För flera år sedan var det typiska hackarscenariot en ensam angripare och kanske några kompisar som arbetade sent på natten med Mountain Dew och letade efter IP-adresser som var öppna för allmänheten. När de hittade en sådan räknade de upp reklamtjänsterna (webbserver, SQL-server och så vidare), bröt sig in med hjälp av en mängd sårbarheter och utforskade sedan det komprometterade företaget efter eget gottfinnande. Ofta var deras avsikt att utforska. Om de gjorde något olagligt var det vanligtvis ett brott som skedde under en tillfällig impuls.
My, vad tiderna har förändrats.
När man beskriver ett typiskt hackningsscenario måste man numera börja långt före hackningen eller till och med hackaren, med organisationen som ligger bakom angreppet. I dag är hackning helt och hållet brottslighet, hela tiden, med budmarknader för skadlig kod, brottssyndikat, botnät för uthyrning, statliga aktörer och cyberkrigföring som gått amok.
Här är de nio största hoten som dagens IT-säkerhetsexperter står inför.
- Hot nr 1: Cyberbrottssyndikat
- Hot nr 2: Småföretagare – och de penningmugglare och penningtvättare som stödjer dem
- Hot nr 3: Hacktivister
- Hot nr 4: Stöld av immateriella rättigheter och företagsspionage
- Hot nr 5: Malware legosoldater
- Hot nr 6: Botnät som tjänst
- Hot nr 7: Allt-i-ett-malware
- Hot nr 8: Den alltmer komprometterade webben
- Hot nr 9: Cyberkrigföring
- Brott och inget straff
Hot nr 1: Cyberbrottssyndikat
Och även om den ensamma kriminella hjärnan fortfarande existerar, är de flesta skadliga hackerattacker i dag resultatet av organiserade grupper, varav många är professionella. Traditionella organiserade brottsgrupper som tidigare drev droger, spel, åtal och utpressning har kastat in sina hattar i ringen för att ta pengar på nätet, men konkurrensen är hård, ledd inte av mafiososos utan av flera mycket stora grupper av professionella brottslingar som är särskilt inriktade på cyberbrottslighet.
Många av de mest framgångsrika organiserade syndikaten för cyberbrottslighet är företag som leder stora konglomerat av affilierade företag, mycket i likhet med lagliga hierarkier för distribuerad marknadsföring. I själva verket har dagens cyberbrottsling förmodligen mer gemensamt med en Avon- eller Mary Kay-representant än vad någon av dem vill erkänna.
Små grupper med ett fåtal medlemmar hackar fortfarande, men allt oftare ställs IT-säkerhetsproffs mot stora företag som ägnar sig åt oseriöst beteende. Tänk på heltidsanställda, personalavdelningar, projektledningsgrupper och gruppledare. Och allt är kriminellt, inga roliga meddelanden som skrivs ut på skärmen eller andra tonåriga upptåg. De flesta är öppet verksamma, och vissa – som Russian Business Network – har till och med egna Wikipediaposter. Det får en att önska sig tillbaka till förr i tiden, eller hur?
Specialisering och arbetsfördelning är kärnan i dessa organisationer. En enda hjärna, eller en inre cirkel, kommer att leda kollektivet. Sergeanter och underavdelningar kommer att specialisera sig på olika områden, med en arm som ägnar sig åt att skapa skadlig kod, en annan som ägnar sig åt marknadsföring, en annan som inrättar och upprätthåller distributionskanalen och ytterligare en annan som ansvarar för att skapa botnät och hyra ut dem till andra illgärningsmän (se nedan).
Det är inte så konstigt att populära IT-säkerhetsmetoder helt enkelt inte fungerar mot dagens skadlig kod, med tanke på att cyberbrottslighet har utvecklats till en tjänstebaserad industri på flera nivåer med det uppenbara målet att beröva företag och människor deras pengar och immateriella egendom.
Hot nr 2: Småföretagare – och de penningmugglare och penningtvättare som stödjer dem
Inte alla cyberbrottsliga organisationer är syndikat eller företag. Vissa är helt enkelt entreprenörer, små företag som är ute efter en sak: pengar.
