Fra ILOVEYOU til økonomiske kriminalitet

Siden en amerikansk studerende i november 1988 slap den første internet-baserede orm løs i cyberspace, har spredning af malware gennemgået en rivende udvikling. - Spredning af malware var i den første fase ikke direkte ondsindet. For mange handlede det bare om at teste, hvad de kunne udrette. Internettet var et laboratorium, hvor man undersøgte, hvad der kunne lade sig gøre. Man var interesseret i teknikken bag og fascineret af mulighederne – og mange havde ingen ambitioner udover at skabe sig et navn, fortæller Henrik Skovfoged, der er afdelingschef hos NetDesign.

I maj 2000 gik den famøse ILOVEYOU-virus sin ødelæggende sejrsgang Spredning af malware har udviklet sig til økonomisk kriminalitet verden over i form af en mail med en vedhæftet fil. Åbnede man filen, udrettede virussen skade på computeren og videresendte sig selv til alle i ens adressekartotek.

- Mange gjorde det bare, fordi det kunne lade sig gøre, og for nogle gik det ud på at ødelægge så meget som muligt, bare fordi det var sjovt, konstaterer Henrik Skovfoged.

Fra hærværk til økonomisk kriminalitet
Med tiden har præmisserne for it-kriminalitet imidlertid ændret sig. Hvor aktørerne i starten primært var studerende og ”it-nørder”, er scenen i dag blevet overtaget af lyssky bagmænd. Det betyder blandt andet, at spredning af malware i dag er en levevej, og at aktiviteter, der før havde karakter af hærværk, har udviklet sig til decideret økonomisk kriminalitet.

- Folk fandt jo ud af, at it blev brugt til mange ting fx netbanking. Mange småkriminelle begyndte derfor at hacke folks computere for at få fat i systeminformationer som fx kreditkortoplysninger, og dem kunne de så udnytte til at hæve penge på andre folks kreditkort – og det gør mange jo i øvrigt stadigvæk, beretter Henrik Skovfoged, og fortsætter:

- Hvor man ”i gamle dage” hackede sig ind i et system for at få fat i fortrolig information som fx forretningshemmeligheder, er det nye, at man i stedet spreder ondsindet kode, som installeres på folks pc’er, så de indlemmes i et såkaldt botnet.

Robotterne går til angreb
Et botnet er et netværk af computere, der fungerer som software-robotter under bagmandens kommando. Bagmanden kan så udnytte sit botnet til enten at overvåge, hvad brugeren gør, fx kan han aflure brugerens netbank-password og efterfølgende logge på og tømme hans konto, eller også kan han anvende sit botnet som en hær af fjernstyrede robotter.

Via disse ”robotter” kan bagmanden fx lave Denial of Service (DoS) angreb mod websites, som det blandt andet er set med Microsoft og Amazons sites. Man har også set, at disse botnet har angrebet hele lande, fx blev Estland i foråret 2007 angrebet af russiske hackere via et svensk funderet botnet.

Hvor kommer viagra-tilbuddene fra?
Fordi de angribende pc’er kan være placeret over hele verden, er det ekstremt svært at spore, hvem der står bag.

- Der kan være tale om en hær på 6.000 pc'er, der af bagmanden bliver bedt om at angribe en eller anden ip-adresse. Og for dem, der bliver angrebet, ser det ud, som om det er de 6000 pc'er, der angriber dem. Det er det sådan set også, men det er jo ikke dem, der har givet ordren. Bagmanden kan i princippet sidde hvor som helst i verden og kontrollere sin hær, uden at nogen kan røre ham, forklarer Henrik Skovfoged.

Men det værste er næsten, at folks pc’er kan være en del af et botnet, uden at brugeren har den fjerneste anelse om det.

- Hvis man vidste, at ens pc var en del af en ondsindet hær, ville man jo gøre alt for at fjerne den installerede malware. Men så længe man ikke ved det, kan bagmanden udnytte din pc til stort set alt. Denial of Service er et grelt eksempel, men mange bagmænd bruger også deres hær til at udsende spam. Og det kan de tjene rigtigt mange penge på. De får måske 1 øre pr. mail, de sender ud, og når de kan sende 100 mio. mails ud på en time ved hjælp af de 6.000 pc'er, de kan have i sin hær, så kan de altså godt lave penge, fastslår Henrik Skovfoged.

