Epost-filtere gjør vondt verre i virusflom

Epost-filtre skal stoppe virus, men feil satt opp gjør de vondt verre. Det skjedde på et norsk sykehus:

Moderne e-postvirus som fjorårets Sobig og årets Mydoom plukker både mottakeradresse og avsenderadresse fra forskjellige filer på PC-en som den bruker til å sende seg selv fra. Det innebærer at virusbærende e-post svært sjelden kommer fra den avsenderen som er oppgitt i meldingen.

Det er følgelig uten hensikt å sende en melding til den oppgitte avsenderen for å opplyse at vedkommende sprer virus. Likevel ordnes mange e-postfiltre med ordninger som automatisk sender en melding til den oppgitte avsenderen. I perioder med stor virusspredning, der selve e-postflommen utgjør det verste skadeverket, virker denne praksisen til å fordoble virusplagen.

Dette forholdet ble diskutert i IT-sikkerhetskretser i fjor, men er ennå ikke avskaffet. Redaksjonen i digi.no har fått slike automatiske meldinger fra blant andre Manpower, Bodø kommune og Netcom.

I den pågående Mydoom-epidemien, har en av våre lesere, Glenn Murray, opplevd en ny variant av uhensiktsmessig sikkerhetsmotivert automatisk tilbakemelding.

I går kveld fikk Murray to e-postmeldinger som denne fra Aker universitetssykehus i Oslo:

Dette er en automatisk tilbakemelding fra sykehusets e-postfilter. Merk at det ikke er snakk om virus i denne meldingen. Filteret har stoppet en innkommende e-post fordi den inneholdt en type vedlegg som er forbudt for sykehusets medarbeidere å motta.

Meldingene fra Aker inneholdt som vedlegg de opprinnelige meldingene med Murray som oppgitt avsender. Som IT-ingeniør i en virustid var Murray skeptisk, og kjørte en virusscan. Dette var resultatet:

Mimail.r er Trend Micros betegnelse på Mydoom.

Aker har med andre ord mottatt e-post med virusbærende vedlegg, og returnert den til oppgitt – men ikke faktisk – avsender, med en beskjed ("Denne meldingen har blitt stoppet på grunn av type vedlegg") som er egnet til å få mottakeren til å klikke på vedlegg han angivelig skal ha sendt – og slik smitte seg selv med virus. Vedlegget ble avvist på grunn av type, og det ble ikke sjekket om vedlegget bar et virus.

Det er grunn til å tro at Aker ikke er alene om å ha konfigurert sin e-postfilter på denne måten. Sykehusets IT-ansvarlige er varslet, og har lovet å ta seg av saken.

– Dette har allmenn interesse, Aker sykehus er knapt alene, sier Murray til digi.no. – Dette kan være et forsøk på å stoppe tøv som f.eks. eksotiske screensavere, men som ender med å spre virus. Har vi en del av forklaringen på at offentlig sektor alltid kommer verst ut i virusstormene, mon tro?

Til toppen