Virus-ulven dræber din pc

Så står flosklerne atter en gang i kø for at blive brændt af i stribevis af artikler om computervira og hackerangreb.

Zombievirussen hærger, islamistiske hackere bekriger Danmark, onde botnet lammer landet og it-sikkerhedseksperter slår alarm. Suk.

Seneste aktuelle eksempel var nyhedstjenesten Comons skrækartikel Zombie-virussen hærger Danmark. Heraf fremgår det, at "it-sikkerhedsekspert slår nu alarm". Den referede ekspert er Peter Kruse fra firmaet CSIS.

Den mand må da efterhånden være meget hæs og træt i sin telefonarm af at råbe vagt i gevær, få advarselslamperne til at blinke, og råde til forsigtighed.

Den påståede hærgen dokumenteres i artiklen i flg. afsnit:

"Ingen ved med sikkerhed, hvor mange danske pc'er der er ramt af zombie-virussen W32.Bagle-FJ.worm, der er en variant af Bagle-ormen. It-sikkerhedseksperten skyder på, at mindst 1.000 danske pc'ere har fået virussen."

Javel. Forudsætter vi nu at "it-sikkerhedseksperten" har ret i sit "skud" på at mindst 1000 danske pc'er har fået virussen, er der så tale om at virussen "Hærger Danmark"?

Come on, Comon!

Jeg synes det er noget slapt og klodset vås. Der er noget helt rivende galt med den måde et unisont hylekor af it-jourrnalister og overivrige sælgere fra it-sikkerhedsfirmaer den ene gang efter den anden advarer om, hvordan din pc er lige ved at blive aflivet af onde hackere.

It-sikkerhedsbranchen har et troværdighedsproblem på grund af den overdrevne trang til at sælge sine produkter ved at fremmane frygt.

It-medier har et troværdighedsproblem, hvis de bevidstløst rider med på bølgen af ugentlige pressemeddelelser, der advarer om, at et hacker-Armageddon er forestående.

De sikkerhedsfirmaer som uden eftertanke bidrager til at piske stemninger op, burde tænke på, at hver eneste gang de råber "Ulven kommer" uden grund, afmonterer de stille og roligt deres troværdighed.

De journalister, som kolporterer frygten burde tænke på, at hver eneste gang de agerer mikrofonholdere for ulveråbnene, er de med til at fremme ligegyldigheden, der gør, at en advarsel om en reel trussel vil kunne mødes med et skuldertræk, når truslerne for en gangs skyld bliver alvor.

Nu bor jeg jo selv i et glashus og vil kunne få ovenstående viftet om næsen hver gang, jeg selv måtte komme til at skulle skrive om den slags.

Derfor følger nu et selvpålagt kodeks, som jeg stiller helt tilgængeligt i det offentlige domæne for brug for andre beboere af glashuse:

Når jeg skriver om pc-vira, orme, hackerangreb og lignende i fremtiden vil jeg:

Sørge for altid at formidle vurderinger af trusselsbilledet, konsekvenser.Konsultere flere kilder for en reel vurdering.I videst mulig omfang linke eller henvise til oplysninger om, hvordan den aktuelle trussel kan afværges eller udryddes.

Har du holdninger til it-sikkerhedshysteriet eller hykleriet, så lad os debattere. Ser du nogen paralleler til en anden og meget større aktuel sag?

En klog ethiopisk og muslimsk taxachauffør sagde til mig igår, efter vi forsigtigt havde luftet vores holdninger til Mohammed-debatten under en tur fra Østerbro til Vesterbro: "Det vigtigste er, at vi bliver ved med at tale sammen".

Så hvad mener du om it-sikkerhedsdækningen?

/kurt

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Hej Kurt Jeg giver dig helt ret i det du skriver. Det er ufattelig ofte at man ser på de såkaldte seriøse IT-nyhedssites at en eller flere journalister ukritisk bringer sådanne udtalelser videre uden at sammenholde salgsmaterialet med hvordan virkeligheden egentlig ser ud. Vi mangler her i landet faktisk nogle journalister som har en reel viden om it-sikkerhed og de trusler som vi møder i vores færd på nettet. ComON mistede jeg for længe siden respekten for, da jeg ser dem som værende et populistisk online-magasin for skandale-hungrende personligheder i Danmark. ComputerWorld syntes jeg har udviklet sig til en god blanding af Se&Hør, Ekstrabladet og BT. Enhver skandale eller lign. blæses op med særdeles kreative overskrifter der balancere på en meget fin linie mellem decideret løgn og så alm. blikfang. Derudover syntes jeg ofte at artiklerne mest af alt minder om cut-n-paste af pressemedelelser eller salgsmateriale fra de forskellige virksomheder der nu bliver omtalt. Om dette er fordi de modtager penge for dette (så det bliver reklamefinancieret nyheder) eller om det "blot" er fordi journalisten ikke har lyst eller kræfter til at skrive dybdegående artikler, skal jeg ikke kunne sige. Derudover mangler der ofte noget reel research inden artiklen bliver offentliggjort så istedet for en rimelig objektiv nyhed udvikler sig til en subjektiv vurdering af rygter koblet sammen med manglende forståelse eller viden 'opfundet' af den journalist som nu har fået opgaven på dagens morgenmøde.

