DATORSÄKERHET
- HUR SÄKER ÄR DU PÅ INTERNET?
Alexander Gustafsson-Brokås, [email protected]
Joel Karlsson, [email protected]
2
SAMMANFATTNING
Rapporten hanterar grundläggande ämnen kring säkerhet i anknytning till användaren och
säkerhetsbristerna från dennes sida. Internet, dess användare och farorna som drabbar dessa
har förändrats med åren. Idag fylls Internet av risker i takt med att fler tjänster bjuds ut till
allmänheten och att mer känslig information behandlas i samband med handel och
Internetbanker, något som kräver mer avancerad kryptering. I texten beskrivs vad säkerhet
innebär och hur den lämpligast upprätthålls genom högre kunskap. Hur skall man på
lämpligast sätt undgå attacker genom att sätta upp regler och policys i samband med känsliga
data?
Användare har ett stort eget ansvar för sin säkerhet på Internet. Att välja ett starkt lösenord är
en av de mest grundläggande åtgärderna man kan vidta, men trots det visar undersökningar på
att många ignorerar detta. Ett lösenord innehållande flera typer av tecken ökar säkerheten
markant och är viktigt för t.ex. e-post.
Ett av de största hoten en vanlig användare kan stöta på är skadlig mjukvara. De kan
installeras på olika sätt men oftast är det på grund av användarens oförsiktighet och okunskap.
Den skadliga mjukvaran kan utnyttjas till flertalet olika attacker.
En attack på ett datorsystem sker inte alltid med teknisk kunskap. En oärlig person kan med
hjälp av sina sociala färdigheter lura till sig t.ex. lösenord, något som kallas för Social
Engineering.
3
INNEHÅLLSFÖRTECKNING
INLEDNING .......................................................................................................................................... 5
SÄKERHET PÅ INTERNET ............................................................................................................... 6
Historia och Kuriosa ......................................................................................................................................... 6
Dagens teknik................................................................................................................................................... 6
Vad är säkerhet? .............................................................................................................................................. 7
Attacker och metoder ...................................................................................................................................... 7
Social Engineering .............................................................................................................................................. 7
Skadlig mjukvara och hacking............................................................................................................................. 7
Lösenord .......................................................................................................................................................... 8
Dåliga exempel på lösenord ............................................................................................................................... 9
E-post och chat ............................................................................................................................................... 10
Internetbanker och betalsystem .................................................................................................................... 10
Hur man upprätthåller säkerhet ..................................................................................................................... 10
Företagspolicy .................................................................................................................................................. 10
SLUTSATSER .................................................................................................................................... 11
REFERENSER.................................................................................................................................... 12
Internetreferenser ......................................................................................................................................... 12
Bildreferenser ................................................................................................................................................ 13
Artikelreferenser ............................................................................................................................................ 13
4
INLEDNING
Den ökade användningen av Internet och dess utbud av tjänster har även medfört ökade
säkerhetsrisker. Idag använder människor Internet till allt mer känsliga ärenden, t.ex.
bankärenden och e-handel med kreditkort. Detta ställer högre krav på säkerhet eftersom
transaktionerna blir allt fler och summorna större vilket lockar oärliga personer, vilket
rapporten definierar som e-brottslingar1. Även om tekniken idag kan ge väldigt hög säkerhet
är det ändå upp till användaren som brukar tjänsterna att tillstå med sunt förnuft. De flesta
intrång och attacker sker på grund av användarens okunskap och felanvändning och inte
brister i tekniken i sig, även om dessa förekommer.
Denna rapport tar upp frågor om hur användarna ser på säkerhet, hur den brukas och vart
säkerhetsrisker vanligen förekommer. Rapporten belyser även ämnen som lösenordssäkerhet,
trojaner/virus samt förekomsten av vanliga säkerhetsbrister hos individuella användare och
företag.
Oärliga personer kan också få tillgång till tekniska system utan att själva ha ett tekniskt
kunnande genom sociala interaktioner med exempelvis personer med tillgång till känsliga
data. Detta faller under ett begrepp som benämns ”Social Engineering” och är en metod mer
förkommande än vad man kan tro.
Som nätverksstudenter vid Mälardalens Högskola känner vi väl till de tekniska lösningarna
som utgör grunderna för säkerhet på Internet och inom datornätverk. Vi försöker i den här
rapporten undersöka hur tekniken tillämpas praktiskt av vanliga användare.
E-brottslingar inkluderar termer som crackers [WIKI4], phishers [WIKI5] och övriga benämningar som är
relaterade till hackers [WIKI6].
1
5
SÄKERHET PÅ INTERNET
Internet är i grunden osäkert och egentligen inte byggt för dagens användning, därför har
säkerhet fått byggas på efterhand. Brottslingar har oftast legat före säkerhetsutvecklingen och
därför kunnat utnyttja dess brister.
Historia och Kuriosa
Internet som världsomspännande nätverk tog sin början på 1980-talet och fick sin riktiga
utveckling från och med tidigt 1990-tal. Tekniken och de protokoll som Internet bygger på
kan anses osäkra idag eftersom de var framtagna för att vara öppet och stabilt istället för
säkert [LINSEC]. Istället har under utvecklingstiden nya protokoll och lösningar
implementerats för att tillfredställa de ökade säkerhetskraven, speciellt i och med då IPv4
ersätts med IPv6 [LINSEC]. I takt med att datorerna blir snabbare kan nya och säkrare
krypteringar utvecklas och leder samtidigt till att de föregående krypteringsformerna blir allt
mer osäkra.
I samband med att användandet av Internet ökade såg företag möjligheten att tjäna pengar. En
rad tjänster utvecklades för Internet och flertalet bolag flyttade delar av sin verksamhet till
Internet som på så sätt växte till att bli ett unikum för näringsidkare och konsumenter.
Företagens iver att utnyttja den nya tekniken bidrog till att säkerheten försummades, vilket
öppnade upp nya möjligheter för e-brottslingar. Dåtidens tillvägagångssätt och syften för ebrott skilde sig mycket mot dagens attacker. På den tiden var attackerna mer harmlösa och
innebar ett sätt att visa sina färdigheter inom datorteknik, men även telefoni och elektronik. I
takt med att Internet växte övergick istället en stor del av attackerna till att ha mer brottsligt
uppsåt för ekonomisk vinning, skadegörelse eller åtkomst till känslig information [ABHCC].
En av de mest ökända e-brottslingar som verkat under nittiotalet är amerikanen Kevin Mitnick
som 1995 greps för en rad datorrelaterade brott efter att ha varit den mest eftersöka
datorbrottslingen i USA:s historia [USDOJ]. Han gjorde sig känd för att attackera flertalet
nätverk och komma åt känslig källkod från bland annat Sun Microsystems, Novell, IBM,
Motorola och Fujitsu. Han blev en personifiering av det hot som dolde sig på det nyligen
explosionsartade Internet [FORBES]. Mitnicks metoder var innovativa och visade sig väldigt
framgångsrika. Han använde sig till stor del av Social Engineering och kunde på så vis med
enkla medel få åtkomst till avancerade datorsystem [WIKI1].
Dagens teknik
Dagens teknik utgörs av superdatorer och mångårigt framtagna krypteringsalgoritmer och
lösningar. Förutsättningarna för säkra datornätverk är långt bättre än i Internets barndom.
Flertalet av de krypteringsalgoritmer som används idag anses som ytterst säkra och är i
praktiken omöjliga att knäcka med den teknik som finns idag. Vanligast förekommande bland
banker och kreditkortslösningar på Internet är s.k. SSL-certifikat (Secure Socket Layer) och
består av ett flertal krypteringsnycklar som utbyts med autentiseringscertifikat.
Säkerhetsformen är ytterst användbar och säker eftersom trafiken är krypterad inuti en virtuell
tunnel över Internet, vilket betyder att sändaren och mottagaren förblir anonyma och endast
tunnelns ändpunkter förblir synliga [LUXSCI].
AES, Advanced Encryption Standard, är en allmänt förekommande krypteringsstandard som
anses vara säker. Den består av en algoritm där längden på krypteringsnyckeln kan
6
specificeras i antal bitar. Vanligast är 256-bitars krypteringslängd [WIKI2]. En äldre form av
allmänt förekommande kryptering som anses osäker idag är MD5 [IETF].
Vad är säkerhet?
