Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Forbryderne fandt nye veje til de værdifulde data, de var ude efter, i det år der snart er gået.
I årets løb har jeg især hæftet mig ved to tendenser: Botnet i mange former og frygten for at miste fortrolige data.
En af de nye veje, som fører til fortrolige data, består i en kombination af velkendte teknikker.
Den ene hedder SQL-indsætning: Ved at misbruge sikkerhedsfejl i webapplikationer kan uvedkommende lægge scriptkode ind på websider.
Når andre besøger websiderne, bliver deres pc smittet, idet scriptet udnytter kendte sårbarheder i browseren eller andre udbredte programmer.
Giftig kombination
Denne kombination af SQL-indsætning og "drive-by-installation" er særlig giftig, fordi den udnytter websteder, folk har tillid til. Hvis et populært websted er sårbart over for fx SQL-indsætning, kan det være med til at smitte tusinder af pc'er.
Når pc'erne bliver inficeret, bliver de ofte indrulleret i et botnet. Dermed kan bagmændene fjernstyre dem.
Pc'erne i botnettet misbruges gerne til at udsende spam, hoste phishing-websteder eller angribe andre computere.
I år så vi en kombination af SQL-indsætning og botnet: Et botnet ved navn Asprox blev brugt til at finde websteder, der var sårbare over for SQL-indsætning.
Herefter udnyttede pc'erne på botnettet sårbarheden til at inficere webstedet med.
Det skete blandt andet for Miljøstyrelsens websted.
Beskyt data på USB-nøgler
I årets løb har jeg holdt foredrag for mange danske virksomheder og organisationer. Et af de spørgsmål, jeg tit er blevet stillet, er, "Hvordan sikrer vi USB-enheder?"
Ofte viser det sig, at de er interesseret i andet og mere end små, bærbare USB-enheder: De vil vide, hvordan de kan beskytte sig mod at miste fortrolige data ved, at medarbejderne kopierer dem over på musikafspillere eller sender dem som e-mail.
Det handler om at beskytte sig mod datatab som følge af fejl snarere end bevidste angreb.
Derfor er flere også blevet interesserede i produkter, der beskytter virksomheder mod den form for tab af data.
Beskyttelse mod data-læk
Produkterne går blandt andet under betegnelsen Data Leak Prevention (DLP).
Et DLP-produkt kan fx forhindre, at data, der er stemplet fortrolige, kan kopieres til en USB-nøgle.
Jeg venter, at endnu flere danske virksomheder vil kigge på DLP i det kommende år. Ingen har lyst til at få udbasuneret firmaets navn sammen med beskeden om, at det har ladt data om tusindvis af kunder falde i de forkerte hænder.
Det store DNS-hul
Ellers var 2008 året, hvor en sikkerhedsforsker fandt en alvorlig sårbarhed i en af internettets basisteknologier: DNS (Domain Name System). Dan Kaminsky opdagede en metode, der gør det lettere at snige falske oplysninger ind i DNS-servere via såkaldt DNS cache poisoning.
Det var godt at se, hvordan internetbranchen i fællesskab gik i gang med at indføre rettelser, der mindskede risikoen.
Men et rettet program hjælper ikke noget, hvis det ikke bliver sat i drift. Og der kører stadig mange ældre versioner af BIND og andre DNS-serverprogrammer ude på nettet.
Historien om DNS-sårbarheden viser endnu engang, at der skal en kombination af teknologi og mennesker til, hvis sikkerhedsproblemerne skal løses.
Mit nytårsønske er derfor, at teknologien, organisationen og menneskene går op i en højere enhed til gavn for et mere sikkert it-miljø. Godt nytår!
Oprindelig bragt på Computerworld Online tirsdag den 30. december 2008