BBC journalister købte kreditkortinformation, der angiveligt stammer fra et callcenter med blandt andet Symantec kunder. Myndighederne er nu i gang med at undersøge, hvordan disse Symantec kunder faldt i hænderne på identitetstyve.
Den rygende pistol peger i retning af en medarbejder i det indiske callcenter, e4e, men har endnu ikke givet håndfaste beviser. Symantec har overdraget alt den information de lå inde med - og påtænker nu at terminere kontrakten med e4e.
Det var en journalist fra British Broadcasting Corporation (BBC) der omkring midten af marts fik fat i navne, adresser og kreditkortinformationer på 14 personer, hvoraf tre var Symantec kunder. De blev solgt af en mand der senere er identificeret som Saurabh Sachar - bosiddende i Delhi. Han angiver selv, at informationen kommer fra callcenterts telefonsalg, hvor hver af de tre kunder havde købt Symantec software over telefonen.
En talsmand fra Symatec har i den forbindelse sagt, at man ikke tidligere har haft problemer med e4e - og regner med det er en isoleret hændelse. Det har dog været en gang for meget, for Symantec er allerede ved at undersøge mulighederne for at flytte funktionerne over til en anden partner.
E4e har afvist alle beskyldninger, i offentlige rapporter, men den mistænkte medarbejder er alligevel bortvist medens politiets undersøgelser finder sted. Symantec talsmanden har skyndt sig at angive, at kunderne stadig kan købe software over telefonen - men de normale telefonnumre nu viderestilles til andre lokaliteter.
Se BBC's nyhed her.
torsdag den 26. marts 2009
tirsdag den 17. marts 2009
Superhacker lukket ude af Facebook
Den tidligere superhacker, Kevin Mitnick, der opfandt begrebet Social Engineering og blandt andet hackede sig ind i Pentagon, Santa Cruz Operation (SCO), Digital og Tsutomu Shimomura - blev afvist fra sin egen Facebook profil.
Det er lidt komisk, at den person som grundlagde det moderne begreb af Social Engineering i forbindelse med hacking - blev lukket ude fra sin egen profil på det sociale netværk Facebook. Hvor han i utallige tilfælde har overbevist folk om, at han var en anden (for at indhente yderligere information) - kunne han ikke overbevise Facebooks personale om, at nu var han den ægte vare.
Situationen skal naturligvis ses i relation til, at Facebook oplever tusindvis af falske profiler blive oprettet i andres navne. Enten for at udnytte den trafik der sendes i profilens retning - eller for at skade personen direkte såvel som indirekte. I Kevin Mitnicks tilfælde findes der mindst 72 profiler som relaterer til hans navn på den ene eller anden måde.
I et telefoninterview til CNet siger Kevin Mitnick (med lidt spøg i stemmen): "Det har frustreret mig lige til slutningen. Jeg plejede at være særdeles overbevisende når jeg skulle udgøre mig som værende en anden. Og nu kan jeg ikke engang bevise at jeg er den rigtige Kevin Mitnick. Det er næsten sørgeligt".
Der gik faktisk to år før Facebook greb ind overfor hans profil. Derfor var han rimelig overrasket, da han den 22. februar i år ikke længere kunne logge sig ind. Han forsøgte efterfølgende at overbevise Facebook om, at han var den ægte vare ved, at sende en e-mail fra sit nuværende it-sikkerhedsfirmas konto, Mitnick Security Consulting.
Men, det er Facebooks politik ikke at reagere på e-mails sendt fra en anden konto end den som profilen er oprettet under. Så derfor blev hans forklaringer afvist prompte.
En talsmand fra Facebook forklarer dette med, at de er meget aggressive i forbindelse med at håndhæve "real name" kulturen og der til tider sker en smutter. Facebook påpeger at det ikke sker ret ofte - og det nu er rettet i Kevin Mitnicks tilfælde (Red: efter CNets henvendelse).
Fjæsbogens mange sider
Der har været megen debat om Facebook - og senest med beskyttelse af personlige oplysninger. Nogle virksomheder har valgt at lukke af for adgangen til Facebook, da nogle medarbejdere ikke kan styre deres forbrug eller den publicerede information på siderne.
Det syntes jeg personligt er helt i orden. Selvom man ikke skal skære alle over en kam, så er der nogle personer der ukritisk publicerer information - som de ellers kun ville melde ud i en 200 hk brandert. Det er som om, at de naturlige parader (omtanke) i nogle tilfælde sænkes.
Da Facebook samtidig er et yndet mål for hackere og malwareudviklere, grundet de mange personerder er samlet ét sted, og derfor en potentiel kilde til inficering. Det er såmen kun nogle få uger siden, at Facebook sidst var mål og middel for en malwarekampagne. Og der vil bestemt ikke komme færre forsøg i fremtiden.
Af samme grund har Forbrugerrådet også taget denne problemstilling op - omend deres fokus er på usikkerheden for individets personlige data. De skriver eksempelvis: "Forbrugerrådet frygter imidlertid, at markedet for persondata er så uigennemsigtigt og ukontrolleret, at det er umuligt for forbrugerne at overskue konsekvenserne af denne omfattende indsamling og udnyttelse af private oplysninger".
Det er lidt komisk, at den person som grundlagde det moderne begreb af Social Engineering i forbindelse med hacking - blev lukket ude fra sin egen profil på det sociale netværk Facebook. Hvor han i utallige tilfælde har overbevist folk om, at han var en anden (for at indhente yderligere information) - kunne han ikke overbevise Facebooks personale om, at nu var han den ægte vare.
Situationen skal naturligvis ses i relation til, at Facebook oplever tusindvis af falske profiler blive oprettet i andres navne. Enten for at udnytte den trafik der sendes i profilens retning - eller for at skade personen direkte såvel som indirekte. I Kevin Mitnicks tilfælde findes der mindst 72 profiler som relaterer til hans navn på den ene eller anden måde.
I et telefoninterview til CNet siger Kevin Mitnick (med lidt spøg i stemmen): "Det har frustreret mig lige til slutningen. Jeg plejede at være særdeles overbevisende når jeg skulle udgøre mig som værende en anden. Og nu kan jeg ikke engang bevise at jeg er den rigtige Kevin Mitnick. Det er næsten sørgeligt".
Der gik faktisk to år før Facebook greb ind overfor hans profil. Derfor var han rimelig overrasket, da han den 22. februar i år ikke længere kunne logge sig ind. Han forsøgte efterfølgende at overbevise Facebook om, at han var den ægte vare ved, at sende en e-mail fra sit nuværende it-sikkerhedsfirmas konto, Mitnick Security Consulting.
Men, det er Facebooks politik ikke at reagere på e-mails sendt fra en anden konto end den som profilen er oprettet under. Så derfor blev hans forklaringer afvist prompte.
En talsmand fra Facebook forklarer dette med, at de er meget aggressive i forbindelse med at håndhæve "real name" kulturen og der til tider sker en smutter. Facebook påpeger at det ikke sker ret ofte - og det nu er rettet i Kevin Mitnicks tilfælde (Red: efter CNets henvendelse).
