malware

Utvecklingen av skadlig kod följer den övriga teknikutvecklingen, och går alltså i rasande fart, enligt Marcus Murray, chef för säkerhetsteamet på it-säkerhetsföretaget Truesec.

Marcus Murray
Marcus Murray, Truesec

– Framtiden kommer se väsentligt annorlunda ut. Vi kanske kommer att kommunicera via satelliter, ha tillgång till ström medan vi går omkring eller använda någon annan helt banbrytande teknik, och det innebär att det skapas nya attackvägar för malware, säger han.


Bakterier kan bära data

Patrick Kall, säkerhetskonsult på konsultföretaget Knowit, håller med:

– Det görs exempelvis experiment med bakterier som bärare av data, och då skulle man kunna tänka sig att det går att infektera dem med malware via gas, säger han.

Patrick Kall
Patrick Kall, Knowit

Och redan i dag finns det en rad tekniker som den skadliga koden skulle kunna använda sig av i ökad omfattning, som telefoni, sms, gyro, blåtand, nfc, kamera och ljudigenkänning, enligt Marcus Murray.

– Vi kommer se en hel del kreativitet här. Teoretiskt sett kan malware använda alla gränssnitt vi har, men för att den skadliga koden ska kunna spridas krävs det att programvaran som tar emot informationen har en sårbarhet, säger Marcus Murray.

Malware?
Malware används som ett samlingsbegrepp för all skadlig kod. Ordet kommer av ”malicious software”, illvillig mjukvara. 

Mängden attackytor ökar

Internet kommer dock fortsätta vara den vanligaste transportvägen för malware under överskådlig framtid, tror han. Tina Lindgren, doktor i informationsteori och informationssäkerhetskonsult på teknikkonsultbolaget Combitech, har samma åsikt.


Tina Lindgren, Combitech

– Och när allt fler prylar kopplas upp ökar mängden attackytor som man kanske inte skyddar på samma sätt som det man är rädd om, säger hon.

Det är kanske inte så viktigt att skydda kaffemaskinen, men framtidens malware kan ställa till med stora problem om kaffemaskinen kan prata med lönesystemet eller larmsystemet, enligt Tina Lindgren.

Det gäller även att vara medveten om att prylar kan komma att användas till saker man kanske inte tänkt sig, enligt Johan Jarl, teknikchef på virusskyddsföretaget F-Secure.

Johan Jarl
Johan Jarl, F-Secure 

– Malware skulle kunna få kameran i din smarta tv i sovrummet att ta nakenbilder på dig, och så krävs du på pengar för att de inte ska spridas. Och din uppkopplade diskmaskin kanske utnyttjas av någon för att skapa bitcoins, säger han.


Prylar utan säkerhetstänk

Det kommer förmodligen bli ett stort problem att många av de uppkopplade prylarna inte har skapats med ett tillräckligt bra säkerhetstänk, enligt Niclas Molander, ansvarig för nätverksföretaget Ciscos säkerhetsgrupp i Sverige.

– De saknar ofta de rudimentära skydden som en pc har, och det gör att de blir mycket mer utsatta, säger han.

Niclas MolanderNiclas Molander, Cisco

Det här kan till och med få dödliga konsekvenser, tror Marcus Murray.


– Terrorister kan infektera bilar med malware, och få alla bilarna att köra i diket på ett givet klockslag – jätteläskigt. Man kan även tänka sig att en biltillverkare infekterar bilar från andra tillverkare för att konkurrera ut dem, säger han.

De fysiskt farliga scenariorna är tyvärr många: spisar som slås på, digitala implantat i våra kroppar som kraschas, kärnkraftverk som manipuleras – bara malwaretillverkarnas fantasi och eventuella samvete sätter gränsen, enligt Patrick Kall.


– Det är ganska läskigt. Jag tror att vi kommer att få se flera attacker mot samhällsviktiga funktioner, säger han.

Johan Jarl tror att terrorister kommer att använda sig av malware i mycket högre grad i framtiden, och att även statsfinansierad malware kommer fortsätta öka i omfattning.

Marcus Murray anser att det är viktigt för företag att förstå att även de är måltavlor för den här typen av attacker.

– Vill du vinna över ett land så tar du deras företagshemligheter. Det här är en skrämmande utveckling, säger Marcus Murray.

Kriminella är största hotet

Det största hotet mot enskilda kommer dock fortsätta vara vanliga kriminella som vill tjäna pengar, menar Johan Jarl.

