Cyber-crime

Visse eksperter siger, at du snart ikke kan åbne en hjemmeside uden at risikere et angreb. Problemet ligger i det fundamentale skift i måden, internetforbrydelser bliver begået. Engang var internettet en legeplads for hobby-hackere og eBay-fuskere, men internettet er nu ved at forvandle sig til en yngleplads for seriøse og organiserede kriminelle. Selvom det er ondt at sælge en tom Sony PS3 kasse til en uanende køber på en auktionsside, er det intet i forhold til at lægge eBay ned en hel uge ved at bruge en million fjernstyrede computere til kontinuerligt at bombardere deres servere.

Datasikkerhedsfirmaet Symantec talte 20.547 eksempler på forskellige internettrusler i 2002; i 2008 var tallet oppe på 1,6 millioner. Og når malware øges, så gør forbrydelsesstatistikkerne det samme. FBI’s Internet Crime Complaint Centre (IC3) rapporterede en rekord for onlinekriminalitet i 2008 med 275.284 klager, og ofrenes samlede tab lød på 265 millioner dollars. Det er en stigning på 33 procent i forhold til det tidligere, men da det blot er USA’s rapport til IC3, repræsenterer det kun en lille del af de penge, der rent faktisk blev stjålet digitalt sidste år.

Nettet har altid haft sine skyggesider – det bliver ofte sagt, at det først blev et kommunikationsmedie, da pornografien kom online – men som tingene ser ud nu, kan internettet snart blive så fyldt med malware, at de fleste vil være bange for at bruge det. Men hvordan skete det? Og vigtigere: Hvad kan vi gøre?

At åbne din computer til omverdenen involverer altid en risiko. I pc’ens tidlige dage kom risikoen fra virusinficerede disketter, men da computernetværket begyndte at strække sig til mere end én bygning, havde hackere et meget større supermarked at stjæle i.

Ideen om at sende et program over et netværk for at infiltrere en computer opstod i 1971, men det var først i 1988, at det blev spredt i virkeligheden, selvom det ikke var med vilje. Robert Morris, som studerede på Cornell Universitet, skrev et program, der skulle sprede sig over et netværk uden brugerindblanding. Dette blev kendt som en “orm” i computer-termer; en “virus” kræver menneskelig assistance til at spredes.

Programmet udnyttede et sikkerhedshul i Unix operativsystemet, så det kunne installere og kopiere sig selv til en computer. Morris’ håb var, at ved at hoppe fra computer til computer kunne ormen måle størrelsen på internettet.
Morris slap sit program løs, men en programmeringsfejl inficerede computerne flere gange og fik dem til at arbejde langsomt. Der sket en kædereaktion, og 6.000 computere blev forkrøblede, hvilket repræsenterede 10 procent af internettet på det tidspunkt. Morris’ forfejlede eksperiment gav ham en betinget dom på tre år og en bøde på 50.000 kroner. Moderne malware var født.

Orme begyndte at blive et alvorligt problem, da internettet åbnede op for kommercielle interesser. “Disse tidlige udbrud var ikke fokuseret på kriminel aktivitet, men for at opnå et ry,” husker Rik Ferguson, Senior Security Advisor hos Trend Micro. “Ikke desto mindre skabte de alvorlig skade. ILOVEYOU-ormen estimeres til at have kostet mange milliarder i genoprettelse og tabt produktivitet.” ILOVEYOU var et væsentligt øjeblik i udviklingen af orme og ikke kun på grund af dens hastighed – 10 procent af internettet var inficeret inden for 24 timer, efter den havde stukket hovedet frem første gang i 2000. Når den var installeret, brugte ILOVEYOU en smart metode til at komme forbi computerens forsvarsværker – en inficeret mail sendt fra en kendt kontaktperson.

Når ILOVEYOU var på plads, sendte den kopier af sig selv til e-mailadresser, den fandt i sin værts adressebog. Når modtageren så en mail fra en ven, læste den og åbnede den medfølgende fil, blev deres computer inficeret. Så alt, hvad ILOVEYOU behøvede for at spredes, var en naiv bruger, der var klar til at klikke på alt, en e-mail siger de skal – og der er nok blåøjede brugere i verden til at gøre dette trick effektivt – selv i dag. På trods af deres effektivitet er orme langt fra den ideelle måde for malware at spredes på.

“ILOVEYOU var sin egen værste fjende, da den var så oplagt,” siger Graham Cluley, senior teknologi-konsulent hos Sophos. “I stedet for at oversvømme din indbakke med 5.000 inficerede e-mails, er nutidens angreb mere luskede.” Lumskheden tager form af “script injection” – en hackers evne til at knytte malware til en hjemmeside på usikre, men ellers uskyldige web-servere. Sådanne angreb sætter alle hjemmesidens besøgere i risikozonen for en infektion, hvilket kan være et seriøst problem for en trafikeret side med 10.000 besøgende hver dag.

