[shareline:76578] Her er årsagen til at kommunerne blev hacket - en zipfil[/shareline]
En zip-fil i en zip-fil i en zip-fil. Som en anden babushka (også kaldet Matryoshka) dukke, har den malware, der i denne uge ramte blandt andet Nordfyns Kommune, forsøgt at skjule sig for de mail-filtre, der ellers er på plads for at undgå, at netop den slags uvæsen slipper igennem til de kommunale computere. Og zip-camouflagen ser ud til at være lykkedes.
I hvert fald fik både Nordfyns Kommune og Gribskov Kommune krypteret adskillige filer, da medarbejdere klikkede sig gennem zip-filerne for til sidst at klikke på den ransomware-fil, der har eksekveret kode på den lokale maskine. Derefter gik krypteringen, af også de tilsluttede netværksdrev gik i gang, for så at kvittere med en besked om, at brugeren kan betale for at få låst filerne op igen. Kommunerne har dog ikke betalt.
Af sikkerhedsmæssige årsager, tillader mail-filtre ofte ikke, at eksekverbare filer vedhæftet en mail, når igennem til modtageren. I hvert fald ikke med vedhæftningen intakt. Hvorvidt en uzippet, eksekverbar fil ville være sluppet ind til Norfyns Kommune, kan it-chef Per Stenaa dog ikke sige med sikkerhed. Men ifølge partner og leder af Security og Technology i revisions- og rådgivningsfirmaet PwC Mads Nørgaard Madsen, bliver den slags filer normalt blokeret af mail-filtre.
PwC: Scanner ikke zip-filer
»De fleste scannere fjerner eksekverbare filer. Og det er jo derfor, man finder på alle de kreative workarounds. Det med zip-filer er en af dem. Og zip-filer inde i zip-filer er en anden. Set fra brugerens synspunkt, der klikker man jo bare nogle gange for at komme ind, og tænker måske ikke mere over det,« siger Mads Nørgaard Madsen.
PwC har assisteret Nordfyns Kommune i forhold til det konkrete angreb.
Og selvom zip-formatet altså måttet have forhindret mail-filteret i at opdage den skadelige fil, så har formatet ikke forhindret en enkelt medarbejder i Nordfyns Kommune, der modtog mailen, i at klikke sig gennem zip-arkiverne for så til sidst at klikke på den eksekverbare ransomware-fil.
It-sikkerhedsekspert Peter Kruse fra CSIS fortæller, at metoden med at zippe malware netop bliver brugt for netop at undgå detektion fra diverse mail-filtre, der måske blokerer for eksekverbare filer - eksempelvis med fil-endelsen .exe - men ikke for .zip-filer.
I en lille test, Version2 har foretaget i Googles Gmail-system, bliver zip-filer indeholdende eksempelvis en exe-fil dog også blokeret. Ligesom en zip-fil med en zip-fil indeholdende en exe-fil heller ikke slipper gennem Googles system. Og principielt ville der ikke være noget til hinder for, at det samme var implementeret i kommunernes mail-filtre, fortæller Peter Kruse.
»Det kunne man godt gøre. Man kunne meget nemt kigge ned i data i zip-filen for at se, hvad der ligger i zip-arkivet. Det kunne man i princippet godt, men de fleste gateway-filtre, kigger udelukkende på filtypen, og ikke andet,« siger han.
Hvad med antivirus
Ransomwaren er altså sluppet - godt zippet ind - gennem diverse filtre til kommunernes ansatte. Men hvad med det lokale anti-virusprogram, som kommunerne har anvendt? Hvorfor har det ikke reageret, da brugerne har aktiveret den skadelige software?
Dels bliver malware generelt markedsført som havende lav antivirus-detektion ud fra devisen, at hvis alverdens antivirus-programmer kan registrere det, så er det de facto ikke særlig meget værd.
Peter Kruse fortæller, at malwaren i den seneste bølge af ransomware-angreb, der har ramt Danmark i går, torsdag - og efter Gribskov og Nordfyns Kommune blev ramt - havde en meget lav detektionsrate blandt antivirussoftware til at starte med.
»En almindelig zip-fil med en binær fil inde i, som har en lav antivirus-detektion, så flyver det gennem filtrene. Sådan er det. Der er ikke så meget at rafle om,« siger Peter Kruse.
Derudover kan der være en anden, ganske lavpraktisk forklaring på, hvorfor netop malware i ransomware-genren, kan have lettere ved at undslippe signatur-baserede antivirus-produkter.
Ikke virus-mønster
Her er det nødvendigt at se på, hvad ransomware gør på computeren: filkryptering.
Og da filkryptering kan være en hel valid brugerhandling, er det ikke nødvendigvis i sig selv en adfærd, der får alarmklokkerne til at ringe i et anti-virusprogram, forklarer Mads Nørgaard Madsen.
»Mønsteret i det her, er jo ikke noget, der er en virus i den forstand.«
Og når selve malwarens adfærd ikke i sig selv er mistænkelig, og malwaren er lavet med en unik signatur, der ikke optræder i antivirus-programmernes databaser, så er det vanskeligt at opdage, der er noget lusk på færde, mener Mads Nørgaard Madsen.
Han påpeger, at hvis en programmør laver en stump kode til at kryptere filer på sin egen harddisk, så ville den næppe heller blive opfattet som skadelig af et anti-virusprogram. Og derfor er det vigtigt også at bekæmpe den form for angreb, som blandt andet Gribskov og Nordfyns Kommune har været udsat for, med bruger-awareness, forklarer Mads Nørgaard Madsen.
Eksempelvis så brugerne tænker sig om en ekstra gang, inden de dobbeltklikker på en vedhæftet fil.
»En af de ting, der virkeligt kan gøre en forskel, det er den generelle awareness. Det vil sige, at brugere og ansatte i virksomheden begynder at tænke mere på den generelle sikkerhedskultur,« siger Mads Nørgaard Madsen.
Og derudover er han enig med Peter Kruse i, at det konkrete ransomware-angreb kunne være blevet afværget, hvis mail-filtreringssoftware, som kommunerne anvender, var gået et spadestik dybere ned i zip-filerne, så det eksekverbare indhold var blevet opdaget, og filerne aldrig var nået frem til brugerne.
Version2 forsøger at få en kommentar fra Nordfyn Kommunes mail-filter leverandør i forhold til, hvordan den skadelige fil slap igennem filteret i første omgang.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
