Tonny Bjørn's Security Blog

Hvad er værst: Inkompetence eller bedrag?

2011-07-07T14:12:00.000+02:00

Man skal åbenbart bare være stor nok, så kan man slippe let hen over at informere om sådanne emner...

Yesterday Dillon Beresford announced and ICS-CERT confirmed that the Siemens’ S7-200, S7-300 and S7-400 families of PLC’s suffered from the same replay vulnerability as the S7-1200. Siemens had not announced this even though they have had the information for over two months now and had an opportunity to discuss the issue directly with customers last week at the Automation Summit.

There are only two bad choices why Siemens failed to disclose this to their customers:
Incompetence: Siemens top security talent and engineers were unable to figure out that the replay attack on the S7-1200 did in fact work against the other S7 PLC’s. The big boys that are used in more critical systems. Dillon Beresford was able to confirm this in less than a week, in off hours/spare time, once he got his hands on a S7-300.
Deception: Siemens knew this very early and chose not to tell their customers. Most importantly they chose to deceive their customers last week at the Automation Summit with lies of omission and by making forceful statements that all of the S7-1200 vulnerabilities had been patched.
Unlike Stuxnet where evidence points to incompetence or at best ignorant bliss, this case was almost surely deception. And it worked for at least a week as Automation Summit attendees where singing the praises of Siemens new commitment to security.

Læs hele artiklen her: http://www.digitalbond.com/2011/07/06/whats-worse-incompetence-or-deception/

Ny orm hygger sig med gammel fremgangsmåde

2009-04-24T21:09:00.005+02:00

Har du fået en mail fraWorldPay, så hold nallerne væk fra den vedhæftede zip-fil. Indholdet er ikke en faktura som påstået - men en orm der går efter netbanken.

Ny orm, samme advarsel. Oven i købet i TV-avisen. Det til trods for, at det er den samme advarsel som bruges til alle orme, trojanere og malware generelt. Ja faktisk den samme advarsel som jeg har været med til at udbrede de sidste 10 år.

Til trods for, at der står en pc i så godt som alle hjem, så løftes en enkelt specifik sag op som noget helt enestående. Fakta er, at fremgangsmåden med at vedhæfte malware til en e-mail, egentlig er yderst gammeldags. Forskellen er, at denne får stemplet "farlig", da den er en banker worm. Havde den blot slettet feriebillederne - så var den aldrig kommet på TV. Sørgeligt.

Men de virkelige "komplicerede" spredningsmetoder, så som inficerede websider der spreder Zero Day malware via advancerede scripts, dem skøjtes der let hen over af den tunge presse. Begrundelsen er, at det er alt for tungt stof for den gennemsnitlige dansker. Aha.

Deraf må man konkludere, at de metoder der bruges til spredning af ondsindet software UDEN brugeren opdager det, skal danskerne ikke informeres om i de store medier. Det er for kompliceret og folk må så selv opsøge informationen. Catch 22!

Computere, Internet, hacking, malware og misbrug er og bliver en del af vores hverdag nu og langt ud i fremtiden. Jeg gætter på, at mine kommende børnebørn vil sidde med de samme problemer når de når en vis alder. Angrebsmetoderne har nok ændret sig - for det er teknologien. Men målet vil stadig være det samme: Penge!

Hvor ville det efterhånden være glædeligt, hvis nogle af de store medier lod være med at omgære disse dagligdagsting med afstandstagende mystik - og i stedet tog tyren ved hornene og hjalp til med at oplyse og løfte den laveste fællesnævner.

Opgaven vil være stor, hvis det skal gøre ordentlig, men ikke uoverkommelig. Resultatet vil være yderst givtigt. Ikke kun for den ældre generation (der altid trækkes frem som værende dem der ikke forstår det) - men også for Generation Y der aldrig har kendt en verden uden e-mail, Messenger og Internet.

Symantec datalækage undersøges

2009-03-26T17:09:00.005+01:00

BBC journalister købte kreditkortinformation, der angiveligt stammer fra et callcenter med blandt andet Symantec kunder. Myndighederne er nu i gang med at undersøge, hvordan disse Symantec kunder faldt i hænderne på identitetstyve.

Den rygende pistol peger i retning af en medarbejder i det indiske callcenter, e4e, men har endnu ikke givet håndfaste beviser. Symantec har overdraget alt den information de lå inde med - og påtænker nu at terminere kontrakten med e4e.

Det var en journalist fra British Broadcasting Corporation (BBC) der omkring midten af marts fik fat i navne, adresser og kreditkortinformationer på 14 personer, hvoraf tre var Symantec kunder. De blev solgt af en mand der senere er identificeret som Saurabh Sachar - bosiddende i Delhi. Han angiver selv, at informationen kommer fra callcenterts telefonsalg, hvor hver af de tre kunder havde købt Symantec software over telefonen.

