Brian Krebs er en anerkjent skribent og foredragsholder innen datasikkerhet, og tidligere undersøkende journalist i Washington Post.
Mange kjenner ham som en godt informert sikkerhetsblogger, som jevnlig kommer med avsløringer og innsiktsfulle analyser på nettstedet Krebs on security.
Denne uken kom han med et råd som, hvis det stemmer, må kunne sies å være et risikoreduserende tiltak av det nokså enkle slaget.
_logo.svg.png){kind=logo}
– Prøv dette snedige trikset, som russiske hackere hater. Slik lyder den lokkende og konkluderende tittelen på innlegget hans.
Unngår å skite i eget reir
Ved å installere russisk eller kyrilliske språk på Windows-baserte datamaskiner, så hevder amerikanske Brian Krebs at du kan sove litt tryggere om natten.
Cyberkriminelle har ifølge ham lang tradisjon for å skåne datamaskiner i Russland og en del andre tidligere sovjetrepublikker, samt enkelte land med gode relasjoner til Kreml, deriblant Syria.
Å bevisst unngå angrep mot russiskspråklige gir mening for bakmenn i Øst-Europa. Det eksisterer et forbud mot å gjøre det, som er like gammelt som organisert kriminalitet på internett, lyder påstanden til Krebs.
Hensikten skal være å unngå innblanding fra lokalt politi og myndigheter. Russerne vil normalt ikke etterforske sine egne, ifølge Krebs, med mindre et russisk foretak eller innbygger har levert en formell anmeldelse som offer i saken.
Unngår visse land
Fenomenet verken er ukjent eller nytt. En del skadevare gjør faktisk en sjekk av hvilke språk PC-en har støtte for.
De kan typisk være programmert for å forsøke å unngå ofre fra land som Russland, Hviterussland, Moldova, Kasakhstan, Usbekistan og en håndfull andre. Sophos Labs, Sonicwall og Proofpoint er bare noen eksempler på ekspertmiljøer som har observert dette tidligere.
Bare det å diskutere angrep mot innbyggere i Samveldet av uavhengige stater (SUS) er uglesett og i praksis forbudt i enkelte russiske undergrunnsforum for hackere, har en ekspert ved New York-baserte IntSights Cyber Intelligence tidligere sagt til IT World Canada.
Partnere og kunder av såkalt «skadevare-solgt-som-en-tjeneste» må også forplikte seg til å følge et sett med regler, som inkluderer at de ikke må angripe brukere i SUS-landene, viser en rapport McAfee har laget om løsepengevirus.
Eksemplene vi bringer her er et mer eller mindre tilfeldig utvalg, funnet ved å google uttrykk som skadevare i kombinasjon med Samveldet av uavhengige stater.
Når sant skal sies fant vi også tilfeller av det stikk motsatte, altså skadevare som utelukkende retter seg mot SUS-landene. Bare for å illustrere at ingen er forskånet for cyberkrim.
– Apolitisk skadevare? Tvert om
Darkside er en nyere type skadevare, som ifølge FBI er bekreftet brukt i det mye omtalte rørledningsangrepet i USA nylig.
Den ukjente gruppen bak Darkside, som leier ut tjenesten til andre kriminelle, blant annet til bruk innen utpressingsangrep, har siden gått ut og hevdet at de er «apolitiske» og kun er ute etter å tjene penger.
Men denne skadevaren har også en hardkodet, innebygd liste over land den ikke får angripe, bestående av Russland og de tidligere sovjetrepublikkene med nære bånd til Kreml.
I stedet for å være apolitiske, så har skurkene bak Darkside gjort seg flid med å bygge en tvers igjennom geopolitisk plattform, for skadevaren er bevisst bygd for å bare kunne fungere i visse utvalgte deler av verden, argumenterer Krebs i sitt innlegg.
NSM: – Krebs har rett, men …
Brian Krebs har helt rett i sin påstand at forslaget kan redusere risikoen for enkelte versjoner av skadevare, som automatisk holder seg unna om det er installert støtte for språk knyttet til tidligere Sovjetrepublikker, sier fagdirektør Roar Thon i Nasjonal sikkerhetsmyndighet (NSM).
Alt som bidrar til å redusere risiko er i utgangspunktet positivt. Tiltaket er et enkelt, kostnadsfritt tiltak som kan redusere noe risiko, mener han.
– Samtidig kan et slikt tiltak føre til økt risiko for det motsatte. Det vil si skadevare som er interessert i de samme språkene.
– Men det viktigste er å forstå at dette ikke er et tiltak som reduserer behovet for andre sikkerhetstiltak. Til syvende og sist er de viktigste tiltakene å hindre at skadevare – uansett hvilket «språk» det fokuserer på, får fotfeste på din eller min datamaskin. Da er nok andre tiltak viktigere enn dette, konstaterer Thon i NSM.
– Da hjelper det ikke å ha russisk tastatur
Ingen har påstått at PC-en din blir immun mot cyberangrep ved å følge det «digitale kjerringrådet» til Brian Krebs.
Vi har spurt flere norske sikkerhetseksperter om forslaget likevel har noe for seg.
– Det er jo et artig «triks» som åpenbart vil fungere mot enkelte typer skadevare fra enkelte trusselaktører, men som Krebs selv nevner i artikkelen sin, så er det observert versjoner av Darkside løsepengevirus-koden som ikke benytter seg av en språksjekk, sier gründer Martin Ingesen i cybersikkerhetsselskapet Kovert.
Hans generelle erfaring med trusselaktører som sikter seg inn mot bedrifter, er dessuten at de gjør en del forarbeid eller «due diligence» før de ruller ut skadevaren.
– Det er ikke slik at de installerer løsepengevirus ved første mulighet. De graver seg rundt i nettverket, identifiserer kritiske systemer eller systemer relatert til backup som de deretter krypterer, poengterer Ingesen.
Utviklerne av slik skadevare vil dessuten, som alltid, tilpasse seg slike metoder, for eksempel ved å se på hvilket tastatur som aktivt blir benyttet, mener han.
– Da hjelper det ikke å kun ha russisk tastatur installert, da må man aktivt bruke og lære seg russisk også! avslutter Martin Ingesen.
Stort funn: Mystisk skadevare stjal millioner av brukernavn og passord fra de mest populære nettleserne
