IT-sikkerhetsselskapet Symantec har offentliggjort den fjerde utgaven av sin halvårlige rapport om sikkerheten på Internett – "Internet Security Threat Report Volume IV". Rapporten kan lastes ned mot registrering på selskapets nettside. Den bygger på data samlet inn fra to av Symantecs internasjonale bedriftstjenester: DeepSight Threat Management Service (TMS) og Managed Security Service. Disse er spredd over 180 land, og samler data fra 20.000 målepunkter, dobbelt så mange som ved selskapets forrige halvårsrapport. Rapporten gjelder for data samlet fram til utgangen av juni. I tillegg er fersk materiale fra de store plagene i august – Sobig.F, Blaster og Welchia – lagt inn i deler av analysen.
Symantec betrakter virus og ormer som angrep mot Internett-brukere, og fører statistikk over hvilke IP-adresser som sender ut angrep. Det understrekes at IP-adressen som sender et angrep, sjelden er adressen til angrepets egentlige opphav, siden ormer og virus sender seg selv ut fra maskiner de har greid å smitte.
Når IP-adressene til angrepsmaskinene grupperes per land, viser det seg at 80 prosent av alle angrep kommer fra bare ti land. USA alene står for 51 prosent av alle angrep. På de neste plassene er Kina (5 prosent), Tyskland (5 prosent), Sør-Korea (4 prosent), Canada (4 prosent), Frankrike (3 prosent), Storbritannia (2 prosent), Japan (2 prosent) og Italia (2 prosent).
En annen verstingliste beregnes ved å trekke fram land med minst en million Internett-brukere, og så beregne antall angrep per bruker. Da får man oversikten til høyre. Israel har større angrepstetthet enn USA, og Norge er på niende plass, med større angrepstetthet enn noe annet land i Norden, og faktisk verre enn for eksempel Kina, Tyskland, Sør-Korea, Storbritannia, Japan og Italia som alle er på ti-på-topp-listen over land med flest angrep.
– Det er ikke uforskyldt at vi kommer så høyt, sier daglig leder Henrik Amundsen Vaage i Symantec Norge til digi.no. – Før lå vi godt etter Sverige i denne målingen. Nå har vi gått forbi. Vi er ikke bare ofre. Målingen tyder på at det er landsmenn som er bevisste spredere av ondsinnet kode. Dette er blitt vårt spesiale i Norden. Sverige kjennetegnes av mye hacking, Danmark av defacing [nedtagging av nettsider], og Norge av virus. Et poeng her er at den norske straffeutmålingen for virusspredere ikke skremmer.
Analysen over når det kommer flest angrep, viser at nedgangen i helgene er forholdsvis beskjeden, bare 20 prosent i forhold til gjennomsnittet på ukedagene. Den viser også at de fleste angrepene kommer i tiden mellom kl 1300 GMT og kl 22 GMT. Dette intervallet overlapper med kontortid på begge sider av Atlanterhavet.
Etter å ha luket ut angrep utløst av store ormer og virus, blant annet Slammer-tilfellet i vinter, konstaterer rapporten at angrepsfrekvensen er økt med 19 prosent i forhold til første halvår 2002. Symantecs gjennomsnittlige bedriftskunde opplever 38 angrep per uke, mot 32 per uke i første halvår i fjor. Bedre sikkerhetsvern førte til at virkningen av økningen uteble. 11 prosent av bedriftskundene opplevde ett eller flere alvorlige skadetilfeller i første halvår i år, mot 23 prosent i samme periode i fjor.
De ti sårbarhetene som utnyttes mest, brukes i 64 prosent av alle angrepene. To av disse, i henholdsvis Microsoft SQL Server og Microsoft Indexing Server, står for 44 prosent av alle angrepene. De øvrige Microsoft-sårbarhetene på ti-på-topp-listen står for 7 prosent, mens de andre sårbarhetene på listen står for 13 prosent. Refleksjonen man kan gjøre seg her, er at Microsoft-andelen ikke er så stor som man kunne ventet.
Rapporten peker på at de alvorligste angrepene i dag retter seg mot flere sårbarheter og flere tjenester samtidig. Det er følgelig viktig at systemadministratorer overvåker aktiviteten mot forskjellige porter, og reagerer når de ser tegn på unormal aktivitet. Dette er desto viktigere siden det viser seg at bevisste angrep gjerne prøver å dekke seg bak ormaktivitet, for å unngå oppdagelse. Det er avdekket flere tilfeller der uvedkommende har greid å installere bakdører på systemer der driftspersonalet var opptatt av å verne seg mot bestemte ormer. Ekstra årvåkenhet overfor portene som utnyttes av kanaler som IRC (Internet Relay Chat), kan avdekke slike tilfeller.
I første halvår 2003 ble det oppdaget 1432 nye sårbarheter, 12 prosent flere enn i samme periode i fjor. Selv om det oppdages stadig flere sårbarheter, er selve økningstakten betraktelig mindre enn i fjor, da det ble oppdaget 82 prosent flere sårbarheter enn i første halvår 2001. Rundt 8000 sårbarheter er kjent, fordelt på 4000 ulike produkter. I år er økningen størst når det gjelder alvorlige og svært alvorlige sårbarheter, henholdsvis 21 prosent og 6 prosent. Antallet nyoppdagede mindre alvorlige sårbarheter er faktisk 11 prosent lavere enn i fjor, noe Symantec mener kan tilskrives at forskerne ikke gidder å fortelle om annet enn sine mer hårreisende funn. Desto verre er det at hele 80 prosent av alle nye sårbarheter kan utnyttes til å fjernstyre offerets systemer – og at stadig flere enten får hackerverktøy innen svært kort tid eller kan utnyttes uten spesielle verktøy eller særlig avansert kompetanse.
Rapporten konstaterer at64 prosent av alle angrep gjelder sårbarheter som er mindre enn ett år gamle. Blant nye sårbarheter advarer Symantec mot feil i heltallhåndtering i åpen kildekodeprogramvare som Apache, Sendmail og OpenSSH. Det virker som om programmerere generelt sett ikke har vært spesielt oppmerksomme på at feil i håndtering av heltall kan utnyttes av hackere, og at flere sårbarheter av denne typen vil avdekkes etter hvert.
En ny tendens er at hackere er blitt flinkere til å utnytte sårbarheter som ikke ligger i selve koden, men i hvor raskt et gitt system reagerer. Symantec skriver at nye hackerverktøy gjør det mulig å bruke tidsanalyser til å kompromittere SSL/TSL og til å gjette passord på ellers høyt sikrede systemer.
De to Microsoft-produktene som bekymrer Symantec mest, er Internet Explorer og webserveren IIS. Men den ellers grundige rapporten presiserer ikke det verste med Microsofts nettleser, nemlig at mange kjente sårbarheter ikke er tettet. Og det står ingenting om alternative nettlesere.
Alle de spektakulære ormene og virusene de siste månedene har vært rettet mot Microsoft-systemer. Symantec skriver at siden Slapper-ormen slo til i september i fjor, har Linux vært forholdsvis skånet. Men selskapet kjenner til flere prototyper på avanserte Linux-ormer, og mener det er svært sannsynlig at Linux vil være utsatt for et større angrep, også tatt i betraktning av at systemet blir stadig mer populært.
Ellers advarer Symantec mot at lynmeldingssystemer og andre "peer-to-peer"-systemer blir stadig oftere brukt til å spre ondsinnet kode. Det anbefales at bedrifter holder seg til lynmeldere som er beregnet på kommersiell bruk og som inneholder sikkerhet. Bedrifter må også klargjøre hvilke regler som gjelder for bruk av lynmeldinger.
