I 2006 købte IBM Internet Security Systems - i daglig tale blot kaldet ISS.
Det har ikke noget at gøre med den danske servicekoncern ISS, men ligesom sin danske navnefælle har sikkerhedsfirmaet ISS travlt med at holde rent i virksomheder verden over.
Ikke med kost og spand, men ved hjælp af diverse sikkerhedsløsninger og produkter, der skal holde servere, netværk og arbejdsstationer rene og usmittede af diverse malware.
Her indgår folkene fra X-Force som en vigtig del af den strategi.
Der er ikke tale om superhelte fra det farverige Marvel-univers, men om en række it-sikkerhedsfolk, der forsker, analyserer og afprøver sikkerheden i diverse it-produkter.
Niklas Blomberg har titel af senior security expert og er lokal X-Force-ekspert hos IBM Sverige. Han fungerer som bindeled mellem sikkerhedsforskerne i X-Force og ISS' kunder i Norden.
Offentliggør når patch er klar
"Der er mange forskellige måder at finde sårbarheder på. Der en eksempelvis interne forskningsprojekter hvor teknologier, der er specielt interessante undersøges nærmere for sårbarheder," siger Niklas Blomberg.
Hvis X-Force opdager sårbarheder i et givet produkt, så kontaktes den pågældende leverandør straks.
"Når vi opdager en sårbarhed, så gør vi den pågældende leverandør opmærksom på problemet. Vi offentliggør først sårbarheden, når leverandøren er klar med en patch," siger Anders Blomberg.
Honeypot-netværk tiltrækker angribere
Ligesom antivirus-producenter som Symantec og McAffee anvender man blandt andet et honeypot-netværk, der specielt er sat op til at tiltrække angribere.
På den måde kan sikkerhedsfolkene på nærmeste hold studere, hvordan nye malware-former opfører sig og hvilken adfærd, der kendetegner dem.
Adfærdsanalyse for malware
Det er vigtigt at kende de enkelte stykker malware, men ikke mindst de forskellige typer malwares opførsel er vigtig.
Ved hjælp af behavioural analysis - eller adfærdsanalyse - kortlægges adfærdsmønsteret for kendt malware.
Det kan være med til at give fingerpeg om nye, endnu ikke erkendte trusler.
"Identificering af en trussel skal finde sted inden angrebet finder sted og inden sårbarheden er identificeret," siger Niklas Blomberg.
Det lyder nærmest magisk, men det er muligt med en række af de teknikker og metoder som anvendes i X-Force og ISS' produkter.
Analyse af datastrømme i realtid
Der anvendes en række forskellige analyser til at identificere en trussel.
Er der noget, som indikerer, at en protokol misbruges eller at der er et filformat, som ikke er, hvad det giver sig ud for at være?
"Over http kan der være en XML-strøm og inden i den kan der være et pdf-dokument. Hvis eksempelvis en bruger anvender Internet Explorer og forbinder sig til et website, der kører på Microsofts Internet Information Server, så tracker vi både afsender og modtager. Hvilke operativsystemer anvender de, hvilke protokoller bruger de og hvad sendes over nettet. Hvis brugeren downloader et pdf-dokument, så bryder vi pdf-dokumentet op i småbidder og ser på, hvad det indeholder. Eksempelvis kan der være buffer overflow-angreb i billederne i pdf-dokumentet, som vi også kan opdage," siger Anders Blomberg og tilføjer:
"Selvom angriberne forsøger at gemme den ondsindede kode ved at komprimere pdf-dokumentet, kan vi dekomprimere pdf on-the-fly."
Som eksempel på et angreb, der ifølge Anders Blomberg endnu ikke er set, men som er teoretisk muligt og checkes af ISS, er pdf-filer med SQL injection indbygget.
"Hvis nogle har forsøgt at lægge et SQL injection
attack i et pdf-dokument, så opdager vi det," siger Anders Blomberg.
Lukkede Conficker-sårbarhed to år i forvejen
Sikkerhedsprodukterne som ISS tilbyder og som X-Force løbende justerer forsøger at afværge fremtidige angreb. Her var X-Force succesfulde i 2008 med at afværge Conficker-angrebet med en to år gammel sikkerhedsmekanisme.
"I forbindelse med Conficker, havde vi en to år gammel beskyttelsesmekanisme, der beskyttede mod Conficker-angrebet," forklarer Anders Blomquist.
