Elak kod - Hur smittar elak kod och vad kan du göra för att skydda dina IT system?
I det här dokumentet tittar vi närmare på elak kod och vilka verkningar elak kod kan få för din IT miljö. Vi beskriver också hur du på bästa sätt kan skydda dina IT system från digital pest. Läs, begrunda och använd texten på sätt som gagnar din organisation.
Texten fortsätter under frågeformuläret:
Annons:
Allt om elak kod
Elak kod #1: DDoS-attack (Distributed Denial of Service-attack)
Syfte:
Syftet med en DDoS-attack är att rikta en överbelastningsattack mot en server eller ett nätverk (t.ex. ett företags webb eller e-postserver). Genom att infektera persondatorer på olika platser runt om i världen med trojaner har kriminella element skaffat sig vad man kallar Botnets eller (om de är riktigt stora) zombienätverk. Ett zombienätverk kan bestå av hundratusentals datorer där alla bakom de smittade systemen är ovetande om att just deras dator är ett av verktygen i en riktad attack.
Botnets eller zombienätverk administreras av en herde som ställer sitt nätverk tillförfogande på den svarta marknaden. Ofta hyrs dessa nätverk ut per timma eller per dygn till någon som vill rikta en attack mot ett specifikt system. Dessa attacker görs i regel i utpressningssyfte mot olika typer av kommersiella siter (webbsidor). Den som vill utöva utpressning hör av sig till företaget som äger e-handelslösningen och talar om att pengar skall föras över till ett specifikt konto inom en viss tid annars startar en attack mot systemet.
Förutom ekonomiska syften kan orsaken till en DDoS-attack vara att man vill tvinga ett företag eller en organisation att "ändra budskap" eller ge igen för vad man tycker är en "oförrätt". Ett exempel på det sistnämnda måste vara DDoS-attacken som utfördes mot den svenska polisen 2006 i samband med deras ingripande mot nätsiten The Pirate Bay.
Åtgärd:
För att skydda sina e-handelssystem mot elak kod bör företaget bakom dessa system jobba aktivt med IT-säkerhetsrelaterade frågor. Detta är troligtvis fallet eftersom vi nu pratar om ren självbevarelsedrift, i denna strategi bör vi hitta rätt konfigurerade servrar, strategier för hur patchhantering skall skötas, strategier för hur brandväggar skall konfigureras, en rekommendation är också att parallellt med brandväggen jobba med ett IDS system (Intrusion Detection System), redundans kan också vara direkt nödvändigt.
En idé kan vara att outsourca hela den bärande plattformen av e-handelssystemet till en SP (Service Provider) alltså någon som redan har investerat i alla ekonomiska resurser som krävs, både gällande humant- och hårdvarubaserat kapital, för att säkra webbaserade tjänster.
En annan åtgärd som vi som vanliga Internetanvändare måste företa oss är att jobba aktivt med uppdateringar av våra system. Vi måste också installera ett antivirussystem samt en personlig- eller fysisk brandvägg. Vi bör också använda en större portion sunt förnuft när vi utför våra ärenden på Internet. Nätet kan vara en farlig plats, helst om man är naiv och godtrogen. Anledningen till att Botnets eller Zombienätverk överhuvud taget kan existera är på grund av alla oupdaterade och dåligt skyddade system som finns runt om i världen. Dessa faktorer bör uppfyllas på klientdator för att undvika elak kod oavsett om det är i hemmet eller på arbetsplatsen:
1. Uppdatering av alla system (per automatik eller manuellt, detta skall omfatta alla system)
2. Ett modernt och automatiskt uppdaterat antivirussystem.
3. En modern fysisk eller personlig brandvägg.
4. Sunt förnuft, t.ex. undvik att klicka på bifogade länkar och filer i mail om inte avsändaren är verifierad.
Elak kod #2: Internetbedrägerier
Phishing (tekniskt inte elak kod)
Syfte:
Syftet med Phishing (Fishing - fiske dvs. nätfiske) är att lura Internetanvändare till att lämna ifrån sig personliga uppgifter som sedan används av en illasinnad individ för att utföra olika typer bedrägerier. Den som utför en Phishingattack utger sig i regel för att vara en betrodd aktör, någon som användaren känner till (exempelvis en bank).
Bedragaren skapar ett mail där man har kopierat företagsloggo och andra viktiga detaljer som kan kopplas till den legitima källan. Man inkluderar också trovärdig text där mottagaren ombeds att följa en bifogad länk som finns i e-brevet. När mottagaren klickar på länken hamnar han på en webbsida som med all säkerhet ser precis ut som en webbsida från mottagarens bank. Att designa och kopiera webbsidor är inget stort problem för den med lite kunskap.
På den falska webbsidan ombeds besökaren att lämna ifrån sig olika personliga uppgifter, ofta används servicerelaterade orsaker till varför man skall lämna ifrån sig dessa uppgifter (t.ex. systemunderhåll). När uppgifterna är angivna och skickade får bedragaren tillgång till dem och kan utföra de ändamål som ligger som grund för bedrägeriet.
Åtgärd:
Att skydda sig mot Phishing (nätfiske) kan göras med två faktorer.
Sunt förnuf kommer in här precis som på så många andra ställen när det gäller informationssäkerhet. Fråga dig om till exempel din bank brukar skicka ut meddelanden om systemservice via e-post och i sådana fall om det verkligen kan stämma att du skall lämna ifrån dig dina bankuppgifter för att de skall kunna göra denna service? Vi rekommenderar dig att kontakta din bank, din betalningsgateway eller annan aktör så fort ett mail om krav med uppgiftsutlämnande sänds till dig. Det är sällan (eller snarare aldrig) troligt att en legitim aktör begär att deras kunder skall lämna ifrån sig personlig information via en webbsida bara för att vissa typer av underhåll skall genomföras på olika system.
