fredag den 24. april 2009

Ny orm hygger sig med gammel fremgangsmåde

Har du fået en mail fraWorldPay, så hold nallerne væk fra den vedhæftede zip-fil. Indholdet er ikke en faktura som påstået - men en orm der går efter netbanken.

Ny orm, samme advarsel. Oven i købet i TV-avisen. Det til trods for, at det er den samme advarsel som bruges til alle orme, trojanere og malware generelt. Ja faktisk den samme advarsel som jeg har været med til at udbrede de sidste 10 år.

Til trods for, at der står en pc i så godt som alle hjem, så løftes en enkelt specifik sag op som noget helt enestående. Fakta er, at fremgangsmåden med at vedhæfte malware til en e-mail, egentlig er yderst gammeldags. Forskellen er, at denne får stemplet "farlig", da den er en banker worm. Havde den blot slettet feriebillederne - så var den aldrig kommet på TV. Sørgeligt.

Men de virkelige "komplicerede" spredningsmetoder, så som inficerede websider der spreder Zero Day malware via advancerede scripts, dem skøjtes der let hen over af den tunge presse. Begrundelsen er, at det er alt for tungt stof for den gennemsnitlige dansker. Aha.

Deraf må man konkludere, at de metoder der bruges til spredning af ondsindet software UDEN brugeren opdager det, skal danskerne ikke informeres om i de store medier. Det er for kompliceret og folk må så selv opsøge informationen. Catch 22!

Computere, Internet, hacking, malware og misbrug er og bliver en del af vores hverdag nu og langt ud i fremtiden. Jeg gætter på, at mine kommende børnebørn vil sidde med de samme problemer når de når en vis alder. Angrebsmetoderne har nok ændret sig - for det er teknologien. Men målet vil stadig være det samme: Penge!

Hvor ville det efterhånden være glædeligt, hvis nogle af de store medier lod være med at omgære disse dagligdagsting med afstandstagende mystik - og i stedet tog tyren ved hornene og hjalp til med at oplyse og løfte den laveste fællesnævner.

Opgaven vil være stor, hvis det skal gøre ordentlig, men ikke uoverkommelig. Resultatet vil være yderst givtigt. Ikke kun for den ældre generation (der altid trækkes frem som værende dem der ikke forstår det) - men også for Generation Y der aldrig har kendt en verden uden e-mail, Messenger og Internet.

torsdag den 26. marts 2009

Symantec datalækage undersøges

BBC journalister købte kreditkortinformation, der angiveligt stammer fra et callcenter med blandt andet Symantec kunder. Myndighederne er nu i gang med at undersøge, hvordan disse Symantec kunder faldt i hænderne på identitetstyve.

Den rygende pistol peger i retning af en medarbejder i det indiske callcenter, e4e, men har endnu ikke givet håndfaste beviser. Symantec har overdraget alt den information de lå inde med - og påtænker nu at terminere kontrakten med e4e.

Det var en journalist fra British Broadcasting Corporation (BBC) der omkring midten af marts fik fat i navne, adresser og kreditkortinformationer på 14 personer, hvoraf tre var Symantec kunder. De blev solgt af en mand der senere er identificeret som Saurabh Sachar - bosiddende i Delhi. Han angiver selv, at informationen kommer fra callcenterts telefonsalg, hvor hver af de tre kunder havde købt Symantec software over telefonen.

En talsmand fra Symatec har i den forbindelse sagt, at man ikke tidligere har haft problemer med e4e - og regner med det er en isoleret hændelse. Det har dog været en gang for meget, for Symantec er allerede ved at undersøge mulighederne for at flytte funktionerne over til en anden partner.

E4e har afvist alle beskyldninger, i offentlige rapporter, men den mistænkte medarbejder er alligevel bortvist medens politiets undersøgelser finder sted. Symantec talsmanden har skyndt sig at angive, at kunderne stadig kan købe software over telefonen - men de normale telefonnumre nu viderestilles til andre lokaliteter.

Se BBC's nyhed her.

tirsdag den 17. marts 2009

Superhacker lukket ude af Facebook

Den tidligere superhacker, Kevin Mitnick, der opfandt begrebet Social Engineering og blandt andet hackede sig ind i Pentagon, Santa Cruz Operation (SCO), Digital og Tsutomu Shimomura - blev afvist fra sin egen Facebook profil.

Det er lidt komisk, at den person som grundlagde det moderne begreb af Social Engineering i forbindelse med hacking - blev lukket ude fra sin egen profil på det sociale netværk Facebook. Hvor han i utallige tilfælde har overbevist folk om, at han var en anden (for at indhente yderligere information) - kunne han ikke overbevise Facebooks personale om, at nu var han den ægte vare.

Situationen skal naturligvis ses i relation til, at Facebook oplever tusindvis af falske profiler blive oprettet i andres navne. Enten for at udnytte den trafik der sendes i profilens retning - eller for at skade personen direkte såvel som indirekte. I Kevin Mitnicks tilfælde findes der mindst 72 profiler som relaterer til hans navn på den ene eller anden måde.

I et telefoninterview til CNet siger Kevin Mitnick (med lidt spøg i stemmen): "Det har frustreret mig lige til slutningen. Jeg plejede at være særdeles overbevisende når jeg skulle udgøre mig som værende en anden. Og nu kan jeg ikke engang bevise at jeg er den rigtige Kevin Mitnick. Det er næsten sørgeligt".

Der gik faktisk to år før Facebook greb ind overfor hans profil. Derfor var han rimelig overrasket, da han den 22. februar i år ikke længere kunne logge sig ind. Han forsøgte efterfølgende at overbevise Facebook om, at han var den ægte vare ved, at sende en e-mail fra sit nuværende it-sikkerhedsfirmas konto, Mitnick Security Consulting.

Men, det er Facebooks politik ikke at reagere på e-mails sendt fra en anden konto end den som profilen er oprettet under. Så derfor blev hans forklaringer afvist prompte.

En talsmand fra Facebook forklarer dette med, at de er meget aggressive i forbindelse med at håndhæve "real name" kulturen og der til tider sker en smutter. Facebook påpeger at det ikke sker ret ofte - og det nu er rettet i Kevin Mitnicks tilfælde (Red: efter CNets henvendelse).

Fjæsbogens mange sider
Der har været megen debat om Facebook - og senest med beskyttelse af personlige oplysninger. Nogle virksomheder har valgt at lukke af for adgangen til Facebook, da nogle medarbejdere ikke kan styre deres forbrug eller den publicerede information på siderne.

Det syntes jeg personligt er helt i orden. Selvom man ikke skal skære alle over en kam, så er der nogle personer der ukritisk publicerer information - som de ellers kun ville melde ud i en 200 hk brandert. Det er som om, at de naturlige parader (omtanke) i nogle tilfælde sænkes.

Da Facebook samtidig er et yndet mål for hackere og malwareudviklere, grundet de mange personerder er samlet ét sted, og derfor en potentiel kilde til inficering. Det er såmen kun nogle få uger siden, at Facebook sidst var mål og middel for en malwarekampagne. Og der vil bestemt ikke komme færre forsøg i fremtiden.

Af samme grund har Forbrugerrådet også taget denne problemstilling op - omend deres fokus er på usikkerheden for individets personlige data. De skriver eksempelvis: "Forbrugerrådet frygter imidlertid, at markedet for persondata er så uigennemsigtigt og ukontrolleret, at det er umuligt for forbrugerne at overskue konsekvenserne af denne omfattende indsamling og udnyttelse af private oplysninger".

lørdag den 14. marts 2009

Tim Kretschmers chat er en hoax

Kort efter tragedien i den sydtyske by Winnenden, florerede der citater i medierne et fra en chat morderen angiveligt skulle have haft natten forinden massedrabene. Men det har nu vist sig, at det med stor sandsynlighed er en forfalskning.

Da den 17-årige psykisk syge Tim Kretchmer gik amok på sin gamle skole, afgav han 112 skud der resulterede i, at15 uskyldige mennesker mistede livet. Kort efter dukkede der screen-shots op af en chat han skulle have haft natten forinden hans ugerning.

Her skulle han blandt andet have sagt, at han var træt af sit elendige liv, havde våben, og mente det alvorligt når han sagde, at han ville tage hen på sin gamle skole og "grille dem". Men tysk politi har ikke har kunnet finde nogen beviser på Tim Kretchmers computer.

Både tyske medier, eksempelvis Der Spiegel online, og Baden-Württembergs indenrigsminister, Heribert Rech, faldt ellers for denne syge forfalskning - som en næsten lige så forstyrret person har udnyttet sine kreative evner til at udarbejde i Photoshop.

Spørgsmålet er nu, om der er it-kriminelle der vil overskride den etiske grænse og lokke nysgerrige ind på angrebssider, under dække af, at siden har de originale screen-shots - samt endnu ikke publiceret materiale. Måske kombineret med spam-mails som reklamemedie?

Det er set før. Storm botnettet introducerede sig selv på en lignende måde i januar 2007, hvor bagmændene lokkede nysgerrige ind på angrebssider ved hjælp af spam med overskrifter som "230 dead as storm batters Europe".

Se baggrunden for dette blog-indlæg her: German school shooter didn't announce anything on the internet.

fredag den 13. marts 2009

Downadup/Conficker Removal Tool fra BitDefender

Downadup/Conficker ormen har indbygget muligheden for, at spærre adgangen til en bred vifte af websites tilhørende antivirusvirksomheder. BitDefender påstår de er først med et Removal Tool der kan både kan fjerne alle spor af ormen - og samtidig hentes fra en side der ikke er spærret for.

Den 11. marts 2009 frigav BitDefender en nyhed på deres web om, at de har udviklet et værktøj der kan fjerne alle spor af Downadup/Conficker ormen. De angiver samtidig (lidt vovet), at de er først med et sådan værktøj.

De har placeret bd_rem_tool.zip på et website som ikke eksisterer på den blokeringslisten som Downadup/Conficker har indbygget og skriver ned i hosts-filen. Dermed skulle det være muligt for inficerede brugere at hente dette removal tool og få renset deres system.

Det er vigtigt, at værktøjet køres med administrative rettigheder - for at få ubeskåret adgang til Windows systemet. BitDefender anbefaler samtidig også, at maskinen genstartes efter der er renset op, således adgang til nettet igen kan etableres.

Det skal nævnes, at andre antivirusproducenter har tilsvarende værktøjer. Hos Norman kan man eksempelvis hente Norman Malware Cleaner, der også har medicin mod Downadup/Conficker ormen indbygget.

I øvrigt skulle dette domæne være okay og tilhører BitDefender. Se Robtex informationen her.

Andre
removal tools
Symantec W32.Downadup Removal Tool
F-Secure Worm:W32/Downadup.AL

Conficker skaber kaos for norsk politi

Det norske politi blev i går ramt af Conficker ormen, hvilket skabte kraftige problemer og fik systemerne til at gå ned over hele landet. Både paskontrol og operationscentraler var lammet fortæller Digi.no.

I går kæmpede det norske politis data- og materieltjeneste (PDMT) med at identificere og bekæmpe et udbrud af Conficker ormen i deres systemer. Ormen havde også tidligere på dagen lammet Helse Vest og Nord-Trøndelag fylkes kommune.

Konsekvensen af Confickers hærgen var langt mere vidtrækkende end som så, da politiets operationscentraler ikke kunne komme på nettet og paskontorerne måtte lukke da medarbejderne ikke kunne få adgang til vigtige sagsakter.

I Oslo lufthavn, Gardermoen, blev politiet nød til at lukke rejsende ind uden at tjekke dem i deres registre først. Det er ellers normal procedure, men kunne ikke lade sig gøre medens teknikere kæmpede med at få kontrol over situationen.

Mere end 1000 af politiets computere er angiveligt inficeret med malwaren - og det er geografisk set fordelt over hele Norge. Dette omfattende udbrud kommer blot et par uger efter, at Kripos (den norske afdeling for bekæmpelse af organiseret og anden alvorlig kriminalitet) blev ramt af et lignende nedbrud.

Naturligvis forsøger norsk politi at afdramatisere hændelsen. I en pressemeddelelse udsendt i går eftermiddag siger de, at "gode rutiner beskyttede politiet mod virusangrebet". Norsk politi understreger, at det normale beredskab ikke har været påvirket - og alle henvendelser fra norske borgere har været håndteret på normal vis.

Opdatering kl. 14.15
En af grundene til, at dette er gået så galt for det norske politi kan skyldes, at de tilsyneladende stadig har gamle Windows NT 4.0 systemer kørende. Nogle af deres systemer har oven i købet ikke være været patched - og andre igen har været helt uden antivirusbeskyttelse.

Faktisk passer missæren så fint ind i det som Microsoft sikkerhedsrådgiver for EMEA, Roger Halbheer, angav som værende de største syndere i forbindelse med Conficker. Du kan læse mere om Roger Halbheers udtalelser her.

torsdag den 12. marts 2009

Humor ind i it-sikkerhed

Skræmmekampagner og kolde fakta er den normale måde, at virksomheder med fokus på it-sikkerhed leverer information til sine kunder. Rumænske CoSoSys vil nu overbringe deres information med humor i form af en ugentlig stribe.

Jeg sad tidligere idag og læste Trend Micros seneste kampagne, "Think Again / Outthink the Threat", hvor de benytter den traditionelle fremgangsmåde at få deres budskab ud. Ved hjælp af nøgtern og saglig information vil de oplyse og præge læserens tanker og holdninger. Fokus er på den seneste type data-stjælende malware - og de højest aktuelle problemer det bringer med sig.

Kontrasten kom kort efter, hvor jeg snublede over den rumænske sikkerhedsvirksomhed, CoSoSys, der blandt andet sælger systemer til Device Control Management. Altså kontrol af hvilke enheder der kan kobles til computeren og netværket.

CoSoSys har valgt en lidt anden strategi til at informere og oplyse. De vil fremover køre en ugentlig stribe på deres web, som tager et relevant emne op. Den første udgave omhandler Data Theft - og de efterfølgende vil have overskrifterne Data Leakage, Data Loss og Malware Intrusion.

Jeg fandt dette tiltag morsomt og skyndte mig at smide linket videre til nogle stykker på MSN. Til spørgsmålet om personerne ville købe hos dette firma, så var svarene meget delt. En svarede "Nej, jeg synes ikke det virker helt seriøst" - og som kontrast - "Ja, det er jo sandt og reklamemæssigt er det nytænkning". Der kom også et par "muligvis".

Humor ind i it-sikkerhedsmarketing
Med denne højest uvidenskabelige undersøgelse i mente, drejede tankerne sig i en anden retning. Udgangspunktet for alt salg munder ud i et behov. Men hos mange kunder i branchen opstår behovet oftest reaktivt. Med andre ord skal noget gå galt før man kryber til lommerne.

Men kan den normale formidling af it-sikkerhedsinformation have en større finger med i spillet end først antaget. Har CoSoSys fat i noget af det rigtige med denne type markedsføring. Kan denne blanding af humor og alvor skabe det behov hos de kunder der normalt glider let hen over den traditionelle formidlingsform?

Humor i marketingsregi er jo ikke noget nyt i sig selv. Vi ser det eksempelvis i de reklameblokke der vises på TV. Så det må være branche- og produktanhængigt. Og i de situationer, hvor det er brancherelateret, så er det oftest rettet mod afslapning. Et eksempel er ComONs Dilbert.

Hvis du eller din virksomhed overvejer at gå samme vej og bruge humor i jeres marketing, så vil det være en god idé at læse følgende: Humor in Marketing: Six Serious Tips.

onsdag den 11. marts 2009

Information is King - Pifts har en forklaring

De seneste dage har der virkelig været lagt i kakkelovnen til den helt store konspirationsteori. Symantecs noget underlige reaktion på filen PIFTS.EXE, er blevet diskutteret på fora af høj og lav. Til trods for det hele nu er manet i jorden, så har malware udviklerne ikke været sene til at udnytte muligheden.

Det hele startede lidt uskyldigt. Den 9. marts begyndte nogle brugere af Symantecs sikkerhedssuite at undrede sig over et nyt og ukendt program, PIFTS.EXE, pludselig trickede firewallen. Da de ikke umiddelbart kunne finde information om filen, blev der oprettet indlæg på Symantecs forum. Af uforklarlige årsager valgte Symantec at fjerne disse indlæg. Og så startede balladen.

Kunne Symantecs software være ramt af malware som de ikke ønskede at komme ud med? Hvis det var en del af softwaren, hvorfor blev de releaterede forumindlæg så fjernet? Hvorfor kom der ikke klare udmeldinger fra Symantec om PIFTS formål? Hvorfor ville programmet forbinde sig til en statistik-server i det ene tilfælde og til en afrikansk IP i et andet? Der var pludselig flere spørgsmål end svar - den direkte vej til e-panik :o)

Det befriende svar
Symantecs forum er der så endelig kommet klar besked fra Dave Cole, Senior Director of Product Management i Symantec. Pifts.exe er en diagnostiserings patch rettet mod Norton Internet Security og Norton Antivirus 2006/2007. Grundet en menneskelig fejl, blev den første version frigivet usigneret, hvilket var årsagen til firewallen slog alarm. Pifts.exe skulle angivelig bruges af Symantec til at bestemme, hvor mange brugere der behøvede at få en nyere version i relation til kommende Windows 7.

Som tidligere ansat i en antivirusvirksomhed, kan jeg godt huske en lignende sag for flere år tilbage (omkring 2002/2003). Her var den aktuelle version ved at blive klargjort til en rullende opdatering til næste version. I den forbindelse introducerede man et nyt modul, som også trickede firewallen. Der var en helt naturlig forklaring, men brugerne var ikke blevet informeret godt nok. Det afledte både en kæmpe supportbobbel - og en komplet ændring af proceduren for udgående information rettet mod slutbrugeren.

Men det er jo 6-7 år siden i skrivende stund. Forskellen fra dengang og til nu er, at brugerne er blevet meget mere bevidste og vidende om de benyttede sikkerhedsprodukter. Når man som sikkerhedsvirksomhed prædiker eftertænksomhed - så svinger døren begge veje. Kort sagt: Information is King!

Malware, dit navn er Pifts
Missæren har så afledt, at malware udviklere har øjnet en chance for at udnytte situationen. Det er rapporteret flere steder fra, at inficerede websites nu forsøger at installere malware når man besøger dem for at indhente oplysninger om Pifts.exe. Der findes også sites (.ru og .ch), hvor man direkte kan hente filen, med den medfølgende forklaring, at det er Symantecs opdaterede og godkendte version. *LOL*

Symantec tager dette yderst alvorlig. De advarer brugere mod at følge links til ukendte websites, da ondsindede personer nu forsøger at udnytte dette varme emne til at sprede malware.

Yderligere information
Google søgning: http://www.google.com/search?q=intext%3Apifts.exe

lørdag den 7. marts 2009

Conficker opruster til e-krig

Ny variant af Conficker/Downadup ormen opruster til e-krig. Den distribueres til allerede inficerede systemer - og går målrettet efter at afbryde antivirussoftware og forskellige sikkerheds- og analyseværktøjer.

Symantec meddeler på deres blog, at de har fundet en ny variant af Conficker/Downadup ormen, der i første udgave startede sin hærgen i slut oktober 2008. Den nyopdagede C-variant har fået indbygget selvforsvarskode - og forsøger nu at bevare kontrollen over de allerede inficerede computere. Botnet bagmændene tager kampen op for at beholde deres zombier.

Helt specifikt forsøger den at stoppe kørende processer, som kan bruges til enten at identificere, fjerne eller reducere ormens arbejdsmuligheder. Det er processer med følgende strengtekster den går efter: Wireshark, unlocker, tcpview, sysclean, scct_, regmon, procmon, procexp, ms08-06, mrtstub, mrt., mbsa., klwk, kido, kb958, kb890, hotfix, gmer, filemon, downad, confick, avenger og autoruns.

En anden indikator er en 200 ganges forøgelse i den domænegenerator den har indbygget, rettet mod kommunikation med Command & Control Servere. I B-varianten genererede den 250 domæner pr dag - som Conficker tjekkede for nye opdateringer. Men i C-varianten er listen øget til 50.000 domæner om dagen! Når blot én inficeret computer frem til en C&C server, så kan den efterfølgende opdatere andre ved hjælp af peer-2-peer funktionalitet.

Vincent Weafer, Vice President, Symantec Security Response, siger til Networkworld, at de endnu kun har set varianten som en opdatering sendt til en eksisterende udgave i en honeypot - men det sandsynligvis kun er et spørgsmål om tid før den er selvspredende.

Samtidig mener Vincent Weafer, at den verdensomspændende oprydningsindsats har reduceret
antallet af nuværende Conficker/Downadup inficeringer - fra flere millioner til størrelsesordnen hundredtusinde. Trods en positiv nedgang - så er antallet stadig overvældende.

Selvom det er påfaldende defensive tiltag denne tidlige analyse fremhæver, så er jeg sikker på, at denne drejning ikke må tolkes som et svaghedstegn i sig selv. Det er nærmere en indikator på, at bagmændene er omstillingsparate og vil prøve alt for at bevare deres botnet.

Måske har bagmændene læst The Art of War af Sun Tzu. Deres nuværende strategi passer i hvert fald meget godt med dette citat: Invincibility lies in the defence; the possibility of victory in the attack.

fredag den 6. marts 2009

Confickers hærgen kunne være reduceret

Et veldrevet IT-system ville have haft en god chance for at modstå Confickers hærgen, hvis sikkerhedspolitikker var håndhævet og fulgt op med administrative foranstaltninger, revision og udnyttelse af de tekniske muligheder. Det siger Microsofts Chief Security Advisor for EMEA, Roger Halbheer.

Microsoft sikkerhedsrådgiver for Europa, Mellemøsten og Afrika (EMEA), Roger Halbheer, tager på sin blog en pragmatisk holdning til Confickers hærgen. Han forsøger ikke at få nogen virksomheder, der blev ramt, i fedtefadet - men svinger alligevel pisken. For det er hans holdning, at Confickers hærgen kunne være reduceret - blot nogle enkle sikkerhedsforskrifter havde været overholdt.


Disse forskrifter uddyber han i seks punkter, som bør være indlysende, og angives som værende nogle af de egentlige årsager til Conficker-inficeringer rundt om i verden. Pointen er, at et veladministreret netværk oftest er billigere at drifte - og samtidig mere sikkert.

Han lægger hårdt ud med nedprioriteret patching, hvor ansvaret placeres hos ledelsen. Vælger man bevist ikke at patche - eller overlader det til administrators beslutning - så kalder han det direkte at udvise forsømmelighed.

For at imødekomme kritiske røster om overvejende sårbare Microsoft produkter, så henviser han til Microsofts Security Intelligence Report. Den angiver, at Microsoft er ansvarlig for tre procent af den samlede mængde sårbarheder. De resterende 97 procent skal også patches op.

Ikke-administrerede maskiner er også en faktor. Der er flere tilfælde, hvor virksomheden tror de er fuldt opdateret. Men ved en nærmere gennemgang af netværket findes der maskiner som ikke indgår i den automatiserede opdateringsprocedure. Dette er måske nok en overkommelig opgave at tjekke på et mindre netværk. Men er det flere hundrede/tusinde maskiner - så er det et projekt der skal have økonomisk opbakning.

Svage eller ikke-eksisterende passwords er snart så gennemtæsket et område, at det ikke burde være en faktor. Her burde tidligere ormes hærgen have lukket og slukket for yderligere diskussion om det problem. Men sådan forholder det sig ikke. Conficker havde eksempelvis indbygget en liste på knapt 250 alment brugte passwords, som den benyttede ved spredning til ADMIN$- eller IPC (interprocess communication) delingen.

Lokale administratorrettigheder er et lige så slidt debatområde. Her kan et større blame-game sættes i gang, da nogle applikationer ikke kan afvikles uden administrative rettigheder.
Virtualiseringsdelen i Windows Vista har haft positiv inflydelse på det problem - og det vil "Windows 7" også have - men den store mængde virksomheder der stadig benytter Windows XP vil fortsat slås med dette "problem". Ifølge BeyondTrust, kunne 92 procent af de kritiske Microsoft sårbarheder (i 2008) være reduceret ved, at brugeren ikke have administrative rettigheder. Det afledte min blog den 4. februar om emnet: Begrænsede brugerrettigheder afhjælper sårbarheder. User Account Control (UAC) er og bliver et fokusemne.

En virkelig overraskende information, fra Roger Halbheers indlæg, er brugen af gamle og udfasede Windows versioner. I den forbindelse har Microsoft opdaget, at ikke så få udgaver af Windows NT 4.0 stadig er i aktiv brug. Det er til trods for, at NT4 SP6a blev pensioneret den 31. december 2004. Årsagen var den gang en yderst kritisk sårbarhed (MS03-010), som kun kunne løses ved at ændre NT4 radikalt. Desværre bliver disse oldsager stadig koblet på netværket nogen steder, hvor de afvikler lige så gamle applikationer. Vel om mærke uden nogen form for beskyttelse eller afskærmning. Det er kritisk.
Jeg kender et par steder i DK, hvor man af forskellige årsager ikke kan opgradere de ældre maskiner. Man har så til gengæld taget alle andre nødvendige skridt for at afskærme disse dinosauer.


