Ny angrepsbølge på nettet:
Over 400 norske nettsteder infisert
Russisk mafia står bak virus som er nesten umulig å oppdage.
Hundrevis av norske nettsteder er infisert med destruktiv programkode. Den ødeleggende koden gjemmer seg godt. Selv sikkerhetsekspertene sliter med å oppdage den.
- Vi har så langt besøkt over 300.000 nettsteder med .no-adresse og funnet 416 med et sikkerhetsproblem. Av disse er 121 hacket, mens 295 vil infisere brukere som besøker dem, forutsatt at ikke all programvare på pc-en er helt oppdatert.
Det sier Preben Nyløkken, senior sikkerhetskonsulent i it-sikkerhetsselskapet Watchcom som er i gang med stort prosjekt der de skal se etter sikkerhetsbrister på alle norske nettsteder.
- Det kan sammenlignes med en søkemotor som ser etter og varsler om trusler, sier Nyløkken.
Hvor mange som er infisert endrer seg hele tiden. Høyst sannsynlig er det flere i dag enn i går.
PDF og Media Player
De nye angrepene utnytter at mange PC-er ikke har helt oppdatert programvare. Hackerne gjemmer "hvilende" angrepskode på de infiserte nettstedene. Når brukerne så besøker disse nettsidene, sendes angrepskoden til brukermaskinen.
Eneste forutsetning er at enkelte programmer ikke er hundre prosent oppdatert. Programmer som brukes hyppig til å vise innhold fra nettet er Adobes PDF-leser, Quicktime, Windows Media Player og Realplayer.
- Det er ganske smart, for det er ikke vanlig å oppdatere PDF-leseren så ofte. Dermed blir den lett et smutthull for hackere, sier Nyløkken.
Stjeler kortinformasjon
Den ødeleggende programkoden gjør ingen skade umiddelbart. Men når brukeren etter hvert logger seg på en nettbank eller skal handle på et nettsted, vekkes koden til live og snapper opp sensitive opplysninger som brukernavn, passord og pålogging til kontoen.
Nettleserne oppdager ikke det som skjer, og antivirusprogrammene kommer på etterskudd.
- Det tar alltid minst to-tre dager før antivirusprogramvaren er oppgradert. I mellomtiden kan titusenvis av nettsteder allerede være infisert, sier Preben Nyløkken.
Under en presentasjon i går la Nyløkken fram en rekke eksempler på slik snokekode kjøpes og selges på nettet. Angrepskoden det er snakk om nå er ifølge Nyløkken plantet av russiske hackere. Han har omfattende dokumentasjon som viser at virksomheten er organisert av russiske kriminelle.
LES OGSÅ: Se opp for stort Facebook-virus
Oppgir ikke navn..
Akkurat nå drøfter Watchcom hvordan de skal varsle brukerne og nettsted-eierne som er rammet av nye angrep. Ifølge Nyløkken dreier det seg om flere vesentlige nettsteder. Blant annet skal et departement, et universitet og flere holdingselskaper være berørt.
Watchcom oppforderer usikre nettside-eiere til å ta kontakt med dem.
- Vi holder på å diskutere internt hvordan vi skal varsle brukerne og nettsted-eierne. Vi må trå varsomt, fordi disse nettstedene er utsatt for et organisert angrep.
Watchcom vil ikke si hvem som er infisert, bortsett fra hjemmesidene til Kvinnegruppa Ottar.
- Bør ikke dere advare forbrukerne ved å opplyse om hvilke nettsteder som er infisert?
- Jeg forstår at det er lett å tro at vi gjør dette fordi vi skal selge tjenester. Men hvis vi går ut og sier at de og de har et sikkerhetshull, kan det også føre til langt flere angrep, så lenge sikkerhetshullene ikke er tettet. I tillegg går det utover omdømmet til bedriften eller eieren det gjelder.
.. bortsett fra Ottar
Da Klikk.no ringer Kvinnegruppa Ottar fredag ettermiddag, er lederen i gruppa helt ukjent med at deres nettside skal være infisert, et døgn etter at dette ble formidlet til 300 tilskuere under Watchcoms seminar.
- Nei, det har vi ikke hørt noe om, sier Leikni Øgrim, i Ottar, til Kikk.no.
LES OGSÅ: Virus skal skremme fildelere
Fem minutter senere har hun allerede vært på tråden til Watchcom.
- Vi har gjort hva vi kan for å få tak i dem, men lyktes ikke med det. Vi mente dette likevel var noe vi kunne gå ut med, som eksempel på et mindre nettsted som er infisert. Det illustrerer også hvor vanskelig det er å få tak i eierne til endel nettsteder, og hvorfor vi drøfter grundig hvordan vi skal gjøre det, når flere hundre nettsider er infisert, sier Nyløkken.
LES OGSÅ: Guide til gratis antivirus
- Oppdater programmene!
Bare ett besøk på de infiserte nettsidene skal være nok til at maskinen din blir infisert, hevder Nyløkken.
Trusselbildet Nyløkken beskriver ble bekreftet av en rekke eksperter som var tilstede under Watchcoms sikkerhetskonferanse Paranoia 2008.
- Har du et oppegående antivirussystem, skal trusselen jeg har snakket om være oppdaget nå, slik at antivirusprogrammet ditt vil varsle deg. Du bør også oppdatere Adobe, Quicktime, Media Player, Realplayer og alle andre småprogrammer som aktiveres når du laster ned eller viser innhold fra nettet. Med disse tingene på plass skal du være rimelig trygg, sier Nyløkken.
Uholdbare nettlesere
Innhold som video, PDF-dokumenter, dialogbokser, flash-animasjoner og lydfiler er en naturlig del av det moderne web-grensesnittet. I tillegg har sosiale nettjenester som Myspace og Facebook mangedoblet utbredelsen og bruken av aktivt innhold.
Men nettleserprodusentene har ikke fulgt med i timen, mener Pat Peterson i nettverksselskapet Cisco.
- Selv bruker jeg noscript, et lite programtillegg til Firefox, som plasserer alt aktivt innhold i en "sandkasse". Aktivt innhold må da godkjennes av meg før det lastes ned på min PC. Problemet er at dette krever en viss teknisk kompetanse, som man ikke kan forvente at vanlige brukere skal ha, sier Peterson.
Bare Googles Chrome har en tilnærming til dette problemet som ser brukbar ut, mener han.
- Her har ikke nettleser-produsentene gjort jobben sin. Det er Microsoft, folkene bak Firefox og sikkerhetseksperter som oss som har skylda for denne elendigheten.
NESTE SIDE: Slik kan du beskytte PC-en mot dette angrepet
Denne saken ble første gang publisert 31/10 2008, og sist oppdatert 05/05 2017.