ORMEDREPER: Sjefskonsulent Stein Møllerhaug i datasikkerhetsselskapet Symantec tor ny teknologi kan stoppe de nye lynraske Internett-ormene. Foto: Symantec (Bilde: Symantec)

Stopper virus

  • ikt

Eksperter på datasikkerhet ser likevel ikke helt ubekymret på fremtidens virustrussel.

Ifølge sjefskonsulent Stein Møllerhaug i datasikkerhetsselskapet Symantec, er det er ingen umiddelbar lysning i sikte på sikkerhetsfronten. Riktignok har antallet nye sårbare punkter som oppdages ukentlig i forskjellige programvare stabilisert seg på rundt 50, men det faller ikke. At et program har en sårbarhet betyr at uvedkommende kan utføre kommandoer i et system uten at de har rettigheter til det.

De fleste sårbarhetene oppdages i de store plattformene. Det skyldes at de testes mest samt at de fleste virusforfatterne angriper dem. Det er markedsutbredelse som tiltrekker seg oppmerksomheten fra dem som vil utnytte sikkerhetshull. Derfor øker også antallet sikkerhetsangrep mot det etter hvert mer og mer populære Linux.

Møllerhaug peker på at Microsoft har skjerpet seg voldsomt de siste par årene og at det kan være en viktig årsak til at økningen i antall oppdagede sikkerhetshull ser ut til å stoppe opp.

Raskere

Det stor problemet nå, er trenden mot raskere utbredelse. De nye flash-ormene sprer seg fra minne til minne i nettverksprosesser på sekunder og kan spre seg raskere enn det er mulig å utvikle tradisjonelle motmidler. Det holder ikke lenger å vente på oppgradert programvare. Det kan være for sent.

- Her trengs det nye teknologi, sier Møllerhaug. Det er ofte brannmurer som føler trykket fra de nye ormene.

Strategier

En av de nye mekanismene for å blokkere infeksjoner før det finnes oppdatert antivirussignatur, er atferdsblokkering. Det betyr at programvaren hindrer den atferden som er typiske for ormer og virus, som f. eks. å sende kopi av seg selv. Slik blokkering har stoppet angrepene fra MyDoom og Sobig.

En annen strategi er blokkering av protokollavvik på rutere og svitsjer. Sikkerhetsprogrammet blokkerer programmer som ikke forholder seg til visse standarder på Internett, som f. eks hvis det følger ekstra data med en HTTP-forespørsel. Code Red, Slammer og andre kunne ha vært stoppet hvis slik programvare hadde vært brukt.

HP-labs har utviklet en strategi for å strupe typisk virusaktivitet. En PC som oppretter et stort antall nye forbindelser pr. sekund, er sannsynligvis infisert. Lynraske dataormer oppretter forbindelse til hundrevis av nye datamaskiner hvert sekund

Ved å strupe antallet forbindelser en PC kan opprette til et par i sekundet, kan skadevirkningene minimeres til mottiltak kan settes inn. Dessverre er bare én ny forbindelse i sekundet nok til å infisere en milliard andre noder på ett minutt på grunn av kaskadeeffekten. I et slikt tilfelle kan den teoretisk infisere en milliard maskiner på ett minutt.

En fjerde teknikk for å stoppe helt nye og ukjente ormer umiddelbart, er å se om de prøver å angripe en kjent sårbarhet i programvaren. Det kan beskrives som å blokkere nøklehuller på låsen, hvis form er kjent, selv om nøkkelen er ukjent. Det gir beskyttelse for systemer som ikke er oppdatert med de siste sikkerhetsoppgradingene fra programleverandørene. Utfordring med denne metoden er å kunne oppdage ormer med komplekse fasonger ved datahastigheter på en GB/s eller mer, samtidig som minnet er begrenset.

Tenk trådløst

Møllerhaug oppfordrer folk til å tenke trådløs sikkerhet. Det finnes utallige eksempler på trådløse bedriftsnettverk på innsiden av brannmuren som lett kan infiseres av alle slags forbipasserende PC-er. Selv om det ytre forsvaret i bedriften er svært viktig, må bedriftene bli flinkere til å ta seg av det indre forsvaret.