Virusattackerna började direkt

En oskyddad dator är ett lätt byte för virus och maskar på internet. Redan efter några sekunders uppkoppling blir datorn attackerad. Utan försvar, i form av virusskydd och brandvägg, är risken stor att datorns hela operativsystem kraschar. Det visar experiment som gjorts på Totalförsvarets forskningsinstitut, FOI.

Av Martin Karresand och Arne Vidström

”Det har bara gått tre minuter sedan det första angreppet och redan sviktar försvaret. Underrättelseinhämtningarna har pågått oavbrutet sedan vi blev upptäckta och anfallsvåg efter anfallsvåg sköljer oavbrutet över oss. Det verkar som om de andra i gruppen har det minst lika illa. Kalle har visst brutit samman och gått över till motståndarsidan. Allt är ett enda mörker. Jag undrar hur länge till vi kan hålla ut.”

Det här skulle kunna vara ett utdrag ur en soldats dagbok i vilket krig som helst. I just det här fallet handlar det om tre datorer som anslöts till internet utan brandvägg, virusskydd eller säkerhetsuppdateringar. Experimentet utfördes för att undersöka vad som händer en dator med standardinställningar när den ansluts till internet. Utgångspunkten var att efterlikna en vanlig hemdator som ägs av någon utan djupare kunskaper om datorer i allmänhet och IT-säkerhet i synnerhet. Operativsystemen som användes var Windows 98, Windows 2000 och Windows XP, vilka är vanliga i hemdatorer. Datorerna användes inte aktivt med surfning, e-post eller dylikt, utan de var bara passivt uppkopplade mot internet. Ändå blev resultatet fatalt för två av tre datorer.

Datorerna var inkopplade i fyra timmar och under den tiden skedde det ständiga avsökningar, intrång - både försök och lyckade. Datorn med Windows XP startade om flera gånger under försöket och efter ett par timmar var muspekaren det enda som fortfarande fungerade, skärmbilden var i övrigt helt svart.

Typ av angrepp avgör krasch
När försöket avslutades visade datorn med Windows 98 inga synbara tecken på intrång eller annan manipulation. Det hade förekommit ganska mycket trafik mot den, men i och med att den nästan inte hade några nätverkstjänster igång så hade det inte hänt något allvarligt.

Datorn med Windows 2000 installerat såg på ytan ut att må bra efter experimentet, men den hade enligt loggfilen utsatts för flera lyckade angrepp. En normal hemdator med Windows 2000 installerat kan alltså vara i en angripares händer utan att ägaren har en aning om det.

Datorn med det nyaste operativsystemet installerat, Windows XP, visade redan efter en kort stund tecken på att allt inte stod rätt till. Den började ge meddelanden om att olika processer i operativsystemet hade kraschat och att datorn är på väg att starta om. Till slut blev skärmen helt svart och det gick inte göra något annat än att röra muspekaren. Det här är tydliga tecken som får användaren att inse att något är fel.

Det här resultatet får dock inte tolkas som att Windows 2000 aldrig kraschar vid angrepp, eller att XP, som kraschade, är sämre. Krascher beror till stor del på vad som angriper.

Både Windows 2000- och Windows XP-datorerna försökte, efter att de blivit smittade, angripa de övriga datorerna i det egna nätet. För en hemanvändare, som har flera datorer sammankopplade i ett nätverk, innebär detta att det räcker med att en dator blir smittad för att de andra ska riskera att drabbas. Det kan också vara så att en fullt uppdaterad och därmed synbarligen säker dator blir infekterad om den har samma användarnamn och lösenord som den först infekterade datorn.

350 olika maskar och virus på nätet
De allra flesta intrång utförs av maskar som rör sig helt automatiskt på internet och mer eller mindre slumpmässigt väljer ut sina offer. Intrången i listan härintill utfördes av maskarna Welchia och RBOT. Trafiken bildade ett bakgrundsbrus av angrepp som alltid finns på internet. Så fort en dator kopplas in mot internet är den också utsatt. Är den då inte fullt uppdaterad och skyddad är intrånget snart ett faktum.

Uppdateringarna som förhindrar lyckade angrepp från Welchia och RBOT kom ut under andra halvan av år 2003. Experimentet visade att det fortfarande finns datorer som är infekterade och sprider maskarna. Dessa datorer är förmodligen inte uppdaterade och saknar virusskydd. Welchia och RBOT är två av ungefär 350 maskar och virus som för tillfället är aktiva på Internet.

Situationen förvärras avsevärt om datorn faktiskt används, vilket får anses vara normalfallet. En hemdator kanske används ett par timmar i veckan för att surfa, skicka och läsa e-post, chatta, ladda ner filer med mera. Alla dessa aktiviteter innebär en betydande risk om inte datorns mjukvara är uppdaterad, det finns virusskydd och en personlig brandvägg. Användaren bör dessutom vara säkerhetsmedveten.

Martin Karresand och Arne Vidström arbetar vid FOI:s institution för systemutveckling och IT-säkerhet.

Maskarna slog till direkt

Vad händer om en dator utan virusskydd kopplas upp mot Internet? FOI gjorde ett experiment med tre olika datorer. Följande lista beskriver några av de händelser som inträffade under de första sex minuterna som experimentdatorerna var uppkopplade mot Internet. Händelser av mindre allvarlig karaktär finns inte med.

9:33:22 Datorerna startas och kopplas upp mot Internet.
9:34:11 Nätet avsöks från ett
värdepappersföretag i New York.
9:34:13 Intrång i Win2000 från värdepappersföretaget.
9:34:41 Nätet avsöks från en bredbandskund hos Deutsche Telecom.
9:34:43 Intrång i Win2000 från bredbandskunden.
9:35:52 Nätet avsöks från ett video-on-demand-företag i London.
9:36:38 Anslutningsförsök mot Win98 från Kina.
9:36:53 Intrång i Win2000 från en bredbandskund hos Pacific Bell i USA.
9:37:29 Flera anslutningsförsök mot Win2000 från Bulgarien.
9:39:15 Intrång i WinXP från en bredbandskund hos British Telecom.

Från Framsyn nr 4-2004 - www.foi.se/framsyn