Et hjerte der bløder

16.08.2015 | hacking

"I mit hjerte/ hvilken smerte!" - klassisk udpint metafor. Jeg satte mig foran min computer i går og kom straks til at tænke på hvordan den er forbundet med hele verden. Tænk på hvor meget information der er at finde på Google, eller det kan man ikke, man kan ikke tænke på så meget på én gang. I stedet fandt jeg nogle sider om computere, og på en af dem, en der handler om computersikkerhed på nettet, fandt jeg en artikel om en "bug" der hedder Heartbleed. En "bug" er en fejl i et program, og Heartbleed er derfor en fejl i en funktion ved navn Heartbeat i et opensource sikkerhedsprogram kaldet OpenSSL. Det har altså noget med sikkerhed at gøre, og hele problemet kan koges ned til et par linjer kode.
Historien er nok noget i stil med at personen der skrev Heartbeat-programmet, allerede inden havde programmeret mange tusinde linjer. Han havde ikke mere kaffe eller sodavand, måske havde han ikke sovet de sidste par dage pga. de lodrette linjer kode der snittede sig gennem mørket når han lukkede øjnene, og en overeksponering af lys fra en 24 tommers computerskærm. Konen havde måske skældt ham ud, børnene havde været træls, de ville nok have nye tablets. Hvem ved. Han skriver programmet færdigt, gnider sig lidt i randen under det ene rødsprængte øje. Måske læner han sig et øjeblik bagover med hænderne samlet bag nakken, men kun et øjeblik inden en svampet lugt af sved og adrenalin kravler op ad halsen på ham. Så i stedet trykker han CTRL+S på tastaturet, rejser sig fra sin kontorstol, bipper sig gennem glasdøren i den ellers tomme kontorbygning og trasker ud i natten. Programmet ligger klar til hovedudvikleren næste dag. Det bliver udgivet, og ingen lægger mærke til de få par linjer kode der udgør en sårbarhed.
Sådan går der fire år med Hearbeat som en del af OpenSSL programmet. Efter fire år bliver det pludseligt opdaget at man pga. en hukommelsesstørrelse der ikke er defineret i Heartbeat, kan sende tomme pakker af data til en server og modtage fulde retur. Man kan altså sende en ordentlig bunke af tomme pakker af sted, og hvis man er heldig, modtager man en signatur eller en kode-nøgle retur. Straks bliver der oprettet en hjemmeside, lavet et logo, og de store virksomheder der benytter OpenSSL, blandt andre Yahoo, Pinterest, Tumblr og SoundCloud, har alle i fire år været mulige ofre for et heartbleed – brugerinfo og den slags fra siderne kan altså være kompromitteret. Panik bryder ud, og det værste er at ingen kan vide om deres data og sikkerhedsnøgler er done-for, for det er ikke til at se om et heartbleedangreb overhovedet har fundet sted.

OpenSSL er opensource, det vil sige at det er frit for alle at benytte. Derudover er hele kildekoden stillet til fri skue. En episode som Heartbleed kan måske bruges som argument for at sikkerhedssoftware skal koste penge så det kan udvikles. Problemet ved det argument er bare at den slags "bugs" kan opstå i al software – gratis som kommercielt. Feks. har der været et angreb på Apple's iCloude service hvorunder omkring 5000 billeder af nøgne celebre mennesker blev stjålet fra deres computere. Sony blev hacket da de var ved at udgive en film der handler om et snigmord på Nordkoreas præsident, Kim Jong-Un. Begge disse kommercielle angreb foregik i 2014 – for bare et år siden.

Anonymous er en internetbaseret bevægelse der kæmper mod censur af nettet. Gruppen er et ukendt antal medlemmer på verdensplan der alle er anonyme. Deres måde at protestere på er ved at foretage såkaldte DDoS angreb på hjemmesider tilhørende foreninger eller virksomheder der er imod gruppens principper. Et DDoS-angreb (Distributed Denial of Service) går ud på at oversvømme en server med dataforespørgselser så den til sidst bryder sammen. En person alene kan ikke oversvømme en server på denne måde, men det kan mange, og Anonymous er mange. Gruppens medlemmer kalder sig for "hackivists" altså en sammensmeltning af ordene hacker og activist. I starten af gruppens tid var Scientology et fast mål for DDoS angreb udført af Anonymous.

I 2013 kom CryptoLocker på nettet. CryptoLocker er en slags virus der krypterer alle dokumenter på ens computer. Krypteringen foregår med en nøgle, og alle ens dokumenter er efter at CryptoLocker har været i gang, ulæselige medmindre man kan skaffe denne nøgle. Og det kan man hvis man altså er villig til at betale 300 dollars i løsesum. Deraf kommer navnet "ransomware trojan". CryptoLocker har huseret i nok tid til at indbringe en del millioner dollars til bagmændene. De er aldrig blevet snuppet fordi de driver deres virksomhed fra et land hvor man ser stort på internetkriminalitet. CryptoLocker er ikke bare et eksempel på et stykke software der kan bruges til at udnytte andre mennesker for penge, det er også et eksempel på hvor meget den information der ligger på vores computere, er værd for os.