Patrick Kall tror att framtidens malware kommer att vara ännu mer riktade, kanske ända ner på personnivå. Den kommer dessutom att vara operativsystemsoberoende, spår David Jacoby, senior säkerhetsforskare på virusskyddsföretaget Kaspersky Lab.

David Jacoby
David Jacoby, Kaspersky

– Den är den tydligaste trenden vi ser: malware kommer att utvecklas för att vara funktionsduglig på allt fler system. Men även om framtidens alla uppkopplade enheter är måltavlor så kommer malware fortsätta att främst rikta in sig på de vanliga datorerna, säger David Jacoby.

Otroligt mycket mer avancerad

Men den skadliga koden som angriper vanliga datorer i framtiden kommer att se radikalt annorlunda ut jämfört med dagens malware, tror Niclas Molander.
– Framtidens malware är otroligt mycket mer avancerad, och använder väldigt specifika tekniker, säger han.

Enligt Marcus Murray kommer framtidens skadliga kod att bli allt mer modulär, och den kommer få allt mer funktionalitet.

– Förut hade skadlig kod en spridningsmekanism, en fjärrkontrollsmekanism och en grej den utförde. Nu har ett malware redan många olika varianter av de här funktionerna, och det kommer att bli många fler i varje malware framöver, säger Marcus Murray.

Bara ett lager används

Niclas Molander tror att framtidens skadliga kod undviker upptäckt bland annat genom att bara ett lager i osi-modellen användas, och genom randomisering.

– Exempelvis kanske bara var tolfte server infekteras. I dag kan malware ofta upptäckas genom att man ser mönster, så framtidens malware kommer designas för att undvika sådana, säger han.

Fjärrstyrs via molntjänster

Ett annat sätt att undvika upptäckt i framtiden är att använda legitima molntjänster för den server som fjärrstyr den skadliga koden, enligt Marcus Murray.

– Om angriparna köper en virtuell server anonymt från Amazons eller Microsofts moln slipper de gömma sig. Den som angrips använder också de här tjänsterna, och kommer inte blocka dem, säger han.

Vi kommer även att få se mer avancerad social ingenjörskonst fram­över, spår Niclas Molander.

– Man kommer i ökad omfattning att stjäla lösenord till konton och utge sig för att vara någon annan, för att på så sätt lura offren och lyckas infektera dem med malware. Någon kan även hacka sig in i exempelvis Wordpress och lägga dit saker som ser helt legitima ut – men om du klickar på länken är du körd, säger Niclas Molander.

Att lägga in malware i strömmande data är en annan attackväg som kommer att bli vanligare i framtiden, tror Patrick Kall.

– Om man lyckas kompromettera Spotify eller ta sig in i bildströmmarna från Bitcasa kan det bli läskigt, säger han.

Så skyddar du dig

Experternas bästa råd mot malware – nu och i framtiden:


• Utred vad som är viktig att skydda och vad som är mindre viktigt att skydda.

• Tänk som en malwaretillverkare.

– Försök se vilka svaga områden ditt företag har, säger Niclas Molander, Cisco.

• Jobba med segmentering och isolering, så att malware inte kan ta sig vidare om det har kommit in i någon av dina prylar eller i ditt företagsnätverk.

– Se till att ha en väldigt effektiv delegeringsmodell av behörigheter. I dag har många företag ett antal människor som är domänadministratörer med tillgång till allt, och det innebär att även malware kan ta över och komma åt allt, säger Marcus Murray, Truesec.

• Använd bra lösenord.

• Var medveten om att virusskyddsprogrammen inte kommer hänga med i utvecklingen.

– Det säger sig självt, eftersom de som driver marknaden framåt är malwareutvecklarna. Många säger att virusskydd redan har spelat ut sin roll, men mitt råd är att fortsätta använda säkerhetspaketen ändå, eftersom de ändå erbjuder ett visst skydd, säger Patrick Kall, Knowit.

• Övervaka hotbilden mot de operativsystem som du använder.

– På så sätt vet du hur landet ligger, och kan byta ut de som innebär en för stor risk, säger Emil Kvarnhammar, Truesec Syd.

• Var väldigt restriktiv med vad du installerar.

• Förstå att alla uppkopplade prylar innebär en potentiell risk.

– De har hårddiskar och processorer, och det är allt som krävs för att hitta på dumheter, säger David Jacoby, Kaspersky Lab.

• Utbilda användarna.