Fjæsbogens mange sider
Der har været megen debat om Facebook - og senest med beskyttelse af personlige oplysninger. Nogle virksomheder har valgt at lukke af for adgangen til Facebook, da nogle medarbejdere ikke kan styre deres forbrug eller den publicerede information på siderne.
Det syntes jeg personligt er helt i orden. Selvom man ikke skal skære alle over en kam, så er der nogle personer der ukritisk publicerer information - som de ellers kun ville melde ud i en 200 hk brandert. Det er som om, at de naturlige parader (omtanke) i nogle tilfælde sænkes.
Da Facebook samtidig er et yndet mål for hackere og malwareudviklere, grundet de mange personerder er samlet ét sted, og derfor en potentiel kilde til inficering. Det er såmen kun nogle få uger siden, at Facebook sidst var mål og middel for en malwarekampagne. Og der vil bestemt ikke komme færre forsøg i fremtiden.
Af samme grund har Forbrugerrådet også taget denne problemstilling op - omend deres fokus er på usikkerheden for individets personlige data. De skriver eksempelvis: "Forbrugerrådet frygter imidlertid, at markedet for persondata er så uigennemsigtigt og ukontrolleret, at det er umuligt for forbrugerne at overskue konsekvenserne af denne omfattende indsamling og udnyttelse af private oplysninger".
kl.
10.10
lørdag den 14. marts 2009
Tim Kretschmers chat er en hoax
Kort efter tragedien i den sydtyske by Winnenden, florerede der citater i medierne et fra en chat morderen angiveligt skulle have haft natten forinden massedrabene. Men det har nu vist sig, at det med stor sandsynlighed er en forfalskning.
Da den 17-årige psykisk syge Tim Kretchmer gik amok på sin gamle skole, afgav han 112 skud der resulterede i, at15 uskyldige mennesker mistede livet. Kort efter dukkede der screen-shots op af en chat han skulle have haft natten forinden hans ugerning.
Her skulle han blandt andet have sagt, at han var træt af sit elendige liv, havde våben, og mente det alvorligt når han sagde, at han ville tage hen på sin gamle skole og "grille dem". Men tysk politi har ikke har kunnet finde nogen beviser på Tim Kretchmers computer.
Både tyske medier, eksempelvis Der Spiegel online, og Baden-Württembergs indenrigsminister, Heribert Rech, faldt ellers for denne syge forfalskning - som en næsten lige så forstyrret person har udnyttet sine kreative evner til at udarbejde i Photoshop.
Spørgsmålet er nu, om der er it-kriminelle der vil overskride den etiske grænse og lokke nysgerrige ind på angrebssider, under dække af, at siden har de originale screen-shots - samt endnu ikke publiceret materiale. Måske kombineret med spam-mails som reklamemedie?
Det er set før. Storm botnettet introducerede sig selv på en lignende måde i januar 2007, hvor bagmændene lokkede nysgerrige ind på angrebssider ved hjælp af spam med overskrifter som "230 dead as storm batters Europe".
Se baggrunden for dette blog-indlæg her: German school shooter didn't announce anything on the internet.
Da den 17-årige psykisk syge Tim Kretchmer gik amok på sin gamle skole, afgav han 112 skud der resulterede i, at15 uskyldige mennesker mistede livet. Kort efter dukkede der screen-shots op af en chat han skulle have haft natten forinden hans ugerning.
Her skulle han blandt andet have sagt, at han var træt af sit elendige liv, havde våben, og mente det alvorligt når han sagde, at han ville tage hen på sin gamle skole og "grille dem". Men tysk politi har ikke har kunnet finde nogen beviser på Tim Kretchmers computer.
Både tyske medier, eksempelvis Der Spiegel online, og Baden-Württembergs indenrigsminister, Heribert Rech, faldt ellers for denne syge forfalskning - som en næsten lige så forstyrret person har udnyttet sine kreative evner til at udarbejde i Photoshop.
Spørgsmålet er nu, om der er it-kriminelle der vil overskride den etiske grænse og lokke nysgerrige ind på angrebssider, under dække af, at siden har de originale screen-shots - samt endnu ikke publiceret materiale. Måske kombineret med spam-mails som reklamemedie?
Det er set før. Storm botnettet introducerede sig selv på en lignende måde i januar 2007, hvor bagmændene lokkede nysgerrige ind på angrebssider ved hjælp af spam med overskrifter som "230 dead as storm batters Europe".
Se baggrunden for dette blog-indlæg her: German school shooter didn't announce anything on the internet.
kl.
09.47
fredag den 13. marts 2009
Downadup/Conficker Removal Tool fra BitDefender
Downadup/Conficker ormen har indbygget muligheden for, at spærre adgangen til en bred vifte af websites tilhørende antivirusvirksomheder. BitDefender påstår de er først med et Removal Tool der kan både kan fjerne alle spor af ormen - og samtidig hentes fra en side der ikke er spærret for.
Den 11. marts 2009 frigav BitDefender en nyhed på deres web om, at de har udviklet et værktøj der kan fjerne alle spor af Downadup/Conficker ormen. De angiver samtidig (lidt vovet), at de er først med et sådan værktøj.
De har placeret bd_rem_tool.zip på et website som ikke eksisterer på den blokeringslisten som Downadup/Conficker har indbygget og skriver ned i hosts-filen. Dermed skulle det være muligt for inficerede brugere at hente dette removal tool og få renset deres system.
Det er vigtigt, at værktøjet køres med administrative rettigheder - for at få ubeskåret adgang til Windows systemet. BitDefender anbefaler samtidig også, at maskinen genstartes efter der er renset op, således adgang til nettet igen kan etableres.
Det skal nævnes, at andre antivirusproducenter har tilsvarende værktøjer. Hos Norman kan man eksempelvis hente Norman Malware Cleaner, der også har medicin mod Downadup/Conficker ormen indbygget.
I øvrigt skulle dette domæne være okay og tilhører BitDefender. Se Robtex informationen her.
Andre removal tools
Symantec W32.Downadup Removal Tool
F-Secure Worm:W32/Downadup.AL
Den 11. marts 2009 frigav BitDefender en nyhed på deres web om, at de har udviklet et værktøj der kan fjerne alle spor af Downadup/Conficker ormen. De angiver samtidig (lidt vovet), at de er først med et sådan værktøj.
De har placeret bd_rem_tool.zip på et website som ikke eksisterer på den blokeringslisten som Downadup/Conficker har indbygget og skriver ned i hosts-filen. Dermed skulle det være muligt for inficerede brugere at hente dette removal tool og få renset deres system.
Det er vigtigt, at værktøjet køres med administrative rettigheder - for at få ubeskåret adgang til Windows systemet. BitDefender anbefaler samtidig også, at maskinen genstartes efter der er renset op, således adgang til nettet igen kan etableres.
Det skal nævnes, at andre antivirusproducenter har tilsvarende værktøjer. Hos Norman kan man eksempelvis hente Norman Malware Cleaner, der også har medicin mod Downadup/Conficker ormen indbygget.
I øvrigt skulle dette domæne være okay og tilhører BitDefender. Se Robtex informationen her.
Andre removal tools
Symantec W32.Downadup Removal Tool
F-Secure Worm:W32/Downadup.AL
kl.