Antimalware beskyttelser er det sidste store punkt som Halbheer nævner. Drejningen er i den forbindelse manglende beskyttelse af kunderne, trods de er fuldt opdaterede med seneste signaturer. Alligevel blev de ramt. Og det til trods for, at de fleste antimalware produkter i dag har en eller anden form for proaktiv scanningsteknologi indbygget. Det seneste buzzword er Cloud Scanning. Men for at den skal virke optimalt, så skal de tidligere nævnte punkter også være på plads - arbejdsbetingelserne så at sige. Her må uafhængige test tale deres eget sprog.

Jeg har været med til at udføre en test på fem forskellige antimalware produkter. De fik alle de samme filer til scanning fra et live feed - og blev opdateret samtidig (hver time). På et tidspunkt kiggede en orm forbi dette setup. Kun ét af de fem produkter fandt noget mistænkeligt - og så blev den oven i købet kun angivet som suspicious. Vi ved efterfølgende, at det var en orm, da vi løbende kunne efterscanne. Og så snart producenterne fik signaturerne opdateret - så begyndte alarmer og navnene at dukke op.

Afsluttende giver Roger Halbheer endnu en bredside til de økonomisk ansvarlige i virksomheden. Det er deres job, baseret på Business Risk Management, at beslutte om man vil investere i det nødvendige for at sikre virksomhedens optimalt. Det er ikke den sikkerhedsansvarliges (CSO) opgave, efter Halbheers mening. Han/hun skal på fornemmeste vis sikre sig, at beslutningstagerne kender de risici der er forbundet med deres beslutninger.

Opdatering 6/3-09, kl 22.31: Running as Non-Admin in Windows XP

onsdag den 4. marts 2009

National Zombie uge i Australien

Australien kører fra den 2. til 8. marts 2009 en zombie-kendskabs-uge, hvor et dedikeret website forklarer detaljerne om hvad en zombiepc er. Man kan også se eller hente den originale "Night of the Living Dead" fra 1968 online.

I sigende overskrifter, med tilhørende letforståelig tekst, gennemgår Zombieweek.com detaljerne for den type malware der giver it-kriminelle muligheden for fjernstyring af en inficeret computer. Her følger en fri oversættelse af den indledende tekst på websitet:


Hvad er en "Zombie Bot"?
Et zombie-bonet er en gruppe af pcere inficeret med ondsindet software. De kaldes for "zombier" eller "bots" fordi de kan bruges til at udføre angreb mod andre computer systemer. Zombier er ramte computere og botnets er en samling af zombier.

De fremkommer oftest ved at udnytte sårbarheder på din pc og aktiverer ondsindet software eller malware uden brugerens vidende. Det er gerne gemt som en del af anden software eller på et website som brugerens interessere. I nogle tilfælde bruges åbne trådløse netværk som vejen ind.

Denne malware bruges til at oprette botnet - og botnet bruges igen til at sprede spam, malware eller til hackingangreb.

At være en zombie bot kan gøre skade
Botnet vedligeholdes af en ny type kriminel - også kendt som "botnet hyrde" eller "botnet master". Som den styrende kraft af et botnet, kan de kan programmere din pc til at udføre forskellige internetangreb så som spam, phishing eller distribuering og installering af malware på andre pcere. Din pc er inficeret. Du er nu en trussel mod andre - og du ved det måske ikke engang.

En ud af seks australske pc'ere kan allerede være zombier. Ifølge en OECD rapport fra sidste år stiger antallet globalt set. En undersøgelse anslår, at omkring 80 procent af den web-baserede malware lå på "uskyldige med kompromitterede" websites. En anden rapport fandt, at 53,9 procent af alle angrebssites var placeret i Kina - efterfulgt af USA med 27,2 procent.

OECD angiver samtidig, at i juni 2006 angreb en trojaner filerne i Windows "My Documents" mappen. Filerne blev krypteret så brugerne ikke kunne tilgå dem uden de først betalte en "afgift" for deres data.

Hvad kan vi gøre ved det?
Din kendskab - og villighed til at løse problemet - er en vigtig første forsvarslinje mod malware og det resulterende kriminelle akt. Både den offentlige og private sektor er involveret i koordinering i brede industri initiativer. Tal med dine venner om det og tjek hvad du kan gøre for at forhindre din pc i at blive en zombie. Accepter ikke en ramt pc.

De levende dødes nat
Som en sjov lille gimmick har man samtidig linket til den første zombie-film fra 1968, Night of the Living Dead. Den kan ses eller hentes online - alt efter hvad man har lyst til.

Plottet er en gruppe fremmede personer, der må søge tilflugt på en gammel gård på grund af de konstante angreb fra døde lokalbeboere - som er bragt til live af en mystisk stråling.

En sjov lille måde at mind-mappe en nuværende reel trussel med noget visuelt.

Yderligere information
National Zombie Awareness Week - Has your PC been zombied?

Netbooks er en sikkerhedsrisiko - naah?!

De hypede Netbooks har øget chance for at blive ramt af malware og hacking. Deres lavere datakraft og ydelse afleder et fravalg af nutidens tunge it-sikkerhedssuiter. Vrøvl siger flere brugerne, der har kommenteret artiklen på The Independent.

I en artikkel på det engelske onlinemedie, The Independent, er Netbooks i søgelyset som mulige veje ind for hackere og malware til de personfølsomme informationer. Artiklen bakkes op af analytikere som mener, at den noget svagere ydelse gør Netbooks mere sårbare, når de bruges til internetsurfing og handel på nettet.

Risikoen skulle angiveligt ligge i, at de moderne sikkerhedssuiter efterhånden er så tunge, at det bringer ydelesen og brugbarheden drastisk ned. Dermed vælger nogle personer at se stort på it-sikkerheden. Det er den generelle trussel mod internetbrugerne som blot kommer mere markant til udtryk.

Da markedet for Netbooks samtidig forventes at stige med 100 procent i år alene, så skulle det naturligt aflede flere dårligt beskyttede Netbooks kommer på nettet. Da det samtidig er mange førstegangsbrugere der vælger en Netbook, så øges risikoen proportionalt.

Analytikerne i artiklen er ikke blege for at komme med deres besyv. Som eksempel siger Lillian Tay fra Gartner Group til Reuters, at det er en "Catch-22" situation: "Hvis du kører for mange sikkerhedsprogrammer på samme tid, så vil det sløve computeren. Hvis du ikke kører nogen - så er du sårbar".

Læg an, tag sigte, fyr!
Den påståede lavere sikkerhed på Netbooks, mener jeg personligt er det rene vås. Jeg kender flere som bruger Netbook computere i deres dagligdag - og som har sikret den bedst mulig med de gængse sikkerhedsprodukter.

Nogle førstegangs brugere vil givet vis mangle den optimale sikkerhed, men det har intet med Notebooken at gøre. Her træder "
fejl-40" begrebet og sund fornuft vist ind i billedet.

Artiklen har da også fået et par kritiske kommetarer med på vejen. Her siges der nærmest, at indholdet er fordrejet og den grundlæggende research er decideret mangelfuld. Jeg er af samme opfattelse, til trods for, at jeg godt kan følge tankegangen et stykke hen ad vejen.

En brugerkommentar er, at det er operativsystemet og tilhørende applikationer som afleder mulige sårbarheder. En anden kommentar fastslår direkte, at nogle antivirusprogrammer ikke har kritisk indflydelse på ydelsen. Her nævnes AVG som eksempel.

Som rosinen i pølseenden så indikeres der også, at man kan jo vælge at gå over på Linux som operativsystem, hvilket naturligt vil aflede en stor del af den målrettede Windows malware ikke vil få en chance.

Døm selv: Netbooks may offer hackers private data gateway

fredag den 27. februar 2009

LorteMail - medaljen har to sider

LorteMail giver en muligheden for at benytte en anonym mailkonto, hvis indhold automatisk slettes efter 24 timer. Men valget af brugernavn er vigtigt at tænke på, da alle kan tilgå indbakken. Det har givet anledning til spændende informationer.

Du kender det godt. En onlineservice har lige det du søger - men der kræves login for at tilgå ressourcen. Her skal de 'naturligvis' have ens e-mail adresse. Har man prøvet det én gang før, så ved man, hvor mange lortemails der efterfølgende dukker op.

Her er LorteMail.dk et friskt og aldeles brugbart tiltag, hvor man uden oprettelse kan tilgå en midlertidig mailadresse sluttende på "@lortemail.dk". Man vælger selv, hvilket brugernavn man ønsker og angiver efterfølgende det til den fremsendte e-post.

Problemet er i den forbindelse, at mange personer ikke tænker sig om. Deres brugernavne er indlysende - og man kan dermed kigge med i den mail der er modtaget de sidste 24-timer. I nogle tilfælde er det til sociale tjenester og sågar logininformation til uddannelsesinstitutioner.

