De digitala hoten

De digitala hoten

Det pågår en ständig kapprustning i datorvärlden mellan skadeprogramsskaparna och säkerhetsföretagen. Virus, maskar och trojaner försöker på ständigt nya och snillrika sätt att leta sig in i våra datorer. Samtidigt försöker de seriösa mjukvarutillverkarna att täppa till alla öppna hål. Detta är visserligen inget nytt, utan så här har det sett ut i flera ­decennier. Sättet som den skadliga koden sprids på och anledningen till att den har skapats från första början är dock inte densamma som för några år sedan. Ett rebelliskt rop på uppmärksamhet har idag snarare övergått till rent ekonomiska intressen.

I detta inledande kapitel om datorsäkerhet behandlas vilka hot som finns och vad som egentligen skiljer mellan olika typer av skadlig kod. Nästa kapitel behandlar hur datorn skyddas mot de nämnda infektionerna.

Virus: Send in the Cloner!

Elk Cloner anses vara ett av de första riktiga virusen för ”moderna” datorer. Det spreds via disketter, vilket var det i stort sett enda sättet att sprida virus under 80-talet. ­Viruset infekterade datorer som körde Apple II-operativsystemet, men det medförde ingen ­större skada. De som råkade ut för smittan fick dock stå ut med att deras datorer vid var 50:e omstart skrev ett litet rim på skärmen:

Elk Cloner: The program with a personality
It will get on all your disks
It will infiltrate your chips
Yes, it's Cloner!
It will stick to you like glue
It will modify RAM too
Send in the Cloner!

En infekterad dator spred smittan vidare genom att lägga över viruset på alla disketter den kom i kontakt med. När nästa dator startade upp med en sådan diskett i sig blev den också smittad.

Skaparna av skadeprogram är inte dummare än att de utnyttjar teknikerna som ger så stor spridning som möjligt. När disketter slutade användas för att flytta data ­mellan olika datorer, bytte även skadeprogramsskaparna taktik. Den stora internet­revolutionen väntade runt hörnet och det mailades flitigt mellan datorer, inte minst i företags­sammanhang. Detta älskades av skadeprogramsskaparna, framförallt av en skade­programsskapare som utvecklade en mask som berättade att den älskade dig!

Mask

En mask är annan typ av skadeprogram, men istället för att likt virus infektera filer och lita på att de sprids vidare så sprider masken sig själv. Det kan exempelvis vara genom det lokala nätverket eller via e-post. Masken Love letter (även känd som ILOVEYOU) var en mask som spreds på det sistnämnda sättet, något den dessutom lyckades väldigt väl med. Masken blev känd över hela världen i takt med att allt fler datorer blev smittade.

Love letter var smart konstruerat och lyckades få stor spridning på grund av att många datoranvändare inte var bekanta med riskerna som e-mail-bilagor kan utgöra. ­Masken spreds med ett mail som hade ämnesrubriken ILOVEYOU och innehöll en bilaga som tillsynes hette LOVE-LETTER-FOR-YOU.TXT. Om bilagan öppnades började ­masken att förstöra filerna på datorn samtidigt som den skickade vidare sig själv till alla kontakter i den infekterade datorns Outlook-adressbok. Det ledde i sin tur till att ännu fler öppnade bilagan i det infekterade mailet, eftersom det givetvis var spännande att någon närstående hade skickat ett mail som tillsynes innehöll ett kärleksbrev.

Love letter orsakade både stora skador och höga kostnader, men gjorde samtidigt att världen den fjärde maj 2000 blev varse om vad elakartad kod kan ställa till med. ­Under bara ett dygn drabbades land efter land, från öst till väst, i takt med att invånarna slog på sina datorer. De som råkade ut för masken minns den säkert än idag och 2011 ­skapades till och med en film om masken (Subject: I LOVE YOU).

