Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 16. december 2005.
De krimininelle satte fart i bestræbelserne på at liste fortrolige oplysninger ud af folk og i at score store mængder kundedata.
Danmark slap relativt lempeligt igennem 2005 på sikkerhedsfronten, mens USA oplevede et sandt annus horribilis. Nok blev amerikanerne forskånet for tidligere tiders massive ormeangreb og de mange lammede servere, men i perioder virkede det som om, dørene til fortrolige kundedata stod pivåbne.
Værst blev det, da det PBS-lignende clearingselskab CardSystems Solutions i sommeren måtte meddele, at hackere havde opsnappet data om op mod 40 millioner kreditkortkunder hos Visa, Mastercard, American Express med flere.
Sikkerhedsbristen fik globale konsekvenser. Mindst 800 af kreditkortene var udstedt i Danmark. PBS intensiverede sin overvågning af unormale brugsmønstre, og bankerne, der havde udstedt kortene, spærrede for dem.
I 2005 skete der også en voldsom vækst i de kriminelles forsøg på at "fiske" fortrolige oplysninger om for eksempel brugernavne og pin-koder til økonomiske forbrydelser ud af amerikanerne.
Skandinavien kunne stadig takke sine begrænsede sprogområder og relativt små befolkningstal for en beskeden interesse fra de kriminelles side.
Men både Norge og Sverige blev ramt. Mest opmærksomhed fik et angreb mod Nordeas kunder i Sverige i oktober. Det fik nemlig Nordea til at tage det usædvanlige skridt at lukke den svenske del af netbanken fra klokken 23 - en times tid efter phising-angrebet var konstateret - til klokken 9 næste morgen. Lukningen blev begrundet med, at det gav banken bedre forudsætninger for at tage de nødvendige forholdsregler mod misbrug.
Phishing-forsøget mod Nordea repræsenterede den klassiske fremgangsmåde. En haglbyge af mails, der så ud til at komme fra Nordea, blev sendt ud på må og få, og visse endte hos Nordea-kunder. I mailen, der var forfattet på dårligt svensk, fik kunderne besked på at aktivere et link til et websted og der opdatere informationer om deres kontoforhold i Nordea. De, der klikkede sig ind, endte på et falsk Nordea-websted, og 17 kunder gik i fælden. Der blev dog ikke konstateret forsøg på misbrug af disse personers konti efterfølgende.
Hændelsen viste imidlertid også, at opmærksomheden over for den type angreb er vokset.
- 1.500 svenske kunder ringede om mailen, og 3.000 mailede, fortæller Martin Andersen, der er chef for den danske del af Nordeas netbank. Ifølge ham har der ikke været phishing-angreb over for danske kunder.
I Nordea vakte de mange henvendelser på sin vis glæde.
- De viser jo, at hvad bankerne og andre har gjort for at fortælle om mulige angreb virker, siger Martin Andersen.
På virusfronten var der relativt stille hvad angår vellykkede angreb, da antivirus-palisaderne for længst er rejst. Men ind imellem kom ondartet kode, som sneg sig igennem sprækkerne. Blandt de få, der fik effekt i Danmark, var Zotob, der i august angreb via en sårbarhed i Windows 2000.
Novo Nordisk var blandt de ramte, men Zotob blev samtidig en aktuel illustration af de problemer, som erhvervsliv og den offentlige sektor står med. Tidsrummet mellem, at viden om en sårbarhed bliver offentlig kendt, til at den udnyttes til angreb, skrumper.
For få år siden gik der måneder. Nu er det nede på få dage, og mange i sikkerhedsbranchen er overbevist om, at vi også vil se såkaldte Zero Day Attacks. Altså angreb, der sker samme dag, som en sårbarhed bliver kendt, hvadenten den bliver kendt ved, at der udsendes en patch til den, eller det sker på anden vis.
Novo Nordisks it-selskab NNIT var faktisk godt i gang med at teste patchen, som var kuren mod Zotob, da det skete. Et sådan rettelse bør afprøves på en testinstallation, inden den slippes ud i produktionsmiljøet, for det hænder, at patchen i sig selv forårsager problemer i andre sammenhænge. Det har Microsoft for eksempel åbent måttet erkende om egne patches.
Hos NNIT tager sådan en test typisk fire dage, men Zotob overhalede dem indenom. Skaden blev dog relativt begrænset, oplyste it-selskabet.
Men selv om Danmark på overfladen er gået relativt fri for vellykket it-kriminalitet, så har det ikke skortet på forsøg. Det kan Rigspolitiets særlige it-sektion bevidne.
I begyndelsen af november 2005 var der indberettet dobbelt så mange sager som i hele året før. 2.300 sager landede på Rigspolitiets bord, men det kneb med myndighedens ressourcer og viden, kunne Jyllands-Posten fortælle.
