Et dansk it-sikkerhedsselskab har tæt på danmarksrekord i røde øren.
En ansat klikkede på et link i en chat-besked fra en god bekendt, men intet skete.
Kort tid efter indløb der imidlertid et lind strøm af henvendelser fra de andre på hans chat-kontaktliste. "Hvorfor sendte du os den besked?" lød det typiske spørgsmål.
Vor mand i sikkerhedsfirmaet var godt i gang med at smitte alle på sin kontaktliste ? kunder, leverandører, venner, familie ? med ondartet kode.
Smitte i fuld gang
Denne hændelse fra det virkelige liv er på ingen vis usædvanlig. Smitte via de små, øjeblikkelige chatbeskeder ? via instant messaging ? er i fuld gang. Det usædvanlige er imidlertid, at de fleste af landets virksomheder er lige så uforberedte på angreb via chat, som de var for ti år siden mod angreb via e-mails.
Sådan lyder vurderingen fra en række sikkerhedseksperter, som Computerworld har været i kontakt med.
Mens e-mailserveren er beskyttet som et fort, og e-mail-brug er reguleret af sikkerhedspolitikken, hersker der stadig wild west-tilstande for instant messaging. Det på trods af, at chat er overmåde populær blandt ansatte.
Hele 55 procent af små 6.000 læsere, der har svaret på et spørgeskema på Computerworld.dk, bruger chat-programmer på deres arbejds-pc'er.
Hurtig udbredelse
Selv om læsere af Computerworld.dk i sagens natur er mere interesserede i it end befolkningen generelt, vinder undersøgelsen genklang hos sikkerhedseksperterne.
? Virksomhederne har ikke forstået omfanget af brugen, og udbredelsen af IM-brugen sker langt hurtigere, end det skete med mail, hvor virksomhedens it-afdeling stort set altid måtte involveres, siger Steen Petersen, sikkerhedsarkitekt hos Ementor.
Hos eSec, der scanner mails for op mod 80 virksomheder, lyder samme vurdering:
? Vi kan se, at der er øget brug af chat på netværket, og at der er angreb, der lykkes ad den vej, fortæller administrerende direktør Ole Smitto.
Hos en af eSecs kunder kom smitten ind via MSN Messenger. En ansat blev mødt af en chatbesked fra en god ven, da han mandag morgen tændte for pc'en. "Tjek det her. Det er spændende som ind i h ...", lød essensen af den engelske tekst.
Men klikket på lænken inficerede brugerens pc med et stykke kode, som ikke alene slog antivirus fra, men også andre sikkerhedsrelaterede opdateringer. Kodens egentlige mission var imidlertid at åbne en "bagdør", så bagmanden kan overtage kontrollen med pc'en og måske bruge den som led i et koordineret kæmpeangreb.
? Brugeren trykkede på lænken, selv om den var på engelsk, fordi beskeden kom fra en person, han stoler på, siger Ole Smitto.
For stor tillid
Ifølge Ementors Steen Pedersen skyldes den uforsigtige omgang med instant messaging, at tilliden til den kommunikationsform endnu ikke har fået det knæk, som tilliden til e-mails for længst har fået.
? Oveni kommer, at vi efterhånden alle ved, at man ved e-mails kan spoofe ? altså gemme sig bag en tilforladelig afsender såsom en bank. Men det kan man endnu ikke med chat, siger Steen Pedersen til Computerworld.
Det har ikke været muligt for Computerworld at få nogen af de ramte firmaer til at stå frem. Enkelte firmaer har dog truffet deres forholdsregler gennem et klart forbud mod chatsoftware. Det gælder for eksempel revisions- og rådgivningsfirmaet KPMG, der til gengæld ser angreb hos sine kunder.
? Normen i den sikkerhedspolitik, som vi ser, er, at man skriver noget om e-mails, men langtfra altid noget om chat, fortæller Carsten Heilbuth, partner hos KPMG og øverste ansvarlige for it-sikkerhedsrådgivningen.
Denne artikel stammer fra fredagens trykte udgave af Computerworld, hvor du kan læse mere om sikkerhedsproblemerne ved instant messaging
