Morgunblaðið - 24.08.2003, Blaðsíða 11
fimmtudagmorgni fékk ég skeyti sem hafði ver-
ið sent rúmum sólarhring áður.“
Tjón vegna orma á borð við SoBig getur ver-
ið af ýmsum toga. Þegar vefur flugfélags liggur
niðri missir það af sölu og það á við um fjölmörg
fyrirtæki sem bjóða vöru til sölu á Netinu.
Friðrik segir að eina ráðið gegn póstflóði af
þessu tagi sé að stöðva póstinn áður en hann nái
til einstakra pósthólfa. „Internetið er byggt
upp þannig, að pósturinn hoppar á milli tölva.
Stundum fer hann að vísu beint frá sendanda til
viðtakanda, en oft hoppar hann einu sinni eða
oftar. Við bregðumst við þessu með því að nota
svokallað Aves-kerfi. Þá breytum við uppsetn-
ingunni, þannig að pósturinn taki á sig dálítinn
krók í gegnum leitarvél, þar sem hann er flokk-
aður sem eðlilegur póstur, víruspóstur eða rusl-
póstur. Vírusarnir eru stöðvaðir og ruslið líka,
eða þá að það er merkt sem rusl og sent áfram,
ef fólk vill.“ Aves-kerfið er fyrst og fremst not-
að hér á landi, þótt flestir viðskiptavina Frið-
riks Skúlasonar ehf. séu erlendir. Friðrik segir
að á næstunni muni fyrirtæki hans ganga frá
stórum samningum við erlenda aðila, sem ætli
að taka kerfið í notkun í október.
Inni á vefsíðunni aves.f-prot.com er tafla, þar
sem sést hverjir algengustu vírusarnir eru og
hve stór hluti allra skeyta, sem skoðuð hafa ver-
ið, er smitaður. „Oftast nær eru um 2% af
skeytum í umferð smituð. Þegar vírusar gera
usla og þessi tala fer upp í 5% grípum við í
taumana, sendum út viðvaranir og fleira í þeim
dúr. Núna er staðan sú, að 80% af öllum skeyt-
um sem við skoðum eru með þessum ormi,
SoBig.“
Friðrik segir að ekki bæti úr skák að ýmsir
póstþjónar hér á landi séu rangt upp settir.
„Þegar þeir greina skeyti með ormi þá bregðast
þeir þannig við að þeir svara sendandanum og
segjast hafa fengið smitað skeyti frá honum. En
sá sem sýnist hafa sent skeytið gerði það í raun
ekki, heldur falsaði vírusinn póstfang hans.
Þessir póstþjónar eru því að senda röngum að-
ilum aðvaranir og tvöfalda alla umferð sem
berst til þeirra. Stjórnarráðið, stjr.is, hefur ver-
ið sérstaklega slæmt með þetta, en það stendur
til bóta.“
SoBig sleppt á klámsíður
Yfirvöld víða um heim reyna að hafa hendur í
hári þeirra sem dreifa veirum og ormum, en
það getur reynst þrautin þyngri. „Nú hefur
þegar verið upplýst hvernig SoBig var dreift.
Svokölluðu sleppiforriti, sem gerir ekkert ann-
að en að sleppa vírusum lausum, var dreift inn á
klámsíður á Netinu. Þeir sem fóru inn á síð-
urnar fengu orminn og tölvurnar þeirra urðu
fyrsta kynslóð sendenda. Í kjölfarið fóru vélar
um allan heim að senda orminn á öll möguleg
póstföng sem hann fann. Ef fólk er með hrað-
virka tengingu og fær þennan orm, nýtir orm-
urinn alla þeirra flutningsgetu. Ef kveikt er á
tölvunni er hætta á að vélin sendi mörg hundr-
uð þúsund skeyti. Hér á landi eru menn al-
mennt ekki rukkaðir fyrir það magn gagna sem
þeir senda frá sér, heldur það sem þeir sækja,
jafnvel bara það sem þeir sækja frá útlöndum.
Sums staðar í Bandaríkjunum eru menn rukk-
aðir fyrir gögn sem þeir senda frá sér og geta
átt von á stjarnfræðilegum reikningum um
næstu mánaðamót. Þeir hafa í raun lítið sér til
varnar, því þeir bera ábyrgð á gögnunum sem
tölvurnar þeirra senda frá sér.“
Friðrik segir að SoBig-ormurinn sé varla
skrifaður með fjárhagslegan ávinning í huga.
