2. Angrep over nettet 1: Virus og ormer


Vi vil i dette kapittelet ta for oss problemer med ondsinnede programmer. Dette er programmer som er laget med det formål å ødelegge for andre. Disse programmene er enten av en type som sprer seg selv, eller ligger gjemt i andre programmer.

En av de mest kjente angrepene på Internettet var episoden med Morris-ormen i 1988. Den ble høyst sannsynlig laget av Robert T. Morris som da var student ved Cornell University i USA, og har fått navn etter ham. Det var et dataprogram som var laget for å spre seg selv over Internett, og lage nye versjoner av seg selv på alle maskiner den kom til. Ormen utnyttet flere sikkerhetshull i Unix for å spre seg, og hadde også prosedyrer som beskyttet den mot å bli oppdaget og fjernet. Effekten var at maskinene gikk tregere og tregere til man nesten ikke hadde ressurser igjen. Ormen forårsaket ingen fysisk skade på andre filer eller programmer.

Definisjoner

Programmet til Morris var hva vi kaller en orm. Den spredte seg selv til andre maskiner, og lagde nye kopier av seg selv der. Vi tar nå for oss de forskjellige typene virus (En digresjon er at et av de første virus som ble laget slett ikke var ondsinnet, men gikk fra maskin til maskin og gjorde nyttig arbeide.) og forklarer hva som er forskjellen på dem:

virus
er program som sprer seg sammen med andre filer og programmer. Virus sprer seg ikke av seg selv. Fordi de ligger gjemt inne i et annet program eller programpakke blir de bare bli spredt hver gang dette programmet blir kopiert. Hvis et program er virusinfisert kan det bety at noen av filene i programmet er endret, og at det eventuelt er lagt til nye filer som viruset benytter. Virus aktiveres imidlertid først ved kjøring av programmer. Viruset har lagt til eller endret instruksjoner i den kjørbare filen. Det vil si at man ikke løper noen risiko for å aktivere et virus bare ved å lese en fil.

Disse programmene legger seg ofte inn i operativsystemene. På grunn av måten de sprer seg på, er virus mer et problem som er knyttet til disketter og diskettstasjoner, og mindre av et problem knytte direkte til nettet. I denne rapporten tar vi ikke opp problemer knyttet til disketter og stasjoner.

ormer
er programmer som sprer seg selv over nettet. Morrisormen benyttet seg av en rekke svakheter i bl.a finger-programmet, sendmail og rsh. Når den først hadde kommet seg inn på et nytt sted gikk den løs på passordfilen, og prøvde å knekke den, samtidig som den utnyttet muligheter i xhost+ og rlogin-filer. Etter denne episoden har flere av de store sikkerhetshullene blitt tettet. Det finnes kjente hull som ikke er tettet, flere av disse blir imidlertid overvåket.

logiske bomber
er programlinjer som er lagt inn i et annet program, og som starter å eksekvere når bestemte betingelser oppstår. Det kan være at det starter på en dato eller etter at programmet har vært kjørt et visst antall ganger eller liknende. Skadeomfanget er det samme som for ormer og virus, men logiske bomber kan være vanskeligere å spore. Det kan gå lang tid fra du laster ned et program til bomben detonerer. Da kan det hende at du føler deg trygg på at det ikke er noe galt med programmet, siden du kanskje har brukt det mye i mellomtiden - uten problemer.

makrovirus
er et økende problem på nettet. Store, nye og moderne teksteditorer som Emacs (stor) og Word (moderne og stor) har fått ny funksjonalitet. Man kan skrive dokumenter og legge inn makroer som blir kjørt straks noen leser dokumenet. Her er det en åpenbar mulighet til å legge inn skadeprogrammer i en makro i dokumentet. For å spre et makrovirus er det f.eks tilstrekkelig å sende et Word-dokumentet per mail. Når man åpner dokumentet starter makroen og dermed viruset. Dette problemet forsterkes ved muligheten for å forfalske avsenders navn og adresse. Du kan lett lures til å tro at du mottar en mail fra en seriøs kollega, mens mailen er sendt fra en svindler og inneholder et destruktivt virus. (Mer om dette i kapittel 4: Tyveri av informasjon). Det nye med makrovirus er altså at det aktiveres allerede ved lesing av et dokument, vel og merke hvis man leser dokumentet i den applikasjonen makroen er skrevet for.

trojanske hester
er programmer som utgir seg for å være noe annet enn det de er. Typisk kan programmet enten inneholde virus, ormer eller logiske bomber. Et eksempel fra våren 1995 var en program med navn PKZIP30B.EXE som ble lastet ned på mange maskiner. Programmet gav seg ut for å sendt ut av PKW som en 3.0B versjon av det populære pakkeprogrammet PKZIP. Når man kjørte programmet ble hele harddisken slettet.