Ring, e-posta eller på annat sätt kontakta originalkällan (den som e-brevet påstår sig gälla) vid minsta misstanke. Kontrollera också vad som står i e-brevet, ofta är texten i dessa typer av Phishing brev felstavade på ett eller annat ställe vilket originalkällan aldrig skulle tillåta. Detta kommer av att många bedragare opererar från annat land (dvs. de skriver inte på sitt modersmål). Kontrollera också den webbadress som länken i e-brevet pekar på, i e-brev från bedragare står det ofta en IP adress istället för en namnadress (192.168.x.xxx istället för www.dinbank.se/subsida/subsida/subsida.....)
Antiphishingprogram finns både som tredjepartslösningar och inbyggda i befintliga webbläsare (Browsers). Ett antiphishingprogram kontrollerar sidan du avser att besöka genom att ställa den mot en databas med kända Phishingsidor. Ger detta ett positivt utslag varnas du för att besöka sidan. Microsoft har en inbyggd funktion för detta i sin IE7.0 och Netcraft är en bra tredjepartslösning som kan laddas ner gratis.
Elak kod #3: Mer om Phishing
Ordet Phishing lär komma från det faktum att hackare ofta byter ut f mot ph så uttalet är alltså fishing (fiska).
Phishing är en form av social engineering där man på ett bedrägligt sätt försöker att komma över olika personliga uppgifter från en Internetanvändare. Dessa uppgifter kan vara lösenord, personnummer och bankuppgifter.
Genom att använda sig av en legitim fasad som användaren vanligtvis kan lita på (exempelvis sin bank) så luras vi att lämna ut våra uppgifter i ett gott syfte. När sedan den som utför bedrägeriet har fått tag på dina uppgifter kan uppgifterna användas för exempelvis handel på Internet och andra typer av kriminella handlingar.
Bästa sättet att skydda sig mot phishing är att aldrig klicka på länkar i ett email. Du bör också använda någon form av SPAM-skydd och naturligtvis bör en brandvägg och ett bra antivirussystem användas. Utöver detta rekommenderar vi att du har alla system uppdaterade och att du använder någon form av verktyg för att ta bort spionprogram. Du bör också hålla dig uppdaterad om vad som händer och låt det sunda förnuftet styra, om du är misstänksam mot ett exempelvis ett mail bör du radera det direkt och inte låta nyfikenheten ta över.
Vi kan också rekommendera att du använder dig av Earthlink Toolbar för att skydda dig mot phishingattacker.
Ett exempel på en phishing "attack" är denna mot PayPals kunder. Det som avslöjar att detta är phishing är felstavningen i emailet.Titta i texten långt ner på denna bild, det börjar med "If you choose to ignore..." på slutet står det "...to temporaly suspend your account". I det här fallet är temporaly felstavat.
Den gula rutan som visar närvaron av en IP-adress är också ett tecken på att detta är ett phishing försök.
Elak kod #4: Pharming (tekniskt inte elak kod)
Pharming (farming) innebär att en Internetanvändare luras att ange till exempel lösenord eller kreditkortsuppgifter på en falsk webbsida som ser ut som en legitim webbsida, den som besökaren hade för avsikt att besöka. Pharming skiljer sig från Phishing i avseendet att den som utför attacken inte behöver lura användaren att klicka på till exempel en länk i ett e-brev för att fullborda bedrägeriet. I det här fallet kan den ont anande användaren på ett helt riktigt sätt ange adressen till den webbsida han har för avsikt att besöka men ändå hamna på den falska webbsidan.
Detta är möjligt genom att personer med ljusskygga avsikter utnyttjar sårbarheter i DNS-servrar eller manipulerar host-filer. Pharming är inget nytt hot utan det har tidigare varit känt under namnet DNS Cache Poisoning. I och med att det utförs allt fler ekonomiska transaktioner på Internet har det lockat kriminella element att i större skala utföra DNS Cache Poisoning (Pharming). Namnet Pharming myntades redan 2005 i samband med en omfattande DNS Cache Poisoning attack eftersom det fanns vissa likheter med Phishingattacker som hade börjat bli relativt vanliga då.
Elak kod #5: Man in the middle-attack (tekniskt inte elak kod)
Syfte:
Namnet Man in the middle (MITM) kommer från ett bollspel där två utövare skall kasta en boll mellan varandra medan en tredje deltagare försöker fånga bollen. Enkelt kan man säga att en MITM attack går ut på att få en användare att tro att hon eller han skickar information direkt till en legitim källa men istället mellanlandar all information hos en bedragare. En form av digitalt tjuvlyssnande skulle man kunna säga.
Ett populärt sätt för en bedragare att genomföra en MITM attack är att använda sig av en webbadressomskrivning. Detta innebär att bedragaren skapar en kopia av den legitima webbsida som användaren vill besöka. Bedragaren måste sedan få användaren att besöka hans kopia istället för den legitima webbsidan. För att åstadkomma detta kan bedragaren exempelvis skicka ut ett mail där användaren av olika anledningar ombeds att besöka vad hon tror är den legitima webbsidan.
Låt oss nu säga att detta gäller en användare som vill kontakta sin bank. Användaren skickar en begäran till vad hon tror är sin banks webbsida men informationen mellanlandar hos bedragaren som tar del av informationen och låter den sedan passera till banken. All information som kommer tillbaks från banken mellanlandar hos bedragaren och vidarebefordras samtidigt till användaren. Användaren är hela tiden ovetande om vad som sker och bedragaren har lyckats med det han vill, nämligen att få tillgång till användarens personliga bankuppgifter. Detta var enkelt förklarat men beskriver i stort hur en MITM attack kan gå till.
