2008 stod i botnettets tegn

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Digital om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Havde du hørt ordet botnet for et år siden? Ellers er du temmelig sikkert stødt på begrebet i årets løb. Det var nemlig et af de hotteste emner i 2008.

Et botnet er et netværk af pc'er, som kan fjernstyres uden deres ejers vidende. Pc'en er blevet inficeret med et viruslignende program, der løbende kontakter en central server, som giver den ordrer. Da dette er min sidste klumme fra Sikkerhedsfronten i år, benytter jeg lejligheden til at se tilbage på året der gik – et år, der stod i botnettets tegn.

Pc'erne i botnet bruges typisk til at udsende spam. Sikkerhedsfirmaet IronPort anslog i sommer, at spam fra botnet genererer en årlig omsætning på medicin på over 150 millioner dollars. Der sælges typisk Viagra og anden receptpligtig medicin.

Danske websteder ramt
Botnet var også involveret i en anden udbredt type it-kriminalitet: SQL-indsætning. Det går ud på, at angribere udnytter svagheder i web-serverprogrammer til at lægge kommandoer ind på websider. Kommandoerne er oftest forsøg på at inficere de pc'er, der besøger siderne, med skadelige programmer.

I maj opdagede en sikkerhedsforsker, at botnettet Asprox blev benyttet til at finde sårbare websteder og udføre SQL-indsætning på dem. Flere danske websteder blev ramt af Asprox-angreb, heriblandt Miljøstyrelsens.

Men flere af botnettene fik sat en kæp i hjulet. I november fik internetudbyderen McColo kappet sin forbindelse til internettet. Det ramte en række botnet, hvis centrale fjernstyringsservere kørte hos udbyderen. Kort efter lukningen faldt den globale spammængde med 60-70 procent.

Navneservere er sårbare
Foruden forskellige former for angreb dukkede der også nye sårbarheder op i årets løb. Mest opmærksomhed fik den såkaldte Kaminsky-sårbarhed, der er opkaldt efter den sikkerhedsforsker, der opdagede den. Sårbarheden er væsentlig, fordi den findes i selve den måde, internettets navnesystem DNS (Domain Name System) er opbygget på.

Sårbarheden gør det let for svindlere at lægge falske oplysninger ind i DNS. Dermed kan en angriber narre sine ofre til at tro, at de besøger et websted, som de kender og har tillid til, hvor de i virkeligheden er inde på en forfalskning.

En egentlig løsning på problemet vil kræve en grundlæggende ændring af DNS. Men i årets løb fremkom der metoder til at mindske risikoen væsentligt.

Selvom året altså bragte nogle gode nyheder, tyder alt på, at vi i it-sikkerhedsbranchen får nok at se til også i det kommende år.

Lad mig ønske mine læsere et godt og sikkert nytår!

 

Oprindelig bragt i Børsen Digital den 9. december 2008

 

Keywords: