Vi har stämt träff med en virusjägare och sitter nu hukade i ett litet, mörkt kyffe hos Atea i Kista. Ett skott ekar i korridoren utanför. Några kontorsstolar bryts sönder och det verkar som om någon närmar sig.
Så står han där i dörren, Jonathan James, med piskan över axeln. De långa revorna i khakikläderna och det faktum att han haltar lätt på höger ben visar att striden varit hård. Han lägger ned den ännu rykande bärbara datorn på bordet, hänger tropikhatten på en stolsrygg, griper vår framsträckta, buckliga plåtmugg med Ateakaffe och stryker sig över skäggstubben.
Malware, elak programkod i alla dess former, hotar på internet. Hur ska man veta om man har blivit attackerad och hur ska man kunna skydda sig?
– Det är ett krig därute. Virussprutorna smattrar i detta nu. Stridskoden dyker med tjutande motorer och släpper elaka bomber. Förutsätt alltid att du utsätts för hot. Arbeta upp ett skydd i enlighet med det. Varje klient måste ha ett fungerande antivirusprogram. Det är ingen kliché utan är fortfarande grunden i allt klientskydd. Varenda maskin ska också ha en konfigurerad brandvägg. Under dagligt arbete får ingen arbeta som administratör eftersom det ökar risken att infekteras med rootkit eller annan elak kod, säger Jonathan James.
Sök igenom e-posten
Det mesta av den elaka koden kommer in via e-post och företagen måste söka igenom den inkommande posten efter virus. Oavsett operativsystem måste man också söka efter uppdateringar dagligen. Ingen plattform slipper undan. Detsamma gäller småprogram som Quicktime, Flash, Quicktime, Adobe Reader, Java med flera, som är potentiella säkerhetshål. Det finns så många småprogram som hör till webbläsare att det nästan inte går att överblicka.
Folk rynkar på näsan åt Windows brandvägg, men är den så usel?
– Den har blivit bättre och bättre och ger i dag ett fullgott skydd. Ipfw för Macintosh är också bra. Företagen måste givetvis använda en central brandvägg och söka av all inkommande trafik enligt uppsatta regler, säger Jonathan James.
I grund och botten handlar det om sunt förnuft. Öppna inte okända bifogade filer. Om en bank skickar ett brev där det står att här kommer ett nytt säkerhetsprogram som du måste installera, gör inte det.
Alla har något som kan stjälas
Tyvärr är människor i allmänhet alldeles för naiva inför internet, menar Jonathan James. De tänker ”Jag har väl inget av värde”, men alla har något av värde, ett kreditkortsnummer, ett e-brev eller vad som helst som kan vara intressant för någon annan.
– I dag är Windows så utvecklat att det kan konfigureras att bli lika säkert som Linux var redan från början. Problemet för Windows är den enorma mängden program av tveksam kvalitet. Alla har mängder av plug in-program för att kunna spela video, flashspel med mera. För den enskilde kan det bli väldigt många olika versioner, medan företagen brukar ha en policy om vilka som är tillåtna, säger Jonathan James.
Även Mac drabbas av attacker
Mac-användarna har fnissat färdigt. Allt fler hackare har börjat använda Mac OS som klientsystem, eftersom det tidigare har varit en outnyttjad nisch. I och med den ökande användarbasen blir angrepp mot Mac mera lukrativa.
Om företaget drabbas av skadlig kod, är polisen då rätt ställe att vända sig till?
– I princip ska man alltid polisanmäla ett angrepp, inte minst av försäkringsskäl. Men de flesta vill anlita en konsult och själva ta itu med problemet. Polisen har inte alltid resurser att tillsätta en utredning och vill man ha resultat snabbt är det bättre att anlita en konsult som gör en kriminalteknisk utredning varpå man använder konsultens material i polisanmälan, säger Jonathan James.
”I princip ska man alltid
polisanmäla. Men de flesta vill anlita
en konsult och själva ta itu
med problemet.”
Många börsnoterade bolag vill av hänsyn till börskursen helst ta itu med problemet själva, medan en offentlig myndighet alltid ska polisanmäla, menar Jonathan James. Dessutom ska den informera allmänheten om att deras uppgifter är på drift.