Hvis jeg sad med IT-sikkerhedsrelaterede emner til dagligt så ville jeg hvert fald ikke stole på de danske medier, men istedet finde nogle af de mere veletablerede sites i den store verden, som forhåbentlig er i besiddelse af journalister eller personer som har en reel faglig nysgerrighed der gør at man kan få en sober beskrivelse af problemet og dets omfang. 

  • 0
  • 0

Da jeg skrev blogindlægget var jeg ikke opmærksom på, at emnet også er berørt af min gode kollega Dorte Toft tilbage i oktober måned sidste år - se hendes blogindlæg Konstruerede nyheder om it-sikkerhed

Iøvrigt kan man få et underholdende blik på, hvor mange gange sikkerhedseksperten Peter Kruse har optrådt som kilde hos Comon ved lidt Googling .   /kurt  

  • 0
  • 0

Det er sørme rart at blive bekræftet i sin mistanke om hvad ComON egentlig er for et site... Hvis der vitterligt er 1500 pc'er inficeret med denne virus, så er det da MEGET få i forhold til antallet af pc'ere i Danmark... jeg ved ikke om der er et tal for hvor mange der findes, men jeg gætter forsigtigt på at det er langt over 1 million pc'ere. Hvis vi så siger der er 1500 af disse der er inficeret (dvs. 0.15%), så kan man da ikke råbe vagt i gevær eller noget som andet... det kvalificere sig faktisk ikke til at blive en nyhed i danske medier da man så ville skulle bringe ufattelig mange andre nyheder.

  • 0
  • 0

Henrik Lund Kramshøj, fra it-sikkerhedsfirmaet Security6.net har sendt nedenstående kommentar til mig, som jeg offenliggør med hans tilladelse: 

Det er fint at mane til besindighed - især fordi virus på Windows er en triviel og intetsigende affære!

Jeg siger dette fordi vi siden Morris internet ormen i 1988 ikke er kommet ret langt som branche/IT-brugere.

Det er idag de samme metoder som virus bruger og der er meget langt mellem BANEBRYDENDE nyt som kræver overskrifter. Den specifikke sårbarhed er lidt anderledes, men det er de samme programmer, samme porte, samme funktionalitet, samme email eller web-metode der benyttes til at sprede virus.

Det nyeste er næsten kun at folk har hurtigere computere og båndbredden i netværk er hurtigere og derfor er virussen lidt hurtigere end den sidste store orm/virus.

Hvis en virksomhed idag benytter sund fornuft og ser kritisk på anvendelsen af IT-systemer vil de formentlig indse at der fleste virus der er sluppet igennem forsvaret (haha forsvar, nærmere en markedsført ekstraomkostning) vil de indse at deres forretningsmæssige behov for vedhæftede filer er meget lille!

Ved at foretage denne afbalancerede afvejning af behov og lavpraktiske løsningsmuligheder kan man komme enddog meget langt.

Det kan altså uden tvivl forbedre IT-sikkerheden væsentligt at konfigurere mailsystemerne til at acceptere et meget lille antal filtyper for vedhæftede filer. Alternativt er det nemt at konfigurere samme til at afvise et antal filtyper som bestemt ikke har noget at gøre i en virksomheds mailsystem: /^Content-(Disposition|Type):\s+.+?(?:file)?name="?.+?.(386|ad[ept]|app|as[dpx]|ba[st]|bin|btm|cab| cb[lt]|cgi|chm|cil|cla(ss)?|cmd|cp[el]|crt|cs[chs]|cvp|dll|dot|drv|em(ai)?l|ex[_e]|fon|fxp|hlp|ht[ar ]|in[fips]|isp|jar|jse?|keyreg|ksh|lib|lnk|md[abetw]|mht(m|ml)?|mp3|ms[ciopt]|nte|nws|obj|ocx|ops|ov .|pcd|pgm|pif|p[lm]|pot|prg|reg|sc[rt]|sh[bs]?|slb|smm|sw[ft]|sys|url|vb[esx]?|vir|vmx|vxd|wm[dsz]|w s[cfh]|xms|{[\da-f]{8}(?:-[\da-f]{4}){3}-[\da-f]{12}})\b/     REJECT ".$2" file attachment types not allowed

Ovenstående er et direkte dump fra et Postfix baseret system der anvender denne simple metode til at afvise "virus" generelt. Når der står 'cb[lt]' betyder det at både 'cbl' og 'cbt' afvises.

