Annons

Internet kan slås ut på 15 minuter

Nu varnar forskare för Warhol-masken, ett slags datorvirus som slår ut hela Internet på 15 minuter.

De illasinnade e-brev och program vi fått via Internet hittills - som Code Red, Loveletter, Melissa, BugBear och Nimda - är bara början, trots att de vart och ett slog ut miljontals datorer över hela världen. Med dagens metoder är det möjligt att skapa en supersmittsam s k datormask. Under gynnsamma förhållanden skulle stora delar av Internet kunna infekteras på bara 15 minuter.

Den varningen kommer från tre virusforskare i en artikel som presenterades på en säkerhetskonferens förra året. En av de tre, Nicholas Weaver från University of California i Berkeley, myntade för något år sedan begreppet "Warhol worm", en mask som smittar Internet på 15 minuter. Namnet är hämtat från konstnären Andy Warhols uttalande att i framtiden kommer alla att vara kändisar i 15 minuter.

Det vi i dagligt tal kallar datorvirus är egentligen flera olika typer av s k farlig kod (se rutan på sidan 43). I dag är det maskarna som härskar, dvs program som slingrar sig från dator till dator via Internet. De flesta maskar som sprids i dag är kapabla att göra betydligt mer skada än gårdagens virus. De kan slå ut antivirusprogram och personliga brandväggar, de kan öppna bakdörrar som är åtkomliga från Internet och de kan läsa vad du skriver på tangentbordet, inklusive personliga lösenord.

- I dag är inte virus något problem. Det skrivs nästan inga virus längre, och det sprids nästan inga. Till 99 procent är det maskar och trojanska hästar som drabbar användarna, säger Joakim von Braun, säkerhetsexpert vid det internationella datorföretaget Symantecs svenska dotterbolag.

- Därför fungerar inte antivirusprogram som det enda skyddet, utan i dag måste man även använda personliga brandväggar och intrångsdetektering för att skydda sig effektivt.

Poängen med en extremt snabb mask är att varken antivirusföretagen eller någon annan mänsklig försvarsstyrka hinner med. Man måste upptäcka viruset, hitta ett motmedel och lyckas distribuera det innan den farliga koden anländer.

Enligt artikelförfattarna är en Warhol-mask alltså tekniskt möjlig. De matematiska beräkningar som artikeln använder bygger på spridningen av masken kallad Code Red. Det var ett illasinnat program som kan ha kostat företag och organisationer runt om i världen sammanlagt 26 miljarder kronor (se rutan på sidan 45).

En framträdande egenskap hos Code Red var att den innehöll en s k attacklista, adresser till datorer som innehåller hål där maskarna kan krypa in. Warhol-masken är tänkt att innehålla en gigantisk sådan lista, dessutom kombinerad med en möjlighet för masken att själv bygga ut listan på ett smart sätt.

Kontroversiella siffror

Likt många varningar av den här typen kommer de från folk som är knutna till antivirusindustrin. De har ett kommersiellt intresse av att skrämmas. Något som också poängteras av Fredrik Björck, säkerhetsexpert och forskare på Data- och systemvetenskapliga institutionen vid Stockholms universitet.

- Virusindustrin består av ett antal olika aktörer som på olika sätt tjänar på att virus skapas och sprids. Därför måste man ta industrins siffror och argument med en nypa salt.

Att siffrorna är osäkra håller Joakim von Braun med om. Däremot gillar han inte det han uppfattar som anklagelser från Fredrik Björck.

- Fredrik Björck har tidigare till och med gått ut och anklagat antivirusföretag för att vara inblandade i skapandet av virus. Han har dessutom aldrig några siffror själv att komma med utan ägnar sig bara åt att kritisera de uppgifter som finns, säger Joakim von Braun.

Frågan är laddad, och Fredrik Björck bemöter kritiken:

- I specifika fall, som jag personligen är insatt i, har det faktiskt förekommit att personer anställda vid antivirusföretag aktivt bidragit till spridningen av nya virus. Då gällde det inte de stora seriösa antivirusföretagen, av vilka Symantec är ett, svarar Fredrik Björck.

