For noen uker siden var undertegnede i den situasjon at jeg måtte bidra med telefonsupport til en venn, som skulle installere Windows XP på nytt på sin hjemme-PC. Årsaken til reinstallasjonen er uvesentlig for denne saken - og min venn kom seg i og for seg greit gjennom installasjonen, som ble gjort med fra en CD hvor Service Pack 1 til Windows XP også var inkludert.
Min venn har som så mange andre her i landet, tilgang til en fast Internett-løsning - ADSL i hans tilfelle, slik at så snart installasjonen var ferdig, var maskinen tilknyttet Internett.
Det jeg glemte å fortelle min venn, var at han umiddelbart burde laste ned alt av sikkerhetsoppdateringer fra Windows Update.
Dagen etter fikk jeg en telefon - min venn hadde fått et problem. Maskinen var blitt veldig treg. Maskinen hadde da vært påskrudd i flere timer, og min venn hadde besøkt en del kjente norske nettsteder. E-posten hadde han ikke fått satt opp ennå, men MSN Messenger var koblet til.
Vi søkte gjennom maskinen med et par antispamprogrammer og et antivirusprogram og fjernet drøyt 500 objekter som var blitt installert på maskinen. Da er ikke cookies medregnet.
Deretter installerte vi alt som var av oppdateringer, men etter at Service Pack 2 ble installert og maskinen startet opp på nytt, var det slutt. Tilgangen til Internett var så godt som borte. Enkelte ganger greide vi å få sendt en ping, men stort sett stod det hele bare å hang. Vi bestemte oss for å koble maskinen fra nettet, installere Windows XP på nytt og deretter installere SP2 fra en CD.
Teorien i dag om årsaken til at tilgangen til nettet forsvant, er at Service Pack 2 begrenser antallet samtidig forsøk på å åpne porter. Det var nemlig liten tvil om at vi ikke hadde fått fjernet all spywaren, og at denne la beslag på det som var tilgjengelig av nettverksressurser.
Les også:
- [25.04.2005] Maskinvare holder spionvare ute
- [04.04.2005] Flertall uten automatisk oppgradering
- [07.02.2005] Kazaa mislikes av egne ansatte
- [18.01.2005] Stadig tryggere å benytte Linux
- [30.12.2004] Mer enn 100.000 ulike datavirus
- [28.10.2004] Ni av ti bedrifter uten vern mot spionvare
- [26.10.2004] Begredelig sikkerhet på hjemme-PC-er
- [18.10.2004] De fleste PC-er er kapret av spyware
Denne uken skriver USA Today i en artikkel at en ikke-oppdatert Windows XP-installasjon kan bli kapret av spyware i løpet av minutter, bare ved at maskinen er tilknyttet Internett. Brukeren behøver ikke engang åpne noe program. Automatiserte innbruddsverktøy vil i smug forsøke å ta kontroll over maskinen via Internett-forbindelsen.
Programmene som så installeres vil kunne benyttes til utsendelse av spam, til å utføre DoS-angrep mot andre maskiner eller å hente ut og sende informasjon lagret på brukerens maskin, til de som står bak innbruddet.
I samarbeid med teknologiselskapet Avantgard, utførte USA Today en test ved å se hva slags ondsinnet trafikk seks datamaskiner tilknyttet Internett ville få i løpet av to uker. Så snart et innbrudd ble oppdaget, ble maskinen stengt for at den ikke skulle angripe andre PC-er.
Fire av datamaskinene som ble testet var vanlige PC-er fra Dell med ulike konfigurasjoner av Windows XP. De to andre maskinene var en Apple Macintosh-maskin og en Microtel Linspire, som benytter Linux-distribusjonen Linspire.
Hver maskin ble koblet til Internett via en rask DSL-forbindelse og ble overvåket i to uker i september. Angrepsforsøkene startet umiddelbart og fortsatte på et konstant og høyt nivå - i gjennomsnitt 341 i timen mot Windows XP-maskinen som verken var oppdatert med sikkerhetsfikser eller hadde brannmur, 339 i timen mot Macintosh-maskinen og 61 i timen mot en maskin med Windows Small Business Server. Ingen av disse maskinene ble levert med en aktivisert brannmur.
Til gjengjeld var antallet lavere enn fire angrepsforsøk i timen mot Windows XP-maskinen hvor Service Pack 2 var installert og den medfølgende brannmuren var skrudd på. Det samme gjaldt også Linspire-maskinen med en grunnleggende brannmur i gang, og en maskin med Windows XP og brannmuren ZoneAlarm.
Av angrepsforsøkene mot den minimalt beskyttede Windows XP-maskinen, var det ni som var vellykket i av perioden, mens bare ett vellykket angrep ble rettet mot Windows Small Business Server-maskinen. De andre maskinene var forskånet for vellykkede angrep.
Angrepene mot Windows XP-maskinen var stadig rettet mot de samme to sikkerhetshullene som gjorde det mulig for ormene MS Blaster og Sasser å fungere. Disse førte til overbelastede datamaskiner hos blant annet banker, sykehus og flyselskaper verden over.
Maskinen med Windows Small Business Server ble angrepet via en funksjon i operativsystemet som tillater fildeling mellom datamaskiner. Dette ga angriperen tilgang til å laste opp et program som gav vedkommende full kontroll.
I tre av tilfellene greide inntrengerne å komme så langt som å logge på en IRC-kanal (Internet Relay Chat channel), hvor det kom fram at vedkommende hadde til hensikt å benytte den kompromitterte PC-en til å utføre ulovlige aktiviteter. Inntrengerne kan benytte private IRC-kanaler til å instruere de kaprede maskinene.
Målet for angrepene er i de aller fleste tilfellene ulovlig, økonomisk vinning, for eksempel gjennom svindel.
Konklusjonen av dette er at det å koble en datamaskin til nettet uten at den er fullt oppdatert med alle sikkerhetsoppdateringer eller i det minste er utstyrt med eller befinner seg bak en brannmur, er risikabelt. Spesielt hvis det er snakk om en Windows-maskin. Problemet er de fleste vil måtte laste ned sikkerhetsoppdateringene fra nettet, noe som i utgangspunktet vil kunne gi potensielle inntrengere mer enn nok til tid til å kapre maskinen, før sikkerhetshullene er blitt tettet.
Løsningen kan være enten å laste ned oppdateringsfilene fra Microsofts arkiv ved hjelp av en annen maskin, og deretter lagre dem for eksempel på en CD. Er ikke dette mulig der og da, installer en tredjeparts brannmur og bare gi tilgang til Internett-trafikk som er igangsatt av programvare på PC-en som du er sikker på hva er. Eventuelt aktiviser den begrensede brannmuren som opprinnelig leveres med Windows XP.
En oversikt på denne siden viser utviklingen de siste 18 måneden over hvor lang tid i gjennomsnitt et system som ikke er sikret mot vanlige Internett-ormer vil kunne være koblet til nettet før den sannsynligvis er blitt infisert. I november var tiden oppgitt til mindre enn 20 minutter.
SANS har også utgitt dokumentet "Windows XP: Surviving the First Day". Dette er tilgjengelig på denne siden.