Artikel top billede

Når dit køleskab mistænkes for spam

Klumme: Selv om køleskabe ikke udsender spam, er truslen fra tingenes internet reel nok.

Det lød som en god historie, da et sikkerhedsfirma fortalte om et køleskab, der udsendte spam.

Andre usædvanlige afsendere af spam var fjernsyn og multimediacentre.

De stod ifølge sikkerhedsfirmaet Proofpoint bag tusindvis af spam-mails udsendt omkring årsskiftet.

Firmaet så det som et tegn på, at de it-kriminelle nu har kastet sig over det såkaldte Internet of Things.

Det er alle de enheder på internettet, som ikke er traditionelle computere eller mobile enheder.

Et konkurrerende sikkerhedsfirma pillede nu hurtigt historien fra hinanden.

Symantec har kigget på dataene og mener, at Proofpoint retter bager for smed.

Ifølge dem stammer alle de pågældende spam-mails fra Windows-computere. Nogle af dem var inficeret med det velkendte botnet-program Kelihos.

NAT narrede

Hvorfor blev det smarte køleskab så uskyldigt mistænkt?

Ifølge Symantec er forklaringen NAT (Network Address Translation), der lader flere enheder deles om en enkelt IP-adresse på internettet.

Bag en router kan der således være både et køleskab og en pc.

Hvis man prøver at finde ud af, hvad der gemmer sig bag routerens IP-adresse, kan man for eksempel kontakte port 80, der bruges af webservere.

I dette tilfælde vil det smarte køleskab svare, da det har en indbygget webserver.

Den inficerede pc svarer derimod ikke, da der ikke kører en webserver på den.

På den måde kan man blive narret til at tro, at køleskabet står bag spam, der stammer fra pc'en.

Jeg tror, Symantec har ret: Proofpoint har været lidt for hurtige til at konkludere, at vi nu har set det første større eksempel på angreb på tingenes internet.

Sikkerhedsrisiko i dine apparater

Men det betyder ikke, at vi skal ignorere truslen.

Internet of Things vokser nemlig.

Det består af apparater som routere, smart-tv, mediecentre, udstyr til styring af varme og indeklima, alarmsystemer, videokameraer, dekodere, hi-fi-udstyr - og de mere spektakulære som biler og køleskabe.

Det udgør en sikkerhedsrisiko.

Risiko for misbrug

For når der er en indbygget computer i et apparat, og det forbindes til internettet, er der risiko for misbrug.

Rigtig meget af udstyret kører Linux.

Helt fint - Linux er en solid og billig løsning. Men der kan lige så nemt være sårbarheder i et indlejret Linux-system, som der kan være i en traditionel pc.

Især når der kører serversoftware oven på Linux-kernen.

I efteråret opdagede Symantec en trussel, der er målrettet mod Linux-systemer: Ormen Darlloz.

Den er rettet mod en gammel sårbarhed i PHP.

Hullet er for længst lukket. Men hvis ormen finder en maskine på nettet, der ikke er opdateret, bruger den hullet til at hente en kopi af sit program ind.

Herefter kører programmet på den nu inficerede maskine. Det går i gang med at scanne nettet efter flere sårbare maskiner.

Der findes varianter af Darlloz til Linux på Intel x86, ARM, PPC, Mips og Mipsel. De sidstnævnte arkitekturer finder man typisk i andet udstyr end pc'er.

Dermed er det klart, at bagmanden har målrettet sin orm mod tingenes internet.

Konkurrerende orme

Folk der har fulgt med i it-sikkerhed i længere tid, vil kunne genkende Darlloz som en typisk orm i stil med dem, vi så sprede sig på pc'er tidligere.

Også et andet element vækker minder: Darlloz undersøger, om den inficerede computer i forvejen er inficeret med en anden orm, Aidra.

Hvis det er tilfældet, sletter den Aidras filer og lukker for den port, som den kommunikerer over. Dermed forhindrer den Aidras bagmænd i at udnytte den inficerede maskine.

Den slags orme-kampe så vi også for en halv snes år siden på pc-platformen.

De viser, at der er så stor værdi for bagmændene i at få kontrol over apparatet, at det kan betale sig at bruge kræfter på at finde og fjerne konkurrenterne.

Risikovurder alle ting

De indbyggede computere i apparater har sjældent ret meget datakraft.

Alligevel kan de være interessante mål for hackere.

For eksempel kan hackere gå efter overvågningskameraer for at finde optagelser fra steder, der ellers er utilgængelige.

Endnu har vi ikke set større udbrud af Aidra eller Darlloz.

Men de er eksempler på, at det reelt er muligt at angribe tingenes internet.

Derfor synes jeg, at it-sikkerhedsansvarlige skal tage truslen alvorligt.

Tænk over, hvordan Internet of Things indgår i jeres organisation.

Udarbejd en risikovurdering: Hvad betyder det, hvis hackere bruger jeres routere til at udsende spam? Eller hvis de får adgang til jeres videoovervågning?

Der vil nok gå nogen tid, før vi modtager spam fra et køleskab.

Men andre sider af truslen fra tingenes internet er helt reelle og kan være lige om hjørnet.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere