– Angrep mot sikkerhetshull er langt farligere enn trojanere

Og det er ett program som blir angrepet mer enn noe annet, skriver Eugene Kaspersky.


Du trenger ikke å høre det fra meg for å vite at Internett er et virkelig interessant fenomen, og kjempenyttig for alle som bruker det.

Men Internets åpne og ukontrollerbare natur gjør at det også har blitt rom for tonnevis av uhyggeligheter der ute. Og da snakker jeg ikke bare om snuskete nedlastningssider og pornonettsteder, men også de superlovlige nettsidene som gjør alt som de skal.

Internett fortsetter nemlig å være hovedkilden til cyberinfeksjon: Ifølge våre tall ble 33 prosent av internettbrukere angrepet på nettet i hvert fall én gang så langt i 2012.

Graver du dypere i uhyggelighetene på nettet, vil du alltid finne tre ulike kategorier av trusler: Trojanere, angrepskoder(exploits) og ondsinnet programvare og verktøy. Ifølge dataen til vårt interne sikkerhetsnettverk er fordelingen som følger:

Ti prosent av truslene er altså såkalte angrepskoder (tallet burde kanskje vært høyere, ettersom en haug av trojanere ofte velger å utnytte angrepskoder...). For ikke-profesjonelle fremstår angrepskoder bare som eksotiske særegenheter, men for sikkerhetsspesialister kan de være virkelig irriterende. Fortsatt ikke helt sikker på hva en exploit er? Her er en rask forklaring:

Programvare er skapt av vanlige mennesker, og mennesker er kjent for å glemme ting og gjøre tabber. I tillegg har det fortsatt ikke blitt oppdaget en "perfekt" måte å programmere på. Et resultat av dette er at tilnærmet all programvare inneholder sårbarheter, altså feil i programmeringskoden, som angripere kan benytte seg av for å ta kontroll på systemet, ødelegge det, og så videre. Koden som utnytter sårbarhetene kalles altså en angrepskode, eller exploit på engelsk.

Så hvilke programmer blir oftest angrepet av angrepskoder? Her er statistikken vår fra 2011:

Mye trøbbel med Adobe Reader, eller hva? Og alt den gjør er å vise PDF-er, akkurat som haugevis av andre programmer gjør. Akk, så urettferdig.

Sårbarheter kan bli brukt av angrepskoder, eller forbli u-utnyttet, basert på hvor populært målet er. Et typisk eksempel var Flashback-trojaneren på Mac for en kort stund tilbake. Sårbarheten lå hos Java, som ble oppdaget så tidlig som begynnelsen av året, men angrepskodene for Mac dukket opp en måned senere. Det som er viktig å forstå er at selv om en sårbarhet i et program ikke er funnet, så betyr det ikke at det ikke finnes noen. Det betyr bare at enten blir programmet brukt av for få folk til at sårbarheten blir funnet av en tilfeldig bruker, eller fordi programmet er så ubetydelig at det ikke er vits for cyberskurkene å bry seg med.

En vanlig scenario utfolder seg som oftest omtrent slik: En sårbarhet blir oppdaget av en sikkerhetsansvarlig, som rapporterer det til utvikleren. Utvikleren setter da igang med å lage en oppdatering som fikser sårbarheten. Det er først da de cyberkriminelle setter igang med å lage en angrepskode som prøver å angripe de brukerne som ikke har surret seg til å installere oppdateringen enda.

Som sagt kaller jeg dette et vanlig scenario, men det hadde kanskje vært mer riktig å si at dette er slik vi håper at alle scenarioer skal være, men det er ikke alltid det blir slik. Altså, hvor det går en viss tid mellom sårbarhetens oppdagelse og før angrepskoden blir sluppet løs.

I mange tilfeller vil nemlig angrepskoden bli sluppet samtidig som sårbarheten blir oppdaget. Det kan også skje at utvikleren (for eksempel Apple i Flashback-saken) er trege med å slippe en oppdatering som tetter sikkerhetshullet, og angrepskoden blir sluppet ut i det fri før en oppdatering er ute. En angrepskode som utnytter et sikkerhetshull uten at det finnes en oppdatering som tetter hullet kaller vi en zero-day-angrepskode (zero-day exploit), altså null dager etter (eller før!) fiksen. Og det er slike angrepskoder eller angrep som er den verste sorten.

Her er litt interessant informason om den geografiske distribusjonen av webangrep, der de fleste benytter seg av angrepskoder:

Plasseringen av et angrep betyr ikke nødvendigvis at de som står bak angrepet også befinner seg på samme sted. Langt ifra. Det er enkelt for cyberskurkene å registrere en side for et falskt firma eller på en falsk identitet i utlandet, og drive med sine lugubre aktiviteter derfra.

Når de først har fått plassert seg et sted, kan de drive med flere ulike angrep:

  • Drive-by-nedlasting står for 85 prosent av angrepene via Internett. Disse frister deg til å trykke deg inn på en nettside som umiddelbart setter igang med å skanne nettleseren din for sårbarheter. Finner den en sårbarhet kan den infisere datamaskinen din umerket. Denne metoden blir ofte brukt i masseangrep for å oppnå størst mulig ødeleggelse. Omtrent en tredjedel av alle slike angrep skjer via en legitim nettside, som har blitt hacket og injisert med en spesiell ondsinnet kode.
  • Målrettede angrep. Her starter brukeren uvitende en infisert fil (for eksempel en PDF), som skanner den installerte programvaren den kjører via (i PDF-eksempelet skanner den Adobe Reader) for å finne sårbarheter. Hvis den finner det kan den infisere hele datamaskinen din. Filen i seg selv kan bli distribuert via alle slags kanaler – e-post, filarkiver og minnepenner. Målrettede angrep er presisjonsangrep med et spesifikt mål – akkurat som rakettene som knerter de Range Roverne på slutten av Syriana – ikke masseangrep på alt og alle (som teppebombing). Målrettede angrep blir av og til kalt Advanced Persistant Threats (APT). De sikter seg ofte inn på individer eller organisasjoner og skiller seg ut ved å bruke sofistikerte teknikker for å få plassert den infiserte programvaren der den skal være.

Så, her er greia: 10 prosent av andelen av truslene som kommer fra nettet kommer fra angrepskoder, slik vi så i den første grafen. De få angrepskodene som finnes, skaper imidlertid like mye problemer som de resterende 83 prosentene av truslene som kommer fra trojanere. Bare se på den mest utbredde angrepskode-kittet som finnes, kalt Blackhole. Blackhole klarer å infisere over 30 prosent av alle datamaskiner som besøker nettsidene den har kompromittert (avhenger av trafikk, programvare og sikkerhet). Det finnes ikke en eneste trojaner som engang kan drømme om et tall som dette!

Dette er et utdrag av Kasperskys bloggpost. Du kan lese resten av kommentaren på bloggen hans.

Kommentarer (33)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen