Goner: En dag i antivirus-bransjen

Ekstrem-programmering og samarbeid mellom konkurrenter er det som preger arbeidet i antivirus-bransjen. Hva skjedde da ormen Goner eksploderte? Utviklingssjef Steinar Wigtil i Norman gir oss her detaljene, time for time.

Ormen "Goner" kan vise seg i bli det verste vi har sett hittil med hensyn til spredning.

Klokka 23 tirsdag kveld meldte MessageLabs at i toppene, var én e-post av 30 ormens videresending av seg selv på de serverne de innhenter statistikk fra. "Lovebug" var på det høyeste oppe i én av 28.

Spredningsraten er uhyggelig. Vi fikk inn de første kundesamplene i går ettermiddag, i tre-tiden så vidt jeg husker. Vår analytiker Snorre Fagerland satte navnet "Goner" etter navnet på vedlegget, og postla det til den utvekslingslisten som brukes mellom selskapene, før vi la melding om det på var egen web. De andre selskapene fulgte etter i løpet av noen få timer. Første risikovurdring fra oss var "medium". Analysen var i startfasen og ingen skadelast var ennå avdekket.

Innen en time dukket "Goner" opp i MessageLab-statistikken med 20 infeksjoner fanget opp. Noen andre selskaper meldte om fangst. Vi besluttet straksutsending av nye virussignaturer, som alt lå klargjort.

Analysearbeidet i denne fasen er interessant. For alle firmaene er det viktigste å skaffe en egen-forståelse av hva viruset/ormen gjør, og få dette beskrevet så raskt som mulig for egne kunder. Men kodeanalysen er ofte et innfløkt og langvarig arbeid, og de forskjellige analysegruppene avdekker ofte forskjellige sider ved koden. I alle firmaene vil du derfor også finne at noen følger med i de andres analyser etter hvert som de publiseres og revideres, kryssjekker dem mot andre analyser, og bringer eventuelle nyheter over til egen analysestab.

I løpet av neste time begynner analysene å vise at "Goner" er destruktiv, med målrettet angrep mot endel sikkerhets-programvare. Flere spredningsmåter enn e-post dukker fram fra koden. Vi beslutter å oppskalere til alarmprosedyrer. Virusalarmen går ut via epost og SMS-meldinger til de som står på listene.

Så kunne egentlig Utviklingsavdelingen slappe av og puste ut - og reflektere litt. Stafetten overtas av Kundestøtteavdelingen, hvor helvete er løs under store epidemier når hundrevis av kunder ringer inn samtidig for å få hjelp.

Det er vel nå tre års tid siden jeg fikk jobben i Normans utviklingsavdeling, og fikk slutte meg til et sirkus som aldri slutter å forbløffe og imponere meg. I hele den internasjonale programvareindustrien - fortid og nåtid - er dette den eneste som forventes å produsere og distribuere programoppdateringer på en times varsel, opptil flere ganger hver uke, døgnet rundt, alle dager. Attpåtil med programvare som griper direkte inn i operativsystemene. Og som skal inn på nesten alle maskiner i hele verden. Fort. Så fort at leverandørene har vært nødt til å utvikle helt egne distrubusjonsløsninger for hurtige oppgraderinger.

Dette er ekstremsporten innenfor programmering, og tiltrekker ekstreme talenter. Det er et av vilkårene for at dette overhodet skal være mulig.

En positiv observasjon i en slik epidemi: Innen et par timer fra "Goner" ble innsendt av første kunde til et antivirusselskap, var de aller fleste leverandørene klare med "vaksinen" og denne var lagt ut til nedlasting for kundene. På servere over hele verden lå rudimentære beskrivelser av ormen. Dette er bare mulig på grunn av den utvekslingsordningen som fins mellom selskapene. Jeg tror det er grunn til å være glad over at leverandører som konkurrerer så beinhardt, likevel ser at slikt samarbeid er livsnødvendig.

Og det er uhyggelig aspekter: Innen åtte timer etter oppdagelsen utgjør ormens egen spredning i perioder over tre prosent av all eposttrafikk på Internett. Dette ene programmet utgjør en følbar trafikkbelastning på Internett. Hva ville effekten av tjue slike være samtidig?

Nå er det gått tolv timer etter "oppdagelsen". Men fortsatt kan ingen analytiker garantere at vi nå har full forståelse av alt ormen gjør og eventuell skadelast. Hvorfor sprer det seg så fort? Ligger det forsinkede skadeeffekter bygget inn?

I de kommende dagene går virusanalysen inn i sin andre, ikke fullt så hektiske fase. Hvis koden er komplisert, vil analytikerne i de forskjellige firmaer som har etablert tiltro til hverandre, både ringe hverandre og diskutere koden over epost, til det fins et samlet bilde. Denne gangen vil det antagelig ikke være så ille. En åpenbar skadelast er funnet, i slettingen av en del sikkerhets-programmer. Og det er ikke så ofte det ligger flere lag med skadelast skjult.

Men hvor ville vi egentlig stått hvis ett eller flere virus, med slik spredning, også hadde hatt en maksimalt destruktiv skadelast, som ble nådeløst eksekvert etter at den infiserte maskinen hadde utspilt sin rolle ved å sende faenskapet videre?

Det egentlige spørsmålet er: Når vil det komme?

Til toppen