Idag vet de flesta att bilagor i mail kan utgöra risker. De flesta av dagens mail­program ­varnar också innan de låter användaren öppna en bifogad fil. Microsoft Office­programmen är numera också väldigt restriktivt inställda när det gäller så kallade ­makron, vilket är automatiseringsfunktioner som används i vissa dokument och kalkyl­blad. Det var nämligen genom just ett makro som Love letter skapade kaos i dator­världen.

Microsoft Outlook varnar när en bifogad fil öppnas. Klicka för förstoring.
Microsoft Excel 2010 varnar för att kalkylbladet innehåller makron.

Trojan

Ordet trojan kommer från legenden om det trojanska kriget, där Odysseus lyckades få in sina krigare innanför Trojas stadsportar genom att ge trojanerna en ihålig trähäst. I datasammanhang är en trojan (eller trojansk häst) ett datorprogram som, likt hästen i legenden, är något annat än vad det utger sig för att vara.

När allt fler började ha en uppkoppling mot internet blev trojaner ett vanligt sätt att sprida skadeprogram, vilket det är än idag. Datoranvändarna luras till att själva ­installera ett program eftersom de tror att det är något helt annat än vad det egentligen är. Pirat­kopierad mjukvara som cirkulerar i fildelningssammanhang kan egentligen vara ­trojaner istället för det som mjukvarorna utges vara. Samma sak gäller diverse program som ­laddas ned från suspekta webbplatser på internet eller via fildelningsprogram.

Installationsprogram för Microsoft Office 2009 nedladdat från Internet. Programvarans utgivare: okänd. Observera att Microsoft Office 2009 aldrig har existerat. Vad innehåller programmet?

Kontrollsummor är ett sätt som används för att kontrollera att filen som laddats ned verkligen är det den utger sig för att vara. SHA-1 är ett exempel på en teknik för att ta fram kontroll­summor, vilket kan beskrivas som en matematisk algoritm som räknar ut ett hexadecimalt värde utifrån filens innehåll. Huvudmännen bakom office-paketet Libre-office (www.libreoffice.org/) erbjuder sina användare att ladda ned programmet från flera olika håll. Användarna ­uppmanas att kontrollera att SHA-1-summan stämmer så att filen inte har blivit förändrad. Den svenska Windowsversionen av Libre-office har kontrollsumman:

5cf712c96f09b4d96f93cfeac56e5124ebf86f6c (gäller 5.0.0-versionen augusti 2015)

Genom att ladda ned filen och sedan öppna den i ett program såsom Digestit 2004 går det att se om den nedladdade filen har samma kontrollsumma som ursprungsfilen. ­Digestit 2004 kan laddas ned gratis från www.colonywest.us.

DigestIT 2004 kan kontrollera en nedladdad fils kontrollsumma.

I Mac OS X finns en inbyggd funktion för att få fram kontrollsummor på filer. Öppna Terminalen och skriv: openssl sha1 . Dra sedan filen från Finder till Terminalen så att hänvinsningen till dess plats hamnar efter kommandot. Då visas filens kontrollsumma. Exempel:

openssl sha1 /Users/nikka/Downloads/LibreOffice_5.0.0_MacOS_x86-64.dmg

Adware

Adware är program som visar reklam på användarens dator. Tyvärr är det vanligt ­förekommande att adware kombineras med någon form av skadeprogram, exempelvis spion­program som undersöker datoranvändarens vanor och sedan använder den informationen för att visa relevant reklam. Vinstmodellen för skaparna av adware-programmen är ganska uppenbar, eftersom de genom dessa program kan tvinga på datoranvändarna oönskad reklam.

Det är ganska många programtyper som faller under kategorin adware. Det är exempel­vis vanligt att diverse gratisprogram under installationen frågar användaren om han ­eller hon inte också vill installera ett ”fantastiskt sökfält” till sin webbläsare. Var ­restriktiv med att tillåta sådana installationer, såvida det inte är en funktion som verkligen efter­frågas. Användaren måste ofta aktivt välja bort tillägget under installationen. Det är därför viktigt att inte bara trycka på nästa-knappen upprepade gånger tills installa­tionen påbörjas, utan verkligen kontrollera vad som egentligen installeras.

Spionprogram

Till skillnad från adware är det vanligt att spionprogram verkar helt i bakgrunden utan att användaren märker det. Spionprogrammens uppgift är att stjäla exempelvis inloggnings­uppgifter och kreditkortsnummer samt att övervaka surfvanor för att sedan sälja informationen vidare till tredje part. 

Rootkit

Ett rootkit är ett spökprogram som är gjort för att inte synas och även gömma andra processer så att de inte upptäcks. Ett rootkit behöver inte vara farligt i sig, men det anlände troligen till datorn via ett virus, en mask eller en trojan som kan vara farlig (framförallt eftersom rootkitet gör att det skadliga programmets aktivitet inte syns).

Ordet rootkit kommer från Unix och Linuxvärlden. När en användare ska utföra något som kräver administratörsrättigheter på en sådan dator loggar han eller hon in som så kallad rootanvändare. Namnet rootkit har fortsatt att existera även om infektionstypen nu infekterar andra plattformar och det är fortfarande på en väldigt djup nivå i ­systemet som rootkitet sätter sig. På Windowsbaserade datorer kan det placera sig ­mellan Windowskärnan och resten av programmen, vilket gör att det kan påverka ­väldigt fundamentala delar av systemet. Om exempelvis ett enklare antivirusprogram söker ­efter skadlig kod i minnet så upptäcker rootkitet detta. Istället för att Windows svarar antivirusprogrammet med exakt vad som pågår så snappar rootkitet upp frågan och svarar att allt är normalt. Utvecklarna av antivirusprogram har därför varit tvungna att utveckla väldigt avancerade sökmetoder för att lyckas få rootkiten att avslöja sig själva.

Rootkit kan göra att det inte går att se vissa saker som händer på datorn.

Scareware

På internet vimlar det med falska varningar som hävdar att datorn är smittad med virus (scareware). Det kan dyka upp annonser på webbsidor med texten ”WARNING! Your computer is infected with a virus. Click here for a free removal tool”. Dessa annonser leder dock inte till något verktyg som tar bort virus utan istället till en trojan. Trojanen låtsas sedan att söka igenom datorn och uppger efter en kort stund att den har hittat massor av virus, men för att virusen ska tas bort måste användaren köpa fullversionen. När användaren i god tro köper fullversionen får trojanskaparen tillgång till hans eller hennes kortnummer.

Under 2011 skrevs det stora rubriker om trojanen Macdefender. Som det hörs på ­namnet var Macdefender en trojan som infekterade datorer som körde Mac OS X och den uppgav sig vara ett säkerhetsprogram för att skydda Macar (trojanen har även cirkulerat under namnen Mac Protector och Mac Security). Det slutliga målet var dock att få användaren att installera trojanen och uppge sitt kortnummer. Apple har släppt en uppdatering som tar bort trojanen och kända varianter av den. Läs mer på support.apple.com/kb/HT4650.

Falskt virus (hoax)

Ett falskt virus (hoax) innehåller ingen skadlig kod. Det cirkulerar mängder av mail på internet där vänner, med goda avsikter, varnar varandra för virus. Det kan exempelvis stå att Microsoft informerar att alla bör se upp för ett specifikt program eller att man absolut inte får öppna ett mail med en speciell ämnesrubrik. Vissa mail går så långt att de uppmanar mottagarna att kontrollera om de har en speciell systemfil installerad och i så fall att radera den. Systemfilen som det hänvisas till finns dock installerad på alla datorer och systemet fungerar inte utan den.

Mail som dessa bör aldrig skickas vidare! Inget större mjukvaruföretag eller säkerhetsföretag skickar ut kedjemail som dessa. De kan däremot informera om hot på sina webbplatser. Banker och liknande institutioner skickar heller aldrig ut mail med ­uppmaningen att skicka in sina inloggnings- eller kreditkortsuppgifter för kontroll. Rapportera dessa mail som nätfiskemail (phishing mail) till mailoperatören.

Botnet

Från början var virus och andra typer av skadeprogram en programmerares rop på uppmärksamhet. Skadeprogrammen behövde inte nödvändigtvis ställa till oreda, men det skulle ­verkligen märkas att datorn var drabbad. Sedan kom de skadliga skadeprogrammen som i huvudsak raderade data eller gjorde att datorn startade om i tid och otid. Även dessa typer av skadeprogram märktes av förklarliga anledningar väldigt tydligt. Idag programmeras skadeprogram i mångt och mycket med ekonomisk vinning som ändamål. Då ska ­användarna inte heller märka om deras datorer är infekterade. Många av dagens virus, maskar och trojaner körs i bakgrunden utan att påverka användarens datorupplevelse eller ställa till någon oreda, just för att inte bli upptäckta.

Ett av de riktigt stora problemen som datorvärlden bråkar med just nu är botnet. Före­ställ dig att någon behöver tillgång till en otrolig bandbredd (många Gb/s i internet­uppkoppling) och mycket stor datorkraft. Då står antingen valet mellan att bygga ett extremt dyrt datacenter eller att lägga ut små delar av jobbet på datorer runt om i världen. Det sistnämnda är en teknik som bland annat Stanford University använder i sitt projekt Folding@Home. Det är ett projekt för att räkna hur proteiner uppför sig och förhoppnings­vis lösa cancerns gåta. Dessa beräkningar kräver otrolig datorkraft, men universitetet har löst kapacitetsproblemet genom att låta frivilliga användare ­installera en klient på sina datorer och upplåta överbliven datorkraft till dessa forsknings­beräkningar. Botnet fungerar på ett liknande sätt, men helt utan användarens tillåtelse.

Ett botnet är ett nätverk med infekterade zombiedatorer (datorer som bär på smittan utan att deras användare vet om det). Dessa datorers kraft och internetuppkopplingar kan sedan botnet-administratören använda för diverse olagligheter. Det är exempelvis vanligt att använda botnet för att skicka ut enorma mänger spam (reklammail). Ett ­annat av de riktigt stora användningsområdena för botnet är DDoS-attacker (­Distributed ­Denial of Service). En DDoS-attack är när flera datorer attackerar en server för att överbelasta den. Likna det hela vid när något revolutionerande händer i världen så att alla surfar in på nyhetswebbplatser. Det händer att dessa webbplatser inte klarar av den enorma trafikanstormningen, vilket leder till att besökarna bara får ett fel­meddelande. En DDoS-attack fungerar på samma sätt. Utan att deltagarna vet om det används deras datorer för att överbelasta ett bestämt mål.

Idag finns det helt öppna kommersiella botnet där personer med onda avsikter kan köpa en attack i valfri omfattning. Det finns till och med handelsplatser på internet för detta ändamål. Där säljer olika botnets upphovsmän tillgång till sina infekterade datorers kapacitet och erbjuder sig att skapa en riktad attack mot önskat mål. På detta sätt är datorägarna delaktiga i en attack helt utan att vara medvetna om det. När attacken är slutförd kan upphovsmännen sälja datorkraften till någon annan.

Utpressningsprogram

Slutligen finns det även program som sysslar med helt traditionell ekonomisk utpressning. Om en sådan mjukvara kommer in på datorn kan den exempelvis kryptera hårddisken så att ägaren inte kan komma åt sina filer. Han eller hon får däremot ett ­erbjudande om att köpa lösenordet för att dekryptera sina filer igen. Den drabbade kan exempelvis bli uppmanad att ringa ett betalnummer för att få koden. Det går givetvis inte att veta säkert att utpressaren verkligen berättar lösenordet, men ofta är det ­faktiskt så. Ibland är det till och med så lyckligt att det är samma lösenord som används till alla drabbade datorer, vilket gör att det kan hittas på internet. Besök någon av de stora antivirustillverkarnas webbplatser för att se om det finns mer hjälp där.

