Introduksjon

Skadelig programvare (malicious software) ble, i de tidlige årene, hovedsakelig spredt via disketter. Store utbrudd var sjeldne. Da e-post overtok som hovedbærer av skadevare ble problemets omfang mangedoblet, og store utbrudd ble et vanlig fenomen.

Nå for tiden er det nesten ingen store utbrudd lenger. Men, trusselen mot internettbrukere er likevel mer alvorlig enn noen gang. Og en ny retning innen skadevarespredning har fått økende popularitet blant de onde jentene: Ondsinnede nettsteder.

En annen type zombie

Begrepet "zombie" blir ofte brukt om datamaskiner som er en del av et bottnettverk (botnet). Disse brukes for eksempel i et Distribuert Tjenestenektangrep (Distributed Denial of Service (DDOS) attack) eller for å spre søppelpost (spam).Eierne av disse datamaskinene er som regel ikke klar over at de faktisk er en del av et slikt angrep, siden datamaskinene blir infisert av skadevare uten brukerens viten.

Dagens skadevare benytter ofte flere forskjellige kanaler for å spre og installere andre skadeprogrammer. En av disse spredningskanalene er gjennom webservere. Dette har tidligere ikke vært særlig utbredt, siden det da fungerte slik at gjerningspersonen satte opp sin egen server og forsøkte å lure folk til å besøke nettstedet hennes. Dette hadde minst tre store ulemper

• Det er ikke så enkelt å lure mange brukere til å besøke et bestemt nytt nettsted.
• Det går vanligvis raskt å ta ned en ondsinnet server fra Internett ved å kontakte Internet Service Provider (ISP).
• Risikoen for å bli oppdaget og straffeforfulgt er ganske høy.

Imidlertid har flere hendelser uten sammenheng endret denne situasjonen betraktelig. Webservere er blitt en populær kanal for å spre skadevare. Vi skal utforske noen av årsakene i detalj.

Nesten alle har sin egen webserver

De siste årene er det blitt mer og mer vanlig med datamaskiner hjemme. Det er også blitt mer vanlig at slike hjemmemaskiner konstant er koblet direkte mot Internett (xDSL kobling); ofte med en permanent IP-adresse og registrert domene.

Hjemmemaskinene er også ofte satt opp som webservere og gjort tilgjengelig for andre over Internett.

Dessverre er det slik at de fleste private individer ikke er like sikkerhetsorienterte som profesjonelle IT-ansatte. Disse hjemmebaserte webserverne er derfor ofte usikre og kan enkelt bli utnyttet av noen med onde hensikter – som regel uten eierens viten.

Økt fokus på sikkerhetshull i operativsystem og applikasjoner

”Black hat”-miljøets fokus på sikkerhetshull i operativsystemer og applikasjoner har økt. Det er til og med egne markedsplasser på Internett for kjøp og salg av informasjon om sikkerhetshull og kode som utnytter sikkerhetshull. Dette har ført til at flere varianter av ondsinnet programvare utnytter de samme sikkerhetshullene. Betydningen av å ha siste versjon av alle programmer på datamaskinen er ikke overdrevet.

Webserverne som blir drevet av folk som ikke har sikkerhet som hovedfokus, og dermed ikke blir kontinuerlig oppdatert, kan fort bli offer for skadevare som utnytter til og med gamle feil i operativsystemet og annen programvare.

Brannmurer blokkerer vanligvis ikke webtrafikk

Som en ordinær websurfer har du normalt ingen anelse om hvorvidt nettstedet du besøker er legitimt eller ondsinnet. De fleste brannmurer (personlige og bedrifters) slipper http(web)-trafikk gjennom, og det ondsinnede innholdet skjules lett blant legitim http-trafikk.

Noen organisasjoner har satt opp regler slik at bare trafikk fra predefinerte nettsteder tillates gjennom brannmuren. Dette vil beskytte mot å bli infisert fra et ukjent nettsted, men har selvfølgelig andre klare ulemper.

