Lectures for 2008 - KTH
Lectures for 2008 - KTH
Lectures for 2008 - KTH
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS<br />
___________________________________________________________________________<br />
systembelastningar förlorade funktionalitet eller kraschade. Morris dömdes 1990 till tre års<br />
villkorligt fängelse, 400 timmars samhällstjänst samt böter på $10 000 65 .<br />
Förutom det rättsliga efterspelet stängdes Morris av från vidare studier vid<br />
Cornelluniversitetet. En effekt av Internetmasken och det bryska IT-säkerhetsmässiga<br />
uppvaknandet ledde till var skapandet av incidenthanteringscenters så som CERT/CC<br />
(Computer Emergency Response Team Coordination Center) och CIAC (Computer Incident<br />
Advisory Capability).<br />
Det går att dra åtminstone par viktiga tekniska slutsatser från denna tidiga incident. Den första<br />
observationen är att masken var kapabel att sprida sig till olika operativsystem på olika<br />
hårdvara. Masken medflyttade färdigkompilerad objektkod som den nyttjade beroede på<br />
vilket operativsystem som målsystemet hade. Detta ledde till att den lyckades få en så pass<br />
bred spridning som den fick. En annan observation är att den bara spred sig i binär <strong>for</strong>m och<br />
hade krypterat, visserligen med en enkel algoritm, den överförda binärerna för att försvåra<br />
analys.<br />
3.2 Virusskydd<br />
Virusskydd brukar normalt användas på klientdatorerna eller på filservrar. Ur ett<br />
nätsäkerhetsperspektiv kan virusskydd användas i kombination med brandväggar eller<br />
liknande utrustning för att automatiskt viruskontrollera överförd in<strong>for</strong>mation, till exempel data<br />
överförda via FTP, HTTP eller e-post. En annan viktig aspekt är att ha antivirusprogram<br />
installerade på bastiondatorer i brandväggsområdet - för att undvika att dessa blir drabbade av<br />
virus eller angrepp från maskar. Ofta finns det tyvärr vita fläckar på nätet – maskiner som inte<br />
har virusskydd installerat. Bärbara datorer är ett sorgebarn som ofta släpar efter i uppdatering<br />
eller inte underhålls alls, vilket ofta ställer till problem när dessa flyttas mellan<br />
hemarbetsplatser och det interna nätverket. Andra oskyddade system kan vara skrivar-,<br />
databas-, applikationsservrar,<br />
inpassagesystem och liknande som glöms bort eller man anser det vara onödigt att skydda. En<br />
annan vanligt förekommande vit fläck på virusskyddskartan är system som baserat på annat<br />
än Windows. Stora serverlösningar baserade på UNIX, Linux, VMS och liknande brukar<br />
sällan förses med något antivirusskydd.<br />
Att ha dessa medvetna eller okända undantag är självbedrägligt. Ett relaterat problem, som<br />
kommer av att inte alla maskiner har antivirusskydd, är att dessa maskiner gör att maskar kan<br />
dröja sig kvar på internnätet och ställa till problem långt efter själva uppstädning, hanteringen<br />
av AV-uppdatering och patchning gjorts klart.<br />
Det är viktigt att understryka att antivirusprogram i sig inte är ett fullgott skydd mot skadlig<br />
kod såsom virus, nätmaskar och liknande. Det finns många exempel där antivirusprogrammen<br />
reagerat för sent – efter infektion, eller inte alls på ett angrepp eller infektion. Många moderna<br />
maskar, virus och liknande använder många metoder för att undvika upptäckt. En metod är att<br />
komma in via ett hål i ett program, ofta via någon variant av buffertöverskrivningsattack, och<br />
sedan bara existera i minnet, vilket gör det svårt för antivirusprogrammen att upptäcka<br />
65 Lawrence Kestenbaum (1990) Robert Morris Sentencing. http://www.potifos.com/morris.html<br />
Copyright (c) 2003-<strong>2008</strong> Robert Malmgren AB. All rights reserved Sid 60 (139)