Innledning
Desember er måneden for å se tilbake på året som nærmer seg slutt, og vi vil forsøke å oppsummere situasjonen sett fra et sikkerhetsselskaps perspektiv. Den mest betydningsfulle observasjonen hva gjelder aktivitetene til ondsinnet programvare (malware), er at forskjellige typer sosiale nettverk ble et hovedmål for forfatterne av ondsinnet programvare.
Malware spesielt verd å studere nærmere
Enkelte ondsinnede program krever spesiell oppmerksomhet.
Conficker
Til tross for at denne ormen først ble observert mot slutten av 2008, var det i 2009 den medførte mest problemer for sluttbrukere, i særdeleshet for organisasjoner. Ormen var svært aktiv i første halvdel av 2009, men den er fremdeles å regne med når dette skrives mot slutten av året.
W32/Conficker finnes i flere varianter og er en nettverksspredende orm, som har muligheter for å oppdatere seg selv ved hjelp av nedlasting fra Internett. Disse oppdateringene foretas fra et mindre utvalg servere som ormen selv velger fra et meget stort utvalg potensielle nedlastingsservere.
Ormens mest bemerkelsesverdige egenskap er at en av dens spredningsmekanismer er utnyttelse av en sårbarhet i Windows Server Service. Denne sårbarheten gjør at ormen kan sette i gang en nedlasting av seg selv til en maskin uten av brukeren oppdager det.
Ormen sprer seg også til delte mapper i Windows-nettverk og til/fra flyttbare enheter, som f.eks. minnepinner. Førstnevnte gjør at den er vanskelig å bli kvitt i et nettverk, mens sistnevnte har resultert i flere infeksjoner i kjente organisasjoner som generelt har brukbare sikkerhetsrutiner.
Conficker-ormene har forholdsvis avanserte systemer for å beskytte seg mot å bli fjernet av antivirusprogram og andre sikkerhetsapplikasjoner.
Ytterligere detaljer om Conficker finnes i Normans virusbeskrivelse.
Virut
W32/Virut er en familie svært polymorfe virus. Flere forskjellige spredningsmekanismer benyttes, inkludert autorun-funksjonaliteten for minnepinner. Denne kjører viruset når en slik enhet kobles til en datamaskin (med mindre denne funksjonaliteten er koblet ut).
I tillegg til Viruts polymorfe karakter, er Viruts mest interessante egenskap dens mulighet for å koble ut Windows' beskyttelsesmekanismer, noe som gjør at viktige, beskyttede systemfiler kan bli infisert.
Virut-virusene benytter teknikker for å beskytte seg mot å bli fjernet fra antivirusprogram og andre sikkerhetsapplikasjoner ved at de blokkerer tilgang fra infiserte datamaskiner til en mengde forskjellige websteder til ulike sikkerhetsselskap.
Virusene i Virut-familien var aktive gjennom hele året, og de vil sannsynligvis også komme i nye varianter neste år.
Ytterligere detaljer om Virut finnes i Normans virusbeskrivlelse.
Koobface
W32/Koobface er interessant først og fremst fordi den har sin spredingsmekanisme via sosiale nettverk som Facebook. Den dukket opp i 2008, men det var i 2009 den nådde sin (foreløpige) topp.
En datamaskin som er infisert av Koobface, sender automatisk meldinger med ondsinnede linker til datamaskineierens kontakter i forskjellige sosiale nettverk. Ormen vil søke i informasjonskapsler ("cookies") på maskinen for å se etter innloggingsinformasjon til ulike sosiale nettverk. Ved å bruke informasjonen fra disse informasjonskapslene kobler ormen seg til de aktuelle nettstedene og begynner å sende meldinger til venner og øvrige kontakter.
Ytterligere detaljer om Koobface finnes i Normans virusbeskrivelse.
Malware-cocktails
I "gode gamle dager" - i forhold til ondsinnede program - kunne sikkerhetsorganisasjoner og brukere forholde seg til malware på en annen måte enn nå. Den mest vanlige teknikk for en forfatter av malware var å lage ett ondsinnet program og bruke forskjellige teknikker for å spre dette.
Dette har endret seg gjennom årene, og dagens situasjon er fundamentalt annerledes. Nå er den generelle trenden malware-cocktails. Disse består både av en hel serie forskjellige typer ondsinnede program, og samme typer med forskjellig funksjonalitet.
Slike malware-cocktails blir ofte spredd sammen med et skjuleprogram ("rootkit"), noe som gjør deteksjon adskillig mer utfordrende. Enkelte standard skjuleprogram benytter svært avansert teknologi for å skjule seg selv og malware-cocktailens øvrige komponenter.
En av Normans malware-analytikere sa det slik: "Det er er som en Swiss Army Knife full av av ondsinnet programvare".