Farlig kod största IT-problemet

Brottsförebyggande rådet, BRÅ, gav år 2000 ut en rapport om den IT-relaterade brottsligheten. Enligt rapporten saknas det belägg för att denna brottslighet "skulle vara så omfattande och allvarlig som den mytologiserade bild man gärna skapar av den".

Detta hindrar inte att det förekommit grova brott där stora värden stått på spel. I de intervjuer som BRÅ gjorde inför rapporten uppges farlig kod vara det problem som förekommer mest, långt före andra problem som t ex dataintrång och stöld av information. Variationen är dock stor - vissa företag drabbas ytterst sällan, andra har dagliga problem.

Det brittiska företaget Messagelabs hjälper företag att filtrera bort farlig kod och skräppost från e-brev. Företagets siffror på hur mycket de silar bort kan användas som en mätsticka på virusproblemets storlek. Hösten 2000 fångade de farlig kod i ett brev av 841. År 2002 var siffran nere i ett smittat brev per 145.

Eftersom farlig kod i sig inte är olagligt är det ytterst få fall som leder till polisanmälan. Av samtliga polisanmälningar kring IT-relaterad brottslighet i Sverige som undersökts av BRÅ är det bara en enda som gäller farlig kod.

I början av 1990-talet föreslog en utredning att framställning eller spridning av skadegörande kod skulle kriminaliseras, men förslaget har inte lett till någon ny lag. I dag är det alltså lagligt i Sverige att skriva och skicka ut farlig kod, så länge det inte finns något ont uppsåt.

En liknande juridisk situation finns på Filippinerna, som är masken Loveletters ursprungsland. Kärleksviruset kom i form av ett brev med rubriken ILOVEYOU. Det finns uppgifter om att Loveletter skrevs av en student vid namn Michael Buen men spreds av hans kompis Onel de Guzman. Ingen av dem är fälld för något brott. Onel de Guzman blev visserligen åtalad, men frisläpptes eftersom det visade sig att rättsläget då brottet begicks var oklart.

De flesta ofarliga

De allra flesta maskar och virus är varken skadliga eller särskilt smittsamma, men så dyker det plötsligt upp en extremt effektiv mask som sprider sig på kort tid. Fredrik Björck är övertygad om att en supermask av Warholtyp är möjlig i dag.

All farlig kod är beroende av säkerhetsbrister i operativsystemen för att kunna fungera och sprida sig. Uppskattningsvis 90 procent av alla persondatorer på Internet använder någon version av ett och samma operativsystem, Windows.

- När nu nästan alla datorer har samma operativsystem, så får de också samma säkerhetsbrist exakt samtidigt, nämligen när bristen upptäcks. Och då kan ett virus eller annan farlig kod spridas oerhört snabbt över hela Internet.

Dessutom saknar många organisationer och privatpersoner rutiner för att snabbt installera skydd mot redan upptäckta säkerhetsbrister. Det gör att det tar lång tid från upptäckt till dess att tillräckligt många datorer är säkra.

- Alla de senaste stora attackerna har nyttjat gamla och redan publicerade brister. Om rutinerna vore bättre - kanske med hjälp av automatisk uppdatering för vissa behov - då skulle det vara betydligt svårare för farlig kod att göra skada, framhåller Fredrik Björck.

Problemet kan därför inte lösas enbart genom ännu bättre antivirusprogram, anser han. Dessa program kommer alltid att vara hjälplöst efter.

- Det krävs att lösningen utgår från själva sjukdomsorsaken, inte från symtomen. Sjukdomsorsaken är enligt min mening den likartade datormiljön och de dåliga rutinerna i kombination med de motiv som virusskrivare har för att skriva virus, säger Fredrik Björck.