Udnyttet uden at vide det
I et konkret eksempel har en mand på 23 år oprettet en profil på et datingsite ved brug af en lortemail adresse. Datingsitet sender gladeligt nyhedsbreve med mulige match til denne profils e-mailadresse. Nyhedsbrevene indeholder billeder af kvinder der også søger en partner.

I den seneste "match mail" lortemail har modtaget, er der billeder af 10 kvinder i alderen 19 til 28 år. Profilen "FrkWinter", på lidt over 20 år, er fremhævet. Men "louise26", "Stinnababe", "miss27" og "SweetCherry" med flere er også vist med profilbillede i mailen.

Klikker man på et af de fremsendte profiler, så åbnes datingsitet direkte. Her sendes man ind på den falske mandlige profil, hvor det oplyses, at profilens abonnement udløb den 2. februar 2009. Dog er den stadig aktiv nok til at modtage e-mails fra datingservicen.

Hvis man ikke lige kender den 23-åriges password til datingservicen - så har den naturligvis funktionen "Glemt dit kodeord". Her angiver man profilnavnet fra lortemail og klikker OK. Få minutter senere ligger der en e-mail med det eksisterende kodeord eller et nyt. naturligvis fremsendt til den angivne lortemail-adresse *suk*

Jeg har ingen idé om, hvor ofte datingservicen sender sådanne mails ud - men gætter på det nok er ugenligt. Dermed er mindst 40 kvinders profiler sendt ud til en åben mailservice, uden deres vidende, siden den 23 årige mands profil udløb.

De fleste betragter en profil på et datingsite som noget yderst personligt. Den er rettet mod ligestillede (andre brugere af servicen) - og vil med garanti finde det krænkende, at andre uden tilknytning kan se deres profilbilleder og brugernavne.

Adgangsinformation til et uddannelsessted
I samme bolgade har en yngre person oprettet en lortemail-adresse til midlertidig adgang til sin skoles website. Skolens website kræver en bekræftelse - som returneres til den angivne adresse. Af ukendte årsager tjekker skolens websystem ikke, hvormange gange der bekræftes.

Ved at klikke på den angive webadresse, sendes man direkte til deres valideringsside - som efterfølgende forwarder til det egentlige system. Oven i købet med beskeden: "Tak for din bekræftelse - du har nu adgang til....".

På denne side ligger der forskellige oplysninger om klasseårgange - som igen indeholder information om elever, undervisningsplaner, kontaktinformationer, adresser og lignende. Informationer der kan tilgås direkte fra den åbne mailservice. Småkritisk.

LorteMail er helt uden skyld
Det nemmeste vil være at anklage lortemail for at have oprettet en service der udfylder et behov. Men det vil være det samme som anklage bilproducenterne for påkørsler af fodgængere og cyklister. Det er nærmere et spørgsmål om, at har man brug for denne service - så skal man tænke sig om og overveje konsekvenserne.

De pågældende sites, og der er lang flere end de nævnte, er ofre for en semilegal bagdør kombineret med manglende beskyttelse for en anvendelse, der er atypisk. Men det kan lade sig gøre og oven i købet uden at hacke med specielle værktøjer eller fordækte scripts. Lidt kreativ tænkning er nok.

Hvis man har et behov for at bruge en midlertidig e-mail adresse på lortemail.dk, så brug for pokker en så kryptisk adresse, at chancen for at gætte den er 1:1000000. Angiver man "hansen", "peter", "lotte", "kurt", "qwerty", "1234", "abcd" eller lignende - så er der en stor chance for at andre kigger med.

Klik her for at komme til http://LorteMail.dk

torsdag den 26. februar 2009

Englands nationale lotteri website hacked

Hvis du spiller Lotto online, så glæd dig over, at du ikke spiller på den engelske pendant til Danske Spil - The National Lottery. Den berygtede rumænske hackergruppe har udført et dokumenteret SQL Injection angreb mod deres website. Danske Spils Sikkerhedschef siger, at de også har set lignende forsøg.

Man kan vist roligt sige, at det er held i uheld at det er den rumænske hackergruppe, med talsmanden "unu", som har dokumenteret SQL Injection sårbarheden hos The National Lottery. De har det nemlig med, at informere de ramte før de publicerer et hack.

I det givne tilfælde har gruppen igen dokumenteret deres SQL Injection angreb med grafik på HackersBlog - der viser en listning over databasens tabeller samt information om den administrative konto (brugernavn og MD5 kodet password). Se billederne her:



Et spillesite er spændende set med it-krimminelles øjne, da der uden tvivl er en stor omsætning fra et utal af håbefulde spillere. Websitens eneste formål er jo netop gambling, hvilket helt naturligt afleder brugen af penge.

Hackergruppen har da også specifikt markeret tabellen "tbl_users" som en indikator på, at der kunne trækkes personinformationer ud. De angiver ikke, om de rent faktisk har kunnet se tabellens indhold. Uanset om det har været muligt eller ej, så er det en katastrofe for The National Lottery.

I et worst-case scenarie, er det flere tusinde brugers informationer der vil kunne udnyttes. Personer, som garanteret også vil blive narret, hvis der dukkerede en e-mail op på vegne af spilleservicen med lovning om guld og grønne skove. Det er set før i andre sammenhænge.

Danske Spil har stor fokus på sikkerhed
Vores egen udbyder af Lotto, Quick, Oddset, Tips med mere - arbejder i samme kategori som The National Lottery. Her er der også en stor omsætning, hvilket man ved afleder stor opmærksomhed fra personer, der gerne vil tjene hurtige penge uden skelen til måden det gøres på.

"Penge har altid været det største motiv for kriminalitet og det vil nok ikke ændre sig. Så ja, selvfølgelig har der været nogen som har forsøgt at komme tæt på - og sådan vil det også være i fremtiden", siger Mickie Friebel, Sikkerheds- & Kvalitetschef hos Danske Spil A/S.

For Mickie Friebel er it-sikkerhed derfor en naturlig del af dagligdagen - som har sit udgangspunkt allerede på ledelsesniveau. Der foretages løbende risikoanalyser på alle projekter uanset om det er nye systemer, samarbejdsrelationer eller anden forretningsudvikling.

"Overordnet er vores tilgang Fortrolighed, Integritet og Tilgængelighed (FIT) og et væsentligt ledelsesmæssigt værktøjer hertil er risikostyring. Der foretages løbende overordnede risikovurderinger, herunder konsekvensvurdering og sårbarhedsvurdering, samt tilhørende justering til det tidssvarende risikobillede. Ud over dette arbejder vi efter WLA Security Control Standard, herunder også ISO27001, som er gode værktøjer til at at sikre den ledelsesmæssige del af sikkerheden", forklarer Mickie Friebel.

Uden Mickie Friebel vil gå i detaljer, så sikrer Danske Spil A/S at have et opdateret billede af omgivelserne ved at der abonneres på diverse nyhedsgrupper og benyttes flere forskellige adviseringsværktøjer, som mange leverandører tilbyder i dag.

Han bekræfter samtidig, at Danske Spil A/S jævnligt bliver testet for mulige sårbarheder, netop da trusselsbilledet kan ændre sig med meget kort varsel.


"Ja, Danske Spil A/S bliver jævnligt testet og med faste intervaller. Desuden bliver al software testet løbende under udvikling - og al ny software bliver funktionstestet, sårbarhedstestet og integrationstestet på et produktionslignende miljø, inden det ligges i drift. Når det ligges i drift, testes det igen for at sikre højst mulig kvalitet, sikring og oppetid for vores brugere", forklarer Sikkerheds- & Kvalitetschefen.

onsdag den 25. februar 2009

Mere sårbart Adobe software - denne gang i Flash

Så er Adobe på skafottet igen. Nu er det Adobe Flash, nærmere bestemt version 9.0.124.0, som kan udnyttes når den behandler Shockwave filer. Et fuldendt angreb tillader afvikling af ondsindet kode på niveau med brugeren af computeren.

Der var engang en joke om Microsoft som bilproducent. Den var meget sjov. Med Adobes historik kunne jeg godt tænke mig at se, hvordan deres historie ville blive vinklet. Måske ville temaet være køkkenudstyr - for deres software minder efterhånden om et dørslag, sigte eller si.

I det aktuelle tilfælde er et besøg på en webside med en specielt udformet Shockwave Flash fil nok til at udnytte sårbarheden. I praksis sker det ved, at et bestemt objekt oprettes og efterfølgende destrueres sammen med alle tilknyttede referencer. Men en reference kan bibeholdes til at pege på objektet, som nu eksisterer i et ikke initialiseret hukommelsesområde. Det kan herefter udnyttes til afvikling af ondsindet kode.

Det kritiske er, at Flash er en standard som benyttes overalt i dag, hvor man ønsker at vise beriget multimedie indhold. Flere websites er opbygget udelukkende i Flash - og flere bannerreklamer er gået i samme retning. Yderligt er der Flash plugins til bredt udvalg af browsere og platforme - herunder Windows, Linux og MacOS.

iDefense Labs hjemmeside er der en udbydende forklaring på, hvorfor de karakteriserer denne sårbarhed som HIGH. En lige så skræmmende information er, at den første dialog startede den 25. august 2008. Herunder ses den timeline som iDefense Labs angiver:

08/25/2008 - Initial Contact
09/22/2008 - PoC Requested
11/05/2008 - PoC Sent
11/06/2008 - Clarification requested
12/05/2008 - Clarification Sent
12/07/2008 - Additional Clarification Sent
02/19/2009 - Draft bulletin received
02/24/2009 - Coordinated Public Disclosure

Det tog med andre ord seks måneder fra første kontakt til koordineret information kom ud. Det kan derfor undre, at Adobe skal bruge yderligere tid til at få et fix smidt på nettet. Man kan kun håbe på, at der ikke har siddet dygtige kinesiske hackere og fundet den samme sårbarhed. De vil givet vis reagere noget hurtige på at få et exploit ud på nettet.

tirsdag den 24. februar 2009

Wikileaks: Skype VoIP i Asterisk open source PBX system

Ifølge Wikileaks information, så er Skype, og virksomheden bag open source PBX softwaren Asterisk, i fuld gang med udvikle et properitært modul, hvor Skypes VoIP løsning skal kunne kommunikere med Asterisk løsningen.

Som en spændende vinkel på mit indlæg i går (EU vil undersøge VoIP aflytningsteknikker), så er der lækket information på Wikileaks om, at Skype og Digium, virksomheden bag Asterisk, arbejder på et modul til integration af Skypes VoIP løsninger i open source softwaren.

Der skulle efter sigende været givet en offentlig demo ved en konference - men ellers har alt været hemmeligholdt. Det er blot for kort tid siden, at beta-testen blev udviddet til at inkludere nogle få tusinde virksomheder - som alle skulle underskrive en hemmeligholdelsesaftale (Non-Disclosure Agreement, NDA).

Der ligger dog nogle begrænsninger i beta-projektet. Eksempelvis kan eksisterende Skype brugere ikke direkte benytte løsningen. Det vil kræve, at der oprettes nye dedikerede konti til formålet. Uanset betabegrænsninger - så er dette er bestemt noget der skal holdes øje med.

Se Wikileaks side her (23. februar): Skype for Asterisk Digium Non-Disclosure Agreement, 2009

Se ordlyden for den omtalte Non-Disclosure Agreement

mandag den 23. februar 2009

EU vil undersøge VoIP aflytningsteknikker

EU's Judicial Cooperation Unit, kendt som Eurojust, vil nu til at undersøge, hvordan man bedst mulig kan aflytte samtaler foretaget ved hjælp af VoIP. Det er kampen mod international kriminalitet der har sat skub i undersøgelsen.

Kriminelle er ikke sene til at udnytte mulighederne for at arbejde under radaren - og her er samtaler foretaget fra eksempelvis Skype inkluderet. Det gør det yderst svært for myndighederne at lytte med, når detaljerne for smugling af stoffer, våben og mennesker aftales.

Det er den italienske regering som har udtrykt bekymring om stigningen i brug af VoIP til kriminelle formål: "Muligheden for at opsnappe Internettelefoni vil blive et essentielt værktøj i kampen mod internationalt organiseret kriminalitet inden- og udenfor Europa", siger Carmen Manfredda, Eurojust medlem fra Italien.

Den lyder som endnu en BigBrother-funktion, hvor lovlydige borgere og virksomheder kan risikere at blive aflyttet. Men det afviser Carmen Manfredda: "Vores mål er ikke at stoppe brugere i at udnytte mulighederne i Internettelefoni, men at forhindre kriminelle i at bruge Skype til at planlægge og organisere ulovlige aktiviteter".

Det skulle angivelig være på opfordring af Italiens Anti-Mafia direktorat, at muligheden for VoIP-aflyning er fremsat. Ifølge Eurojusts udtalelse, vil man forsøge at overkomme de tekniske og juridiske forhindringer der er i forbindelse med aflytning af Internet telefonsystemer - men stadig håndhæve reglerne for databeskyttelse og borgerrettigheder.

Skype har i den forbindelse fortalt ZDNet UK, at de har givet Eurojust en omfattende forklaring på deres retshåndhævende program og muligheder. De afviste samtidig pressehistorier om, at de har nægtet at samarbejde med forskellige myndigheder - men gerne vil samarbejde, hvor det er lovligt og teknisk muligt.

"Skype er stadig interesseret i at samarbejde med Eurojust til trods for, at de valgte ikke at kontakte os før de udsendte denne ukorrekte rapport", siger en talsmand for Skype som kommentar.

Yderligere information

Eurojust coordinates internet telephony investigations

Opdatering 28-02-2009: http://www.theregister.co.uk/2009/02/27/eurojust_abandons_skype

fredag den 20. februar 2009

Humor: New Stupid Piece Of Shit

Kender vi det ikke. Ny 'dims' der lover guld og grønne skove. Den kan mindst 12 gange mere end de forrige version. Det har The Onion News Network lavet satire over - og det går hårdt ud over Sony. Men morsomt er det :o)

Under overskriften Sony Releases New Stupid Piece Of Shit That Doesn't Fucking Work sætter The Onion News Network ord og billeder på det vi alle tænker engang i mellem, når endnu en ny version af en dims ser dagens lys.

Det er Sony det går ud over, men kunne være hvem som helst. Der må være en hos TheOnoin som har fået en mandagsudgave af et Sony produkt - og som er blevet lettere knotten.
Man vil nok kigge en gang mere, hvis de officielle System Specifications virkelig er som TheOnion angiver:
  • Makes the most irritating beeping noise you've ever heard in your goddamn life
  • Fucks up everythings else you hook up to it
  • 'Scans for recievers' whatever the fuck that means
  • Flashes rando fucking words and numbers on the display screen
Få et godt grin, se her (på engelsk) :



Se også indslaget her sammen med mange andre humoristiske og rammende indlæg: Sony Releases New Stupid Piece Of Shit That Doesn't Fucking Work

Ny kritisk Adobe Reader/Acrobat sårbarhed

Adobe er i ilden igen. En ny kritisk sårbarhed i Adobe Reader og Adobe Acrobat v/9 og herunder, kan udnyttes til at crashe programmet og kan give en hacker fuld adgang til computeren. Der er allerede 0day exploit PDF-filer at finde ude på nettet.

Sårbarheden er bekræftet på en fuldt opdateret Windows XP med Servicepack 3, hvor Reader versionerne 8.1.0, 8.1.1, 8.1.2, 8.1.3 (seneste v/8.x) samt 9.0.0 (seneste v/9.x) kan udnyttes. Exploitkoden udnytter et non-JavaScript funktionskald til at udfylde et hukommelsesområde (heap) med kode der kan starte programmer og kommandoer (shell code).

Det formodes, at andre Windows versioner også er i farezonen - og det samme gælder for Linux og Apple OS X. Alt der kræves er, at man indlæser en angrebs-PDF-fil i Adobe Reader. Det kan være et PDF dokument hentet fra nettet - eller som ankommer vedhæftet en e-mail.

Flere antivirusprogrammer kan allerede finde disse angrebs-PDF-filer, eksempelvis Trend Micro og Symantec, men det er baseret på signaturer fra den 12. februar 2009. Man må antage, at personerne bag disse filer har videreudviklet deres angrebskode siden da.

For at imødekomme denne sårbarhed, anbefales det at deaktivere JavaScript muligheden i Adobe Reader og Adobe Acrobat. Det gøres ved at fjerne fluebenet følgende sted:
Rediger / Indstillinger / JavaScript / Aktiver Acrobat JavaScript.


Den mistede funktionalitet er intet mod, hvad der ellers kan ske. Se også Adobes egen Security Bulletin om problemet fra 19. februar 2009: Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat.

torsdag den 19. februar 2009

Krisen truer også it-sikkerheden

Den økonomiske krise har også indflydelse på it-sikkerheden - enten direkte eller indirekte. Når nøglepersoner forsvinder, eller kritiske samarbejdspartnere går konkurs, så efterlades virksomheden sårbar på mere end en måde.

