Internett skannes systematisk etter ubeskyttede PC-er

Honeynet Project la ut en tilfeldig Windows 98 PC med delt C-disk, og overvåket trafikken. Innen fire dager var PC-en utstyrt med en rekke aktive ormer utenfra.

HoneyNet Project har stort sett konsentrert seg om servere under Linux eller Solaris. I høst gjennomførte de sitt første eksperiment med Windows.

Eksperimentet gikk ut på å overvåke en vanlig Windows 98 PC med fast tilgang til Internett, typisk for brukere av kabelmodem eller DSL. Det eneste lokkemiddelet på PC-en var den delte C-disken, samt fravær av lokal sikkerhetsprogramvare.

Delt C-disk uten passordbeskyttelse er selvfølgelig en feilkonfigurasjon når man er ute på nettet. Det betyr i prinsippet at alle på Internett har full tilgang til alt som er på C-disken. På den andre siden er delt C-disk påkrevet i bestemte situasjoner. Ikke alle er sikkerhetsbevisste nok til å slå av delingen når de ikke har bruk for den lenger, sørge for å beskytte den med et passord, eller trekke ut Internett-kontakten så lenge C-disken er delt.

(Sjekk selv: Åpne mappen "Min datamaskin", merk C-disken, trykk høyre musknapp, velg "egenskaper" og vis "deling".)

Honeynets motiv for å legge ut nettopp denne PC-en, var noe de oppdaget i forbindelse med andre hackerfeller, nemlig at det på en måneds tid typisk forekom systematisk skanning fra flere hundre unike IP-adresser som jaktet på to spesielle porter: UDP port 137 og TCP port 139. Blant snoker og sikkerhetsfolk er disse portene velkjente som inngangsporter til ubeskyttede Windows PC-er.

Nå ville Honeynet finne ut hva som var hensikten med denne storstilte skanningen. I rapporten om PC-fellen - som du kan lese på nettstedet - heter det: "I løpet av fire dager var [PC-en] kompromittert av flere ormer. Disse ormene er automatiske sonder som oppdager og utnytter sårbare systemer, og replikerer seg selv eksponentielt."

Trøsten er at ormene ikke var spesielt ondsinnede. Hensikten var å kapre PC-ens ressurser i forbindelse med en konkurranse som Distributed.net deltar i for å knekke krypterte meldinger ved å mobilisere ressursene til et stort antall Internett-tilkoplede PC-er. Ormene er selvfølgelig i strid med retningslinjene til Distributed.net, der hensikten heller er å vise hvilke ressurser som ligger i frivillig samarbeid.

Men Honeynet peker på at det ikke er noen sak å lage ormer som henter informasjon om kredittkort eller passord, eller utnytter din maskin i et DoS-angrep mot bestemte nettsteder.

To tiltak reduserer drastisk risikoen for at din PC skal kompromitteres av slikt: Del ikke C-disken, og sørg for en personlig brannmur som sperrer for utgående trafikk fra andre applikasjoner enn dem du godkjenner.

Til toppen