12.56
Conficker skaber kaos for norsk politi
Det norske politi blev i går ramt af Conficker ormen, hvilket skabte kraftige problemer og fik systemerne til at gå ned over hele landet. Både paskontrol og operationscentraler var lammet fortæller Digi.no.
I går kæmpede det norske politis data- og materieltjeneste (PDMT) med at identificere og bekæmpe et udbrud af Conficker ormen i deres systemer. Ormen havde også tidligere på dagen lammet Helse Vest og Nord-Trøndelag fylkes kommune.
Konsekvensen af Confickers hærgen var langt mere vidtrækkende end som så, da politiets operationscentraler ikke kunne komme på nettet og paskontorerne måtte lukke da medarbejderne ikke kunne få adgang til vigtige sagsakter.
I Oslo lufthavn, Gardermoen, blev politiet nød til at lukke rejsende ind uden at tjekke dem i deres registre først. Det er ellers normal procedure, men kunne ikke lade sig gøre medens teknikere kæmpede med at få kontrol over situationen.
Mere end 1000 af politiets computere er angiveligt inficeret med malwaren - og det er geografisk set fordelt over hele Norge. Dette omfattende udbrud kommer blot et par uger efter, at Kripos (den norske afdeling for bekæmpelse af organiseret og anden alvorlig kriminalitet) blev ramt af et lignende nedbrud.
Naturligvis forsøger norsk politi at afdramatisere hændelsen. I en pressemeddelelse udsendt i går eftermiddag siger de, at "gode rutiner beskyttede politiet mod virusangrebet". Norsk politi understreger, at det normale beredskab ikke har været påvirket - og alle henvendelser fra norske borgere har været håndteret på normal vis.
Opdatering kl. 14.15
En af grundene til, at dette er gået så galt for det norske politi kan skyldes, at de tilsyneladende stadig har gamle Windows NT 4.0 systemer kørende. Nogle af deres systemer har oven i købet ikke være været patched - og andre igen har været helt uden antivirusbeskyttelse.
Faktisk passer missæren så fint ind i det som Microsoft sikkerhedsrådgiver for EMEA, Roger Halbheer, angav som værende de største syndere i forbindelse med Conficker. Du kan læse mere om Roger Halbheers udtalelser her.
I går kæmpede det norske politis data- og materieltjeneste (PDMT) med at identificere og bekæmpe et udbrud af Conficker ormen i deres systemer. Ormen havde også tidligere på dagen lammet Helse Vest og Nord-Trøndelag fylkes kommune.
Konsekvensen af Confickers hærgen var langt mere vidtrækkende end som så, da politiets operationscentraler ikke kunne komme på nettet og paskontorerne måtte lukke da medarbejderne ikke kunne få adgang til vigtige sagsakter.
I Oslo lufthavn, Gardermoen, blev politiet nød til at lukke rejsende ind uden at tjekke dem i deres registre først. Det er ellers normal procedure, men kunne ikke lade sig gøre medens teknikere kæmpede med at få kontrol over situationen.
Mere end 1000 af politiets computere er angiveligt inficeret med malwaren - og det er geografisk set fordelt over hele Norge. Dette omfattende udbrud kommer blot et par uger efter, at Kripos (den norske afdeling for bekæmpelse af organiseret og anden alvorlig kriminalitet) blev ramt af et lignende nedbrud.
Naturligvis forsøger norsk politi at afdramatisere hændelsen. I en pressemeddelelse udsendt i går eftermiddag siger de, at "gode rutiner beskyttede politiet mod virusangrebet". Norsk politi understreger, at det normale beredskab ikke har været påvirket - og alle henvendelser fra norske borgere har været håndteret på normal vis.
Opdatering kl. 14.15
En af grundene til, at dette er gået så galt for det norske politi kan skyldes, at de tilsyneladende stadig har gamle Windows NT 4.0 systemer kørende. Nogle af deres systemer har oven i købet ikke være været patched - og andre igen har været helt uden antivirusbeskyttelse.
Faktisk passer missæren så fint ind i det som Microsoft sikkerhedsrådgiver for EMEA, Roger Halbheer, angav som værende de største syndere i forbindelse med Conficker. Du kan læse mere om Roger Halbheers udtalelser her.
kl.
12.05
torsdag den 12. marts 2009
Humor ind i it-sikkerhed
Skræmmekampagner og kolde fakta er den normale måde, at virksomheder med fokus på it-sikkerhed leverer information til sine kunder. Rumænske CoSoSys vil nu overbringe deres information med humor i form af en ugentlig stribe.
Jeg sad tidligere idag og læste Trend Micros seneste kampagne, "Think Again / Outthink the Threat", hvor de benytter den traditionelle fremgangsmåde at få deres budskab ud. Ved hjælp af nøgtern og saglig information vil de oplyse og præge læserens tanker og holdninger. Fokus er på den seneste type data-stjælende malware - og de højest aktuelle problemer det bringer med sig.
Kontrasten kom kort efter, hvor jeg snublede over den rumænske sikkerhedsvirksomhed, CoSoSys, der blandt andet sælger systemer til Device Control Management. Altså kontrol af hvilke enheder der kan kobles til computeren og netværket.
CoSoSys har valgt en lidt anden strategi til at informere og oplyse. De vil fremover køre en ugentlig stribe på deres web, som tager et relevant emne op. Den første udgave omhandler Data Theft - og de efterfølgende vil have overskrifterne Data Leakage, Data Loss og Malware Intrusion.
Jeg fandt dette tiltag morsomt og skyndte mig at smide linket videre til nogle stykker på MSN. Til spørgsmålet om personerne ville købe hos dette firma, så var svarene meget delt. En svarede "Nej, jeg synes ikke det virker helt seriøst" - og som kontrast - "Ja, det er jo sandt og reklamemæssigt er det nytænkning". Der kom også et par "muligvis".
Humor ind i it-sikkerhedsmarketing
Med denne højest uvidenskabelige undersøgelse i mente, drejede tankerne sig i en anden retning. Udgangspunktet for alt salg munder ud i et behov. Men hos mange kunder i branchen opstår behovet oftest reaktivt. Med andre ord skal noget gå galt før man kryber til lommerne.
Men kan den normale formidling af it-sikkerhedsinformation have en større finger med i spillet end først antaget. Har CoSoSys fat i noget af det rigtige med denne type markedsføring. Kan denne blanding af humor og alvor skabe det behov hos de kunder der normalt glider let hen over den traditionelle formidlingsform?
Humor i marketingsregi er jo ikke noget nyt i sig selv. Vi ser det eksempelvis i de reklameblokke der vises på TV. Så det må være branche- og produktanhængigt. Og i de situationer, hvor det er brancherelateret, så er det oftest rettet mod afslapning. Et eksempel er ComONs Dilbert.
Hvis du eller din virksomhed overvejer at gå samme vej og bruge humor i jeres marketing, så vil det være en god idé at læse følgende: Humor in Marketing: Six Serious Tips.
Jeg sad tidligere idag og læste Trend Micros seneste kampagne, "Think Again / Outthink the Threat", hvor de benytter den traditionelle fremgangsmåde at få deres budskab ud. Ved hjælp af nøgtern og saglig information vil de oplyse og præge læserens tanker og holdninger. Fokus er på den seneste type data-stjælende malware - og de højest aktuelle problemer det bringer med sig.
