Folk i allmänhet tenderar att slarva med begreppen när det kommer till skadlig kod, hot och attacker. Men det är viktigt att känna till vad vi talar om när vi till exempel säger trojan, annars kan det lätt bli fel om vi till exempel behöver hjälp.
För det första kan det vara på sin plats att reda ut terminologin kring den kedja som utgör angriparens ax till limpa, alltså den praktik som angripare använder sig av.
- En bug är ett fel i en programkod. Buggar kan vara allt från obetydliga och harmlösa till katastrofer. Buggar uppstår oftast när utvecklare gör fel eller tänker fel.
- En sårbarhet är resultatet av en bug som orsakar ett fel i ett program, en tjänst eller kanske ett kodbibliotek. Om sårbarheten inte upptäcks är den harmlös; det är när fel personer upptäcker, kommer över eller till och med köper sårbarheter som sårbarheten blir ett problem. Alltså kan sårbarheten ligga sovande i åratal utan att någon vet om att de finns.
- En attack eller attackvektor är en exploatering av en sårbarhet, en metod att utnyttja den. Någon som känner till sårbarheten skriver ett program, en skadlig kod, som utnyttjar sårbarheten för illvilliga syften. Ibland hör man människor prata om detta som ett hot, men hot är ett alltför diffust begrepp.
- Ett angrepp är den praktiska handlingen att utföra eller applicera en attack mot en sårbarhet. Detta kan vara en ddos-attack, nätfiske eller intrång genom att automatiserat gissa lösenord.
- Ett intrång är ett lyckat angrepp. Angriparen har lyckats komma över data eller skaffat sig administrativ kontroll över ett it-system, oavsett på vilken administrativ nivå eller om det rör sig om en mobiltelefon eller ett datacenter, alternativt lyckats placera ett program, och exekvera det, i systemet.
1. Virus
Datorvirus eller bara virus är hur de flesta lekmän (och okunniga medier) betecknar skadlig kod i allmänhet. Som tur är är de flesta typer av skadlig kod inte virus. Ett datorvirus modifierar legitima filer, eller pekare till filer, på en dator på ett sådant sätt att när den legitima filen exekveras, så exekveras även viruset.
Äkta virus är ovanliga idag; de utgör mindre än tio procent av all skadlig kod, vilket är bra eftersom virus är den enda typen av skadlig kod som ”infekterar” andra filer. Det gör dem besvärliga att ta bort eftersom den skadliga koden måste exekveras från den legitima filen, och idag är det närmast omöjligt. Även de bästa antivirus-program har svårt att göra detta på ett korrekt sätt, och i de flesta fall raderar de den infekterade filen eller lägger den i karantän.
2. Maskar
Maskar har faktiskt funnits under längre tid än datorvirus, ända bak till stordatorernas epok. Maskar kom i ropet på grund av epost under det sena 1990-talet, och under större delen av ett decennium hemsöktes datoranvändare och it-proffs av maskar som kom genom bifogade filer i e-postmeddelanden. Det räckte att en person på ett företag öppnade ett smittat meddelande och inom kort blev hela företaget infekterat.
Det speciella med maskar är att de är självreplikerande. Ta den notoriska Iloveyou-masken: När den tog fart drabbade den nästan varenda e-postanvändare i hela världen, överbelastade telefonisystem (med falska sms), tog ned hela tv-stationer och mycket annat. Flera andra maskar som SQL Slammer och MS Blaster har även de blivit legendariska och förtjänat sin plats i historieboken.
Maskar är extremt effektiva på grund av deras förmåga att sprida sig utan någon mänsklig interaction. Som jämförelse kräver datorvirus att den drabbade exekverar koden innan viruset kan infektera andra filer och användare. Maskar utnyttjar andra filer och program för att sprida sig. SQL Slammer, till exempel, utnyttjade en sårbarhet i Microsoft SQL Server för att åsamka överflödade buffertminnen på i stort sett varenda exponerad sql-server på internet på ungefär tio minuter - ett hastighetsrekord som står sig än idag.
