Slik oppdager de rettede angrep

ESETs forskningsdirektør forklarer.

Et rolig øyeblikk i ESETs viruslab og operasjonssentral i Bratislava, som kalles for «Houston». Selv om dimensjonene nok er noe mindre enn NASA kommandosentral i byen med samme navn, er det også betydelige likheter. På de store skjermene kan vises oppdatert informasjon om utrulling av oppdateringer til antiskadevare-produkter, sikkerhetsrelaterte hendelser globalt og i Europa, samt en hel mengde intern statistikk.
Et rolig øyeblikk i ESETs viruslab og operasjonssentral i Bratislava, som kalles for «Houston». Selv om dimensjonene nok er noe mindre enn NASA kommandosentral i byen med samme navn, er det også betydelige likheter. På de store skjermene kan vises oppdatert informasjon om utrulling av oppdateringer til antiskadevare-produkter, sikkerhetsrelaterte hendelser globalt og i Europa, samt en hel mengde intern statistikk. Bilde: Harald Brombach
20. mars 2013 - 13:12

BRATISLAVA (digi.no): Digi.no fikk nylig anledning til å besøke ESETs slovakiske hovedkontor. Da fikk vi også anledning til å ta den titt på «det aller helligste», selskapets viruslab og operasjonssentral. Der møtte vi forskningsdirektør Juraj Malcho, som fortalte om hvordan selskaps skadevareforskere jobber og aktuelle sikkerhetsproblemer.

Blant de mange temaene som Malcho omtalte, var også rettede angrep. Dette er typisk bruk av skadevare som utnytter svakheter i systemene til helt konkrete mål, for eksempel en enkelt bedrift eller en offentlig etat. Slike angrep er det vanskelig å forsvare seg mot eller i det hele tatt å oppdage. Dette skyldes at midlene som brukes i angrepet er relativt skreddersydd for nettopp dette angrepet.

– Når man lager rettede angrep, utfører man små tester for å finne ut hva målet bruker av antivirusløsninger og annet sikkerhetsutstyrt. Dermed vet man hvordan man skal kunne unngå å bli oppdaget, fortalte Malcho til journalistene som var blitt fløyet til Bratislava på ESETs regning.

I motsetning til store botnett, så foregår rettede angrep langt mer i det skjulte. Det er likevel mulig for blant annet ESET, å oppdage slike angrep, men kun hos selskapets egne kunder, forklarte Malcho.

Juraj Malcho er forskningsdirektør hos ESET i Bratislava. Han har ansvar for selskapets viruslab og har vært ansatt i selskapet siden 2004. <i>Bilde: Harald Brombach</i>
Juraj Malcho er forskningsdirektør hos ESET i Bratislava. Han har ansvar for selskapets viruslab og har vært ansatt i selskapet siden 2004. Bilde: Harald Brombach

– Dette gjøres ved hjelp av stille innsamling av metadata og deretter adferdsanalyse, hvor man ser etter uregelmessigheter og avvik fra den normale virksomheten. Dessuten følger vi med på blant annet trender innen filnavn, fortalte Malcho.

I viruslaben mottar ESET mer enn tusen skadevare-prøver hver dag. Omtrent 20 prosent er nye ting som forskerne må analysere nærmere og lage beskyttelse mot. Dette arbeidet tar gjerne et par timer, før oppdateringene kan gjøres tilgjengelige for kundene. Andre ganger kan arbeidet være mer omfattende. Malcho fortalte at ESET for eksempel lar maskiner bli en del av botnet for å kunne se hvordan nettet utvikler seg.

Mobil

Smartmobiler, og da i første rekke Android-plattformen, er en arena for skadevare som har vokst fram de siste par årene. Ifølge Malcho er det i særlig grad funksjonalitet som ikke er tilgjengelig i pc-er som utnyttes av skadevaren, ikke minst i forbindelse med SMS-funksjonaliteten. Dette kan brukes til for eksempel å melde brukeren på kostbare SMS-tjenester, som angriperne selv står bak eller har inntekter fra, eller til å fange opp engangspassord i forbindelse med tofaktor-autentisering til nettbanker.

Malcho fortalte at han selv likevel foretrekker Android av sikkerhetsårsaker.

– For en sikkerhetsfyr som meg selv er det naturlig å ha en Android-mobil, hvor jeg vet hva som faktisk skjer. Med for eksempel iOS også videre må man stole på «den svarte boksen» til Apple, sa han.

– iOS er trygg inntil det oppdages en sårbarhet som får det hele til å falle sammen, sa Malcho, men understreket at dette ikke var en forutsigelse fra hans side, men noe som kan skje.

– En slik sårbarhet kan allerede eksistere og brukes skjult, la han likevel til.

Lite bevissthet

En utfordring som det kan være vanskelig for IT-sikkerhetsbransjen å gjøre noe med, er den manglende bevisstheten vanlige IT-brukere har til sikkerhet.

– Det er vanskelig nok å få IT-profesjonelle til å bruk seg om sikkerhet, og mye verre med vanlige brukere, sa Malcho. Verst står det likevel til det med dem Malcho kaller for nykommere, ikke minst i land med fremvoksende økonomier, for eksempel Kina.

– Nykommere faller for gamle triks, slik som lenker til nakne personer i Facebook, sa Malcho.

– Ingenting kommer gratis. Det er alltid hale ved slike tilbud. Problemet er brukerne nysgjerrighet og utålmodighet, avsluttet Malcho, som mener at IT-sikkerhet er noe som man må lære fra barnsben av.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.