En talsmand fra Symatec har i den forbindelse sagt, at man ikke tidligere har haft problemer med e4e - og regner med det er en isoleret hændelse. Det har dog været en gang for meget, for Symantec er allerede ved at undersøge mulighederne for at flytte funktionerne over til en anden partner.

E4e har afvist alle beskyldninger, i offentlige rapporter, men den mistænkte medarbejder er alligevel bortvist medens politiets undersøgelser finder sted. Symantec talsmanden har skyndt sig at angive, at kunderne stadig kan købe software over telefonen - men de normale telefonnumre nu viderestilles til andre lokaliteter.

Se BBC's nyhed her.

Superhacker lukket ude af Facebook

2009-03-17T10:10:00.006+01:00

Den tidligere superhacker, Kevin Mitnick, der opfandt begrebet Social Engineering og blandt andet hackede sig ind i Pentagon, Santa Cruz Operation (SCO), Digital og Tsutomu Shimomura - blev afvist fra sin egen Facebook profil.

Det er lidt komisk, at den person som grundlagde det moderne begreb af Social Engineering i forbindelse med hacking - blev lukket ude fra sin egen profil på det sociale netværk Facebook. Hvor han i utallige tilfælde har overbevist folk om, at han var en anden (for at indhente yderligere information) - kunne han ikke overbevise Facebooks personale om, at nu var han den ægte vare.

Situationen skal naturligvis ses i relation til, at Facebook oplever tusindvis af falske profiler blive oprettet i andres navne. Enten for at udnytte den trafik der sendes i profilens retning - eller for at skade personen direkte såvel som indirekte. I Kevin Mitnicks tilfælde findes der mindst 72 profiler som relaterer til hans navn på den ene eller anden måde.

I et telefoninterview til CNet siger Kevin Mitnick (med lidt spøg i stemmen): "Det har frustreret mig lige til slutningen. Jeg plejede at være særdeles overbevisende når jeg skulle udgøre mig som værende en anden. Og nu kan jeg ikke engang bevise at jeg er den rigtige Kevin Mitnick. Det er næsten sørgeligt".

Der gik faktisk to år før Facebook greb ind overfor hans profil. Derfor var han rimelig overrasket, da han den 22. februar i år ikke længere kunne logge sig ind. Han forsøgte efterfølgende at overbevise Facebook om, at han var den ægte vare ved, at sende en e-mail fra sit nuværende it-sikkerhedsfirmas konto, Mitnick Security Consulting.

Men, det er Facebooks politik ikke at reagere på e-mails sendt fra en anden konto end den som profilen er oprettet under. Så derfor blev hans forklaringer afvist prompte.

En talsmand fra Facebook forklarer dette med, at de er meget aggressive i forbindelse med at håndhæve "real name" kulturen og der til tider sker en smutter. Facebook påpeger at det ikke sker ret ofte - og det nu er rettet i Kevin Mitnicks tilfælde (Red: efter CNets henvendelse).

Fjæsbogens mange sider
Der har været megen debat om Facebook - og senest med beskyttelse af personlige oplysninger. Nogle virksomheder har valgt at lukke af for adgangen til Facebook, da nogle medarbejdere ikke kan styre deres forbrug eller den publicerede information på siderne.

Det syntes jeg personligt er helt i orden. Selvom man ikke skal skære alle over en kam, så er der nogle personer der ukritisk publicerer information - som de ellers kun ville melde ud i en 200 hk brandert. Det er som om, at de naturlige parader (omtanke) i nogle tilfælde sænkes.

Da Facebook samtidig er et yndet mål for hackere og malwareudviklere, grundet de mange personerder er samlet ét sted, og derfor en potentiel kilde til inficering. Det er såmen kun nogle få uger siden, at Facebook sidst var mål og middel for en malwarekampagne. Og der vil bestemt ikke komme færre forsøg i fremtiden.

Af samme grund har Forbrugerrådet også taget denne problemstilling op - omend deres fokus er på usikkerheden for individets personlige data. De skriver eksempelvis: "Forbrugerrådet frygter imidlertid, at markedet for persondata er så uigennemsigtigt og ukontrolleret, at det er umuligt for forbrugerne at overskue konsekvenserne af denne omfattende indsamling og udnyttelse af private oplysninger".

Tim Kretschmers chat er en hoax

2009-03-14T09:47:00.002+01:00

Kort efter tragedien i den sydtyske by Winnenden, florerede der citater i medierne et fra en chat morderen angiveligt skulle have haft natten forinden massedrabene. Men det har nu vist sig, at det med stor sandsynlighed er en forfalskning.

Da den 17-årige psykisk syge Tim Kretchmer gik amok på sin gamle skole, afgav han 112 skud der resulterede i, at15 uskyldige mennesker mistede livet. Kort efter dukkede der screen-shots op af en chat han skulle have haft natten forinden hans ugerning.

Her skulle han blandt andet have sagt, at han var træt af sit elendige liv, havde våben, og mente det alvorligt når han sagde, at han ville tage hen på sin gamle skole og "grille dem". Men tysk politi har ikke har kunnet finde nogen beviser på Tim Kretchmers computer.

Både tyske medier, eksempelvis Der Spiegel online, og Baden-Württembergs indenrigsminister, Heribert Rech, faldt ellers for denne syge forfalskning - som en næsten lige så forstyrret person har udnyttet sine kreative evner til at udarbejde i Photoshop.

Spørgsmålet er nu, om der er it-kriminelle der vil overskride den etiske grænse og lokke nysgerrige ind på angrebssider, under dække af, at siden har de originale screen-shots - samt endnu ikke publiceret materiale. Måske kombineret med spam-mails som reklamemedie?

Det er set før. Storm botnettet introducerede sig selv på en lignende måde i januar 2007, hvor bagmændene lokkede nysgerrige ind på angrebssider ved hjælp af spam med overskrifter som "230 dead as storm batters Europe".

Se baggrunden for dette blog-indlæg her: German school shooter didn't announce anything on the internet.

Downadup/Conficker Removal Tool fra BitDefender

2009-03-13T12:56:00.005+01:00

Downadup/Conficker ormen har indbygget muligheden for, at spærre adgangen til en bred vifte af websites tilhørende antivirusvirksomheder. BitDefender påstår de er først med et Removal Tool der kan både kan fjerne alle spor af ormen - og samtidig hentes fra en side der ikke er spærret for.

Den 11. marts 2009 frigav BitDefender en nyhed på deres web om, at de har udviklet et værktøj der kan fjerne alle spor af Downadup/Conficker ormen. De angiver samtidig (lidt vovet), at de er først med et sådan værktøj.

De har placeret bd_rem_tool.zip på et website som ikke eksisterer på den blokeringslisten som Downadup/Conficker har indbygget og skriver ned i hosts-filen. Dermed skulle det være muligt for inficerede brugere at hente dette removal tool og få renset deres system.

Det er vigtigt, at værktøjet køres med administrative rettigheder - for at få ubeskåret adgang til Windows systemet. BitDefender anbefaler samtidig også, at maskinen genstartes efter der er renset op, således adgang til nettet igen kan etableres.

Det skal nævnes, at andre antivirusproducenter har tilsvarende værktøjer. Hos Norman kan man eksempelvis hente Norman Malware Cleaner, der også har medicin mod Downadup/Conficker ormen indbygget.

I øvrigt skulle dette domæne være okay og tilhører BitDefender. Se Robtex informationen her.

Andre removal tools
Symantec W32.Downadup Removal Tool
F-Secure Worm:W32/Downadup.AL

Conficker skaber kaos for norsk politi

2009-03-13T12:05:00.006+01:00

Det norske politi blev i går ramt af Conficker ormen, hvilket skabte kraftige problemer og fik systemerne til at gå ned over hele landet. Både paskontrol og operationscentraler var lammet fortæller Digi.no.

I går kæmpede det norske politis data- og materieltjeneste (PDMT) med at identificere og bekæmpe et udbrud af Conficker ormen i deres systemer. Ormen havde også tidligere på dagen lammet Helse Vest og Nord-Trøndelag fylkes kommune.

Konsekvensen af Confickers hærgen var langt mere vidtrækkende end som så, da politiets operationscentraler ikke kunne komme på nettet og paskontorerne måtte lukke da medarbejderne ikke kunne få adgang til vigtige sagsakter.

I Oslo lufthavn, Gardermoen, blev politiet nød til at lukke rejsende ind uden at tjekke dem i deres registre først. Det er ellers normal procedure, men kunne ikke lade sig gøre medens teknikere kæmpede med at få kontrol over situationen.

Mere end 1000 af politiets computere er angiveligt inficeret med malwaren - og det er geografisk set fordelt over hele Norge. Dette omfattende udbrud kommer blot et par uger efter, at Kripos (den norske afdeling for bekæmpelse af organiseret og anden alvorlig kriminalitet) blev ramt af et lignende nedbrud.

Naturligvis forsøger norsk politi at afdramatisere hændelsen. I en pressemeddelelse udsendt i går eftermiddag siger de, at "gode rutiner beskyttede politiet mod virusangrebet". Norsk politi understreger, at det normale beredskab ikke har været påvirket - og alle henvendelser fra norske borgere har været håndteret på normal vis.

Opdatering kl. 14.15
En af grundene til, at dette er gået så galt for det norske politi kan skyldes, at de tilsyneladende stadig har gamle Windows NT 4.0 systemer kørende. Nogle af deres systemer har oven i købet ikke være været patched - og andre igen har været helt uden antivirusbeskyttelse.

Faktisk passer missæren så fint ind i det som Microsoft sikkerhedsrådgiver for EMEA, Roger Halbheer, angav som værende de største syndere i forbindelse med Conficker. Du kan læse mere om Roger Halbheers udtalelser her.