„Það eru dæmi um orma, sem opna bakdyr á
tölvunni, eins og kallað er. Í kjölfarið getur ein-
hver annar komist inn á vélina og látið hana
gera hvað sem er. Þetta er mikið notað af þeim
sem senda út ruslpóst. Jafnvel hafa verið uppi
vangaveltur um að rússneska mafían standi
straum af kostnaði við gerð slíkra orma, til þess
að geta notað vélar um allan heim til rusl-
póstsendinga. Það er alltaf lokað jafnóðum á þá
sem senda ruslpóst, svo menn þurfa alltaf nýjar
og nýjar vélar. Hver vél nær svo kannski að
senda hundrað þúsund eða milljón skeyti áður
en lokað er á hana og þá færa menn sig á næstu
vél. Það er því hægt að græða á þessum orm-
um.“
Friðrik segir að flestir ormar séu illa skrif-
aðir. „Msblaster er til dæmis illa skrifaður. Ef
hann hefði ekki látið XP-vélarnar ræsa sig aftur
og aftur hefði hann áreiðanlega lifað lengur og
orðið meira vandamál. En þegar vélarnar
hrundu svona uppgötvuðu menn orminn strax.
SoBig er allt annars eðlis. Höfundurinn skrifar
greinilega allan kóðann sjálfur, en byggir hann
ekki á bútum af kóðum frá öðrum, eins og
Msblaster. Þar að auki notar hann fjölþráða
póstvél, sem sendir mörg skeyti samtímis. Eini
flöskuhálsinn er þá hraðinn á nettengingunni.“
Háskólanám í veirum
Þótt mikil áhersla sé lögð á að ná þeim sem
senda veirur og orma um allan heim hefur lög-
reglan ekki alltaf árangur sem erfiði. „Það má þó
vel vera að fljótlega berist fréttir af því að banda-
ríska alríkislögreglan hafi handtekið tvítugan
náunga einhvers staðar. Vírusahöfundar eiga
ýmislegt sameiginlegt og eru oftast nær ungir
karlmenn, en það er auðvitað ómögulegt að segja
til um hvort höfundur SoBig fellur í þann hóp.“
Dæmi eru um að háskólar bjóði upp á nám-
skeið í gerð veirna. Friðrik Skúlason gefur lítið
fyrir skýringar háskólans í Calgary í Kanada,
sem segir að hefðbundnar lausnir í veiruvarna-
málum hafi ekki virkað. Þeir sem skrifi veiru-
varnaforritin viti ekki hvernig veiruforritahöf-
undar hugsi. Fyrst þurfi að mennta þá í að
skrifa veirur og í kjölfarið geti þeir varist þeim.
„Menntasnobb af grófustu gerð,“ segir Friðrik,
sem ætlar sér aldrei að ráða nokkurn mann
sem hefur farið á slíkt námskeið. „Ég get ekki
ímyndað mér að lögreglan vilji starfsmenn sem
hafa reynslu af innbrotum.“
Aðspurður hvort búast megi við harðari at-
lögum veirna og orma í framtíðinni, eða hvort
varnirnar verði sífellt betri svarar Friðrik að
þetta sé stríð. „Vopnin verða sífellt öflugri, en
það verða varnirnar líka. Þetta er endalaus elt-
ingaleikur og frá verslunarmannahelgi hefur
geisað stanslaus orrusta.“
Þægindi framar öryggi
Friðrik Skúlason segir það í raun ekki að öllu
leyti tæknilegt vandamál að veirur geri þennan
usla. „Stór hluti vandans er á milli stólsins og
skjásins. Á meðan hægt er að plata notendur til
að opna torkennileg viðhengi og sleppa vírusum
lausum munu vírusar lifa. Það væri hægt að
koma í veg fyrir vírusvandamál að miklu leyti,
ef Microsoft hefði ekki leyft að keyra vírusa
innan úr póstforritum, þ.e. opna viðhengi beint í
póstforritunum. Þetta var fáránleg ákvörðun,
enda líta menn svo á að Microsoft beri ábyrgð á
þessum vanda að miklu leyti.“
Friðrik segir að ef vel ætti að vera ættu not-
endur að vista viðhengi í sérstakri skrá, fara
svo út úr póstforriti og opna viðhengið þar.