Åtgärd:
Titta efter synliga tecken, med detta menar vi exempelvis vad som visas i adressfönstret längst ner i din webbläsare om du för muspekaren över en t.ex. en länk. Om det är en falsk webbsida kommer det med all säkerhet att visas en adress som någonstans också pekar mot bedragarens webbadress (server). Om besöket gäller en legitim webbsida som skyddas av kryptering bör du titta efter SSL hänglåset i högra delen av webbadressfönstret. Detta är några punkter att tänka på:
1. Som vi redan har nämnt, titta efter SSL hänglåset (om det gäller din bank eller annan säker webbsida)
2. Klicka inte på länkar i e-brev som påstås komma från din bank (eller annan sida där kritiska personuppgifter krävs) där man kräver att du skall lämna ifrån dig personliga uppgifter. Besök istället den aktuella webbsidan genom att skriva in adressen för hand i webbadress fönstret. Gäller det påstådda ärendet i e-brevet systemservice eller andra åtgärder är detta med all säkerhet påtalat på den legitima webbsidan. Ta också kontakt med källan för att verifiera om innehållet i e-brevet verkligen kan stämma.
3. En rekommendation är att du skriver in webbadressen för hand till sidor du vet att du frekvent kommer att besöka och sedan spar du dessa sidor som favoriter. Använd sedan dina sparade favoriter nästa gång du skall besöka sidan och gå aldrig via länkar på webbsidor eller i e-brev.
4. Använd antiphishing mjukvara, både Internet Explorer 7.0 från Microsoft och Mozillas Firefox har inbyggda phishingskydd. Du kan också ladda hem ett utmärkt verktyg från Netkraft som också höjer säkerheten mot falska webbsidor.
5. Om den legitima webbsidan du avser att besöka har en funktion vid inloggning som kan komma ihåg dig till nästa gång (dvs. dina användaruppgifter) kan du välja att använda den här funktionen. När du sedan gör ett återbesök på sidan finns dina uppgifter sparade, om du istället skulle hamna på en falsk webbsida kommer dina uppgifter inte att finnas sparade av naturliga skäl. Denna rekommendation är naturligtvis inte vattentät och den skall INTE användas på publika datorer utan bara på din personliga dator.
Elak kod #6: Virus
Syfte:
Vad är virus?
Ett datavirus kan liknas vid ett vanligt biologiskt virus. Viruset sprids från dator till dator precis som ett vanligt biologiskt virus sprids från människa till människa.
Men det finns likheter på ett djupare plan. Ett biologiskt virus är inte ett levande väsen, det är ett fragment av DNA i ett skyddande skal. Olikt en cell har inte ett virus någon möjlighet att göra någonting inte ens replikera sig. Ett biologiskt virus måste därför injicera sitt DNA i en cell, därefter använder det virussmittade DNA:et de återstående delarna av cellens maskineri för att replikera sig själv. Cellen fylls med nya viruspartiklar tills den spricker och då frigörs viruset.
Ett datavirus delar några av dessa egenskaper. Viruset måste "leva" inuti andra program- eller dokument för att kunna släppas lös, när vi startar det program som vi tror skall installera ett litet spel eller något annat ofarligt får vi också med viruset in i datorn.
När viruset väl har fått fäste kan det infektera i stort sett vilket program eller dokument som helst vilket leder till att systemet blir instabilt eller helt slås ut.
Det är självklart svårt att jämföra ett datavirus och ett biologiskt virus, men det finns en hel del slående likheter.
Det digitala viruset
Ett virus som smittar en digital miljö är ett litet program- eller kodsnutt som är designat att sprida sig med egen kraft och detta kommer att ske utan din vetskap. Viruset kommer att använda andra program, eller delar av dessa, på din dator som plattform för att genomföra sin aktivitet. Viruset kan exempelvis smitta ett system via en floppydisk eller en USB-pinne, det kan också ligga som en bifogad fil i ett mail (se bildexemplet ovan). När vi sedan klickar på den infekterade filen aktiveras viruset och spridningen börjar. Ett digitalt virus göms ofta i datorns minne där det väntar på att rätt aktiviteter skall ske för att sedan utföra vad det är designat för. Vad vi skall komma ihåg är att ett datavirus alltid har en skapare, en person som du eller jag. Ett digitalt virus uppstår inte av sig själv och den aktivitet och skada som viruset åstadkommer har alltid designats av en annan människa.
Vad är Payload?
När vi talar om virus i en digital miljö kommer ofta ordet payload upp. Payload kan enklast beskrivas som den skadeverkning som viruset åstadkommer när det har infekterat ett system. Detta kan vara allt från att inte göra någonting till mycket allvarliga saker som att radera specifika systemfiler som helt slår ut den smittade datorn. Vid en virusinfektion blir i regel datorn slöare än vanligt vilket också kan jämföras med en virusinfektion hos en människa.
Det älskade/hatade Internet!
En fantastiskt bra sak med Internet är tillgången till information! En fantastiskt dålig sak med Internet är tillgången på information! Att skapa och sprida ett virus (typ av elak kod) riktat mot en digital miljö kräver idag inga djupa kunskaper om programmering. Det är enkelt att finna och ladda ner verktyg som är specialanpassade för ändamålet. Detta ger en klarare bild av varför det finns så mycket elak kod i omlopp och varför det aldrig sinar på nya virus. Dock kan en tröst vara att dessa specialprogram ofta genererar ganska "tama" virusversioner, riktigt elak kod kräver fortfarande gedigna kunskaper inom programmering men oskyddade system kommer att vara sårbara även för de mest "harmlösa" virustyperna.
Åtgärd:
Att skydda sig mot virusangrepp (och annan elak kod) kan delas in i några grundläggande steg:
1. Uppdaterade system
Se alltid till att din dator (oavsett om det är en PC eller server) har de senaste uppdateringarna och säkerhets patcharna installerade. Patcharna är designade för att täppa till säkerhetsluckor i ett system. Svagheter blir alltid kända ganska omgående vilket tyvärr utnyttjas av illasinnade individer men det gör också att luckor i systemet kan täppas till relativt snabbt. Att låta Windows Update per automatik hantera uppdateringarna på operativsystem från Microsoft är en mycket bra idé. Se också till att uppdatera andra program och applikationer oavsett om de kommer från Microsoft eller någon annan leverantör.
