De nya IT-hoten

Angreppet var inte helt oväntat och det dröjde inte länge förrän varningsklockorna ringde hos spelbolaget Expekt i mitten på mars 2004. Bolagets hemsida, länken mellan kunderna och verksamheten, hade attackerats av en anstormning av trafik utifrån. Först jobbade systemen allt långsammare och sedan brakade de ihop helt och hållet.

Kunderna började snabbt märka problemen och snart fick bolaget stänga hela verksamheten. Någon höll på att försöka skjuta företaget i sank med en så kallad DOS-attack (Denial Of Service). Genom att skapa en mängd trafik till hemsidan överbelastas den och kraschar. Snart flöt det också in ett e-postmeddelande till kundtjänsten med ett kortfattat men tydligt meddelande. “Betala tiotusen dollar om ni vill bli av med problemen.” Pengarna skulle betalas till ett konto hos en bank i Ryssland.

– Vi hade problem med sajten under fyra dagar men anmälde direkt till den brittiska polisen vad som hände. Vi skickade in allt material vi hade men sedan vet vi egentligen inte hur det gick, säger Per-Ivan Selinder som var vd för Expekt då.

Senare greps några ryssar i Sankt Petersburg men om det var samma personer som var inblandade i försöket att pressa Expekt på pengar har den brittiska polisen aldrig avslöjat.

De ekonomiska påverkan på Expekt blev marginell, den viktigaste effekten var istället att både hårdvara och mjukvara uppgraderades av säkerhetsexperter för att bättre kunna stå emot liknande attacker och kunna filtrera och styra undan trafik som inte var normal.

Bolaget har hela tiden spelat med öppna kort mot kunderna och informerade genast om kraschen.

-Det fanns ingen poäng med att försöka dölja vad som hände och vi har inte märkt något negativt av det senare, säger Selinder.

Men få resonerar så. De drabbade bolagen undviker helst att berätta offentligt när de attackerats. Istället mörkar de, trots att It-branschen är enig om att problemet med kriminalitet via internet både är stort och dessutom växer snabbt. En trend som har gjort sig gällande på senare tid och oroar säkerhetsexperter är att det är en ny typ av aktörer som tar sig igenom spärrarna. Medan hackare tidigare gjorde intrång eller ställde till med oreda på internet mest gjorde det för “skojs skull” eller för att visa att man kunde, handlar det idag allt oftare om pengar.

– Det ligger mer organiserad brottslighet bakom attackerna i dag. Men de flesta dataintrång sker för att komma åt spelnycklar till Internet, och bakom många överbelastningsattacker kan det finnas ilska snarare än pengamotiv, säger Per Hellqvist, säkerhetsexpert på Symantec.

Den senaste tidens försök att släcka ned hemsidor som visat de omstridda karikatyrerna av Mohammed är exempel på sådana känsloutbrott. Den totala omfattningen av problemet är inte känd och det faktum att företag är obenägna att anmäla dataintrång eller andra problem till polisen gör att mörkertalet är stort. Ändå tar problemen stora resurser i anspråk och kostar pengar.

En viktig orsak till oviljan bland företag att polisanmäla och skylta med angreppet offentligt är risken att varumärket och tilliten hos kunderna skadas. Att en internetbank eller e-handlare utsatts för olika typer av kriminalitet, oavsett om det varit framgångsrik eller ej, kan lätt avskräcka kunder som istället vänder sig till någon annan.

Enligt en studie förra året av Sitic, Sveriges IT-Incidentcentrum, har 45 procent av de tillfrågade bolagen och organisationerna någon gång blivit utsatta för de vanligaste typerna av IT-incidenter. Det kan handla om skadliga koder, intrång eller överbelastningsattacker. Samtidigt är det bara några få procent som polisanmäls.

– Av dataintrång är det bara ett par procent så mörkertalet är mycket stort vilket är ett problem i sig, säger Patrik Håkansson, chef för Polisens Samordningsfunktion för brottsrelaterade IT-incidenter.

