Ingen har väl undgått rapporteringen från de lamslagna Region
Skåne och Höganäs kommun. I Region Skånes fall var 10.000 av 25.000
datorer smittade av masken "Conficker/Downadup/Kido" och i Höganäs
kommun var i princip hela det administrativa nätet smittat.
En mask är enligt definition ett självreplikerande datorprogram. I
en del förklaringar som är gjorda av begreppet mask skall den kunna
sprida sig utan hjälp från en oförsiktig användare. I flera fall
lyfts beroendet till någon form av säkerhetshål fram. Maskar går
ofta under benämningen "snäll" när man talar om skadlig kod,
troligen för att de sällan slår mot sekretess- och
riktighetsbegreppet. Däremot är tillgänglighetsbegreppet i stor
fara, något som Region Skåne och Höganäs kommun fått befara.
Likt den kända masken Blaster använder den nu aktuella masken
primärt en sårbarhet i Microsoft Remote Procedure Call (se MS08-067
för detaljer om sårbarheten). En annan parallell till masken
Blaster är att det tog ungefär en månad från det att Microsoft
tillkännagjorde sårbarheten till dess att masken utnyttjade
den.
Microsoft RPC är ofta vitt exponerat i företagsinterna nätverk
varför masken får bra spridning bara den har fått ett fotfäste. Den
första infektionen kommer troligen via infekterade USB-minnen där
masken utnyttjar autorun-funktionaliteten. Noterbart att US-CERT
(se TA09-020A för detaljer) och Microsoft har olika åsikter hur
autorun-funktionen skall deaktiveras för att hindra spridning den
vägen. Vidare använder masken utdelade diskar för att sprida sig,
och i det sammanhanget provar den ett antal enklare lösenord vilket
medför en kontolåsning som kan bli rätt besvärande för en större
organisation. Den gör också mängder med lokala
konfigurationsändringar, vilket gör att masken verkligen lever upp
till sitt namn Conficker. Till allt detta skall läggas maskens
förmåga att "ringa hem" för nya instruktioner med mutationer som
följd.
Allt som ofta när en händelse relaterad till skadlig kod blossar
upp så blir det ett väldigt virus hysteri. Rubrikerna haglar "Nio
miljoner datorer smittade", "Nätverksmasken sprider sig
lavinartat", "Värsta attacken under 2000-talet". Speglar rubrikerna
verkligheten, eller är de som ofta kraftigt överdrivna?
Vi kan alla vara överens om Downadup/Conficker/Kido är en ovanligt
smart kodad mask och att den är svår att få bukt med när man väl
drabbats. Det förstärks av att ett av de ledande antivirusföretagen
behövde sex dygn för att ta fram ett bra motmedel, vilket i
sammanhanget är ovanligt lång tid. Det är ett stort mörkertal vad
gäller antalet infekterade datorer, en siffra som nämns i skrivande
stund (26 januari 2009) är 15 miljoner. Spridningen har dock inte
gått i samma initiala hastighet som exempelvis CodeRed (2001) och
Slammer (2003). Dessa spred sig dock bara via en sårbarhet varför
den totala spridningen inte nådde samma mängd som den nu aktuella
masken, som troligen blir ovanligt ihärdig.
Hundratals miljoner datorer i världen bär på någon form av skadlig
kod varför 10-15 miljoner kan te sig ringa. Men om ryktet är sant
att syftet med masken är att bygga ett botnet då lär det bli
världens största botnet, med potential att bli en tiopotens större
än det idag störst kända. Och då finns det all anledning att vara
orolig!
Höganäs kommuns skolnät klarade sig från smittan tack vare den
klassiska zonindelningen av administrativt nät och skolnät som
gjorts i årtionden, primärt för att skydda den administrativa
verksamheten från allehanda kreativitet i skolverksamheten.
Händelsen i Höganäs är ett lysande exempel på vikten av
zonindelning som har för avsikt att hindra system med olika
informationsklasser att påverkar varandra. Det är en lärdom som
Region Skåne nu sannolikt dragit och framgent lär de placera
medicinsk utrustning i mer skyddade zoner.
Region Skåne anser själva att de har bra säkerhetssytem. Det
aktuella systemet som de har i åtanke är kanske ett av de bästa som
marknaden har att erbjuda. Bevisligen var organisationen ovanligt
sårbar för en nätmask som utnyttjade en sårbarhet som varit känt i
näst intill ett kvartal.
Vis av erfarenhet handlar inte detta enbart om säkerhetssystem
eller enbart zonindelning. Det handlar heller inte enbart om vikten
av:
- härdning, som minimerar varje enskild dators exponering
- patchrutiner, som minskar tiden för exponering av en känd
sårbarhet
- nätautentisering, som hindrar obehöriga användare att nå
oönskade segment/zoner
- användarutbildning, vilket minskar risken som omogna användare
utsätter organisationen för
- karantäner, som hindrar att sårbara klienter ansluts till
IT-infrastrukturen
- regelverk, som gör att hela organisationen drar åt samma
håll
- säkerhetsdesign, som gör att effekten av en incident blir
minimal
Det handlar om att uppnå en samlad harmoni i alla komponenter
som tillsammans kan minska en organisations sårbarhet. Se
ovanstående som ett axplock av komponenter, mjuka som hårda. Det är
harmonin som är poängen, inte varje enskild komponent!
Ofta krävs det en berörande händelse i ens närhet för att vidta
förebyggande åtgärder. Jag sätter en större slant på att de som
arbetar nära verksamheten i såväl Region Skåne som Höganäs kommun
visste hur sårbara de var, men att de inte fick gehör när det
lyftes fram förslag om proaktiva åtgärder. Åtgärder som bara hade
kostat promillen av den incident som nu lamslog dem.
Som alltid är det lätt att vara efterklok. Vilken tur att vi kan
lära av historien!
© 2009 Thomas Nilsson, Certezza AB