2. Skalskydd
Ett väl fungerande och uppdaterat antivirussystem skall installeras av ren självbevarelse drift för att motverka elak kod. Det finns alldeles utmärkta antivirusprogram där årslicensen bara kostar 3-400 kronor per år vilket innebär att kostnaden aldrig kan bli ett hinder. Se också till att skanna ditt system med jämna mellanrum, detta bör schemaläggas men det skall också utföras On Demand vid minsta misstanke om infektion av elak kod.
En personlig eller fysisk brandvägg bör också installeras för att motverka elak kod. Det finns routrar med inbyggd brandvägg att köpa hos de flesta välsorterade fackhandlarna som inte kostar mer än 4-500 kronor. Gör en behovsanalys kring vilket val av brandvägg du skall göra, analysen kan bland annat styras av vad du skall skydda, antalet användare, trafikmängd och krav på tjänsteutbud.
3. Backup
Om du eller ditt företag råkar ut för ett virusangrepp (eller annan typ av elak kod) är det av största vikt att data kan återläsas från ett tidigare skede. Fullständiga ominstallationer av de infekterade systemen blir ofta en följd av ett angrepp och då måste kritisk data kunna återinstalleras. Din backupstrategi bör också omfatta historik, virusangreppet kan ha skett flera dagar (till och med veckor) tillbaks i tiden vilket gör att gårdagens backup kan innehålla infekterade filer.
4. Sunt förnuft
Begreppet sunt förnuft kommer ofta tillbaks inom området IT-säkerhet. Sunt förnuft är en mycket viktig komponent för att motverka elak kod och ibland kan vi inom vår yrkesroll förvånas över avsaknaden av sunt förnuft i vissa situationer. Vi har besökt många företag som har genomlidit ett angrepp av elak kod bara för att någon inom organisationen av ren nyfikenhet var tvungen att klicka på en bifogad fil i ett mail med engelsk text från en okänd avsändare.
Vi har också sett exempel på när USB pinnar infekterade med elak kod installerats utan att en On Demand skanning har utförts innan man börjar klicka på de filer som fanns på enheten. Bara för att ett mail eller en USB pinne kommer från en känd person behöver inte detta innebära att allt är frid och fröjd. Många virus är designade att sprida sig via den infekterade datorns kontaktlista vilket gör att ett känt namn kan stå som avsändare av det infekterade e-postmeddelandet. Är antivirussystemet dessutom dåligt uppdaterat kan detta ge tråkiga följder.
Vår rekommendation är att vara lite mer misstänksam, fråga dig själv om det är rimligt att klicka på bifogade filer i mail från okända avsändare (ofta utländska) bara för att du uppmanas att göra så. Var lite mer restriktiv när det gäller gratisprogram på Internet, det finns ofta en dold agenda inkluderat i dessa program. Individer som sysslar med elak kod på Internet har som största tillgång att vi är godtrogna och saknar rätt kunskap om de hotbilder som vi faktiskt dagligen ställs inför.
Vad är ett Makrovirus?
Ett makrovirus är ett virus som kan spridas med hjälp av vanliga dokument. Den vanligaste typen av makrovirus är de som infekterar Microsoft Office dokument, detta kan ske genom att både Word och Excel möjliggör användandet av inbäddade Visual Basic script (Visual Basic är ett programspråk designat av Microsoft). Dessa script används ofta för att automatisera vissa procedurer men det finns också andra användbara områden för Visual Basic script.
Ett problem är att Visual Basic tillåter att makroscriptet kopierar sig till andra dokument. Detta kan leda till en situation där ett farligt makrovirus sprids mellan dokumenten på en hårddisk. Viruset kan också spridas till andra datorer genom floppy diskar eller via bifogade filer i e-postmeddelanden.
Makrovirus har varit vanligt förekommande och de har stått för en stor del av den totala mängden virusinfektioner som vi hittills har skådat. Detta har sin orsak i att vi ofta anser bifogade Office dokument som harmlösa, skickas den infekterade filen dessutom av en betrodd avsändare (som dock har en infekterad dator) kan det vara ännu svårare att värja sig. Läs mer om makrovirus i nästa stycke (Vad är E-postvirus).
Vad är E-postvirus? E-postvirus har ökat lavinartat de senaste åren, för att förklara hur ett e-postvirus fungerar kan vi titta närmare på Melissa som skapade stor skada i Mars 1999. Melissa spreds i ett Microsoft Word dokument och fungerade på följande sätt.
Någon skapade viruset som en del i ett Worddokument, dokumentet låg uppkopplat mot en Internet Newsgroup*. Den som laddade ner dokumentet och öppnade det släppte in viruset i sin dator.
*En Newsgroup är en diskussion på Internet om ett speciellt ämne.
Viruset var nu programmerat att sprida Worddokumentet och sig själv via mail till dom 50 första personerna i den smittade datorns adresslista. Mailet innehöll ett vänligt meddelande där också mottagarens namn var inkluderat, detta gjorde att man öppnade mailet i tron att det var ofarligt.
Nu skapade viruset ytterligare 50 nya mail som innehöll Worddokumentet samt sig själv och sände detta till ytterligare 50 personer i denna dators adresslista. Detta resulterade i att Melissa var det virus som snabbast spred sig alla kategorier, en effekt av detta var att flera stora företag fick stänga ner sina e-post servrar.
Melissa virusets skapare tog fördel av Microsofts eget programspråk VBA*. Det är ett komplett programspråk som lätt kan användas till att göra program som modifierar filer och skickar e-post. VBA har också en inbyggd funktion som är mycket användbar men farlig nämligen auto-execute.
*Visual Basic for Applications är ett programmeringsspråk som är skapat av Microsoft.
Detta innebär att en programmerare kan bifoga ett program i ett dokument som körs så fort dokumentet öppnas. Det är på detta sätt Melissa viruset var konstruerat. Vem som än öppnade dokumentet som innehöll Melissa viruset aktiverade också viruset.