Dessa illasinnade småföretag kan stjäla identiteter och lösenord, eller så kan de orsaka skändlig omdirigering för att få tag på dem. I slutändan vill de ha pengar. De initierar bedrägliga kreditkorts- eller banktransaktioner och omvandlar sina illasinnade vinster till lokal valuta med hjälp av penningmugglare, elektronisk kontantdistribution, e-banking eller någon annan form av penningtvätt.
Det är inte svårt att hitta penningtvättare. Det finns dussintals till hundratals enheter som tävlar om att vara den som får ta en stor procentuell andel av den olagligt införskaffade bytet. Faktum är att du skulle bli förvånad över hur konkurrenskraftiga och offentliga alla andra personer som tigger om att få göra stödaffärer med Internetkriminella är. De annonserar “inga frågor ställda”, “skottsäkra” webbhotell i länder som ligger långt ifrån lagliga stämningar, och de erbjuder offentliga anslagstavlor, specialerbjudanden på mjukvara, telefonsupport dygnet runt, forum för budgivning, referenser från nöjda kunder, kunskaper om hur man undviker skadlig kod och all den service som hjälper andra att bli bättre brottslingar på nätet. Ett stort antal av dessa grupper tjänar tiotals miljoner dollar varje år.
Många av dessa grupper och personerna bakom dem har identifierats (och arresterats) under de senaste åren. Deras profiler i sociala medier visar glada människor med stora hus, dyra bilar och nöjda familjer som tar utlandssemestrar. Om de är det minsta skyldiga till att ha stulit pengar från andra syns det inte.
Föreställ dig grillaftnarna i grannskapet där de berättar för grannar och vänner att de driver ett “internetmarknadsföringsföretag” – samtidigt som de social ingenjörskonst gör sig till miljontals kronor till bestörtning för IT-säkerhetsexperter som har gjort precis allt man kan för att skydda användarna från sig själva.
Hot nr 3: Hacktivister
Då det inte var ovanligt med skryt om exploateringar i början, försöker dagens cyberkriminella flyga under radarn – med undantag för de växande legionerna av hacktivister.
IT-säkerhetsexperter måste kämpa mot ett ökande antal lösa sammanslutningar av individer som ägnar sig åt politisk aktivism, som den ökända Anonymous-gruppen. Politiskt motiverade hackare har funnits sedan hackningen föddes. Den stora förändringen är att mer av det sker öppet och att samhället erkänner det som en accepterad form av politisk aktivism.
Politiska hackergrupper kommunicerar ofta, anonymt eller inte, i öppna forum och tillkännager sina mål och hackerverktyg i förväg. De samlar fler medlemmar, framför sina klagomål till medierna för att trumma upp allmänhetens stöd och beter sig förvånat om de blir arresterade för sina olagliga gärningar. Deras avsikt är att skämma ut och ge offret negativ uppmärksamhet i media så mycket som möjligt, oavsett om det innebär att de hackar kundinformation, utför DDoS-attacker (distributed denial of service) eller helt enkelt orsakar ytterligare problem för offrets företag.
Politisk hacktivism är oftast inriktad på att orsaka ekonomisk smärta för offret i ett försök att förändra offrets beteende. Individer kan bli en kollateral skada i denna kamp, och oavsett om man tror på hacktivisternas politiska sak eller inte, förblir avsikten och metoden kriminell.
De flesta IT-säkerhetsexperter måste kämpa mot den stora gruppen av illasinnade hackare som stjäl immateriella rättigheter från företag eller utför rent företagsspionage. Deras metod är att bryta sig in i ett företags IT-tillgångar, dumpa alla lösenord och med tiden stjäla gigabyte av konfidentiell information: patent, nya produktidéer, militära hemligheter, finansiell information, affärsplaner och så vidare. De för vidare värdefull information till sina kunder för att få ekonomisk vinning, och de håller sig gömda i det angripna företagets nätverk så länge som möjligt.
För att skörda sina belöningar tjuvlyssnar de på viktig e-post, plundrar databaser och får tillgång till så mycket information att många har börjat utveckla egna skadliga sökmotorer och sökverktyg för att separera foder från den mer intressanta intellektuella egendomen.