Kontrasten kom kort efter, hvor jeg snublede over den rumænske sikkerhedsvirksomhed, CoSoSys, der blandt andet sælger systemer til Device Control Management. Altså kontrol af hvilke enheder der kan kobles til computeren og netværket.
CoSoSys har valgt en lidt anden strategi til at informere og oplyse. De vil fremover køre en ugentlig stribe på deres web, som tager et relevant emne op. Den første udgave omhandler Data Theft - og de efterfølgende vil have overskrifterne Data Leakage, Data Loss og Malware Intrusion.
Jeg fandt dette tiltag morsomt og skyndte mig at smide linket videre til nogle stykker på MSN. Til spørgsmålet om personerne ville købe hos dette firma, så var svarene meget delt. En svarede "Nej, jeg synes ikke det virker helt seriøst" - og som kontrast - "Ja, det er jo sandt og reklamemæssigt er det nytænkning". Der kom også et par "muligvis".
Humor ind i it-sikkerhedsmarketing
Med denne højest uvidenskabelige undersøgelse i mente, drejede tankerne sig i en anden retning. Udgangspunktet for alt salg munder ud i et behov. Men hos mange kunder i branchen opstår behovet oftest reaktivt. Med andre ord skal noget gå galt før man kryber til lommerne.
Men kan den normale formidling af it-sikkerhedsinformation have en større finger med i spillet end først antaget. Har CoSoSys fat i noget af det rigtige med denne type markedsføring. Kan denne blanding af humor og alvor skabe det behov hos de kunder der normalt glider let hen over den traditionelle formidlingsform?
Humor i marketingsregi er jo ikke noget nyt i sig selv. Vi ser det eksempelvis i de reklameblokke der vises på TV. Så det må være branche- og produktanhængigt. Og i de situationer, hvor det er brancherelateret, så er det oftest rettet mod afslapning. Et eksempel er ComONs Dilbert.
Hvis du eller din virksomhed overvejer at gå samme vej og bruge humor i jeres marketing, så vil det være en god idé at læse følgende: Humor in Marketing: Six Serious Tips.
kl.
11.42
onsdag den 11. marts 2009
Information is King - Pifts har en forklaring
De seneste dage har der virkelig været lagt i kakkelovnen til den helt store konspirationsteori. Symantecs noget underlige reaktion på filen PIFTS.EXE, er blevet diskutteret på fora af høj og lav. Til trods for det hele nu er manet i jorden, så har malware udviklerne ikke været sene til at udnytte muligheden.
Det hele startede lidt uskyldigt. Den 9. marts begyndte nogle brugere af Symantecs sikkerhedssuite at undrede sig over et nyt og ukendt program, PIFTS.EXE, pludselig trickede firewallen. Da de ikke umiddelbart kunne finde information om filen, blev der oprettet indlæg på Symantecs forum. Af uforklarlige årsager valgte Symantec at fjerne disse indlæg. Og så startede balladen.
Kunne Symantecs software være ramt af malware som de ikke ønskede at komme ud med? Hvis det var en del af softwaren, hvorfor blev de releaterede forumindlæg så fjernet? Hvorfor kom der ikke klare udmeldinger fra Symantec om PIFTS formål? Hvorfor ville programmet forbinde sig til en statistik-server i det ene tilfælde og til en afrikansk IP i et andet? Der var pludselig flere spørgsmål end svar - den direkte vej til e-panik :o)
Det befriende svar
På Symantecs forum er der så endelig kommet klar besked fra Dave Cole, Senior Director of Product Management i Symantec. Pifts.exe er en diagnostiserings patch rettet mod Norton Internet Security og Norton Antivirus 2006/2007. Grundet en menneskelig fejl, blev den første version frigivet usigneret, hvilket var årsagen til firewallen slog alarm. Pifts.exe skulle angivelig bruges af Symantec til at bestemme, hvor mange brugere der behøvede at få en nyere version i relation til kommende Windows 7.
Som tidligere ansat i en antivirusvirksomhed, kan jeg godt huske en lignende sag for flere år tilbage (omkring 2002/2003). Her var den aktuelle version ved at blive klargjort til en rullende opdatering til næste version. I den forbindelse introducerede man et nyt modul, som også trickede firewallen. Der var en helt naturlig forklaring, men brugerne var ikke blevet informeret godt nok. Det afledte både en kæmpe supportbobbel - og en komplet ændring af proceduren for udgående information rettet mod slutbrugeren.
Men det er jo 6-7 år siden i skrivende stund. Forskellen fra dengang og til nu er, at brugerne er blevet meget mere bevidste og vidende om de benyttede sikkerhedsprodukter. Når man som sikkerhedsvirksomhed prædiker eftertænksomhed - så svinger døren begge veje. Kort sagt: Information is King!
Malware, dit navn er Pifts
Missæren har så afledt, at malware udviklere har øjnet en chance for at udnytte situationen. Det er rapporteret flere steder fra, at inficerede websites nu forsøger at installere malware når man besøger dem for at indhente oplysninger om Pifts.exe. Der findes også sites (.ru og .ch), hvor man direkte kan hente filen, med den medfølgende forklaring, at det er Symantecs opdaterede og godkendte version. *LOL*
Symantec tager dette yderst alvorlig. De advarer brugere mod at følge links til ukendte websites, da ondsindede personer nu forsøger at udnytte dette varme emne til at sprede malware.
Yderligere information
Google søgning: http://www.google.com/search?q=intext%3Apifts.exe
Det hele startede lidt uskyldigt. Den 9. marts begyndte nogle brugere af Symantecs sikkerhedssuite at undrede sig over et nyt og ukendt program, PIFTS.EXE, pludselig trickede firewallen. Da de ikke umiddelbart kunne finde information om filen, blev der oprettet indlæg på Symantecs forum. Af uforklarlige årsager valgte Symantec at fjerne disse indlæg. Og så startede balladen.
Kunne Symantecs software være ramt af malware som de ikke ønskede at komme ud med? Hvis det var en del af softwaren, hvorfor blev de releaterede forumindlæg så fjernet? Hvorfor kom der ikke klare udmeldinger fra Symantec om PIFTS formål? Hvorfor ville programmet forbinde sig til en statistik-server i det ene tilfælde og til en afrikansk IP i et andet? Der var pludselig flere spørgsmål end svar - den direkte vej til e-panik :o)
Det befriende svar
På Symantecs forum er der så endelig kommet klar besked fra Dave Cole, Senior Director of Product Management i Symantec. Pifts.exe er en diagnostiserings patch rettet mod Norton Internet Security og Norton Antivirus 2006/2007. Grundet en menneskelig fejl, blev den første version frigivet usigneret, hvilket var årsagen til firewallen slog alarm. Pifts.exe skulle angivelig bruges af Symantec til at bestemme, hvor mange brugere der behøvede at få en nyere version i relation til kommende Windows 7.
Som tidligere ansat i en antivirusvirksomhed, kan jeg godt huske en lignende sag for flere år tilbage (omkring 2002/2003). Her var den aktuelle version ved at blive klargjort til en rullende opdatering til næste version. I den forbindelse introducerede man et nyt modul, som også trickede firewallen. Der var en helt naturlig forklaring, men brugerne var ikke blevet informeret godt nok. Det afledte både en kæmpe supportbobbel - og en komplet ændring af proceduren for udgående information rettet mod slutbrugeren.
