10 procent af alle trojanere er i dag baseret på åben kildekode, og den fælles udviklingsform bliver mere og mere populær, når der konstrueres ondsindet kode. Sådan lyder det fra sikkerhedsfirmaet Symantec.
"Hele forretningsmodellen inden for underverdenen har skiftet strategi. Tidligere var det oftest en enkelt person, der stod for hele produktionen, fra at finde sårbarheden til at indkassere pengene," siger Ken Willen, som er sikkerhedsekspert i Symantec.
"Sådan er det ikke mere. Nu er det organisationer bestående af flere individer, der står bag. Forretningsmodellerne bliver mere og mere professionelle," siger han.
Shehzad Ahmad, som er leder i DK-CERT, kan bekræfte, at de kriminelle udveksler kildekode med hinanden.
"Det er ikke en ualmindelig måde at arbejde på, og det er noget, vi har kendt til i et stykke tid. I vores analysearbejde har vi flere gange tidligere registreret, at kildekoden er baseret på samarbejder," siger Shehzad Ahmad.
"Det er svært at trække kode ud og derved stjæle den fra hinanden. Det skal være efter aftale, hvis en kode skal deles," siger han.
"Det er ikke til at sige, om det er en trend, men noget af de bedste kildekode, vi har set, består af flere hackeres arbejde,"
Den svenske pendant til DK-CERT har også observeret trenden.
"Årsagen er, at de vil forenkle udviklingsprocessen, præcis som det kendes fra open source-miljøet. Konsekvensen af, at flere arbejder med koden er, at den bliver mere sofistikeret," siger Jonas Thambert til Computerworld Sweden.
Ikke open source, men..
Samarbejderne har dog intet med open source at gøre, lyder det fra sikkerhedsbranchen.
Bagdør til sikkerhedsindustrien
"Det er ikke korrekt at kalde det for et open source-samarbejde. Når man snakker om åben kildekode, er koden tilgængelig, så den kan rettes af alle. Samtidig er filosofien den stik modsatte i open source-miljøet," siger Peter Kruse fra sikkerhedsfirmaet CSIS.
"Når der udvikles ondsindet kode, er der ofte tale om en slags arbejdsfællesskaber - nærmest udviklingshuse - der producerer kode. Samtidig er undergrunden kendetegnet ved at være kommerciel. Man køber således udviklingsarbejder hos hinanden frem for at samarbejde på frivillighedens basis," siger han.
Der er dog nogle områder, hvor kildekoden er åben, og frit kan hentes.
"Der er masser af eksempler på botnet-kode, der ligger frit tilgængelig," siger Peter Kruse.
"Samtidig er drive by-kits, der lægges på webside og inficerer besøgende, i høj grad 'open source'. Der findes mellem 40 og 50 forskellige værktøjskasser, baseret på JavaScript, som jo er et åbent sprog. Der er således samarbejder, men samtidig stjæles der med arme og ben," siger han.
"De dygtige kriminelle udnytter de mindre dygtige kriminelle i dette spil. Den kode, der stilles til rådighed for andre, er således ofte forsynet med den bagdør, der kan udnyttes af dem, som sidder højere oppe i hierarkiet," siger Peter Kruse.
Der, hvor koden bygges i fællesskab, er på områder, der gavner hele undergrunden.
"Der er specialister inden for forskellige områder, og for at skabe den mest effektive kode, bruges det bedste af det bedste fra forskellige udviklere," siger Shehzad Ahmad fra DK-CERT.
"Kvaliteten af produkter hæves på den måde," siger han.
Shehzad Ahmad peger dog også på, at der foregår en omfattende handel med kildekode.
"Hvis du finder de rigtige fora på nettet, er der masser af kildekode til salg," siger han.
Bagdør til sikkerhedsindustrien
Større åbenhed i kodearbejder kan dog også blive en fordel for sikkerhedsbranchen.
"Den åbne arbejdsmodel kan blive til gavn for sikkerhedsfirmaerne. Hvis vi kan få adgang til netværket og derved oplysninger om den kildekode, der bruges, vil vi kunne skabe signaturbaseret sikkerhed, der rammer meget centrale områder, og derved give god beskyttelse mod angreb," siger Ken Willen.
Firmaer som Symantec bruger mange ressourcer netop på at komme ind i de kriminelle netværk.
"Vi har flere tusinde analytikere, der både arbejder med den traditionelle signaturbaserede analyse, men en del af dem bruger også tiden på at infiltrere undergrunds-sites. Vi er ret aggressive i vores informationsindsamling," fortæller Ken Willen.
