- Naive nordmenn smittes av orm

LARVIK. - Det er fortsatt en enorm spredning av Conficker.

Det sier Christoph Birkeland, avdelingsdirektør for Norcert, under et foredrag på ISF-konferansen til Norsk Informasjonssikkerhetforum.

Hullet ormen utnytter ble varslet med et stor varsku fra Microsoft via en nødoppdatering i november 2008.

Les også: Microsoft roper varsku

Men selv nesten to år senere, etter utallige presseoppslag i både teknologi og hovedstrømsmedier, er det altså fortsatt aktivitet fra den gamle traveren.

Tall Norcert har hentet inn viser at antallet infiserte maskiner med ip-adresser i Norge har gått fra 3333 i fjor til rundt 10.000 i år.

- De aller fleste ip-ene vi snakker om her er faktisk Conficker, sier Birkeland.

Bekymret for Stuxnet

Men Conficker er en ting. Nytt av året er Stuxnet-ormen, en orm som skremmer Birkeland såpass mye at Norcert selv har gått ut og ropt varsku. Ormen retter seg mot såkalte SCADA-systemer, prosesskontrollsystemer.

Les også: Mareritt-virus utnytter nytt hull

- Den tilpasser sin oppførsel avhengig av systemet den infiserer og er første kjente skadevare som har signerte komponenter, henholdsvis med sertifikater fra Jmicron og Realtek. Dette viser at det ikke er hvem som helst som står bak. Sertifikatene får konsekvenser som innebærer at en hel haug sikkerhetsmekanismer blir forbigått, sier Birkeland, som bemerker seg at ormen i utgangspunket ikke er laget for å tjene penger, men for å angripe prosesskontrollsystemer, for eksempel med sabotasje som motiv.

Kaspersky har sagt Stuxnet utgjør det mest sofistikerte angrepet vi har sett til dags dato, med god margin. Allerede under NSMs sikkerhetskonferanse i 2007 advarte Norcert om at angrep mot industri- og prosessystemer kunne bli et problem i fremtiden. Fremtiden er nå, viser det seg.

- Det er en teknisk avansert skadevare med stort potensial, sier Birkeland.

I endring

Og tilfeller som Stuxnet bekrefter på sett og vis annen informasjon sikkerhetsbransjen varsler om. Sophos skriver i sin midtårsrapport at nettkriminalitet nå har beveget seg fra en nerdete hobby via pengemotiver og til å bli ent globalt politisk, industrielt eller til og med militært anliggende.

- De mest alvorlige hendelsene er tilknyttet bruk av målrettede trojanere, som er skreddersydd for å stjele sensitiv informasjon. Det er det vi er bekymret for, trusselaktører som vil stjele den mest sensitive informasjonen. Det er industrispionasje, sier Birkeland.

En utfordring om dagen er trojanere som gjemmer sin egen trafikk skjult i legitim, kryptert datatrafikk. Da blir det så godt som umulig å se at det er lekkasje på gang.

En trojaner som er populær om dagen er Poison IVY, som er benyttet i en rekke angrepsforsøk i 2009 og 2010. Hvem som helst kan lage den via et enkelt brukersnitt, for så å skjule den i en PDF og sende av gårde. Trojaneren kan blant annet overvåke webkamera, stjele tastetrykk og skjermbilder, samt sende og motta filer. Den har også fjernadministrasjonsverktøy integrert, og er fritt tilgjengelig på internett.

Faktisk har markedet for ondsinnet programvare kommet til et punkt der det til og med arrangeres egne konferanser om det. Konferansen er ifølge seg selv ment å samle sikkerhetsforskere og forskere på såkalt malware, atlså ondsinnet programvare. Men konferansen hevder det her er snakk om”etisk malware-koding”. Les videre på neste side!