Vi oplever flere angreb i Danmark

DK•CERT behandlede ti procent flere anmeldelser i andet kvartal end i første, skriver Shehzad Ahmad i denne klumme fra Computerworld.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Mens resten af Danmark nød sommervejret, lagde mine kolleger og jeg sidste hånd på kvartalsrapporten for DK-CERTs andet kvartal 2010. Og tallene indeholdt nogle overraskelser.

Vi havde regnet med, at mængden af anmeldelser var stabiliseret. I både april og juni var der da faktisk også færre anmeldelser end normalt.

Men de blev mere end opvejet af en meget travl maj måned med over 10.000 anmeldelser. På en normal måned behandler vi under 3.500 sager.

Så alt i alt behandlede vi ti procent flere sager i andet kvartal end i første.

Passwords på botnet
Hvad drejede sagerne sig så om?

Flere sager handlede om, at danske brugernavne og passwords var fundet på udenlandske botnetservere.

Her er det vores opgave at finde frem til systemejerne og varsle dem om det. Vi anbefaler, at de skifter passwords og undersøger, om deres systemer er blevet kompromitteret.

Vi så også en stigning i sager med anmeldelse af piratkopier på danske computere.

Derimod var der færre tilfælde af danske websteder, der var inficeret med trojanske heste. Det samme gælder phishing-websteder.

Den mest udbredte type skadelig software var fortsat trojanske heste.

Ingen fodboldkatastrofe
Vi havde ventet, at verdensmesterskabet i fodbold ville blive udnyttet massivt af svindlere. Men den forventede bølge af angreb udeblev.

Kun i ganske få tilfælde så vi, at kriminelle forsøgte eller ligefrem havde held med at udnytte begivenheden.

Færre scanninger
Scanninger efter åbne porte er en udbredt foreteelse på nettet. I andet kvartal faldt mængden af scanninger i forhold til første kvartal. Også mængden af forskellige IP-adresser, der scanner, faldt.

Scanningerne gik typisk efter gamle kendinge. En enkelt ny er dog på listen over de mest scannede porte: TPC-port 3389, der anvendes af RDP (Remote Desktop Protocol).

Fremtiden
Når det gælder fremtiden, er der en klar tendens: Vi vil se flere tilfælde, hvor skadelige programmer (malware) spredes via helt legitime webservere.

De it-kriminelle udnytter sårbarheder i webserverne til at inficere dem med malware, som derefter forsøges installeret på dem, der besøger webstederne.

Mængden af sårbare webservere er stigende, blandt andet fordi den typiske webserver i dag indeholder en lang række komponenter: Database og CMS med diverse udvidelsesmoduler. Dermed er der endnu flere komponenter, som de systemansvarlige skal holde opdateret.


Oprindelig offentliggjort på Computerworld Online mandag den 2. august 2010

 

LINKS

DK•CERTs Trendrapport andet kvartal 2010 (PDF-format)
Denne klumme på Computerworld Online

Keywords: