FBI "sikker" på å fakke virus-opphav

Uavhengige eksperter mener oppgaven er bortimot umulig. Men FBI er "sikker" på at opphavet til Sobig-viruset vil bli tatt.

I går gikk direktøren for USAs føderale politi FBI, Robert Mueller, ut med en erklæring om etterforskningen for å finne fram til opphavene til to av plagene som har herjet det globale Internettet de siste ukene, ormen MSBlaster og viruset Sobig.F.

– Å verne om nasjonens infrastruktur er en topprioritet for FBI, og vi arbeider med departementet for innenlandsk sikkerhet (Department of Homeland Security) og med politi på delstats- og lokalt nivå i våre kyberarbeidsgrupper [Cyber Task Forces] for å spore opp opphavene til Sobig og den ferske W32/Blaster-ormen. Vi bruker den nyeste teknologien og kodeanalysen for å finne fram til mulige kilder, og jeg er sikker på at vi vil kunne gripe dem som står bak, heter det blant annet.

Hvorfor den MSBlaster-relaterte ormen Nachi (eller Welchia) er utelatt fra erklæringen, enda den sannsynligvis har ødelagt mer enn MSBlaster, vites ikke.

Uavhengige sikkerhetseksperter har advart at opphavet til Sobig har vist seg svært dyktig i å dekke over sine spor, i motsetning til de få virusmakere som er blitt fanget tidligere.

Den filippinske studenten som konstruerte IloveYou-viruset i mai 2000, ble avslørt fordi han hadde lagt inn en peker i koden til den skolen han hadde gått på. (Se artikkelen LoveLetter-mistenkt utredet tilsvarende orm som student.)

Amerikaneren som slapp Melissa i mars 1999, og som seinere ble dømt til 20 måneders fengsel, hadde rappet en annens konto på America Online, og koplet seg opp fra sin egen hjemme-PC. (Se artikkelen Melissas far fikk 20 måneders fengsel.)

I februar 2001 snekret en nederlandsk student viruset "Anna Kournikova", og meldte seg selv for politiet. (Han ble dømt til samfunnstjeneste, se artikkelen Virus-opphav slipper fengsel.)

I januar i år ble en walisisk student dømt til to års fengsel for tre ulike og mindre kjente viruset som han slapp i 2001. Han ble oppsporet etter selvskryt på et diskusjonsforum, og erklærte seg skyldig. (Se artikkelen Ubetinget fengsel for virusmaker.)

FBI har ikke sagt noe om hva slags spor de har å gå etter. Eksperter antar at politiet blant annet håper at press fra et samlet fellesskap av IT-sikkerhetsfolk skal få de jaktede til å "gi lyd" på et eller annet vis. FBI appellerer også til alle som måtte ha noen ide om hvem de kan være, til å komme med tips.

Ifølge PC World, har rumenske viruseksperter oppdaget en Sobig.F-variant med en kryptert liste over syv servere hos Time Warner Telecom. To av disse er SMTP-servere (e-post), de andre er DNS-servere (domenenavn). De skulle vært brukt som en del av virusets spredningsmekanisme. Det skjedde ikke, fordi de aktuelle portene på serverne var stengt, i samsvar med ansvarlig sikkerhetspraksis. Tidligere var det funnet en kryptert liste over 20 uspesifiserte servere som Sobig skulle bruke i forbindelse med et angrep sist helg. Serverne ble sperret, og angrepet avverget.

Til toppen