ekstrabladet.dk ved cyberkrigens front

Sådan gør de: Når kriminelle, aktivister og efterretningstjenester udvikler ondsindede kodestumper, står antivirus-folkene på den modsatte side i kampen om din computer

Mikko Hyppönen (med hestehalen og brillerne) har kæmpet med computervira i snart 25 år. (Foto: F-Secure)
Mikko Hyppönen (med hestehalen og brillerne) har kæmpet med computervira i snart 25 år. (Foto: F-Secure)

HELSINKI (ekstrabladet.dk): De fleste hører ikke mere til deres antivirus-program end, når det en gang imellem siger, at det vil opdateres.

Men bag det lille ikon nede i hjørnet foregår en indædt kamp mellem antivirus-folk og internettets lovbrydere. Blandt andet hos finske F-Secure.

Antivirus-selskabet modtager op til 100.000 stykker mistænkelige kode hver dag. Da ekstrabladet.dk besøger dem en almindelig hverdag, er de første 23.196 stykker tikket ind, da klokken slår 9.20 i Helsinki.

Chefforsker Mikko Hypponen åbner én af dem. En mistænkelig PDF-fil, en bruger har modtaget på mail og fundet mistænkelig.

- Når vi åbner den opretter den en fil, der hedder AdobeARM.dll. Det bør den ikke. Og så kører den cmd.exe, hvilket den slet ikke bør, siger den internationalt anderkendte antivirus-ekspert og peger på storskærmen, hvor vi kan følge med i firmaets interface.

Læs også:

Se også: Bekræftet: USA bag cyber-angreb på Iran

Det mistænkelige dokument bliver åbnet i F-Secures automatiske system til kategorisering af computervirus, der dagligt modtager i titusindvis af mistænkelige filer fra blandt andet de maskiner, som firmaets software er installeret på. Men F-Secure har også et stort netværk af usikre maskiner sat op, der som ’honningkrukker’ tiltrækker alverdens vira og sender dem til tilbage til F-Secure.

Hver mistænkelig fil bliver åbnet på en virtuel Windows XP-maskine. På den måde kan de se, om filen er reel eller ondsindet. De kan nemlig følge med i alt det, der foregår skjult for den intetanende bruger.

- Den forbinder den til snrp.UglyAss.com, siger Mikko Hypponen og vender tilbage til den PDF-fil, som han har åbnet på den virtuelle maskine.

- Filen udnytter Adobe Reader (PDF-læser -red.), bygger en bagdør og åbner så denne PDF, siger han og peger på skrærmen.

Det er tilsyneladende et program for en forretningskonference. Første punkt er et foredrag for F-16 mekanikere.

- Det er et målrettet angreb, og man kan nemt gætte, hvilken branche det er rettet imod.

De hundrede første vira
Hele analysen tager systemet under fem minutter, før det markerer den mistænkelige fil som ondsindet malware og automatisk sender en advarsel ud til F-Secures antivirus-programmer over hele kloden. Den har de omkring 60 sekunder senere.

Systemet holder øje med kodestruktur, nøgleord i kode samt hvordan filen opfører sig, når den bliver åbnet. Og ud fra det tager det automatisk en beslutning og blokerer filen eller lader den passere.

Det er et kæmpe skift i forhold til, hvordan antivirus-selskaberne plejede at operere.

- Da jeg startede med at lave virus-analyser var det kun unge, der stod bag. I dag er det kriminelle, hacktivister, som Anonymous, og regeringers efterretningstjenester og militær, vi står over for, siger Mikko Hypponen, der har snart 25 års erfaring i branchen.

Læs også:

Se også: Antiviruschef skammer sig - snydt af cybervåben

På bordet foran ham står der en kasse med en stak gamle floppy disks af den store slags. De rummer 99 af verdens 100 første computervira.

Den aller første, der blev kaldt ’Brain’, har Mikko Hypponen personligt været i Pakistan for at levere tilbage til Farooq-brødrene, der skrev den i 1986.

Siden er det gået hurtigt. Både hos virusskribenterne og modstanderne i Antivirus-branchen. Men indtil omkring midt i sidste årti var det stadig mennesker, der analyserede hver enkelt mistænkelig fil.

De måtte inficere fysiske maskiner for at se, hvad de var oppe imod og for at kunne pille koden fra hinanden. Men i dag sker det meste automatisk, fordi især de kriminelle er begyndt at spytte kode ud i et hidtil uset omfang. Store serverparker i især Rusland, Kina og Brazilien kværner onde orme ud i rekordtempo.

Derfor er firmaer som F-Secure gået over til automatiske analyser. Og det kræver mange computerkræfter, som finnerne har fordelt i datacentre flere steder på kloden.

- Lad os bare sige, at vi er en ret god kunde hos Cisco og Dell (leverandører af server og netværksudstyr -red.), siger Mikko Hypponen.

Blev snydt af StuxNet og Flame
Selvom det meste af arbejdet foregår på virtuelle maskiner, hvor de uønskede kodestumper ikke burde kunne slippe ud fra, bærer viruslaboratoriet på anden sal af det finske hovedkontor præg af, at der bliver håndteret ubehagelige filer.

Netværkskabler i grøn, gul og rød markerer, hvilke netværk de utallige maskiner er på. De røde er helt lukket for omverdenen.

- Vi går langt for at sikre, at virusserne ikke slipper ud. Vi håndterer i tusindvis af vira hver dag.

Læs også:

Se også: Cyberkrig eskalerer: Nyt våben afsløret

Midt i etagen er et enkelt kontor pakket ind i en metalkasse med tung dør. Det er er Faraday-bur, der effektivt holder alle mobil og wifi-signaler inde, så forskerne kan eksperimentere med virus til iPhone og Android samt utallige Nokia-telefoner helt tilbage fra dengang, hvor man knapt nok kunne kalde dem mobile.

It-kriminelle står for langt det meste malware på internettet, men også hacktivister og især regeringsorganer er begyndt et digitalt våbenkapløb som antivirus-selskaber som F-Secure halsende forsøger at følge med i.

- Hvis du for ti år siden havde fortalt mig, at vi ville se regeringer udføre cyberangreb, så havde jeg ikke troet på dig, siger Mikko Hypponen, der ligesom resten af branchen i årevis blev snydt af orme som StuxNet, Duqu og Flame, der alle med stor sandsynlighed er blevet programmeret for skattekroner.

- Vi lever i sandhed i interessante tider.

1 af 3 F-Secure tæller 940 ansatte på hele kloden, men er langt fra de største i branchen. (Foto: F-Secure)
2 af 3 Analytikerne arbejder hele døgnet fra centre flere steder på kloden. Her hos F-Secure i Malaysia. (Foto: F-Secure)
3 af 3 Mikko Hyppönen (med hestehalen og brillerne) har kæmpet med computervira i snart 25 år. (Foto: F-Secure)
0 kommentarer
Vis kommentarer

Skærm

Hent flere
Hent flere