Programmet bakom Melissa viruset skickade 50 mail från varje infekterad dator, efter utskicket infekterade viruset filen NORMAL.DOT så att alla efterföljande filer som sparades på den infekterade datorn också innehöll Melissa viruset. Detta skapade naturligtvis en ordentlig röra som kostade företag miljontals kronor att städa upp. För att inte tala om problemen för alla privatanvändare.
Microsoft har en funktion som skyddar mot makrovirus, denna funktion finns i bland annat i nyare Office paket. Denna inbyggda funktion hade reducerat spridningen av Melissa markant om den hade varit aktiverad på ett riktigt sätt. Om man har denna funktion i aktivt läge så förhindras virus av typen Melissa att automatiskt aktivera sig när man klickar på exempelvis ett Word dokument.
Om man har skyddet i läge aktivt och försöker att öppna ett infekterat dokument så får man en varningsruta som säger att man bör undvika att öppna detta dokument för det kan innehålla macrovirus. Tyvärr har många användare för lite kunskap om makrovirus och även ofarliga macroprogram så de ignorerar varningsmeddelandet och öppnar dokumentet i alla fall.
Många avaktiverar konstigt nog skyddet mot macrovirus vilket möjliggör spridning av viruset trots att det enkelt hade gått att förhindra.
I fallet med viruset ILOVEYOU berodde spridningen på vår egen stora vilja att dubbelklicka på en bifogad fil. Alltså vår egen nyfikenhet var den stora orsaken till spridningen. Hade man följt ett uns av sunt förnuft så hade spridningen av ILOVEYOU varit kraftigt reducerad.
Vad är Boot Sector Virus? När virusmakarna blev mer sofistikerade lärde de sig att programmera elak kod (virus) som installerade sig i datorns minne, nu kunde viruset vara igång i bakgrunden under hela tiden datorn var igång. Detta gav virusmakarna större möjligheter att skapa virus som enkelt kunde replikera sig själv.
Ett annat sätt som man lärde sig var att skapa virus som infekterade bootsektorn på disketter och hårddiskar, bootsektorn är ett program som laddas som första del i ett operativsystem. Bootsektorn innehåller ett litet program som talar om för datorn hur denna skall ladda resten av operativsystemet. Genom att sätta kod i boot sektorn var man garanterad att viruset startades. Viruset kan direkt ladda sig i minnet och köra sig själv så fort datorn är igång. Bootsektorvirus kan infektera bootsektorn på en diskett som installeras i den infekterade datorn, om den smittade datorn står i en offentlig lokal, exempelvis en högskola, där många användare delar på datorerna sprids viruset mycket snabbt.
Elak kod #7: Trojaner
Syfte:
Den Trojanska hästen var (enligt legenden) en stor trähäst som Grekerna lät staden Trojas innevånare få som en gåva. Inuti trähästen hade man gömt 30-40 soldater vilket innebar att den trojanska hästen hade ett annat syfte än vad den utgavs att ha.
När vi talat om den digitala versionen av den Trojanska hästen fungerar det på samma sätt. Det är en fråga om förklädnad och att lura mottagaren att tro att han eller hon får något som är legitimt och bra men det finns en dold agenda i form av elak kod.
Vi presenterar nu fem olika typer av Trojaner:
RAT's
Den vanligaste typen av Trojaner är RAT eller Remote Access Trojans. Dessa Trojaner har som uppgift att ge en illasinnad individ access (åtkomst) till system som har infekterats av Trojanen. Typiska exempel på RAT's är NetBus (som för övrigt har en svensk skapare) och SubSeven. Den sistnämnda är otäck för den är enkel och ganska självklar i sitt administrativa gränssnitt. Detta gör att Script Kiddies (näthuliganer) gärna använder den eftersom det inte krävs kunskap i programmering för att skapa sin Trojan. De flesta moderna antivirusprogram har inga problem att identifiera SubSeven (Sub7) men om .exe filen komprimeras i en .Zip fil kan äldre antivirussystem få problem med att upptäcka den infekterade filen. För att förstå hur enkelt det är för vem som helst att skapa elak kod ger vi er länken till SubSevens webbsida, vi gör detta endast i informativt syfte och vi varnar för att skapa elak kod som riktas mot annan individ eller system är olagligt. Klicka på länken för att komma till SubSevens startsida www.sub7legends.com
Administrativt gränssnitt till SubSeven
Filserver Trojan
Denna typ av Trojaner skapar en filserver på det infekterade systemet (exempelvis en ftp-server). Med hjälp av ftp-servern kan sedan en illasinnad individ ladda upp (mellanlagra) material på det angripna systemet. Ofta använder man en filserver Trojan för att sedan via denna ladda upp en mer kraftfull RAT. Man kan också tänka sig ett scenario där en filserver Trojan används för att mellanlagra ljusskyggt material på en infekterad dator.
Lösenords Trojan
Denna typ av Trojaner har som syfte att stjäla lösenord från det infekterade systemet. Dessa lösenord sänds sedan tillbaks till en illasinnad individ för utökad kriminell aktivitet. Ett vanligt sätt för denna typ av Trojan att vidarebefordra lösenord och andra uppgifter är sända ett e-postmeddelande till individen bakom Trojanen.
Key Logger
Denna typ av Trojan loggar allt som den intet ont anande användaren skriver på sitt tangentbord. Loggfilen sänder Trojanen vidare till den som utför angreppet via e-post eller så kan loggfilen lagras lokalt i en dold mapp för att sedan laddas ner av angriparen. Den information man får tillgång till används sedan för att utföra exempelvis bedrägerier.
