Dagens namn: Magnus, Måns
STÖRST I SVERIGE - 3,5 MILJONER LÄSARE VARJE DAG

”Hej, vi har låst din dator – betala oss”

Virusjägarna jobbar dygnet runt mot nya hoten – så skyddar du dig

HELSINGFORS. Från pojkstreck och hobbyhackers till organiserad ekonomisk brottslighet och spionage på högsta nivå.

I takt med att samhället digitaliseras muterar också datorvirusen till ständigt nya hotbilder.

Digitala livet har besökt frontlinjen i kampen – antivirusföretaget F-Secures labb i Helsingfors.

Vi sitter runt ett trekantigt bord och tittar på skärmar där en världskarta bombarderas i realtid av illavarslande röda virusprickar. Det gamla krisrummet ger en lätt ödesmättad känsla. Som situation room i tv-serien Vita huset eller kanske en plats där Avengers samlas när världen är i fara.

Ungefär så brukade det vara också.

– Vi byggde rummet i början på 2000-talet när det var stora virus-outbreaks. Då var det ofta på nyheterna när stora virus slog till över hela världen och då höll vi våra krismöten här och planerade vad vi skulle göra. Men i dag används rummet mest för att ta emot besökare, säger säkerhetsexperten Mikael Albrecht.

 

Mikael Albrecht, Christian Fredriksson och Sean Sullivan från F-Secuer bedriver kampen mot virusattacker. Foto: GUSTAV MÅRTENSSON   Mikael Albrecht, Christian Fredriksson och Sean Sullivan från F-Secuer bedriver kampen mot virusattacker. Foto: GUSTAV MÅRTENSSON  

Virusvärlden förändrad – hotbilen stark

Under hans 15 år i företaget har virusvärlden förändrats. De stora massattackernas tid är över och i dag sker den mesta virusbekämpningen genom automatiska system. F-Secures virusjägare slipper nattliga krismöten och kan gå hem klockan fem.

Men det betyder inte att hotbilden är mindre. Snarare tvärt om.

– Vi får in 450 000 misstänkta fall av skadlig kod om dagen. Databrottslingarna har förstått att det inte är i deras intresse att göra någonting som går över nyhetströskeln för då lär sig folk att man ska skydda sig. Det finns inga jättestora virus längre, men det kommer långa serier med virus som inte är så vanliga, men virusbelastningen är densamma hela tiden, säger Mikael Albrecht.

Under de senaste åren har en stor del av virusbranschen flyttat in i våra fickor – till våra smarta telefoner. Framför allt våra Android-mobiler. Brottslingar har lärt sig att utnyttja den relativt öppna och okontrollerade miljön i Google Play.

Det gäller att vara försiktig med vad man laddar ner till sin telefon.

Analytikern Zimry Ong visar hur det kan gå till. Systemet har snappat upp en misstänkt fil och han vill kontrollera vad det är för något. När han installerar den på en Android-emulator på sin dator börjar det genast hända saker.

– Aha, den skickar sms… och nu syns den inte längre på telefonen.

Störtsta hotet ”browser blockers”

En bit dold kod har installerats och nu försöker den skicka smyg-sms till något som antagligen är ett dyrt servicenummer. Användaren vet inte vad som hänt förrän telefonräkningen kommer.

När Zimry Ong identifierat vad det är för slags virus och vilken slags skada det gör kategoriserar han in det i F-Secures databas och i framtiden känner det automatiska systemet igen just den här filen – och även varianter på den.

– När jag gör det här kan alla enheter som har vårt program identifiera det här som malware. Jag kan också göra ett mer generellt system som upptäcker alla som beter sig likadant som den här. En stor del av vårt arbete är att underhålla systemet så att det kan hålla koll på alla samples. De senaste 24 timmarna har vi haft 36 000. Det är faktiskt ganska lågt. Ibland kan gå upp till 100 000, säger han.