Conficker-angrebet udnyttede en sårbarhed i Microsoft Server Services RPC-kald.
Ved hjælp af en kommando kunne man fremprovokere et bufferoverflow ved at sende en større mængde data end hvad RPC-protokollen forventede.
"I 2006 blev der opdaget en sårbarhed, som vi lavede en generel sikkerhedsmekanisme over for. I 2008 blev en tilsvarende sårbarhed opdaget, som mindede meget om den fra 2006. Vores signatur beskyttede mod begge sårbarheder," siger Anders Blomberg.
Giver data-analyse performanceforringelser?
Man kunne tro, at al den megen analyse af datatrafikken kan give performance-forringelser, men det er ikke tilfældet ifølge Niklas Blomberg.
Sikkerhedsprodukterne er i stand til at identificere 211 forskellige protokoltyper og filtyper. På baggrund af den identifikation, kan antallet af analyser reduceres.
"Vi skal ikke checke hver pakke mod en liste med over 10.000 signaturer, men vi sender den identificerede datapakke til analysemotoren. Hvis der eksempelvis kun er 100 sårbarheder i pdf, skal der kun analyseres for dem," siger Niklas Blomberg.
I ISS' sikkerhedsprodukter anvendes forskellige moduler, der er rettet mod specifikke trusler.
"Vi har blandt andet en SQL injection motor og en shell code heuristics. Med shell code heuristics kan vi identificere shell-kommandoer som ikke bør være i eksempel i MP3-filer, pdf-dokumenter eller andre filer," siger Niklas Blomquist.
Bliver softwaresikkerheden bedre?
X-Force udarbejder løbende trusselsrapporter.
Bladrer man i den seneste sikkerhedsrapport, tegnes der et ret dystert billede af it-sikkerheden.
Her i 2009 virker det ikke som om it-sikkerheden er blevet bedre set i forhold til fem eller ti år siden; den er blevet værre.
Niklas Blomberg er til dels enig, men mener også, at der er forbedringer i it-branchen.
"Der er nogle leverandører, der er blevet bedre til at levere sikre produkter og som er blevet bedre til at release patches hurtigere," siger Niklas Blomberg, der opfordrer til, at slutbrugere og virksomheder fokuserer mere på sikkerhed fremfor nye features.
"I dag lægger kunderne mere vægt på funktioner og features end på sikkerhed. Det er højere på listen over krav til produkterne. Hvis flere kunder krævede større sikkerhed, så vil vi før eller senere også få det," mener Niklas Blomberg.
Samtidig øges sikkerhedsbevidstheden også hos slutbrugerne, hvilket tilsyneladende har medvirket til, at phishing-angreb er for nedadgående.
Phishing-angreb erstattes af drive-by download
"Phishing-angreb er ikke så effektive som før. Brugere er mere opmærksomme på, at de ikke skal udlevere PIN-kode eller kreditkort-nummre som svar på mails, der øjensynligt er sendt fra deres bank, men i realiteten er phishing-forsøg," siger Niklas Blomberg.
Det giver dog angriberne anledning til at fokusere på nye, mere farlige angrebsmuligheder som drive-by download.
"Vi har set en 508 procents forøgelse af malware og links til malware på normalt troværdige websites, ligesom vi også har set malware via annoncer på websites," siger Niklas Blomberg.
Niklas Blomberg vil ikke svare - det er hemmeligt
Det er ikke alle oplysninger om X-Force og dets værktøjer, som IBM og Niklas Blomberg vil rykke ud med.
Eksempelvis indsamler ISS' sikkerhedsprodukter informationer om potentielle trusler fra sensorer på ISS' kunders installationer, såfremt kunderne har givet lov til det.
Oplysningerne gemmes i X-Force databasen, der indeholder oplysninger om mere end 40.000 sårbarheder og trusler.
Hvor mange opsamlingspunkter leverer oplysninger til jeres database?
"Det tal kan jeg ikke give."
Er der tale om 1.000, 10.000 eller 100.000 noder?
"Der er tale om et stort tal."
Er det, det nærmeste vi kommer?
"Ja."
Heller ikke antallet af medarbejdere i X-Force vil Niklas Blomberg rykke ud med.
Han fortæller dog, at der er tidligere FBI- og CIA-agenter ansat. Om de er medvirkende årsag til hemmelighedskræmmeriet vides ikke.
Ifølge en Networkworld-artikel fra februar 2007, var der på det tidspunkt 200 ansatte.