– Se till att de blir medvetna om vad de kan göra för att skydda sig, säger Tina Lindgren, doktor i informationsteori och informationssäkerhetskonsult på teknikkonsultbolaget Combitech.

• Ha känslig information offline.

• Tro inte att det finns en silverkula som löser allt.

– Det är inte så det funkar. Det är precis som när du ska skydda ditt hus: det räcker inte med att köpa ett larm. Du måste ha lås, kassaskåp och många andra saker som samverkar, säger Marcus Murray.

• Inse att det är en orättvis kamp.

– Vi måste stoppa mängder med malware, men de som skriver malware behöver bara hitta ett enda litet hål för att komma igenom skyddet, säger David Jacoby.

• Se till att hålla system och datorer uppdaterade, exempelvis genom att en patchserver sköter det automatiskt.

– Men trenden med bring your own device är jättesvår att hantera ur ett säkerhetsperspektiv. Du måste få användarna att uppdatera sina egna prylar, och det är ett stort problem, säger Marcus Murray.

• Kasta mindre prylar som infekterats med malware om de används i en säkerhetskritisk miljö.

– Malware kan överleva en fabriksåterställning i en mobiltelefon, så det är en ganska billig försäkring att lägga några tusenlappar på en ny pryl, säger Emil Kvarnhammar.

• Surfa inte runt på nätet på måfå.

– Det ökar risken dramatiskt för att du ska bli infekterad av framtidens malware, säger Patrick Kall.

• Se till att den information du är rädd om är svår att komma åt även för legitima användare, exempelvis genom kryptering, behörighetskontroller och tvåfaktorautentisering.

– Att det blir krångligare är tyvärr en konsekvens om man vill skydda informationen, säger Tina Lindgren.

• Signera legitim kod på ett bra sätt, så att det blir svårare för malware att gömma sig i volymen av program och filer.

– Men det är inte säkert att det kommer hjälpa: malwareskaparna kommer försöka signera den skadliga koden också, säger Marcus Murray.

• Aktivera pinkodsskyddet på mobiltelefoner.

– Det tillför en extra kryptering, och innebär därför ett extra skydd mot malware, säger Emil Kvarnhammar.

• Satsa inte allt krut på att försöka göra styrsystemen i industrier och infrastruktur säkrare.

– I stället måste man skydda saker runt omkring, så att malware inte kan ta sig fram till styrsystemen. Och vi måste inse att allt inte behöver vara uppkopplat, säger Patrick Kall.

• Tänk på säkerheten när du designar ett system.

– Då blir det mer användarvänligt än om du lägger på säkerheten i efterhand, säger Tina Lindgren.

• Vitlista legitima processer.

– Det här är ett skydd som bör användas mer i framtiden, säger Patrick Kall.

• Köp produkter från tillverkare om sätter säkerheten högt, och förstå att ett uppkopplat kylskåp inte fungerar som en vanlig dator.

– På datorer kan du göra mycket själv, men du programmerar inte om ditt kylskåp själv, säger Marcus Murray.

• Förstå begränsningarna i din säkerhetsprodukt och lägg inte allt ansvar på den.

– Om du gör det är det samma sak som att du köper en pistol, men sedan struntar i att se dig för när du går över gatan, säger David Jacoby.

• Klicka inte på länkar i mejl, inte ens från personer du känner.

– Klicka bara om personer du känner ringer och säger att de ska mejla dig. Annars kan det vara någon som utger sig för att vara någon annan, säger Patrick Kall.

• Tänk hela tiden på vad du gör, och var du gör det.

– Du kanske inte behöver göra ditt bankärende på kaféts öppna nätverk eller skicka företagsmejlet på hotellet, om du inte har vpn, säger Tina Lindgren.

• Bestäm dig för vad de anställda på ditt företag får göra på internet, och se till att de följer de reglerna.

– Det kan ske antingen genom avtal eller genom att du sätter upp en proxy, säger Patrick Kall.

• Implementera teknik som gör att det går att se vad du har i nätverket, hela tiden.

– På så sätt kan du se hela attackflödet, säger Niclas Molander.

• Inse att säkerhet och användarvänlighet inte behöver vara motsatser.

– Det är en farlig myt. Om du exempelvis installerar ett smartcard kan du använda en pinkod i stället för ett långt lösenord, säger Marcus Murray.

• Se till att leverantörerna tar ansvar – gemensamt.

