Hullet software er de kriminelles indgang til din computer

Mikkel Løcke Winther
Secunia, PSI Partner Manager
mwinther@secunia.com, 7020 5144


Secunia udsendte den 10. september 2008 et såkaldt advisory, en sikkerhedsadvarsel, der omhandlede 8 alvorlige sikkerhedshuller i Apple's velkendte videoafspilningsprogram Apple Quicktime 7. Brugerne blev opfordret til at installere en vigtig sikkerhedsopdatering.

Hvis opdateringen ikke installeres, kan konsekvensen være, at hullerne udnyttes af en fremmed til overtage kontrollen med computeren og styre den efter forgodtbefindende. Dette kan ske blot ved, at brugeren kommer til at besøge en hjemmeside med en ondsindet QuickTime-fil eller åbner en tilsendt fil.

På trods af at QuickTime automatisk informerer brugeren, når en opdatering er tilgængelig, har hele 31% efter tre uger stadig ikke installeret denne vigtige opdatering, og noget tyder således på, at brugerne ikke i tilstrækkelig grad er bekendte med, hvor vigtigt det er at holde sine programmer opdateret for at sikre sig mod net-angreb fra kriminelle.


Netsikker nu! og opdaterdinpc.dk

Der er med andre ord et stort behov for meget mere fokus på området. Derfor er det med glæde, at Secunia deltager i Netsikker nu! kampagnen. I uge 41 sættes der fokus på internetsikkerheden i hele Danmark med Netsikker nu!, som er et samarbejde mellem Videnskabsministeriet og private virksomheder og organisationer. Et af de tre temaer i år er opdatering af din pc.

I kampagnen sætter Secunia, TDC og IT- og Telestyrelsen sammen med finansverdenen fokus på IT-sikkerhed, bl.a. ved hjælp af websitet www.opdaterdinpc.dk. På denne side findes Secunia's Online Software Inspector, som skanner brugerens computer for sårbare programmer.


Besøgende fra opdaterdinpc.dk havde 65% flere usikkerheder end andre!

Allerede på kampagnens første dag viste det sig, at det generelle sikkerhedsniveau i Danmark for så vidt angår sikkerhedsopdateringer og lapning af hullet software i udgangspunktet ikke er særlig højt. Secunia's tusinder af skanninger hver dag viser at ca. 20% af de skannede programmer ikke er opdateret og således indeholder huller, som kriminelle kan udnytte. De tilsvarende tal for de skanninger, der er foretaget i forbindelse med "opdaterdinpc" kampagnen, viser meget højere tal. Således er hele 32% af de ca. 27.000 skannede programmer i det første døgn af kampagnen usikre, hvilket svarer til ca. 65% flere end normalt.

Mere end 8.500 programmer indeholder huller, der i Secunia's sårbarhedsdatabase klassificeres som kritiske sikkerhedshuller.

Birgitte Mikkelsen fra Finansrådet, som støtter netsikker nu! kampagnen, kommenterer: ”Det viser vigtigheden af en kampagne med fokus på sikkerhedsopdateringer. En opdateret pc er ikke alene det bedste værn mod netbankindbrud, men kan også hindre de it-kriminelle i at få adgang til alt på pc'en, fx fotos eller mailboks".

Secunia tilbyder to gratis værktøjer til at sikre, at alle har de seneste sikkerhedsopdateringer installeret til deres programmer. Værktøjet til private brugere, Personal Software Inspector, er gratis og bruges i dag af mere end 700.000 brugere. Ligeledes tilbydes en online version, også gratis. Der findes også en mere avanceret løsning til virksomheder. Secunia's website findes på adressen www.secunia.com.



Appendix

OM SECUNIA

Secunia er en ekspertvirksomhed specialiseret i kontrol og testning af sårbarheder, samt ikke mindst forskning i nye sårbarheder. Secunia er 100% dansk og har hovedkvarter midt i København. Secunia er blandt de førende og mest anerkendte virksomheder i verden indenfor software-sårbarheder og sikkerhedshuller.