Humor ind i it-sikkerhed

2009-03-12T11:42:00.007+01:00

Skræmmekampagner og kolde fakta er den normale måde, at virksomheder med fokus på it-sikkerhed leverer information til sine kunder. Rumænske CoSoSys vil nu overbringe deres information med humor i form af en ugentlig stribe.

Jeg sad tidligere idag og læste Trend Micros seneste kampagne, "Think Again / Outthink the Threat", hvor de benytter den traditionelle fremgangsmåde at få deres budskab ud. Ved hjælp af nøgtern og saglig information vil de oplyse og præge læserens tanker og holdninger. Fokus er på den seneste type data-stjælende malware - og de højest aktuelle problemer det bringer med sig.

Kontrasten kom kort efter, hvor jeg snublede over den rumænske sikkerhedsvirksomhed, CoSoSys, der blandt andet sælger systemer til Device Control Management. Altså kontrol af hvilke enheder der kan kobles til computeren og netværket.

CoSoSys har valgt en lidt anden strategi til at informere og oplyse. De vil fremover køre en ugentlig stribe på deres web, som tager et relevant emne op. Den første udgave omhandler Data Theft - og de efterfølgende vil have overskrifterne Data Leakage, Data Loss og Malware Intrusion.

Jeg fandt dette tiltag morsomt og skyndte mig at smide linket videre til nogle stykker på MSN. Til spørgsmålet om personerne ville købe hos dette firma, så var svarene meget delt. En svarede "Nej, jeg synes ikke det virker helt seriøst" - og som kontrast - "Ja, det er jo sandt og reklamemæssigt er det nytænkning". Der kom også et par "muligvis".

Humor ind i it-sikkerhedsmarketing
Med denne højest uvidenskabelige undersøgelse i mente, drejede tankerne sig i en anden retning. Udgangspunktet for alt salg munder ud i et behov. Men hos mange kunder i branchen opstår behovet oftest reaktivt. Med andre ord skal noget gå galt før man kryber til lommerne.

Men kan den normale formidling af it-sikkerhedsinformation have en større finger med i spillet end først antaget. Har CoSoSys fat i noget af det rigtige med denne type markedsføring. Kan denne blanding af humor og alvor skabe det behov hos de kunder der normalt glider let hen over den traditionelle formidlingsform?

Humor i marketingsregi er jo ikke noget nyt i sig selv. Vi ser det eksempelvis i de reklameblokke der vises på TV. Så det må være branche- og produktanhængigt. Og i de situationer, hvor det er brancherelateret, så er det oftest rettet mod afslapning. Et eksempel er ComONs Dilbert.

Hvis du eller din virksomhed overvejer at gå samme vej og bruge humor i jeres marketing, så vil det være en god idé at læse følgende: Humor in Marketing: Six Serious Tips.

Information is King - Pifts har en forklaring

2009-03-11T11:44:00.023+01:00

De seneste dage har der virkelig været lagt i kakkelovnen til den helt store konspirationsteori. Symantecs noget underlige reaktion på filen PIFTS.EXE, er blevet diskutteret på fora af høj og lav. Til trods for det hele nu er manet i jorden, så har malware udviklerne ikke været sene til at udnytte muligheden.

Det hele startede lidt uskyldigt. Den 9. marts begyndte nogle brugere af Symantecs sikkerhedssuite at undrede sig over et nyt og ukendt program, PIFTS.EXE, pludselig trickede firewallen. Da de ikke umiddelbart kunne finde information om filen, blev der oprettet indlæg på Symantecs forum. Af uforklarlige årsager valgte Symantec at fjerne disse indlæg. Og så startede balladen.

Kunne Symantecs software være ramt af malware som de ikke ønskede at komme ud med? Hvis det var en del af softwaren, hvorfor blev de releaterede forumindlæg så fjernet? Hvorfor kom der ikke klare udmeldinger fra Symantec om PIFTS formål? Hvorfor ville programmet forbinde sig til en statistik-server i det ene tilfælde og til en afrikansk IP i et andet? Der var pludselig flere spørgsmål end svar - den direkte vej til e-panik :o)

Det befriende svar
På Symantecs forum er der så endelig kommet klar besked fra Dave Cole, Senior Director of Product Management i Symantec. Pifts.exe er en diagnostiserings patch rettet mod Norton Internet Security og Norton Antivirus 2006/2007. Grundet en menneskelig fejl, blev den første version frigivet usigneret, hvilket var årsagen til firewallen slog alarm. Pifts.exe skulle angivelig bruges af Symantec til at bestemme, hvor mange brugere der behøvede at få en nyere version i relation til kommende Windows 7.

Som tidligere ansat i en antivirusvirksomhed, kan jeg godt huske en lignende sag for flere år tilbage (omkring 2002/2003). Her var den aktuelle version ved at blive klargjort til en rullende opdatering til næste version. I den forbindelse introducerede man et nyt modul, som også trickede firewallen. Der var en helt naturlig forklaring, men brugerne var ikke blevet informeret godt nok. Det afledte både en kæmpe supportbobbel - og en komplet ændring af proceduren for udgående information rettet mod slutbrugeren.