DDoS Trojan (Distributed Denial of Service)
Detta är en otäck version som en angripare använder för att styra stora mängder infekterade datorer. Angriparen placerar DDoS Trojanen på en dator, via Trojanen kan sedan angriparen styra datorn att utföra ett riktat angrepp mot ett utvalt system, om en stor mängd datorer används i denna attack kommer det angripna systmet att bli onåbart. Denna typ av attacker riktas i regel mot e-handelssiter eller organisationer (t.ex. politiska sådana), ofta föregår någon form av utpressning attacken och uppfyller man inte vad angriparen önskar startar DDoS-attacken. En attack varar under ett visst antal timmar eller till systemägaren får bukt med situationen. I regel är det inte ägaren till Botnet- eller Zombienätverket som står bakom utpressningen. De som avser att utpressa ett företag eller organisation hyr ett Zombienätverk under det antal timmar som önskas. Herden (den som förfogar över Zombienätverket) utför sedan attacken åt den som köper hans tjänster. Ett Zombienätverk kan styras genom att herden ansluter till alla de infekterade datorerna på en gång eller genom att han använder en huvudserver (en så kallad Drone).
Distributionssätt
Distributionssättet för alla typer av Trojaner är via dold agenda. Den som står bakom Trojanen förpackar den i t.ex. ett gratisprogram eller en Jpeg fil (med dold .exe). Därefter skickas den "legitima" filen tillsammans med elak kod (trojanen) via e-post eller laddas upp på någon typ av Community. Grundförutsättningen är hela tiden att mottagaren skall tro att han eller hon får en gullig bild eller ett nyttoprogram och det luriga är att bilden kommer att visas och även en installation av "nyttoprogrammet" kommer att ske men med dold agenda (elak kod).
Åtgärd:
För att skydda sina e-handelssystem (mot t.ex. DDoS-attacker och annan elak kod) bör företaget bakom dessa system jobba aktivt med IT-säkerhetsrelaterade frågor. Detta är troligtvis fallet eftersom vi nu pratar om ren självbevarelsedrift, i denna strategi bör vi hitta rätt konfigurerade servrar, strategier för hur patchhantering skall skötas, strategier för hur brandväggar skall konfigureras, en rekommendation är också att parallellt med brandväggen jobba med ett IDS system (Intrusion Detection System), redundans kan också vara direkt nödvändigt.
En idé kan vara att outsourca hela den bärande plattformen av e-handelssystemet till en SP (Service Provider) alltså någon som redan har investerat i alla ekonomiska resurser som krävs, både gällande humant- och hårdvarubaserat kapital, för att säkra webbaserade tjänster.
Klienter (PC, arbetsstationer och bärbara datorer) och servrar (icke kommersiella system) bör skyddas i månt och mycket på samma sätt. En brandvägg (beroende på kravbild kanske brandväggen bör jobba parallellt med ett IDS-system) bör installeras i kombination med ett modernt och uppdaterat antivirussystem. Att arbeta fram en strategi för hantering och distribution av uppdateringar är naturligtvis väldigt viktigt samt att alla system är rätt konfigurerade. Backup är ett lika viktigt kapitel och all säkerhetskopierad information bör bland annat finnas i flera exemplar med historik samt geografisk separering. När det gäller företag och organisationer bör man fundera på vad som skall vara tillåtet respektive inte tillåtet på arbetstid. För oss som jobbar med säkerhet är det självklart att man inte får använda företagets resurser hur som helst. Allt man företar sig på arbetstid bör vara arbetsrelaterat samt sanktionerat via en starkt klargörande IT-policy (godkänd av företagsledningen och beskriven, accepterad samt signerad av samtliga anställda).
Vi måste naturligtvis även när det gäller Trojaner (och annan elak kod) använda det sunda förnuftet. Klicka inte på bifogade länkar i e-brev från okända avsändare. Undvik gratisprogram eller läs recensionerna om programmet innan du laddar ner det. På de flesta stora siter för gratisprogram finns det möjlighet att ge kommentarer om programmet och om prgrammet innehåller elak kod sprids detta omgående.
En annan vanlig källa att sprida Trojaner är via filer på fildelningssiter. Gör gärna ett besök på t.ex. ThePirateBay och läs kommentarerna kring diverse olika Torrenter. Det är vanligt förekommande att det varnas för elak kod i de filer som kan laddas ner från siter av den här typen. IM program som ICQ har också sin beskärda del av Trojaner, många gånger spelar individen bakom Trojanen på vårt habegär och vår nyfikenhet i kombination med den anonymitet som Internet ger. Begreppet habegär kommer igen när det gäller Trojaner på fildelningssiter (vi vill ha någonting och vi vill ha det gratis) och nyfikenhet kommer igen vid t.ex. användandet av IM program. Du vet inte alltid vem du chattar med och om denne någon säger att "Jag skickar över en bild på mig så får se hur jag ser ut" kan det innebära att man inbjuder till oanade problem (b.la. elak kod).
I både fallet med fildelning (som är direkt olagligt) och IM användande borde detta självklart vara incidenter som inte kan inträffa på ett företag. Vi har dock i vår roll som säkerhetsrådgivare sett att precis detta har kunnat ske på grund av dålig kunskap och information i kombination med avsaknad av styrande dokument och svag ledning.
Elak kod #8: Rootkits, döljer elak kod (vi har valt att lägga denna del i anslutning till Trojaner)
Vad är Rootkits?
Rootkits är inte i sig själva elak kod. Man kan istället beskriva rootkits som program som ger elak kod möjlighet att dölja sig i ett system. Begreppet rootkits går tillbaks till dagarna när Unix var det dominerande operativsystemet på marknaden. När man använde rootkits i UNIX miljö var det för att höja upp en användares privilegier till administratörsnivå.
När man idag använder rootkits i en Windowsmiljö så är det i regel för att dölja exempelvis olika typer av elak kod. Genom att manipulera Windows blir effekten den att du inte kan se eventuell elak kod med vanliga Windows program. Du kommer inte att kunna se filer tillhörande elak kod i Windows Explorer, du ser inte fientliga processer i Aktivitetshanteraren och du ser inte några spår efter elak kod i någon log fil eller i start foldern.
Med andra ord så är infektionen osynlig för dig och för de flesta av de antivirusprogram som finns på marknaden idag. Så när du skannar ditt system kommer antivirusprogrammet säga att du är fri från elak kod men i själva verket är koden bara dold.
