Vi stiller større krav til vores adgang til Internet. Forbindelserne bliver hurtigere og hurtigere og "always-on" er ved at snige sig ind hos den almindelige kernefamilie. Engelske begreber glider naturligt ind i det danske sprog - ikke underligt, at man vil introducere til engelsk allerede fra 3 klasse 
Always-on betyder også, at man billigt kan promovere sin forretning på Internet. Det eneste som kræves, er en PC med Windows NT eller Windows 2000 installeret med IIS (Internet Information Server) og med en smule konfiguration og lidt HTML programmering skulle siden være klar til nettet. Den lokale tømmerhandel, pizzashoppen på hjørnet, eller den lokale frisør med mulighed for at booke tider til klipning online ser indlysende mulighed for at tiltrække flere og nye kunder. Mulighederne er mange, reklamen er billig, og flere benytter sig af denne chance for at blive repræsenteret i cyberspace.
Vores forventninger til brugen af IT og e-handel er skyhøje. En undersøgelse gennemført af IT- og Forskningsministeriet i Maj måned 2001 afslører, at mere end en tredjedel af de offentlige indkøb i fremtiden vil blive foretaget over Internettet. Det vurderer 19 af 20 offentlige ledere.
Også brugen af Netbank og forøget indkøb eller handel på Nettet, er i kraftig fremgang. Men tør jeg spørge: Er vi parate? Kender vi de konsekvenser, ansvar og risiko, som denne nye handel kan føre med sig og har vi beskyttet os mod de nye trusler der hver dag skyder op fra Internettets undergrund.
Det er de færreste, som er klar over, at vores færden og gøremål på nettet kan følges op, som spor efter en snegl. Vi kan beskytte og værne om vores privatliv, men vi skal vide hvordan!
Inden nogen vil kalde internetbrugere paranoide, er det godt at vide, at internet faktisk ikke er mere sårbart overfor "aflytning" end vores gamle telefon eller Postdanmark og deres gamle men stabile "snailmail". Internettets størrelse, og den kompleksitet som det rummer, betyder at individer - eller rettere IP numre, uden videre drukner i det uendelige hav af datapakker som flyder omkring. Men for de personer eller firmaer, som køber eller sælger varer via Internet eller anvender andre online services, hvor der er involveret økonomiske transaktioner, er datasikkerhed et uundgåeligt emne.
Hvis vi opfører os fornuftigt og ikke åbner vedhæftede filer, eller henter programmer fra tvivlsomme kilder, er vi et skridt på vejen, ikke sandt? Men får vi det budskab formidlet videre til Karen i bogholderiet eller Hans som sidder derhjemme med hans hjemmePC? Det ville være herligt om vi kunne sige, at vores Windows ikke er åben for "netværk- eller fildeling". Kan du det?
VBS-vira og Sircam
Danmark topper, ifølge Trend Micro, på en uheldig statistik. Vi er det land i Europa, som har været hårdest ramt af simple VBscript orme som Kournika og Homepage. Og vi har åbenbart intet lært - den seneste bølge af W32.Sircam.worm og W32.Magistrm,worm, som mere langsomt, men sikkert spreder sig til danske brugere antyder, at vi bør uddanne os bedre - læse mere om faldgruber og teknikker som misbruges af de personer som skriver virus.
Den seneste bølge af VBscript baserede vira har vi ukritisk åbnet og dermed aktiveret hvorved de er sendt til videre spredning via vores adressekartotek i Outlook. Flere store virksomheder måtte under det seneste massive angreb lukke mailservere ned, da denne postede inficerede e-mails, såvel internt i huset, som ud af huset - ofte ud mod kunder og andre samarbejdspartnere. Det er ikke nogen heldig situation, at befinde sig hvis man ønsker at fremstå som troværdig og professionel.
Codered I og II - forsættelse følger ?
Codered er af mange danske og udenlandske eksperter blevet karakteriseret som den mest omfattende trussel der til dato har ramt Internettet. Codered gav anledning til et tæt samarbejde mellem det hvide hus, FBI og Microsoft i kampen mod Codered. Selvom ormen i realiteten blot kopier hvad Morris ormen gjorde i 80'erne har automatisk exploitende orme fået et nyt ”hype”. Selvransagelse på selvransagelse har været resultatet herhjemme. De fleste vælger dog, at gemme sig og ønsker ikke at træde frem og erkende, at man har haft problemer med netop Codered. Det er jo dårlig reklame og skidt PR, at stå frem og erkende, at man mangler at opdatere sit software. Flere velbesøgte danske hjemmesider kunne imidlertid ganske ufrivilligt reklamere med "hacked by Chinese", da den første variant var langt mere synlig end CoderedII og III.
Codered er et godt eksempel på det, som jeg allerede forudsagde i April måned sidste år i en klumme på Comon under titlen Hackere er ikke surfere. Fremtidens vira/orme vil ikke være afhængige af, at brugerne åbner filer, eller på anden måde aktiverer kode. De vil i højere grad selvstændigt sprede sig ved at udnytte huller i populært software. I fremtiden vil malware givetvis sigte mod postklienter, web-servere eller svagheder i operativsystemet. På den måde kan kode sprede sig på tværs af operativ systemer og har dermed større chance for at ramme mange brugere mere effektivt.
CoderedII - ikke tilfældigt!
