styresystem, er det påfaldende, at truslerne så godt som altid sættes ind der, hvor der er flest at få ram på.

For hvorfor lave et stykke virus, som de allerfærreste computere kan afvikle?

Desværre er det nok de færreste, som alene af den grund vil skifte deres Windows-pc ud med BeOS eller noget lignende eksotisk ;-)

  • 0
  • 0
#4 Deleted User

Jeg ved ikke hvordan storm fungerer - men genneralt, kan man ikke stole på, at antivirus, er i stand til at forhindre virusudbredelse.

Det er relativ nemt, at lave virusser, som "muterer", således der for hver mutation intet er tilbage, af den originale kode. Eksempelvis kan programmer bestå af en slags compiler, der kreerer ny kode, for hver gang, og som ingen lighed har med den tidligere. Der kan sættes dummy indstruktioner ind et vilkårligt sted, eller dummy blokke, med simple funktioner, der er nødvendige, f.eks. for at flytte registerindhold eller andet simpelt, og disse blokke vælges vikårligt efter en "opskrift". Det er også muligt, at ændre koden for opskriften, der måske "fortolkes", så den afviger fra gang til gang. Ialt, er ingen mulighed for at søge på mønstre. Typiske antivirus programmer, scanner programmer, mv. kan altså ikke nødvendigvis bruges til at spore virus (og normalt ikke bruges mod viruser).

Den eneste måde, at sikre mod virus, er et godt operativsystem. Det er ikke et operativsystem, med indbygget antivirus - da antivirus metoder ikke løser problemet. Metoden, er at isolere hver enkelt program, og at forhindre at virus kan udbrede sig mellem applikationer, og mellem computere på Internet. Effektiv isolation, er det bedste "immunsystem" for en PC. Det er både issolation mellem programmer, harddisk, osv. som er nødvendig, og regler der kun giver nødvendig adgang mellem programmer, som ikke kan give mulighed for virusser.

Microsofts operativsystemer, er ikke i stand til at forhindre virus, fordi der ikke eksisterer effektiv isolering i deres operativsystem. Enhver applikation, kan "hacke" sig til adgang overalt. Der er - med andre ord - indbygget "huller", så virus får det nemt.

Vi kan roligt sige, at selvom det er russerne der bruger idéen, er det Microsoft der har udviklet teknologien, der gør at virusser er mulige. Hvis de havde udviklet et system der isolerer de enkelte programmer fra hinanden, og forsket i regler der forhindrer virus mellem applikationer og computere, så havde vi ikke set virus. I stedet, har de placeret "huller" snart ethvert sted, så virus i dag kan gemmes i gif filer, pdf filer, htm, java og selv i .txt filer. Systemet er "modnet" for virus.

Russerne har altså ikke opfundet virus. De har ikke indvesterer milliarder i, at muliggøre teknologien. De har kun brugt det, de har fået. Og det betyder, at Internettet, bankerne, og hele den vestlige verden kan lægges ned via Internet. Fordi, at det har amerikanerne brugt deres penge og forskningsmæssige resourcer, på at muliggøre.

Konklussionen er, at USA's forskning og deres implementering heraf i Windows, har gjort det umuligt, at opdage virus, at detektere virus, at fjerne virus, at forhindre virus, og at kontrolere vira.

  • 0
  • 0
Log ind eller Opret konto for at kommentere