Men det er jo 6-7 år siden i skrivende stund. Forskellen fra dengang og til nu er, at brugerne er blevet meget mere bevidste og vidende om de benyttede sikkerhedsprodukter. Når man som sikkerhedsvirksomhed prædiker eftertænksomhed - så svinger døren begge veje. Kort sagt: Information is King!

Malware, dit navn er Pifts
Missæren har så afledt, at malware udviklere har øjnet en chance for at udnytte situationen. Det er rapporteret flere steder fra, at inficerede websites nu forsøger at installere malware når man besøger dem for at indhente oplysninger om Pifts.exe. Der findes også sites (.ru og .ch), hvor man direkte kan hente filen, med den medfølgende forklaring, at det er Symantecs opdaterede og godkendte version. *LOL*

Symantec tager dette yderst alvorlig. De advarer brugere mod at følge links til ukendte websites, da ondsindede personer nu forsøger at udnytte dette varme emne til at sprede malware.

Yderligere information
Google søgning: http://www.google.com/search?q=intext%3Apifts.exe

Conficker opruster til e-krig

2009-03-07T21:39:00.018+01:00

Ny variant af Conficker/Downadup ormen opruster til e-krig. Den distribueres til allerede inficerede systemer - og går målrettet efter at afbryde antivirussoftware og forskellige sikkerheds- og analyseværktøjer.

Symantec meddeler på deres blog, at de har fundet en ny variant af Conficker/Downadup ormen, der i første udgave startede sin hærgen i slut oktober 2008. Den nyopdagede C-variant har fået indbygget selvforsvarskode - og forsøger nu at bevare kontrollen over de allerede inficerede computere. Botnet bagmændene tager kampen op for at beholde deres zombier.

Helt specifikt forsøger den at stoppe kørende processer, som kan bruges til enten at identificere, fjerne eller reducere ormens arbejdsmuligheder. Det er processer med følgende strengtekster den går efter: Wireshark, unlocker, tcpview, sysclean, scct_, regmon, procmon, procexp, ms08-06, mrtstub, mrt., mbsa., klwk, kido, kb958, kb890, hotfix, gmer, filemon, downad, confick, avenger og autoruns.

En anden indikator er en 200 ganges forøgelse i den domænegenerator den har indbygget, rettet mod kommunikation med Command & Control Servere. I B-varianten genererede den 250 domæner pr dag - som Conficker tjekkede for nye opdateringer. Men i C-varianten er listen øget til 50.000 domæner om dagen! Når blot én inficeret computer frem til en C&C server, så kan den efterfølgende opdatere andre ved hjælp af peer-2-peer funktionalitet.

Vincent Weafer, Vice President, Symantec Security Response, siger til Networkworld, at de endnu kun har set varianten som en opdatering sendt til en eksisterende udgave i en honeypot - men det sandsynligvis kun er et spørgsmål om tid før den er selvspredende.

Samtidig mener Vincent Weafer, at den verdensomspændende oprydningsindsats har reduceret antallet af nuværende Conficker/Downadup inficeringer - fra flere millioner til størrelsesordnen hundredtusinde. Trods en positiv nedgang - så er antallet stadig overvældende.

Selvom det er påfaldende defensive tiltag denne tidlige analyse fremhæver, så er jeg sikker på, at denne drejning ikke må tolkes som et svaghedstegn i sig selv. Det er nærmere en indikator på, at bagmændene er omstillingsparate og vil prøve alt for at bevare deres botnet.

Måske har bagmændene læst The Art of War af Sun Tzu. Deres nuværende strategi passer i hvert fald meget godt med dette citat: Invincibility lies in the defence; the possibility of victory in the attack.

Confickers hærgen kunne være reduceret

2009-03-06T09:32:00.029+01:00

Et veldrevet IT-system ville have haft en god chance for at modstå Confickers hærgen, hvis sikkerhedspolitikker var håndhævet og fulgt op med administrative foranstaltninger, revision og udnyttelse af de tekniske muligheder. Det siger Microsofts Chief Security Advisor for EMEA, Roger Halbheer.

Microsoft sikkerhedsrådgiver for Europa, Mellemøsten og Afrika (EMEA), Roger Halbheer, tager på sin blog en pragmatisk holdning til Confickers hærgen. Han forsøger ikke at få nogen virksomheder, der blev ramt, i fedtefadet - men svinger alligevel pisken. For det er hans holdning, at Confickers hærgen kunne være reduceret - blot nogle enkle sikkerhedsforskrifter havde været overholdt.

Disse forskrifter uddyber han i seks punkter, som bør være indlysende, og angives som værende nogle af de egentlige årsager til Conficker-inficeringer rundt om i verden. Pointen er, at et veladministreret netværk oftest er billigere at drifte - og samtidig mere sikkert.