Dernæst bør IT-systemerne i virksomhederne klart være forberedt på at forsvaret ikke virker! Det er en ting som alle BURDE tage med i evalueringen efter et angreb - men som ingen lader til at udføre i praksis!

Hvordan kunne denne virus komme igennem, hvor kom den ind, hvorfor nåede den at skade så meget - evaluering af egen indsats og forberedelse til næste gang. Det betyder at man i fremtiden kan spare mange penge.

Det kunne eksempelvis være lærerigt at indse at mange virus prøver at sprede sig gennem et antal kendte porte som derfor bør være blokeret i firewallen - BÅDE udefra og ind, men bestemt også indefra og UD.

Jeg er selv tilhænger af at lave en liste over godkendte porte som man tillader brugere/systemer at anvende og dernæst afviser alt andet, men som ovenfor kan man alternativt blokere et antal KENDTE virusspredningsporte 135, 137, 139, 111, osv på alle grænser til og imellem netværk. (For store virksomheder bør dette således også ske mellem lande og over VPN forbindelser)

Det jeg er fortaler for er altså at man tager skeen i den anden hånd og implementerer et antal lag af sikkerhed som går udover VIRUSBESKYTTELSE!

Visse dele af min tekst er inspireret af:

  • 0
  • 0

Det som er den store synder her og igrunden er årsagen til at windows er så befængt med virusser er at systemet har den kedelige vane med at kører kode, som kommer ind via en e-mail og det sker desværre nogle gange helt automatisk. Selv blot et preview af mailen resultere i at evt. scripts bliver kørt. Jeg er konsekvent holdt helt op med at bruge mail clienter under windows. Jeg bruger kun webmail. der læser du din mail på en alm. webside og er beskyttet af den sikkerhed, som ligger i browseren. Hvis der er attachments, som man vil kører, så skal man downloade dem aktivt først. Det som er så kedeligt er, at for at beskytte sig mod virus under windows, ja så skal man vide en masse grundregler. Man skal f.eks vide at man skal fjerne preview vinduet i mail klienten (outlook problem). Som det bliver nævnt i ovenstående indlæg, så er en ny windows virus blot blevet en trivialitet. Du skulle LIGE skrive en virus til Linux/unix, så ville i tusindvis af dygtige 'nørder' kloden rundt fare op og spurte hen til tastaturet og straks give sig til at lukke hullet og i løbet af få timer ville der ligge en fix. Fordi sådan noget kan ikke accepteres i et velfungerende operativ system.

  • 0
  • 0

Jeg er egentlig enig med meget af det Henrik Lund Kramshøj, CISSP skriver, men der er en ting jeg ikke helt forstår i hans tekst. Han argumentere (IMO rigtigt) for at firewalls bør sættes op så den indeholder hvilke porte der er åbne, og så lukke ALT andet, dvs. lave en positiv liste for hvad der må slippe gennem netværket. Det jeg ikke forstår er at han så kommer med anbefalingen at man sætter en negativliste op i Postfix så man der blacklister hvilke filtyper man IKKE vil modtage. Hvorfor da ikke genbruge konceptet med en positivliste i mailsystemet også, derved skal man som sysadm ikke tage stilling til hvilke underlige filtyper der nu accepteres som ekseverbare filer på den pågældende platform. Fx. ville jeg forestrække at man nøjes med at slippe fx. *.zip, *.tgz, *.gzip og lign. pakkede filer igennem, og så enten bounce alle beskeder der har attachments andre end disse, eller alternativt strippe det attached fra mailen og sende den videre til modtageren om at der var en fil attached, men at denne er fjernet af sikkerhedshensyn. Man skulle naturligvis oplærer sine brugere i hvad det vil sige at modtage filer via mail, og under hvilke betingelser man vil acceptere attachments. Thomas 

  • 0
  • 0

Hej thomas og andre  Du har helt ret og teksten indeholder faktisk negativlisten som et alternativ til positivlisten, hvis du nærlæser mine hurtige skriblerier. Hvad der er mest passende i den givne situation er noget som man selv må afgøre. Det sværeste at få lov til er at forbyde alt og åbne for det nødvendige. Mvh Henrik   

  • 0
  • 0
Bidrag med din viden – log ind og deltag i debatten