2. Angrep over nettet 1: Virus og ormer

Vi vil i dette kapittelet ta for oss problemer med ondsinnede programmer. Dette er programmer som er laget med det formål å ødelegge for andre. Disse programmene er enten av en type som sprer seg selv, eller ligger gjemt i andre programmer.

En av de mest kjente angrepene på Internettet var episoden med Morris-ormen i 1988. Den ble høyst sannsynlig laget av Robert T. Morris som da var student ved Cornell University i USA, og har fått navn etter ham. Det var et dataprogram som var laget for å spre seg selv over Internett, og lage nye versjoner av seg selv på alle maskiner den kom til. Ormen utnyttet flere sikkerhetshull i Unix for å spre seg, og hadde også prosedyrer som beskyttet den mot å bli oppdaget og fjernet. Effekten var at maskinene gikk tregere og tregere til man nesten ikke hadde ressurser igjen. Ormen forårsaket ingen fysisk skade på andre filer eller programmer.

Definisjoner

virus

er program som sprer seg sammen med andre filer og programmer. Virus sprer seg ikke av seg selv. Fordi de ligger gjemt inne i et annet program eller programpakke blir de bare bli spredt hver gang dette programmet blir kopiert. Hvis et program er virusinfisert kan det bety at noen av filene i programmet er endret, og at det eventuelt er lagt til nye filer som viruset benytter. Virus aktiveres imidlertid først ved kjøring av programmer. Viruset har lagt til eller endret instruksjoner i den kjørbare filen. Det vil si at man ikke løper noen risiko for å aktivere et virus bare ved å lese en fil.

Disse programmene legger seg ofte inn i operativsystemene. På grunn av måten de sprer seg på, er virus mer et problem som er knyttet til disketter og diskettstasjoner, og mindre av et problem knytte direkte til nettet. I denne rapporten tar vi ikke opp problemer knyttet til disketter og stasjoner.

ormer

er programmer som sprer seg selv over nettet. Morrisormen benyttet seg av en rekke svakheter i bl.a finger-programmet, sendmail og rsh. Når den først hadde kommet seg inn på et nytt sted gikk den løs på passordfilen, og prøvde å knekke den, samtidig som den utnyttet muligheter i xhost+ og rlogin-filer. Etter denne episoden har flere av de store sikkerhetshullene blitt tettet. Det finnes kjente hull som ikke er tettet, flere av disse blir imidlertid overvåket.

logiske bomber

er programlinjer som er lagt inn i et annet program, og som starter å eksekvere når bestemte betingelser oppstår. Det kan være at det starter på en dato eller etter at programmet har vært kjørt et visst antall ganger eller liknende. Skadeomfanget er det samme som for ormer og virus, men logiske bomber kan være vanskeligere å spore. Det kan gå lang tid fra du laster ned et program til bomben detonerer. Da kan det hende at du føler deg trygg på at det ikke er noe galt med programmet, siden du kanskje har brukt det mye i mellomtiden - uten problemer.

makrovirus

er et økende problem på nettet. Store, nye og moderne teksteditorer som Emacs (stor) og Word (moderne og stor) har fått ny funksjonalitet. Man kan skrive dokumenter og legge inn makroer som blir kjørt straks noen leser dokumenet. Her er det en åpenbar mulighet til å legge inn skadeprogrammer i en makro i dokumentet. For å spre et makrovirus er det f.eks tilstrekkelig å sende et Word-dokumentet per mail. Når man åpner dokumentet starter makroen og dermed viruset. Dette problemet forsterkes ved muligheten for å forfalske avsenders navn og adresse. Du kan lett lures til å tro at du mottar en mail fra en seriøs kollega, mens mailen er sendt fra en svindler og inneholder et destruktivt virus. (Mer om dette i kapittel 4: Tyveri av informasjon). Det nye med makrovirus er altså at det aktiveres allerede ved lesing av et dokument, vel og merke hvis man leser dokumentet i den applikasjonen makroen er skrevet for.

trojanske hester

er programmer som utgir seg for å være noe annet enn det de er. Typisk kan programmet enten inneholde virus, ormer eller logiske bomber. Et eksempel fra våren 1995 var en program med navn PKZIP30B.EXE som ble lastet ned på mange maskiner. Programmet gav seg ut for å sendt ut av PKW som en 3.0B versjon av det populære pakkeprogrammet PKZIP. Når man kjørte programmet ble hele harddisken slettet.