Vilka data ska säkras?
– Det system som har råkat illa ut ska kopplas bort direkt om det går. Kan man få dit en konsult inom en halvtimme är det bättre att lämna systemet igång, då kan man ofta utvinna mera kriminaltekniska data, säger Jonathan James.
Viktigt är att upprätta en handskriven, undertecknad logg med de åtgärder företaget har vidtagit, exempelvis om man har ryckt ur sladden, om elen är borta, var datorn är förvarad, hur den är skyddad och så vidare. Loggen ska även innehålla klockslag.
Symantec Deepsight Early Warning är en webbtjänst som varnar för virusutbrott med hjälp av data från tillverkarens nät av informationsinsamlare. Här syns en attack som sprider sig över Europa.
En sammanställning av världssituationen som kan ge prognoser och påvisa virustyper som har hamnat i Symantecs mer än två miljoner brevlådor.
Företagsvyn i Deepsight visar hur många företag som just nu har smittats av olika typer av elak kod.
Redan i späd ålder
Virusjakt är som en hobby för Jonathan James, som berättar att han halkade in på området på ett bananskal.
– Det hela började som ett intresse för programmering. Jag var 14 år och gjorde hemsidor. Som ersättning för mitt arbete fick jag en gång Visual Basic 3.0 och kunde börja utveckla. Mitt program Phandler för processhantering i Windows 95 spreds på internet. Sedan blev det fjärrstyrningsprogram. Succén kom med Trojan Guard 2000, som skyddade mot virusen Netbus med flera.
Jonathan James program Cassandra skyddade mot ett tjugotal trojaner och bakdörrar och spreds över hela världen. US Air Force, FBI och NASA var några kunder. Han gick sedan vidare med webbplatsen security.nu, som innehöll information om hur man säkrade olika datorsystem.
– Richard M Smith från Pharlap Software i USA, som gjorde program för bankomater, tog kontakt med mig. Han hade i sin tur kontakter på FBI och det var så mitt samarbete med USA:s polis började. Det var 1998 och det har flutit på sedan dess. Jag hjälpte FBI med Melissa och Loveletter. FBI vet att belöna förtjänta informatörer och jag har flera gånger fått åka till USA och vara med på trevligheter. Jag har ätit middag med agenter och chefer med mera. FBI står dessutom för viss utrustning.
FBI, den amerikanska federala polisen, har fångat många datorbrottslingar och flera av dem med hjälp av information från Jonathan James.
Det börjar med att Jonathan James samlar in information från och om personer, letar tekniska bevis och bakar ihop med tidigare känd information. Informationen överlämnas till FBI, därefter har Jonathan James inte längre någon egentlig insyn i processen.
FBI utför polisiärt arbete och samlar in sjukhusjournaler, telefonbolags och internetoperatörers loggar med mera till sin utredning. Med tillräckligt mycket bevis kan FBI övertala den huvudmisstänkte att samarbeta. Denne lämnar i sin tur över information om ytterligare personer.
FBI bygger upp en kunskapsbas med information om gamla och nya misstänkta, som kan användas i framtida fall. Det är dock alldeles klart att det ofta är kvaliteten på Jonathan James information som snabbt leder FBI på rätt spår.
Känner ansvar för virusjakten
Till vardags jobbar Jonathan James som säkerhetsspecialist på Atea. Han hjälper kunder att sätta upp säkra datormiljöer och genomför penetrationstester för att hitta sårbarheter.
– Jag spårar också interna och externa hot och brott. Virusjakten håller jag på med dels för mitt eget intresse, dels för att jag känner ett ansvar eftersom jag har kunskaper om folk som håller på med denna verksamhet.
”Det är häftigt att ha den kontakt
med FBI och Säpo som jag har. Jag får se saker som ingen annan får se.”
Det gäller att samla massor av information om personer och metoder och skapa väldiga bibliotek som kan användas vid senare spaning. Jonathan James själv har fått ihop 100 gigabyte med kod.