Säkerhet är i själva verket en definition och utgörs fundamentalt av de krav som ställs. En bra
säkerhet skall dels skydda data men samtidigt vara anpassad efter hur känslig informationen
är. Obefogat hög säkerhet minskar användarvänligheten och medför högre belastning och fler
omkostnader. Vitalt är att användaren skall ha tillit till säkerheten och inte oroa sig för att
nyttja datorer, nätverk och andra system. Problem uppstår när användarna har en falsk känsla
av säkerhet eller inte har det tekniska kunnandet för att inse vad bra säkerhet innebär.
Attacker och metoder
Så länge det finns ett incitament för attacker, t.ex. ekonomisk vinning, kommer de alltid
utföras och det gäller för säkerheten att ligga ett steg före. Ytterst har dock användarna det
avgörande ansvaret då de har tillgång till ett nätverk som andra kan komma över och utnyttja.
Social Engineering
Social Engineering är en relativt vanlig typ av attack mot ett system, t.ex. ett företags nätverk.
Det är egentligen en form av bedrägeri då det går ut på att få åtkomst till datornätverk och
information genom ett socialt spel istället för genom teknisk kunskap. Metoderna som
används kan vara att utge sig för att vara supportpersonal, tekniker eller anställd på ett företag
och därigenom lura till sig exempelvis lösenord för större åtkomst. En utövare av Social
Engineering spelar på sin sociala förmåga att inge förtroende och få personers tillit. Offret
tappar då omdömet gällande säkerhet och delger information som annars skulle varit skyddad
[SECFO].
Ett exempel på hur Social Engineering fungerar är ett fall som beskrivs i artikeln ”Social
Engineering Fundamentals, Part I: Hacker Tactics” där en grupp människor utger sig för att
vara en viktig person på resa som stressat ringer till kontoret och ber om sitt lösenord, som
kontorspersonalen då ger honom. Förberedelserna inför den typen av attack är ganska lätta då
mycket information som behövs går att finna på företagets hemsida eller via ett telefonsamtal.
Eftersom de studerat hur personen de utger sig för att vara pratar kan de övertyga
kontorspersonalen som är rädda för att förarga sin stressade kollega eller chef [SECFO].
Skadlig mjukvara och hacking
Gemensamt för de flesta attacker är att de i massmedia och i folkmun kallas för ”hacking”.
Metoderna för att komma åt känsliga data, utnyttja system eller hindra åtkomsten till tjänster
är många. Grunden för de flesta attacker bygger på att skadlig mjukvara installerats på datorn
som möjliggjort åtkomst till datorns resurser. Mjukvaran är skriven av en person med tydliga
mål för vad den skadliga mjukvaran skall göra och installeras oftast av misstag av användaren
själv i samband med oförsiktighet på Internet. Det kan t.ex. vara virus i program som laddas
ned eller som är bifogade i E-post-bilagor, men en dator kan också infekteras av skadlig kod
enbart genom att besöka smittade hemsidor. De mest kända formerna av skadlig mjukvara är
virus och trojaner men det finns även andra, t.ex. s.k. rootkits och maskar. Beroende på vad
det är för mjukvara så kan attackeraren använda den infekterade datorn för olika ändamål,
t.ex. att datorn blir en s.k. zombiedator i ett botnet [MARKOFF].
7
En vanligt förekommande form av tillämpning för en infekterad dator är en s.k. DoS-attack
(Denial of Service) och är en typ av överbelastningsattack. Principen för en DoS-attack är att
överbelasta nätverk eller servrar så påtagligt att inga andra användare kan få åtkomst till
tjänsterna. Med hjälp av en större mängd infekterade zombiedatorer kan attackeraren få
tillgång till så mycket resurser att systemet blir otillgängligt upp till flera dagar beroende på
hur administratörerna motverkar attacken. DoS-attacker är vanliga mot knutpunkter som
Internetleverantörer, större företag, DNS-servrar eller statliga instanser [KARAG]. Syftet är
oftast hämnd, illvilja eller hot som indirekt kan gynna e-brottslingen i flera avseenden, t.ex.
genom att kräva pengar för att upphöra med attackerandet.
Undersökningar tyder på att 250 000 datorer världen över infekteras dagligen och blir
medlemmar i ett botnet. Det är ett extra stort problem då 80 % av spam och reklam skickas ut
från zombiedatorer som smittats [MARKOFF].
