Artikel top billede

Når dit køleskab mistænkes for spam

Klumme: Selv om køleskabe ikke udsender spam, er truslen fra tingenes internet reel nok.

Det lød som en god historie, da et sikkerhedsfirma fortalte om et køleskab, der udsendte spam.

Andre usædvanlige afsendere af spam var fjernsyn og multimediacentre.

De stod ifølge sikkerhedsfirmaet Proofpoint bag tusindvis af spam-mails udsendt omkring årsskiftet.

Firmaet så det som et tegn på, at de it-kriminelle nu har kastet sig over det såkaldte Internet of Things.

Det er alle de enheder på internettet, som ikke er traditionelle computere eller mobile enheder.

Et konkurrerende sikkerhedsfirma pillede nu hurtigt historien fra hinanden.

Symantec har kigget på dataene og mener, at Proofpoint retter bager for smed.

Ifølge dem stammer alle de pågældende spam-mails fra Windows-computere. Nogle af dem var inficeret med det velkendte botnet-program Kelihos.

NAT narrede

Hvorfor blev det smarte køleskab så uskyldigt mistænkt?

Ifølge Symantec er forklaringen NAT (Network Address Translation), der lader flere enheder deles om en enkelt IP-adresse på internettet.

Bag en router kan der således være både et køleskab og en pc.

Hvis man prøver at finde ud af, hvad der gemmer sig bag routerens IP-adresse, kan man for eksempel kontakte port 80, der bruges af webservere.

I dette tilfælde vil det smarte køleskab svare, da det har en indbygget webserver.

Den inficerede pc svarer derimod ikke, da der ikke kører en webserver på den.

På den måde kan man blive narret til at tro, at køleskabet står bag spam, der stammer fra pc'en.

Jeg tror, Symantec har ret: Proofpoint har været lidt for hurtige til at konkludere, at vi nu har set det første større eksempel på angreb på tingenes internet.

Sikkerhedsrisiko i dine apparater

Men det betyder ikke, at vi skal ignorere truslen.

Internet of Things vokser nemlig.

Det består af apparater som routere, smart-tv, mediecentre, udstyr til styring af varme og indeklima, alarmsystemer, videokameraer, dekodere, hi-fi-udstyr - og de mere spektakulære som biler og køleskabe.

Det udgør en sikkerhedsrisiko.

Risiko for misbrug

For når der er en indbygget computer i et apparat, og det forbindes til internettet, er der risiko for misbrug.

Rigtig meget af udstyret kører Linux.

Helt fint - Linux er en solid og billig løsning. Men der kan lige så nemt være sårbarheder i et indlejret Linux-system, som der kan være i en traditionel pc.

Især når der kører serversoftware oven på Linux-kernen.

I efteråret opdagede Symantec en trussel, der er målrettet mod Linux-systemer: Ormen Darlloz.

Den er rettet mod en gammel sårbarhed i PHP.

Hullet er for længst lukket. Men hvis ormen finder en maskine på nettet, der ikke er opdateret, bruger den hullet til at hente en kopi af sit program ind.

Herefter kører programmet på den nu inficerede maskine. Det går i gang med at scanne nettet efter flere sårbare maskiner.

Der findes varianter af Darlloz til Linux på Intel x86, ARM, PPC, Mips og Mipsel. De sidstnævnte arkitekturer finder man typisk i andet udstyr end pc'er.

Dermed er det klart, at bagmanden har målrettet sin orm mod tingenes internet.

Konkurrerende orme

Folk der har fulgt med i it-sikkerhed i længere tid, vil kunne genkende Darlloz som en typisk orm i stil med dem, vi så sprede sig på pc'er tidligere.

Også et andet element vækker minder: Darlloz undersøger, om den inficerede computer i forvejen er inficeret med en anden orm, Aidra.

Hvis det er tilfældet, sletter den Aidras filer og lukker for den port, som den kommunikerer over. Dermed forhindrer den Aidras bagmænd i at udnytte den inficerede maskine.

Den slags orme-kampe så vi også for en halv snes år siden på pc-platformen.

De viser, at der er så stor værdi for bagmændene i at få kontrol over apparatet, at det kan betale sig at bruge kræfter på at finde og fjerne konkurrenterne.

Risikovurder alle ting

De indbyggede computere i apparater har sjældent ret meget datakraft.

Alligevel kan de være interessante mål for hackere.

For eksempel kan hackere gå efter overvågningskameraer for at finde optagelser fra steder, der ellers er utilgængelige.

Endnu har vi ikke set større udbrud af Aidra eller Darlloz.

Men de er eksempler på, at det reelt er muligt at angribe tingenes internet.

Derfor synes jeg, at it-sikkerhedsansvarlige skal tage truslen alvorligt.

Tænk over, hvordan Internet of Things indgår i jeres organisation.

Udarbejd en risikovurdering: Hvad betyder det, hvis hackere bruger jeres routere til at udsende spam? Eller hvis de får adgang til jeres videoovervågning?

Der vil nok gå nogen tid, før vi modtager spam fra et køleskab.

Men andre sider af truslen fra tingenes internet er helt reelle og kan være lige om hjørnet.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
NIS2 - Sådan forbereder du din virksomhed til den store dag med ny EU-lovgivning om cybersikkerhed

NIS2 er et nyt EU-direktiv, som pålægger medlemslandene at sikre, at udbydere af kritisk infrastruktur og tjenester har passende sikkerhedsforanstaltninger på plads til at styre cyberrisici og opretholde modstandsdygtighed i tilfælde af en hændelse. Du skal være klar fra dag et – ellers vanker der bøder.

26. september 2023 | Læs mere


Er der en vej uden om usikker, kostbar og kompleks clouddrift?

Få indsigt i konklusionerne fra en nylig, storstilet undersøgelse fra Computerworld og Veritas med svar fra mere end 100 danske IT-topchefer i detaljer om deres erfaringer med de seneste års bevægelse mod cloudbaserede platforme og services. Derudover får du bud på, hvordan man som virksomhed både høster fordelene ved øget clouddrift og et stigende antal leverandører. Vel at mærke samtidig med, at man får det overblik, som gør det muligt at drive infrastrukturen sikkert og effektivt.

05. oktober 2023 | Læs mere


OT-sikkerhed i produktionsmiljøer - hvor kommer truslerne fra og hvordan opnår I optimal modstandsdygtighed overfor cyberangreb?

Til trods for den intense fokus på cybersikkerhed og NIS2 er mange produktionsvirksomheder og organisationer stadig usikre på, hvad de konkret skal gøre for at sikre, at de lever op til direktivets nye skærpede krav, når det gælder risikostyring, dokumentation og indberetning samt kravene om at garantere sikkerheden igennem hele forsyningskæden – og det ansvar, der følger med.

10. oktober 2023 | Læs mere