Et eksempel på en virksomhed, som har tjent styrtende med penge på spam, er webshoppen MyCanadianPharmacy, der blandt andet sælger viagra-piller.

- Man kan jo undre sig over, at spam kan svare sig. Men hvis bare en enkelt promille bider på – og det må jo være tilfældet, siden de bliver ved med at sende dem – så har de en god forretning, konstaterer afdelingschefen.

”Din computer er i fare…”
Et andet eksempel på en malware-baseret guldgrube er de mange falske antivirus-produkter, der i dag er i omløb.

- Hvis man sidder og surfer på nettet og pludselig ender på en obskur side, kan der poppe en boks op om, at der er fundet virus på ens system. ”Men hvis du lige installerer denne her gratis virusbeskyttelse på din pc, så er du sikker”. Og så installerer mange mennesker gladeligt den gratis antivirus, men de glemmer lige at tjekke, hvad det er for et produkt. Og inden de har set sig om, har programmet fjernet nogle bestemte filer på computeren samt muligheden for at afinstallere. Og derefter laver den et nyt baggrundsbillede, som gør dig opmærksom på, at programmet ”lige har scannet din pc og fundet 141.000 vira, så vi anbefaler, at du indbetaler 8,95 dollars for at få det fjernet.” Men der er rent snyd, for der er ikke noget som helst antivirus i det, og når du så har indbetalt de her penge, har bagmanden luret dine kreditkortoplysninger, som du jo har indtastet for at betale for opgraderingen. Så man bliver hurtigt fanget, og derfor skal man virkelig tænke sig godt om, understreger Henrik Skovfoged.

Et eksempel på ovenstående er ”Antivirus XP 2008”, der ifølge et estimat fra secureworks.com, har tjent i omegnen af 5 mio. USD på bare et år på den type svindel. (Kilde: Secureworks.com)

Ikke altid et spørgsmål om penge
Det er imidlertid ikke altid penge, bagmændene går efter. For nylig blev et stort kinesisk baseret botnet afsløret. Netværket bestod af 1295 pc’er placeret hos væsentlige politiske, økonomiske og mediemæssige institutioner i 103 forskellige lande.

- Man kan på den baggrund sige, at udviklingen er gået fra at være et spørgsmål om nysgerrighed – hvor meget kan jeg ødelægge? – til at være styret af ønsket om at få fat i nogle informationer eller at få fat i nogle penge, konkluderer Henrik Skovfoged.

Mobiltelefonerne er næste bastion
Det er dog ikke kun typen af malware, der har ændret sig markant over de seneste 20 år. Også de kanaler, hackerne benytter, har ændret sig.

- De kriminelle forsøger jo at udnytte så mange kanaler som overhovedet muligt for at sprede deres malware mest muligt. Jo flere de har indlemmet i deres hær, jo bedre er deres muligheder for overvågning, pointerer Henrik Skovfoged, der ikke er i tvivl om, på hvilken platform det næste slag skal udkæmpes:

- Selvom malware på mobiltelefoner endnu ikke er så udbredt, tror vi hos NetDesign på, at virus i mobile enheder bliver det næste store fokusområde. Simpelthen fordi mobile enheder ikke er specielt godt beskyttet.

De griner ikke længere hos Apple
Filosofien bag den økonomiske it-kriminalitet er at ramme så mange som muligt, og derfor har Microsoft-baserede pc’er i en lang periode været hårdest ramt – fordi der ganske simpelt var flest af dem.

