David Jacoby Kaspersky Lab
David Jacoby är it-säkerhetsexpert på Kaspersky Lab och förklarar hur datainsamling av näthot går till.

David Jacoby är it-säkerhetsexpert på Kaspersky Lab och en flitig bloggare hos oss på TechWorld.

När han rutinmässigt gick igenom några mejlinglistor i början av maj fick han varningar om att hans dator var under attack från skadlig kod.

Varningarna visades i samband med att han gjorde ett besök på bildsajten Imageshack, som det länkades till i en av mejlinglistornas nyheter. Sajten är både välkänd och legitim, så angreppet var oväntat.

En närmare analys visade att attacken kom genom ett annonssystem som spred skadlig kod via en så kallad drive-by-download, noterar Jacoby i sin blogg.

Varningsruta Kaspersky Lab

Analysen visade också ett intressant beteende för koden på sidan:
”Om Acrobat Reader var installerat så fick du en skadlig PDF, om inte så utnyttjades följande sårbarhet Exploit.HTML.CVE.2010-4452.m. Den försökte då automatisk ladda ned och exekvera en trojan på datorn”, skriver han.

En attack av detta slag är inte ny eller unik. Men i bloggen noteras också att 350 000 maskiner ser ut att ha blivit infekterade, däribland datorer hos företag, myndigheter och forskningscenter.

It-säkerhetsföretag samlar regelbundet in data för analys av hotbilder och för underlag till egna utvecklingsarbeten. David Jacoby berättar för TechWorld hur detta går till:

– Rent tekniskt så finns flera olika olika metoder som går att använda, men det beror helt på vad det är för typ av incident. Om vi titta på på majoriteten av all statistik vi har kommer den från vårt Kaspersky Security Network, KSN, som är ett informationsnätverk. KSNs indata består delvis honeypots, men även data från många av våra klienter. En nackdel med KSN är att den endast innehåller väldigt begränsad information.

En så kallad honeypot är ett serversystem som konfigurerats för att locka till sig angripare över nätet genom att uppfylla vissa kriterier för attack eller utnyttjande. All trafik och alla angrepp loggas av systemet för analys av säkerhetsforskare. Kaspersky Lab samlar även in data från frivilliga användare.

– Alla som använder vår produkt kan själva välja att delta i KSN. Det innebär att klienterna skickar statistik på exempelvis de filer eller hemsidor vi identifierat som skadliga. Utöver informationen om skadliga internet-adresser eller namn på upptäckta hot skickas även geografisk data, så vi kan se vilken typ av trojan som är störst i exempelvis Norden.

Det är viktigt att poängtera att vi inte lagrar namn på kunder eller personlig information. Vi kan inte heller automatiskt se vilka företag eller privatpersoner som blivit utsatta för vilka hot. Vi kan endast få den informationen om den drabbade skickar det manuellt till oss för vidare analys, tillägger Jacoby.

Sida 1 / 2

Innehållsförteckning