Lösenord
Den vanligaste formen av säkerhet består av ett lösenord. Användandet av lösenord har ökat i
takt med att fler hemsidor valt att implementera lösenordsystem i allt från chatprogram till edeklaration. Ofta ses lösenord som något irriterande och användaren väljer ett lätt lösenord
som används frekvent i flera andra inloggningssystem. Ett vanligt säkerhetsfel är att spara sina
inloggningsuppgifter i webbläsaren. På så vis kan andra personer lätt få tillgång till flera
hemsidors användarkonton.
Ett bra lösenord skall man helst komma ihåg i huvudet. Därför krävs att lösenordet är
tillräckligt lätt för att inte glömmas bort, men samtidigt innehålla tillräckligt många och
varierande tecken för att omöjliggöra en s.k. Brute Force-attack. Brute Force är en metod där
varje kombination av tecken provas vid en inloggning. Varje bokstav, tecken eller siffra sätts
ihop till olika kombinationer tills rätt lösenord slutligen hittas. För att påskynda processen
används en eller flera datorer då antalet kombinationer är otroligt många [WIKI3].
Ett bra lösenord skall innehålla minst åtta tecken. Dessa bör åtminstone blandas mellan
gemener, versaler och siffror. I tabellen nedan visas hur många kombinationer som kan fås
fram beroende på lösenordets längd och vilka tecken det innehåller.
Antal tecken
Bokstäver (26)
Gemener/
versaler/ siffror
(62)
Gemener/versaler/
siffror/specialtecken
(94)
4
0,5
15
78
6
309
57 000
690 000
8
209 000
218 000 000
6 000 000 000
Tabell 1 - Siffrorna är skrivna i miljontals kombinationer. Siffrorna inom parentes betecknar antalet
möjliga tecken.
Från tabellen kan direkt konstateras att antalet kombinationer stiger väldigt snabbt med
längden och teckenkombinationer. Ett lösenord med åtta tecken som använder sig av stora och
små bokstäver tillsammans med siffror och specialtecken anses ytterst säkert för de flesta
ändamål. En teoretisk tid att knäcka ett sådant lösenord skulle uppgå till 7392 dagar för en
dator som kan prova 10-20 miljarder lösenord i timmen [MANDYL].
8
Dåliga exempel på lösenord
Det finns många exempel på vanligt förekommande lösenord som är säkerhetskritiska.
Säkerheten utgörs inte endast av lösenordets längd utan också dess innehåll. Brute Forcemetoder kan även använda ordlistor för att knäcka lösenord. Dessa ordlistor innehåller en stor
mängd ord och fraser på de vanligt förekommande lösenorden som används. Därför skall
också lite fantasi inkluderas i valet av lösenord samtidigt som vanligt förekommande ord,
namn och utryck exkluderas.
Ett exempel på en hemsida där användarnas lösenord har analyserats visar att:
Procent





16% innehöll en persons förnamn
14% var lätta tangentbordskombinationer, t.ex. qwerty
4% var variationer av ordet ”password”
5% var populärkultursreferenser, t.ex. blink182
4% refererar saker i närheten, t.ex. tillverkaren av skärmen.
40
35
30
25
20
15
10
5
0
1
2
3
4
5
6
7
8
9
10
11
Antal tecken
Figur 1 - Diagrammet visar hur många tecken lösenorden på hemsidan innehöll. De allra flesta
lösenord innehöll 4-8 tecken med sex tecken som det vanligaste [DARKRE].
De vanligaste lösenorden som uppkommer i de flesta lösenordsundersökningar är enligt
[PCMAG]:










”password”
”123456”
”qwerty”
”abc123”
”letmein”
”monkey”
“myspace1”
“password1”
“blink182”
“<förnamn>”
9
E-post och chat
Att använda sig av webbaserad e-post har blivit allt vanligare. Problemet med dessa är att
kontot och e-posten blir mer utlämnad vilket de flesta inte tänker på och ett starkt lösenord
blir då ännu viktigare. Det finns tydliga fall där otillåtna personer fått tillgång till politiker och
kändisars e-postkonton på grund av dåliga lösenord och säkerhet.
Även chatprogram som MSN Messenger, ICQ och webbaserade chatforum dras med
säkerhetsproblem då datatrafiken skickas okrypterad, vilket i synnerhet är problematiskt för
trådlös kommunikation. Trots detta används tjänsterna för att skicka personlig information,
bankkontonummer och kreditkortsnummer mellan användare, trafik som oärliga personer med
kan få tag i.
