Autoreporter

Rapportverktygets statistik över skadlig kod 2006-2010

Autoreporter är en automatisk tjänst som CERT-FI erbjuder till de parter som administrerar finska nät. Tjänsten samlar in uppgifter om skadliga program och kränkningar mot informationssäkerhet och rapporterar dessa vidare till nätadministratörerna. Tjänsten har varit i drift sedan 2006 och den omfattar alla finländska nätområden. På basis av insamlad statistik går det bl.a. att uppskatta hur ofta skadlig kod förekommer i finländska nät.

Denna sida innehåller observationer och statistik som Autoreporter har genererat mellan 2006-2010. På basis av graferna kan man dra slutsatsen att antalet infekterade datorer i finländska nät på lång sikt har minskat. De finländska teleföretagen spelar en viktig roll i denna utveckling genom att i regel snabbt och effektivt reagera på kränkningsanmälningar.

När man tolkar graferna bör man beakta att många olika variabler inverkar på det slutliga resultatet. Ifall Autoreporter har problem med att ladda ner behövliga uppgifter från en av sina källor kan detta synas i statistiken på kort sikt. Då man ser på statistiken på årsbasis kan man dock tydligt urskilja nya och vitt utbredda typer av skadlig kod.

Under sin livstid har det skett flera förändringar i de källor Autoreporter använder sig av. Flera nya och pålitliga källor har lagts till samtidigt som källor, som enligt kundrespons varit opålitliga, antingen har filtrerats eller lämnats bort. Fem år av drift har trots allt gett tillräckligt med kvalitativ statistik för att efterföljande slutsatser har kunnat dras.

Antal smittade datorer har minskat under 2010

I det långa loppet verkar set som om antalet datorer infekterade av skadlig kod har minskar i förhållande till antalet bredbandskunder. Under 2009 svängde riktningen dock mot en klar ökning. En betydande orsak till denna ökning är skadeprogrammet Conficker. Den effekt som Conficker:s aggressiva spridning har haft har visualiserat med avvikande färg i grafen här under. De första observationerna av Conficker gjordes i Finland i början av januari 2009 och Autoreporter började följa upp detta skadeprogram ännu under samma månad. Conficker har även dominerat rapporterna under 2010.

Botnets den allmännaste observationen

Närmare hälften av observationerna från år 2009 och 2010 har orsakats av datorer som ofrivilligt blivit smittade med någon form av skadlig kod som fogat datorn till ett botnet. Ett botnet är ett nätverk av fjärrstyrda datorer som t.ex. kan utnyttjas till att sprida skräppost. Trots att skadeprogrammet Conficker i början av 2009 spred sig likt en nätmask kan programmet även klassificeras under kategorin botnets. Hittills har dock detta botnet med smittade Conficker-datorer inte använts till något. Skadeprogrammets aggressiva spridning syns dock i statistiken; närmare hälften av observationerna från 2009 och 2010 berörde enbart Conficker. Statisitken från 2010 påvisar att det kan vara svårt att lokalisera en enskild dator som smittats med Conficker. Lokaliseringen kan vara speciellt utmanande i stora företagsnät. När det gäller Conficker, kan man tyvärr inte enbart ty sig till antivirus-produkter. Conficker spärrar nämligen de flesta automatiska uppdateringar på den smittade datorn. Confickers framfart ledde även till att observationerna rörande försök att sprida övrig skadlig kod eller förberedelser för dataintrång genom sk. port-scanning statistiskt sett blev marginella.

Numerisk statistik över skadliga program och kränkningar mot informationssäkerhet

Autoreporter skickade under 2010 totalt 235868 rapporter med information om skadliga program och kräkningar mot informationssäkerheten. Rapporterna berörde totalt 82124 olika IP-adresser. Man bör dock komma ihåg att mängden IP-adresser inte direkt korrelerar med antalet smittade datorer. Det är t.ex. allmänt att bredbandsabonnemang förses med IP-adresser som förändras med tiden (sk. dynamiska adresser). Dessutom är det inte ovanligt att företagsnätens offentliga IP-adresser döljer flera smittade datorer.

Under 2010 skickade Autoreporter rapporter per e-post till närmare 100 olika nätadministratörer. Rapporternas svarstid under 2010 var i medeltal 25 timmar. Svarstiden beskriver hur länge det tar för rapporten att skickas iväg efter att kränkningar har observerats.

Övrigt om Autoreporter

Rapporter som presenterar och jämför kränkningar mot informationssäkerhet publiceras med jämna mellanrum. På grund av brist på akademisk noggrannhet kan det vara svårt att korrelera informationen i dessa rapporter sinsemellan. Några slutsatser kan dock dras. CERT-FI har samlat ihop en lista på länkar till nyligen publicerade rapporter. Dessa rapporter jämför finska nät med övriga nät vad gäller skadliga program och kränkningar mot informationssäkerheten.

• Microsoft: Security Intelligence Report (halvårsvis)
• Symantec: Internet Security Threat Report (årligen)
• Shadowserver: Conficker Statistics (kontinuerlig)

Övriga omnämnande

• Tävling i bästa praxis 2009 arrangerad av CERT/CC och FIRST
• Microsoft: Collective Defense / Applying Public Health Models to the Internet
  

Sidan uppdaterad 01.04.2011

Utskrivbar version