Men det er jo 6-7 år siden i skrivende stund. Forskellen fra dengang og til nu er, at brugerne er blevet meget mere bevidste og vidende om de benyttede sikkerhedsprodukter. Når man som sikkerhedsvirksomhed prædiker eftertænksomhed - så svinger døren begge veje. Kort sagt: Information is King!
Malware, dit navn er Pifts
Missæren har så afledt, at malware udviklere har øjnet en chance for at udnytte situationen. Det er rapporteret flere steder fra, at inficerede websites nu forsøger at installere malware når man besøger dem for at indhente oplysninger om Pifts.exe. Der findes også sites (.ru og .ch), hvor man direkte kan hente filen, med den medfølgende forklaring, at det er Symantecs opdaterede og godkendte version. *LOL*
Symantec tager dette yderst alvorlig. De advarer brugere mod at følge links til ukendte websites, da ondsindede personer nu forsøger at udnytte dette varme emne til at sprede malware.
Yderligere information
Google søgning: http://www.google.com/search?q=intext%3Apifts.exe
kl.
11.44
lørdag den 7. marts 2009
Conficker opruster til e-krig
Ny variant af Conficker/Downadup ormen opruster til e-krig. Den distribueres til allerede inficerede systemer - og går målrettet efter at afbryde antivirussoftware og forskellige sikkerheds- og analyseværktøjer.
Symantec meddeler på deres blog, at de har fundet en ny variant af Conficker/Downadup ormen, der i første udgave startede sin hærgen i slut oktober 2008. Den nyopdagede C-variant har fået indbygget selvforsvarskode - og forsøger nu at bevare kontrollen over de allerede inficerede computere. Botnet bagmændene tager kampen op for at beholde deres zombier.
Helt specifikt forsøger den at stoppe kørende processer, som kan bruges til enten at identificere, fjerne eller reducere ormens arbejdsmuligheder. Det er processer med følgende strengtekster den går efter: Wireshark, unlocker, tcpview, sysclean, scct_, regmon, procmon, procexp, ms08-06, mrtstub, mrt., mbsa., klwk, kido, kb958, kb890, hotfix, gmer, filemon, downad, confick, avenger og autoruns.
En anden indikator er en 200 ganges forøgelse i den domænegenerator den har indbygget, rettet mod kommunikation med Command & Control Servere. I B-varianten genererede den 250 domæner pr dag - som Conficker tjekkede for nye opdateringer. Men i C-varianten er listen øget til 50.000 domæner om dagen! Når blot én inficeret computer frem til en C&C server, så kan den efterfølgende opdatere andre ved hjælp af peer-2-peer funktionalitet.
Vincent Weafer, Vice President, Symantec Security Response, siger til Networkworld, at de endnu kun har set varianten som en opdatering sendt til en eksisterende udgave i en honeypot - men det sandsynligvis kun er et spørgsmål om tid før den er selvspredende.
Samtidig mener Vincent Weafer, at den verdensomspændende oprydningsindsats har reduceret antallet af nuværende Conficker/Downadup inficeringer - fra flere millioner til størrelsesordnen hundredtusinde. Trods en positiv nedgang - så er antallet stadig overvældende.
Selvom det er påfaldende defensive tiltag denne tidlige analyse fremhæver, så er jeg sikker på, at denne drejning ikke må tolkes som et svaghedstegn i sig selv. Det er nærmere en indikator på, at bagmændene er omstillingsparate og vil prøve alt for at bevare deres botnet.
Måske har bagmændene læst The Art of War af Sun Tzu. Deres nuværende strategi passer i hvert fald meget godt med dette citat: Invincibility lies in the defence; the possibility of victory in the attack.
Symantec meddeler på deres blog, at de har fundet en ny variant af Conficker/Downadup ormen, der i første udgave startede sin hærgen i slut oktober 2008. Den nyopdagede C-variant har fået indbygget selvforsvarskode - og forsøger nu at bevare kontrollen over de allerede inficerede computere. Botnet bagmændene tager kampen op for at beholde deres zombier.
Helt specifikt forsøger den at stoppe kørende processer, som kan bruges til enten at identificere, fjerne eller reducere ormens arbejdsmuligheder. Det er processer med følgende strengtekster den går efter: Wireshark, unlocker, tcpview, sysclean, scct_, regmon, procmon, procexp, ms08-06, mrtstub, mrt., mbsa., klwk, kido, kb958, kb890, hotfix, gmer, filemon, downad, confick, avenger og autoruns.
En anden indikator er en 200 ganges forøgelse i den domænegenerator den har indbygget, rettet mod kommunikation med Command & Control Servere. I B-varianten genererede den 250 domæner pr dag - som Conficker tjekkede for nye opdateringer. Men i C-varianten er listen øget til 50.000 domæner om dagen! Når blot én inficeret computer frem til en C&C server, så kan den efterfølgende opdatere andre ved hjælp af peer-2-peer funktionalitet.
Vincent Weafer, Vice President, Symantec Security Response, siger til Networkworld, at de endnu kun har set varianten som en opdatering sendt til en eksisterende udgave i en honeypot - men det sandsynligvis kun er et spørgsmål om tid før den er selvspredende.
Samtidig mener Vincent Weafer, at den verdensomspændende oprydningsindsats har reduceret antallet af nuværende Conficker/Downadup inficeringer - fra flere millioner til størrelsesordnen hundredtusinde. Trods en positiv nedgang - så er antallet stadig overvældende.
Selvom det er påfaldende defensive tiltag denne tidlige analyse fremhæver, så er jeg sikker på, at denne drejning ikke må tolkes som et svaghedstegn i sig selv. Det er nærmere en indikator på, at bagmændene er omstillingsparate og vil prøve alt for at bevare deres botnet.
Måske har bagmændene læst The Art of War af Sun Tzu. Deres nuværende strategi passer i hvert fald meget godt med dette citat: Invincibility lies in the defence; the possibility of victory in the attack.
kl.
21.39
fredag den 6. marts 2009
Confickers hærgen kunne være reduceret
Et veldrevet IT-system ville have haft en god chance for at modstå Confickers hærgen, hvis sikkerhedspolitikker var håndhævet og fulgt op med administrative foranstaltninger, revision og udnyttelse af de tekniske muligheder. Det siger Microsofts Chief Security Advisor for EMEA, Roger Halbheer.
Microsoft sikkerhedsrådgiver for Europa, Mellemøsten og Afrika (EMEA), Roger Halbheer, tager på sin blog en pragmatisk holdning til Confickers hærgen. Han forsøger ikke at få nogen virksomheder, der blev ramt, i fedtefadet - men svinger alligevel pisken. For det er hans holdning, at Confickers hærgen kunne være reduceret - blot nogle enkle sikkerhedsforskrifter havde været overholdt.
Disse forskrifter uddyber han i seks punkter, som bør være indlysende, og angives som værende nogle af de egentlige årsager til Conficker-inficeringer rundt om i verden. Pointen er, at et veladministreret netværk oftest er billigere at drifte - og samtidig mere sikkert.