Belastningen fik Preben Andersen, der står i spidsen for sikkerhedsorganisationen DK-Cert til at slå alarm. Ifølge ham er situationen nærmest håbløs. Stort set ingen af sagerne opklares, sagde Preben Andersen, der også efterlyste en global internet-politistyrke.
En af de sager, der er kommet i klemme, er en sag om fupdomæner, som Preben Andersen selv har indbragt for Rigspolitiet.
Sagen blev afdækket i Computerworld i begyndelsen af året. Startskuddet blev information fra sikkerhedseksperten Steen Pedersen hos Ementor.
Steen Pedersen havde opdaget, at selskaber i Panama og Hongkong havde oprettet over 100 danske domæner, som kun lå en stavefejl eller et manglende punktum fra kendte danske domæner.
Var uheldet ude, så man for eksempel endte på nyhedertv2.dk, modtog ens pc tre slags ondartet software, herunder en stump kode, der satte gang i opkald til et overtakseret nummer i Østrig, hvis pc'en var forbundet til nettet med modem.
Ved en nærmere undersøgelse, som DK-Cert bidrog til, kom tallet for fupdomæner op på 480, lige som det stod klart, at der var bagmandsselskaber i flere andre lande. Alle veje førte imidlertid til en server i Texas ejet af et firma ved navn BroadWing Communications.
Sårbarhederne, som de kriminelle bagmænd udnytter, er mangfoldige, omend de mest misbrugte huller naturligvis er i den mest benyttede software, altså Microsofts.
Men ser man på listen over, hvem der i 2005 var i søgelyset på grund af svagheder i softwaren, er den lang. Skype, Sony, Bea, Cisco, Apple, Firefox, Oracle, Cisco, Symantec, Check Point, HP, Microsoft, CA, Realnetworks, Sun, Adobe, IBM, Trend Micro, Sybase, Opera, F-Secure, OpenOffice med flere.
Stor som lille. Lukket som åben software.
Det er værd at bemærke, at hackerne i stigende grad retter angrebene mod it-sikkerheden selv. Backup-software rammes, og det samme gælder antivirus, firewalls med videre. Skiftet i fokus kan blandt andet forklares med, at der efterhånden tages godt hånd om sårbarhederne i Windows-software, hvorfor de bliver sværere at udnytte.
Året var alligevel også præget af sikkerhedsselskabernes sædvanlige "Ulven-kommer, men vi kan redde dig"-råb. Der gik næppe en uge i 2005, uden at en ny undersøgelse, som sikkerhedsfirma X, Y eller Z stod bag, afslørede, hvor galt det stod til, og hvor galt, det kunne gå.
De gammelkendte PR-metoder med live at demonstrere, hvor der ligger en hvis-såfremt-ifald-risiko for svindel, var heller ikke gået af mode.
Herhjemme vakte det således opmærksomhed helt inde i Folketinget, da en usikkerhedsekspert demonstrerede, at TDC's digitale signatur - der også er den offentlige digitale signatur - kan stjæles fra en pc. Forudsat altså, at det er lykkedes for den kriminelle at få bragt flere forhold på plads forinden, og at pc-brugeren undlader at udvise skepsis over for e-mails, der stiller usædvanlige krav.
Ifølge TDC er der ikke set andre eksempler på tyveri af den digitale signatur, men koncernen pointerer, at der sker en løbende vurdering af behovet for ekstra foranstaltninger i lyset af den teknologiske udvikling.
Boks:
Hammeren falder
De kriminelle flokkes om internettet, da risikoen for pågribelse er mindre der end i den fysiske verden. Men de kan ikke vide sig sikre alligevel. Dom på dom afslører, at selv i den virtuelle verden efterlades for mange fodspor og fingeraftryk.
Retssagerne hjælpes ofte på vej af kæmpedusører udsat af it-selskaber som Microsoft og af de truede. Flere sager med udgangspunkt i skaderne, der blev forvoldt af orme som Blaster og Sasser, er afgjort, og nye er undervejs.
Visse sager om "fiskeri" og "aflytning", der sikrer informationer, som gør det muligt at bryde ind i netbanker, ses også i retssalene, ligesom sager om køb og salg af kreditkortdata via internettet.
En af de længste domme - på seks år - faldt i november i Storbritannien. Den 23-årige Peter Francis-Macrae, der boede hjemme, havde solgt tusindevis af e-mailadresser og domænenavne, som han ikke havde ret til, og scoret millioner på det. Klagede nogen, truede han med at lamme deres web-steder med spam, skrev BBC. Den unge mand gik så langt som at true med mord og pengeafpresning under opklaringsarbejdet.
I Danmark er det først og fremmest udsendelse af spam, der har bragt domstolene i arbejde. Blandt de dømte er teleselskabet Debitel, der fik en bøde på to millioner kroner. toft