Den här typen av angripare är känd som ett avancerat, beständigt hot (Advanced Persistent Threat, APT) eller en bestämd mänsklig motståndare (DHA). Få stora företag har inte framgångsrikt äventyrats av dessa kampanjer.
Hot nr 5: Malware legosoldater
Oavsett vilken avsikt eller grupp som ligger bakom cyberbrottet måste någon göra skadlig kod. Tidigare gjorde en enskild programmerare skadlig kod för eget bruk, eller kanske för att sälja. I dag finns det grupper och företag som enbart ägnar sig åt att skriva skadlig kod för att kringgå specifika säkerhetsskydd, angripa specifika kunder och uppnå specifika mål. De säljs på den öppna marknaden i anbudsforum.
Ofta är skadlig kod i flera faser och består av flera komponenter. Ett mindre stub-program har till uppgift att initialt exploatera offrets dator, och när det väl är säkert placerat så att det överlever en omstart kontaktar det en webbserver från “moderskeppet” för att få ytterligare instruktioner. Ofta skickar det första stubprogrammet DNS-förfrågningar för att söka efter moderbolaget, som i sig självt ofta är en infekterad dator som tillfälligt agerar moderbolag. Dessa DNS-frågor skickas till DNS-servrar som lika gärna kan vara oskyldigt infekterade offerdatorer. DNS-servrarna rör sig från dator till dator, precis som moderskeppets webbservrar gör.
När de väl har kontaktats omdirigerar DNS- och moderskeppsservern ofta den initierande stub-klienten till andra DNS- och moderskeppsservrar. På detta sätt omdirigeras stub-klienten om och om igen (ofta mer än ett dussin gånger) till nyligen exploaterade datorer, tills stub-programmet slutligen får sina slutliga instruktioner och det mer permanenta skadliga programmet installeras. Detta gör det mycket svårt för IT-säkerhetsexperter att försvara sig mot deras varor.
Hot nr 6: Botnät som tjänst
Botnät är inte längre bara till för sina skapare. Efter att med största sannolikhet ha köpt det skadliga program som skapar botnätet kommer dagens ägare antingen att använda botnätet för sig själva eller hyra ut det till andra per timme eller enligt ett annat mått.
Metodiken är välbekant. Varje version av det skadliga programmet försöker utnyttja upp till tiotusentals datorer i ett försök att skapa ett enda botnät som kommer att fungera på skaparens order. Varje bot i botnätet ansluter så småningom tillbaka till sina kommando- och kontrollservrar (C&C) för att få sina senaste instruktioner. I dessa instruktioner ingår ofta att släppa ett program för utpressningstrojaner. Botnät har hittats med hundratusentals infekterade datorer.
När det nu finns så många aktiva botnät (tiotals miljoner infekterade datorer varje dag) är det ganska billigt att hyra botnät, vilket innebär ännu fler problem för IT-säkerhetsproffs.
Malwareförkämpar försöker ofta slå ut C&C-servrarna eller ta över dem så att de kan instruera de anslutande botarna att desinficera sina värddatorer och dö.
Hot nr 7: Allt-i-ett-malware
Sofistikerade malwareprogram erbjuder ofta allt-i-ett-funktioner, soppa-till-nötterna-funktioner. De infekterar inte bara slutanvändaren utan bryter sig också in på webbplatser och ändrar dem för att hjälpa till att infektera fler offer. Dessa allt-i-ett-program för skadlig kod har ofta förvaltningskonsoler så att deras ägare och skapare kan hålla reda på vad botnätet gör, vem de infekterar och vilka som är mest framgångsrika.
De flesta skadliga program är trojanska hästar. Datorvirus och maskar har sedan länge upphört att vara de mest populära typerna av skadlig kod. I de flesta fall luras slutanvändaren att köra en trojansk häst som annonseras som en nödvändig antivirusskanning, ett verktyg för defragmentering av disken eller något annat till synes viktigt eller ofarligt verktyg. Användarens normala försvarssystem luras eftersom den webbsida som erbjuder den oseriösa exekverbara filen oftast är en betrodd webbplats som användaren har besökt många gånger. De onda killarna har helt enkelt komprometterat webbplatsen med hjälp av en mängd knep och lagt in några rader JavaScript som omdirigerar användarens webbläsare till det trojanska hästprogrammet.