Enligt BRÅ är attackerna ofta utförda av kända gärningsmän. Drygt hälften av de företag som drabbats av datorvirus eller annan farlig kod uppger att de vet vem gärningsmannen är. Av dessa är 17 procent anställda i det egna företaget (!) och 83 procent utomstående.

Gärningsmannaprofil

En av dem som känner virusskribenterna bäst är Sarah Gordon. Hon har arbetat med att kartlägga virusprogrammerare i mer än tio år. Hon är numera anställd på Symantec i USA, som bl a tillverkar antivirusprogram.

- De flesta som skriver virus är välanpassade ungdomar som har normala relationer till familj och vänner, säger Sarah Gordon.

Skribenterna är ofta män och drygt 20 år. Åldern har stigit de senaste åren. För tio år sedan var de typiska skribenterna 14-17 år gamla, i dag ligger genomsnittet på 25-28. David L Smith, som fälldes för att ha skrivit Melissa, var 30 år när han arresterades 1999.

Omkring 1996 var Sverige, Norge och Australien på topplistan över länder som bidrog till virusspridningen.

- Jag tror inte längre de är på toppen. I dag verkar Sydostasien och Storbritannien vara stora bidragsgivare. Det som i första hand avgör vilka kontinenter som blir stora är antalet nyligen uppkopplade datorer, säger Sarah Gordon.

Joakim von Braun för egen statistik över virus, maskar, trojaner och annan farlig kod. Hans databas innehåller i dag 4 059 olika illasinnade program. Han känner inte själv till några maskar skrivna i Sverige, däremot har han 31 svenska trojaner i sin databas.

- Vi har aldrig haft mer än några enstaka virus- och maskskribenter i landet. Däremot har vi en stark hackingtradition, kommenterar Joakim von Braun, dvs ungdomar som försöker tränga in i företags och myndigheters datornätverk.

Den som skriver farlig kod befinner sig längst ner i hierarkin i datorernas undre värld. Högst upp finns knäckaren, den som knäcker koder och gör intrång. De flesta knäckare och hackare ser ner på virusskapare, rentav föraktar deras underlägsna programmeringskunskaper.

- Att hacka handlar om kontroll, medan att skriva virus innebär okontrollerad förödelse. De flesta virusskribenter ser inget fel i det de gör. Till skillnad från hackare förstår de inte effekten av sin farliga kod, menar Sarah Gordon.

Sarah Gordon möter sina virusskribenter både personligen, på telefon och via Internet. De flesta vill bli sedda.

- Det har aldrig varit svårt att träffa dem. Ofta är det de som kontaktar mig. De har läst mina artiklar på nätet och tycker att jag förstår dem. Även om jag alltid gör klart för dem att jag visserligen förstår, men inte håller med.

Varför skriva virus?

Skälet till att de skriver virus varierar. En del har ont uppsåt. Andra vill mest utveckla sina programmeringsfärdigheter.

Några få skribenter vill uppnå politiska mål eller protestera genom sina virus. Sarah Gordon nämner särskilt en virusskribent från Bulgarien som var aktiv på 1980-talet. Han skrev virus för att kompensera den brist på frihet han upplevde i sitt land. "Tanken på ett program som kunde resa själv och besöka platser dit dess upphovsman inte kunde ta sig, var det som lockade mig mest", sade han i en intervju.

De flesta skickar dock inte ut sina virus, utan experimenterar bara på den egna datorn. Ofta är den kod som skrivs så dålig att den inte skulle klara sig ute i "naturen".

- Det finns inte mycket originalitet bland virusskribenter i dag, säger Sarah Gordon. Men hon tillägger att eftersom datorerna och deras program blir alltmer komplexa så verkar också den farliga koden vara det, fast den i själva verket är tämligen simpel.

Du har just läst en artikel från tidskriften Forskning & Framsteg. Prenumerera här.

