Sikkerhedstruslerne på nettet er stigende. Analysehuset Gartner ser i sin nylige rapport ”Hype Cycle for Cyberthreats" et stadigt mere fjendtligt miljø, der drives af finansielt motiverede og målrettede cyber-angreb.
Således forventer Gartner, at 40 procent af virksomheder i 2008 vil blive ramt af finansielt motiveret cyberkriminalitet.
I rapporten identificerer Gartner fem cybertrusler som har potentiale til at gøre betydelig skade for virksomhederne de næste to år.
De fem trusler er målrettede trusler, identitetstyveri, spyware, social engineering og virus.
- Målrettede trusler er trusler, der konsekvent går efter et bestemt mål. Det adskiller dem fra trusler som Slammer, Code Red, Bagle og lignende malware som alle ramte mere eller mindre tilfældigt. De målrettede trusler går efter en bestemt person eller virksomhed, forklarer Jay Heiser.
Han er certificeret it-sikkerhedsekspert (CISSP), medforfatter til bogen ”Computer Forensics: Incident Response Fundamentals”, klummeskriver i magasinet ”Information Security” og analytiker for Gartner på sikkerhedsområdet.
Målrettet fra 2000
Den første målrettede trussel som Jay Heiser stødte på var i 2000.
Den var rettet mod banken UBS' internetbankløsning.
Her forsøgte kriminelle af opsnappe adgangskoder fra bankens internetbrugere.
Netop bankerne er ved at tage næste skridt fra adgangskontrol til decideret monitorering af transaktioner.
- For homebanking er bankerne ved at indføre overvågning af transaktioner og aktiviteter, ligesom man kender det fra kreditkortselskaber. Hvis der pludselig sker store, usædvanlige bevægelser på en konto, vil sikkerhedssystemet bemærke det.
Risiko for falske positiver
Der er selvfølgelig risiko for falske positiver (indikation af at der foregår noget ulovligt, men transaktionen er lovlig og udføres af brugeren selv, red.).
I virkeligheden gør det ikke så meget. Banken ringer til kunden for at høre om transaktionen er ok. De fleste kunder er glade for det, da de ved, at banken forsøger at forhindre snyd, forklarer Jay Heiser.
Der er et antal banker der har indført den slags fraud-monitorering. En anden forholdsregel som er ved at blive indført er såkaldt risk-based authentication.
- Det er en dynamisk bestemmelse af, hvor meget adgang du skal have. Eksempelvis på baggrund af hvor du er; er du hjemme eller i udlandet. Kombineret med kontoens historik, kan man opsætte forskellige sikkerhedspolitikker.
Eksempelvis vil sikkerhedssystemet reagere på den ene eller anden måde, hvis en konto i en internetbank, der normalt tilgås fra en dansk ip-adresse, pludselig bliver anvendt fra udlandet, forklarer Jay Heiser.
Så der er altså forholdsregler at tage mod de målrettede trusler.
Ormene afløser virusser
En trussel, der efterhånden har generet it-chefer i mange år, er virus.
Her er der dog også sket en videreudvikling af truslen.
Den traditionelle virus-trussel hvor email sendes med vedhæftede virus-inficerede filer er nemlig blevet mindre.
Den type fik for alvor fik sit gennembrud med den verdensomspændende ”I love you”-virus i 2000. Nu har orme afløst de email-vedhæftede virusser.
- Der er rimeligt styr på vira, der spredes via mail. Nu er det orme, der udnytter sårbarheder i programmer, der er den primære tussel. Et eksempel var den nylige Messenger-orm, der spredte sig via instant messaging. Der blev sendt beskeder om, at man skulle klikke på et link. Gjorde man det, blev ens maskine inficeret, siger Ulf Munkedal, Fort Consult.
Han ser Messenger-ormen som eksempel på den generation der har taget over efter vira, der spredes via email. Han understreger, at det ikke kun er Messenger man skal holde øje med.
- Generelt udnytter orme sårbarheder i software – det behøves ikke at være Messenger. Hvis der er et sikkerhedshul, udnyttes det af ormen til at komme ind i maskinen og derfra sprede sig via til andre maskiner. Orme har overtaget herredømmet over de automatiserede trusler, siger Ulf Munkedal.
Der er dog heldigvis forholdsregler at tage over for ormenes.
– Netværkssikkerhed, firewall, IDS (Intrusion Detection Systems) og IPS (Intrusion Prevention Systems) er værktøjer der kan anvendes til at holde ormene ude af it-miljøerne. Antivirus-producenterne er til dels også i stand til at fange ormene, siger Ulf Munkedal.
Brugerne skal tænke sig om
Instant messaging-orme er et forholdsvist nyt område, men i princippet er historien den samme som mail med vedhæftede virusinficerede filer.
Man skal være mistroisk, hvis der pludselig dukker et link, man ikke har bedt om op på ens Messenger-klient.
- De fleste har lært at være skeptiske overfor email med vedhæftede filer, den samme påpasselighed skal man have overfor links i messaging-programmer, siger Ulf Munkedal og fortsætter:
- I dag er det sådan, at mange filtre på mailservere filtrerer eksekverbare filer fra. På sammem måde er vi begyndt at se firewalls og contentfiltre til Messenger, der filtrerer vedhæftede filer som exe-filer, word og regneark fra, forklarer Ulf Munkedal.
Botnets anvendes til afpresningsforsøg
Et af målene for virus og orme er at inficere maskiner, så maskinerne på et givet tidspunkt kan anvendes af de kriminelle. Ved at kontrollere en hel hær af inficerede maskiner i et såkaldt botnet, står kriminelle med et stærkt afpresningsvåben overfor firmaer, der baserer deres forretning på en online tilstedeværelse.
Hvis ikke virksomheden betaler penge til de kriminelle, vil botnettet starte en syndflod af forespørgsler til virksomhedens websted. Resultatet er, at virksomhedens websted går ned, fordi det ikke kan håndtere alle forespørgslerne. Ved sådan et Denial-of-service angreb vil virksomhedens kunder selvfølgelig heller ikke kunne komme i kontakt med webstedet.
- Det er typisk firmaer som online-spil og bookmakere der rammes. De er 100 procent afhængige af at være online. Der er daglige afpresningsforsøg; det er ligesom mafiaen der opkrævede beskyttelsespenge i gamle dage: Hvis ikke du betaler, så lægger vi dit website ned, siger Ulf Munkedal.
Et stort botnet-angreb er svært at gardere sig imod.
- Der er specielle teknologier til håndtering af denial-of-service. Det er primært i USA vi ser dem. Det er dyre systemer, der kræver et stort marked. Basalt set handler det om at filtrere datapakker fra de angribende maskiner væk. Det sker i samarbejde med ISP'erne (internetleverandørerne, red.), så ISP'erne ikke videresender trafik fra de IP-adresser, der står bag angrebet, fortæller Ulf Munkedal.
Danmark ser ud til at have undgået den form for sikkerhedstrussel indtil videre.
- Danske spil er da i målgruppen. For at det skal være interessant for de kriminelle, skal online-tilstedeværelsen være fundamentet for forretningen. Så selvom Lego og A.P. Møller eksempelvis er store, så har de ikke baseret deres indtjening på online, hvilket gør dem mindre interessante, vurderer Ulf Munkedal.
