Bliver din computer misbrugt af cyberkriminelle?
Cyberkriminalitet er big business. Bagmændene tager kontrol over intetanende brugeres computere, som så bliver brugt i koordinerede cyberangreb og en lang række andre kriminelle aktiviteter, skriver forsker.
bliver_din_computer_misbrugt_af_cyberkriminelle

Botnets er big business, hvor bagmændene tjener rigtigt mange penge og derfor også har råd til at investere i at udvikle systemerne, så de er svære at spotte. (Foto: Shutterstock)

Historien kort
  • Verden over er der adskillige netværk af inficerede computere, der bruges til kriminelle aktiviteter.
  • Computerens ejer har typisk ingen anelse om, at hendes computer reelt er overtaget af kriminelle.
  • Netværkene er svære at lukke ned, men computerbrugere er ikke uden muligheder for at beskytte sig selv

Risikoen for, at din computer bliver misbrugt af cyberkriminelle, er formentlig væsentligt større, end du tror. Ingen ved præcist hvor mange danske computere, der er inficerede, men et bud er cirka 100.000.

På verdensplan er det adskillige millioner computere, der deltager i de såkaldte botnets.

For dig som bruger betyder det både, at dine egne data og informationer kan blive stjålet, samt at din computer kan blive brugt til at angribe andre med – uden du ser det.

Hvordan bliver en computer inficeret?

En computer kan blive en del af et botnet, ved at der installeres ondsindet kode – det kan for eksempel være, ved at brugeren besøger en skadelig hjemmeside, åbner en vedhæftet fil i en email eller simpelthen bliver snydt til at downloade og køre en fil forklædt som et helt legitimt program.

Infektionen sker typisk, uden at brugeren lægger mærke til det. Når først infektionen er sket, vil den inficerede computer (også kaldet zombie) tage kontakt til en såkaldt 'command and control server', der registrerer, at den nye 'klient' er på netværket og eventuelt uploader nyeste version af den ondsindede software.

Og så er den ellers klar til at modtage kommandoer (læs mere om botnets her).

Et netværk af villige zombiemaskiner

Botmasteren, der styrer netværket, kan bruge sine zombies til en lang række kriminelle aktiviteter. Selv om forskellige botnets har forskellige 'specialer' gælder det generelt, at det samme botnet kan bruges til flere forskellige ting.

Først vil man typisk høste informationer, der kan sælges på det sorte net – for eksempel passwords, kreditkortnumre og andre værdifulde informationer. Det er svært præcist at estimere omfanget af disse aktiviteter, men det anslås, at botnettet SpyEye blev brugt til at høste mindst 200.000 kreditkortnumre.

Dernæst kan man udnytte zombien til at deltage i mere støjende aktiviteter som for eksempel DDoS-angreb mod eksempelvis hjemmesider, udsendelse af SPAM eller klikmanipulation, hvor man snyder annoncører til at betale for klik på deres annoncer eller forbedrer synlighed i søgemaskiner.

Man kan også vælge at installere andre programmer på computeren–  eksempelvis til at producere bitcoins.

Datasikkerhedsfirmaet Symantec estimerede i 2013, at ZeroAccess botnettet med 1,9 millioner inficerede maskiner i sit netværk genererede omkring 1.000 falske klik om dagen per maskine, og at elforbruget til produktion af bitcoins samlet set svarede til elforbruget hos 111.000 amerikanske husstande.

I slutningen af 2016 udgav Whiteops en analyse af botnettet Methbot, der anslog, at botnettet forårsager 300 millioner manipulerede videoreklamevisninger om dagen fra cirka 850.000 forskellige IP-adresser. Det koster annoncørerne 27 millioner kroner om dagen at betale for de visninger.

Botnets er udbud og efterspørgsel

Hvorfor gør man det? I langt de fleste tilfælde er motivationen bag botnets økonomisk, og der eksisterer et rimeligt velorganiseret kriminelt undergrundsmilljø bag ved det hele.

Der er veldefinerede værdikæder, og markeder for produkter og services, der gør, at der er plads til aktører med hver deres ekspertområder.

zombie_ddos_botnets_hacking_hacker_cyberkriminel_cyber_security

Den inficerede computer (også kaldet zombie) kan bruges til en lang række kriminelle aktiviteter. Først vil man typisk høste informationer, der kan sælges på det sorte net, (så som passwords og kreditkortnumre) og dernæst kan den udnyttes til for eksempel DDoS-angreb, udsendelse af SPAM eller klikmanipulation. (Foto: Shutterstock)

Kort fortalt kan man sige, at en botmaster stiller nogle services til salg, som andre kan købe. Det kan for eksempel være et DDoS-angreb, hvor prisen afhænger af, hvor kraftigt angrebet skal være, og hvor lang tid det skal strække sig over.

Andre eksempler kan være salg af en database med kreditkortnumre eller salg af infektioner, hvor den (oftest kriminelle) køber betaler et beløb for at få installeret sin software på et aftalt antal computere.

Tilsvarende kan botmasteren købe services hos andre, der er specialiseret i for eksempel at inficere nye zombies gennem udnyttelse af svagheder på hjemmesider eller ved at få folk til at hente/åbne filer ved at sende mails eller beskeder på sociale medier, som virker troværdige. Man kan også købe eller leje et helt botnet for en periode.

