MALWARE
Vad är det? I en snäv definition är malware (på svenska, skadlig kod) all kod som orsakar en datoranvändare skada. I en något vidare bemärkelse är malware kod i ett datorsystem som inte arbetar enligt användarens intentioner, utan följer en tredje parts värderingar och avsikter. The Cyber Risk Report 2015 från Hewlett Packard Security Research noterar att under 2014 var ordet malware som nyckelord i artiklar och andra publikationer vanligare än ordet security. De noterar även att skadlig kod förväntas öka drastiskt i antal under kommande år. Hur kan man drabbas av malware? Vanligast är att man själv introducerar den skadliga koden. Mindre vanligt är att säkerhetsluckor används för att infektera en maskin, men om denna metod kan användas leder den typiskt till många fler infektioner. Nedan följer några konkreta exempel: En användare laddar ner ett program från Internet. Programmet utger sig för att vara något användbart, som t.ex. att varna för gammal programvara, eller göra det enklare eller roligare att använda Facebook, men är i verkligheten rent fientlig kod avsedd att stjäla personrelaterad information. En affärsresande får ett elegant USB-minne vid utcheckning från hotellet som tack för besöket. När USBminnet kopplas till kontorsdatorn installeras skadlig kod. En användare besöker en webbplats som visar syndikerade annonskanaler. En annonsör sprider (normalt omedvetet) skadlig kod genom annonserna. En användare besöker en social webbplats, som attackerats och modifierats att sprida skadlig kod till alla användare som besöker den. En användare surfar på nätet via trådlöst nät på sitt hotellrum. Utan användarens kännedom går trafiken genom en attackerares system, som byter ut svarstrafik till fientligt kod, som infekterar surfarens dator. I enstaka fall kan också normalt betrodda företag distribuera skadlig kod som led i att skydda sina intellektuella tillgångar. Sony BMG distribuerade under en kortare tid CD-skivor med skadlig kod avsedd att hindra användaren att kopiera musiken. Koden registrerade dessutom vilka CD-skivor som användaren spelade och rapporterade resultatet till Sony. En studie från säkerhetsföretaget Palo Alto Networks från 2013 säger att 90 % av den skadliga kod som kunde identifieras i deras kunders nät kom från webbsurfning. På andra plats (6 %) kom e-postbaserade infektioner. Enligt Kaspersky Labs sker ca 30 % av alla malware-infektioner genom flyttbara medium som t.ex. USB-minnen. Andra studier konstaterar att infektion genom s.k. social engineering är mer än fyra gånger vanligare än infektion genom en direkt attack av en sårbar dator (Bruce Hughes, Virus Bulletin, 2010).
Hur stor är risken? Säkerhetsföretag som Symantec och F-Secure rapporterar en stadigt växande trend av malware-relaterade attacker. Microsoft rapporterade för ett par år sedan att var fjortonde nedladdning av program från Internet innehöll skadlig kod. Hotbilden är med andra ord förhållandevis stor. Det är dock inte klart hur stort mörkertalet är, dvs. hur många attacker som inte detekteras. Under 2012 publicerades statistik från University of Alabama att antivirusprogram inte detekterar mer än ca 25 % av e-postbaserade infektionsförsök, och att många av dem utger sig för att komma från företag som användare ofta har kontakt med, och därmed kan ta för verkliga: Amazon, DHL, Facebook, Twitter, m.fl. Vad får det för konsekvenser? Förr i tiden var skadlig kod till stor del inriktad på att 'visa upp sig'. Exempel på sådan är Code Red från 2001 som attackerade system som använde Microsoft IIS webbserver, målet var att ändra webbplatsens förstasida. Numer är skadlig kod mer inriktad på att undgå att upptäckas så att den kan vara aktiv under en längre tid. Den tenderar även till att vara mer inriktad på att dra ekonomiska fördelar. I allvarliga fall hämtas information som sedan används för identitetsstöld, vilket kan leda till allvarliga störningar i praktiskt taget alla aspekter av en användares eller ett företags datorbaserade aktiviteter: bank, e-post, e-handel, sociala forum, m.m. Skadlig kod har exempelvis identifierats i automater för kontantuttag där de registrerar PINkod och konto- eller bankkortsnummer. Liknande kod har också hittats i kassasystem hos butiker som accepterar kortbetalningar. En annan möjlighet är attacker som exempelvis ransomware som låser ute användare från sin information, och kräver lösensumma för att användaren ska få tillgång till den igen. I relativt godartade fall kan det handla om kod som stjäl lösenord till vissa online-spel. Spelar man inte spelet, så är de direkta konsekvenserna relativt små. Annan skadlig kod har haft skrämseleffekt som huvudsyfte: de öppnar ett fönster som säger Radering av hårddisk startar, och som sedan uppdaterar fönstret för att ge intryck av att radering verkligen sker. Men även i dessa fall kan fel i koden leda till indirekta störningar, som oväntade krascher eller minskad kapacitet för normal verksamhet, eller att säkerhetsluckor öppnas för andra attacker. I extrema fall, som i Stuxnet-fallet från 2010, där specialskriven skadlig kod attackerade industriella system, främst relaterade till kärnbränsleframställning i Iran, attackeras produktion eller affärsprocesser, dvs. här handlar det om rent målinriktat sabotage. De indirekta effekterna av skadlig kod får inte heller glömmas bort. Om en attack mot ett företags webbplats leder till att den infekteras med skadlig kod kan svartlistning av webbplatsen leda till att användare inte längre kan nå den. I december 2014 rapporterade Google att de svartlistat ca 11000 domäner för att de innehöll WordPress-servrar som infekterats med skadlig kod. Det skadar naturligtvis företagets rykte och kan också påverka det ekonomiska resultatet genom lägre försäljning och färre inkommande leads.
Ytterligare information Många säkerhetsföretag publicerar regelbundet information och lägesbeskrivningar om skadlig kod The Modern Review, March 2013 http://media.paloaltonetworks.com/documents/the-modern--review-march-2013.pdf Microsoft: Security Intelligence Report, vol. 17 (November, 2014) http://www.microsoft.com/en-us/download/details.aspx?id=44937 Hewlett Packard Security Research: Cyber Risk Report 2015 http://www8.hp.com/us/en/softwaresolutions/cyber-risk-report-security-vulnerability/ OECD: Computer Viruses and Other Malicious Software: A threat to Internet Economy http://www.oecd.org/sti/ieconomy/computervirusesandothermali- cioussoftwareathreattotheinterneteconomy.htm Vad kan Sentor göra? Sentor erbjuder tjänster för att detektera malware på nätverket och döda skadliga processer på klienter i nära realtid. För mer information besök oss på eller ring oss på!
Huvudkontoret Regionkontor Syd Sentor MSS AB Björn Trädgårdsgränd 1 116 21 Stockholm +46 (0)8 545 333 00 Sentor MSS AB Adelgatan 21 211 22 Malmö +46 (0)8 545 333 00