3. Trojaner
Digitala trojanska hästar, eller bara trojaner, har ersatt maskar som hackarnas favoritvapen. Trojaner maskerar sig som legitima program, men de innehåller skadliga instruktioner. Trojaner har funnits ”i evigheter”, även länge än datorvirus, men har satt sina klor i dagens datorer mer än någon annan typ av skadlig kod.
Trojanens kod måste exekveras av offret för att göra sitt jobb. Trojaner kommer ofta i e-postmeddelanden eller via infekterade webbsajter. En av de mest ”populära” typerna av trojaner är de som imiterar antivirus-program, och meddelar användaren att dennes dator är infekterad (vilket den ju på sätt och vis är) och instruerar användaren att köra ett program för att rensa datorn.
Det är svårt att försvara sig mot trojaner av två skäl: De är enkla för förövarna att skapa (det finns massor av olika verktyg för att skapa och modifiera trojaner), och de sprider sig genom lurendrejeri, vilket inte ens de mest väl-patchade system, brandväggar och andra typer av skydd kan stoppa. Hackare pumpar ut trojaner i miljontals varje månad och it-säkerhetsbranschen försöker hålla emot, men det är helt enkelt för många signaturer att hålla reda på.
4. Hybrider och andra ”exotiska” typer
Idag utgörs de flesta attacker av en mix av olika traditionella typer av skadlig kod, oftast inkluderar de trojaner, maskar och ibland virus. I de flesta fall ser de ut att vara trojaner ur användarens synvinkel, men när de väl exekveras attackerar de andra datorer som en mask.
Många av dagens attacker anses vara så kallade rootkits eller smygare. Dessa försöker ta kontroll över det underliggande operativsystemet och hålla sig gömda. För att bli av med dessa måste man ta bort den kontrollerande komponenten från minnet.
Bottar är en variant på kombinationen trojan och mask vars syfte är att inkludera den infekterade datorn i ett större, ofta globalt, nätverk av infekterade klienter. Hackarna som äger och/eller driver bot-nätverket kontrollerar det genom en så kallad kommando-server till vilket de infekterade klienterna kopplar upp sig för att ta emot instruktioner eller uppdateringar av den skadliga koden.
Botnät kommer i alla storlekar, från några tusen infekterade klienter till enorma nätverk med hundratusentals eller miljontals klienter. Dessa botnät hyrs ofta ut till (andra) cyberkriminella som använder dem för sina egna illasinnade syften.
5. Gisslanprogram
Skadlig kod som infekterar din dator, krypterar dina filer och kräver en lösensumma, i form kryptovaluta, för att du ska få tillgång till den nyckel som låser upp filerna, kallas gisslanprogram (ransomware). Denna typ av skadlig kod har vuxit massor de senaste åren, och tillväxten fortsätter även om det går lite upp eller ned beroende på växelkursen för kryptovalutor.
Gisslanprogram har ställt till enorma problem för företag, sjukhus, polismyndigheter och till och med hela städer. En av de största och mest kostsamma utbrotten drabbade shipping-jätten Maersk för ett par år sedan. Hela koncernen stod still under större delen av en vecka vilket kostade företaget tiotals miljarder kronor.
De flesta gisslanprogram är i grund och botten trojaner, vilket betyder att de måste spridas och aktiveras genom social ingenjörskonst av något slag. När de väl exekveras söker de fram användarens filer och krypterar dem inom några minuter, men vissa varianter kan även ”vänta och se”. Genom att studera användarens beteende under några timmar kan gisslanprogrammet beräkna hur stor lösensumma offret har råd med och även se om den kan kryptera eventuella säkerhetskopior.
Gisslanprogram kan förhindras likt de flesta andra typer av skadlig kod, men har de väl aktiverats är det svårt att göra något åt saken om det inte finns säkerhetskopior. I vissa fall har dock it-säkerhetsföretag och dito forskare lyckats hitta den rätta nyckeln och publicerat dessa för att hjälpa drabbade.