- Har man valget mellem at ramme 1 mio. pc’er eller ti Mac maskiner, går man selvfølgelig efter pc'erne. Så på et tidspunkt var Apple alt for lille en gruppe til, at hackerne gad bruge kræfter på dem. Så Apple stod for bare et par år siden og grinede af Microsoft, mens de hævdede, at virus ikke bed på Apples maskiner. Men i takt med, at Apple er blevet mere udbredt, har hackerne også kastet sig over dem, forklarer Henrik Skovfoged og uddyber:

- Malware kommer altså i takt med udbredelsen, så det samme vil helt sikkert overgå mobiltelefonerne, der allerede så småt er kommet under angreb. Omkring årsskiftet kom der fx en sårbarhed på Nokia-telefonerne, hvor man simpelthen bare kunne sende en sms til en Nokia mobil, og så holdt den op med at kunne modtage sms'er. Du opdagede ikke, at du fik den, pludselig kunne du bare ikke modtage sms'er mere. Og der er ingen tvivl om, at der kommer meget mere af den slags skadelig kode i omløb, det her er bare begyndelsen.

Med til historien hører, at vira er svære at gardere sig imod. Når de hele tiden muterer, er det meget meget svært for et antivirus program at finde dem. Hver gang bagmanden ændrer bare en lille ting, skal antivirus-producenten sende en ny pattern-fil ud.

- Det kan fysisk ikke lade sig gøre, fordi pattern-filerne bliver så store, at de ikke kan være på maskinen – og da slet ikke på en mobiltelefon. Så derfor bliver man nødt til at tænke i andre baner mht. malware-beskyttelse. For én ting er sikkert: Hackerne bliver kun smartere, slutter Henrik Skovfoged.

