Sikkerhetsekspert Mikko Hyppönen fra F-Secure tar til orde for internasjonalt samarbeid for å fakke nettkriminelle. (Bilde: Marius Jørgenrud)

- Fienden har endret taktikk

Virusjegeren Mikko Hyppönen advarer mot ondsinnet kode som overlever «blue screen of death».

Sikkerhetsselskapet F-Secure har som antivirusleverandører flest et eget laboratorie der de analyser skadelig kode, slik at de kan tilby produkter som kan blokkere og fjerne dette.

På årets Paranoia-konferanse holdt den anerkjente sikkerhetseksperten Mikko Hyppönen fra det finske selskapet foredrag om dagens trusselbilde.

- Nå får vi inn opptil 80.000 prøver på skadelig kode hver eneste dag, sa mannen som leder sitt selskaps arbeid med antivirus.

Hyppönen pekte i sitt innlegg på at truslene har endret seg kraftig de siste årene. Selv har han drevet krigen mot ondsinnet kode helt siden 1991, og er blant annet kjent for å ha ledet gruppen som fikk stoppet den fryktede Sobig.F-ormen i 2003.

- I gode gamle dager var fienden en kvisete ungdom på gutterommet. Av og til savner jeg den tiden. Dagens trusselbilde er helt annerledes, forteller Hyppönen.

Virusjegeren opplever at dagens fiende i stor grad består av kriminelle som opererer fra utviklingsland.

- Mesteparten kommer i dag fra Kina, Russland og Sør-Amerika, særlig Brasil. Det er sosiale grunner til det, opplyste han.

- Dersom du bor på den kinesiske landsbygda eller i slummen av Sao Paulo, så finnes det ingen dotcom-boom. Dyktige utviklere der må kanskje drive kriminalitet for å tjene penger på sin kunnskap.

Sikkerhetseksperten Mikko Hyppönen i F-Secure.
Sikkerhetseksperten Mikko Hyppönen i F-Secure. Bilde: Marius Jørgenrud

Fienden har dessuten endret taktikk. De som distribuerer ondsinnet kode ønsker ikke lenger å bli oppdaget eller berømte. Nå er motivet penger. Dermed foregår mye i det skjulte.

- Keylogger er et problem som vanlige databrukere ikke forstår seg på. Først og fremst ønsker de kriminelle å infisere datamaskinen din for å gjøre den til en bot i et zombienettverk, deretter vil de gjerne lytte til hva brukeren taster inn. Når du taster inn kredittkortnummeret og utløpsdatoen din fanger de opp disse opplysningene og selger dem videre, sier Hyppönen.

Det er ikke ofte virusjegerne opplever medgang i kampen mot de kriminelle kreftene. Men i det siste har de hatt en viss suksess.

Estdomains, en domeneregistrar fra Estland har i lengre tid vært en favoritt blant kriminelle på nettet. Raskt vokste selskapet vil å bli et av internetts største domeneregistrar.

- På tirsdag gjorde ICANN en slutt på dette, og fjernet dem. Det har de ønsket å gjøre lenge, og når eieren av selskapet ble dømt for kredittkortsvindel ga det ICANN endelig en mulighet for å stoppe dem, sier Hyppönen.

Finnen vet bedre enn de fleste at kriminaliteten på nettet ikke kjenner landegrenser. Derfor har han også tatt i orde for et internasjonalt samarbeid om å knekke nettkriminaliteten.

- For ti år siden dreide internasjonal kriminalitet seg om pengevaskin og narkotikasmugling, men siden har internettkriminaliteten eksplodert. Hva med ressursene til å bekjempe denne kriminaliteten - har den økt i takt med utviklingen? Nei, det har den ikke.

- Stadig stikker nettkriminelle hundrevis av millioner euro i lommene sine. Det gir et uheldig signal, understreker Hyppönen.

- Fienden har utviklet seg også med stadig mer avansert teknologi. Disse gutta er ikke dumme.

Et eksempel finnen bruker er trojaneren «Mebroot», som infiserer master boot record (MBR), som er den første delen av PC-ens harddisk, som leses før operativsystemet lastes inn.

Dette er den aller mest avanserte trojaneren F-Secure noen sinne har kommet over. De regner dens rammeverk som på et forretningsmessig høyt nivå.

- Vi diskuterte tilsvarende trusler på et teoretisk nivå i laben for tre år siden, og konkluderte den gangen med at dette aldri ville skjer i den virkelige verden. Det ville være altfor vanskelig å lage noe som var kompatiblert med alle versjonene av Windows osv.

- Men jeg tok feil.

- Kriminelle nettverk har råd til å lage dette. Nå har de laget kode som overlever selv en «blue screen of death» (Windows-krasj, journ.anm.). Trojaneren blir liggende i minnet og sender informasjon om hvordan maskinen krasjet. - Det er så profesjonelle disse gutta er, advarer Hyppönen.

Han har selv undersøkt hvor lang tid det ville ta å lage noe tilsvarende nå.

- Det ville ta ti dyktige utviklere fire måneder å lage dette. Det er klart de kriminelle vil ha igjen pengene for en såpass stor investering.

Nå har de laget kode som overlever selv en «blue screen of death» Denne trojaneren ligger ifølge Hyppönen i minnet av systemet og venter. Straks du besøker én av 90 definerte banker i Europa våkner den.

- Jeg har sjekket, og ingen av dem er norske per i dag. Men det kan endre seg, fortalte han.

Et scenario er at en infisert bruker legger inn fire regninger i nettbanken på vanlig måte. Trojaneren er programmert til å legge inn en femte, helt uten av brukeren merker noe som helst. Det hele skjer mens vedkommende er innlogget i nettbanken.

- Det vil for banken se ut som om du selv har lagt inn denne falske betalingen. Slike angrep begynner å bli svært så sofistikerte, advarer han.

Tross et trusselbilde som stadig blir verre ifølge antivirusselskapene, minner Hyppönen om at de ikke har gitt opp kampen.

I dette bildet klarer ikke sluttbrukeren lenger å håndtere truslene. Ansvaret, mener han, ligger nå hos operativsystemprodusentene og sikkerhetsselskapene.

    Les også:

Bilde: Marius Jørgenrud
Til toppen