Internetbanker och betalsystem
Då bankärenden introducerades på Internet har säkerheten ökat markant. Säkerheten hos
Internetbanker idag är generellt väldigt hög, i synnerhet i samband med en s.k. säkerhetsdosa.
Dosan använder sig vanligen av en algoritm som genererar en inloggningskod från en tillfällig
kod på bankens inloggningssida. Koden gäller bara en kort tid vilket motverkar insamling av
koder, s.k. sniffning. På det viset kringgår man problem med personliga lösenord som medför
låg säkerhet. Förutom dosan används också ett certifikat i samband med någon tunnelmetod
för att undgå s.k. man-in-the-middle-attacker där en attackerare på något sätt kan avlyssna
trafiken [PTS].
De flesta äger ett betalkort av någon form. Det används dels i fysiska butiker, dels i handel på
Internet. Betalkorten bygger på en princip som är föråldrad och osäker men alltför utbredd för
att byta över en natt [BSTRM]. Därför pratas det frekvent i press och media om kapade
kontokort och säkerhetsproblem med Internethandel. Kapningen av kontokortsnummer kan
kringgås med användandet av s.k. e-legitimation eller e-kort. Här döljs det ursprungliga
kortnumret och ersätts med en unik identifikation ämnat enbart för tänkt transaktion [PTS].
Hur man upprätthåller säkerhet
Det gäller att fortlöpande se om sin dator och se över sin utrustning så att den möter kraven på
bra säkerhet. Alla mjukvaror från operativsystem till krypteringsprotokoll dras med
säkerhetsluckor som kan justeras med hjälp av uppdateringar som släpps efterhand. Vissa
uppdateringar är det upp till 30 % av användarna som ignorerar vilket leder till att kända
säkerhetshål finns kvar för illvilliga personer att utnyttja. Därför är en uppdaterad dator en av
de enklaste och viktigaste metoderna för att hålla en förbättrad säkerhetsnivå [IDG].
Företagspolicy
Ett företag som inkluderar flertalet användare och någon form av känslig information bör
använda sig av en säkerhetspolicy. Policyn skall innehålla fakta om vad som är tillåtet och inte
tillåtet att göra med datorer och nätverk. Bland annat innefattar det hur ett lösenord skall se ut
och hur det förvaras. I många fall är det vanligt att förvara lösenord under tangentbordet eller
på en post-it-lapp på skärmen, vilket kan förbjudas med en policy. Övrigt som tas upp av en
policy kan vara hantering av backup och vilka som får ha tillgång till känslig information. En
rad andra detaljer som skyddar datainformationen från slarviga användare kan också tas med i
policyn. En policy är ett enkelt sätt att få en enhetlig och tydlig bild av hur säkerheten skall
hanteras.
10
SLUTSATSER
Ur de artiklar vi studerat framgår att säkerhetshål konstant upptäcks och täpps till men att det
fortfarande finns säkerhetsbrister att åtgärda. Trots upprepade råd och påmaningar från
massmedia och experter fortsätter användare att ignorera de risker som finns när de använder
datorer och Internet. Kunskap är nyckeln till att använda Internet på ett säkert sätt.
Lösenord är ett område som kan förbättras avsevärt. Vi har sett hur osäkra lösenord som
fortfarande används och hur ett mer komplicerat lösenord förbättrar säkerheten betydligt.
Datorsystem kan kommas åt genom tekniskt kunnande vilket innebär att en person utnyttjar
ett säkerhetshål, t.ex. m.h.a. skadlig programvara. Har man inte tekniskt kunnande kan man
dra nytta av sin sociala kunskap för att utnyttja användarnas tillit och komma över lösenord
och känsliga data.
11
REFERENSER
Internetreferenser
[ABHCC] Kabay, M.E. ”A Brief History of Computer Crime: An Introduction for Students”.