Han lægger hårdt ud med nedprioriteret patching, hvor ansvaret placeres hos ledelsen. Vælger man bevist ikke at patche - eller overlader det til administrators beslutning - så kalder han det direkte at udvise forsømmelighed.

For at imødekomme kritiske røster om overvejende sårbare Microsoft produkter, så henviser han til Microsofts Security Intelligence Report. Den angiver, at Microsoft er ansvarlig for tre procent af den samlede mængde sårbarheder. De resterende 97 procent skal også patches op.

Ikke-administrerede maskiner er også en faktor. Der er flere tilfælde, hvor virksomheden tror de er fuldt opdateret. Men ved en nærmere gennemgang af netværket findes der maskiner som ikke indgår i den automatiserede opdateringsprocedure. Dette er måske nok en overkommelig opgave at tjekke på et mindre netværk. Men er det flere hundrede/tusinde maskiner - så er det et projekt der skal have økonomisk opbakning.

Svage eller ikke-eksisterende passwords er snart så gennemtæsket et område, at det ikke burde være en faktor. Her burde tidligere ormes hærgen have lukket og slukket for yderligere diskussion om det problem. Men sådan forholder det sig ikke. Conficker havde eksempelvis indbygget en liste på knapt 250 alment brugte passwords, som den benyttede ved spredning til ADMIN$- eller IPC (interprocess communication) delingen.

Lokale administratorrettigheder er et lige så slidt debatområde. Her kan et større blame-game sættes i gang, da nogle applikationer ikke kan afvikles uden administrative rettigheder.
Virtualiseringsdelen i Windows Vista har haft positiv inflydelse på det problem - og det vil "Windows 7" også have - men den store mængde virksomheder der stadig benytter Windows XP vil fortsat slås med dette "problem". Ifølge BeyondTrust, kunne 92 procent af de kritiske Microsoft sårbarheder (i 2008) være reduceret ved, at brugeren ikke have administrative rettigheder. Det afledte min blog den 4. februar om emnet: Begrænsede brugerrettigheder afhjælper sårbarheder. User Account Control (UAC) er og bliver et fokusemne.

En virkelig overraskende information, fra Roger Halbheers indlæg, er brugen af gamle og udfasede Windows versioner. I den forbindelse har Microsoft opdaget, at ikke så få udgaver af Windows NT 4.0 stadig er i aktiv brug. Det er til trods for, at NT4 SP6a blev pensioneret den 31. december 2004. Årsagen var den gang en yderst kritisk sårbarhed (MS03-010), som kun kunne løses ved at ændre NT4 radikalt. Desværre bliver disse oldsager stadig koblet på netværket nogen steder, hvor de afvikler lige så gamle applikationer. Vel om mærke uden nogen form for beskyttelse eller afskærmning. Det er kritisk.
Jeg kender et par steder i DK, hvor man af forskellige årsager ikke kan opgradere de ældre maskiner. Man har så til gengæld taget alle andre nødvendige skridt for at afskærme disse dinosauer.

Antimalware beskyttelser er det sidste store punkt som Halbheer nævner. Drejningen er i den forbindelse manglende beskyttelse af kunderne, trods de er fuldt opdaterede med seneste signaturer. Alligevel blev de ramt. Og det til trods for, at de fleste antimalware produkter i dag har en eller anden form for proaktiv scanningsteknologi indbygget. Det seneste buzzword er Cloud Scanning. Men for at den skal virke optimalt, så skal de tidligere nævnte punkter også være på plads - arbejdsbetingelserne så at sige. Her må uafhængige test tale deres eget sprog.

Jeg har været med til at udføre en test på fem forskellige antimalware produkter. De fik alle de samme filer til scanning fra et live feed - og blev opdateret samtidig (hver time). På et tidspunkt kiggede en orm forbi dette setup. Kun ét af de fem produkter fandt noget mistænkeligt - og så blev den oven i købet kun angivet som suspicious. Vi ved efterfølgende, at det var en orm, da vi løbende kunne efterscanne. Og så snart producenterne fik signaturerne opdateret - så begyndte alarmer og navnene at dukke op.

Afsluttende giver Roger Halbheer endnu en bredside til de økonomisk ansvarlige i virksomheden. Det er deres job, baseret på Business Risk Management, at beslutte om man vil investere i det nødvendige for at sikre virksomhedens optimalt. Det er ikke den sikkerhedsansvarliges (CSO) opgave, efter Halbheers mening. Han/hun skal på fornemmeste vis sikre sig, at beslutningstagerne kender de risici der er forbundet med deres beslutninger.

Opdatering 6/3-09, kl 22.31: Running as Non-Admin in Windows XP

National Zombie uge i Australien

2009-03-04T14:45:00.006+01:00

Australien kører fra den 2. til 8. marts 2009 en zombie-kendskabs-uge, hvor et dedikeret website forklarer detaljerne om hvad en zombiepc er. Man kan også se eller hente den originale "Night of the Living Dead" fra 1968 online.

