Per Hellqvist om IT-säkerhet och sånt

VB07-loggaGuillaume Lovet från Fortinet öppnade fredagens sessioner med en rivstart: Cyberbrottsligheten uppgår nu till någonstans mellan 50-100 miljarder dollar (enligt bl a NHTCU). Stora siffror, stor osäkerhet. Detta är mest beroende på att brottsligheten är global och det finns ingen central site som samlar in siffror.

Guillaume har suttit och räknat på profiten i olika typer av e-brott. Han tog bland annat upp det som refereras till som “The Italian Job“, där tusentals italienska webbplatser hackades. 90% av dessa låg på webbhotellet Aruba.it, vilket tyder på att man lyckats ta sig in där via ett säkerhetshål i nån av deras servrar. På webbplatserna lade man in en dold iFrame
vilket fick till följd att alla besökare omdirigerades till en helt annan server någonstans i världen. Denna server var preparerad med ett program som heter Mpack. Den programvaran kontrollerar vilka säkerhetshål som inte täppts till i besökarnas webbläsare och sedan infektera dem med lämplig elak kod. Över 100.000 personer utsattes och ca 10% av dessa, eller 10.000 besökare, infekterades. Räknar man på ekonomin bakom brottet blir det snabbt intressant.

Utgifter

Alltså ca 10.750 dollar alltså motsvarande ca 70.400 svenska kronor med dagens växelkurs

Intäkter

Vinsten blir då ca 300.000 dollar, eller 1.965.000 svenska kronor!

(alla antaganden och siffror är Guillaumes)

Han gick vidare och pratade om ekonomin bakom phishing-maskar på sociala nätverkssiter som Myspace. De sprids exponentiellt om man räknar med att alla har ca 100 kompisar.

Dr. Vesselin Bontchev från Frisk (F-Prot) klev sedan upp på scenen och presenterade en session med titeln “Virusability of modern mobile environments”. Det är väl bara Vesselin som kan komma på en sån titel, men han brukar vara mycket påläst och underhållande på ett torrt akademiskt sätt, så jag gick dit. Han tog upp olika typer av mobila plattformar och diskuterade “virusabiliteten”. Observera att hans observationer handlade om möjligheten att skriva virus (filinfekterare och parasiter). Inte möjligheten att ställa till med annat ofog, t ex maskar och trojaner.

Symbian S60
Symbian S60 R2 har idag problem med virus. Nu kommer Symbian R3. Den är såpass annorlunda än R2 att alla R2 binärer är inkompatibla vilket innebär att alla gamla virus för R2 i princip är döda. Symbian har lagt en funktion som säger att bara Symbian-signerad kod får installeras. En funktion som användaren dock kan stänga av. Från Windows-världen vet vi att detta inte är en bra idé ™.

Spyware finns redan för R3, men inte virus. Men hur fick man den digitalt signerad? Man lurade helt enkelt Symbian genom att skicka in en version av programmet som är synligt i processlistan. Att användaren kan se att programmet körs och att det kan stängas av är ett av Symbians krav för att signera programmet. Men, det finns en funktion i programmet som kommer unt det. När man installerar programmet på offrets mobil kan man skriva in en speciell kod så försvinner programmet och blir osynligt.

Virus blir förmodligen inte ett problem i R3, pga förbättringarna. Elak kod finns forfarande möjlighet för.

Windows mobile 6.0

Äldre versioner har ett par elakingar mot sig, men inget allvarligt. De delar dock en del sårbarheter med Windows på desktops. Eftersom de är mobila är de svårare att patcha. I version 6.0 har mjan infört signering av kod och en hel massa andra nya säkerhetsfunktioner. Vesselin säger att Windows Mobile 6.0 är förmodligen den plattform som han är “minst säker på att virus inte kommer bli ett problem”. Dubbla negationer är alltid jobbigt, tolka det som du vill.

J2ME
Mycket säker, mycket välspridd. Virus är dock inte omöjliga, man kan t ex lura användare att klicka bort varningar på vanligt sätt. Det kommer finnas annan typ av elak kod som inte sprids vidare, dvs olika typer av trojaner eller liknande.

Blackberry
Använder J2ME’s säkerhetsmodell. Använder signering av kod och andra saker som ökar säkerheten. Man kan, som följd av detta, inte skapa parasitiska virus, men Bluetooth-maskar är teoretiskt möjliga. I praktiken kanske inte, men i teorin. Virus är inte omöjliga, däremot t ex IM-maskar, men det är inte troligt att de kommer bli ett problem.

SonyPSP, iPods är inte troliga heller av olika anledningar.

iPhone
Kan bara köra Apple-auktoriserad programvara. Detta får till följd att endast hobbyhackare som själva påverkat sin telefon kan komma att råka illa ut.

Vesselins slutsats är att virus är inte troliga att bli ett problem med dagens mobila plattformar. Inte att de inte kommer finnas – bara att de inte kommer bli ett stort problem. Dock kommer annan typ av elak kod kunna finnas.

Ena sessionen efter detta handlade om hur man packar upp PE-filer för mobiler (gääässsp) och i den andra sessionen visade Luis Corrons från Panda upp en dokumentering om hur de spårat och följt en rysk banktrojan samt statistik över infekterade maskiner och olika trick de använder för att infektera. En typisk “flerstegsattackstrojan” (spännande ord…). Men han visade på att de i princip tjänade över 250.000 dollar första månaden de var i drift. Och det bara genom den delen av trojanen som installerar reklamprogram på offrens datorn. Inte illa pinkat. Man förstår att e-brottslighet lockar. Liten insats, enorm profit, minimal chans till upptäckt. Han visade vidare på hur öppet man idag diskuterar och gör reklam för kriminella aktiviteter online.

Sista sessionen innan lunch hette “New approaches to categorizing economicallymotivated digital threats”. Jag vet inte hur man lyckas få in hela sessionen i rubriken, men man verkar jobba hårt på det :-) Anthony Arrot och den alltid lika jovaliska Dave Perry från Trend Micro. Han passade på att döpa om sessionen till “Money changes everything”. Denna session är mer underhållande än lärorik, men han har vissa poänger. Vi måste till exempel alla bli bättre på att förklara det elaka som händer för vanliga användare. Inte gå in på funktioner i elakingarna, utan berätta för folk vad den gör! Vi måste sätta saker i sitt rätta perspektiv och tänka på att alla har sin egen syn på det som händer, virusskrivare, säkerhetsfolk, säljare, marknadsfolk, kunder etc. Pespektiv får man genom att se hela bilden, men tricket är att bilden är olika beroende på vem man är, vad man vet och vilket syfte man har.

Jag är lite osäker på hans slutpoäng, men jag misstänker att han vill att vi (säkerhetsbranschen) ska sluta benämna saker “virus”, “trojan” etc eftersom hoten idag i de flesta fall kommer via webben och sedan innehåller en hel massa andra elaka saker:

Idag borde vi istället prata om ekonomisk motiverad brottslighet.

Nu lunch

Taggar: Allmänt, Konferenser

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.