Mekabay.com 2008 [citerad 5 Mars 2009]
< http://www.mekabay.com/overviews/history.pdf>
[BSTRM] Byström, Daniel. ”Risker med betalkort: Teknisk översikt och etiska
implikationer”. KTH 15 Maj 2007 [citerad 5 Mars 2009]
<http://web.it.kth.se/~johanmon/theses/bystrom.pdf>
[DARKRE] Graham, Robert. ”PHPBB password analysis”. Dark Reading 6 Feb 2009,
[citerad 23 Feb 2009]
<http://www.darkreading.com/blog/archives/2009/02/phpbb_password.html >
[FORBES] Greenberg, Andy. “Reformed Hacker Looks Back”. Forbes.com 21 Aug 2008,
[citerad 17 Feb 2009]
<http://www.forbes.com/2008/08/21/mitnick-hackers-security-tech-securitycx_ag_0821mitnick.html>
[IDG] Jenselius, Michael. “1 av 3 Windowsanvändare struntar i viktig uppdatering”. PC för
alla, IDG.se 16 Jan 2009 [citerad 23 Feb 2009]
<http://www.idg.se/2.1085/1.205883/1-av-3-windowsanvandare-struntar-i-viktiguppdatering>
[IETF] Rivest, Ronald L. “The MD5 Message-Digest Algorithm”. Internet Engineering Task
Force RFC1321 April 1992, [citerad 25 Feb 2009]
<http://tools.ietf.org/html/rfc1321>
[LINSEC] Chambers, Chris. Dolske, Justin. Iyer, Jayaraman. “TCP/IP Security”.
Linuxsecurity.com, [citerad 5 Mars 2009]
<http://www.linuxsecurity.com/resource_files/documentation/tcpip-security.html>
[LUXSCI] Kangas, Erik. “How does Secure Socket Layer (SSL or TLS) work?”. LuxSci 14
Mars 2005, [citerad 17 Feb 2009]
<http://luxsci.com/info/about_ssl.html>
[MANDYL] Mandylion Research Labs, “BFTCalc”. Mandylion Research Labs, [citerad 23
Feb 2009]
<http://www.mandylionlabs.com/documents/BFTCalc.xls>
[PCMAG] PC Magazine. “Ten most common passwords”. PC Magazine 18 Apr 2007,
[citerad 23 Feb 2009]
<http://www.pcmag.com/article2/0,1895,2113976,00.asp>
[PTS] Post- och telestyrelsen. ” Bankärenden”. PTS, [citerad 23 Feb 2009]
<http://www.pts.se/sv/Internet/Internetsakerhet/For-hemmet/Bankarenden/>
12
[SECFO] Granger, Sarah. ”Social Engineering Fundamentals, Part I: Hacker Tactics”.
Securityfocus 18 Dec 2001, [citerad 24 Feb 2009]
<http://www.securityfocus.com/infocus/1527>
[USDOJ] Mayorkas, Alejandro N. och Mrozek, Thom. “Kevin Mitnick sentenced to nearly
four years in prison”. United States Department of Justice 9 Aug 1999, [citerad 17 Feb 2009]
<http://www.usdoj.gov/criminal/cybercrime/mitnick.htm>
[WIKI1] ”Kevin Mitnick”. Wikipedia, [citerad 17 Feb 2009]
<http://en.wikipedia.org/wiki/Mitnick>
[WIKI2] “Advanced Encryption Standard”. Wikipedia, [citerad 25 Feb 2009]
<http://en.wikipedia.org/wiki/Advanced_Encryption_Standard>
[WIKI3] “Brute Force attack”. Wikipedia, [citerad 25 Feb 2009]
<http://en.wikipedia.org/wiki/Brute_force_attack>
[WIKI4] “Black Hat”. Wikipedia, [citerad 5 Mars 2009]
< http://en.wikipedia.org/wiki/Black_hat>
[WIKI5] “Phishing”. Wikipeda, [citerad 5 Mars 2009]
< http://en.wikipedia.org/wiki/Phishers>
[WIKI6] ”Hacker (computer security)”. Wikipedia, [citerad 5 Mars 2009]
< http://en.wikipedia.org/wiki/Hacker_(computer_security)>
Bildreferenser
Framsidans illustration: spekulator.“Stock Photo – Top Secret”. [citerad 25 Feb 2009]
<http://www.sxc.hu/photo/637885>
Artikelreferenser
[KARAG] Karagiannis, Konstantinos. ”DDoS: Are You Next?”. PC Magazine, Vol. 22, Jan
2009, [citerad 25 Feb 2009]
[MARKOFF] Markoff, John. ” Attack of the Zombie Computers Is a Growing Threat, Experts
Say”. New York Times 7 Jan 2007, [citerad 25 Feb 2009]
13