Datamaskiner angripes oftere og oftere både privat og offentlig. Illfoto: Thinkstock

PC-guruen jakter på ondsinnet kode

Kronikk publisert 01.03.17

Kriminelle har for lengst funnet ut at det er store penger å tjene på å infisere datamaskiner. Det er derfor et stort behov for folk med kompetanse på skadevare i både privat og offentlig sektor. Nå etableres en egen malware-lab ved NTNU i Gjøvik, skriver Geir Olav Dyrkolbotn.

KRONIKK: «Pappa, PCen er så treig. Du som jobber med dette, kan ikke du fikse den?»

Kan jeg det? Skulle jo tro at det ville gå greit, med min lange utdanning innen faget og snart 15 års erfaring innen cybersikkerhet. Realiteten er dessverre noe mer nyansert. Min status som PC-guru var på vei til å få seg en knekk.

La oss tenke litt på situasjonen. Hva kan være galt? Internettforbindelsen hjemme kan ha skylden. Er det søsteren som streamer film? Kan feilen ligge hos internettleverandøren – får jeg egentlig den hastigheten jeg betaler for? Fire nettbrett, fire mobiltelefoner og fire datamaskiner tilkoblet samtidig, med streaming, oppdateringer og alt det innebærer.

Kanskje er serveren til siden datteren min prøver å gå inn på overbelastet og treg? Av og til har aviser vi leser mange besøkende, holder på med oppgradering eller har tekniske utfordringer. Det er lite jeg som familiens utnevnte «pc-ekspert» får gjort med det. PCen er kanskje gammel og stappfull av programmer.

Allerede som ny kom den med mange unødvendige programmer, men i løpet av årene har den yngre garde brukt maskinen til både spill og lekser. På nettet finner man jevnlig «lure triks for å få pcen til å bli raskere». Er det løsningen?

Eller, hva om PCen er infisert med virus? Det kan selvfølgelig være en årsak, men hadde ikke vi anti-virus program da?!

Nå nærmer vi oss mitt fagfelt; analyse av ondsinnet programvare. Dette burde jeg fikset fort, jeg har jo jobbet ti år med å beskytte datanettverk mot angripere og nå underviser jeg og forsker på hvordan vi kan bli bedre til å oppdage ondsinnet programvare. Lett sak? Nei, dette er faktisk en svært vanlig, men komplisert situasjon. Det å oppdage, analysere og forhindre at aktører med skumle hensikter kommer seg inn på min, din eller bedriftens PC krever mye ressurser og ikke minst kompetanse.

Heldigvis finnes det en del personer som synes det er gøy å jobbe med dette og bruker mye tid på det. De kalles gjerne malware-analytikere. Malware er også kalt skadevare eller ondsinnet kode. Begrepet ondsinnet kode sier noe om hensikten til programmet, og det er viktig. En malware-analytiker jobber med å finne ut hva et program faktisk gjør.

En del programmer kan, som andre ting, benyttes både til nytte og til skade. Det å fjernlogge seg på en datamaskin fra et annet sted er nyttig for IT-support, men det kan også utnyttes av kriminelle til å overvåke og stjele for eksempel kredittkortinformasjon fra PCen din.

Slike angrep på datamaskiner ser vi oftere og oftere både privat og offentlig. Kriminelle har for lengst funnet ut at det er store penger å tjene på å infisere datamaskiner. Det er derfor et stort behov for personer med kompetanse på skadevare i både privat og offentlig sektor. Når en bedrift angripes av skadevare er det viktig å finne ut hvordan dette skjedde.

På den måten kan man beskytte seg til neste gang. I tillegg er det viktig å finne ut hva skadevaren gjorde. Tok de dokumenter? Har de lagt igjen kode for å overvåke systemet eller kanskje for å sabotere? Dette er noen av spørsmålene en malware-analytiker prøver å svare på.

NTNU som utdanningsinstitusjon har her et ansvar for å gi kompetanse som samfunnet har behov for. En forskningsgruppe ved NTNU i Gjøvik har hatt fokus på skadevare en god stund. Med støtte fra Center for Cyber and Information Security (CCIS) og NTNU Testimon Forensics Group etableres nå en egen malware-lab ved NTNU.

Dette er et fagmiljø for undervisning, forskning og utvikling som kan bidra til økt kunnskap og fokus for både offentlig og privat sektor. Det finnes mange dyktige malware-analytikere rundt omkring i Norge. Vi håper å kunne gi dem en arena for samarbeid, forskning og kompetanse utveksling. Det er viktig at forskningen gjenspeiler de problemstillingene bedriftene føler på kroppen, og vi vil jobbe for å inkludere CCIS sine partnere aktivt i aktivitetene våre.

I vår underviser jeg for eksempel i malware-analyse og reverse engineering. Faget inngår i en nyoppstartet erfaringsbasert master i informasjonssikkerhet med fokus på cyberoperasjoner, og det første emnet i Norge helt dedikert til malware-analyse.

Vi håper at malware-laben på Gjøvik kan bidra til å øke fokuset på og samarbeidet innen analyse av ondsinnet kode. Vi vil gi et tilbud til undervisning, forskning og utvikling innen fagområdet og vi er overbevist om at eksperter i og utenfor Norge ser nytten av å samles for å dele erfaringer og kunnskap.

Tilbake til familiehverdagen igjen: «Pappa, nå streiker pcn igjen. Kan du fikse den?»