Læs mere om NetDesigns metode til bekæmpelse af malware

Menu Sikkerhed-malware Fra ILOVEYOU til økonomiske kriminalitet	Info Fra ILOVEYOU til økonomiske kriminalitet Siden en amerikansk studerende i november 1988 slap den første internet-baserede orm løs i cyberspace, har spredning af malware gennemgået en rivende udvikling. - Spredning af malware var i den første fase ikke direkte ondsindet. For mange handlede det bare om at teste, hvad de kunne udrette. Internettet var et laboratorium, hvor man undersøgte, hvad der kunne lade sig gøre. Man var interesseret i teknikken bag og fascineret af mulighederne – og mange havde ingen ambitioner udover at skabe sig et navn, fortæller Henrik Skovfoged, der er afdelingschef hos NetDesign. I maj 2000 gik den famøse ILOVEYOU-virus sin ødelæggende sejrsgang verden over i form af en mail med en vedhæftet fil. Åbnede man filen, udrettede virussen skade på computeren og videresendte sig selv til alle i ens adressekartotek. - Mange gjorde det bare, fordi det kunne lade sig gøre, og for nogle gik det ud på at ødelægge så meget som muligt, bare fordi det var sjovt, konstaterer Henrik Skovfoged. Fra hærværk til økonomisk kriminalitet Med tiden har præmisserne for it-kriminalitet imidlertid ændret sig. Hvor aktørerne i starten primært var studerende og ”it-nørder”, er scenen i dag blevet overtaget af lyssky bagmænd. Det betyder blandt andet, at spredning af malware i dag er en levevej, og at aktiviteter, der før havde karakter af hærværk, har udviklet sig til decideret økonomisk kriminalitet. - Folk fandt jo ud af, at it blev brugt til mange ting fx netbanking. Mange småkriminelle begyndte derfor at hacke folks computere for at få fat i systeminformationer som fx kreditkortoplysninger, og dem kunne de så udnytte til at hæve penge på andre folks kreditkort – og det gør mange jo i øvrigt stadigvæk, beretter Henrik Skovfoged, og fortsætter: - Hvor man ”i gamle dage” hackede sig ind i et system for at få fat i fortrolig information som fx forretningshemmeligheder, er det nye, at man i stedet spreder ondsindet kode, som installeres på folks pc’er, så de indlemmes i et såkaldt botnet. Robotterne går til angreb Et botnet er et netværk af computere, der fungerer som software-robotter under bagmandens kommando. Bagmanden kan så udnytte sit botnet til enten at overvåge, hvad brugeren gør, fx kan han aflure brugerens netbank-password og efterfølgende logge på og tømme hans konto, eller også kan han anvende sit botnet som en hær af fjernstyrede robotter. Via disse ”robotter” kan bagmanden fx lave Denial of Service (DoS) angreb mod websites, som det blandt andet er set med Microsoft og Amazons sites. Man har også set, at disse botnet har angrebet hele lande, fx blev Estland i foråret 2007 angrebet af russiske hackere via et svensk funderet botnet. Hvor kommer viagra-tilbuddene fra? Fordi de angribende pc’er kan være placeret over hele verden, er det ekstremt svært at spore, hvem der står bag. - Der kan være tale om en hær på 6.000 pc'er, der af bagmanden bliver bedt om at angribe en eller anden ip-adresse. Og for dem, der bliver angrebet, ser det ud, som om det er de 6000 pc'er, der angriber dem. Det er det sådan set også, men det er jo ikke dem, der har givet ordren. Bagmanden kan i princippet sidde hvor som helst i verden og kontrollere sin hær, uden at nogen kan røre ham, forklarer Henrik Skovfoged. Men det værste er næsten, at folks pc’er kan være en del af et botnet, uden at brugeren har den fjerneste anelse om det. - Hvis man vidste, at ens pc var en del af en ondsindet hær, ville man jo gøre alt for at fjerne den installerede malware. Men så længe man ikke ved det, kan bagmanden udnytte din pc til stort set alt. Denial of Service er et grelt eksempel, men mange bagmænd bruger også deres hær til at udsende spam. Og det kan de tjene rigtigt mange penge på. De får måske 1 øre pr. mail, de sender ud, og når de kan sende 100 mio. mails ud på en time ved hjælp af de 6.000 pc'er, de kan have i sin hær, så kan de altså godt lave penge, fastslår Henrik Skovfoged. Et eksempel på en virksomhed, som har tjent styrtende med penge på spam, er webshoppen MyCanadianPharmacy, der blandt andet sælger viagra-piller. - Man kan jo undre sig over, at spam kan svare sig. Men hvis bare en enkelt promille bider på – og det må jo være tilfældet, siden de bliver ved med at sende dem – så har de en god forretning, konstaterer afdelingschefen. ”Din computer er i fare…” Et andet eksempel på en malware-baseret guldgrube er de mange falske antivirus-produkter, der i dag er i omløb. - Hvis man sidder og surfer på nettet og pludselig ender på en obskur side, kan der poppe en boks op om, at der er fundet virus på ens system. ”Men hvis du lige installerer denne her gratis virusbeskyttelse på din pc, så er du sikker”. Og så installerer mange mennesker gladeligt den gratis antivirus, men de glemmer lige at tjekke, hvad det er for et produkt. Og