torsdag den 7. juli 2011

Hvad er værst: Inkompetence eller bedrag?

Man skal åbenbart bare være stor nok, så kan man slippe let hen over at informere om sådanne emner...

Yesterday Dillon Beresford announced and ICS-CERT confirmed that the Siemens’ S7-200, S7-300 and S7-400 families of PLC’s suffered from the same replay vulnerability as the S7-1200. Siemens had not announced this even though they have had the information for over two months now and had an opportunity to discuss the issue directly with customers last week at the Automation Summit.

There are only two bad choices why Siemens failed to disclose this to their customers:
  • Incompetence: Siemens top security talent and engineers were unable to figure out that the replay attack on the S7-1200 did in fact work against the other S7 PLC’s. The big boys that are used in more critical systems. Dillon Beresford was able to confirm this in less than a week, in off hours/spare time, once he got his hands on a S7-300.
  • Deception: Siemens knew this very early and chose not to tell their customers. Most importantly they chose to deceive their customers last week at the Automation Summit with lies of omission and by making forceful statements that all of the S7-1200 vulnerabilities had been patched.
Unlike Stuxnet where evidence points to incompetence or at best ignorant bliss, this case was almost surely deception. And it worked for at least a week as Automation Summit attendees where singing the praises of Siemens new commitment to security.
Læs hele artiklen her: http://www.digitalbond.com/2011/07/06/whats-worse-incompetence-or-deception/

fredag den 24. april 2009

Ny orm hygger sig med gammel fremgangsmåde

Har du fået en mail fraWorldPay, så hold nallerne væk fra den vedhæftede zip-fil. Indholdet er ikke en faktura som påstået - men en orm der går efter netbanken.

Ny orm, samme advarsel. Oven i købet i TV-avisen. Det til trods for, at det er den samme advarsel som bruges til alle orme, trojanere og malware generelt. Ja faktisk den samme advarsel som jeg har været med til at udbrede de sidste 10 år.

Til trods for, at der står en pc i så godt som alle hjem, så løftes en enkelt specifik sag op som noget helt enestående. Fakta er, at fremgangsmåden med at vedhæfte malware til en e-mail, egentlig er yderst gammeldags. Forskellen er, at denne får stemplet "farlig", da den er en banker worm. Havde den blot slettet feriebillederne - så var den aldrig kommet på TV. Sørgeligt.

Men de virkelige "komplicerede" spredningsmetoder, så som inficerede websider der spreder Zero Day malware via advancerede scripts, dem skøjtes der let hen over af den tunge presse. Begrundelsen er, at det er alt for tungt stof for den gennemsnitlige dansker. Aha.

Deraf må man konkludere, at de metoder der bruges til spredning af ondsindet software UDEN brugeren opdager det, skal danskerne ikke informeres om i de store medier. Det er for kompliceret og folk må så selv opsøge informationen. Catch 22!

Computere, Internet, hacking, malware og misbrug er og bliver en del af vores hverdag nu og langt ud i fremtiden. Jeg gætter på, at mine kommende børnebørn vil sidde med de samme problemer når de når en vis alder. Angrebsmetoderne har nok ændret sig - for det er teknologien. Men målet vil stadig være det samme: Penge!

Hvor ville det efterhånden være glædeligt, hvis nogle af de store medier lod være med at omgære disse dagligdagsting med afstandstagende mystik - og i stedet tog tyren ved hornene og hjalp til med at oplyse og løfte den laveste fællesnævner.

Opgaven vil være stor, hvis det skal gøre ordentlig, men ikke uoverkommelig. Resultatet vil være yderst givtigt. Ikke kun for den ældre generation (der altid trækkes frem som værende dem der ikke forstår det) - men også for Generation Y der aldrig har kendt en verden uden e-mail, Messenger og Internet.

torsdag den 26. marts 2009

Symantec datalækage undersøges

BBC journalister købte kreditkortinformation, der angiveligt stammer fra et callcenter med blandt andet Symantec kunder. Myndighederne er nu i gang med at undersøge, hvordan disse Symantec kunder faldt i hænderne på identitetstyve.

Den rygende pistol peger i retning af en medarbejder i det indiske callcenter, e4e, men har endnu ikke givet håndfaste beviser. Symantec har overdraget alt den information de lå inde med - og påtænker nu at terminere kontrakten med e4e.

Det var en journalist fra British Broadcasting Corporation (BBC) der omkring midten af marts fik fat i navne, adresser og kreditkortinformationer på 14 personer, hvoraf tre var Symantec kunder. De blev solgt af en mand der senere er identificeret som Saurabh Sachar - bosiddende i Delhi. Han angiver selv, at informationen kommer fra callcenterts telefonsalg, hvor hver af de tre kunder havde købt Symantec software over telefonen.

En talsmand fra Symatec har i den forbindelse sagt, at man ikke tidligere har haft problemer med e4e - og regner med det er en isoleret hændelse. Det har dog været en gang for meget, for Symantec er allerede ved at undersøge mulighederne for at flytte funktionerne over til en anden partner.

E4e har afvist alle beskyldninger, i offentlige rapporter, men den mistænkte medarbejder er alligevel bortvist medens politiets undersøgelser finder sted. Symantec talsmanden har skyndt sig at angive, at kunderne stadig kan købe software over telefonen - men de normale telefonnumre nu viderestilles til andre lokaliteter.

Se BBC's nyhed her.