Hacker-feller fanger flest rumenere

– Våre globale hackerfeller fanger et stort flertall av rumenere, sier Lance Spitzner fra Honeynet Project.

Tidligere tankfører i US Army, Lance Spitzner, grunnla Honeynet Project i 1999. Honeynet er et omfattende sikkerhetsprosjekt drevet på ideell basis. Det går ut på å legge ut nettverk av hackerfeller. Hackere tror de har penetrert omfattende nettverk av PC-er og servere, mens de i virkeligheten er fanget i et lukket nettverk der alt de gjør observeres og registreres. Prosjektet bidrar til å avdekke utviklingen innen hackerverdenen, og til at sikkerhetseksperter kan utvikle stadig mer effektive verktøy og tiltak mot datainnbrudd.

– I det siste har vi fått flere penger, vi har vokst, og vi har utviklet flere verktøy. Målet vårt er å øke sikkerheten på Internett, uten at brukerne må betale. Alt vi publiserer av informasjon og verktøy er gratis, sier Spitzner til digi.no. Han er i Norge for å bidra til sikkerhetsselskapet Mnemonics kundearrangement «Technical Update».

Spitzner sier det er en stor utfordring å holde seg à jour med den teknologiske utviklingen i kriminelle miljøer.

– De siste to til tre årene har vært preget av at datainnbrudd ikke lenger gjøres for å vise hva man kan, men for å tjene penger. I stedet for å hacke løs på sentralt plasserte servere, etablerer man nettverk av opptil titusen intetanende brukere, såkalte «botnett» [«robotnett» eller «zombier»], som misbrukes til å utføre forskjellige typer angrep. Botnettene består stort sett av ukyndige hjemmebrukere som ikke vet hvordan de skal verne sine PC-er.

Verktøyene som brukes til å styre botnettene er blitt stadig mer avanserte.

– Den som kontrollerer et botnett i dag, kan på et øyeblikk aktivere ti tusen PC-er med én kommando. Kommandoen kan gå ut på å lansere et distribuert tjenestenektangrep («DDoS» for «distributed denial of service»), sende spammeldinger, laste ned en oppdatering av botnettklienten, eller skanne, infisere eller angripe spesifikke mål. Det betyr at de disponerer en avansert infrastruktur som de kan benytte til et utall av forretningsmodeller.

Spitzner har følgelig en ny definisjon på begrepet «hacking».

– Hacking i dag er ikke lenger en forbrytelse. Det er å disponere infrastrukturen som trengs for å begå en forbrytelse. Selve forbrytelsene er opptil flere tusen år gamle: svindel, utpressing, ran, identitetstyveri og så videre.

Ved å fange hackere i lukkede virtuelle nett, avslører Honeynet Project også meldingsutvekslingen dem i mellom. Spitzner viser en logg av chat-en mellom to hackere i Miami.

– Her ser du hva de snakker om: Hvordan de kan ta seg betalt for DDoS. Forretningsmodellen kan være å advare en bank at de må betale dersom de skal unngå å rammes av tjenestenekt.

Spitzner er imponert over kreativiteten som utvises i dag.

– Spamposten som brukes til å lure folk til å oppgi personopplysninger, ser stadig mer profesjonell ut. Falskneriene er i dag spesielt gode i etterlikningene av Paypal og eBay. Spam i dag sendes stort sett fra hackede PC-er i botnett.

En interessant observasjon er overvekten av rumenere blant hackerne som fanges i fellene til Honeynet Project.

– Dette bildet viser en rumensk hacker i det han prøver seg på en av våre feller. Han hadde montert et webkamera som vi greide å vende mot ham.

Honeynet Project har fanget flere rumenske hackere enn av noen annen nasjonalitet.

– Overvekten av rumenske hackere er helt utrolig. Vi har opplevd tilfeller der vi var overbevist om at hackere var koreanske, helt til vi fanget opp samtalene mellom dem. Vi ser det som nærmest utelukket at koreanske hackere skulle samtale seg i mellom på rumensk. Poenget er at hvis du bare ser på hvor hackingen kommer fra, får du et helt feil bilde av hvem som står bak. Alle datainnbrudd i dag foregår gjennom botnett og kaprede maskiner.

