Erfaringer fra besøk av Melissa og hennes søsken

Hva kan vi lære av dataviruset Melissa, spør Internett-koordinator Per Olav Førland i Norman ASA, som i dette innlegget deler sine erfaringer med digi.nos lesere.

Like før, under, og i perioden etter påske, fikk mange av oss besøk av dataviruset Melissa. Dette viruset fikk en utbredelse som var så rask og omfattende at en del sammenlignet det med den legendariske "Morris-ormen" som herjet forløperen til Internett – ARPANET – i 1988.

Denne gjennomgangen har som ambisjon å se på hva som egentlig skjedde da Melissa herjet som verst, og forsøke å trekke en del erfaringer utfra dette. Erfaringer som forhåpentligvis gjør at vi kan være bedre rustet ved eventuelle senere besøk av andre slike kvinner...

La oss først ta for oss en del litt tekniske fakta: Melissa, eller W97M/Melissa.A som er den presise beskrivelsen, er et såkalt makrovirus. Makrovirus dukket første gang opp utenfor rene testmiljøer i 1995. Disse virusene infiserer dokumenter (herunder også regneark og presentasjoner) til forskjell fra de tradisjonelle virusene, som infiserer dataprogram. Makrovirusene har derfor lettere for å spre seg, da det er adskillig mer vanlig at kolleger og andre samarbeidspartnere utveksler dokumenter enn dataprogrammer. Normans viruskontrollprogramvare gjenkjenner for tiden ca. 4.000 forskjellige makrovirussignaturer.

Når det gjelder Melissa spesielt, infiserer hun dokumenter som benytter seg av Microsofts "språk" for å lage makroer i dokumenter skrevet i Word fra Office 97 eller testversjonen av Office 2000.

Melissa-viruset ble første gang spredd da det fredag 26. mars i år ble postet til en nyhetsgruppe på Internett. Hun spredde seg deretter meget raskt som vedlegg til e-post.

Symptomene er følgende: Man mottar en e-post fra en person som man tidligere har utvekslet e-post med. Tittelen på e-posten er Important Message From 'navn' hvor 'navn' er det fulle navnet til avsender av e-posten. Innholdet i e-posten er setningen Here is that document you asked for ... don't show anyone else ;-). Som vedlegg til e-posten er et dokument som inneholder adresser til en del steder på Internett med pornografisk innhold, sammen med brukernavn og passord til disse. Dette er det Melissa-infiserte dokumentet.

Dersom man åpner vedlegget, og benytter en av versjonene av Word som nevnt over, blir man infisert.

Grovt sett skjer da dette: Melissa begynner med å deaktivere en sikkerhetsfunksjon for makroer i Word. Deretter sjekker hun et spesielt sted i operativsystemet for å se om hun har infisert tidligere. Hvis ikke starter Melissa e-post-programmet Microsoft Outlook og sender en e-post med samme tittel, innhold og vedlegg som nevnt over, til de 50 første i brukerens adressebok. Det er kun dersom man har Outlook installert at dette skjer. Det blir ikke sendt noen e-mail dersom andre e-post-klienter benyttes.

Melissa avslutter med å legge inn informasjon i operativsystemet slik at det ikke aktiveres flere ganger på den samme datamaskinen. Dersom dato og minutt er det samme, setter Melissa til slutt inn en kort tekst i det aktive dokumentet.

Dokumenter som opprettes etter dette vil være infisert av Melissa.

Da de 50 mottakere av den nye e-posten mottar denne, får disse det samme å forholde seg til, med muligheter for infeksjon og ytterligere utsending av 50 e-post fra hver. Og slik fortsetter det. Spredningen er av eksponensiell karakter.

Det er flere faktorer som bidrar til det noe spesielle med Melissa-situasjonen til forskjell fra hva som har vært tilfellet med de fleste andre makrovirus. En del av disse ligger utenfor selve infeksjonen og de skader denne medfører. Vi skal her se på en del av disse.

For det første innebærer ikke Melissa noe spesielt dramatisk for den PC-en som blir infisert. Som vi har sett over, gjøres det grovt sett ikke noe annet der enn at det sendes ut en e-mail, noe som gjerne er en operasjon som utføres mangfoldige ganger om dagen. Det er selve infrastrukturen som rammes verst av Melissa; belastningen på en organisasjons lokalnett, på Internett og spesielt på e-postserverne som rammes. Det ble rapportert at enkelte e-postservere gikk helt i stå på grunn av for stor belastning. Noen organisasjoner valgte å stoppe sin e-postserver inntil man var sikre på at man hadde kontroll over problemet, selv om de ikke hadde problemer med Melissa på dèt tidspunkt.

Den andre faktoren har å gjøre med viruskontroll som fenomen. I prinsippet vil det alltid være slik at viruskontrollbransjen vil være på etterskudd i forhold til forfattere av nye typer datavirus. (Man kan som kjent vanskelig lage beskyttelse mot noe man ikke vet hva er.) I normale situasjoner er dette ikke noe stort problem. Bransjen har mekanismer for å være helt i forkant mht. å skaffe seg informasjon om nye virus og dermed få lagt dem inn i sine virussignaturfiler før virusene oppnår å bli spredd i særlig omfang. Det spesielle med Melissa var at spredningen var så ekstremt rask. Til tross for at de fleste viruskontrollprodusenter hadde analysert og laget beskyttelse mot Melissa allerede etter kort tid, var hun allerede blitt et betydelig problem.

En tredje faktor er av mer psykologisk karakter, nemlig det faktum at Melissa fikk så enorm oppmerksomhet. For første gang i historien gikk det amerikanske National Infrastructure Protection Centre, som er en del av FBI, ut og advarte mot Melissa ved en egen pressekonferanse. Denne ble selvsagt i løpet av kort tid lagt ut på Internett med lyd og bilde slik at hele verden kunne se og høre hva som ble sagt. Presse, nyhetsformidlere på Internett og andre medier var raskt frempå og advarte mot fenomenet. Som så ofte er tilfellet i slike sammenhenger, var en del av beskrivelsene omtrentlige og bidro nok mer til å skape (unødvendig) frykt enn til å gi informasjon om hvordan man best kunne beskytte sine systemer.

Vi har sett at det er en god del forutsetninger som må være til stede for at Melissa i det hele tatt skal kunne gjøre noen skade. Imidlertid var frykten for henne tidlig i påskeuken blitt så stor at den gikk langt utover den gruppen som faktisk hadde grunn til å være bekymret. Dette førte til en mengde henvendelser til viruskontrollbransjen og andre datasikkerhetseksperter, som igjen medførte at disse fikk mindre tid til å betjene kunder som faktisk var rammet eller i fare.

Litt populært kan vi si at miljøvirkningene fra "den onde Melissa" var med på å gjøre henne enda verre enn hva hun faktisk er.

Allerede kort tid etter at Melissa var i ferd med å bli et betydelig problem, ble kildekoden gjort tilgjengelig flere steder på Internett. Melissa begynte dermed raskt å få brødre og søstre. I skrivende stund er det godt over ti forskjellige slike makrovirus, som benytter mer eller mindre samme teknikk som Melissa er basert på.

Dette gjorde selvsagt ikke situasjonen bedre med tanke på den oppmerksomhet som var skapt og den frykt som fantes.

Imidlertid viste det seg at mange av Melissas søsken ikke var like levedyktige som den eldre søsteren. Flere virket rett og slett ikke slik vedkommende som hadde tatt utgangspunkt i den opprinnelige koden, hadde planlagt. Dessverre viste det seg at informasjon om dette ikke ble spredd i særlig grad, og frykten for å bli offer for Melissas familie var fortsatt sterk, også blant dem som hadde beskyttelse mot Melissa selv.