Hot nr 8: Den alltmer komprometterade webben
På den mest grundläggande nivån är en webbplats helt enkelt en dator, precis som en vanlig arbetsstation för slutanvändare. Webmasters är i sin tur slutanvändare som alla andra. Det är inte förvånande att den legitima webben är översållad med skadliga JavaScript-omdirigeringslänkar.
Det är inte helt och hållet en fråga om att webbmästarnas datorer utnyttjas som leder till att antalet komprometterade webbservrar ökar. Oftare hittar angriparna en svaghet eller sårbarhet på en webbplats som gör att de kan kringgå administratörsautentisering och skriva skadliga skript.
De vanligaste sårbarheterna på webbplatser är bland annat dåliga lösenord, sårbarheter för cross-site scripting, SQL-injektion, sårbar programvara och osäkra behörigheter. Open Web Application Security Project Top 10-listan är en auktoritet när det gäller hur de flesta webbservrar äventyras.
Många gånger är det inte webbservern eller dess tillämpningsprogram utan någon länk eller annons som hackas. Det är vanligt att bannerannonser, som ofta placeras och roteras av allmänna reklambyråer, hamnar infekterade. Ibland köper de skadliga killarna annonsutrymme på populära webbservrar.
Om många av de skadliga killarna presenterar sig som affärsmän från legitima företag, med huvudkontor, visitkort och utgiftskonton, är det inte alltid så lätt att skilja de legitima annonskällorna från de onda killarna, som ofta börjar med att göra reklam för en legitim produkt, men som sedan byter ut länken i annonsen till en oseriös produkt efter att annonskampanjen har kommit igång. En av de mer intressanta exploateringarna innebär att hackare äventyrar ett teckningssyndikat så att alla tidningar som återpublicerar de drabbade teckningarna slutar med att sprida skadlig kod. Man kan inte ens lita på en tecknad film längre.
Ett annat problem med hackade webbplatser är att de datorer som är värd för en webbplats ofta är värd för flera webbplatser, ibland hundratals eller tusentals. En hackad webbplats kan snabbt leda till tusentals fler.
Oavsett hur webbplatsen hackades kan den oskyldiga användaren, som kanske har besökt denna specifika webbplats i flera år utan problem, en dag uppmanas att installera ett oväntat program. Även om de är förvånade är det faktum att uppmaningen kommer från en webbplats som de känner till och litar på tillräckligt för att få dem att köra programmet. Efter det är spelet över. Slutanvändarens dator (eller mobila enhet) är ännu en kugge i någons stora botnät.
Hot nr 9: Cyberkrigföring
Nationella staters program för cyberkrigföring är i en klass för sig själva och är inget som de flesta IT-säkerhetsexperter stöter på i sina dagliga rutiner. Dessa hemliga operationer skapar komplexa, professionella cyberkrigsprogram som syftar till att övervaka motståndare eller slå ut en motståndares funktionalitet, men som Stuxnet och Duqu visar kan konsekvenserna av dessa metoder få konsekvenser för fler än bara de avsedda målen. Nu har vi till och med nationalstater, som Nordkorea, som tar ner och exploaterar ett Fortune 500-företag för att det inte gillade en viss film.
Brott och inget straff
Vissa offer återhämtar sig aldrig från exploatering. Deras kreditvärdighet är för evigt sargad av en hackares bedrägliga transaktion, skadlig kod använder offrets adressbokslista för att vidarebefordra sig själv till vänner och familjemedlemmar, offer för stöld av immateriella rättigheter spenderar tiotals miljoner dollar på att reparera och förebygga.
Det värsta är att nästan ingen av dem som använder sig av ovanstående skadliga attacker åtalas med framgång. De professionella brottslingarna på Internet lever gott eftersom Internet inte är bra på att ta fram bevis som kan användas i domstol. Även om det skulle kunna göra det lever de misstänkta utanför offrets domstolsjuridik. De flesta intrång är anonyma som standard, och spåren försvinner och döljs på millisekunder. Just nu lever vi i Internets “vilda, vilda västern”. I takt med att det mognar kommer de kriminella tillflyktsorterna att torka ut. Fram till dess har IT-säkerhetsproffsen fullt upp med sitt arbete.