Det er næppe tilfældigt, at der efter en bølge af Codered, som "kun" placerede kode i bufferoverflow området, senere skulle spredes en mutant som direkte kompromitterede serverne. CoderedII erstatter ikke hjemmeside indhold, da koden er langt mere ondsindet og sandsynligvis kun udviklet for at blive misbrugt til at igangsætte nye spredninger af ondsindet kode eller igangsætte andre typer angreb fra inficerede systemer. Et system som er blevet kompromitteret af CoderedII er for en script kiddie et nemt offer, da der fra denne platform kan indledes andre typer angreb f.eks. Denial Of Service, portscanninger eller igangsætning af nye orme, som kan være vanskelige, at spore når logfilen samtidig overskrives.
Vi kender omfanget af Codered, men vi ved ikke med sikkerhed, hvor mange systemer der stadig er berørt af CRII. Et er dog sikkert: alle kompromitterede systemer kan misbruges af enhver, som forstår at lave en simpel HTTP get. Hvis man ikke ved hvordan det gøres findes opskriften på halvdelen af alle *hacker* relaterede sider.
Et tysk hackersite (hackersclub) kunne en uge før Codered blev sluppet løs på nettet offentliggøre fuld exploitkode. Koden kunne misbruges af enhver med en smule teknisk snilde. Koden kunne let og uden det store besvær pakkes sammen med andre funktioner som codered indeholder og med lidt programmeringserfaring var Codered skabt uden de store anstrengelser. Vi har set samme rutiner misbrugt af andre IIS baserede orme, som f.eks. IIS.Sadmin.worm eller IIS.Lion.worm, som også efter kompromittering automatisk begynder at lede efter andre systemer, som kan inficeres med ormekode. Der er ingen grund til at antage, at Codered er første eller sidste alvorlige Internet orm vi har set.
De skyldige pågribes næppe
Det er også med denne baggrund, at jeg vil vove den påstand, at man aldrig finder den/eller de personer, der skrev Codered. Den er givetvis blevet aktiveret/spredt fra en eller flere kompromitterede systemer på samme tid. Sporene er efterfølgende blevet fjernet, så det er en vanskelig, ja nærmest en umulig opgave, at "gå tilbage" til det IP nummer som har igangsat angrebet mod nettet. Rygterne har ellers gået på, at der skulle være tale om virusgruppen 29A, som står bag Codered. Det afviser 29A på deres hjemmeside med følgende statement: "With this note 29A group communicates publicly that we aren't related in any way with the code or distribution of any version of the worm known under "Code Red". We have heard that 2 hackers from Netherlands announced they have coded Code Red and they were 29A members. Everybody that know a bit about 29A will know that none 29A member is from that country.
If anyone wants to find Code Red coder he will have to do it out from 29A.".
Det man vil kunne betegne som hardcore hackere, er en sjælden og måske uddøende race, men de findes og de publicerer stadig detaljerede exploitkoder, som flittigt bliver opslugt af wannabe hackere og script kiddies som misbruger oplysninger til at angribe sårbare systemer. Problemet vil ikke blive mindre - antallet af script kiddies vil efter al sandsynlighed stige og stige. Flere oplysninger om script kiddies, crackere og hackere kan findes i min klumme Tænk som en scriptkiddie. Artiklen synliggør også det stigende problem som script kiddies udgør mod den almindelige sikkerhed på Internet.
Det er indlysende, at den kraftige stigning i antallet af brugere på Internettet vil medbringe folk med kriminelle hensigter. Det er også indlysende, at det er nemmere at begå økonomisk kriminalitet, eller hackervirksomhed fra et land med manglende retssikkerhed og dermed mindre risiko for retsforfølgelse. Det er set i tilfældet med Iloveyou hvor ormen i virkeligheden var programmeret til at stjæle følsomme oplysninger fra systemer som åbnede den spændende vedhæftede fil og sende disse videre til en e-mail adresse. Den formodede forfatter, Onel de Guzmann fik straffefrafald grundet manglende lovgivning på området. Og det kan bekymre! Vi kommer givetvis også til at mærke en kraftig aktivitet i IT-kriminalitet fra de baltiske lande og den tidligere østblok i takt med at flere får adgang til Internet.
De små og "glemte" servere er nettets værste fjende.
Hvis vi til slut vender blikket hjem og kigger på de små web-servere som skyder op, er dette ikke et uvæsentligt problem. Jeg indledte denne klumme med at give eksempler på nogle af de målgrupper som finder internet attraktivt med de konkurrencedygtige priser som netop findes på ADSL. Det er netop sådanne web-servere, som kan blive et problem for de mange der flittigt opdaterer deres software. Når mange kompromitterede systemer angriber andre servere kan dette sløve Internettet ned. Der akkumuleres en kraftig trafik af datapakker som flyver på kryds og på tværs og det til gene for alle brugere på nettet.
Samtidig har det vist sig at exploitkode, som det var tilfældet med Codered, kan have sideeffekter på andet software og gør det ustabilt. Det har vi ikke råd til! Man bør derfor overveje hvad man kan gøre for at alle servere sikres og at alle opdaterer deres software når der registreres alvorlige sårbarheder i udbredt software. Det er muligt, at det i fremtiden skal indgå som obligatorisk krav i abonnementetsaftalen for ADSL, at kunden har pligt til at holde sig orienteret og opdatere sit software på anvisning fra ISP'en eller den respektive software leverandør.
Af virusanalytiker Peter Kruse