På denne måten er utfordringen for "de snille" fundamentalt endret, da det ikke lenger er nok å finne og fjerne et spesielt ondsinnet program. Andre deler av malware-cocktailen kan fremdeles være aktive i den infiserte datamaskin/nettverk og reinfisere og/eller laste ned nye komponenter. Dette innebærer selvsagt at det blir betydelig vanskeligere å rense et infisert system.
Generelle tendenser
Veksten i ondsinnede progarm
En indikator som viser veksten i ondsinnede program over en tidsperiode, er antallet signaturer for malware i Norman virusdeteksjonsfiler. I 2007 ble det lagt til flere signaturer enn alle tidligere år til sammen. I 2008 ble det lagt til flere signaturer gjennom året enn det samlede antall ved begynnelsen. I 2009 ble det lagt til litt færre signaturer enn det totale antall ved årets begynnelse.
Dette ser ut til å indikere at veksten er stabilisert og at den nå er linær til forskjell fra den eksponensielle veksten i årene før 2008. Det totale antall er uansett voldsomt sammenlignet med antallet i begynnelsen av dette tiåret.
Figuren under viser veksten i antallet signaturer i Normans virusdeteksjonsfiler fra begynnelsen av 2008 til midten av desember 2009.
Legitim programvare detektert som ondsinnet
Det faktum at antallet ondsinnede programmer har blitt så stort innebærer en ekstra fare, da legitim programvare kan bli detektert som malware, fordi den tilfredsstiller kriterier i antimalwareprodusentenes signaturfiler eller annen deteksjonsteknologi. I år har dette skjedd med sikkerhetsprogramvare fra forskjellige produsenter, herunder Norman.
Dessverre er det ikke til å unngå at dette vil skje igjen. Den viktigste utfordringer for sikkerhetsleverandører er å unngå at slikt skjer for kritiske systemfiler og kritiske, utbredte program. For å sikre dette investerer sikkerhetsleverandørene tungt i utstyr slik at malwaredeteksjonsfilene kan testes grundig mot alle typer legitim programvare før de blir gjort tilgjengelige for kundene.
I en sikkerhetsartikkel tidligere i år ble dette drøftet med utgangspunkt i en tilsvarende sak med Googles system for identifikasjon av ondsinnede websteder [Engelsk].
Mer falsk programvare
Programvare som later som om den er noe annet enn hva den faktisk er, har eksistert alltid (i dataalderen). Det ble observert en økt tendens av slikt i 2008, spesielt en økning i falsk programvare som ga seg ut for å være antivirus- og antispionprogrammer, og dette fortsatte i 2009.
I løpet av 2009 var det til og med en økning. Mot slutten av året har falsk programvare vokst til en utgjøre en ren industri. Potensialet for økonomisk gevinst for de involverte er betydelig, samtidig som risikoen er bagatellmessig.
Sosial nettverk for spredning av ondsinnet programvare
Sosiale nettverk som Facebook og Twitter har blitt stadig mer populære i løpet av året. Ikke overraskende har dette skjedd samtidig som sosiale medier også blir benyttet til å spre ondsinnet programvare.
Koobface, som vi omtalte over, er et eksempel på hvordan malware benytter sosiale medier, og det finnes mange andre eksempler. Det er viktig å være oppmerksom på at smarte teknikker for sosial manipulering ofte vil benyttes for vellykket spredning.
Som nevnt innledningsvis: Dersom man skal velge én spesiell sikkerhetshendelse som den viktigste i 2009, ville dette være sosiale nettverk som medier for spredning av ondsinnet programvare og ondsinnet utnytting av slike nettverk - normalt ved sosial manipulering.
Forskjellige aspekter ved sosiale nettverk har vært tema for mange av årets sikkerhetsartikler. Se for eksempel:
- Sosiale nettverk - den kriminelles beste venn eller hennes fiende? [Engelsk]
- Ondsinnet identitetsproduksjon [Engelsk]
- En alternativ måte å bruke Twitter på [Engelsk]
- Forteller fugler sannheten? [Engelsk]
- HALLO! Huset mitt er klart for innbruddstyver [Engelsk]
Sårbarheter i operativsystem og applikasjoner utnyttes stadig
Trenden fortsetter med at forfattere av ondsinnet programvare utnytter sårbarheter i operativsystem og applikasjoner for å spre seg. Populære programmer som ble berørt av dette, inkluderer utbredte nettlesere, Adobes programmer, mye brukte kontorapplikasjoner osv. Det er verd å merke seg at ikke bare programvare fra Microsoft ble utnyttet, flere andre produsenters programvare ble også misbrukt.
Tidligere år var malware-forfatternes hovedfokus sårbarheter i operativsystem. Dette har imidlertid endret seg, og populære applikasjoner som ovennevnte er i økende grad målet. Det er i den sammenheng et spesielt problem for brukerne at det ikke finnes noen felles standard for å distribuere oppdateringer til applikasjoner. Dette har medført at det eksisterer en mengde forskjellige oppdateringsmekanismer, som man må forholde seg til.