Mulige konsekvenser

Det finnes en mengde muligheter for de som vil ødelegge for andre, og virusangrep er et av dem. Vi klarer ikke her å liste opp alle mulige problemer som kan oppstå, men vi tar med hovedtypene.

Man kan bli utsatt for såkalte uskyldige angrep. Typisk vil det komme opp en tekstmelding på skjermen som sier: ``Du har blitt angrepet.'' eller noe liknende. Dette vil for de fleste ikke få fatale konsekvenser. Imidlertid kan det være irriterende hvis denne meldingen fortsetter å dukke opp igjen, kanskje med korte tidsintervaller.

En annen type angrep er programmer som enten fyller minnet med søppel eller fyller opp hele disken. Dette kan være irriterende og plagsomt intil man får fjernet problemet. Slike hendelser som dette er vanlige ved angrep av ormer.

Virus kan slette eller endre filer. Dette er typisk det første et virus gjør når det aktiveres. Det kan være vilkårlige filer, noen utvalgte eller alle filene. Eventuelt kan den starte reformatering av disken. Dette kan være kritiske hendelser. Data kan gå tapt, og man kan få driftsstans hvis datafiler eller programmer ikke lenger virker på grunn av korrupte eller manglende filer.

Spesielt innen endring av filer og programmer finnes det mange varianter. Viruset kan ødelegge noen linjer her og der så programmer enten ikke virker, eller blir utstabilt. Viruset kan også endre funksjonalitet i programmet. Dette kan gi ytterligere sikkerhetsproblemer hvis viruset får tilgang til inloggingsprosedyrer og får gjøre endringer på disse. Endring av privilegier, userid-bit eller liknende kan medføre flere problemer.

Mulige sikringstiltak

Hvis man vil sikre seg mot virus bør man ikke ukritisk kopiere software. Piratkopiering har vært en kilde til spredning av virus, og bruk av original programvare er et sikringtiltak. Hvis man henter ned programvare fra nettet, så bør man være sikker på at man vet hvem man får det fra. Hvordan dette gjøres beskrives senere i denne rapporten under: Digitale signaturer.

Generelt når det gjelder virus, så finnes det en rekke antivirusprogrammer på markedet. Dette gjelder både de gamle virusene og de nye macrovirusene. Disse programmene hjelper deg til å finne og slette virus. De kan bli satt til å overvåke systemet ditt, slik at de gir deg en alarm straks de finner noe.

Når det gjelder de hullene i UNIX som Morris-ormen benyttet seg av, så er de fleste tettet igjen. De hullene som ikke er tettet og som man vet om er det stort sett mulig å overvåke. Dette krever selvsagt at man har en driftsavdeling med kompetanse til å sette opp og drive et slikt overvåkningsystem.

Hvis du får virus som sletter alle dine data, gjelder det at du har backup. Med en fullstendig backup er det bare å finne skadeprogrammet, fjerne det og legge inn gamle data. Man må da fortsette å jobbe med data som er noen timer eller dager gamle. Man kan imidlertid aldri være sikker på at det ikke ligger virus i de filene man reinstallerer. Derfor bør man være oppmerksom på uvanlige hendelser i tiden etter et slikt angrep, for å sjekke at alt virkelig er rettet opp, eller om det rester av virus igjen på maskinene.

Gode backuprutiner inkluderer at man regelmessig tar kopi av alle disker og lagrer denne kopien utenfor maskinen, det vil si uten at det er tilgang på den fra nettet. Av hensyn til fysisk innbrudd og brann bør også kopien flyttes ut av huset.

Det er ikke sjeldent å høre historier om driftsavdelinger som deler disken i to: Bruker den ene halvparten til å lagre data, og den andre til å ta backup. Dette er en meget dårlig løsning da et angrep eller en feil på denne disken kan gjøre backupen like ubrukelig som originalen. Menighetsfakultet opplevde våren 1997 et liknende problem. De hadde tatt backup av alle data i lengre tid. Men når diskene en dag krasjet virket ikke programmet som skulle reinstallere backupen. Det programmet var nemlig avhengig av et register som lå på disken som var ødelagt.

Det aller beste er om man kan hindre et angrep, og for å gjøre det bør man sette opp en brannmur som kontrollerer nettrafikken inn og ut av bedriften. Vi skriver mer om brannmurer i kapittelet: ``Sikringstiltak.''


Oppdatert av Inintsec.