Enkelt för hackarna att ta sig in i din IT-miljö

Virushot är historia. Nu är det DDOS-attacker som används för att stjäla information från företagen. – Hotbilden förändras hela tiden. Annars hade problemet redan varit löst, säger Advanias säkerhetsexpert Michael Andersson.

Text: Daniel Åberg

Säkerhetshoten på nätet blir allt mer sofistikerade. Generella virushot med avsikt att förstöra och sprida kaos hör en svunnen era till, i dag ägnar sig hackare åt riktade DDOS-attacker och industrispionage, ofta med direkt koppling till organiserad brottslighet.

DDOS-attacker mot företag eller myndigheter, som ofta miljontals datoranvändare ovetande deltar i efter att ha smittats av en trojan, har oftast till syfte att stjäla användarinformation eller kontokortsuppgifter.

– När servern är på väg att krascha inträffar en buffer overflow, informationen som databasen har i minnet dumpas till en fysisk fil, och det är den dumpningen som är hackarnas mål. De vill åt informationen i filen, som ofta består av kompletta kontokortsuppgifter med CVC-säkerhetskod och giltighetstid, säger Michael Andersson som har jobbat med IT-säkerhet i över 20 år.

Ibland när han är ute hos kunder och pratar om IT-säkerhet får han höra att han målar fan på väggen.

– Jag får ofta höra ”Men vi har aldrig drabbats av något sådant här”. Nej, kanske inte, eller så vet de bara inte om det. Om du har fått in en trojan i ditt system som skapar en självgenererad spridning i ert nät för att hämta information, så upptäcks den sällan. Det måste finnas verktyg i det interna nätverket som tittar på paketen som skickas i den fysiska kabeln, och det är inte många som har det.

Inte ens de mest sofistikerade brandväggar rår på de ofta förbluffande analoga sätt som trojaner planteras hos företag.

– Jag gjorde ett test hos en kund för några år sedan med deras goda minne. Jag skapade en harmlös trojan med autorun-funktion som skulle notera IP-adress och användare och sedan skicka informationen via en krypterad tunnel till mig. Jag la trojanen på fem USB-stickor och placerade ut dem på företaget – ett par i receptionen, någon på ett fikabord och någon tappade jag på golvet. Det tog tre timmar innan den första trojanen kopplade upp sig, och inom tre dagar hade alla gjort det. Så enkelt kan det vara att utsätta någon för industrispionage, säger Michael Andersson.

Att nå fullständig IT-säkerhet är tyvärr inte möjligt.

– Vi kan komma nära, men vi som jobbar med IT-säkerhet kan aldrig ligga steget före killarna på ”andra sidan”. De letar efter säkerhetshålen i systemen, och vi täpper igen dem så fort det går, säger han.

Finns det då något sätt att skydda uppgifter fullständigt?

– Det enda sättet att vara helt säker när du skickar känslig information är faktiskt att stoppa den i ett kuvert och posta det.

Fyra kända trojaner

  • I början av 2012 upptäckte världens fem största oljebolag att de utsatts för en trojan som hämtade information om deras roadmaps, hur mycket de pumpade upp från olika oljekällor, hur deras planer såg ut framöver och vilka geografiska områden de planerade att hämta olja ifrån. Den här trojanen hade funnits sedan 2007 och skickat informationen till en server som stod placerad i ett land i Asien, och mycket tyder på att spionaget varit sanktionerat på hög nivå inom landet.

  •  För ett par år sedan hittade man en trojan inne i en kärnkrafts- anläggning i Iran. Den gav full kontroll över anläggningen via internet.

  • Man har funnit en trojan hos antidopnings- organisationen på OS och VM. Trojanen hämtade information om vilka substanser man gör prover på för att spåra dopning, så att man skulle kunna utveckla preparat som inte identifieras vid ett dopningsprov. I det här fallet var det ett land som hade köpt tjänsten.

  • Teknikmagasinet sålde jättebilliga usb-stickor för fyra år sedan, som alla var testade i samma produktionslina. På den dator som utvärderade de här usb-minnena fanns en trojan. Så fort en en ny usb-sticka stoppades i, så flyttades trojanen över. De återkallades ganska fort, men ingen vet hur många som nåddes av återkallelsen.