Han lægger hårdt ud med nedprioriteret patching, hvor ansvaret placeres hos ledelsen. Vælger man bevist ikke at patche - eller overlader det til administrators beslutning - så kalder han det direkte at udvise forsømmelighed.
For at imødekomme kritiske røster om overvejende sårbare Microsoft produkter, så henviser han til Microsofts Security Intelligence Report. Den angiver, at Microsoft er ansvarlig for tre procent af den samlede mængde sårbarheder. De resterende 97 procent skal også patches op.
Ikke-administrerede maskiner er også en faktor. Der er flere tilfælde, hvor virksomheden tror de er fuldt opdateret. Men ved en nærmere gennemgang af netværket findes der maskiner som ikke indgår i den automatiserede opdateringsprocedure. Dette er måske nok en overkommelig opgave at tjekke på et mindre netværk. Men er det flere hundrede/tusinde maskiner - så er det et projekt der skal have økonomisk opbakning.
Svage eller ikke-eksisterende passwords er snart så gennemtæsket et område, at det ikke burde være en faktor. Her burde tidligere ormes hærgen have lukket og slukket for yderligere diskussion om det problem. Men sådan forholder det sig ikke. Conficker havde eksempelvis indbygget en liste på knapt 250 alment brugte passwords, som den benyttede ved spredning til ADMIN$- eller IPC (interprocess communication) delingen.
Lokale administratorrettigheder er et lige så slidt debatområde. Her kan et større blame-game sættes i gang, da nogle applikationer ikke kan afvikles uden administrative rettigheder.
Virtualiseringsdelen i Windows Vista har haft positiv inflydelse på det problem - og det vil "Windows 7" også have - men den store mængde virksomheder der stadig benytter Windows XP vil fortsat slås med dette "problem". Ifølge BeyondTrust, kunne 92 procent af de kritiske Microsoft sårbarheder (i 2008) være reduceret ved, at brugeren ikke have administrative rettigheder. Det afledte min blog den 4. februar om emnet: Begrænsede brugerrettigheder afhjælper sårbarheder. User Account Control (UAC) er og bliver et fokusemne.
En virkelig overraskende information, fra Roger Halbheers indlæg, er brugen af gamle og udfasede Windows versioner. I den forbindelse har Microsoft opdaget, at ikke så få udgaver af Windows NT 4.0 stadig er i aktiv brug. Det er til trods for, at NT4 SP6a blev pensioneret den 31. december 2004. Årsagen var den gang en yderst kritisk sårbarhed (MS03-010), som kun kunne løses ved at ændre NT4 radikalt. Desværre bliver disse oldsager stadig koblet på netværket nogen steder, hvor de afvikler lige så gamle applikationer. Vel om mærke uden nogen form for beskyttelse eller afskærmning. Det er kritisk.
Jeg kender et par steder i DK, hvor man af forskellige årsager ikke kan opgradere de ældre maskiner. Man har så til gengæld taget alle andre nødvendige skridt for at afskærme disse dinosauer.
Antimalware beskyttelser er det sidste store punkt som Halbheer nævner. Drejningen er i den forbindelse manglende beskyttelse af kunderne, trods de er fuldt opdaterede med seneste signaturer. Alligevel blev de ramt. Og det til trods for, at de fleste antimalware produkter i dag har en eller anden form for proaktiv scanningsteknologi indbygget. Det seneste buzzword er Cloud Scanning. Men for at den skal virke optimalt, så skal de tidligere nævnte punkter også være på plads - arbejdsbetingelserne så at sige. Her må uafhængige test tale deres eget sprog.
Jeg har været med til at udføre en test på fem forskellige antimalware produkter. De fik alle de samme filer til scanning fra et live feed - og blev opdateret samtidig (hver time). På et tidspunkt kiggede en orm forbi dette setup. Kun ét af de fem produkter fandt noget mistænkeligt - og så blev den oven i købet kun angivet som suspicious. Vi ved efterfølgende, at det var en orm, da vi løbende kunne efterscanne. Og så snart producenterne fik signaturerne opdateret - så begyndte alarmer og navnene at dukke op.
Afsluttende giver Roger Halbheer endnu en bredside til de økonomisk ansvarlige i virksomheden. Det er deres job, baseret på Business Risk Management, at beslutte om man vil investere i det nødvendige for at sikre virksomhedens optimalt. Det er ikke den sikkerhedsansvarliges (CSO) opgave, efter Halbheers mening. Han/hun skal på fornemmeste vis sikre sig, at beslutningstagerne kender de risici der er forbundet med deres beslutninger.
Opdatering 6/3-09, kl 22.31: Running as Non-Admin in Windows XP
Microsoft sikkerhedsrådgiver for Europa, Mellemøsten og Afrika (EMEA), Roger Halbheer, tager på sin blog en pragmatisk holdning til Confickers hærgen. Han forsøger ikke at få nogen virksomheder, der blev ramt, i fedtefadet - men svinger alligevel pisken. For det er hans holdning, at Confickers hærgen kunne være reduceret - blot nogle enkle sikkerhedsforskrifter havde været overholdt.
Disse forskrifter uddyber han i seks punkter, som bør være indlysende, og angives som værende nogle af de egentlige årsager til Conficker-inficeringer rundt om i verden. Pointen er, at et veladministreret netværk oftest er billigere at drifte - og samtidig mere sikkert.
Han lægger hårdt ud med nedprioriteret patching, hvor ansvaret placeres hos ledelsen. Vælger man bevist ikke at patche - eller overlader det til administrators beslutning - så kalder han det direkte at udvise forsømmelighed.
For at imødekomme kritiske røster om overvejende sårbare Microsoft produkter, så henviser han til Microsofts Security Intelligence Report. Den angiver, at Microsoft er ansvarlig for tre procent af den samlede mængde sårbarheder. De resterende 97 procent skal også patches op.
Ikke-administrerede maskiner er også en faktor. Der er flere tilfælde, hvor virksomheden tror de er fuldt opdateret. Men ved en nærmere gennemgang af netværket findes der maskiner som ikke indgår i den automatiserede opdateringsprocedure. Dette er måske nok en overkommelig opgave at tjekke på et mindre netværk. Men er det flere hundrede/tusinde maskiner - så er det et projekt der skal have økonomisk opbakning.
Svage eller ikke-eksisterende passwords er snart så gennemtæsket et område, at det ikke burde være en faktor. Her burde tidligere ormes hærgen have lukket og slukket for yderligere diskussion om det problem. Men sådan forholder det sig ikke. Conficker havde eksempelvis indbygget en liste på knapt 250 alment brugte passwords, som den benyttede ved spredning til ADMIN$- eller IPC (interprocess communication) delingen.
Lokale administratorrettigheder er et lige så slidt debatområde. Her kan et større blame-game sættes i gang, da nogle applikationer ikke kan afvikles uden administrative rettigheder.
Virtualiseringsdelen i Windows Vista har haft positiv inflydelse på det problem - og det vil "Windows 7" også have - men den store mængde virksomheder der stadig benytter Windows XP vil fortsat slås med dette "problem". Ifølge BeyondTrust, kunne 92 procent af de kritiske Microsoft sårbarheder (i 2008) være reduceret ved, at brugeren ikke have administrative rettigheder. Det afledte min blog den 4. februar om emnet: Begrænsede brugerrettigheder afhjælper sårbarheder. User Account Control (UAC) er og bliver et fokusemne.
