En PC & Nätverksteknikers tankar

Sårbarheter

I likhet med första halvåret 2007 har det efterföljande halvåret innehållit publicerade
sårbarheter i allt från mediaspelare till managementsystem. Klientprogramvaror som
webbläsare och antivirus program samt backupprogramvaror tycks fortfarande vara
under luppen. Inget operativsystem har heller utmärkts sig för att vara särskilt befriat
från säkerhetshål.

Andra halvåret 2007 har i jämförelse med första halvåret skonats från signifikanta
"zero day"-sårbarheter. "Zero day"-sårbarheter av allvarlighets graden som drabbade
Microsoft Office/Word under första halvåret har lyst med sin frånvaro. Förhoppningsvis
är det ett tecken på att programmen blivit betydligt motståndskraftigare efter första
halvårets händelser. Men då dessa sårbarheter figurerade internationellt i riktade
attacker leds pessimisten till att tro att marknaden för dessa sårbarheter snarare gått
under jorden än krympt.

En typ av sårbarheter som fick extra uppmärksamhet förra halvåret var sårbarheter i
hanteringen av URI:er (Uniform Resource Identifier). Uppmärksamheten berodde
delvis på att det uppstått debatt när det skulle avgöras vilken systemkomponent som
felat – URI-protokollhanteraren i operativsystemet1 eller den klientprogramvara som
ofiltrerat skickade förfrågan vidare? Sannolikt ligger felet i såväl operativsystem som
klientprogramvara, men oavsett vem som egentligen bär skulden påvisar det
komplexiteten i frågan.

Skadlig kod
Tiden för massiva utbrott av skadlig kod verkar sedan länge vara förbi. Skadlig kod
som utan användarinteraktion sprider sig mellan publika tjänster är i dag sällsynt.
Primärt destruktiv kod får inte heller det utrymmet den en gång hade. Nu för tiden
används skadlig kod allt oftare i syfte att tjäna pengar. Skadlig kod som inte kan
undvika att bli upptäckt riskerar också att rensas bort av användaren. En rensad
maskin betyder en förlorad potentiell inkomstkälla för busen. En följd av detta är att nu
mer än tidigare har diskretion blivit en dygd.

Sedan januari 2007 har Storm Worm (även känd som W32.Peacomm, Nuwar, Tibs,
CME-711 och Zhelatin) spridits genom e-postbilagor och webbplatser. Storm inledde
sin spridning i anslutning till en period av turbolent väder i Europa. Ämnesraden i
meddelandena var då "230 dead as storm batters Europe", men sedan dess har epostmeddelanden med en mängd olika ämnesrader förekommit. Inte sällan har
ämnesraderna rört vid tillfället aktuella händelser eller andra typer av ämnen som
lyckats locka användare att klicka på bilagor eller länkar i e-postmeddelanden.

Klienter som infekterats har ofrivilligt fått bli del i ett botnet. Under det senaste halvåret
har detta botnet innefattat ett stort antal klienter. Uppskattningarna har skiftat kraftigt
över tid och källa. Allt mellan 160.000 och 50 miljoner har förekommit.

Storm-nätet har bland annat använts för att skicka skräppost eller utföra
tillgänglighetsattacker (DDoS). Som vi noterade i föregående lägesrapport är
användningen av "peer-to-peer"-teknik i botnets ett faktum. Storm-nätverket är ett
exempel på just detta. Genom en decentraliserad struktur blir ett sådant nät mindre
sårbart än ett traditionellt botnet. Förutom användningen av rootkit teknik,
decentraliserad struktur och krypterade kontrollkanaler har Storm-nätverket under
sommaren implementerat ännu en teknik - Fast-flux.

Fast-flux är en teknik som använder DNS för att skydda vissa tillgångar, såsom
nätfiskesidor eller sidor som hyser skadlig kod, bakom ett rörligt mål bestående av ett
stort antal infekterade maskiner. Metoden bygger på att ett domännamn byter IPadress
väldigt frekvent, så ofta som var 3:e minut. Genom att associera ett
domännamn med ett stort antal IP-adresser samt bruka låga TTL:er (Time-To-Live)
och ”round robin” kan denna snabba "flux" åstadkommas. För ytterligare skydd agerar
ofta dessa infekterade maskiner proxyservrar. Istället för att själva bära på den
skadliga koden eller nätfiskesidan förmedlar de istället trafik till och från en
bakomliggande server. Denna bakomliggande server är den som då står för allt det
fula innehållet medan de infekterade maskinerna endast agerar ombud, något som
försvårar en nedsläckning av exempelvis en nätfiskesida.

Händelser
En av förra halvåret mest uppmärksammade händelse i IT-säkerhetsvärlden rörde
anonymiseringsnätverket Tor. Genom att hysa ett antal egna Tor-noder kunde en
svensk hackare samla in en stor mängd inloggningsuppgifter. Uppgifter tillhörande
bland annat anställda på ett stort antal ambassader och utländska myndigheter läckte
ut8. Som bekant kan all trafik som lämnar Tor-nätverket skärskådas av nodägaren
(exit-nod) och okrypterade inloggningsuppgifter till exempelvis e-postkonton är då helt
oskyddade.