I sigende overskrifter, med tilhørende letforståelig tekst, gennemgår Zombieweek.com detaljerne for den type malware der giver it-kriminelle muligheden for fjernstyring af en inficeret computer. Her følger en fri oversættelse af den indledende tekst på websitet:

Hvad er en "Zombie Bot"?
Et zombie-bonet er en gruppe af pcere inficeret med ondsindet software. De kaldes for "zombier" eller "bots" fordi de kan bruges til at udføre angreb mod andre computer systemer. Zombier er ramte computere og botnets er en samling af zombier.

De fremkommer oftest ved at udnytte sårbarheder på din pc og aktiverer ondsindet software eller malware uden brugerens vidende. Det er gerne gemt som en del af anden software eller på et website som brugerens interessere. I nogle tilfælde bruges åbne trådløse netværk som vejen ind.

Denne malware bruges til at oprette botnet - og botnet bruges igen til at sprede spam, malware eller til hackingangreb.

At være en zombie bot kan gøre skade
Botnet vedligeholdes af en ny type kriminel - også kendt som "botnet hyrde" eller "botnet master". Som den styrende kraft af et botnet, kan de kan programmere din pc til at udføre forskellige internetangreb så som spam, phishing eller distribuering og installering af malware på andre pcere. Din pc er inficeret. Du er nu en trussel mod andre - og du ved det måske ikke engang.

En ud af seks australske pc'ere kan allerede være zombier. Ifølge en OECD rapport fra sidste år stiger antallet globalt set. En undersøgelse anslår, at omkring 80 procent af den web-baserede malware lå på "uskyldige med kompromitterede" websites. En anden rapport fandt, at 53,9 procent af alle angrebssites var placeret i Kina - efterfulgt af USA med 27,2 procent.

OECD angiver samtidig, at i juni 2006 angreb en trojaner filerne i Windows "My Documents" mappen. Filerne blev krypteret så brugerne ikke kunne tilgå dem uden de først betalte en "afgift" for deres data.

Hvad kan vi gøre ved det?
Din kendskab - og villighed til at løse problemet - er en vigtig første forsvarslinje mod malware og det resulterende kriminelle akt. Både den offentlige og private sektor er involveret i koordinering i brede industri initiativer. Tal med dine venner om det og tjek hvad du kan gøre for at forhindre din pc i at blive en zombie. Accepter ikke en ramt pc.

De levende dødes nat
Som en sjov lille gimmick har man samtidig linket til den første zombie-film fra 1968, Night of the Living Dead. Den kan ses eller hentes online - alt efter hvad man har lyst til.

Plottet er en gruppe fremmede personer, der må søge tilflugt på en gammel gård på grund af de konstante angreb fra døde lokalbeboere - som er bragt til live af en mystisk stråling.

En sjov lille måde at mind-mappe en nuværende reel trussel med noget visuelt.

Yderligere information
National Zombie Awareness Week - Has your PC been zombied?

Netbooks er en sikkerhedsrisiko - naah?!

2009-03-04T12:10:00.006+01:00

De hypede Netbooks har øget chance for at blive ramt af malware og hacking. Deres lavere datakraft og ydelse afleder et fravalg af nutidens tunge it-sikkerhedssuiter. Vrøvl siger flere brugerne, der har kommenteret artiklen på The Independent.

I en artikkel på det engelske onlinemedie, The Independent, er Netbooks i søgelyset som mulige veje ind for hackere og malware til de personfølsomme informationer. Artiklen bakkes op af analytikere som mener, at den noget svagere ydelse gør Netbooks mere sårbare, når de bruges til internetsurfing og handel på nettet.

Risikoen skulle angiveligt ligge i, at de moderne sikkerhedssuiter efterhånden er så tunge, at det bringer ydelesen og brugbarheden drastisk ned. Dermed vælger nogle personer at se stort på it-sikkerheden. Det er den generelle trussel mod internetbrugerne som blot kommer mere markant til udtryk.

Da markedet for Netbooks samtidig forventes at stige med 100 procent i år alene, så skulle det naturligt aflede flere dårligt beskyttede Netbooks kommer på nettet. Da det samtidig er mange førstegangsbrugere der vælger en Netbook, så øges risikoen proportionalt.

Analytikerne i artiklen er ikke blege for at komme med deres besyv. Som eksempel siger Lillian Tay fra Gartner Group til Reuters, at det er en "Catch-22" situation: "Hvis du kører for mange sikkerhedsprogrammer på samme tid, så vil det sløve computeren. Hvis du ikke kører nogen - så er du sårbar".

Læg an, tag sigte, fyr!
Den påståede lavere sikkerhed på Netbooks, mener jeg personligt er det rene vås. Jeg kender flere som bruger Netbook computere i deres dagligdag - og som har sikret den bedst mulig med de gængse sikkerhedsprodukter.