En virkelig overraskende information, fra Roger Halbheers indlæg, er brugen af gamle og udfasede Windows versioner. I den forbindelse har Microsoft opdaget, at ikke så få udgaver af Windows NT 4.0 stadig er i aktiv brug. Det er til trods for, at NT4 SP6a blev pensioneret den 31. december 2004. Årsagen var den gang en yderst kritisk sårbarhed (MS03-010), som kun kunne løses ved at ændre NT4 radikalt. Desværre bliver disse oldsager stadig koblet på netværket nogen steder, hvor de afvikler lige så gamle applikationer. Vel om mærke uden nogen form for beskyttelse eller afskærmning. Det er kritisk.
Jeg kender et par steder i DK, hvor man af forskellige årsager ikke kan opgradere de ældre maskiner. Man har så til gengæld taget alle andre nødvendige skridt for at afskærme disse dinosauer.
Antimalware beskyttelser er det sidste store punkt som Halbheer nævner. Drejningen er i den forbindelse manglende beskyttelse af kunderne, trods de er fuldt opdaterede med seneste signaturer. Alligevel blev de ramt. Og det til trods for, at de fleste antimalware produkter i dag har en eller anden form for proaktiv scanningsteknologi indbygget. Det seneste buzzword er Cloud Scanning. Men for at den skal virke optimalt, så skal de tidligere nævnte punkter også være på plads - arbejdsbetingelserne så at sige. Her må uafhængige test tale deres eget sprog.
Jeg har været med til at udføre en test på fem forskellige antimalware produkter. De fik alle de samme filer til scanning fra et live feed - og blev opdateret samtidig (hver time). På et tidspunkt kiggede en orm forbi dette setup. Kun ét af de fem produkter fandt noget mistænkeligt - og så blev den oven i købet kun angivet som suspicious. Vi ved efterfølgende, at det var en orm, da vi løbende kunne efterscanne. Og så snart producenterne fik signaturerne opdateret - så begyndte alarmer og navnene at dukke op.
Afsluttende giver Roger Halbheer endnu en bredside til de økonomisk ansvarlige i virksomheden. Det er deres job, baseret på Business Risk Management, at beslutte om man vil investere i det nødvendige for at sikre virksomhedens optimalt. Det er ikke den sikkerhedsansvarliges (CSO) opgave, efter Halbheers mening. Han/hun skal på fornemmeste vis sikre sig, at beslutningstagerne kender de risici der er forbundet med deres beslutninger.
Opdatering 6/3-09, kl 22.31: Running as Non-Admin in Windows XP
kl.
09.32
onsdag den 4. marts 2009
National Zombie uge i Australien
Australien kører fra den 2. til 8. marts 2009 en zombie-kendskabs-uge, hvor et dedikeret website forklarer detaljerne om hvad en zombiepc er. Man kan også se eller hente den originale "Night of the Living Dead" fra 1968 online.
I sigende overskrifter, med tilhørende letforståelig tekst, gennemgår Zombieweek.com detaljerne for den type malware der giver it-kriminelle muligheden for fjernstyring af en inficeret computer. Her følger en fri oversættelse af den indledende tekst på websitet:
Hvad er en "Zombie Bot"?
Et zombie-bonet er en gruppe af pcere inficeret med ondsindet software. De kaldes for "zombier" eller "bots" fordi de kan bruges til at udføre angreb mod andre computer systemer. Zombier er ramte computere og botnets er en samling af zombier.
De fremkommer oftest ved at udnytte sårbarheder på din pc og aktiverer ondsindet software eller malware uden brugerens vidende. Det er gerne gemt som en del af anden software eller på et website som brugerens interessere. I nogle tilfælde bruges åbne trådløse netværk som vejen ind.
Denne malware bruges til at oprette botnet - og botnet bruges igen til at sprede spam, malware eller til hackingangreb.
At være en zombie bot kan gøre skade
Botnet vedligeholdes af en ny type kriminel - også kendt som "botnet hyrde" eller "botnet master". Som den styrende kraft af et botnet, kan de kan programmere din pc til at udføre forskellige internetangreb så som spam, phishing eller distribuering og installering af malware på andre pcere. Din pc er inficeret. Du er nu en trussel mod andre - og du ved det måske ikke engang.
En ud af seks australske pc'ere kan allerede være zombier. Ifølge en OECD rapport fra sidste år stiger antallet globalt set. En undersøgelse anslår, at omkring 80 procent af den web-baserede malware lå på "uskyldige med kompromitterede" websites. En anden rapport fandt, at 53,9 procent af alle angrebssites var placeret i Kina - efterfulgt af USA med 27,2 procent.
OECD angiver samtidig, at i juni 2006 angreb en trojaner filerne i Windows "My Documents" mappen. Filerne blev krypteret så brugerne ikke kunne tilgå dem uden de først betalte en "afgift" for deres data.
Hvad kan vi gøre ved det?
Din kendskab - og villighed til at løse problemet - er en vigtig første forsvarslinje mod malware og det resulterende kriminelle akt. Både den offentlige og private sektor er involveret i koordinering i brede industri initiativer. Tal med dine venner om det og tjek hvad du kan gøre for at forhindre din pc i at blive en zombie. Accepter ikke en ramt pc.
De levende dødes nat
Som en sjov lille gimmick har man samtidig linket til den første zombie-film fra 1968, Night of the Living Dead. Den kan ses eller hentes online - alt efter hvad man har lyst til.
Plottet er en gruppe fremmede personer, der må søge tilflugt på en gammel gård på grund af de konstante angreb fra døde lokalbeboere - som er bragt til live af en mystisk stråling.
En sjov lille måde at mind-mappe en nuværende reel trussel med noget visuelt.
Yderligere information
National Zombie Awareness Week - Has your PC been zombied?
I sigende overskrifter, med tilhørende letforståelig tekst, gennemgår Zombieweek.com detaljerne for den type malware der giver it-kriminelle muligheden for fjernstyring af en inficeret computer. Her følger en fri oversættelse af den indledende tekst på websitet:
Hvad er en "Zombie Bot"?
Et zombie-bonet er en gruppe af pcere inficeret med ondsindet software. De kaldes for "zombier" eller "bots" fordi de kan bruges til at udføre angreb mod andre computer systemer. Zombier er ramte computere og botnets er en samling af zombier.
De fremkommer oftest ved at udnytte sårbarheder på din pc og aktiverer ondsindet software eller malware uden brugerens vidende. Det er gerne gemt som en del af anden software eller på et website som brugerens interessere. I nogle tilfælde bruges åbne trådløse netværk som vejen ind.
Denne malware bruges til at oprette botnet - og botnet bruges igen til at sprede spam, malware eller til hackingangreb.
At være en zombie bot kan gøre skade
Botnet vedligeholdes af en ny type kriminel - også kendt som "botnet hyrde" eller "botnet master". Som den styrende kraft af et botnet, kan de kan programmere din pc til at udføre forskellige internetangreb så som spam, phishing eller distribuering og installering af malware på andre pcere. Din pc er inficeret. Du er nu en trussel mod andre - og du ved det måske ikke engang.