– Om jag beställer en tjänst som innebär att mat automatiskt körs hem till mig när den är slut i kylskåpet kommer säkert ett tiotal företag vara inblandade, allt från kylskåpstillverkaren till budfirman. Jag tror företag måste jobba i sociala nätverk för att se till att säkra hela leveranser, säger Niclas Molander.

• Tänk på att även äldre teknik kommer fortsätta användas för att sprida malware.

– Sätt till exempel aldrig in en okänd usb-sticka i datorn, säger Tina Lindgren.

• Inse att den allra svagaste länken kommer att fortsätta vara vi människor.
 

Så bekämpades Conflicker

Inom it-säkerhet är det alltid nödvändigt att lära av historien – för att förstå framtidens malware måste vi förstå dagens. Vi besökte Truesec och bad dem berätta om hur de hjälpte en kund att överleva masken Conficker.

Conflicker
Masken Conficker infekterar 1) datorer i nätverk, 2) datorer med delade mappar och 3) enskilda datorer om inte nätverk, mappar respektive dator har starkt lösenordsskydd, virusskydd och de senaste säkerhets-uppdateringarna.

Skadlig kod är inte helt lätt att upptäcka eller bli av med. Ibland måste utomstående säkerhetsexperter kallas in för att lösa problemet. Truesec är ett av de it-säkerhetsföretag som regelbundet hjälper företag att hantera malware­infektioner.

– När vi kallas in vet kunden i regel inte vad som har hänt. De har upptäckt något konstigt, och steg ett för oss är att ta reda på orsaken. Ibland är det malware, men det kan även vara andra problem som ligger bakom, säger Marcus Murray, chef för säkerhetsteamet på Truesec.

Förr popup på skärmen

Tidigare visade sig malware ofta genom att något poppade upp på skärm­en, men det sker väldigt sällan numera – i dag gör malwaretillverkarna oftast allt de kan för att dölja infektionen, enligt Marcus Murray.

Man måste därför vara uppmärksam på mer subtila signaler, exempelvis att hårddisken står och går utan att man använder den eller konstig trafik i brandväggen.

– Att applikationer kraschar kan också vara ett tecken. Det handlar helt enkelt om att man känner att något inte är bra i systemet.

Datorerna betedde sig konstigt

Som exempel på hur det kan gå till när Truesec hjälper företag att hantera malwareinfektioner tar Marcus Murray en kund som infekterades med internetmasken Conficker.

– Deras datorer betedde sig konstigt, så de kontaktade oss. Vi började med att plocka in ett antal av deras system till oss. Helst vill vi stänga av och ta in precis allt, men man har ju en pågående verksamhet att ta hänsyn till.

Fakta: Truesec

Grundades: 2004.

Huvudkontor: Stockholm. Har även verksamhet i Malmö,
samt ett dotterbolag med en anställd i USA.

Anställda: Drygt 30.

Ägare: Personalägt.

Verksamhet: Utför säkerhetsgranskningar och penetrationstester, samt tillhandahåller experthjälp inom utveckling av säkerhetskritiska system och avancerad infrastruktur. Anordnar även egna säkerhetsevent. 


Truesec gick bland annat igenom hårddiskarna och ram-minnena på systemen, och tittade på nätverks­trafiken.

– Det är viktigt att läsa ut vad som finns i minnet när datorn körs, eftersom det är svårt för malware­tillverkarna att dölja det som faktiskt exekveras. 

Upptäckte ett objekt

I det aktuella fallet upptäckte Truesec ett så kallat mutex-objekt som är specifikt för Conficker, och kunde på så sätt slå fast orsaken till det konstiga beteendet. Mutex är en sträng som kan användas av både legitima program och malware för att exempelvis visa vilken version av programvaran det är.

– När vi väl hade härlett problemen till Conficker kunde vi skapa ett verktyg som hittade alla andra instanser av Conficker i företagets system.

För att lyckas skapa ett sådant verktyg gäller det att försöka sätta sig in i malwaretillverkarnas tankesätt, och fundera på hur man själv skulle göra om man var i deras skor, enligt Marcus Murray.

– När vi har identifierat alla komponenter, bland annat med hjälp av tidsstämplar, rekommenderar vi kunden att ominstallera alla infekterade system. Man kan visserligen nöja sig med att bara rensa bort den skadliga koden, men när man väl haft en typ av skadlig kod är det inget som säger att den inte har installerat annan skadlig kod.


Ofta enorma kostnader

Att stänga av en stor mängd system kan dock påverka verksamheten negativt, så det är ofta förenat med enorma kostnader.