– Dessutom är det häftigt att ha den kontakt med FBI och Säpo som jag har. Jag får se saker som ingen annan får se. Arbetet med att hitta bedragare på nätet är en stor utmaning. Däri ligger en del av belöningen.
Attack mot butik
Jonathan James var till exempel med och utredde en attack mot butiker på amerikanska militärbaser som säljer varor till soldater stationerade i eller utanför landet. En av butikskedjorna hade blivit attackerad och förövaren fick med sig personuppgifter om alla soldater som hade handlat i butikerna. Uppgifterna spreds till och med i Sverige.
Informationsstölder pågår hela tiden. Jonathan James infiltrerar under täckmantel och gärna tillsammans med en personlighetsutredare. Det kan röra sig om flera veckors infiltrationsjobb, där de chattar sig in i en virusgrupp innan de kan gå vidare med fallet.
Jonathan James har specialiserat sig på att bygga indiciekedjor och försöka hitta en bild av vem som har begått brottet och vilken motivationen var, med hjälp av tekniska uppgifter från internet.
Skumma chattar och forum
De riktigt duktiga virusmakarna driver en hel undre värld, en mörk industri, och har sina användargrupper, sina forum och sina chattar där de diskuterar metoder och teknik. De publicerar e-zines med råd och dåd och har ofta hemsidor där de delar ut källkod och handledningar i hur man skriver viruskod. Särskilda grupper sysslar enbart med att utveckla nya virustekniker, som polymorfism med mera (till exempel Conficker, en mask som upptäcktes i november 2008).
– Det är ett mycket fascinerande jobb att hålla sig uppdaterad om motståndarsidan. Många av dessa individer är extremt begåvade. Conficker är just ett exempel på det, den är en kodares dröm. Den är så effektivt och bra gjord att den knappast går att förbättra, säger Jonathan James.
”Virusmakarna är
skrytsamma och pratar ibland i olika forum om sina bedrifter.”
Virusmakarna är även slöa och vill vara effektiva genom att återanvända kod. Det kan bli deras fall eftersom det går att känna igen kod eller angreppsmetoder som har använts tidigare. Eventuellt kan koden hittas på en hemsida eller liknande. Google är ett mycket bra arbetsverktyg i virusjägarbranschen.
Virusmakarna är skrytsamma. De pratar ibland i olika forum om sina bedrifter och lämnar länkar och liknande. Personer som hackar webbsidor rent grafiskt lämnar ofta skrytsamma signaturer. Virusmakare återvänder dessutom ofta till brottsplatsen.
Säkerhetsexperterna skaffar ett prov på koden, exempelvis en exe-fil, och undersöker vilken kompilator som har använts, vilken målplattformen är (Windows, Mac eller Linux, det kan säga en del om utvecklaren) samt vilket programmeringsspråk och vilka importerade funktioner programmet använder.
Ibland kan den körbara filens namn ge en ledning. Det kan exempelvis likna ett ord på ett visst språk eller det kan finnas en prototyp till viruset som har använt samma namn.
Därefter bryter man ned programmet och undersöker exempelvis variabelnamn och vilket språk de är på. Var lägger koden sina registernycklar och vad heter de?
Virusmakare är skrytsamma och signerar ofta sina verk i källkoden. Det kan bli viktiga bevis. Felmeddelanden och kommentarer kan också skvallra om ursprungslandet.
Geografisk spridning kan ge ledtrådar om ursprungsorten. Pekar andra ledtrådar till samma land? Conficker kollade till exempel om operativsystemet var ukrainskt och infekterade i så fall inte datorn.
Vilket säkerhetshål koden använder är viktigt. Kanske koden som används för att släppa av infektionen återfinns i någon annan elak kod?
Väldigt många trojaner uppdaterar sig själva från någon webbplats. Vem äger den domänen? Äger han eller hon flera domäner? Har domänen använts till annat?
Vilken typ av mutation det handlar om och hur är filen packad kan skvallra om vilken kompilator som använts.