inden de har set sig om, har programmet fjernet nogle bestemte filer på computeren samt muligheden for at afinstallere. Og derefter laver den et nyt baggrundsbillede, som gør dig opmærksom på, at programmet ”lige har scannet din pc og fundet 141.000 vira, så vi anbefaler, at du indbetaler 8,95 dollars for at få det fjernet.” Men der er rent snyd, for der er ikke noget som helst antivirus i det, og når du så har indbetalt de her penge, har bagmanden luret dine kreditkortoplysninger, som du jo har indtastet for at betale for opgraderingen. Så man bliver hurtigt fanget, og derfor skal man virkelig tænke sig godt om, understreger Henrik Skovfoged. Et eksempel på ovenstående er ”Antivirus XP 2008”, der ifølge et estimat fra secureworks.com, har tjent i omegnen af 5 mio. USD på bare et år på den type svindel. (Kilde: Secureworks.com) Ikke altid et spørgsmål om penge Det er imidlertid ikke altid penge, bagmændene går efter. For nylig blev et stort kinesisk baseret botnet afsløret. Netværket bestod af 1295 pc’er placeret hos væsentlige politiske, økonomiske og mediemæssige institutioner i 103 forskellige lande. - Man kan på den baggrund sige, at udviklingen er gået fra at være et spørgsmål om nysgerrighed – hvor meget kan jeg ødelægge? – til at være styret af ønsket om at få fat i nogle informationer eller at få fat i nogle penge, konkluderer Henrik Skovfoged. Mobiltelefonerne er næste bastion Det er dog ikke kun typen af malware, der har ændret sig markant over de seneste 20 år. Også de kanaler, hackerne benytter, har ændret sig. - De kriminelle forsøger jo at udnytte så mange kanaler som overhovedet muligt for at sprede deres malware mest muligt. Jo flere de har indlemmet i deres hær, jo bedre er deres muligheder for overvågning, pointerer Henrik Skovfoged, der ikke er i tvivl om, på hvilken platform det næste slag skal udkæmpes: - Selvom malware på mobiltelefoner endnu ikke er så udbredt, tror vi hos NetDesign på, at virus i mobile enheder bliver det næste store fokusområde. Simpelthen fordi mobile enheder ikke er specielt godt beskyttet. De griner ikke længere hos Apple Filosofien bag den økonomiske it-kriminalitet er at ramme så mange som muligt, og derfor har Microsoft-baserede pc’er i en lang periode været hårdest ramt – fordi der ganske simpelt var flest af dem. - Har man valget mellem at ramme 1 mio. pc’er eller ti Mac maskiner, går man selvfølgelig efter pc'erne. Så på et tidspunkt var Apple alt for lille en gruppe til, at hackerne gad bruge kræfter på dem. Så Apple stod for bare et par år siden og grinede af Microsoft, mens de hævdede, at virus ikke bed på Apples maskiner. Men i takt med, at Apple er blevet mere udbredt, har hackerne også kastet sig over dem, forklarer Henrik Skovfoged og uddyber: - Malware kommer altså i takt med udbredelsen, så det samme vil helt sikkert overgå mobiltelefonerne, der allerede så småt er kommet under angreb. Omkring årsskiftet kom der fx en sårbarhed på Nokia-telefonerne, hvor man simpelthen bare kunne sende en sms til en Nokia mobil, og så holdt den op med at kunne modtage sms'er. Du opdagede ikke, at du fik den, pludselig kunne du bare ikke modtage sms'er mere. Og der er ingen tvivl om, at der kommer meget mere af den slags skadelig kode i omløb, det her er bare begyndelsen. Med til historien hører, at vira er svære at gardere sig imod. Når de hele tiden muterer, er det meget meget svært for et antivirus program at finde dem. Hver gang bagmanden ændrer bare en lille ting, skal antivirus-producenten sende en ny pattern-fil ud. - Det kan fysisk ikke lade sig gøre, fordi pattern-filerne bliver så store, at de ikke kan være på maskinen – og da slet ikke på en mobiltelefon. Så derfor bliver man nødt til at tænke i andre baner mht. malware-beskyttelse. For én ting er sikkert: Hackerne bliver kun smartere, slutter Henrik Skovfoged. Læs mere om NetDesigns metode til bekæmpelse af malware	Søg Avanceret søgning Hvad er Denial of Service Denial of Service angreb (DoS attack) – eller Distributed Denial of Service (DDoS) – er angreb, der sigter mod at gøre en webservice utilgængelig for dets brugere – midlertidigt eller permanent. DoS angreb finder hyppigst sted mod højtprofilerede websites eller services, der er hostet på højtprofilerede webservere som fx banker eller internet-betalingssystemer. En af de mest almindelige måder at udføre et DoS-agreb på er at bombardere det aktuelle site med eksterne anmodninger, så systemet ikke længere kan svare på den legitime trafik, eller kun kan svare så langsomt, at sitet i princippet er utilgængeligt. Kilde: Wikipedia Seneste Nyheder Sårbarheder i Cisco FWSM og ASA Aug 09, 2010 NetDesign høster fem priser på Ciscos partnertræf May 19, 2010 Flere nyheder
Hovedkontor: Hørmarken 2 DK-3520 Farum Tlf. nr.: 4435 8000 CVR. nr.: 89928311 Regionskontor: Skejby Nordlandsvej 311 DK-8200 Århus N Tlf. nr.: 4435 8000

Mine værktøjer

Sektion

Fra ILOVEYOU til økonomiske kriminalitet