Mask i nätet

Postad 2017-05-13 av Karl Pettersson. Taggar:

Svenska media har uppmärksammat en IT-attack som drabbat datoranvändare i många länder, däribland Sverige (TT 2017). Det rör sig om WannaCry, en skadlig programvara som krypterar filer i utpressningssyfte och som uppges vara baserad på ett verktyg utvecklat hos amerikanska NSA. Enligt uppgift har över 230 000 datorer i 99 länder drabbats på ett dygn (Wikipedia 2017a). Attacken har enligt TT (2017) blivit så effektiv därför att det är en mask: hade det rört sig om ett vanligt virus hade massor av människor behövt klicka på länkar för att det skulle spridas, men nu räcker att en dator på ett företag smittas, så kan viruset utnyttja ett hål i Windows fildelningsteknik (som dock har korrigerats i en uppdatering som varit tillgänglig sedan i mars) för att sprida sig i företagets nätverk utan mänsklig inblandning.

Här beskrivs alltså WannaCry som både virus och mask. Vad är distinktionen mellan dessa olika typer av skadlig kod? En av de första allvarliga attackerna med skadlig kod ägde rum i november 1988: det var datavetaren Robert Tappan Morris som sände ut ett program på det dåvarande Internet, som utnyttjade buggar och vanligt förekommande osäkra konfigurationer i de Unixsystem som då användes för att på automatisk väg sprida sig mellan uppkopplade datorer. Morris program kom, precis som WannaCry, att benämnas både mask och virus. Angreppet uppmärksammades även i Sverige. Himmelstedt (1989, 16) innehåller en artikel om attacken med rubriken [d]atavirus – ny form av sabotage (när jag fick den boken i julklapp 1989 kan det ha varit första gången jag hörde talas om datavirus). Programmet betecknas primärt som virus, men det sägs också att det var av typen mask, vilket enligt artikeln betyder att det flyttar sig till lediga rader i ett program om det känner sig förföljt, och därmed blir närmast omöjligt att upptäcka innan skada skett. Spafford (1989) är en ingående diskussion om Morris angrepp, som även gör ett försök att klargöra begreppen. Författaren definierar mask (worm) och virus på ett sätt som han menar har stöd i språkbruket inom IT-världen.

Mask
Ett program som kan köras som en fristående process och sprida fungerande versioner av sig själv till andra datorer.
Virus
Ett stycke kod som inte kan köras fristående men infogar kopior av sig själv i andra programs kod (och aktiveras och sprider sig när dessa program körs).

Definitionen av mask är, påtalar Spafford, analog med bandmaskar inom biologin: parasiter som lever inuti en värd och kan smitta andra värdar.1 På samma sätt är definitionen av virus analog med biologiska virus, som inte har någon egen ämnesomsättning och bara kan föröka sig inuti värdens celler.

Med dessa definitioner var Morris program en mask och inte ett virus. På samma sätt är WannaCry en mask. När dessa program i media betecknas som virus beror det nog på att virus används som benämning på skadlig kod i största allmänhet. Det språkbruket kan ha sin grund i situationen på 1980- och 90-talen. Innan allmänheten hade tillgång till Internet var det svårt för maskar att få någon större spridning. De angrepp med skadlig programvara som förekom var mestadels angrepp med virus, som spreds genom att folk flyttade disketter mellan datorer och körde infekterade program (inklusive startsektorer) från dessa.

I dag heter det alltså att ett vanligt virus är något som kräver att folk klickar på länkar för att det skall spridas. Detta är dock i linje med en tredje typ av skadligt program:

Trojansk häst
Ett program som användaren manipuleras att köra genom att dess skadliga funktionalitet utges för något annat.

Detta är analogt med hur trojanerna släppte in trähästen med grekiska soldater (så den vanliga beteckningen trojan på program av denna typ bryter analogin, eftersom trojanerna i historien var offer och inte förövare). Att vara en trojansk häst är inte så mycket en inneboende egenskap hos programmet, utan handlar snarare om hur det förpackas och dokumenteras.

Trojanska hästar var också svåra att sprida effektivt innan folk var uppkopplade, och större angrepp tillhörde undantagen. Ett sådant fall, som jag skrev om den 20 februari 2015, var när biologen Joseph Popp 1989 tryckte upp tusentals disketter innehållande ett program som utgavs för att innehålla information om AIDS men krypterade filsystemet på användarens hårddisk och krävde lösen för att dekryptera, precis som WannaCry och många andra nutida skadliga program. Det verkar som WannaCry också sprids som trojansk häst, för att programmet initialt skall kunna komma in i en organisations nätverk, som skyddas av brandvägg.

Spafford (2003), en uppföljningsartikel till Spafford (1989) 15 år efter Morris angrepp, handlar bl.a. om hur säkerhetsbrister liknande de som möjliggjort detta angrepp förblivit prevalenta och fortsatt att möjliggöra nya angrepp. Nu har snart ytterligare 15 år gått, och attacker som den nu aktuella visar på fortsatt sårbarhet, men skadlig programvara riktad mot persondatorer och fristående servrar får ändå inte lika stort genomslag på kort tid som program som ILOVEYOU 2000, som uppges ha vållat över 50 miljoner infektioner inom loppet av 10 dagar (Wikipedia 2017b), i en tid när antalet uppkopplade datorer var signifikant lägre än idag. Kanske är moderna angrepp, med sofistikerad kryptering, ofta mer kostsamma per drabbad användare än de äldre angreppen, men en hel del har förbättrats när det gäller säkerheten i system, rutinmässiga uppdateringar och troligen användares medvetande om problemen. I stället är det kanske framför allt uppkopplade inbäddade system (Internet of things) som har stora problem med bristfälliga rutiner för uppdatering och osäkra konfigurationer vid leverans, något som exempelvis utnyttjades vid överbelastningsattacken som gjorde flera stora webbplatser otillgängliga i höstas (Wikipedia 2017c). I stor utsträckning kanske det är sådana system som är utsatta även i detta fall, eftersom det åtminstone i höginkomstländer sannolikt till största delen är olika inbäddade system som fortfarande kör Windows XP, där Microsofts support med säkerhetsuppdateringar officiellt tog slut 2014, även om de skickade ut en uppdatering efter den nu aktuella attacken.

Referenser

Himmelstedt, Bernt, red. 1989. När Var Hur 1990.
Spafford, Eugene H. 1989. The Internet Worm Program: An Analysis. http://spaf.cerias.purdue.edu/tech-reps/823.pdf.
———. 2003. ”A Failure to Learn from the Past”. I In Proceedings of the 19th Annual Computer Security Applications Conference. https://www.acsac.org/2003/papers/classic-spafford.pdf.
TT. 2017. ”IT-attack kopplas till NSA – nära 100 länder drabbade”. SVT Nyheter (13 maj). https://www.svt.se/nyheter/utrikes/virus-bakom-it-attack-kopplas-till-nsa.
Wikipedia. 2017b. ”ILOVEYOU – Wikipedia, The Free Encyclopedia”. https://en.wikipedia.org/w/index.php?title=ILOVEYOU&oldid=780105778.
———. 2017a. ”WannaCry ransomware attack – Wikipedia, The Free Encyclopedia”. https://en.wikipedia.org/w/index.php?title=WannaCry_ransomware_attack&oldid=780191534.
———. 2017c. ”Mirai (malware) – Wikipedia, The Free Encyclopedia”. https://en.wikipedia.org/w/index.php?title=Mirai_(malware)\&oldid=780196380.

  1. Det finns många andra parasitiska maskar, men beteckningen tapeworms användes när band var dominerande lagringsmedia.↩︎