Mulige konsekvenser

Man kan bli utsatt for såkalte uskyldige angrep. Typisk vil det komme opp en tekstmelding på skjermen som sier: ``Du har blitt angrepet.'' eller noe liknende. Dette vil for de fleste ikke få fatale konsekvenser. Imidlertid kan det være irriterende hvis denne meldingen fortsetter å dukke opp igjen, kanskje med korte tidsintervaller.

En annen type angrep er programmer som enten fyller minnet med søppel eller fyller opp hele disken. Dette kan være irriterende og plagsomt intil man får fjernet problemet. Slike hendelser som dette er vanlige ved angrep av ormer.

Virus kan slette eller endre filer. Dette er typisk det første et virus gjør når det aktiveres. Det kan være vilkårlige filer, noen utvalgte eller alle filene. Eventuelt kan den starte reformatering av disken. Dette kan være kritiske hendelser. Data kan gå tapt, og man kan få driftsstans hvis datafiler eller programmer ikke lenger virker på grunn av korrupte eller manglende filer.

Spesielt innen endring av filer og programmer finnes det mange varianter. Viruset kan ødelegge noen linjer her og der så programmer enten ikke virker, eller blir utstabilt. Viruset kan også endre funksjonalitet i programmet. Dette kan gi ytterligere sikkerhetsproblemer hvis viruset får tilgang til inloggingsprosedyrer og får gjøre endringer på disse. Endring av privilegier, userid-bit eller liknende kan medføre flere problemer.

Mulige sikringstiltak

Generelt når det gjelder virus, så finnes det en rekke antivirusprogrammer på markedet. Dette gjelder både de gamle virusene og de nye macrovirusene. Disse programmene hjelper deg til å finne og slette virus. De kan bli satt til å overvåke systemet ditt, slik at de gir deg en alarm straks de finner noe.

Når det gjelder de hullene i UNIX som Morris-ormen benyttet seg av, så er de fleste tettet igjen. De hullene som ikke er tettet og som man vet om er det stort sett mulig å overvåke. Dette krever selvsagt at man har en driftsavdeling med kompetanse til å sette opp og drive et slikt overvåkningsystem.

Hvis du får virus som sletter alle dine data, gjelder det at du har backup. Med en fullstendig backup er det bare å finne skadeprogrammet, fjerne det og legge inn gamle data. Man må da fortsette å jobbe med data som er noen timer eller dager gamle. Man kan imidlertid aldri være sikker på at det ikke ligger virus i de filene man reinstallerer. Derfor bør man være oppmerksom på uvanlige hendelser i tiden etter et slikt angrep, for å sjekke at alt virkelig er rettet opp, eller om det rester av virus igjen på maskinene.

Gode backuprutiner inkluderer at man regelmessig tar kopi av alle disker og lagrer denne kopien utenfor maskinen, det vil si uten at det er tilgang på den fra nettet. Av hensyn til fysisk innbrudd og brann bør også kopien flyttes ut av huset.

Det er ikke sjeldent å høre historier om driftsavdelinger som deler disken i to: Bruker den ene halvparten til å lagre data, og den andre til å ta backup. Dette er en meget dårlig løsning da et angrep eller en feil på denne disken kan gjøre backupen like ubrukelig som originalen. Menighetsfakultet opplevde våren 1997 et liknende problem. De hadde tatt backup av alle data i lengre tid. Men når diskene en dag krasjet virket ikke programmet som skulle reinstallere backupen. Det programmet var nemlig avhengig av et register som lå på disken som var ødelagt.

Det aller beste er om man kan hindre et angrep, og for å gjøre det bør man sette opp en brannmur som kontrollerer nettrafikken inn og ut av bedriften. Vi skriver mer om brannmurer i kapittelet: ``Sikringstiltak.''

Oppdatert av Inintsec.