Tidigare har rootkits använts mest av hackers för att dölja trojaner men tyvärr så används Rootkits mer och mer för att dölja spionprogram, virus och maskar (olika typer av elak kod). Detta är oroande då det är betydligt större risk att en vanlig användare råkar ut för denna typ av infektioner än ett hackerangrepp.
Att spåra och upptäcka närvaron av rootkits och elak kod som det är avsett att dölja är inte lätt. De flesta antivirus- och antispyware programmen klarar inte av att finna rootkits då de inte har funktionen för det än. Men det finns speciella program för att spåra rootkits.
Hur upptäcker man rootkits?
Om man har en referenskopia av sitt system kan man göra en fil för fil jämförelse. I det här fallet behandlar man det infekterade systemet bara som data så att den döljande effekten av ett rootkit inte initieras.
Den här möjligheten är dock få förunnad då fallen där man har ett exakt referenssystem uppsatt är lätträknade, sedan är inte systemen statiska vilket gör att det kommer att finnas skillnader i miljöerna hur man än vänder och vrider på det. Detta gör att även enkel filjämförelse blir svår, så det troliga är att när man ger sig ut på jakt efter ett rootkit så kommer man att få göra det i en infekterad miljö.
Att upptäcka rootkits i en miljö som man misstänker är infekterad är svårt men det finns några olika tekniker som kan fungera och det kommer nya bättre tekniker hela tiden. Dock skall vi ha klart för oss att inget sätt som finns att tillgå idag är riktigt bra.
Och för att göra saker och ting ännu värre kan vi upplysningsvis berätta att de som skapar rootkits som skall användas för skadligt syfte (b.la. dölja elak kod) också följer utvecklingen och har tillgång till att se och genomlysa de tillvägagångssätt som används för att finna rootkits. Med andra ord utvecklar de sina rootkits parallellt med tekniken som används för att spåra och ta bort rootkits och eventuell elak kod som de döljer. Så tyvärr är kampen lite ojämn än så länge, men alla stora antivirusföretag och inte minst Microsoft jobbar mycket målmedvetet för att bromsa denna utveckling.
Det bästa du kan göra för stunden om du är orolig för att ditt system är infekterat av elak kod som döljs av ett rootkit är att använda flera olika rootkit detectors (RKDs). Detta för att det finns inga perfekta RKDs men de som finns har olika fördelar och genom att använda olika RKD program så ökar dina möjligheter att finna eventuella rootkits.
Det finns väldigt många RKDs på marknaden, problemet med de flesta är samma problem som många mjukvaror lider av, de är för svåra att använda för den vanlige användaren. Ett annat problem är att många RKDs är skapade att finna en specifik typ av rootkits. Därför bör du inte dra dig för att använda olika typer av RKDs.
Vi har listat några RKDs som enligt olika oberoende amerikanska IT-säkerhetsmedier generellt sett verkar fungera bäst för att ta bort merparten av de Rootkits som finns ute idag. Det vi rekommenderar är att ni laddar ner samtliga och också kör alla då de använder lite olika tekniker vilket borgar för att ni ökar era möjligheter att finna eventuella rootkits.
Samtliga RKDs är avsedda för W2000 eller senare. Samtliga program är fria att använda och vi har kört alla och kan intyga att de är mycket lätta att använda och vi har inte haft några problem med någon av dem i Windows XP miljö.
Observera dock att som vi har nämnt tidigare så finns det inga perfekta RKDs så även om dessa program visar att du är fri från rootkits så är det ingen 100%-ig garanti att du är det men det är en bra indikation på att din IT-miljö är ren. Kom också ihåg att det bästa förebyggande skyddet mot elak kod är en brandvägg som är rätt konfigurerad och ett antivirussystem som är uppdaterat på ett riktigt sätt. Ett annat sätt som förhindrar att ett rootkit (med bakomvarande elak kod) infekterar din IT-miljö är att undvika att använda konton med administrativa rättigheter då ett rootkit kräver detta för att kunna verka på ett riktigt sätt. Detta medför praktiska problem då det kommer att innebära svårigheter i vissa lägen att använda IT-systemet fullt ut.
Några RKDs
BlackLight från F-Secure
Programmet är lätt att använda och skannar av ett system mycket fort.
I vårt fall så skannade vi en dator med WXPPro och det tog oss ca: en och en halv minut. BlackLight ger också användaren möjlighet att ta bort eventuella rootkits genom att döpa om de aktuella filerna. Innan ni använder denna funktion så bör ni läsa mer på http://www.f-secure.com/blacklight/.
BlackLight kommer att finna dolda filer, foldrar och processer men inte dolda registernycklar.
RootkitRevealer från Sysinternals
RootkitRevealer är ett gratisprogram som precis som BlackLight inte kräver någon installation. Vi skannade samma XP system som i exemplet ovan och det tog betydligt längre tid än med BlackLight (ca: 15 minuter).
RootkitRevealer har ingen funktion för att ta bort eventuella rootkits utan Sysinternals rekommenderar användaren att göra en formatering av aktuell partition och sedan en ominstallation.
Precis som med BlackLight kan inte företaget bakom RootkitRevealer (Sysinternals) ta något ansvar om det skulle gå snett vid användande av deras produkt. Vi kan dock säga att vi inte har haft några problem alls när vi har kört dessa program utan de har varit mycket lätta att använda och de har utfört sina uppgifter på ett bra sätt.
>> Du kan ladda ner programmet här.
Malicious Software Removal Tool från Microsoft
Det här programmet är egentligen avsett för att finna och ta bort olika typer av virus och maskar (olika typer av elak kod). Det är med andra ord inget RKD program men MSRT är designat att finna Hacker Defender som är ett mycket vanligt rootkit. I en snar framtid kan vi nog räkna med att fler rootkittyper kommer att läggas till i listan över de som programmet kan hitta.
