Internet består av ändliga resurser. Även om Internetlinan räcker till vid en attack (en stor attack märks sällan hos till exempel Telia) är det de utsatta servrarna som inte orkar ta hand om all inkommande trafik. Detta kallas för en DoS-attack (Denial of Service). En vidareutveckling är den distribuerade DoS-attacken (DDoS) som går ut på att man planterar in en en så kallad zombie på många datorer runtom på Internet. De står i kontakt med angriparen och väntar på en signal.
När den kommer sätter de igång och attackerar ett visst bestämt mål, till exempel Yahoo, Ebay eller CNN. Syftet med attacken är att överbelasta servern så att vanliga användare inte kan komma åt den.
Ett par nya tekniker dök upp förra året som lett till att vi ännu en gång måste uppmärksamma DoS-problemet.
Den vanligaste tekniken idag är så kallad packet flooding, det vill säga man sänder enorma mängder paket mot offret i syfte att konsumera all bandbredd. Det kan handla om flodvågor med TCP-paket (SYN-, ACKoch RST-förfrågningar), Pingar (ICMP Echo Request/Reply) eller UDP-paket. Idag används IRC (Internet Relay Chat) som kommunikationskanal i förhållandevis stor utsträckning.
En trend är att vinkla bort fokus från att lägga in zombier på Unix-maskiner till att använda Windows-datorer för att plantera in och distribuera zombier.
Tack vare bredbandsutvecklingen runt om i världen finns det massor med datorer som är uppkopplade dygnet runt i våra hem, helt utan skydd. De är perfekta att använda för DoSattacker - de finns troligen där när man vill starta attacken. Idag finns automatiska verktyg som letar upp oskyddade datorer och planterar in zombier på dessa.
Vad som är viktigt att komma ihåg vad gäller DDoS-attacker är att, precis som med virusproblemet, vi alla sitter på samma nätverk. Attackerna kan genomföras för att "någon annan" på Internet (i praktiken många andra) inte skyddat sin dator eller sitt system tillräckligt.
Blandade hot är den nya trenden
En ny trend är så kallade blandade hot. Gränsen suddas ut mellan virusskrivande och hackande. Perfekta exempel på detta är Nimda och Code Red.
Nimda är den första mask som verkligen attackerar nätverket från alla håll. Den kommer via epost och sprider sig i nätverk, hackar opatchade IIS-servrar och lägger in ett skript som automatiskt erbjuds till dem som surfar in på en hackad sida. Har man otur (och Internet Explorer) kan detta skript exekveras när det laddats ned och datorn infekteras.
Kournikova-skapare tog genvägar
Jan de Wit, 19 år från Sneek i Holland, studerar funktionell programmering i Haskell vid Utrechts universitet.
Viruset han släppte ut i mitten av februari 2001 kallas populärt för Anna Kournikova-viruset, och trots att han studerar programmering verkar han ta vissa genvägar. Viruset är framtaget med hjälp av ett verktyg som heter VBSWG (Visual Basic Script Worms Generator) från [K]alamar i virusskrivargruppen Virii Argentina (enligt uppgift tog denne person bosatt i Buenos Aires namnet efter smeknamnet på sitt favoritfotbollslag "El Calamar" eller "Bläckfisken").
Detta virus beräknas ha spridits i samma omfattning som Melissa 1999, alltså ett av de virus som fått störst spridning någonsin. Ur det perspektivet kan man tycka att straffet Jan
fick var löjligt lågt - cirka 150 timmars samhällstjänst. Personligen tycker jag att det är bra att vi ser fällande domar när virusskrivare upptäcks. Det sänder rätt signaler till de personer som tycker att det här med att skriva virus verkar spännande.
Vad som är betydligt värre är att borgmästaren i Jans hemstad uttalade sig och sa att viruset inte var så farligt utan nästan ett skämt - och erbjöd Jan arbete i stadshuset med motiveringen att "han verkar ju kunna det här med datorer".
Jan sa själv i ett uttalande att de som infekterats av viruset får skylla sig själva som klickat på filen och att han döpte den till Anna Kournikova eftersom han tyckte att hon förtjänade uppmärksamhet. Att Jan är förtjust i tennisspelerskan är uppenbart. Han har till och med lagt upp epostadressen Jan_anna55@hotmail.com.
Homepage-killar ville synas
Homepage-viruset tillverkades med samma verktyg som Onthefly. Tre unga killar trädde fram strax efter att viruset fått stor spridning och tog på sig skulden. De tyckte att det var orättvist att Jan fått så stor uppmärksamhet och ville även de synas. Man kunde ju önska att de hade haft andra mål och förebilder i livet.
Magistr.A avvaktar en månad
Magistr.A dök upp i mars och är, enligt en textsträng i koden, skrivet av en person i Malmö som går under alias "The Judges Disemboweler". När datorn varit infekterad i en månad aktiveras en elak payload. Då kan information på hårddisken skrivas över och informationen i CMOS och Flash-BIOS förstörs på samma sätt som med CIH-viruset. Dessutom
sprider den sig både via e-post och nätverket. Den använder flera olika trick för att göra detektion och analys av viruset svårt, bland annat har den dubbla motorer för polymorfism. Detta är ett av de mest komplexa virus som hittills upptäckts.
Magistr.B dök upp i september och är en utvecklad version. Förutom att hitta e-postadresser i Outlook Express, Netscape Messenger och Internet Mail och News finner denna variant även adresser i Eudora, vilket är mycket ovanligt. Variant B sänder även av någon anledning ibland ut virusfria gif- och doc-filer.