Sophos regner med, at scrip injection inficerede 6.000 hjemmesider om dagen i begyndelsen af 2008, og at fire ud af fem inficerede sider tilhørte folk, der ikke anede, at deres side var kapret. Som en konsekvens kan alt op til en halv million computere være offer for disse ubevidste downloads hver dag. Hvis du surfer uden en elektronisk sikkerhed, er der risiko for, at du er en af dem.

Hvis du er så uheldig at blive inficeret af ubevidste downloads, så vil du sikkert aldrig opdage det. Din com-puter vil næsten altid fortsætte med at arbejde som normalt, men i virkeligheden har du ikke længere kontrol over den.
En af de mest almindelige typer malware, der bliver installeret ubevidst på en hjemmeside, er et “rootkit”, et program der ikke kun får operativsystemet til at undgå at opdage det, men det giver også en anden person (root) adgang til fjernstyring via en elektronisk bagdør.

Disse bagdøre er hackerens hellige gral. Når de kombineres med et rootkit, betyder det, at nogen kan forbinde sig til din computer, når de vil, uden du ved det – de kunne altså lige så godt sidde ved dit tastatur. Adgang til dit elektroniske liv er dog ikke alt, en hacker leder efter, og mange har mere seriøse ting på dagsordenen.

I 1999 fandt man ud af at Sub7 Trojan – en Trojansk hest er malware, der bliver installeret ved at udgive sig for et andet, uskyldigt program – havde åbnet bagdøre til tusindvis af Windows pc’er. Det var slemt nok, men det viste sig, at pc’erne ikke blot var kompromitteret tilfældigt, infektionen var en del af en koordineret plan, og grunden blev klar det følgende år.

I 2000 blev pc’erne overtaget via fjernstyring og forvandlet til en hær. Disse zombie-pc’er blev brugt til samtidigt at bombardere e-handels web-servere med gentagne sideforespørgsler – et såkaldt Distributed Denial of Service (DDoS) angreb. Det resulterede i, at sider gik ned. Dette robot-netværk eller “botnet” var et nyt og mere skræmmende niveau af malware-trusler.

På grund af den fortsatte dovenhed eller manglen på viden om netsikkerhed hos både surfere og ejerne af hjemmesider, er botnets blomstret med en alarmerende hastighed. Storm-botnettet menes at have omkring 80.000 slave-computere, men det er ikke noget i forhold til det stadig eksisterende Conficker-botnet, der menes at have 4,5 millioner maskiner. Det blev opdaget november sidste år og har ramt alt fra hjemmecomputere til forsvarsministerier, selvom ingen er helt sikker på, om det er en spøg designet til at vise koderens kræfter eller noget mere ondsindet.

Naturligvis bliver der forsket ihærdigt i botnets, og i maj i år lykkedes det for et team på universitet i Californien at erobre Torpig botnettet – og de 180.000 computere det kontrollerede – i 10 dage. Din computer kan tvinges ind i Torpigs tjenester, efter den er inficeret med Mebroot rootkit’et, som er downloadet, uden du ved det fra en tilfældig hjemmeside. Når den er en del af netværket, kan botnet-herskeren ikke kun høste dine e-mails og gemte passwords, men også fange personlige detaljer, du skriver på hjemmesider.

Åbner du en hjemmeside-log in, der er på Torpigs overvågningsliste, vil botnettet erstatte den oprindelige formular med deres egen let modificerede kopi. Denne beder om flere data, som du måske ellers ikke ville give, men i modsætning til normale phising-angreb, der foregår på hjemmesider med smart ændrede web-adresser, så foregår Torpigs luskeri kun på din pc.

Da din webbrowser viser en legitim webadresse – selv på sikre sider – er det meget svært at vide, at der foregår noget forkert, når Torpig er i gang, og det er dårligt nyt for ofrene. En repræsentant for en storbank fortæller: “Hvis en kunde har givet deres PIN og kodeord som svar på en phishing e-mail, refunderer vi normalt ikke tabene.” Med andre ord, falder du i Torpigs vold, har du højst sandsynligt tabt dine penge for altid. Banken kan og vil ikke gøre noget ved det.
Forskerne talte næsten 50.000 nye infektioner i løbet af deres korte overvågning af Torpig, og de samlede legitimationsbeskrivelser fra over 8.000 kontoer hos 410 forskellige økonomiske institutioner med PayPal som det mest valgte. Blot at sælge denne data til andre scammere kunne give en millionindtjening, men det er kun en dråbe i havet.

“Selvom det er svært at give et præcist tal, kan vi ud fra beviserne estimere, at onlinekriminelle fylder deres lommer med mange hundrede millioner kroner hvert år,” siger Mikko H. Hyppönen, chefforsker hos F-Secure. “Derudover inkluderer dette tal ikke tab, som firmaer og privatpersoner har som resultat af cyberkriminalitet, hvilket er meget højere.”

Botnets er ikke kun optimale til at stjæle personlige data, de er også våben i en krig. Som Sub7 demonstrerede i 2000, kan et botnet bringe en hjemmeside i knæ med lethed, men nogle hackere har højere mål. I 2007 tvang et DDoS-angreb et helt land offline, da russiske hackere angreb Estonias web-servere. Aktivister brugte lignende angreb med det iraniske styres hjemmesider under valget tidligere i år.