 

 

När Zimry Ong identifierat vad det är för slags virus och vilken slags skada det gör kategoriserar han in det i F-Secures databas och i framtiden känner det automatiska systemet igen just den här filen – och även varianter på den. Foto: GUSTAV MÅRTENSSON   När Zimry Ong identifierat vad det är för slags virus och vilken slags skada det gör kategoriserar han in det i F-Secures databas och i framtiden känner det automatiska systemet igen just den här filen – och även varianter på den. Foto: GUSTAV MÅRTENSSON  

Just det här viruset snappades upp i Frankrike. Där är mobilattacker vanliga, men i Norden är vi relativt förskonade från attacker i telefonerna, eftersom teleoperatörer och myndigheter är på sin vakt och täpper till luckor.

Enligt F-Secures experter är det största hotet i Norden snarare browser lockers. Genom en säkerhetsöppning eller ett bluffmejl tar sig kriminella in i någons dator och låser den. Användaren möts av ett meddelande om att hen måste betala en lösensumma för att använda sin egen dator.

– Det finns de som påstår att de är från polisen och skriver att de har hittat barnporr på datorn och att du måste betala böter. Sedan finns det de som bara säger rakt ut, hej, vi är brottslingar och vi har låst dina filer och du måste betala för att få tillbaka dem, säger Mikael Albrecht.

En browser locker är relativt lätt för ett säkerhetsföretag att ta sig runt, men om det vill sig illa har de kriminella krypterat filerna i en så kallad crypto locker. Då är det kört, enligt säkerhetsrådgivaren Sean Sullivan.

– De som verkligen krypterar datorn ger krypteringsnyckeln mot betalning. Om de inte gjorde det skulle det inte vara värt investeringen, ungefär som att skjuta gisslan. Det som är krypterat kommer man aldrig få tillbaka om man inte betalar lösensumman. Eller har en backup, säger han.

Välorganiserade ligor – erbjuder supporttjänster

Ligorna är välorganiserade och det är vanligt att de till och med erbjuder supporttjänster för sina offer.

– En del tar betalt i bitcoin, eftersom det är säkert och svårt att spåra, men vanligt folk är inte vana vid att handskas med bitcoin så de behöver hjälp med hur man gör. En del brottslingar har till och med chattar med sina offer, säger Mikael Albrecht men tillägger:

– Betalar man stöder man brottslighet och det är absolut inget vi rekommenderar.

 

 

Enligt F-Secures experter är det största hotet i Norden snarare browser lockers. Genom en säkerhetsöppning eller ett bluffmejl tar sig kriminella in i någons dator och låser den. Användaren möts av ett meddelande om att hen måste betala en lösensumma för att använda sin egen dator. Foto: GUSTAV MÅRTENSSON   Enligt F-Secures experter är det största hotet i Norden snarare browser lockers. Genom en säkerhetsöppning eller ett bluffmejl tar sig kriminella in i någons dator och låser den. Användaren möts av ett meddelande om att hen måste betala en lösensumma för att använda sin egen dator. Foto: GUSTAV MÅRTENSSON  

– Edward Snowden.

F-Secures vd Christian Fredriksson svarar blixtsnabbt på frågan om vad som varit den största omvandlingen i branschen under hans fyra år på vd-posten.

– Det öppnade våra ögon för hur långt regeringarna, speciellt USA, England, Ryssland, Kina och Israel har gått i sin övervakning och hur stort det är i dag, säger han.

Och enligt Christian Fredriksson är det svårt att dra någon tydlig gräns mellan världens underrättelsetjänster och den underjordiska hacker-marknaden. Det sägs till exempel att USA:s myndigheter är världens största uppköpare av skadlig kod.

– Den här branschen har en intressant aspekt. Man kan inte bara kopiera ett hangarfartyg eller en ubåt. Men när det är frågan om mjukvara så är det ju bara att kopiera. En extremt sofistikerad attack i den digitala världen är ofta ute på marknaden när den har utförts.

Christian Fredriksson menar att dagens antivirus-företag har blivit aktörer i det storpolitiska spelet.

