Kriminelle satser på kodedeling

Kriminelle satser på kodedeling

Samarbeider om ondsinnede programmer med "åpen kildekode".

Før i tiden holdt kjeltringene den ondsinnede koden de produserte tett inntil brystet. Men nå er en ny trend i vinden, kjeltringer deler i stadig større grad på koden.

- Årsaken er at de vil gi andre muligheten til å hjelpe til med kodeutviklingen og på den måten forenkle utviklingsprosessen, akkurat som med åpen kildekode generelt. Konsekvensene av at flere jobber med koden, er at koden blir mer sofistikert, sier Jonas Thambert, it-sikkerhetsrådgiver i svenske Sitic, den svenske varianten av Norcert, til Computer Sweden.

I tillegg blir samarbeidet om de kriminelle programmene som slippes stadig mer organisert.

- Stadig flere mennesker er involvert. De er spesialisert på ulike deler og gjør ulike ting i prosjektet, sier Thambert.

- Ikke som Linux

Chrstophe Birkeland i Norcert mener det blir feil å sammenligne det direkte med åpen kildekode.

- Det er et definisjonsspørsmål om hva man legger i åpen kildekode. Det blir ikke det samme som hos Linux, så fagpersoner vil nok ikke kalle det open source. Men det er en reell problemstilling som handler om at folk som utvikler ondsinnet kode i større grad enn tidligere samarbeider om avansert kode, sier han til Computerworld, før han utdyper:

- Hvis en gruppe er god på krypto og lager deler av programmer, og gjør det tilgjengelig for en gruppe som for eksempel er god på operativsystemer. Gjennom at disse miljøene samarbeider ender du opp med å få mer avanserte programmer enn de ulike miljøene kan klare på egenhånd.

Birkeland mener koden stadig blir mer og mer avansert, mer og mer profesjonell og mer og mer velutviklet.

- Det er et kjennetegn ved dagens trusselbilde at koden blir mer og mer kompleks å oppdage og analysere, sier han.

Ikke lettere å oppdage

Thambert er enig i at ondsinnede programmer ikke er lettere å oppdage - selv om de eventuelt skulle være basert på en slags variant av åpen kildekode.

- Nei, de kriminelle tilpasser jo alltid koden etter sine egne behov. Og man pakker koden slik at det bare finnes et eksemplar av den. Det er intet problem å gjøre koden vanskelig å oppdage selv om den er basert på åpen kildekode, sier han.

- Utviklerne pakker inn den skadelige koden med såkalte pakkere for at den skal være vanskelig å oppdage. Bruker du en god pakker, kan det hende den går forbi antivirussystemet. Og om du pakker en slik angrepskode så den blir unik, blir det ikke mulig å lage en enkelt signatur for å stoppe slike, fordi det bare finnes én av den. Derfor utvikler ofte antivirus-industrien også signaturer for selve pakkeren, sier Birkeland.

De kriminelle utsetter seg likevel for en viss risiko ved å slippe programmene som åpen kildekode. Antivirus-soldater kan potensielt finne sårbarheter som gjør at man for eksempel enkelt kan detektere eller avinstallere et skadelig program.

- Det finnes også en signatur for pakkere. Du, eller rettere sagt systemet, kan også oppdage at noen har forsøkt å gjemme unna kode hvis eller når den blir aktivert – det vil si når den kjører på systemet. Hvis denne koden er basert på åpen kildekode som er tilgjengelig for sikkerhetsindustrien, er det enklere å lage generiske signaturer som oppdager det. Så det er ikke enkelt å oppdage, men det kan likevel være mulig å oppdage hvis sikkerhetsindustrien har gjort en god nok jobb med å lage generiske signaturer, sier Birkeland.

- Tross risikoen med å åpne koden, er fordelen større for de kriminelle, konkluderer Thambert.

- Ti prosent

Candid Wüest, sikkerhetsekspert i Symantec, mener rundt 10 prosent av alle trojanere er basert på slik åpen kildekode, skriver Cnet. Birkeland har ingen grunn til å betvile tallet, men Thambert mener tallet potensielt kan være mye høyere.

- Det kommer til å fortsette å øke. Det finnes mye å hente ved å samarbeide for disse menneskene, sier han.

Birkeland tror ondsinnet programvare helt sikkert også er å finne på norske pc-er.

- Det man kan si, er at virus og ondsinnet kode i praksis ikke har noen landegrenser. Trendene internasjonalt er også gjeldene i Norge.

Les om:

Utvikling