Ingen har väl undgått rapporteringen från de lamslagna Region Skåne och Höganäs kommun. I Region Skånes fall var 10.000 av 25.000 datorer smittade av masken “Conficker/Downadup/Kido” och i Höganäs kommun var i princip hela det administrativa nätet smittat.
En mask är enligt definition ett självreplikerande datorprogram. I en del förklaringar som är gjorda av begreppet mask skall den kunna sprida sig utan hjälp från en oförsiktig användare. I flera fall lyfts beroendet till någon form av säkerhetshål fram. Maskar går ofta under benämningen “snäll” när man talar om skadlig kod, troligen för att de sällan slår mot sekretess- och riktighetsbegreppet. Däremot är tillgänglighetsbegreppet i stor fara, något som Region Skåne och Höganäs kommun fått befara.
Likt den kända masken Blaster använder den nu aktuella masken primärt en sårbarhet i Microsoft Remote Procedure Call (se MS08-067 för detaljer om sårbarheten). En annan parallell till masken Blaster är att det tog ungefär en månad från det att Microsoft tillkännagjorde sårbarheten till dess att masken utnyttjade den.
Microsoft RPC är ofta vitt exponerat i företagsinterna nätverk varför masken får bra spridning bara den har fått ett fotfäste. Den första infektionen kommer troligen via infekterade USB-minnen där masken utnyttjar autorun-funktionaliteten. Noterbart att US-CERT (se TA09-020A för detaljer) och Microsoft har olika åsikter hur autorun-funktionen skall deaktiveras för att hindra spridning den vägen. Vidare använder masken utdelade diskar för att sprida sig, och i det sammanhanget provar den ett antal enklare lösenord vilket medför en kontolåsning som kan bli rätt besvärande för en större organisation. Den gör också mängder med lokala konfigurationsändringar, vilket gör att masken verkligen lever upp till sitt namn Conficker. Till allt detta skall läggas maskens förmåga att “ringa hem” för nya instruktioner med mutationer som följd.
Allt som ofta när en händelse relaterad till skadlig kod blossar upp så blir det ett väldigt virus hysteri. Rubrikerna haglar “Nio miljoner datorer smittade”, “Nätverksmasken sprider sig lavinartat”, “Värsta attacken under 2000-talet”. Speglar rubrikerna verkligheten, eller är de som ofta kraftigt överdrivna?
Vi kan alla vara överens om Downadup/Conficker/Kido är en ovanligt smart kodad mask och att den är svår att få bukt med när man väl drabbats. Det förstärks av att ett av de ledande antivirusföretagen behövde sex dygn för att ta fram ett bra motmedel, vilket i sammanhanget är ovanligt lång tid. Det är ett stort mörkertal vad gäller antalet infekterade datorer, en siffra som nämns i skrivande stund (26 januari 2009) är 15 miljoner. Spridningen har dock inte gått i samma initiala hastighet som exempelvis CodeRed (2001) och Slammer (2003). Dessa spred sig dock bara via en sårbarhet varför den totala spridningen inte nådde samma mängd som den nu aktuella masken, som troligen blir ovanligt ihärdig.
Hundratals miljoner datorer i världen bär på någon form av skadlig kod varför 10-15 miljoner kan te sig ringa. Men om ryktet är sant att syftet med masken är att bygga ett botnet då lär det bli världens största botnet, med potential att bli en tiopotens större än det idag störst kända. Och då finns det all anledning att vara orolig!
Höganäs kommuns skolnät klarade sig från smittan tack vare den klassiska zonindelningen av administrativt nät och skolnät som gjorts i årtionden, primärt för att skydda den administrativa verksamheten från allehanda kreativitet i skolverksamheten. Händelsen i Höganäs är ett lysande exempel på vikten av zonindelning som har för avsikt att hindra system med olika informationsklasser att påverkar varandra. Det är en lärdom som Region Skåne nu sannolikt dragit och framgent lär de placera medicinsk utrustning i mer skyddade zoner.
Region Skåne anser själva att de har bra säkerhetssytem. Det aktuella systemet som de har i åtanke är kanske ett av de bästa som marknaden har att erbjuda. Bevisligen var organisationen ovanligt sårbar för en nätmask som utnyttjade en sårbarhet som varit känt i näst intill ett kvartal.
Vis av erfarenhet handlar inte detta enbart om säkerhetssystem eller enbart zonindelning. Det handlar heller inte enbart om vikten av:
Det handlar om att uppnå en samlad harmoni i alla komponenter som tillsammans kan minska en organisations sårbarhet. Se ovanstående som ett axplock av komponenter, mjuka som hårda. Det är harmonin som är poängen, inte varje enskild komponent!
Ofta krävs det en berörande händelse i ens närhet för att vidta förebyggande åtgärder. Jag sätter en större slant på att de som arbetar nära verksamheten i såväl Region Skåne som Höganäs kommun visste hur sårbara de var, men att de inte fick gehör när det lyftes fram förslag om proaktiva åtgärder. Åtgärder som bara hade kostat promillen av den incident som nu lamslog dem.
Som alltid är det lätt att vara efterklok. Vilken tur att vi kan lära av historien!
© 2009 Thomas Nilsson, Certezza AB
Thomas Nilsson