Malware-forfatterne er svært raske til å utnytte nyoppdagede sårbarheter for sine ondsinnede applikasjoner. En av konsekvensene dette har, er at programvareprodusentene må reagere stadig raskere og publisere sikkerhetsoppdateringer eller informere om andre måte å sikre seg på.
Forfatterne av ondsinnet programvare blir også stadig mer avanserte ved at de lager malware som utnytter ikke bare én, men en hel serie sårbarheter - rettede eller ikke - i samme ondsinnede applikasjon. Dette er blitt stadig lettere, da en person med onde hensikter kan kjøpe egne sett med sårbarhetsutnyttelser på Internett, og deretter bruke dette i ondsinnede program.
Det å lage et ondsinnet program er nå mulig uten noen form for programmeringskunnskaper. En konsekvens av dette er at dyktighet mht. sosial manipulering blir stadig viktigere for at et spesielt sett malware skal bli vellykket i konkurranse med alle de andre.
I løpet av 2009 ble slike saker inngående drøftet i våre sikkerhetsartikler. Se f.eks.:
- Programvare mest mottakelig for vellykkede angrep [Engelsk]
- Web-annonsering - en betydelig spredningsmekanisme for ondsinnet programvare [Engelsk]
- Tilleggsprogramvare - et modent mål for malware [Engelsk]
Store mediebegivenheter benyttes i distribusjon av ondsinnet programvare
Dette er ingen ny og revolusjonerende observasjon. Imidlertid har vi sett at denne tendensen har økt i løpet av 2009. Malwareforfattere er blitt ivrigere til å lansere ondsinnet programvare ved hjelp av sosial manipulering med utgangspunkt i store mediebegivenheter.
Vi har sett flere eksempler på dette. De klareste var antagelig alle variantene som omhandlet Michael Jacksons død og begravelse.
Det er en mengde forskjellige verktøy tilgjengelige for en person som ønsker å bruke sine evner til sosial manipulasjon sammen med redskap fra Internett. I egne sikkerhetsartikler tidligere i år har vi drøftet:
- Bruk av korte URLer for å utydliggjøre det egentlige bestemmelsesstedet til en link [Engelsk]
- Registrering av domenenavn med populære mediebegiveneheter som del av domenenavnet [Engelsk]
Ondsinnet programvare utnytter nye typer enheter
Et interessant fenomen! I 2009 har vi sett to eksempler på dette. Begge har vi funnet å ville diskutere i egne sikkerhetsartikler:
- Malware på bankautomater [Engelsk]
- Malware som utnytter rutere / DSL-modem [Engelsk]
Antagelig er dette bare toppen av isfjellet. I fremtiden kan vi forvente at forskjellige typer enheter som aldri ble oppfattet som sårbare eller farlige, vil vise seg å være nettopp dette. Dette er bekymringsfullt, og vi kan ikke få sagt det ofte nok: Vi har lært oss å være på vakt mot ondsinnet programvare som distribueres på tradisjonelle måter. Så snart det dukker opp en ny distribusjonsmetode svikter våre forsvarsmekanismer.
Toppolitikere fokuserer på Internett-trusler
Avslutningsvis passer det å nevne at midt i året ble det fokusert på Internett som en kritisk del av moderne samfunns infrastruktur. Den amerikanske presidenten, Barack Obama, la spesielt vekt på dette i en mye omtalt tale 29. mai i år.
For slike som arbeider med datasikkerhet er det spesielt velkomment at utfordringer som denne gruppen har følt i årevis, dermed er blitt ytterligere fokusert. I større grad oppleves det at moderne samfunn tar inn over seg sikkerhetsproblemstillinger som involverer Internett og relatert infrastruktur. Det er en trussel mot moderne nasjoners muligheter for å funksjonere dersom denne infrastrukturen helt eller delvis bryter sammen.
Flere detaljer finnes i vår sikkerhetsartikkel her:
Forutsigelser for 2010
Våre spådommer for 2009 introduserer ikke noen fundamentalt nye sikkerhetssaker (selv om slike selvsagt kan dukke opp). Forutsigelsene er snarere "økt fokus på de siste populære trender"..
Vi forventer at forfatterne av ondsinnet programvare først og fremst vil konsentrere seg om følgende i 2010:
- Flere og stadig mer sofistikerte forsøk på å utnytte sosiale nettverk..
- Falske sikkerhetsprogrammer vil fortsatt være populære.
- Malware-cocktails vil stadig benyttes, bli mer fleksible og mer avanserte rootkits vil komme.
- Automatisk oppdatering av ondsinnet programvare vil bli mer og mer innovativ.
Spesielt disse forhold bør være "under overvåking":
- Vil ondsinnet programvare som fokuserer på mobiltelefoner, omsider bli en reell trussel for et betydelig antall brukere?
- Vil teknologi "i skyen" ("in the cloud") bli misbrukt på en ondsinnet måte?
