Microsoft Norge ikke angrepet
QAZ-trojaneren kjent siden juli
Hovedtrekkene i denne forklaringen er følgende: Angrepet varte i tolv dager, fra 14. til 25. oktober. Det startet med at en Microsoft-ansatt brukte familiens hjemme-PC til å sjekke intern e-post. En av meldingene som ble lastet ned inneholdt en trojaner som den ansatte lot seg lure av. Denne ga én datasnok tilgang til Microsofts interne nettverk. Den samlede tiden snoken har vært inne hos Microsoft er "bare noen minutter". Snoken har ikke hatt anledning til å laste ned kildekode til noe programvare, men har kunnet lese kildekoden til et ikke nærmere spesifisert produkt som først vil lanseres om noen år. Det siste bekreftes av talspersonen Ricardo Adame i et intervju med CNET.
Microsofts anonyme eller offisielle talspersoner vil verken bekrefte eller avvise at trojaneren er QAZ, et skadeprogram kjent siden juli, og som alle virusvernleverandører har hatt motmiddel mot i mange måneder før 14. oktober.
Forklaringen på at Microsoft først oppga at angrepet kunne ha vart i opptil seks uker, er at man trodde det kunne ha sammenheng med et virusangrep 21. september som tvang selskapet til å stenge e-postsystemet i mange timer. Nå heter det at det ikke er noe sammenheng mellom virusangrepet 21. september og datainnbruddet 14. oktober.
En annen Microsoft-talsperson, Rick Miller, sier til Associated Press søndag at angrepet har opphørt og at intern e-post og annen følsom informasjon kan ha vært kompromittert.
Wall Street Journal siterer en anonym kilde som hevder at Microsoft er ganske sikker på å ha tilstrekkelig informasjon til å kunne identifisere datasnoken, at angrepet ble oppdaget straks det begynte, og at man fra første stund var i stand til å følge med i alt datasnokeren foretok seg.
Det føderale politiet FBI vil ikke bekrefte at en arrestasjon er nært forestående. Det har sendt 13 eksperter til Microsofts hovedkvarter for å gjennomgå logger og andre spor selskapet har tatt vare på. Microsoft har på sin side satt av 44 sikkerhetseksperter til å arbeide med saken.
I helgen var Internettet sperret for enhver form for fjernaksess for selskapets 39.000 ansatte.
Sikkerhetsekspert Bruce Schneier sier til Wall Street Journal at det er et misforhold mellom Microsofts reaksjoner på innbruddet og påstanden om at det dreier seg om én enslig datasnok som lot seg overvåke helt fra første stund.
Eksperter som CNET har snakket med, antyder at det kan dreie seg om organisert kriminalitet, i tråd med et omseggripende mønster der programvarehus i Nord-Amerika og Europa angripes av IT-kompetente ligaer i Russland, Kina, Sørøst Asia og Israel. Motivet for innbruddet kan være et ønske om å granske kildekode til populære programmer for å finne sikkerhetshull som senere kan brukes til datainnbrudd mot brukerne.
Microsoft selv mener det dreier seg om industrispionasje. Dette behøver ikke å dreie seg om kildekode. Eksperter peker på at informasjon om Microsofts markedsføring kan være vel så nyttig for konkurrentene som tilgang til kildekode. En annen mulighet er at datasnoken kan ha jaktet på informasjon som kan brukes til å øke sannsynligheten for at Microsoft dømmes til å splittes i to.
To momenter går igjen i kommentarene til datainnbruddet mot Microsoft. Det ene er at mange selskaper ikke følger opp fjernarbeid med tilstrekkelig sikkerhetsarbeid. Ansatte utstyres ikke med selvoppdaterende virusvern eller personlige brannmurer, og de gis ikke opplæring. Det andre er at uansett hva slags utstyr man har, er det enkelt for ubevisste ansatte å handle i strid med sikkerhetsinstruksen. To sikkerhetseksperter sier for eksempel til Wired - uavhengig av hverandre - at Microsoft-saken har mer med dette å gjøre enn med at Microsofts produkter skulle ha utilstrekkelig sikkerhet.
