Lett å lage snyltelager på andres servere

Symantec advarer mot flere metoder som brukes av kriminelle for å snylte på andres datalagre.

Kriminell lagersnylting er ennå ikke spesielt utbredt, men fenomenet er likevel så alvorlig at IT-sikkerhetsleverandøren Symantec har valgt å sende ut en spesiell advarsel til sine kunder, og legge ut en beskrivelse av «parasitic storage» på selskapets offisielle blogg.

Lagersnylting kan omfatte både diskplass på PC-er og servere, og RAM på maskiner som er oppe døgnet rundt. Informasjon som kriminelle ikke ønsker å lagre på egne maskiner, kan krypteres og deles opp i småstykker på noen få megabyte, og så fordeles etter et mer eller mindre komplisert system. Med et godt fungerende zombienett (botnett) kan opptil flere terabytes gjemmes unna på denne måten.

Symantec har ikke noe eget verktøy for å avsløre lagersnylting, men anbefaler blant annet å overvåke trafikken til og fra serveren nøye.

Lagersnylting kan også innta andre former, som ikke krever kontroll over et zombienett.

En form er å benytte seg av nettsteder som tilbyr opplasting av bilder, og bruke steganografiske teknikker – der tekst lures inn i bildekoden uten å påvirke bildets utseende – for å lagre følsom data. Det finnes tusener av slike nettsteder på Internett, og det er følgelig mulig å gjennom unna store mengder data, mener Symantec. Forskjellige teknikker kan brukes for forfine denne metoden: For eksempel kan et bilde med en del av den bortgjemte informasjon også inneholde adressen til den neste biten. Symantec mener det da kan bli vanskelig for etterforskere bare å avgjøre om informasjonen finnes, og enda verre å være i stand til å rekonstruere den.

For virkelig følsomme data kan kriminelle bruke en metode som Symantec kaller «sjonglering» («juggling). Det innebærer at kryptert delinformasjon aldri lagres fast, men alltid er på veg fra ett sted til et annet, og følgelig bare finnes midlertidig i buffere.

To metoder for sjonglering gjør bruk av henholdsvis ping og e-post.

Ping-metoden innebærer at man har en oversikt over et stort antall trege og stabile servere, og pinger dem kontinuerlig med et antall krypterte informasjonsstykker. Straks informasjonen kommer i retur, velger man en tilfeldig server fra oversikten og sender den samme informasjonen dit.

E-postmetoden går ut på å sende en kommando til en e-postserver, med det informasjonsstykket man ønsker å sjonglere, på en slik måte at informasjonen automatisk kommer i retur. Opprettholder man forbindelsen, blir e-postserverens buffer et hendig lager som praktisk talt er umulig å avsløre.

Ifølge Symantec kan det dessuten være et juridisk problem for den som eventuelt oppdager sjonglering, at informasjonen overhodet eksisterer.

Se denne bloggen til Symantec: Parasitic Storage.

Til toppen