Først nå ved midten av april - nærmere tre uker etter at Melissa så dagens lys - er det begynt å bli roligere. Det faktum at man har arrestert en person som mistenkes for å være den som stod bak Melissa, har muligens bidradd til å dempe lysten til å utvide familien. Informasjon om at vedkommende kan risikere fengsel etter sigende i et to-sifret antall år samt – etter norske forhold – et utrolig erstatningskrav har nok også lagt en demper på enkelte virusforfattere.

Henvendelsene til Norman om Melissa og hennes søsken er nå omtrent på samme nivå som henvendelser om andre virus.

La oss avslutningsvis se på om det er mulig å trekke noen generelle konklusjoner og annen lærdom ut fra det som vi sett i forbindelse med Melissa-episoden.

Èn lærdom - eller snarere en bekreftelse på noe vi allerede visste - er at det i overskuelig fremtid vil komme til å dukke opp nye typer datavirus. Med dette menes datavirus som utnytter andre teknikker enn de virus vi hittil har sett.

Et eksempel på en forholdsvis ny type datavirus som er betydelig mer skadelig enn Melissas og hennes familie, er det såkalte CIH-viruset. Den mest utbredte varianten slår til for første gang 26.april i år og er det første kjente datavirus som kan ødelegge maskinvare (BIOS) (i tillegg til at det vil overskrive dataene på harddisken).

Viktigheten av at organisasjoner og enkeltpersoner benytter viruskontrollprogram og at disse hele tiden oppdateres med nye signaturfiler, kan ikke understrekes sterkt nok!

En annen konklusjon som man må kunne trekke etter hva som ble opplevd med Melissa, er hvor viktig det er med informasjon. Men ikke bare informasjon i seg selv - korrekt og presis informasjon. Det er ingen tvil om at Melissa var et virus som spredde seg usedvanlig raskt, og som medførte betydelige problemer for mange. Imidlertid er det også liten tvil om at det var en del som var skremt uten at det var noen grunn til det. Forutsetningene for at de skulle bli rammet var rett og slett ikke til stede. På samme måte var det en del som var redde for enkelte av de av Melissas søsken som rett og slett ikke virket. Også viruskontrollbransjen må nok ta noe selvkritikk her, da heller ikke vi var flinke nok til å fokusere på disse forskjellene.

Det som skjedde omkring Melissa viser også hvor viktig det er at bedrifter og organisasjoner har beredskapsplaner for hvordan slike situasjoner skal takles. Slike beredskapsplaner må lages før man er midt oppe i problemet. Vi så i oppstyret omkring Melissa, og det er forsøkt vist i denne artikkelen, at det er lett å få panikk og overreagere. Skikkelige og nøkterne beredskapsplaner med klare retningslinjer for hvordan man skal forholde seg, forhindrer såvel overreaksjon som forsinket eller på annen måte inadekvat reaksjon på reelle farer for en organisasjons informasjonssystemer.

En lærdom som også bør trekkes, er at til tross for at Internett og denne nye teknologien representerer fantastiske muligheter, er det en ny og sårbar teknologi som fremdeles sliter med svakheter. Det burde vekke adskillig bekymring for organisasjoner som baserer sine viktige systemer på denne teknologien at èn person kan lage et lite dataprogram som i løpet av kort tid fører til at gigantselskaper føler at de er nødt til å stoppe all e-post-kommunikasjon ved å stenge sine e-postservere, at andre store e-postservere bryter sammen, og at store deler av Internett påvirkes ytelsesmessig.

Som den siste konklusjon – eller kanskje helst tankekors - kan man spørre seg om enkelte utviklere av programvare har valgt å prioritere funksjonalitet på bekostning av sikkerhet. En del av den programvaren som finnes er blitt så komplisert og har så mange finesser at det bare er et fåtall som benytter seg av tilnærmelsesvis alt. Det er ikke sikkert at ytterligere funksjonalitet er i tråd med ønskene til de som skal bruke denne programvaren. Kanskje brukerne heller ville ha sikrere programvare?

Til toppen