Kommentera:

8

Dela artikeln:

TIDNINGEN FÖR DIG SOM ÄR NYFIKEN PÅ ALLVAR
11 nummer 779 kr
2 nummer 99 kr
Du vet väl att du kan läsa Forskning & Framsteg i din läsplatta? Ladda ned appen från App Store eller Google Play. (Läsplatteutgåvan ingår i alla prenumerationer.)

Kommentarer

Visst finns det virusvarningar som är falska eller överdrivna. Men det är också ett faktum att maskarna på Internet ökar och blir allt effektivare. I artikeln visar forskarna att en warhol-mask är teoretiskt möjlig. De säger inte att den finns. En säkerhetsexpert som intervjuas i artikeln, och som är skeptiskt till antivirusföretagen, menar att varningen är seriös.

Internet kommer INTE att slås ut på 15 minuter. Det finns inget virus som klarar det. Warholmasken är ett typiskt skrämskott från företagen som säljer antivirusprogram.

SQL Slammer som infekterar Windows 2000 servrar och slog till för någon vecka sedan, gjorde väldigt märkbar skada och spreds otroligt snabbt, så frågan är bara hur länge det tar innan nästa illvillliga person hittar en säkerhetslucka och utnyttjar den.

Det siom är gjord av människan går alltid och förstöra på X sekunder. Vad jag menar vist om man "hittar på" ett virus så vist skita ner hela internet på "15 minuter" Men dom kanske har lide medkänslighet, för om dom gjorde sådant virus skulle det efter Internet "krashen" bli en tredje världskrig för och övedriva eller vem vet ???

Internet kan slås ut pga Strömavbrott,många Strömcentraler kan fjärrmanövreras vid Fel på Nätet,både Ström&Tele-nätet....det behövs inga virus för detta.....

Kent! Tack för bra tips. Jag tycker dock du tar i litet för hårt när du säger att uppgifter i artikeln inte stämmer. Jag hittar inga fel. Du har rätt i att Microsofts dominans är som störst på persondatorsidan, även om de är mycket stora på servrar (och applikationer, som oberoende av plattform också kan smittas). Men dominans är inte det enda problemet. Säkerhetsluckor finns i alla operativsystem och i andra program. Unixservrar är knappast immuna, bara svårare att knäcka.

I artikeln om ”Internet kan slås ut på 15 minuter” tar man i sin mun ett antal påslåenden som inte riktig stämmer. Naturligtvis kommer massa Microsoft datorer att drabbas, men som tur är består inte Internet bara av Microsoft datorer. Alla routers och alla Unix servar är helt immuna mot den hotbild med virus som du spelar upp i din artikel. Inte kommer de nationella knutpunkterna att drabbas. Det viktigast problemet är att Microsoft program kan få in virus, trojaner och maskar i sig.Varför gör Microsoft inget åt det? De levererar en dålig produkt. Jag tycker ni för F&F skall skriva lite artiklar om den forskning som ändå sker mot säkrar operativsystem. Ta och titta på t.ex. FreeBSD och se de hela tiden forskar fram säkrare kod.Eller titta vad OpenBSD grabbarna skriver om sitt OS.http://www.openbsd.interact.se/ security.htmlMer intressant är den hot bild som PTS målar upp i sitt senaste pressmeddelande.” Internet i Sverige fungerar i max sju dygn utan tillgång till det globala domännamnsystemet (DNS) utomlands.”Trotts det är de viktigt att varna för att man kan få ett obehag av en elak kod som sprider sig på nätet men man måste se över alla bitarna i kedjan. Väl mött igenKent Berggren

Hej,
Jag har fått ett mail från Tyska posten, som tyvärr hade ett troyan med i ett .rar fil. Min fråga är hur tar jag bort den. Jag kan inte starta datorn med dos, msconfig går inte att öppna. När jag ser efter vad är det för program, då ser jag wcsmkpsp.exe men som vanligt det kan vara annat.
Den avaktiverar mitt virusprogram, och kommer ett till windows flagga.

Väldigt tacksam för hjälp/John

Lägg till kommentar