HAR OVERSIKT: Fra dette operasjonssenteret varsler NorCERT norske internettleverandører som har kunder med virus. Hvordan kundene blir varslet er opp til hver enkel aktør.  Foto: Digi.no/Per Ervland
HAR OVERSIKT: Fra dette operasjonssenteret varsler NorCERT norske internettleverandører som har kunder med virus. Hvordan kundene blir varslet er opp til hver enkel aktør. Foto: Digi.no/Per ErvlandVis mer

Varsler deg om virus på e-post

Nei, det er ikke søppelpost. Internettleverandøren kan faktisk vite at du har virus.

"Hei. Vi har fått rapporter fra Nasjonal sikkerhetsmyndighet om et virus på én eller flere maskiner på deres internett-oppkobling i [adressen din]. Vi anbefaler at dere tar en sjekk på alle maskiner snarest."

Om du hadde fått denne e-posten fra internettleverandøren din, hva hadde du gjort?

  1. Trodd det var lureri.
  2. Tatt det på alvor.
Mange ville nok nærmest instinktivt valgt alternativ 1. Men det riktige er faktisk alternativ 2.

Norske nettkunder kan nemlig regne med å få reelle advarsler om virus på e-post. Og det kan vi takke myndighetene for.

PASSER PÅ: Seksjonssjef Marie Moe i NorCERTs operasjonssenter får hver uke nye, norske IP-adresser som tilhører maskiner med virus. Foto: NorCERT Vis mer


Tusenvis av varsler

I et anonymt kontorbygg i Oslo har NorCERTs operasjonssenter tatt over en hel etasje. Her sitter de døgnet rundt og overvåker deler av det norske internettet, for å ivareta IT-sikkerheten til offentlige tjenester, privat næringsliv og norske borgere. De er en del av Nasjonal Sikkerhetsmyndighet (NSM), og består av sikkerhetseksperter som lønnes med våre skattekroner.

En del av denne jobben er å varsle internettleverandører når kundene deres har fått virus. To ganger i uken sender NorCERT ut lange lister til leverandørene, med IP-adresser til maskiner som skal være infisert. Så er det opp til leverandørene å kontakte personene bak disse adressene, slik at personene blir klar over at PC-ene deres kan være under andres kontroll.

Den siste tiden har det vært en stor oppsving i nettbank-trojanere i Norge, spesielt Torpig, og på det meste har det blitt sendt ut 17.000 unike IP-adresser på én uke.

– Vi varsler alle vi får beskjed om, så er det opp til internettleverandørene å varsle videre, forteller seksjonssjef Marie Moe i NorCERTs operasjonssenter til DinSide.

Mer om oppsvingen her: Norske nettsider gir deg virus

ET EKSEMPEL: Slik ser et virusvarsel fra Skagerak Fiber ut. Dette er altså ikke søppelpost. Foto: Ole Petter Baugerød Stokke Vis mer


Slik oppdages IP-adressene

NorCERT overvåker kun en liten del av det norske internettet. Av og til oppdager de infiserte maskiner selv, men det aller meste kommer fra andre kilder.

Blant annet tar aktører i sikkerhetsbransjen kommandoen over botnett. Et slikt nett består av et stort antall PC-er ("bot-er") som er infisert med skadevare som gir andre kontroll over maskinene. Slike nett kan for eksempel brukes til å sende ut søppelpost , angripe nettsider eller stjele penger fra brukerne via nettbanker.

Ved å ta over eller overvåke infrastrukturen til slike botnett kan man finne IP-adressene til maskinene som er tilknyttet, og som altså er infisert av virus. Disse adressene sendes videre til kontaktpunkter i de forskjellige landene; NorCERT i Norges tilfelle. Og fra NorCERT går listene videre til internettleverandørene som drifter de forskjellige adressene, før de forhåpentligvis sendes videre til de rammede kundene.

LANG VEI: Før du får varselet har noen fått adressen din fra botnettet, gitt det til NorCERT, som gir det videre til internettleverandøren din (ISP), som eventuelt må gi det til sin partner før den havner hos deg igjen. Foto: Ole Petter Baugerød Stokke Vis mer


– Vi har ikke myndighet til å kreve at internettleverandørene sender varslene videre. Men vi har et godt samarbeid, og opplever at de som regel er flinke, forsikrer Moe.

Vi har testet dingsen alle kan kjøpe, helt lovlig, for å tømme nettbanken din

Sparsomme advarsler

Hvordan kundene varsles er opp til internettleverandøren selv. Det finnes i dag ingen standard eller konkrete retningslinjer for hvordan varslingen skal foregå. Det jobbes nå med å få noe slikt på plass.

Eksempelet i begynnelsen av artikkelen kommer fra en av partnerne til Altibox. Varselet fra NorCERT kommer direkte til Altibox sentralt, før det går videre til partnerne som sender det til kundene. Kommunikasjonsansvarlig Espen Schiager hos Altibox forteller først til DinSide at kundene bes om å gi tilbakemelding etter de mottar virusvarsel. Visstnok skal kunden kontaktes på telefon eller SMS om Altibox-partneren ikke får denne tilbakemeldingen.

Men eksempelet vi har fått inneholder ingen tegn til at noen ønsker en tilbakemelding. Heller ingen tips til kunden om hvordan de kan få bukt med virusinfeksjonen, annet enn at kunden bør "ta en sjekk".

VINN/VINN: Kollegene til kommunikasjonsansvarlig Espen Schiager hos Altibox sørger for å varsle kunder som kan ha virus. Da bidrar de til et virusfritt internett, noe alle parter vinner på. Foto: Altibox Vis mer


– Partnerne kan nok selv velge hvordan de ønsker å varsle kunden, sier Schiager, og understreker at de i dag har 39 forskjellige partnere.

– Synes du varselet vi har fått kopi av er tilstrekkelig for kunden?

– Dette handler også om hvor mye vi skal vite om kundene. Om vi hadde hatt muligheten til å gå direkte inn på hvilken maskin og hvilken harddisk viruset lå på, kunne man fort fått inntrykk av å være overvåket, og personvernet hadde dukket opp. Det er kundens ansvar å beskytte seg mot virus, og dette blir i så måte egentlig bare en bonustjeneste, sier Shiager til DinSide.

Etter intervjuet ringer han oss opp igjen og forteller at de nå har bestemt seg for å rydde opp i hvordan kundene advares, da praksisen i dag varierer fra partner til partner.

Vi har sjekket Altibox sin nye mobiltjeneste Loop – er det egentlig noe å spare?

Spam? Ekte?

Ifølge Altibox skal det ikke være et problem at kunder misforstår varslene som søppelpost.

Men hos NorCERT ser de dette som et potensielt problem.

– Det kan jeg forstå. Og det er bra å være skeptisk når man får e-post, sier Moe.

– Men det er selvfølgelig et problem å kommunisere på e-post når det blir brukt såpass mye til svindel. Derfor er det kanskje et behov for en standard. Og vi råder internettleverandørene til å ikke bare videresende vår informasjon, men å lage sine egne varsler, som er mer forståelige for kundene.