Enligt vissa studier betalar cirka en fjärdedel den lösensumma som begärs, men cirka 30 procent av dessa får i alla fall inte någon eller fel nyckel. I vilket fall som helst är det ett drygt arbete att få tillbaka filerna med hjälp av nycklar och speciella verktyg, plus att det behövs en del tur. Bästa rådet är att se till att ta säkerhetskopior som förövarna inte kan komma åt.
6. Fillösa typer av skadlig kod
Fillösa typer av skadlig kod, alltså skadlig kod som inte levereras i form av en fil, är egentligen inte en annan kategori av skadlig kod, utan mer en beskrivning av hur de attackerar och framhärdar i ett datorsystem. Traditionella typer av skadlig kod tar síg fram och infekterar nya system via det lokala filsystemet. Fillösa typer av skadlig kod, som idag utgör över hälften av all skadlig kod, är skadlig kod som inte direkt använder filer eller filsystemet, utan de sprider sig i arbetsminnet enbart med hjälp av andra objekt som registernycklar, api:er eller schemalagda uppgifter.
Många angrepp med fillös skadlig kod börjar med utnyttjandet av legitima applikationer och tar sig formen av nya underprocesser eller genom att använda legitima verktyg som finns inbyggda i operativsystemet, som exempelvis Microsofts PowerShell. Resultatet är ett fillöst angrepp som är svårt att upptäcka och stoppa. Fillösa angrepp är sista skriket i hackerbranschen.
7. Annonsprogram
Om du ska drabbas av någon typ av skadlig kod rekommenderas att du drabbas av annonsprogram, vars syfte är att utsätta offret för ovälkomna och ofta fejkade bluffannonser. Ett typiskt exempel är när användaren blir omdirigerad till en annonssida. Dessa är sällan särskilt skadliga.
8. Ondsint annonsering
Ondsint annonsering ska inte förväxlas med annonsprogram. Syftet med ondsint annonsering är att genom legitima annonser eller annonsnätverk leverera skadlig kod. Hackare kan till exempel betala för att få placera sin kod i legitima annonsnätverk. När en användare klickar på en annons aktiveras kod i annonsen som antingen omdirigerar användaren till en sida med skadlig kod, eller så installeras den skadliga koden direkt.
I vissa fall kan annonsen aktivera installationen av den skadliga koden utan användarens medverkan, något som på engelska kallas drive-by-download. Ondsint annonsering kan drabba fullt legitima sajter med annonsinnehåll och drabba intet ont anande besökare. Detta har drabbat bland andra Spotify, New York Times och londonbörsens sajt. Själva den skadliga koden är ofta gisslanprogram, program för brytning av kryptovaluta och andra typer vanligt förekommande skadlig kod.
9. Spionprogram
Det vanligaste användningsområdet av spionprogram är faktiskt när folk vill spionera på sina närstående. När det gäller riktade angrepp av cyberkriminella handlar det om att snappa upp tangenttryckningar för att komma åt lösenord eller värdefulla data på datorn. Tillsammans med annonsprogram är spionprogram de som det är enklast att bli av med. Oftast handlar det bara om att hitta den främmande filen och ta bort den.
Ett större problem än själva programmen är mekanismen med vilken programmen tog sig i datorn till att börja med, varken det skett genom social ingenjörskonst, ouppdaterad mjukvara eller de dussintals andra sätt som finns att tillgå för en angripare. Anledningen är att även om spionprogram och annonsprogram i sig själva inte är så farliga så är det uppenbart att din dator har en öppen väg in för andra typer av betydligt värre typer av skadlig kod. Ett harmlöst spionprogram ska med andra ord få alla varningsklockor att ringa.
Läs också:
NSA:s supervapen för riktade attacker – så funkar man-på-sidan-attacker
Kraftig ökning av it-attacker mot Microsoft Office