Det er ikke kun hacking og malware der udgør en trussel i denne krisetid. Der er utallige eksempler på, at opsagte medarbejdere forsøger at skade virksomheden. Det kan være alt fra egentlig sabotage til tyveri af intellektuel- eller kundeinformation.

Den stjålne information bruges til at komme foran i køen/kampen om et ledigt job – eller er rettet mod opstart af egen virksomhed. Det er ulovligt, men sker nok oftere end de fleste vil erkende.

You know / don’t know
Noget andet er den intellektuelle sårbarhed virksomheden udsættes for, når medarbejdere med central viden stopper. Specielt, hvis der ikke findes klare retningslinjer for dokumentering af ansvarsområder, arbejdsgange og procedurer. Noget specielt de små virksomheder glemmer.

De tilbageværende medarbejdere belastes med flere opgaver - og i nogle tilfælde ud over deres primære kompetenceområder. Det nye ansvarsområde forsøges udfyldt på bedste måde, men brandslukning bliver som oftest en hverdagsting.

I nogle tilfælde kan man stadig trække lidt på den medarbejder som bestred området tidligere, men i de fleste tilfælde er det et afsluttet kapitel.

Mange bække små
Det er oftest bagateller der eskalerer til omfattende problemer. Enten fordi de nedprioriteres til fordel for akutte sager – eller slet og ret er gået i glemmebogen. I nogle tilfælde ville fejlen være sket uanset krise eller ej – men chancerne er langt større i dag.

Som eksempel har jeg netop hørt om en mailserver, der gennem længere tid havde brokket sig. Opsagte medarbejderes mailkonti var stadig aktive - og serveren modtog løbende mails til dem. Den ansvarlige var også opsagt, men det var til ham at alarmerne kom. De tilbageværende havde i øvrigt slukket hans afleverede mobiltelefon, da de var trætte af dens konstante bibben. Det skal nævnes, at serveren stod for at skulle opgraderes – men det var holdt tilbage grundet krisen.

I andre tilfælde kan det være manglende opdatering af central software, manglende eller dårligt udført backup - og manglende gennemgang af logs på kritiske systemer. Det kan også være nedprioritering af opgradering af forretningskritisk software - eksempelvis overgangen fra en ældre antivirusversion til en nyere. Manglende fokus på sårbare tredjeparts produkter er også en faktor.

Konkurs-/kriseramte outsourcingspartnerne og konsulentvirksomheder, kan pludselig trække tæppet væk under virksomheden. Et skift til en anden samarbejdspartner er ikke budgetteret - og vil dermed resultere i en ekstra økonomisk byrde. Indtil en løsning findes, er virksomhedens sårbarhed øget. Det kan trække ud, da nogle virksomheder vælger at "se tiden an".

’Leftovers’ på nettet
Som det seneste figurerer der et stigende antal aktive websites, som ejerne tilsyneladende ikke gør noget ved længere. I flere tilfælde ejes de af mindre virksomheder der er afviklede eller godt på vej. Hostingen er betalt, så udbyderen gør ikke noget før de får besked på at lukke det ned - eller informeres om, at det bruges som angrebssite.

Det kritiske ligger i, at webapplikationen ikke længere vedligeholdes med opdateringer og rettelser. Med mængden af web-exploits der publiceres, på både åbne og lukkede fora, så er det oftest kun et spørgsmål om tid før, at en søgning finder det henlagte - men kørende - website.

Et sårbart website, for et ikke aktivt firma, lyder måske ikke så farligt. Deres kunder vil nok ikke kigge forbi længere. Men det udgør en reel trussel, hvis hackere udnytter websitet som en mellemstation til andre angreb. Det er fakta, at politiskmotiveret defacing foregår i udbredt stil - men skridtet fra statement til attacksite afhænger udelukkende af, hvem som finder det sårbare website først.

Følgende Google-søgning giver måske en ide om problematikken: http://www.google.com/search?q=intext%3Ahacked+by+site%3A.dk

20-02-09: Comons nyhed baseret på mit blogindlæg It-kriminelle overtager forladte websteder

mandag den 16. februar 2009

Kaspersky rydder op

Den 7. februar lykkedes det en rumænsk hackergruppe at kompromittere den amerikanske del af Kasperskys website. Jeg dokumenterede hændelsen med data taget fra den blog, hvor det blev publiceret. Det har Kaspersky set og rydder nu op.

Fredag den 13 (uha) hørte jeg af omveje, at et PR-bureau forsøgte at at få fat i mig. Første tanke var, at der muligvis var lidt mønt at tjene - så jeg kontaktede bureauet sent om eftermiddagen og efterlod mine kontaktdata. Jeg hørte dog ikke noget - weekenden ventede forude.

Nysgerrighed drev mig til at følge op på sagen i dag. Her talte jeg med en meget behagelig person der forklarede, at bureauet repræsenterede Kaspersky i Danmark. Man havde læst mit blogindlæg og ville gerne bidrage med information der dækkende begge sider af sagen. Man fandt, at mit indlæg "Sikkerhedsfirmaer med sløset web-sikkerhed" tog hackernes side.

Nuvel, det gjorde den på sin måde også. Kaspersky havde ikke frigivet nogen information om dette webhack da jeg skrev indlægget. Damange-control-apparatet var sat i gang (Comon den 10. februar og Version2 den 11. februar), så tænkte jeg, at den sag nok er begravet. Det var den så ikke.

Personen fra PR-bureauet forklarede, at jeg ville blive kontaktet af Kaspersky. Selvom det ikke blev sagt direkte, så var det tydeligt at Kaspersky var i gang med at rydde op. Han sendte mig kort efter den officielle udmelding som Comon og Version2 også citerer.

Det mest spændende kom klokken 21.46, hvor Kasperskys tekniske chef for norden fremsendte den samme officielle information fra 13. februar som er online. Så kan der ikke herske tvivl om, at sagen nu er belyst fra alle sider.

Og nej, jeg er ikke blevet truet med bål, brand og dyre advokater. DET ville i sig selv have været en endnu bedre historie :o)
Informationen nuancerer hændelsen - men ændrer ikke det faktum, at der blev handlet reaktivt. Hvordan er det nu det ordsprog lyder? Oh jo... Practice What You Preach.


fredag den 13. februar 2009

Tre på stribe

Hvad har B, F og K til fælles? Det er forbogstaverne på de sikkerhedsfirmaer der har fået deres websites kompromitteret i løbet af få dage. Senest er det F-Secure der var mål for den aktive rumænske hackergruppe. F-Secure nedtoner angrebet.

Først var det Kaspersky og Bitdefender der blev knækket. Senest er turen så kommet til F-Secure, hvor angrebet igen er dokumenteret på HackersBlog. Gældende i alle de tre tilfæde er, at der var sårbarheder i webapplikationen som kunne udnyttes grundet manglende validering.


På samme måde som Kaspersky og Bitdefender, har F-Secure taget til genmæle og nedtoner hændelsen. De angiver på deres
blog, at det var deres malware statistik server som fik besøg - men det kun var muligt for hackerne at læse information fra databasen - ikke skrive til den.

Angrebet var derfor kun delvist en succes siger F-Secure. Nedtoningen kommer i form af denne sætning: "So while the attack is something we must learn from and points at things we need to improve, it's not the end of the world". *Hehehe* minder det ikke lidt om denne here :o)




Sikkerhedsværktøj som hackertool

Fremgangsmåden er tilsyneladende den samme i hvert af tilfældende - og ikke ulig den måde it-sikkerhedskonsulenter arbejder på. En kombination af viden, værktøjer og manuel test. Det skulle efter sigende være udført således:

1) Gruppen scannede websitet med et automatiseret værktøj
2) Værktøjet fandt SQL Injection sårbarheder på bestemte sider
3) Sårbarhederne blev efterfølgende manuelt verificeret
4) Information blev trukket ud fra databasen og dokumenteret

Mistanken er faldet på, at det er sikkerhedsvirksomheden Acunetix's gratis web-application scanner værktøj som har været brugt. Det afviser
Acunetix ikke. De mener dog, at det er mere sandsynligt, at det er en piratkopi af deres der fulde version som har været benyttet. Good PR.

mandag den 9. februar 2009

Sikkerhedsfirmaer med sløset web-sikkerhed

Man må forvente, at et sikkerhedsfirma har en kontant holdning til it-sikkerhed. Men både Kaspersky og Bitdefender har tilsyneladende glemt at sikkerheden også skal gælde deres websites. Resultatet blev blottede databaser og eksponering af kritiske informationer.

