Falsk sikkerhet mot virusangrep

Falsk sikkerhet mot virusangrep

Ormen Sasser lamslo virksomheten for forsikringsselskapet If og en rekke andre bedrifter og myndigheter. Vi har fått slike alarmrapporter tidligere, og det vil komme mange flere i fremtiden. Hvorfor forholder det seg slik - kan vi ikke få i stand en bedre beskyttelse?
I løpet av uken har det i beste mening blitt hevdet at vi må være nøye med å holde brannmurer og virusbeskyttelse oppdatert for å stå rustet når neste angrep kommer.

Det grunnleggende problemet er at de fleste virus og ormer er utviklet for å smette sammen med legitim trafikk gjennom de portene i brannmurene som alltid må stå åpne. Brannmurene kan med andre ord ikke tilby noen beskyttelse mot denne type trusler. Når viruser og ormer deretter ofte spres bak brannmurene som beskytter nettverket, viser det at disse er enda mer virkningsløse.

Hvordan er det da med antivirussystemer? Dessverre like ille, ettersom disse systemene bygger på at virus og skadelige koder identifiseres ved hjelp av deres signaturer. Når et nytt virus dukker opp, tar det noen dager før antivirusselskapet har utviklet en beskyttelse og kundene har rukket å oppdatere sine systemer. Hva hjelper det mot virus som sprer seg med epidemisk hastighet, hvor millioner datamaskiner over hele verden infiseres i løpet av timer?

Sannheten er den at virusmakerne alltid ligger ett skritt foran, og når neste epidemi bryter ut, er vi like sårbare som noen gang før. Finnes det noen løsning på problemet, eller befinner vi oss i en catch-22-situasjon?

En fellesnevner for de individene som konstruerer virus og driver med datainntrengning, er at de utnytter kjente svakheter i forskjellige systemer. Det forholder seg nemlig slik at 99 prosent av alle angrep og inntrengninger i virksomhetenes nettverk skjer gjennom allerede kjente svakheter og sikkerhetshull.

Sårbare punkter blir allment kjent når eksempelvis Microsoft annonserer at de har en patch som skal rette opp et bestemt sikkerhetsproblem. Det starter som regel en febrilsk aktivitet blant hackere som forsøker å utnytte disse svakhetene, vel inneforstått med at de aller fleste datamaskinbrukere ikke vil komme til å rekke å tette hullene før det er for sent.

Virksomheter, med sine store serverparker, rekker sjelden å installere feilrettinger, dessuten er det en veldig kostbar prosess å kvalitets- og funksjonsteste hver sikkerhetspatch. De fleste privatpersoner bryr seg om å gjøre noe, i den grad de overhodet blir klar over sårbarheten.

Andre ganger kommer hackersamfunnet selv over sårbare punkter, men slik informasjon sirkulerer nesten alltid rundt på internett en tid før noen rekker å forsøke å utnytte den. Praktisk talt alle viruser og ormer som rammer oss, bygger altså på velkjente sårbare punkter.

Løsningen ligger derfor i at leverandører av produkter som er beregnet for å stoppe inntrengning og skadelig kode, systematisk samler informasjon om sårbare punkter fra produsenter og skaffer seg informasjon gjennom ren etterretningsvirksomhet i hackerkretser.

Basert på dette kan man proaktivt la sikkerhetssystemene lete etter aktiviteter som prøver å utnytte kjente sårbare punkter istedenfor å søke etter spesifikke virus. På den måten kan man ligge ett skritt foran virusmakerne. Brukere av slike systemer vil da ikke bare beskytte sine egne virksomheter, de bidrar også til å gjøre det vanskeligere for hackerne å spre sine ødeleggelser.

Slike systemer finnes allerede på markedet, men de fleste er tydeligvis ikke oppmerksomme på dem, ettersom de setter sin tiltro til virkningsløse brannmurer og antivirussystemer.

Dick Jakobsson,
nordensjef for Internet Security Systems