Selv om de største botnet er drevet af kriminelle for økonomisk vindings skyld, kan botnet også bruges af andre aktører som eksempelvis militære eller politiske med henblik på overvågning.

Botnets beskytter sig godt mod myndighederne

Hvorfor lukker man ikke for de botnets, tænker læseren måske?

Det gør man også, når man kan, men det er ikke så let, som det lyder: Det er big business, hvor bagmændene tjener rigtigt mange penge, og derfor også har råd til at investere i at udvikle systemer, der er svære at detektere og optrevle.

Derfor er det lidt et våbenkapløb mellem de kriminelle på den ene side, og myndigheder/sikkerhedsfirmaer på den anden.

Det virker umuligt at finde og rense alle de inficerede zombie-maskiner: For det første er de kriminelle generelt gode til at udvikle software, der ikke afslører sig selv, og som er svært at detektere for antivirus-systemer.

Det så man blandt andet ved Zeus-botnettet, som selv godt og opdateret software havde svært ved at detektere, indtil F-secure fandt ud af, at man kunne se det fra serversiden, hvis man besøgte specifikke hjemmesideadresser.

For det andet har det vist sig, at man ofte kan manipulere brugere til at overhøre de advarsler, der måtte komme. For eksempel ved at de mails eller beskeder, der kommer, virker meget troværdige (social engineering).

Derfor er man nødt til at målrette indsatsen mod den bagvedliggende infrastruktur, som bagmændene forsøger at gøre så robust som muligt. Ofte vil bagmændene fordele kontrollen ud over adskillige command and control servere, der kan tage over for hinanden, hvis den ene bliver taget ned.

Disse vil typisk stå i forskellige lande, så en nedtagning kræver stærkt internationalt politisamarbejde –ofte mellem lande der ikke typisk arbejder tæt sammen. Samtidig vil man typisk bruge inficerede maskiner som mellemstationer, så de inficerede maskiner ikke kommunikerer direkte med botmasteren. Disse mellemstationer står også ofte i forskellige lande.

Udfordringer for os forskere

For at bekæmpe botnets er vi nødt til at sætte ind med forskellige midler på forskellige niveauer: Nogle arbejder med at uddanne brugerne for at forebygge infektioner, andre arbejder på at lave effektive antivirus-programmer, og på AAU arbejder vi med at lave netværksbaseret detektion.

Foredrag om botnets

Jens Myrup holder i forbindelse med Forskningens Døgn foredrag d. 25.4. kl. 19 på Lottes Spisested i Sorø.

Foredraget er gratis, og der er fællesspisning kl. 18 mod betaling.

Læs mere om foredraget og fællesspisning her.

Læs mere om andre Forskningens Døgn-arrangementer her.

Det vil sige, at vi for eksempel kan overvåge en virksomheds trafik til og fra internettet og blokere forbindelser, hvis de ser mistænkelige ud. Vi kan også se, hvis der er kontakt til command-and-control servere, så inficerede maskiner kan findes og blive renset.

Udfordringen er, at de kriminelle forsøger at kamuflere sig som almindelig trafik, hvilket gør det svært at lave præcis detektion. På den anden side er vi nødt til at undgå for mange falske alarmer, ellers holder folk op med at reagere på dem.

En anden udfordring, vi har, er i forhold til Internet of Things. Begrebet dækker over, at masser af små enheder som kameraer, sensorer, lamper m.m. bliver koblet på netværk både i private hjem og hos virksomheder.

Der er alt for mange eksempler på, at de er usikre, står pivåbne og ikke bliver opdateret. I slutningen af 2016 havde botnettet Mirai eksempelvis kontrol over mindst 100.000 Internet of Things-enheder, der blev overtaget ved hjælp af bare 62 kendte kombinationer af brugernavne og passwords.

Sådan beskytter du dig bedst

Det er alt sammen meget godt, men hvad kan du selv gøre for at beskytte dig?

Det vigtigste er at overholde de normale råd om IT-sikkerhed:

ForskerZonen

Denne artikel er en del af ForskerZonen, som er stedet, hvor forskerne selv kommer direkte til orde. Her skriver de om deres forskning og forskningsfelt, bringer relevant viden ind i den offentlige debat og formidler til et bredt publikum.

ForskerZonen er støttet af Lundbeckfonden.

  • Sørg for altid at have opdaterede antivirus-programmer.
  • Sørg for, at din firewall er slået til.
  • Hold din computers software opdateret – herunder Internet-browser og plugins.
  • Lad være med at bruge ukendte trådløse netværk.
  • Besøg kun hjemmesider, du har tillid til, og ignorer ikke advarsler om sikkerhed.
  • Lad være med at åbne links eller vedhæftede filer i emails, som du ikke har tillid til.
  • Brug din sunde fornuft, når du bevæger dig rundt på nettet.

Lyt på Videnskab.dk!

Hver uge laver vi digital radio, der udkommer i form af en podcast, hvor vi går i dybden med aktuelle emner fra forskningens verden. Du kan lytte til den nyeste podcast i afspilleren herunder eller via en podcast-app på din smartphone.

Har du en iPhone eller iPad, kan du finde vores podcasts i iTunes og afspille dem i Apples podcast app. Bruger du Android, kan du med fordel bruge SoundClouds app.
Du kan se alle vores podcast-artikler her eller se hele playlisten på SoundCloud