Autoreporter

Rapportverktygets statistik över skadlig kod 2006-2009

Autoreporter är en automatisk tjänst som CERT-FI erbjuder till de parter som administrerar finska nät. Tjänsten samlar in uppgifter om skadliga program och kränkningar mot informationssäkerhet och rapporterar dessa vidare till nätadministratörerna. Tjänsten har varit i drift sedan 2006 och den omfattar alla finländska nätområden. På basis av insamlad statistik går det bl.a. att uppskatta hur ofta skadlig kod förekommer i finländska nät.

Denna sida innehåller observationer och statistik som Autoreporter har genererat mellan 2006-2009. På basis av graferna kan man dra slutsatsen att antalet infekterade datorer i finländska nät på lång sikt har minskat. De finländska teleföretagen spelar en viktig roll i denna utveckling genom att i regel snabbt och effektivt reagera på kränkningsanmälningar.

När man tolkar graferna bör man beakta att många olika variabler inverkar på det slutliga resultatet. Ifall Autoreporter har problem med att ladda ner behövliga uppgifter från en av sina källor kan detta synas i statistiken på kort sikt. Då man ser på statistiken på årsbasis kan man dock tydligt urskilja nya och vitt utbredda typer av skadlig kod.

Under sin livstid har det skett flera förändringar i de källor Autoreporter använder sig av. Flera nya och pålitliga källor har lagts till samtidigt som källor, som enligt kundrespons varit opålitliga, antingen har filtrerats eller lämnats bort. Fyra år av drift har trots allt gett tillräckligt med kvalitativ statistik för att efterföljande slutsatser har kunnat dras.

Antal smittade datorer har ökat

I det långa loppet verkar set som om antalet datorer infekterade av skadlig kod har minskar i förhållande till antalet bredbandskunder. Under 2009 har riktningen dock svängt mot en klar ökning. En betydande orsak till denna ökning är skadeprogrammet Conficker (även känd som Downadup). Den effekt som Conficker:s aggressiva spridning har haft har visualiserat med avvikande färg i grafen här under. De första observationerna av Conficker gjordes i Finland i början av januari och Autoreporter började följa upp detta skadeprogram ännu under samma månad. Conficker orsakar bl.a. att antivirus-produkten på den smittade datorn inte längre automatiskt kan uppdatera sig. Det är alltså sannolikt att en dator som en gång har blivit smittad med tiden även har smittats av övriga skadliga program.

Botnets den allmännaste observationen

Över hälften av observationerna från år 2009 har orsakats av datorer som ofrivilligt blivit smittade med någon form av skadlig kod som fogat datorn till ett botnet. Ett botnet är ett nätverk av fjärrstyrda datorer som t.ex. kan utnyttjas till att sprida skräppost. Trots att skadeprogrammet Conficker i början av 2009 spred sig likt en nätmask kan programmet även klassificeras under kategorin botnets. Hittills har dock detta botnet med smittade Conficker-datorer inte använts till något. Skadeprogrammets aggressiva spridning syns dock i statistiken; närmare hälften av observationerna från 2009 berörde enbart Conficker. Confickers framfart ledde även till att observationerna rörande försök att sprida övrig skadlig kod eller förberedelser för dataintrång genom sk. port-scanning statistiskt sett blev marginella.

Skadlig kod upptäckt på dagsbasis

Enskilda händelser tränger tydligt fram i den graf som visar hur skadliga kod observerats per dag. Dessa enskilda händelser har dock kortvarig effekt. Även de dagar som präglats av tekniska svårigheter kan urskiljas som tydliga vita gropar. Värdet på y-axeln beskrivet det antal rapporter som Autoreporter har skickat ut under ifrågavarande dag.

Conficker syns i statistiken fr.o.m. slutet av januari och det är mycket sannolikt att statistiken en längre tid framåt, åtminstone i någon mån, kommer att präglas av detta skadeprogram. Det verkar dock som om teleföretagen lyckats ingripa effektivt på Conficker-smittade datorer under det första kvartalet. Dessutom sprider sig inte längre de varianter av Conficker som observerats efter marsmånad. Detta tyder på att en stor del av de datorer som blivit hängande i statistiken antagligen är sådana fall som inte åtgärdats då epidemin brutit ut. CERT-FI har fr.o.m. medlet av november tagit dessa fall under luppen. Vi hoppas att den svacka som kan observeras i december tyder på att åtgärderna har burit frukt.

Övrigt om Autoreporter

Rapporter som presenterar och jämför kränkningar mot informationssäkerhet publiceras med jämna mellanrum. På grund av brist på akademisk noggrannhet kan det vara svårt att korrelera informationen i dessa rapporter sinsemellan. Några slutsatser kan dock dras. CERT-FI har samlat ihop en lista på länkar till nyligen publicerade rapporter. Dessa rapporter jämför finska nät med övriga nät vad gäller skadliga program och kränkningar mot informationssäkerheten.

• Microsoft: Security Intelligence Report (halvårsvis)
• Symantec: Internet Security Threat Report (årligen)
• McAfee: Mapping the Mal Web, Revisited (publicerad 4.6.2008, pressmeddelande)
• Shadowserver: Conficker Statistics (kontinuerlig)

Övriga omnämnande

• Tävling i bästa praxis 2009 arrangerad av CERT/CC och FIRST