En ud af seks australske pc'ere kan allerede være zombier. Ifølge en OECD rapport fra sidste år stiger antallet globalt set. En undersøgelse anslår, at omkring 80 procent af den web-baserede malware lå på "uskyldige med kompromitterede" websites. En anden rapport fandt, at 53,9 procent af alle angrebssites var placeret i Kina - efterfulgt af USA med 27,2 procent.
OECD angiver samtidig, at i juni 2006 angreb en trojaner filerne i Windows "My Documents" mappen. Filerne blev krypteret så brugerne ikke kunne tilgå dem uden de først betalte en "afgift" for deres data.
Hvad kan vi gøre ved det?
Din kendskab - og villighed til at løse problemet - er en vigtig første forsvarslinje mod malware og det resulterende kriminelle akt. Både den offentlige og private sektor er involveret i koordinering i brede industri initiativer. Tal med dine venner om det og tjek hvad du kan gøre for at forhindre din pc i at blive en zombie. Accepter ikke en ramt pc.
De levende dødes nat
Som en sjov lille gimmick har man samtidig linket til den første zombie-film fra 1968, Night of the Living Dead. Den kan ses eller hentes online - alt efter hvad man har lyst til.
Plottet er en gruppe fremmede personer, der må søge tilflugt på en gammel gård på grund af de konstante angreb fra døde lokalbeboere - som er bragt til live af en mystisk stråling.
En sjov lille måde at mind-mappe en nuværende reel trussel med noget visuelt.
Yderligere information
National Zombie Awareness Week - Has your PC been zombied?
kl.
14.45
Netbooks er en sikkerhedsrisiko - naah?!
De hypede Netbooks har øget chance for at blive ramt af malware og hacking. Deres lavere datakraft og ydelse afleder et fravalg af nutidens tunge it-sikkerhedssuiter. Vrøvl siger flere brugerne, der har kommenteret artiklen på The Independent.
I en artikkel på det engelske onlinemedie, The Independent, er Netbooks i søgelyset som mulige veje ind for hackere og malware til de personfølsomme informationer. Artiklen bakkes op af analytikere som mener, at den noget svagere ydelse gør Netbooks mere sårbare, når de bruges til internetsurfing og handel på nettet.
Risikoen skulle angiveligt ligge i, at de moderne sikkerhedssuiter efterhånden er så tunge, at det bringer ydelesen og brugbarheden drastisk ned. Dermed vælger nogle personer at se stort på it-sikkerheden. Det er den generelle trussel mod internetbrugerne som blot kommer mere markant til udtryk.
Da markedet for Netbooks samtidig forventes at stige med 100 procent i år alene, så skulle det naturligt aflede flere dårligt beskyttede Netbooks kommer på nettet. Da det samtidig er mange førstegangsbrugere der vælger en Netbook, så øges risikoen proportionalt.
Analytikerne i artiklen er ikke blege for at komme med deres besyv. Som eksempel siger Lillian Tay fra Gartner Group til Reuters, at det er en "Catch-22" situation: "Hvis du kører for mange sikkerhedsprogrammer på samme tid, så vil det sløve computeren. Hvis du ikke kører nogen - så er du sårbar".
Læg an, tag sigte, fyr!
Den påståede lavere sikkerhed på Netbooks, mener jeg personligt er det rene vås. Jeg kender flere som bruger Netbook computere i deres dagligdag - og som har sikret den bedst mulig med de gængse sikkerhedsprodukter.
Nogle førstegangs brugere vil givet vis mangle den optimale sikkerhed, men det har intet med Notebooken at gøre. Her træder "fejl-40" begrebet og sund fornuft vist ind i billedet.
Artiklen har da også fået et par kritiske kommetarer med på vejen. Her siges der nærmest, at indholdet er fordrejet og den grundlæggende research er decideret mangelfuld. Jeg er af samme opfattelse, til trods for, at jeg godt kan følge tankegangen et stykke hen ad vejen.
En brugerkommentar er, at det er operativsystemet og tilhørende applikationer som afleder mulige sårbarheder. En anden kommentar fastslår direkte, at nogle antivirusprogrammer ikke har kritisk indflydelse på ydelsen. Her nævnes AVG som eksempel.
Som rosinen i pølseenden så indikeres der også, at man kan jo vælge at gå over på Linux som operativsystem, hvilket naturligt vil aflede en stor del af den målrettede Windows malware ikke vil få en chance.
Døm selv: Netbooks may offer hackers private data gateway
I en artikkel på det engelske onlinemedie, The Independent, er Netbooks i søgelyset som mulige veje ind for hackere og malware til de personfølsomme informationer. Artiklen bakkes op af analytikere som mener, at den noget svagere ydelse gør Netbooks mere sårbare, når de bruges til internetsurfing og handel på nettet.
Risikoen skulle angiveligt ligge i, at de moderne sikkerhedssuiter efterhånden er så tunge, at det bringer ydelesen og brugbarheden drastisk ned. Dermed vælger nogle personer at se stort på it-sikkerheden. Det er den generelle trussel mod internetbrugerne som blot kommer mere markant til udtryk.
Da markedet for Netbooks samtidig forventes at stige med 100 procent i år alene, så skulle det naturligt aflede flere dårligt beskyttede Netbooks kommer på nettet. Da det samtidig er mange førstegangsbrugere der vælger en Netbook, så øges risikoen proportionalt.
Analytikerne i artiklen er ikke blege for at komme med deres besyv. Som eksempel siger Lillian Tay fra Gartner Group til Reuters, at det er en "Catch-22" situation: "Hvis du kører for mange sikkerhedsprogrammer på samme tid, så vil det sløve computeren. Hvis du ikke kører nogen - så er du sårbar".
Læg an, tag sigte, fyr!
Den påståede lavere sikkerhed på Netbooks, mener jeg personligt er det rene vås. Jeg kender flere som bruger Netbook computere i deres dagligdag - og som har sikret den bedst mulig med de gængse sikkerhedsprodukter.
Nogle førstegangs brugere vil givet vis mangle den optimale sikkerhed, men det har intet med Notebooken at gøre. Her træder "fejl-40" begrebet og sund fornuft vist ind i billedet.
Artiklen har da også fået et par kritiske kommetarer med på vejen. Her siges der nærmest, at indholdet er fordrejet og den grundlæggende research er decideret mangelfuld. Jeg er af samme opfattelse, til trods for, at jeg godt kan følge tankegangen et stykke hen ad vejen.
En brugerkommentar er, at det er operativsystemet og tilhørende applikationer som afleder mulige sårbarheder. En anden kommentar fastslår direkte, at nogle antivirusprogrammer ikke har kritisk indflydelse på ydelsen. Her nævnes AVG som eksempel.
Som rosinen i pølseenden så indikeres der også, at man kan jo vælge at gå over på Linux som operativsystem, hvilket naturligt vil aflede en stor del af den målrettede Windows malware ikke vil få en chance.
Døm selv: Netbooks may offer hackers private data gateway
kl.
12.10
Abonner på:
Opslag (Atom)