Introduksjon

Det er generelt akseptert at det første dataviruset ble sluppet løs i 1982 (mest sannsynlig laget i 1981).

Man går ut i fra at det første dataviruset var Elk Cloner. Det infiserte datamaskiner ved å utnytte det da populære operativsystemet Apple II. Dette viruset inneholdt bilder, blinkene tekst og beskjeden:

"Elk Cloner: The program with a personality

It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!

It will stick to you like glue
It will modify RAM too
Send in the Cloner!

Viruset ble spredt ved å infisere disketter (husker du disse?), som ble satt i den infiserte datamaskinen.

Dermed kan vi nå ”feire” det første 25-års jubileet for ondsinnet programvare.

Sammenlignet med det relativt uskyldige plottet vi så i de tidlige årene, utviklet ondsinnet programvare seg til en aktivitet for datanerder, som skapte store problemer for personer og organisasjoner, og videre til en industri dominert av kriminelle. Dette skal vi diskutere i denne sikkerhetsinformasjonen.

En kort historisk oversikt

Utrolig nok (i hvert fall når man ser tilbake) tok det hele fire år før det dukket opp datavirus for PC. I begynnelsen av 1986 ble viruset Brain (alias Lahore, Pakistani Brain, Pakistani Flu, Brain-A) sluppet løs. Dette viruset angrep oppstartssektoren (the boot sector) på en PC.

I de påfølgende årene kom det nye virus som forårsaket noe skade. Ingen av disse var spesielt farlige, når en ser gjennom øynene til de som er blitt rammet av utbrudd i senere tid.

Det var et annet ondsinnet program - en orm - som fikk størst publisitet de første årene. Den såkalte Morris worm (åpnes i nytt vindu) dukket opp i november 1988. Dette onde programmet angrep DEC VAX-maskiner og fungerte som et tjenestenektangrep (Denial of Service attack). Effekten var rystende for internettfunksjonaliteten på den tiden. Sammenlignet med i dag var bare noen få datamaskiner koblet til Internett, og et betydelig antall av disse ble angrepet.

Antallet skadeprogrammer de neste årene økte jevnt og etter hvert eksponentielt, som vi vil se senere. Flere fikk stor mediedekning; ofte fordi navnet på skadeprogrammet kunne assosieres med en kjent person eller hendelse. Noen av de mest kjente og skadelige programmene var:

• W97M/Melissa, 
  som kom til overflaten rett før påske i 1999, spredte seg ved å utnytte Microsofts Outlook som klient for masseutsendelse av e-post. Problemene, som makroviruset Melissa forårsaket, var i hovedsak overbelastede e-postservere.
• W95/CIH 
  var det første viruset med destruktivt innhold som ble sluppet løs. Under bestemte forhold kunne CIH-viruset klare å ødelegge en PC ved å overskrive FlashBIOSet. Selv om dette viruset var kjent flere måneder før den mest destruktive varianten kom 26. april 1999, ble mange PCer rammet.
• VBS/Loveletter, 
  også kjent som ILOVEYOU, dukket opp i begynnelsen av mai 2000 og hadde en eksplosiv spredning. Dette er et flott eksempel på en av de mest suksessfulle manipuleringsteknikkene for å spre skadeprogrammer ved hjelp av e-post
• Sobig.F,
  var, da den ble lansert sommeren 2003, den ormen med størst utbredelse. Kanskje er den tidenes mest utbredte skadeprogram. Sobig.F spredte seg som et e-postvedlegg, og det var kanskje det første tilfellet hvor søppelposteffekten var det største problemet – større enn den ondsinnede delen.

I løpet av de 25 årene som er passert, har vi også sett andre teknikker oppstå; teknikker som forårsaker alle slags problemer for internettfellesskapet. Noen eksempler som er verdt å nevne er:

• Robotnettverk (botnets)
  Datamaskiner, som er en del av et nettverk, som selv blir kontrollert av en robot.
• Diverse systemer som forårsaker Distribuert tjenestenekt (Distributed Denial of Service (DDoS))
  Flere systemer, ofte kontrollert av en person med onde hensikter, overbelaster båndbredden eller ressursene til et utpekt system eller systemer.
• Phisking(Phishing)
  Forsøk på å lure til seg personlig informasjon, som passord, kredittkortnummer, kontonummer osv. fra andre ved hjelp av elektroniske medier. Disse er ofte en kombinasjon av e-post og falske nettsteder.
• Spionprogramvare(Spyware)
  Programmer som samler inn informasjon om en person eller organisasjon uten dens viten og samtykke.
• Rootkit
  Et program (eller flere) som skjuler sin installasjon og tilstedeværelse fra datamaskinens bruker. Rootkits brukes ofte for å skjule ondsinnede programmer.
• Søppelpost(Spam)
  Uoppfordret informasjon, ofte sendt som e-post til et stort antall mottakere.

Situasjonen etter et kvart århundre

I historiedelen ovenfor, gav vi en kort oppsummering av noen av teknikkene som dukket opp i løpet av disse 25 årene med datavirus. Det burde være åpenlyst at det har skjedd en ganske dramatisk endring. En vil også se at ”den onde jenta” nå har ganske mange forskjellige midler til rådighet.

Imidlertid er det andre endringer som er interessante å observere:

Antallet forskjellige skadeprogrammer har eksplodert

For få år siden kunne man observere at problemene ble forårsaket av bare noen store tilfeller. Mange systemer ble berørt, og mediedekningen for hvert tilfelle var betydelig. Dette har endret seg drastisk!