Et website er en virksomheds ansigt udad til. Hvis det hackes siger det generelt noget om virksomhedens holdning og fokus på it-sikkerhed. Går det ud over den lille vinduespudser - så er det både ærgeligt og irreterende. Men sker det for et it-sikkerhedsfirma - så er listen af negative superlativer meget lang!

Det er netop, hvad der er sket for it-sikkerhedsvirksomhederne Kaspersky og Bitdefender på deres websites i henholdsvis USA og Portugal.
Lad mig sige det som ligger lige på tungen: Hvor sikker kan man være på disse producenters produkter, når de ikke formår at kunne sikre deres websites?

For
Kasperskys vedkommende har det udførte SQL Injection angreb blottet hele deres database. Vi taler om komplet adgang til tabeller med brugere, aktiveringskoder, interne lister over bugs, administratorområde, webshop med flere. Alt sammen dokumenteret. *Oh-My-God*




Den komplette liste fra usa.kaspersky.com er dokumenteret fuldt ud på HackersBlog.

Hos Bitdefender er det også SQL Injection som har gjort det muligt at trække information ud af databasen. Her er det også muligt at trække information ud om databasenavn, administratorer, deres passwords (MD5 kodet), SessionID med mere.

Samtidig er det muligt at liste registrerede kunders personlige informationer fra Salgs tabellen - samt flere tusinde e-mail adresser fra Nyhedsbrev tabellen. Igen siger et billede mere end tusinde ord - så her er den grafiske dokumentation fra HackersBlog om sikkerheden hos Bitdefender:






Mon ikke der sidder nogle personer i de respektive virksomheder med meget, meget røde øren i øjeblikket. Og mon ikke der også kan komme en udskiftning i medarbejderstaben på tale?

onsdag den 4. februar 2009

Begrænsede brugerrettigheder afhjælper sårbarheder

Begrænses brugerens rettigheder, kan hele 92 procent af de kritiske Microsoft sårbarheder afværges. Det er ikke nogen nyhed at sådanne begrænsninger kan være positive - men tallene fra BeyondTrust er alligevel overraskende.

Når en Windows XP installeres, er det de færreste der opretter en decideret administratorkonto med det eneste formål, at kunne servicere Windows systemet når der kræves administrative rettigheder. På størstedelen af de private maskiner er der én aktiv konto - og den er som standard medlem af Administrator gruppen.

Ifølge
BeyondTrust, kunne 92 procent af de kritiske Microsoft sårbarheder (i 2008) være reduceret ved, at brugeren ikke have administrative rettigheder. Faktisk så har Microsoft selv anbefalet eller berørt dette emne i omkring 70 procent af deres security bulletins de har udsendt i 2008.

Alene
fjernelse af de administrative rettigheder ville have højnet sikkerheden og resistensen i 94 procent af de Microsoft Office sårbarheder der blev rapporteret i 2008. Det samme var gældende for 89 procent af Internet Explorer sårbarhederne og for 53 procent af sårbarhederne i Windows operativsystemet.

Nu er tal taknemmelige og det er lidt svært at påvise (med mindre man har oseaner af tid) at tallenes pålydende holder vand. Men det er fakta, at begrænsede konti kan og vil reducere mulighederne for eksempelvis malware. Det skyldes blandt andet, at det er i brugerens sikkerhedskontekst at den indledende inficering starter.

Når der kræves admin rettigheder

En af begrundelserne for ikke at logge ind som en begrænset bruger er, at det gør installering og hverdagsbrug ulideligt eller helt umuligt. Det er ikke korrekt. Hvis det forholdt sig sådan, ville flertallet af de erhversmæssige Windows installeringer ikke kunne fungere.

Så lad os sige det som det er: Årsagen til begrænsede konti sjældent bruges på private Windows computere skyldes enten manglende viden eller direkte dovenskab :o)

I de tilfælde, hvor man ikke kan komme udenom at skulle udføre en handling under en administrativ kontos frie muligheder, mangler Windows de integrerede funktioner som Unix/Linux tilbyder. Her har man muligheden for at afvikle et program med administrative rettigheder ved at bruge su (Super User) eller sudo (Super User Do) kommandoen.

Men der findes dog nogle muligheder i og til Windows, som tillader begrænsede brugere at bryde ud et kort øjeblik. Men kontoens overordnede grænser er stadig bibeholdt.

Spræg rammerne midlertidigt

Den kommando i Windows, som kommer nærmest sudo kommandoen fra Linux, hedder "RunAs". Her kan man afvikle et program under en anden brugers kontekst, oftest administrator, og dermed midlertidigt bryde ud af de sikkerhedsmæssige rammer kontoen ellers er begrænset af.

Jeg sværger til at bruge RunAs fra kommandolinjen, da det give nogle muligheder som den grafiske udgave (i højreklikmenu) ikke har. Den vigtige mulighed er /env parameteren, der sørger for, at det er den begrænsede brugers miljø der benyttes når RunAs afvikler et program under en anden brugers kontekst.

Der er rapporter flere tilfælde på nettet, hvor brugere ikke har kunnet bruge RunAs til afvikling af programmer placeret på netværksdrev eller ved direkte UNC sti. Jeg har udelukkende benyttet RunAs til afvikling af lokale filer. Her følger et par eksempler på brugen ad RunAs:

Kør Windows brugergrænsefladen med administrative rettigheder:
C:\> runas /user:administrator "explorer.exe /separate"

Start Internet Explorer med
administrative rettigheder:
C:\> runas /user:administrator /env "c:\Program Files\Internet Explorer\Iexplore.exe"

Tilføj/fjern bruger fra lokal administrator gruppe

En anden mulighed udnyttes i et smart lille batch-script fundet på nettet. Her tilføjes brugeren til den lokale administrator gruppe og fjernes igen efter endt brug (MakeMeAdmin.cmd):

REM CUSTOMIZATION:
REM The following values may be changed in order to customize this script:
REM
REM * _Prog_ : the program to run
REM
REM * _Admin_ : the name of the administrative account that can make changes
REM to local groups (usu. "Administrator" unless you renamed the
REM local administrator account). The first password prompt
REM will be for this account.
REM
REM * _Group_ : the local group to temporarily add the user to (e.g.,
REM "Administrators").
REM
REM * _User_ : the account under which to run the new program. The second
REM password prompt will be for this account. Leave it as
REM %USERDOMAIN%\%USERNAME% in order to elevate the current user.
REM ********************************************************************

setlocal
set _Admin_=%COMPUTERNAME%\Administrator
set _Group_=Administrators
set _Prog_="cmd.exe /k Title *** %* as Admin *** && cd c:\ && color 4F"
set _User_=%USERDOMAIN%\%USERNAME%

if "%1"=="" (
runas /u:%_Admin_% "%~s0 %_User_%"
if ERRORLEVEL 1 echo. && pause
) else (
echo Adding user %* to group %_Group_%...
net localgroup %_Group_% "%*" /ADD
if ERRORLEVEL 1 echo. && pause
echo.
echo Starting program in new logon session...
runas /u:"%*" %_Prog_%
if ERRORLEVEL 1 echo. && pause
echo.
echo Removing user %* from group %_Group_%...
net localgroup %_Group_% "%*" /DELETE
if ERRORLEVEL 1 echo. && pause
)
endlocal

Batch-scripted er måske ikke raketvidenskab, men kan bruges til inspiration.

Tools til formålet

Andre har taget en helt anden vinkel på problemet. De har udarbejdet applikationer der forsøger at efterligne Linux's sudo kommando. Den jeg har i tankerne kaldes for "Sudo for Windows". Målt op mod RunAs har dette værktøj to primære forskelle.

For det første behøver den begrænsede bruger ikke at kende den administrative brugers navn og password. Når rettighederne midlertidigt skal løftes op - skal brugeren blot bekræfte med sit eget kendte password. Sekundært er det kun brugere tilføjet en specielt oprettet lokalgruppe, der kan afvikle sudo-kommandoen.

Som dette program, virker de fleste af samme type ved, at der installeres en server-service der kommunikerer med et klientprogram. I dette tilfælde hedder klientprogrammet "sudo.exe". Det er server-servicen der håndterer den rettigheds-by-pass der ønskes. Hvorvidt sudo-servicen kan udnyttes - er endnu ikke afprøvet. Det er altid tricky når en en service er involveret.

"Sudo for Windows" er blot et af mange programmer der prøver at udvidde mulighederne i forhold til RunAs. Men pointen er stadig den samme: Brugerkontoen er begrænset for at mindske mulighederne for misbrug - men det er muligt at få forholdsvis let adgang til de kræfter og muligheder der ligger gemt i en administrativ konto.