Han menar att det fortfarande saknas förståelse bland politiker för hur allvarlig it-kriminalitet kan vara, och i dagsläget ger de flesta brotten inte särskilt höga straff. Det begränsar polisens möjligheter till spaning som husrannsakan och möjligeter att prioritera den typen av brott.

-Maxstraffet för till exempel egenmäktigt förfarande högst sex månder och det räcker ofta inte för att spana vidare på, säger Håkansson.

I årsrapporten för 2005 från Storbritanniens National High Tech Crime Unit så fann man att 89 procent av de tillfrågade företagen utsatts för åtminstone något datarelaterat brott under 2004. Det pekar på att Sverige fortfarande är något mindre utsatt än till exempel Storbritannien och USA, men vi löper risken att snabbt komma ikapp.

Den brittiska undersökningen uppskattar kostnaden för företagen till runt 36 miljarder kronor vilket översatt till svenska förhållanden skulle innebära att it-kriminaliteten kostar svenskt näringsliv mellan fyra och fem miljarder kronor per år.
I Sverige jobbar runt 100 poliser med it-relaterade brott, varav en del med forensisk undersökning, till exempel att plocka fram information ur datorers hårddiskar och liknande. Ett problem enligt Håkansson är bristande nationell samordning, eftersom brott ska rapporteras lokalt där de begås, men it-brott inte kan klassas på det sättet.

Ute bland företagens ledningar har medvetenheten om riskerna med it nu ökat, men fortfarande kan det vara svårt att få gehör hos företagsledningen för att både investera pengar i mer säkerhet och införa nya rutiner och andra förändringar som ska höja säkereten.

-Säkerheten är inte längre så mycket ett tekniskt problem som det är organisatoriskt, säger Hellqvist på Symantec.

Men det som kanske är svårast att skydda sig mot är att virus eller spionprogram åker snålskjuts på personal som är oförsiktig med bilagor i e-post eller bärbara datorer som kopplas upp utanför företagets nätverk.

-Då spelar det ingen roll hur kraftiga och bra brandväggar man än har. Hotet kommer i allt större utsträckning inifrån, säger Johan Jarl på säkerhetsföretaget F-Secure.

De stora globala leverantörerna av både utrustning och mjukvara har alltid sysslat med säkerhet men allt eftersom problemen ökar så ökar också kraven på att förbättra säkerheten i produkterna från början. Det gäller till exempel de frekventa hålen i Windows men även till exempel luckor i Ciscos routrar som uppmärksammats. Kunderna börjar tröttna på att inte bara betala för själva produkten utan sedan också behöva punga ut för extra mjukvara och annat för att den ska vara säker att använda.

På en stor säkerhetskonferens nyligen i USA deklararerde till exempel Microsoft lösenordens död till förmån för tekniker som fingeravtryck medan datortillverkaren Suns chef Scott McNealy hävdade att de stora it-bjässarna inte tar sitt ansvar och lämnar kunderna i sticket.

____________________________________

Tio IT- fällor att undvika

Skadlig kod
Skadlig kod är sådant som virus, maskar och spionprogram som kan finnas i så kallade “trojaner” (det vill säga de gömmer sig i ett skal). De här sakerna har nästan alltid skapats med uppsåt att ställa till oreda snarare än för upphovsmannen att tjäna pengar. Men en attack är kostbar för företaget som i bästa fall får massa extrajobb med att rensa datorer och att systmet går trögare. I värsta fall handlar det om att data raderas eller datorer kraschar.

Trojaner kan vara till synes harmlösa filer eller små progrmam som tankas hem till datorn. Ibland räcker det med att besöka en viss hemsida. De kan innehålla små spionprogram som letar efter åtråvärd information på datorn, till exempel lösenord, och vidarebefordrar dem. De kan också läsa av inmatningar på tangentbordet och på så vis ta reda på lösenord och kontokortsnummer som skickas vidare. Trojaner kan också installera “bakdörrar” på datorn som gör det möjligt för någon att sig in i datorn och företagets nätverk.