Det “distribuerede” element hos DDoS’ angreb gør det ekstremt svært at tracke synderne, og det gør, at botnet er ultimative til anonym kriminalitet. “Onlinekriminelle kan være fysisk langt væk fra deres ofre,” siger Hyppönen. “Pengene er tydeligvis gode og risikoen for at blive fanget er lav, fordi de nationale politistyrker og det legale system ofte mangler ressourcer til at håndtere denne type kriminalitets internationale og teknisk komplekse natur.”
Rik Ferguson tilføjer: “Bare fordi inficerede maskiner rapporterer til en server i Kina, betyder det ikke, at den kriminelle hensigt tager udgangspunkt i det land. For eksempel: Serverne til jordens fem største botnets blev hostet af McColo – et russisk firma – i en bygning i Californien.”

Ikke desto mindre har lovens lange arm haft visse succeser med at knække botnets og andre syndikater inden for organiseret onlineforbrydelser. Det hollandske politi smadrede Shadow-botnettet i 2008, og samme år lukkede FBI Dark Market forummet, hvor der blev solgt store mængder af data stjålet via botnet.

Med et uendeligt lager af rekrutter vil botnet aldrig blive stoppet af retssager. Du tror måske så, at det, der er brug for, er en teknisk løsning, men vi har faktisk en allerede – at bekæmpe cyberkriminalitet succesfuldt hænger mere sammen med at ændre computerbrugernes attitude.

“Operativsystemer bliver udnyttet til at rekruttere dem til botnet,” siger Trend Micros Rik Ferguson, “men i de fleste sager udnytter malware usikkerheder, som der allerede findes opdateringer til.” Siden det er det mest populære operativ-system, er Windows også det største mål for hackere. Microsoft bruger en masse kræfter på at lukke sikkerhedshuller i deres software, så snart de er fundet, men disse løsninger skal stadig installeres – Windows har inkluderet auto-opdateringsfunktion siden 1998, men der er ikke nok folk, der bruger det. Det virker vanvittigt, at folk ikke regelmæssigt opgraderer deres forsvar, siden en ubeskyttet Windows pc kan blive kompromitteret af en hacker inden for fire minutter efter, den går online. Men sådan er det.

Malwarehåndlangere er hurtige til at udnytte internettrends, og sociale netværk er de næste på listen. I 2007 inficerede Samy-ormen en million MySpace-kontoer på 20 timer, og med 200 millioner brugere er det uundgåeligt, at Facebook ikke også vil blive offer.

Ikke overraskende er Twitter også et mål for hackere, og hvis du har givet dine log- in-detaljer til en tjeneste, der lover at øge din følgeskare, så er der en risiko for, at en hacker lige nu har adgang til din konto.
Et særligt smart Twitter-hack så dagens lys i juni i år, da Clig URL-shortening tjenesten blev hacket. Clig krymper links – den type du kan finde på enhver stor nyhedsside for eksempel – til at passe til Twitters grænse på 140 karakterer. En opfindsom sjæl modificerede Clig, så enhver, der brugte den til at poste et link i deres tweet, uforvarende inviterede folk til at klikke sig gennem en hjemmeside – valgt af hackeren – en tilfældig blog viste det sig. Igen kunne det have været en dum spøg, men det kunne også have været et forsøg på at gøre noget mere alvorligt.

Så hvis din pc frigiver detaljer om din bankkonto og en uudtømmelig liste af din favorit “special”-sider, før den bliver kaldt i tjeneste til at angribe et fremmed land, og din Twitter-konto forvandler sig til en tyfon af Malware, kan fremtiden se temmelig mørk ud.

Internettet vokser stadig. Ikke alene regner man med, at næsten hele Europa er på nettet i 2012, men antallet af enheder, der kan gå på nettet, vokser også. Hvis en enhed kan gå på nettet, er den med det samme åben for angreb – selv hvis det ikke er en pc. Mobiltelefoner? Den første virus var skabt i 2004. Spillekonsoller? Den første PSP-trojan blev spottet i 2005. Digitale fotorammer? Jep, et hold rammer, der kom til salg sidste jul, havde malware præinstalleret. Apple-enheder fra Macs til iPhones står sikkert også som de næste på listen over malwareangreb.

“Den vedvarende udvikling af IP-venlige enheder tilbyder mange flere angrebsmuligheder for forbrydere”, siger Shawn Henry fra FBI’s Cyber Division. “Så problemet vil fortsætte med at vokse.”

Indtil alle computere får installeret og opdateret antivirussoftware med jævne mellemrum, og ingen er fristede til at klikke på et link for at se nøgne fotos af berømtheder, så må alle passe på sig selv online. Det er nemt at sige: “Husk at opdatere din pc og brug lidt fornuft,” men kan du være sikker på, at der ikke er nogen, der tilgår din dyrebare data uden din viden lige nu?