„Windows-stýrikerfið hefur ekki verið hannað
með öryggi í huga, heldur þægindi notenda. Ár-
ið 1988 höfðu engir aðgang að tölvupósti nema
háskólanemendur í tölvufræðum og starfsmenn
einstakra rannsóknarstofnana. Núna eru lítil
börn með heimasíðu og póstfang og meira að
segja hundar geta haft póstfang. Meðalnotand-
inn hefur ekki þekkingu á tölvum og vill þæg-
indi. Öryggi og þægindi eiga sjaldnast samleið.
Þeir sem ganga inn í fyrirtæki, þar sem miklar
öryggisráðstafanir eru, þurfa að nota lykilkort,
láta skanna á sér fingraför eða augnhimnu og
sæta vopnaleit. Auðvitað er þægilegra að geta
gengið beint inn, en þá hverfur öryggið. Micro-
soft hefur látið öryggið sitja á hakanum. Ef fyr-
irtækið hefði ekki staðið sig svo illa ræki ég
ekki 50 manna fyrirtæki sem berst við vírusa.“
krot
Morgunblaðið/Jim Smart
rsv@mbl.is
MORGUNBLAÐIÐ SUNNUDAGUR 24. ÁGÚST 2003 11
Höfundar orma og vírusa
ÞEIR sem búa til vírusa og orma frá
grunni virðast oftar en ekki af sama sauða-
húsinu. Friðrik Skúlason segir að þótt allt-
af séu undantekningar frá hverri reglu
falli meginþorri handsamaðra orma- og
vírusahöfunda undir eftirfarandi lýsingu:
Þeir eru karlkyns. Aðeins ein kona er í
hópi þeirra sem náðst hafa hingað til.
Þeir eru á aldrinum 12–40 ára, en flestir
um 20 ára. Aldurinn skýrir af hverju vírus-
ar og ormar láta oftast á sér kræla á sumr-
in. Þá eru höfundarnir í skólaleyfi og hafa
nægan tíma til að skrifa forrit.
Þeir eru sæmilega gáfaðir, með ein-
hverja menntun, en venjulega engir topp-
menn.
Þeir eru venjulega kvenmannslausir og
virðast margir hætta að skrifa vírusa þeg-
ar þeir kynnast dömu.
Þeir eru stundum atvinnulausir.
Þeir eru félagslega heftir, jaðra við að
vera andfélagslegir, siðblindir í ein-
hverjum skilningi og sjá ekkert rangt við
athæfi sitt.
Þeir þrá athygli. Reyndar hefur sú þörf
það stundum í för með sér að þeir hælast
um og eru því gómaðir.
Sumir þeirra sem handsamaðir hafa
verið á undanförnum árum hafa fallið vel
undir þessa skilgreiningu, til dæmis sá sem
skrifaði Melissa-orminn fyrir nokkrum ár-
um. Orminn skýrði hann eftir uppáhalds-
dansmærinni á súlustaðnum sem hann
stundaði.
TÖLVUVEIRUR og -ormar hafa gert
óþyrmilega vart við sig í þessum mánuði. Í lið-
inni viku skall á árás veiru, sem kallast „So-
Big“ og hefur náð margfalt meiri útbreiðslu en
áður hefur gerst í tilfellum sem þessum. Í vik-
unni á undan gerði ormurinn „Blaster“ tals-
verðan usla.
Vírusinn í liðinni viku er talinn hafa valdið
því að merkjakerfi járnbrautarlestanna á
austurströnd Bandaríkjanna hætti að virka.
Kerfið nær til 23 ríkja fyrir austan ána Miss-
issippi. Á þessu svæði urðu allt að tíu klukku-
stunda tafir á lestarferðum og var ferðum
jafnvel aflýst, en yfirleitt var röskun mun
minni.
Afleiða af orminum Blaster, sem heitir
Welchia og virðist hafa verið búin til í því
skyni að ráða niðurlögum Blaster, varð til þess
á þriðjudag að innritunarkerfi flugfélagsins
Air lá niðri, sem ef til vill þarf ekki að koma á
óvart, en hins vegar var tekið til þess að hún
komst inn í þann hluta tölvukerfis bandaríska
sjóhersins, sem ekki hefur að geyma leyni-
legar upplýsingar, og hefur það aldrei gerst
áður. Blaster varð til þess að kerfi hrundu, en
Welchia veldur jafnvel meiri usla vegna þess
að sú veira leitar hátt og lágt að Blaster, sem
lamar eða hægir verulega á tölvukerfum, þótt
höfundurinn sé sennilega þeirrar hyggju að
hann sé Basil fursti netheima.