Den amerikanske regering og herunder efterretningstjenesten NSA har i løbet af de sidste femten år udviklet overvågningsprogrammet PRISM. Det går ud på at overvåge internetaktivitet hos store internetudbydere. Derudover kan de med PRISM hente googledata og med det matche farlige søgeord. PRISM er muligvis bare et af de programmer NSA har til at overvåge internetaktivitet. I 2013 lækkede amerikaneren Edward Snowden informationer om bla. PRISM til encyklopædiet WikiLeaks hvorefter han måtte flygte fra sit hjemland.

Og har du forresten lagt mærke til hvordan du hver gang du søger på en webshop på Google, får reklamer for selv samme webshop på Facebook. Eller hvorfor du får tilbudt præcist de sider du kan like, som du gør?

I love you siger jeg bare, for hvis du kan huske det, er det ikke bare en erklæring, men måske den mest kendte computerorm der har været på nettet. Den startede sin færden d. 4 maj 2000. Denne torsdag blev der sendt en mail med teksten "kindly check the attached LOVELETTER coming from me." plus en vedhæftet fil med navnet "LOVE-LETTER-FOR-YOU.TXT.vbs" til en computer i Hong Kong. Hvor sødt, tænkte personen der modtog mailen, og straks efter åbnede denne person den vedhæftede fil. Der var bare det ved det at filen ikke var en .txt-fil som er en standard textfil i Windows, men i stedet en .vbs-fil som er et script til Windows. Dobbeltendelsen .TXT.vbs var lavet så modtageren af filen skulle tro at det var en .txt fil. En .vbs fil er et script, det kører en række kommandoer - som et simpelt konstrueret program - kommandoerne skrives som i et programmeringssprog, og derefter kan scriptet udføres step-by-step hvis computeren det skal køres på, har Windows og er sat op til at køre .vbs-filer. Disse scripts er praktiske hvis man skal have ordnet eller sorteret filer på sin computer, eller hvis man skal have slettet nogle filer – feks. midlertidige filer. Men præcis pga. dette simple sprog og .vbs-scripts indbyggede mulighed for at redigere i og slette filer og derudover at redigere i den generelle windowsopsætning gjorde det let for en kærlighedshungrende knægt et sted at skrive en orm der kunne slå sig løs for fulde sejl i Windows-miljøer. Så personen i Hong Kong åbnede mailen og derefter den vedhæftede fil, scriptet kørte og gjorde følgende ved personens computer:

• Kopierede sig selv til 3 forskellige steder i computeren.
• Indsatte sig selv i computerens interne system ved at henvise systemet til de 3 kopier.
• Downloadede en trojansk hest og indsatte denne i computerens interne system.
• Sendte sig selv som mail til alle i outlook adressebogen.
• Ledte efter scriptfiler og filer af typen .mp2, .mp3, .jpg, .jpeg.
• Erstattede de fundne filer med en kopi af sig selv – kopien aktiveres når en af de erstattede filer åbnes.
• Sendte sig selv og den trojanske hest til alle kontakter i mIRC (gammel chatprogram).

Disse steps blev altså opfyldt den dag i Hong Kong, alle kontaktpersoner i Hong-Kong-ofrets outlook fik en kærlighedserklæring, og få timer senere var store dele af verden inficeret og ramt af en Lovebug. I Danmark gik det blandt andre ud over folketinget, TV2 og TDC (husk de var store dengang), ligesom det i USA gik ud over Pentagon og CIA der måtte lukke deres systemer af frygt for et knust hjerte. Efter ti dage var 45 millioner computere nedlagt, og da man endeligt fik gjort kål på viraen, havde den kostet omkring 10-15 milliarder dollars i kærestesorger. Tilbage stod en verden der på den hårde måde havde lært hvilket omfang og betydning computere og især internettet var ved at få for dagligdagslivet.
Efter kort tid fandt man den mulige bagmand da man kunne spore ormen tilbage til hans søsters rønne lidt ude for Manila på Filippinerne. Han påstod at have sendt ormen ved en fejl, og da man på det tidspunkt ikke havde en passende lovgivning at dømme ham under, blev han frikendt.
Lovebug var et ret simpelt program, og hvis vi dengang havde vidst at en .vbs-fil ikke skulle åbnes under nogen omstændigheder i en mail – og at en .vbs-fil aldrig kan være et brev – så var der ikke sket noget som helst. Derudover var angrebet ikke målrettet, det var formålsløst – i dag er det altid kontooplysninger og den slags personer med trang til computerkriminalitet er ude efter. Lovebug opnåede altså sin succes pga. uforsigtighed og pga. en term kaldet "social engineering" – det er at man hacker sig ind på en persons computer ved at benytte passende psykologisk manipulation hvad en kærlighedserklæring i den grad må siges at være. Siden da har Microsoft været i konstant krig med internetkriminelle om at sælge et sikkert Windows.

Tilbage af denne tekst er kun et brev jeg har modtaget fra en flink person:

- The internet has you!

Kilder:
- How heartbleed works - gizmodo.com
- Info om heartbleed - heartbleed.com
- Anonymous - wikipedia.org
- CryptoLocker - wikipedia.org
- PRISM - wikipedia.org
- ILOVEYOU - wikipedia.org
- The love bug: A retrospect - rixstep.com

Index Kommentarer Del