I februari 2008 införde den svenska toppdomänen .se DNS Security Extensions
(DNSSec). Under året som gått har ett 80-tal företag valt att signera sina domäner.
Under hösten släppte Krisberedskapsmyndigheten och Stiftelsen för
Internetinfrastruktur undersökningen "Nåbarhet på nätet: Hälsoläget i .se 2007". Den
visade hur myndigheter, börsnoterade företag och andra samhällsviktiga
organisationer använder IT-teknik. Resultatet visade att 64% av
organisationerna hade allvarliga säkerhetsbrister. Detta kommer att följas upp under
det kommande året.

Sedan halvårsskiftet har schweiziska WabiSabiLabi drivit en marknadsplats för
sårbarheter. Genom denna marknadsplats kan säkerhetsforskare sälja
sårbarhetsinformation, med eventuellt tillhörande exempelkod (PoC), till registrerade
köpare. Marknadsplatsen erbjuder bland annat ett traditionellt auktionsförfarande där
sårbarheten under klubban säljs till högstbjudande.

WabiSabiLabi uppger att de kontrollerar giltigheten hos upptäckterna samt att de noggrant granskar såväl säljare som köpare. Marknadsplatsen har sedan lanseringen fått en del uppmärksamhet och diskussioner har uppstått. Vissa hävdar att det är osunt och befarar att värdefull sårbarhetsinformation riskerar att hamna i orätta händer utom räckhåll för berörda
leverantörer. WabiSabiLabi har försvarat sig med att deras verksamhet håller
sårbarhetsinformation borta från den svarta marknaden.

Aktörsperspektiv
Hösten har innehållit en mångfald av aktörer med såväl politiska som religiösa och
ekonomiska motiv. I denna mångfald har vi valt att fokusera på en aktör.
Russian Business Network (RBN) är ansedd som den största kriminella
organisationen på Internet. Vissa hävdar att de är inblandade i så mycket som 60% av
alla Internetbrott. RBN är en Internetleverantör för kriminella vars tjänster lär kostar
10 gånger så mycket som hos en vanlig ISP.

I utbyte får de kriminella så kallad "bulletproof hosting", vilket innebär att servern inte stängs ner trots påtryckningar av polisiära myndigheter i andra länder. Hittills har ryska myndigheter inte visat någon vilja att ta tag i problemet. Från RBN:s servrar sprids skräppost, skadlig kod,
upphovsrättsskyddat material, barnpornografi, nätfiske med mera. Storm har delvis
spridits med hjälp av RBN.

På senare tid har RBN fått mycket publicitet, exempelvis finns en blogg, vilket har
inverkat negativt på deras ljusskygga verksamhet. Vissa företag har blockerat all trafik
som från kommer från RBN:s nät. Det största bakslaget torde vara att två
uppströmsleverantörer, Tiscali.uk och C41, har avslutat kontraktet med RBN som
numera endast har en uppströmsleverantör kvar.

Dessa problem har lett till att RBN stängt ner stora delar av sitt nät i Ryssland. Det finns indikationer att verksamheten har flyttats till andra länder, till exempel Kina och Panama. År 2008 får utvisa ifall RBN dra ner på verksamheten eller om de behåller sin position som Internetbuse nummer ett. Helt klart är att det finns en marknad för de tjänster RBN erbjuder, och det finns många hungriga entreprenörer i exempelvis Kina och forna Sovjetrepubliker
som kan fylla RBN:s tomrum.

Utvecklingsperspektiv
Internationellt sett innehöll 2007 ett antal anmärkningsvärda dataläckage, såsom TJ
Maxx i januari och HM Revenue and Customs i oktober . I Sverige hann den nya
året knappt börja förrän en rad fall av dataintrång och spridning av personuppgifter
uppmärksammades. Svaga lösenord och därtill synkroniserade över flera tjänster
gjorde att den bittra eftersmaken höll i sig. Stark autentisering är som alltid ett aktuellt
ämne.

Det sägs ju att med allt ont kommer något gott. Förhoppningsvis får händelserna
människor i allmänhet att reflektera en eller två gånger över sin lösenordshantering.
Och sedan ta steg för att förbättra den. Huruvida detta leder till en permanent
förbättring är dock långt från självklart. Intressant att se är om även tillhandahållare av
tjänster (som kräver inloggning, såsom webbmail och forum) agerar under 2008. Med
tanke på den bristfälliga hanteringen av inloggningsuppgifter som förekommit ser de
möjligen en öppning för att utveckla eller utnyttja alternativa inloggningsförfaranden.
Något annat som sannolikt kommer aktualiseras av dessa händelser är betydelsen för
en organisation att ha en fungerande hantering av incidenter. En funktion för
incidenthantering ger förutom den reaktiva förmågan även viktig ingångsdata till att
förbättra den proaktiva förmågan. Beroende på en organisations storlek och struktur
kan en sådan funktion se lite olika ut. Den kan vara fast bemannad eller virtuell. Ett
alternativ är också att ha funktionen inhyrd. Oavsett hur funktionen ser ut är det dock
viktigast att den kan agera efter fullgoda premisser. Vilka som har och vilka som inte
har en funktion för hantering av incidenter är något som troligen kommer bli tydligt
under 2008.

Källa: Sitic