Embættismenn í Kanada sögðu að viðgerðir
eftir rafmagnsleysið, sem skall á austurströnd
Norður-Ameríku fyrir rúmri viku, hefðu geng-
ið hægar en ella vegna tölvuveirnanna.
Fred B. Schneider, deildarstjóri við Corn-
ell-háskóla, sagði í samtali við dagblaðið
Washington Post að nú væru blikur á lofti:
„Það kemur ekkert í veg fyrir að einhver taki
Blaster eða SoBig.F og láti þá eyða öllum
skjölunum þínum eða breyta hugbúnaðinum í
tölvunni þinni þannig að hún hætti að virka.
Við erum komin hættulega nálægt heimi þar
sem óvinveittar veirur eru ríkjandi.“
Mikil leit fer nú fram að höfundum orm-
anna, sem leystir hafa verið úr læðingi und-
anfarna daga og enn eru ekki hættir að gera
óskunda. Talið er að Blaster eigi rætur að
rekja til enskumælandi lands vegna þess að í
forritunarkóðanum sé að finna lýtalausa
ensku. Þar kemur fyrir orðið „San“, sem talið
er að geti verið stytting á Sandy og sé ef till
vill vísbending um að höfundur veirunnar hafi
viljað ganga í augun á kvenmanni. Höfundur
Welchia er hins vegar talinn vera frá Kína
vegna þess að í kóðanum er að finna kínversk
orð og nöfn. Einnig kemur fram að hann sé
búinn til fyrir gott málefni.
Tölvuhernaður og hryðjuverk
Eðli málsins samkvæmt eru höfundar tölvu-
veirna alltaf skrefi á undan þeim, sem vinna að
vörnum. Hingað til hefur hins vegar alltaf tek-
ist að hrinda árásum á Netinu. Spurningin
hefur hins vegar verið hversu mikið tjón veir-
an nær að valda fyrsta sólarhringinn eða þar
til hægt er að stöðva hana. Veiran SoBig er
einstaklega öflug að því leyti.
SoBig veirur byrjuðu að koma fram í jan-
úar. Ormurinn, sem nú er í umferð og er for-
ritaður þannig að hann rennur út 10. sept-
ember, hefur fengið heitið SoBig.F og allt eins
má vænta þess að fyrr en varir komi fram
ormurinn Sobig.G, nýr og betri. SoBig.F er
skrifaður þannig að hann kemur sér fyrir eins
og Grikkir í Trójuhestinum forðum og síðan er
hægt að nota orminn til að dæla ruslpósti úr
tölvum út um allan heim án þess að eigandi
tölvunnar hafi hugmynd um hvað sé á seyði.
Fyrir vikið hefur ekki verið útilokað að orm-
inum hafi verið sleppt lausum í ábataskyni,
þótt enginn hafi sýnt fram á að dreifendur
ruslpósts á Netinu hafi leitað til veiruforritara
til að komast fram hjá hindrunum.
Þá velta menn vöngum yfir því hvaða álykt-
anir eigi að draga af atburðum undanfarinna
daga. Árásir ormanna sýna berlega veikleika
hátækninnar. Margir hafa áhyggjur af því að
Netið gæti orðið vettvangur hryðjuverka og
benda á það tjón, sem hægt sé að valda með
skemmdarverkum á Netinu og tölvukerfum.
Þar fer fjármálalífið fram, heilu samgöngu-
kerfin eru tölvustýrð, starfsemi sjúkrahúsa
treystir á tölvukerfi, sömuleiðis hvers kyns
birgðakerfi. Hryðjuverkasamtök hafa ekki
beint sjónum sínum að Netinu hingað til þótt
ljóst sé að þau noti Netið til samskipta. Hins
vegar hefur verið fullyrt að nokkrir tugir ríkja
hafi verið að þróa tækni til að stunda tölvu-
hernað með það fyrir augum að geta valdið
stórtjóni á Vesturlöndum og þá sérstaklega í
Bandaríkjunum. Segja sérfræðingar að þar sé
um að ræða ódýra hertækni, sem nota megi til
að gera árangursríkar árásir á bæði hern-
aðarleg og borgaraleg skotmörk.
Ormar ágústmánaðar
AP
Netveran Eldveggur (fyrir miðju) verst sókn tölvuþrjótsins frá hægri og tölvuveirunnar frá vinstri í
túlkun Listakademíunnar í Berlín á tölvu- og upplýsingasýningunni í Hannover.