Annars finns det tyvärr inte speciellt mycket att göra om datorn redan är drabbad. Antivirusprogram kan agera preventivt och stoppa skadeprogrammet innan det har hunnit ­kryptera hårddisken, men om antivirusprogrammet installeras i efterhand har skadan redan skett. Hårddisken är då krypterad och även om skadeprogrammet går att ta bort går det inte att dekryptera hårddisken utan det rätta lösenordet. Då står istället hoppet till att det finns en backup på all data så att systemet kan ominstalleras och filerna återställas från säkerhetskopian.

2012 utsattes många svenskar för ett annorlunda utpressningsprogram. Efter att ha blivit infekterade blev deras datorer låsta och vid varje uppstartstillfälle presenterades följande meddelande med både Polisens och Regeringskansliets logotyper inklistrade.

Obs!

Detta operativsystem är blockerad på grund av brott mot svensk lag. Fastställt ­följande brott:

Din IP-adress är… Med denna IP-adress var besökta webbplatser som innehåller porno­grafi, barnpornografi, tidelag och våld mot barn. Videofiler som innehåller pornografi, våld mot barn och inslag av barnpornografi har installerats på dator! Dessutom skickades e-postmeddelanden i form av spam, som innehåller terrorist motiv från din epost adress.

Datorn har blockerats för att stoppa din olagliga verksamhet.

Utpressarna erbjöd de drabbade att få sina datorer upplåsta genom att betala böterna. Intressant nog var böterna 100 € och de skulle betalas via Ukash-kort. Utpressarna rekommenderade de drabbade att köpa sådana på Pressbyrån eller 7Eleven. Troligtvis förstod de flesta att det inte var Polisen som låg bakom låsningen av datorn, men många kände sig säkert pressade att betala ”böterna” för att slippa det pinsamma meddelandet.

Exploit-kit

Ett exploit-kit är inte någon typ av skadeprogram. Det är ett sätt att bli infekterad av ett eller flera skadeprogram utan att märka det. Ett exploit-kit är en mjukvara som känner till sårbarheter i välanvända program samt hur det går att använda dessa sårbarheter för att infektera datorer. Det kan exempelvis handla om sårbarheter i webbläsare och webbläsarnas insticksprogram.

Idag utvecklas exploit-kit av ljusskygga företag. De säljer sina färdigutvecklade exploit-kit till lika ljusskygga personer som installerar dem på sina webbsidor. Ofta erbjuder utvecklarna även support på sina exploit-kit och omfattande statistikfunktioner för att de som använder exploit-kiten ska kunna se hur många datorer de har infekterat!

När en exploit-kit-användare lyckas att locka någon besökare till sin infekterade webbsida börjar exploit-kitet att testa vilka sårbarheter som finns på besökarens dator. Sårbar­heten kan exempelvis ligga i en ouppdaterad version av Java, en ouppdaterad version av Adobe Flash Player eller en gammal webbläsare. När exploit-kitet hittar en sårbarhet drar den nytta av den för att infektera datorn med exempelvis en trojan. Detta sker i bakgrunden utan att besökaren märker det. Det behöver inte ens dyka upp någon fråga om besökaren vill godkänna det som håller på att hända, eftersom sårbarheten gör att skadeprogrammet kan gå förbi dessa säkerhetsfunktioner. Det är därför viktigt att uppdatera sin webbläsare och dess tilläggsprogram (se Dator 20.2).

Det har också hänt att hederliga webbsidor drabbats av exploit-kit. Då har de ­antingen blivit hackade eller så har exempelvis deras annonsleverantör blivit hackad. För att skydda mot detta har många av de stora antivirusprogrammen inbyggda surfskydd med ryktesspridning. Surfskydden kan varna sina användare för en misstänkt webbsida om flera andra användare blivit infekterade efter att ha besökt den.

Senast ändrad: 2015-11-17