code red
År 2001 var ord som "virus" och "maskar" något mycket mer abstrakt för de flesta svenskar. Virusskyddsprogrammen sågs ofta som ett allmäktigt försvar för oroliga användare som försiktigt tog sina första steg på internet. Vid den här tiden använde drygt hälften av svenskarna internet, fem år tidigare, 1996, var siffran nio procent. Nätet var nytt för många och larm om hot gjorde många oroliga.

I juli 2001 upptäcktes masken Code Red, eller Röda masken som den också kallades i Sverige, av Marc Maiffret och Ryan Permeh på det amerikanska säkerhetsföretaget Eeye Digital Security. Det var också dessa två som gav Code Red sitt namn, efter läskedrycken Mountain Dews körsbärsversion som förmodligen stod på deras skrivbord vid den tidpunkten.

Joakim von Braun, säkerhetsexpert och författare, överraskades av Code Red:

– Jag hade precis börjat jobba på Symantec när Code Red kom, då hade man en infektionsmängd i världen som dubblades vad 37:e minut. Det som var intressant med Code Red vara att det lade sig i arbetsminnet, så när man startade om datorn var infektionen borta. Då tänkte många att problemet var löst, men de blev återinfekterade igen för att de inte hade patchat det här säkerhetshålet som masken använde.

Joakim von Braun
Joakim von Braun.

Joakim von Braun och andra som jobbade med it-säkerhet hade nyligen börjat upptäcka att hoten börjat bli mer komplexa och smarta. De flesta av de tidiga virusen som drabbade datorer på 80- och 90-talet befann sig grovt räknat i två kategorier: rent bus, som ofta gick ut på att skriva ut larviga meddelanden på skärmen, eller destruktiva, den skadliga koden raderade filer eller överbelastade lokala system eller nätverk.

Men runt millennieskiftet utvecklades internettjänster där användare förvarade information som gick att tjäna pengar på, och det var fler än tonåringar som fick upp ögonen för säkerhetshål som utvecklare lämnat efter sig.

– World wide web kom ju 1993, och började då användas av folk utanför it- och universitetsvärlden. Sedan kom de första otäcka trojanerna, Netbus och Back Orifice som kom sommaren 1998. Åren innan hade det varit relativt lugnt, säger Joakim von Braun.

code red spread
Kartan visar Code Reds spridning när den var som störst, enligt Center for Applied Internet Data Analysis, Caida, som har en omfattande analys av viruset på sin sajt, där du dessutom kan se animationer av spridningen.

Code Red attackerade datorer som körde Microsofts IIS webbserver, som stödjer olika internetprotokoll. Säkerhetshålet som masken kunde ta sig in i befann sig i en fil som hade en okontrollerad buffert i en bit kod som hanterade indata i form av url:er. En angripare kunde starta en webbsession mot en server som hade filen installerad och sedan genomföra en så kallad buffert overflow-attack. Attacken är enkel, genom att skicka in för mycket data där storleken inte kontrolleras, skrivs minnet runtomkring över. När indatat tolkas som ett kommando, som i fallet Code Red, har masken kontroll över systemet och kan fortsätta föröka sig.

code red screenshot
Så här kunde förstasidan på en infekterad server se ut efter att Code Red ändrat innehållet. Källa: F-Secure.

Code Red hade flera stadier så länge infektionen varade, de första 19 dagarna gjorde masken allt för att sprida sig vidare till så många system som möjligt. Dag 20 till dag 27 riktade den överbelastningsattacker mot vissa förutbestämda ip-adresser, bland annat mot Vita huset. Sedan vilade masken tills de fick order att börja om på nytt.

– Ordet mask används inte så ofta nu förtiden. Nu kallar man allt för virus i stället, men funktionen finns fortfarande inbäddad i den befintliga koden. Virus har i dag så många funktioner i alla fall, så uppdelningen mellan maskar och andra virus är inte intressant.

Trots att ungefär samma funktioner används i dag som för 25 år sedan, ser Joakim von Braun att hotlandskapet har ändrats en del under 2000-talet.

– På den tiden var det ofta enstaka infektioner som spreds till flera miljoner användare. Code Red och Netbus tog då all uppmärksamhet under en tidsperiod. Nu är det ju sällan man ser rubriker om att miljoner användare infekterats av den eller den trojanen. I stället finns flera varianter av samma fil. Det är sällan mer än några tusen som infekteras av samma virus, men det finns många fler.

Mycket har förändrats, både för vanliga användare, it-folk och experter. Men vissa saker förändras aldrig.

– Det stora problemet med it-säkerhet på arbetsplatsen är att många tror att det handlar om ett tekniskt problem, när det i själva verket är ett informations- och handhavandeproblem. De anställda är en del av problemet, inte datorerna, avslutar Joakim von Braun.

Orolig för it-säkerhet? Om du är TechWorld Superuser får du regelbundet vår Threat Report – bara registrera din e-postadress!