När Jonathan James har gått igenom allt detta kan han på ett ungefär peka ut en grupp på ett femtiotal personer i världen som skulle kunna vara upphovet. Fler än så är det inte. När Melissa och Loveletter spreds var det exempelvis bara ett trettiotal personer som hade de kunskaper som krävdes.
Slutar undersökningen med att man finner att programmet har gjorts i exempelvis Visual Studio C++ med en viss kryptering och har en känd geografisk spridning kan man kanske lyckas ringa in en specifik person. Vidare spaning på denna person och vad han eller hon säger eller skryter om på olika forum kan ge fällande bevis.
Polymorfiska maskar nästa hot
Polymorfism är kryptering med dynamiska nycklar där programmet uppdaterar sig (muterar) varje gång det körs. Det gör det svårt för antivirusprogrammen. Polymorfiska maskar som släpper rootkit som installerar sig på operativsystemnivå är ett otrevligt hot inför framtiden, eftersom de är svåra att upptäcka.
Just nu pågår arbetet med Conficker och Jonathan James har lämnat över information till både Microsoft och FBI om personer i anslutning till den som har skrivit ursprungskoden. En och annan skurk sitter inne efter hans utredningsarbeten, en och annan har bytt sida och arbetar för det goda. Måhända är de tacksamma för det. Vi andra borde åtminstone vara det.
» Så går du vidare
- Jonathan James: http://jonathanj.com/
- Atea: www.atea.se/sakerhet
- Gratis online-scanner: www.kaspersky.com
- Om RBN: http://en.wikipedia.org/wiki/Russian_Business_Network
- Om Conficker: http://en.wikipedia.org/wiki/Conficker
- Skanna dina filer med flera antivirusmotorer: www.virustotal.com
- Ond adress från Ukraina: http://vx.netlux.org
- Symantec Deepsight: www.symantec.com/business/services/overview.jsp?pcid=hosted_services&pvid=deepsight_early_warning_services
1 Använd sunt förnuft.
2 Håll ordning på klickarfingret.
3 Se till att antivirus och program är uppdaterade.
4 Se till att du har strikta, fungerande brandväggsregler.
5 Anlita extern expertis för att säkerställa att du inte har missat något.
6 Efter ett tag ser brandväggen ut som en schweizerost. Se över den.
7 Använd korrekt autentisering. 80 procent av alla data stjäls av anställda eller avskedade.
Många av de stora affärskonglomeraten som tjänar pengar på att stjäla identiteter och sälja viruskod till hackare har sin bas i Östeuropa. Russian Business Network (RBN) är tämligen välkänt och sammansatt av flera östeuropeiska och amerikanska intressen.
RBN började som ett hostingbolag för barnpornografi, nätfiske, skräppost och elak kod, men har nu specialiserat sig på stölder och återförsäljning av identiteter. Gruppens huvudkontor ska finnas i Sankt Petersburg.
RBN fungerar som vilket utvecklingsföretag som helst, med en forskningsavdelning som jagar nya säkerhetshål och infektionsmetoder samt hostingbolag som sköter servrar. Marknadsavdelningen provar produkterna på internet för att samla in data om kreditkort med mera. Syftet är helt enkelt att skaffa pengar och information att sälja eller byta mot annan information, samtidigt som man sprider information om produkterna. Ett kasinokonto kan säljas för 20 procent av behållningen på kontot, ett kreditkortsnummer kan gå för ett par hundra kronor. RBN marknadsför även olika tjänster, som viruspaket och skräpppost.
Risken är liten och det är lätt att tjäna pengar eftersom marknaden är enorm. Det handlar redan om miljarder dollar per år.
De flesta inkräktare skriver inte sina virus själva, utan köper färdiga kodpaket, från till exempel Russian Business Network (se rutan här ovanför). Icepack är ett färdigt, ryskt system med grafiskt gränssnitt där man kan klicka i önskade infektionsmetoder och -frekvens samt målprogram. Det går att se statistik över hur det går med infektionen med mera.
Konkurrensen på paketmarknaden är hård och det finns många aktörer. Den enskilde virussläpparen kan ha sina skäl, medan företaget som har skapat viruspaketet helt enkelt vill tjäna pengar på att sälja koden.
