Det er en gjenganger i undersøkelser om IT-sikkerhet at de fleste hjemme-pc-ene lider av et stort antall sårbarheter, selv om Microsoft de siste årene har lykkes å gjøre Windows betydelig sikrere. Lite er nemlig endret når det gjelder sikkerhetstiltak som brukere må ta seg av på egen hånd: Passord er jevnt over svake, passord gjenbrukes til flere tjenester, mange ser ikke forskjell på phishing og ekte nettsteder, folk lar være å oppdatere virusvern og så videre. En undersøkelse fra september 2010 viste for øvrig at 58 prosent fortsatt holdt seg til Windows XP.
Det er samtidig et faktum at de færreste rammes av svindel: Undersøkelser påviser at andelen Windows-brukere som taper penger fordi kontoer de har i ulike tjenester er kapret av uvedkommende, er i underkant av 5 prosent i året.
Det er med andre ord et tilsynelatende stort misforhold mellom den slette IT-sikkerheten hos folk flest, og den lave andelen som kriminelle faktisk greier å ramme.
To forskere ved Microsoft, Dinei Florêncio og Cormac Herley, har tatt for seg dette misforholdet i en nylig publisert rapport: Where Do All The Attacks Go? (pdf, 12 sider)
Rapporten referer solid dokumentasjon for begge hovedpåstandene, det vil si mange sårbare pc-er og få vellykkede svindelforsøk. Forskerne beskriver en matematisk modell som forklarer det tilsynelatende paradokset, og viser til faktiske observasjoner som bekrefter modellens forklaringer.
Modellen setter to typer aktører opp mot hverandre: nettbrukere og hackere. Hackerne angriper nettbrukerne hele tiden. Lykkes de i å kapre en konto, vil de prøve å tjene penger på det. Hackerne handler i vinnings hensikt. De velger følgelig angrepsmetoder som kan ventes å gå med overskudd, i den forstand at den forventede gevinsten er større enn kostnadene ved å gjennomføre angrepet.
Modellen handler med andre ord om individuelle brukere, ikke bedriftsbrukere. Hackerne konkurrerer med hverandre. Angrep dreier seg ikke om å påvise teknisk kompetanse, men om å tjene penger. De rettes ikke mot bestemte individer, men mot brukerne generelt.
Angriperne gjør ingen antakelser om spesielle brukere, og kjenner ikke dem de angriper. Modellen beskriver med andre ord ikke målrettede angrep mot bestemte individer eller institusjoner, men helt generelle angrep mot nettets samlede brukermasse.
Modellen er følgelig ikke et forsøk på å belyse helheten i alle angrep på nett. Den beskriver derimot angrepstypen som de aller fleste er utsatt for. Hackerne sikter ikke mot utvalgte mål, men angriper de mange i håp om å ramme et tilstrekkelig antall til at angrepet skal lønne seg.
Kostnadene som kreves for å gjennomføre denne typen angrep er lite avhengig av antallet som angripes. Det typiske er følgelig at hvert angrep tar sikte på å nå så mange brukere som mulig.
Det innebærer at metodene for slike angrep må velges nøye. Den som konsentrerer et angrep mot en avgrenset mengde ofre, kan bruke krefter på å kartlegge sårbarhetene. Et fokusert angrep mot en tilfeldig valgt enkeltperson vil som regel lykkes. Men et angrep mot et stort antall kan nødvendigvis ikke plukke ut enkeltpersoner. Metoden må ta hensyn til at sårbarhetene hos et stort antall brukere er svært forskjellige. Sjansen for å lykkes er avhengig av hyppigheten i den bestemte sårbarhetstypen man prøver seg på.
Sikkerhetsslendrian er svært variert. Man frarådes å bruke passord som er lette å gjette, for eksempel navnet til bikkja eller merkedatoer i privatlivet. Folk som ikke følger dette rådet, er likevel vanskelig å ramme. Hvordan skal en angriper kunne gjette seg til hva bikkja heter, når man ikke har noen enkel måte å vite om dem man angriper har kjæledyr? De «enkle» passordvalgene er vanskelig å gjette for en angriper uten bakgrunnsinformasjon.
Erfaringen står i samsvar med modellen: Svært få av dem som utsettes for et masseangrep opplever et faktisk tap.
Så lenge man ikke stikker seg ut av mengden, er det liten sannsynlighet for at ens konto blir kapret, selv om passordet er svakt og lett å gjette. Har man en enkel metode for å gjette passord, vil det kreve lite ressurser å prøve den på et stort antall potensielle ofre, men det er lite sannsynlig at den vil lykkes i annet enn i svært få tilfeller. Mange angrip vil følgelig ikke skje, nettopp fordi den ventede gevinsten ikke står i forhold til den nødvendige ressursbruken. Der angrepet lønner seg, vil tallet på ofre være svært lavt, og andelen vil være langt lavere enn om angriperne hadde hatt anledning til å angripe hver og en enkeltvis.
Rapporten forklarer at det kan være ulønnsomt for hver enkel bruker å investere i egen pc-sikkerhet, så lenge andre faktorer bidrar til å redusere risikoen til et akseptabelt nivå.
Forskerne viser til hvordan Microsofts heving av sikkerheten i Windows bidrar til redusert risiko, og argumenterer for at tiltak på tilbydernivå kan gjøre IT-sikkerhetstiltak mer kostnadseffektiv enn individuelle investeringer på brukernivå.
Poenget her, er at en gjennomsnittlig heving av sikkerhetsnivået i brukergruppen vil redusere risikoen for vellykkede angrep også mot dem som ikke hever sitt individuelle sikkerhetsnivå.