Den normale situasjonen i dag er et stort antall (ofte bare litt) forskjellige skadeprogrammer, som blir distribuert over en kort tidsperiode. Bare et fåtall personer/organisasjoner blir berørt (og/eller utpekt som mål), og mediedekningen av hvert tilfelle er nærmest ikkeeksisterende.

På den andre siden er antallet unike skadeprogrammer så stort at tiden, som brukes til å bearbeide (analysere) hvert eneste ett, har i seg selv blitt en utfordring for antivirusindustrien. Det er nå tusenvis av nye ondsinnede programmer som dukker opp hver eneste dag.'

Fra ”gutteromsprogrammerere” (script kiddies) til organisert kriminalitet

På begynnelsen og i flere år ble skadeprogrammer hovedsakelig laget av såkalte ”gutteromsprogrammerere” (script kiddies) eller dyktige personer, som ikke hadde økonomiske motiver som hovedmål. Mange andre faktorer gjaldt – noen er uforståelige for de fleste utenfor den indre sirkel – men muligheten for å bli rik var ikke blant dem.

Slik er det ikke lenger! Utvikling og distribuering av skadelig programvare er blitt stor industri. De potensielle ofrene for et bestemt skadeprogram er ofte spesielt utpekte mål. Nå for tiden er mesteparten av den ondsinnede programvaren som lages mest sannsynlig verktøy for organiserte, kriminelle grupper. Det er også trygt å gå ut i fra at slike verktøy er til salgs på svartebørsen. Robotnettverk (botnets) som brukes flere ganger, kan være et eksempel.

Siden økonomisk vinning, og dermed penger, er med i bildet, vil det også være tilstede gode muligheter for å få utviklingen av programvare finansiert med betydelige summer.

Kombinasjoner av skadeprogramteknikker

I mange år har vi sett skadeprogrammer som bruker forskjellige kombinasjoner av teknikker. I det siste er dette blitt mer vanlig. Listen med eksempler er nesten endeløs, det burde være nok å nevne

• e-post som lurer noen til å besøke et ondsinnet nettsted, som er satt opp ved å utnytte en helt lovlig nettjener
• skadeprogramblanding med virus, trojanere og ormer som installeres av en rootkit
• skadevare som laster ned nye/oppdaterte komponenter fra kompromitterte nedlastningstjenere, og dermed legger til eller endrer funksjonalitet.

Hva kan vi forvente av nær fremtid

Det ville være hasardiøst å prøve å spå hvordan fremtiden vil se ut om enda 25 år. Evolusjonen til nettverkssamfunnet (kanskje det ville være bedre å bruke ordet revolusjon?) skjer så fort at enhver prognose utover noen måneder og de første årene vil opplagt være rene spekulasjoner.

Det skulle være trygt å anta at dagens situasjon vil være gjeldende og utvikle seg mer sofistikert. Selv om operativsystemer blir mer sikre, programmer mot skadevare blir mer avanserte og fokuset på informasjonssikkerhet er økende, har ingen kommet opp med noen løsning som vil sette en stopper for problemet med ondsinnet programvare.

Mer avansert kommunikasjonsutstyr betyr flere muligheter for skadeprogramvare

Vi ser allerede en tendens til at forskjellige teknologier smelter sammen: TV på mobiltelefoner, DVD på bærbare datamaskiner, digitale kameraer brukt som kommunikasjonsenheter osv. Kort sagt: mye av det utstyret vi bruker i hverdagen er datamaskiner, som har operativsystemer, programmer og dermed potensielle svakheter som kan bli utnyttet.

Angrep rettet mot nasjoner

Så langt har ondsinnet programvare bare sjeldent – hvis i det hele tatt – blitt brukt i store angrep mot et land og dets infrastruktur. En kan anta at vi vil få se slike angrep i relativt nær fremtid; enten av andre land eller en organisasjon, som prøver å destabilisere et land ved å angripe dets elektroniske kommunikasjonssystem.

Skadelig programvare er ofte blitt omtalt som det perfekte terroristmiddel. Men et slikt middel, sett fra terroristens side, vil trolig ikke skape den store frykten i befolkningen – noe som er et av hovedmålene for en terrorist. Skadevare som et verktøy for terroristgrupper vil bli diskutert i mer detalj i en kommende Sikkerhetsinformasjon.

Mer avanserte systemer mot skadeprogramvare

Profesjonelle innen sikkerhet og leverandører av antiskadeprogrammer er enige om at tradisjonelle teknikker for å stoppe skadelig programvare ikke er gode nok. Flere alternative systemer er blitt utviklet. Eksempler er systemer som gjenkjenner typisk atferd og systemer som kjører programkode i et kontrollert miljø. Normans egen SandBox-teknologi er en slik teknikk som har bevist at den er blant de mest effektive systemene som er tilgjengelig. Slike systemer vil bli utviklet videre og bli et voksende viktig element i den kontinuerlige kampen mot ondsinnet programvare.

Ukjente trusler

For 25 år siden var flere av truslene, som er blitt nevnt tidligere i denne sikkerhetsinformasjonen, utenkelige. Det er derfor trygt å anta at vi vil få se trusler mot internettfellesskapet og andre brukere av elektronisk kommunikasjon de kommende årene, som ingen er i stand til å forutse nå. Sikkerhetsmiljøets utfordring blir å svare mot truslene så raskt og effektivt som mulig, for å minimere og, ideelt, stoppe disse permanent.

Den løpende kampen mellom ”de onde jentene” og sikkerhetsmiljøet vil fortsette enda et kvart århundre…