MSRT jobbar fort och vårt WXPPro system tog bara 50 sekunder att skanna. Du ser inte att programmet jobbar men när skanningen är färdig så visar MSRT en lista över de varianter av virus och maskar som det är avsett att finna och om elak kod fanns närvarande i systemet.
Microsoft uppdaterar MSRT cirka en gång per månad.
Vad kan man göra mer?
Ytterligare alternativ som kan användas för att inte infekteras av rootkits är att ladda ner och installera säkerhetsverktyg som Process Guard eller Anti Hook, dessa program hindrar rootkits från att installera de processer som krävs för att göra rootkitet osynligt. Programmen har flera inbyggda funktioner som kan stoppa rootkits från att infektera en IT-miljö.
Sedan måste alltid sunt förnuft råda oavsett om ni använder datorn i hemmet eller på arbetsplatsen.
(Anti Hook är gratis och Process Guard kostar ca: 30 dollar.)
Hur tar man bort ett rootkit?
Ponera att ett av de RKDs som du använder finner ett rootkit, då står du inför två problem. Dels skall du ta bort själva rootkitet och du skall även ta eventuell elak kod som rootkitet döljer. I och med att rootkitet laborerar med ditt operativsystem finns risken att du inte kan ta bort det utan att riskera att ditt operativsystem blir instabilt.
När det gäller att ta bort elak kod som rootkitet döljer står du inför samma problem som att ta bort vilken typ av virus eller trojan som helst, vissa är svåra andra är enklare att ta bort. Allt beror på vilken typ av elak kod rootkitet döljer.
Problemet är att du inte kan ta bort eventuell elak kod förrän rootkitet är bortaget, hur du än vänder och vrider på saker och ting riskerar du att ditt operativsystem blir instabilt eller rent av kraschar.
Så vår rekommendation är, tyvärr, att om du drabbas av ett rootkit som döljer elak kod bör ni formatera och installera om ditt system. Detta är en rekommendation som gäller överlag när det handlar om infektioner av elak kod och framförallt i servermiljö.
Om du vill fördjupa dig ännu mer i frågan rootkits kan du läsa dessa dokument:
Windows rootkits del ett, två och tre.
Elak kod #9: Vad är Blandade hot? En ny farsot är blandade hot, detta innebär att man kombinerar karaktärerna av olika typer av elak kod så som virus, maskar, trojaner och fientliga skript. Detta görs med olika sårbarheter för servrar och Internet för att starta, överföra och sprida en attack. Genom att utnyttja flera olika metoder och tillvägagångssätt kan blandade hot spridas mycket snabbt och orsaka väldigt stor skada. Kända exempel på blandade hot är Nimda och Code Red.
Nimda var en mask som använde sig av sårbarheter i programvara tillsammans med ett flertal infekteringsmetoder, detta gjorde att Nimda spred sig mycket fort. Det sägs att Nimda infekterade 2,2 miljoner datorer och servrar världen över under ett Septemberdygn 2001. Kostnaden för att rensa upp efter Nimda är hittills uppe i nästan 4,7 miljarder kronor.
Elak kod #10: Vad är Spionprogram?
Internet är som vi vet en fantastisk tillgång för informationssökning, e-handel och andra typer av tjänster. De flesta av oss känner till begreppen freeware, shareware, cookies, media players och fildelning. Vad vi kanske inte är lika medvetna om är att dessa tjänster kan innehålla kod eller andra komponenter som låter tillverkarna av dessa applikationer och verktyg att samla in information om den som använder dem.
De kan sedan se dina surfvanor, ställa till problem med din Internetuppkoppling, samla information om dina köpvanor på Internet, kapa din browser, förändra viktiga systemfiler, logga dina tangenttryckningar, stjäla information mm. Och detta gör man utan ditt vetande eller din tillåtelse.
Elak kod #11: Vad är Maskar? En mask är ett program som har en förmåga att kopiera sig själv från dator till dator. Maskar brukar vanligtvis smitta datorer i ett nätverk, t.ex. ett företagsnätverk*.
Genom att utnyttja nätverket kan masken kopiera sig enormt snabbt, masken Code Red replikerade sig över 250.000 gånger på mindre än nio timmar under Juli månad 2001.
En mask utnyttjar vanligtvis någon form av säkerhetslucka i en del av en mjukvara eller ett operativsystem (exempelvis Windows XP). Exempelvis lyckades masken Slammer (som skapade kaos i Januari 2003) att utnyttja ett säkerhetshål i Microsoft SQL server. Det underliggande programmet i Slammer var endast 376 byte stort.
*Ett nätverk är en sammankoppling av flera datorer där man kan dela filer, skrivare och annat mellan resurserna.
Vi hoppas att du har fått mer vetskap om hur elak kod fungerar.
Tyck till!
Berätta vad du tycker om denna information. Att kommentera är att bry sig och målsättningen är att vi som besöker Secure-IT.se skall bli bättre på IT och informationssäkerhet. Så tack för just din kommentar!
Annons:
Användarvillkor
De dokument, interaktiva tester, lösenordstester, antivirustester samt annan information som finns på Secure-IT.se får användas inom din organisation i utbildande och/eller säkerhetshöjande syfte.
Du får inte kopiera material på Secure-IT.se och publicera det på offentlig plats utan att ange källa.
Du får inte kopiera och sälja materialet på Secure-IT.se i eget syfte.
Texter, bilder och annat material ägs av upphovsrättsmannen.
Annonsera
Vill du att ditt företag skall synas på Secure-IT.se? Då ber vi dig kontakta oss för en fortsatt dialog.
Förbättra
Vi är naturligtvis intresserade av att bli bättre. Har du synpunkter eller idéer på hur vi kan förbättra Secure-IT.se? Då vill vi att du kontaktar oss.
Bidra med information
Secure-IT.se når idag tusentals unika besökare per månad, har du intressant säkerhetsrelaterad information som du vill delge dessa besökare? I sådana fall är du hjärtligt välkommen att kontakta oss.
Phishing (tekniskt inte elak kod) 
