Hacker-oppskrifter lover mer enn de holder

Hacker-oppskrifter florerer på Internett. Ofte holder de mer enn de lover, fordi hullene de skal utnytte har vært tettet for lengst.

Da den verste ILOVEYOU-bølgen hadde lagt seg, fikk redaksjonen tilsendt en oppskrift på en framgangsmåte for å formidle smitte uten å kreve at e-post-mottakeren klikker på et vedlegg. Framgangsmåten utnytter en påstått svakhet i ActiveX for å skjule kode. Gjøres denne koden ondsinnet, har man den perfekte ormen. Hadde opphavet til ILOVEYOU fått til dette, ville denne ormen ha spredd seg til og gjennom alle mottakere, straks de leste den formidlende e-post-meldingen.

- Dette har vært kjent lenge, sier Rune Lystad, sikkerhetsekspert i Microsoft Norge. - Det er dokumentert i Microsoft Security Bulletin MS00-033 under emnet "Malformed Component Attribute". Det finnes en patch ute for dette, den ligger flere steder på Microsofts nettsted, blant annet på Windows Update-sidene.

I Microsofts dokumentasjon pekes det på at hullet, under helt bestemte forhold, kunne gjort det mulig for en ondsinnet nettstedinnehaver å kjøre kode på maskinen til en tilfeldig besøkende. "Slik kode kunne gjort alt brukeren selv har anledning til. Det omfatter overføring, endring og sletting av data, reformatering av harddisk og kommunikasjon med et nettsted."

Lystad sier han kjørte koden som digi.no fikk tilsendt, og undersøkte den nøye.

- Jeg regner med at den vil fungere på ett av ti maskiner som ikke har installert patchen.

Han advarer at såkalt nye framgangsmåter og sikkerhetshull ofte er gamle kjenninger med kosmetiske endringer.

- Det er et veldig press i hackermiljøer for å få anerkjennelse. Det får du ved å skrive mange innlegg. Det oppmuntrer til resirkulasjon av gamle oppskrifter. Det er tusener av web-sider der slike oppskrifter spres, sier Lystad.

Selv om det er mye gammelt nytt, advarer han også at det er veldig mye ondsinnet kreativitet. Derfor anbefaler han sterkt at man holder seg orientert om de nyeste oppdateringene av Internet Explorer og Outlook. Han peker på at mye av det som utgjør skillet mellom dagens Internet Explorer og den kommende versjon 5.5 gjelder nettopp sikkerhetsinnstillinger.

Server-sjef Frode Johansen i IBM Norge peker på at det finnes diskusjonsgrupper og nettsteder med oppskrifter på hvordan man hacker seg gjennom sikkerhetsvernet i det anerkjente operativsystemet OS/400.

- Ingen av disse oppskriftene virker, sier Johansen.

- IBM har et eget team med "etiske hackere". Disse har blant annet i oppdrag å bryte seg inn i en AS/400-maskin. Ingen av dem har greid dette hittil.

Utviklingssjef Steinar Wigtil i Norman har også undersøkt koden som digi.no fikk tilsendt. Han bekrefter at det er en reell beskrivelse av et kjent hull som for lengst er tettet.

- Teknikken for å lure aktiv kode inn i et ellers passivt dokument har ikke tatt av, sier Wigtil.

- Foreløpig er den for primitiv. Vi regner med at det vil ta et par år før det blir et virkelig problem. Men det vil komme. Derfor arbeider vi med metoder for å oppdage ondsinnet aktiv kode på den innkommende datastrømmen, før den når å lagre seg på disken som fullverdig fil.

Wigtil mener faren ikke ligger i folkene som utveksler oppskrifter, men i enstøingene som får tak i oppskriftene og setter dem ut i live. Han peker også på at problemene Microsoft opplever i dag, også vil ramme andre systemer, også Linux, straks disse blir populære nok.

Til toppen