Siden Secunia startede i 2002, har det været en erklæret del af værdigrundlaget for virksomheden, at information om software-sårbarheder og sikkerhedshuller skal være frit tilgængelig for alle for at tilsikre, at alle har lige mulighed for at beskytte deres PC-systemer.

Derfor lancerede Secunia i juli 2007 Secunia Personal Software Inspector. Der er i dag 700.000 aktive brugere af Secunia Personal Software Inspector. Det er en målsætning for Secunia at gøre Secunia PSI til en de facto standard for at sikre private PC'er på linie med antivirus programmer samt opdateringstjenesten i Windows. Secunia tilbyder PSI gratis til private brugere.

Såfremt du har brug for mere information omkring Secunia, og omkring hvorfor vi tilbyder en gratis "Windows Update" til tredjeparts–programmer, står vi naturligvis til rådighed.

Secunia arbejder fokuseret og aktivt på at højne sikkerheden, for private og for virksomheder. En kampagne som Netsikker nu! er et godt initiativ, og vi er interesserede i flere af sådanne initiativer. Stadig mange mennesker tror fejlagtigt, at antivirus og firewall er nok, men virkelighedens verden viser, at sårbarheder i upatchede programmer er de kriminelles foretrukne vej til at angribe computere og netværk.

BAGGRUNDSVIDEN

Ændring i trusselsbilledet ifht. tidligere

Forskellen mellem “five minutes of fame”-angrebene som eksempelvis virusen “Iloveyou” for år tilbage og de mere målrettede professionelle angreb, vi ser i dag, er enorm. Trusselsbilledet er et helt andet end dengang, hvor den typiske hacker var en ung knægt, der skrev skadelig kode for at bevise sig eller bare for at se, hvad der kunne lade sig gøre. I dag er det professionelle kriminelle, der sigter nøjagtigt og rammer hårdt.

Der er tale om dygtige IT-udviklere, som lever af at skrive ondsindet kode til at udnytte sårbarheder. De er ofte organiseret i deciderede “sårbarhedskontorer” med mange fuldtidsansatte, som ikke laver andet end at være underleverandører til kriminelle, der skal bruge såkaldt exploit-kode, som udnytter en sårbarhed til at udføre et angreb. Man kan simpelthen bestille et angrebsværktøj til et specifikt, ondsindet formål. (Se Europols rapport for uddybning)

Vi ser, at måden de kriminelle “arbejder” på, er meget afhængig af, hvilke sikkerheds- og beskyttelsesværktøjer og sikkerhedshuller, de møder på deres vej. I dag har mange PC-brugere et opdateret antivirusprogram, de fleste har også en firewall, og endelig har mange virksomheder endda et IDS/IPS (Intrusion Detection/Prevention System). Problemet er imidlertid, at antivirus ikke kan beskytte mod specialfremstillet ondsindet kode og i utilstrækkelig grad mod udnyttelse af sårbarheder. IDS/IPS beskytter virksomhederne i nogen grad, men selv disse systemer har svært ved at håndtere de specialfremstillede værktøjer samt de seneste sårbarheder. Desuden kan de omgås ved at udføre angrebene via krypterede forbindelser, som vi kender det fra netbanker.

Europols rapport fra 2007 om ”High Tech Crime Threat Assessment” belyser, hvorledes der er tale om professionelle hackere, som tilbyder deres kunnen til den højeste pris. De lejer deres exploits ud, og hovedformålet er ikke at ødelægge computer systemer, men i højere grad at trække data ud med et kriminelt formål.

For at en kriminel kan trænge ind på en computer og måske endda overtage kontrollen med denne, kræves desværre bare, at der findes én vej ind. Den nemmeste og mest direkte vej findes ofte i software, der ikke er opdateret med seneste sikkerhedsopdateringer fra producenten.

For uddybning se: http://www.europol.europa.eu/publications/Serious_Crime_Overviews/HTCThreatAssessment2007.pdf