Klez masspostar och virussprider
Klez kom i slutet av oktober och är ett masspostande virus. Dessutom släpper det ifrån sig ett annat virus som fortsätter sprida sig vidare på egen hand (Elkern). Viruset utnyttjar ett säkerhetshål i Outlook för att kunna infektera datorn när man läser eller förhandsgranskar brevet. Även detta är en trend som utnyttjas av allt fler virus. Microsoft har sedan länge en patch som täpper till detta hål, men det är uppenbart att det inte är många som installerat den.
Viruset skrevs av en 19-åring med stora personliga problem. Han var med i den numera utdöda virusskrivargruppen "Immortal Riot" och gick under alias "T-2000". Virusskrivaren Benny från den mycket aktiva gruppen 29a kallar honom för en "mycket märklig person".
I viruskoden till Klez finner man ett meddelande där T-2000 ber om ursäkt för att han spritt viruset. Han gör det för att visa sina tekniska kunskaper och ber om hjälp att finna ett jobb så att han kan försörja sina föräldrar. Ett par veckor senare avslutar han sitt liv.
Sircam drabbar hemanvändare
Sircam skrevs troligen i Michoacan i Mexiko och dök upp den 17 juli. Viruset sprider sig via e-post och nätverk. Tack vare en bugg i viruskoden kan det inte sprida sig vidare på NTFS-system (NT och 2000). Det gör att de som infekteras med detta virus primärt är hemanvändare.
Därför var det förvånande att se viruset spridas i en sådan omfattning som det gjorde. Sedan det dök upp har det toppat viruslistorna; flera gånger har jag noterat i Svenska Viruslistan (se 2001 års lista ovan) att den varit upp till 15 gånger vanligare än nummer två på listan. I över fyra månader höll den topplaceringen tills dess att Badtrans.B dök upp, vilket var i slutet av november 2001.
Samma månad förra året släpptes en barn-DVD från Warner Bros Home Video med titeln "Powerpuff Girls Meet the Beat Alls" (se bilden) Viruset låg i autostartfilen, vilket mer eller mindre innebär att datorn infekteras så fort man sätter in DVD:n i sin dator.
Just denna DVD-utgåva har troligen inte sålts utanför USA, med undantag för eventuella privatimporter, och den är nu återkallad från alla butiker i USA där den såldes.
Detta är det första bekräftade fallet med virusinfekterade filer på en DVD.
Av PER HELLQVIST
Per Hellqvist är säkerhetsexpert på Symantec. Han är grundare av Svenska Viruslistan och enda svenska rapportören till The Wild List. Dessutom skiver han för Säkerhet & Sekretess. Du hittar tidningens webbplats på sakerhet.idg.se.
DE VANLIGASTE VIRUSEN I SVERIGE 2001
Svenska Viruslistan startade i början av år 2001. Syftet var att snabbt få reda på vilka virus som sprids i Sverige just nu. Rapporteringen går vidare till The Wildlist, men den är på global nivå och kommer endast månadsvis. Svenska Viruslistan fick ett stort gensvar. Det verkar som om många hade behov av informationen.
Informationen i listan kommer från rapportörernas virusloggar i till exempel e-postservrar och brandväggar. Det spelar ingen roll vilket program de använder - det är informationen som är viktig för att kunna utbilda användare och justera skyddet. Just nu täcker listan cirka 70 000 e-postboxar runtom i Sverige.
Här följer topp 10-listan för de vanligast förekommande virusen under
2001 (fram till mitten av december):
1. W32/Sircam
2. W32/Badtrans.B
3. W32/Navidad.B
4. VBS/VBSWG.X (Homepage)
5. W32/Magistr.A
6. W32/Aliz.A
7. W32/Hybris.B
8. W95/MTX.9244
9. VBS/VBSWG.Z (Mawanella)
10. W32/Magistr.B
Virusproblemet ser inte ut att avta. År 1999 hade 1 mejl på 1400 en infekterad fil. År 2000 var det 1 mejl på 700. I december 2001 var vi nere på 1 mejl på 200. Fortsätter denna trend kommer 1 mejl på 10 att innehålla virus år 2008. Jakten går vidare.
VIRUS - ALLT DYRARE OCH SNABBARE
Virus År Kostnad Global spridning
Cascade 1990 Cirka 500 miljoner Tre år
Concept 1995 Cirka 600 miljoner Fyra månader
Melissa 1999 Cirka 3,8 miljarder Fyra dagar
Loveletter 2000 Cirka 7 miljarder Fem timmar
IDG.se
onsdag 10 februari 2010
- IT
- BizGuide NY!
- CIO Sweden
- Computer Sweden
- CS Jobb
- CSO
- Digitala Hemmet
- Executive Report
- IDG.se
- Internetworld
- IT i vården
- IT24
- IT-tjej
- Kickad.nu
- Level
- M3
- MacWorld
- Mikrodatorn
- PC för Alla
- Planet Mobile NY!
- TechWorld
- Testcentret
- ANDRA OMRåDEN
- Big Twin
- Biotech Sweden
- CAP&Design
- CFO World NY!
- MiljöAktuellt
- Studio
- Teknik360
- Upphandling24
- MER FRåN IDG
- Branschkoll
- Kundcase
- Nyhetsbrev
- Pressmeddelanden
- Whitepapers & Webcasts
Den här artikeln har null kommentarer:
Vinn bärbar dator
