Overvåker alle norske nettsteder

- Listen over infiserte norske nettsteder er veldig veldig veldig lang, sier Preben Nyløkken fra Watchcom.

Overvåker norske nettsteder for sikkerhetstrusler: Senior sikkerhetskonsulent Preben Nyløkken i Watchcom.
Overvåker norske nettsteder for sikkerhetstrusler: Senior sikkerhetskonsulent Preben Nyløkken i Watchcom.
30. okt. 2008 - 13:27

Sikkerhetsselskapet Watchcom Security Group avdekket i dag et ambisiøst prosjekt som skal overvåke alle norske nettsteder.

Det var i dag på selskapets sikkerhetskonferanse Paranoia 2008, at de valgte å avdekke "Project Graywolf".

- I januar i år startet vi dette prosjektet. Planen var å avdekke i hvilken grad norske nettsteder var rammet av infisert kode. Webapplikasjoner er noe av det mest sårbare vi har. Det finnes mange gode rammeverk som hjelper utviklere, men det er mange som synder, forteller Preben Nyløkken i Watchcom.

Det hele begynte som et utviklingsprosjekt, der sikkerhetsselskapet begynte å overvåke 10.000 norske nettsteder. Ganske raskt fant de sikkerhetsproblemer.

- Deretter skalerte vi opp, og satte oss som mål å overvåke hele Norge. Det var da prosjektet virkelig fikk fotfeste, forteller Nyløkken, og viser slides med overskrifter som "hunting the hunters".

Prosjektet har gitt selskapet en unik innsikt i hvordan de kriminelle kreftene opererer. Verstingene er ifølge Watchcom organiserte, de tjener store penger og det er all grunn til å frykte dem: russisk mafia.

- Vi har kartlagt hvordan russisk mafia opererer. De er organiserte og de har mye penger. Slik jobber russisk mafia, forteller Nyløkken og viser blant annet til komplette guider for hvordan man kan infisere nettsteder. Komplett ned til detaljer for hvordan man kan bruke opplysningene til å lage falske Visa-kort. Alt sammen på russisk.

Nyløkken har opplevd at mange reagerer på bruken av uttrykket "mafia", som han forteller er sentrale i trusselbildet. Etter hans mening er en stor gruppe mennesker som driver organisert kriminalitet og tjener store penger på det, og som opererer fra Russland selvforklarende.

- Det er mafia, sier han.

- Teknologien i seg selv er ganske enkelt. Vi bruker tunge sterke maskiner som får en liste over adresser som skal besøkes.

Norid har registrert over 400.000 norske domenenavn. Av disse overvåker Watchcom nå 300.000 domener. Disse sjekkes ifølge Nyløkken hvert eneste døgn.

På den måten har selskapet funnet ut hvor mange norske nettsteder som er infisert, og som fortsetter å infisere andre.

- Watchcom er det eneste selskapet, antakeligvis i Norden, som har en så dekkende oversikt over trusselbildet i Norge.

- Over 400 norske nettsteder er i snakkende stund under kontroll av hackere. Antakeligvis er de fleste av disse bedrifter. Vi snakker i hvert fall om et hundretalls bedrifter som er rammet. Og det er ingen smågutter som er tatt, sier Nyløkken.

Av disse er det ifølge Watchcom 295 norske nettsteder som sprer infeksjoner videre akkurat nå. 80 prosent av disse utnytter hull i PDF, såkalt PDF exploits.

Hvem disse er ønsker ikke Nyløkken å fortelle, for å ikke henge ut noen. Litt byr han likevel på:

- Jeg vil ikke vise de store nettstedene, men vi snakker om et departement, ulike holdingselskaper, universitetet i (....) Dette er ikke noe vi finner opp, det er harde fakta.

Hvilke planer har så selskapet om videre bruk av Graywolf-teknologien. Det virker det ikke som er helt klart ennå.

- Hovedmålet vårt er å belyse problematikken. Vi går gjennom en intern diskusjon om hvordan vi skal behandle informasjonen. Tallet er for stort til at vi kan kontakte alle som er infisert. Det er en pågående debatt om hvordan vi skal hjelpe bedrifter med dette, og informere dem, forteller Nyløkken.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.