Kampen for kundernes sikkerhed fik i et par dage det danske sikkerhedsfirma CSIS til at spærre en række kunders download af instant message-programmet ICQ, som er ejet af en af verdens største medievirksomheder, Time Warner gennem datterselskabet AOL.
Sagen er et eksempel på de problemstillinger, som sikkerhedsbranchen slås med i forsøget på at beskytte virksomhedskunder mod de stadig flere internetbaserede sikkerhedstrusler.
Et af værnene i kampen mod hackere, phishere og virusskribenter er en form for security as a service, som ved hjælp af blacklisting holder kundernes computere fri for sider med skadelige kode.
I Danmark beskytter sikkerhedsfirmaerne tilsammen omkring halvdelen af de større virksomheder ved hjælp af en eller anden form for filtrering af de hjemmesider, som besøges fra kundernes maskiner.
Filtreringen består hos CSIS af en DNS-baseret blackliste, som forhindrer medarbejderne hos en kundevirksomhed i at besøge sider, der indeholder data, som sikkerhedsfirmaet skønner, kan skade kundernes sikkerhed.
Luger ud i millioner af sites
Hos CSIS fortæller sikkerhedsspecialisten Peter Kruse, at virksomheden i øjeblikket håndterer spærringen af omkring to en halv million domæner, der indeholder alt fra skadelig kode til BOTnet kontrol servere.
Listen er dynamisk og kræver konstant omlægning, fordi trusselsbilledet hele tiden skifter, alt efter hvilke domæner der er ramt af sikkerhedsbrist, som kan udnyttes af svindlere og hackere.
"Det er et stort arbejde at luge ud, forstået på den måde, at når en side for en kort periode bliver kompromitteret og på et tidspunkt bliver god igen, så skal vi manuelt ind og validere siden, så vi kan åbne op igen," siger Peter Kruse.
"Det er en udfordring som retfærdiggør security as a service. Det her ville en virksomhed aldrig kunne sidde med selv. Det er simpelthen for komplekst at sidde med filtre på denne her måde, fordi du hele tiden skal opdatere og uddatere," siger Peter Kruse.
Han forklarer desuden, at der samtidig er et stort antal domæner der udelukkende oprettes med onde hensigter, og derfor ikke kræver så megen validering.
IM-veteran i filteret
Når det tolv år gamle ICQ med 30 millioner brugere på verdensplan i de seneste dage blev ramt, skyldes det, at tjenesten benyttede et domæne, der hedder edgesuite.net til download af tjenestens software.
Dette domæne var i forvejen på CSIS' blackliste, hvilket afstedkom, at brugere hos kunder blev mødt af et advarselsskilt i stedet for den rigtige downloadside.
"Det kan nemt ske, at legitime sider kan havne i filtre. Men der er ingen filterleverandører i verden, som kan garantere, at det ikke vil ske. Meget af dette er ikke automatiseret og meget er menneskeligt," siger Peter Kruse.
På den måde kan der både ske fejl i automatik-processen, så et domæne ikke bliver valideret, eller noget kan opfattes forkert af et menneske, forklarer Peter Kruse om den komplicerede proces.
Mens bagsiden af sikkerhedsløsningen altså er mulige fejlspærringer af legitime sider er fordelene til gengæld til at få øje på. Kontrollen med de flere millioner spærrede sites gør det muligt eksempelvis at forhindre bot-net eller informationstyve i at ringe hjem fra inficerede maskiner og her aflevere de indsamlede data.
"Vi kigger ikke på, hvad vores kunder surfer på, det kan vi slet ikke. Men vi kan derimod se, hvilke sider der bliver blokeret," fortæller han.
Vrede firmaer i røret
De mulige fejlspærringer giver ind imellem opkald fra virksomheder, der er fornærmede over at havne i filteret.
"Ork jo. Og det tager vi også alvorligt. Vi kan ikke lide at begå fejl, så derfor retter vi op så hurtigt vi kan. Men det vigtigste er, at vi er ansvarlige, og sikrer at kunderne er beskyttet," siger Peter Kruse.
Med fuld kontrol over hvilke netsider, der kan besøges fra en kundevirksomhed, sidder sikkerhedsfirmaerne inde med meget magt.
"Det prøver vi at håndtere ved løbende at lave kontroller og kvalitetssikring af, hvordan vi laver blacklisterne. Også for at undgå, at vores kunder oplever, at der er ting de ikke kan nå," siger Peter Kruse.