– Hur man ska agera är ett affärsmässigt beslut, och man måste respektera vad kunden väljer att göra. I det här fallet ominstallerade vi vissa system och rensade andra.

Att ta bort skadlig kod utan att ominstallera systemet är ingen barnlek, enligt Marcus Murray. Man måste tänka på att infektionen även kan leva i filsystemet, minnet och konfigurationsdelar av systemet, och att malware ofta har hjälpprocesser som också måste letas fram och tas bort.

Conficker är modulärt och finns i flera olika versioner, och som har olika spridningsmekanismer inbyggda.

– Den provar allt från dåliga lösenord till brister i Windows. Under en period var Conficker det vanligaste malware-programmet, och flera av våra kunder har drabbats.

Det är oftast inte möjligt att veta exakt vilka skador en malwareinfektion åsamkat en organisation, eftersom det inte alltid går att se om data har blivit manipulerade eller stulna. Men det kan vara svårt att komma undan en malwareinfektion helt oskadd, enligt Marcus Murray.

– Du måste alltid lägga ner resurser på att hantera problemet, och det är en skada i sig, säger han.

Än så länge är det relativt ovanligt att Truesecs kunder kommer till dem med infekterade mobiltelefoner, enligt Emil Kvarnhammar, chef för Malmö-filialen Truesec Syd.

Emil Kvarnhammar
Emil Kvarnhammar, Truesec Syd

– Många anställda drar sig för att berätta om de upptäcker något problem på sin mobil, eftersom de vet att något de själva gjort är orsaken till det. Och vi har inte haft ärenden där kunden kommer med ett stort antal mobiler som är infekterade, den typen av massinfektion mot företagsenheter är inte vanlig i dag – men det är bara en tidsfråga innan det dyker upp, säger Emil Kvarnhammar.

De fall med infekterade telefoner som Truesec har handlar främst om att samla in bevis, antingen för diskussion med en anställd eller med polisen.

Hockeyrinken

– Vi hjälper inte till att ta bort skadlig kod från mobiler. Ibland kan det räcka med att göra en fabriksåterställning av telefonen, men om effektiv malware har tagit sig in i en mobilplattform är loppet kört för den enheten – då är det bara att kasta den, säger Emil Kvarnhammar.

Den skadliga kodens historia

1948 Matematikern John Von Neumann gör en modell av hur biologiska virus fungerar.

1949 De första enkla datorerna. Man inser att det skulle vara möjligt att göra självreplikerande datorprogram.

1966 John Von Neumanns föreläsningar om malware publiceras i skriftlig form.

Cirka 1970 De första malware-programmen släpps, som experiment för att se om man kan göra självreplikerande program.

1978 John Shock and Jon Hepps skapar den första datormasken. Syftet var att leta efter processorkraft i ett system, men i stället kraschar masken datorerna.

1986 Bröderna Basit och Amjad Farooq Alvi från Pakistan skapar det första viruset, Brain. Det sprids via diskett och är oskadligt – det enda som sker är att ett upphovsrättsmeddelande visas.

1988 Den första riktiga incidenten Morris mask är ytterligare ett experiment med goda syften, men det går dock väldigt fel och mängder av datorer smittas.

1990-talet Polymorfiska virus, som ändrar beteende efter att de sprider sig, skapas i mängder. De flesta gör ingen större skada.

2000 Flera illasinnade malware skapas, bland annat Love letter. En viktig faktor bakom den snabba spridningen är att utvecklingsmiljön blir gratis. Första viruset för mobiler upptäcks.

2001 Flera maskar riktas särskilt mot servrar.

2005 Ett mms-malware kallat Commwarrior-A sprids.


2006 Leap, det första riktigt potenta malware-programmet för OS X.

2007 Den första stora cyber­attacken, mot Estland (se
tinytw.se/estlandattack)

2008 Internetmasken Conficker börjar härja.

2010 Masken Stuxnet tar sig in i kärnkraftverk i Iran. Den trojanska hästen Zeus stjäl mängder av bankinformation. De första virusen som sprids via sms.

2013 Ransomware blir populärt. Malwareskaparna börjar dölja skadliga kod genom att lägga en del av koden på offrets telefon och en annan del på offrets dator.

2014 Malware på mobila enheter blir allt mer utbrett. Den skadliga koden blir allt mer specialinriktad, till exempel för att komma åt kunder hos en viss bank eller användare av en viss tjänst.


Jenny