Artikel top billede

DK-CERT: Rusland strammer grebet om it-kriminelle

Anholdelser og stramninger tyder på en ny kurs over for it-kriminelle i Rusland, skriver Shehzad Ahmad fra DK-CERT i denne klumme.

Meget internetkriminalitet stammer fra Rusland. Derfor bliver man ekstra glad, når der er godt nyt fra netop den front.

Det var der i den forløbne måned.

Dels blev nogle formodede bagmænd i en stor hackersag anholdt, dels strammer myndighederne op på procedurerne for domæneregistrering.

De internationale nyhedsmedier har lidt modstridende beretninger om anholdelserne. De er enige om, at en formodet bagmand blev anholdt i Sankt Petersborg.

Men ifølge The Register er to af hans kumpaner også anholdt.

Under alle omstændigheder handler det om folk, der mistænkes for at stå bag en af de helt store hackersager.

Forhøjede hævegrænsen

I 2008 hackede gerningsmændene sig ind på it-systemer hos betalingsformidleren RBS Worldpay.

Her fik de adgang til data om betalingskort, som blev brugt til lønudbetalinger.

De hævede maksimumgrænsen for, hvor meget man måtte hæve på hvert enkelt kort.

Den 8. november 2008 gik de i aktion.

130 medsammensvorne gik på samme tid i gang med at hæve kontanter i pengeautomater i 49 byer fordelt på flere lande.

I løbet af en halv times tid havde de hævet over ni millioner dollars. Det har FBI tidligere oplyst.

Et år senere blev tre navngivne og en unavngiven person anklaget for forbrydelsen i USA. Mindst en af de tre er nu i politiets varetægt.

Det gode ved nyheden er, at den tyder på, at Rusland ikke længere stiltiende vil acceptere it-kriminalitet.

Det er der også andet, der tyder på.

Vis pas ved domæneregistrering

I efteråret indførte det såkaldte Coordination Center, der står for registrering af domæner under landedomænet .ru, skrappere regler.

Nu skal virksomheder kunne dokumentere, at de er registreret som virksomhed, før de kan oprette et domæne.

Og privatpersoner skal identificere sig med pas, før de får lov.

Det er et lille skridt på vejen til bedre muligheder for at retsforfølge forbryderne.

Pas på udbyderne

I dag er Whois-oplysningerne om russiske domæner som regel værdiløse, fordi de oplyser navne på stråmænd eller fiktive personer som dem, der er ansvarlige for et givet domæne.

De nye regler træder i kraft 1. april.

Netværk af lyssky udbydere

At der er brug for en indsats i Rusland fremgår af en analyse, som sikkerhedsfirmaet RSA har foretaget.

Firmaet har kigget på udbyderen Troyak, der var offline i flere dage i løbet af marts måned.

Flere botnet baseret på Zeus-programmet (Zbot) kørte på IP-adresser under Troyak.

Derfor kunne det se ud til, at lukningen af Troyaks internetforbindelse var resultatet af forsøg på at lamme nogle botnet.

RSA FraudAction Research Lab har opdaget, at Troyak kun er en lille brik i et større puslespil.

Ifølge forskerne er der udbydere i tre lag.

Nederste lag er det såkaldte bulletproof network. Det rummer servere, som indeholder en mængde skadelige programmer, primært trojanske heste der inficerer offeret med Zeus.

Disse udbydere er der otte af.

Bulletproof networks kommunikerer med fem såkaldte upstream providers.

De har ikke direkte skadelige programmer på deres servere. Deres formål er at maskere tilknytningen til de otte udbydere i kernen.

De fem upstram providers kommunikerer med ni helt legitime internetudbydere, som giver dem adgang til det øvrige internet.

Der er forbindelser på kryds og tværs mellem udbyderne i de tre lag.

Det medfører, at en udbyder forholdsvis let kan finde en ny rute til internettet, når en anden bliver lukket ned.

Fire af fem er ude

Det så vi med Troyak, der røg af nettet den 9. marts. Den fandt hurtigt en ny udbyder, men blev smidt ud igen. Den 12. var den igen online, men lige nu ser den ud til at være væk.

I det hele taget er kun en enkelt af de upstream providers, som RSA-undersøgelsen fandt frem til, tilgængelig for øjeblikket.

Det viser, at opmærksomhed udefra kan påvirke, hvilke udbydere der får lov til at fortsætte med deres lyssky forehavender.

Det bliver spændende at se, om udviklingen vil gøre det vanskeligere for it-kriminelle i Østeuropa at slippe af sted med deres forbrydelser.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

23. april 2024 | Læs mere


AI Business Excellence Day – sådan folder du mulighederne ud

Mange danske virksomheder har eksperimenteret med AI-projekter af begrænset omfang, men kun de færreste har for alvor udforsket mulighederne i storskala. Det gør vi her! Du vil blandt andet få mulighed for at se eksempler på, hvordan AI kan anvendes som accelerator i storskala og skubber til grænserne for, hvordan det er muligt at integrere teknologien, så potentialet for alvor foldes ud.

24. april 2024 | Læs mere


Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data

Vi dykker ned i værdien af en stabil og pålidelig storage-platform og hvilke muligheder der findes, for at sikre den højeste grad af redundans og tilgængelighed. Områder som date-beskyttelse og cyber-sikkerhed vil også blive berørt.

25. april 2024 | Læs mere