– Du vet att om du installerar vissa stormakters security software så har du automatiskt släppt in deras underrättelsetjänst. De bara promenerar in när de behöver det. Ni ger ju oss tillåtelse att ta vad vi vill från era datorer, säger han och fortsätter:

Släpper automatiskt in underrättelsetjänster

– Men vi ger inte kryptonycklarna till någon. Vi öppnar inte bakportarna automatiskt till någon. Vi är inte med i mass surveillance. Det är en stor möjlighet för oss att vara den totalt opolitiska som bara skyddar kunderna. Men vi följer finska lagen så klart och hjälper till att jaga kriminella, det har vi varit med om.

 

På F-Secure skiljs nätverken åt med olika färger av säkerhetsskäl. Grön är det vanliga nätet, orange är för insamling och förvaring av skadlig kod och på det röda aktiverar och testar de virus. ”Vi har tiotals miljoner filer i databasen. En situation där vi läcker ut skadlig kod till marknaden är en av de största katastroferna vi skulle kunna vara med om. Vi håller spökena instängda”, säger Mikael Albrecht. Foto: GUSTAV MÅRTENSSON   På F-Secure skiljs nätverken åt med olika färger av säkerhetsskäl. Grön är det vanliga nätet, orange är för insamling och förvaring av skadlig kod och på det röda aktiverar och testar de virus. ”Vi har tiotals miljoner filer i databasen. En situation där vi läcker ut skadlig kod till marknaden är en av de största katastroferna vi skulle kunna vara med om. Vi håller spökena instängda”, säger Mikael Albrecht. Foto: GUSTAV MÅRTENSSON  

I juni köpte F-Secure det danska IT-säkerhetsföretaget nSense, vilket betyder att de numera har möjlighet att skydda mot och utreda avancerade fall av till exempel industrispionage, bland annat genom ethical hacking, alltså att själva försöka hacka ett system för att upptäcka dess svagheter.

Men vilka chanser har ni egentligen att stoppa en främmande makt om de skulle vilja ta sig in i min dator?

– Det är inga småmaskiner vi har byggt här inne. Visst, har du tillräckligt mycket tid och resurser kan du ta dig in i ett företag, men då har vi förmågan att göra analys, som CSI vet du. Du kan ringa oss som Ghostbusters och då kommer vi och söker igenom och vi kommer veta vad som gjordes och vem som gjorde det.

 

Virus har blivit big business. För säkerhetsföretagen räcker det inte bara med att hitta och stoppa dagens virus. De måste försöka hitta framtidens hot också.

– Vi måste försöka lista ut hur de kommer att utveckla sin business-modell i framtiden. Vi måste helt enkelt kunna tänka som en brottsling och försöka lista ut hur de kommer försöka tjäna pengar, säger Mikael Albrecht.

Christian Fredriksson fyller i:

– De här gängen samlar ihop enorma summor. Det är 1 000 procents avkastning på investeringarna i cyberattacker. Sådana pengar får du inte från droger, vapenhandel eller någon människohandel och riskerna är mycket mindre. Om du tittar på vissa östeuropeiska länder, Afrika och Sydamerika. Du växer upp och du är en ung grabb som är bra på data, men du har inga möjligheter eftersom det inte finns någon mjukvaruindustri. Vad gör du? Du blir IT-krimiell.

Men händer det att kriminella börjar jobba åt säkerhetsföretagen och tvärt om?

– Jag har aldrig hört talas om att det skulle ha hänt. Ingen har åkt fast i alla fall. Vi gör en noggrann granskning på alla som kommer in och du får inte ha varit kriminell. Du måste dessutom ha varit här ganska länge här för att kunna jobba med det mest heliga här i labbet, säger Mikael Albrecht.

Det sägs ju ibland att det är anti-virusföretagen som ligger bakom virus för att kunna tjäna pengar.

– Jo, den har jag hört ganska många gånger, men titta på siffrorna. Vi får in 10 000 nya virus varje dag. Skulle vi ha skrivit alla dem? Och varför skulle vi behöva skriva fler?

Senaste nytt
Om Aftonbladet