Överbelastningsattacker
De syftar till att få ett företags internetdatorer, servrar, att kollapsa genom att skapa en massa trafik som styrs dit. Sedan pressas företagen på pengar för att det ska fungera smärtfritt. Klassiska maffiametoder, “beskyddarverksamhet”, i ny tappning alltså. Det är främst företag som har merparten av sina affärer på internet som står i skottgluggen som spelbolag och näthandlare. Även välbesökta mediasajter kan bli intressanta allt eftersom annonseringen ökar. Få fall är kända men det pratas mycket om att banker har utsatts.

-Man använder så kallade “botnets” i sina attacker. Det är privatdatorer som kapats och kan fjärrstyras för att besöka en viss sajt, säger Stephan Rossi, säkerhetsexpert på Sitic.

Botnets kan bestå av flera tusen datorer och det finns också uppgifter om att det går att köpa sådan kapacitet illegalt för dem som vill attackera en sajt.

Dataintrång
Hackare tar sig in i företagets datorer och nätverk för att söka efter information. Det kan röra sig om saker som kontokortsnumer men mer vanligt är att man söker efter kundregister, forskning och annan typ av industrispionage.

Bedrägerier
Detta är ett gissel som framför allt drabbar e-handel. Varor beställs och levereras men sedan uteblir betalning. Det vanligaste är kanske att stulna kort eller kortnummer används men även andra former finns. Kortinnehavarna brukar hållas skadeslösa men handlarna får stå för fiolerna tillsammans med bankerna. Trots detta ökar användandet av kort via internet.

– Bankerna har uppenbarligen gjort bedömningen att man hellre tar smällen än bättrar på säkerheten för korten, säger Dick Malmlund, säkerhetsansvarig på Svensk Handel som uppskattar att bedrägerierna via internet kostar handeln flera hundra miljoner kronor per år.

Phishing
Har handlar det om att försöka lura av i synnerhet kunder på internetbanker information om konton, lösenord etc i syfte att senare länsa konton. Nordea utsattes för ett relativt primitivt försök förra året och fler är att vänta tror experterna. Det är vanligare utomlands, bland annat beroende på språk, och att svenska banker har hög säkerhet generellt sett. Betalningssajter som Paypal utsätts konstant för phishing.

Out-sourcing
När företag lägger ut it-drift och annat på en tredje part, ibland även utanför Sverige, kan det lätt uppstå säkerhetsproblem. Företaget är fortfarande ansvarigt men tappar kontroll över hur säkerheten sköts. Dessutom hamnar säkerhetsfrågorna alltför ofta i skymundan i sådana sammanhang, menar experter.

IP-telefoni
Ett relativt nytt område inom säkerhet. Det finns risk för avlyssning men kryptering av trafiken ska kunna hindra det. Mycket av IP-telefonin, som t ex Skype, är krypterad idag. Experter väntar sig dock fler attacker mot IP-telefoni under 2006 i takt med att det blir allt populärare. Risken finns också att telefonin slås ut i samband attacker från virus eller maskar.

Fysiska enheter
Anställda på företag hanterar allt fler enheter med data. Information läggs på allt från små USB-minnen, mobiltelefoner till bärbara datorer. Alla dessa har en benägenhet att komma bort eller stjälas och det är då oftast relativt lätt att komma åt informationen. Detta är främst ett organisatoriskt problem och handlar om utbildning snarare än teknologi.

Mobiler
Virus i mobiler har precis börjat dyka upp även i Sverige. Enligt Johan Jarl på F-Secure finns det runt 160 kända virus, men förekomsten i Sverige är än så länge relativt liten, samtidigt som de virus som finns har varit ganska harmlösa. Riktiga problem blir det då det dyker upp virus som försöker skicka iväg information från den kombinerade telefonen och handatorn eller snylta på abbonnemanget.

Trådlösa nätverk
Kan vara en svag länk i företagets nätverk. Det har uppmärksamats ett bra tag men fortfarande varnar experter för att trådlösa nätverk kan utgöra en risk. Det handlar mest om att utrustning används på fel sätt snarare än att den är osäker i sig. Det kan finnas problem både med intrång i nätverket via trådlösa nät och avlyssning.