Et paradoks er at Honeynet Project aldri har fanget opp en russisk hacker.

– Forklaringen på dette kan være flere. Romania har en enestående kombinasjon av høy kompetanse og total mangel på jobbmuligheter, altså mange dyktige folk uten muligheter til å tjene penger. Jeg tror de rumenske hackerne er en front for russerne. Det er de som tar seg av møkkajobben, mens russerne står bak som oppdragsgivere og tar over når de avanserte botnettene er på plass. Russerne er mer avanserte som kriminelle.

Politikk og terror er lite forbundet med hacking.

– Vi har overvåket pakistanske hackere som sier de angriper USA, India og Israel av politiske grunner. Da vi analyserte samtalene dem imellom, var det tydelig at de var opptatt av å hacke kredittkort. Å overta nøkkelinstallasjoner som strømforsyning i USA, krever langt mer innsats enn å fylle en lastebil med kunstgjødsel og sprenge den. Terrorisme er et psykologisk angrep. Det er mer virkningsfullt å brenne en bygning enn å mørklegge en bydel. Jeg har ingen tro på kyberterror som trussel. Trojanerkrigen som ble avslørt i Israel nylig, der det ikke dreier seg om politikk men om konkurrerende israelske selskaper som kaprer hverandres markedsstrategier, viser dette ganske klart. [Se artiklene Brukte trojanere til å spionere og Toppledere arrestert i trojanersak.]

En annen viktig observasjon er hvor konsentrerte botnettangrepene er mot fire Microsoft-spesifikke porter: 445, 139, 135 og 137.

– 80 prosent av all botnetthacking går mot disse fire portene. Det er nesten ingen tilfeller av innbruddsforsøk gjennom andre nettlesere enn Internet Explorer. De infiserte systemene er i all hovedsak Windows 2000 og Windows XP opp til og med SP1. Vi erfarte en dramatisk fall i skanning med SP2.

Spitzner har ikke greid å skjelne spesielle sosioøkonomiske kjennetegn blant botnettofrene, bortsett fra at de er ukyndige hjemmebrukere med uoppdatert Windows uten virusvern eller andre sikkerhetsverktøy.

– Faktum er at botnettene ikke har behov for målgrupper med andre kjennetegn enn at de har PC-er med dårlig sikkerhet og lar seg lure av velformet svindel-e-post. Vanlige brukere må læres opp til ikke å oppgi personopplysninger uten at det er de selv som har initiert en utveksling. Banker og betalingsformidlere og liknende institusjoner kommuniserer aldri gjennom alminnelig e-post. All e-post som kommer på eget initiativ og som ber om personopplysninger, ber deg klikke på bestemte lenker eller inneholder vedlegg, må betraktes som suspekt, og må ikke røres. I tillegg til denne regelen kommer teknologiske ting som oppdatert antivirus, oppdatert brannmur, oppdatert Windows, og bruk av en annen nettleser enn Internet Explorer, spesielt hvis du skal drive med pengespill eller porno.

Det pågår et akselererende kappløp mellom hackerne og sikkerhetsekspertene, der ekspertene er nødt til å bli hengende etter.

– Det har vært en enorm økning i angrep mot PC-er de siste atten månedene. Vi kan nesten snakke om en hackervariant av Moores lov. Det begynner å bli typisk at nettsteder med porno og pengespill, altså tjenester som folk nødig vil innrømme at de er innom, brukes til å spre botnettklienter. Det som er vanskelig for oss på sikkerhetssiden, er at det kan ta seks måneder å utvikle et mottrekk for faenskap som en hacker kan lage på seks timer. Og alt vi lager, kommer hackerne rundt i løpet av noen timer. Hovedoppgaven for oss er lindring og risikoreduksjon.

Spionvare regner ikke Spitzner som noen spesiell fare.

– Spionvare er egentlig bare en spesiell type trojaner. Egentlig burde antivirus være tilstrekkelig for å luke ut spionvare. De fleste antivirusleverandørene kommer til å tilby integrerte løsninger for nettopp det.

    Les også:

Til toppen