Farvel hærverk, velkommen økonomisk kriminalitet

For noen år siden var det hærverk som var populært blant de som drev med ulovlige aktiviteter på Internett. Dette i seg selv har ingen økonomisk verdi – det høyeste som kunne oppnås var anerkjennelse fra tvilsomme grupperinger. Etter hvert som Internett har utviklet seg til en stor arena for flere forskjellige typer kriminell aktivitet, er fokuset endret fra hærverk, for å vise at dette er mulig, til utnyttelse av andres webservere som middel for mer tradisjonell kriminalitet med økonomisk formål.

Hun overtar webserveren din

For en kriminell med tilgang til et sett med webservere rundt om i verden, er mulighetene mange.

• Hun kan bruke nettstedet ditt til nettfisking (phishing) ved for eksempel å forkle det som en legitim bank.
  Ulempen med dette oppsettet er at du sannsynligvis raskt vil oppdage at nettstedet ditt er blitt forandret. 
• Hun kan benytte teknologi som endrer nettstedet ditt uten at det blir oppdaget, verken av deg eller nettstedets besøkende.
  Det kan settes inn kode på sidene som for eksempel laster ned skadevare til de besøkendes datamaskiner. Denne skadevaren kan lastes ned fra andre servere som du ikke har kjennskap til. 
• Nettstedet ditt kan bli brukt som nedlastningssted for skadeprogramvare lenket opp fra andre kompromitterte webservere rundt om i verden. Med mindre du analyserer loggfilene dine for å sjekke hvilke webressurser som er blitt forespurt, er det fullt mulig du ikke oppdager dette.
• Noen webservere er på avanserte måter blitt utnyttet som en del av et stort ”bruk” med webservere som tilbyr det samme innholdet. Personen som kontrollerer disse kompromitterte webserverne kan registrere DNS-navn som skifter IP-adresser ekstremt ofte (for eksempel hvert minutt). Etter som den aktive serveren byttes ut hele tiden, er det vanskelig å kartlegge hele strukturen, og ta ned disse skadevaresprederne.

Hvem er juridisk ansvarlig for innholdet på en webserver?

Lovgivningen som bestemmer hvem som er ansvarlig for innholdet på en webserver, varierer fra land til land. I de fleste tilfeller skulle du kunne klare å argumentere med at webserveren din var kompromittert og at du ikke burde bli satt ansvarlig for det andre har plassert på weben din. Det kan dog bli vanskelig å bevise dette, dersom du ikke har logger som dokumenterer det faktiske innbruddet.

Og selv om du til slutt klarer å bevise at du er uskyldig, må du kanskje gå gjennom ganske ubehagelige dager/måneder/år før du får overbevist etterforskerne (og ISPen din til å koble deg på Internett igjen).

Et interessant synspunkt, som har noen tilhengere, er at hvis eieren av en kompromittert maskin har vist ”grov uaktsomhet” ved beskyttelse av datamaskinen sin, kan han bli stilt ansvarlig, selv om han ikke er den som utførte den faktiske ugjerningen. Hvis denne tankegangen skulle bli bestemt ved lov, er det ganske mange private eiere av webservere som er i risikogruppen for å bli definert som kriminelle...

Hvordan beskytte seg selv?

Som vanlig er det noen ganske enkle grep som bør være obligatoriske for alle som kjører en offentlig webserver hjemmefra (i realiteten for alle som har en datamaskin koblet til Internett):

• Kontroller at datamaskinen din er oppdatert med de siste sikkerhetsendringene av operativsystem og applikasjoner. Gjør dette kontinuerlig – dette er ikke en engangsforeteelse, ettersom nye sikkerhetshull stadig oppdages.
• Benytt antivirusprogram og hold dette oppdatert. En utdatert antivirusapplikasjon beskytter bare mot gammel skadevare.
• Sett opp en brannmur mellom datamaskinen/nettverket og Internett. Gi bare tilgang til/fra porter (tjenester) du stoler på.