Nogle førstegangs brugere vil givet vis mangle den optimale sikkerhed, men det har intet med Notebooken at gøre. Her træder "fejl-40" begrebet og sund fornuft vist ind i billedet.

Artiklen har da også fået et par kritiske kommetarer med på vejen. Her siges der nærmest, at indholdet er fordrejet og den grundlæggende research er decideret mangelfuld. Jeg er af samme opfattelse, til trods for, at jeg godt kan følge tankegangen et stykke hen ad vejen.

En brugerkommentar er, at det er operativsystemet og tilhørende applikationer som afleder mulige sårbarheder. En anden kommentar fastslår direkte, at nogle antivirusprogrammer ikke har kritisk indflydelse på ydelsen. Her nævnes AVG som eksempel.

Som rosinen i pølseenden så indikeres der også, at man kan jo vælge at gå over på Linux som operativsystem, hvilket naturligt vil aflede en stor del af den målrettede Windows malware ikke vil få en chance.

Døm selv: Netbooks may offer hackers private data gateway

LorteMail - medaljen har to sider

2009-02-27T11:43:00.008+01:00

LorteMail giver en muligheden for at benytte en anonym mailkonto, hvis indhold automatisk slettes efter 24 timer. Men valget af brugernavn er vigtigt at tænke på, da alle kan tilgå indbakken. Det har givet anledning til spændende informationer.

Du kender det godt. En onlineservice har lige det du søger - men der kræves login for at tilgå ressourcen. Her skal de 'naturligvis' have ens e-mail adresse. Har man prøvet det én gang før, så ved man, hvor mange lortemails der efterfølgende dukker op.

Her er LorteMail.dk et friskt og aldeles brugbart tiltag, hvor man uden oprettelse kan tilgå en midlertidig mailadresse sluttende på "@lortemail.dk". Man vælger selv, hvilket brugernavn man ønsker og angiver efterfølgende det til den fremsendte e-post.

Problemet er i den forbindelse, at mange personer ikke tænker sig om. Deres brugernavne er indlysende - og man kan dermed kigge med i den mail der er modtaget de sidste 24-timer. I nogle tilfælde er det til sociale tjenester og sågar logininformation til uddannelsesinstitutioner.

Udnyttet uden at vide det
I et konkret eksempel har en mand på 23 år oprettet en profil på et datingsite ved brug af en lortemail adresse. Datingsitet sender gladeligt nyhedsbreve med mulige match til denne profils e-mailadresse. Nyhedsbrevene indeholder billeder af kvinder der også søger en partner.

I den seneste "match mail" lortemail har modtaget, er der billeder af 10 kvinder i alderen 19 til 28 år. Profilen "FrkWinter", på lidt over 20 år, er fremhævet. Men "louise26", "Stinnababe", "miss27" og "SweetCherry" med flere er også vist med profilbillede i mailen.

Klikker man på et af de fremsendte profiler, så åbnes datingsitet direkte. Her sendes man ind på den falske mandlige profil, hvor det oplyses, at profilens abonnement udløb den 2. februar 2009. Dog er den stadig aktiv nok til at modtage e-mails fra datingservicen.

Hvis man ikke lige kender den 23-åriges password til datingservicen - så har den naturligvis funktionen "Glemt dit kodeord". Her angiver man profilnavnet fra lortemail og klikker OK. Få minutter senere ligger der en e-mail med det eksisterende kodeord eller et nyt. naturligvis fremsendt til den angivne lortemail-adresse *suk*

Jeg har ingen idé om, hvor ofte datingservicen sender sådanne mails ud - men gætter på det nok er ugenligt. Dermed er mindst 40 kvinders profiler sendt ud til en åben mailservice, uden deres vidende, siden den 23 årige mands profil udløb.

De fleste betragter en profil på et datingsite som noget yderst personligt. Den er rettet mod ligestillede (andre brugere af servicen) - og vil med garanti finde det krænkende, at andre uden tilknytning kan se deres profilbilleder og brugernavne.

Adgangsinformation til et uddannelsessted
I samme bolgade har en yngre person oprettet en lortemail-adresse til midlertidig adgang til sin skoles website. Skolens website kræver en bekræftelse - som returneres til den angivne adresse. Af ukendte årsager tjekker skolens websystem ikke, hvormange gange der bekræftes.

Ved at klikke på den angive webadresse, sendes man direkte til deres valideringsside - som efterfølgende forwarder til det egentlige system. Oven i købet med beskeden: "Tak for din bekræftelse - du har nu adgang til....".

På denne side ligger der forskellige oplysninger om klasseårgange - som igen indeholder information om elever, undervisningsplaner, kontaktinformationer, adresser og lignende. Informationer der kan tilgås direkte fra den åbne mailservice. Småkritisk.

LorteMail er helt uden skyld
Det nemmeste vil være at anklage lortemail for at have oprettet en service der udfylder et behov. Men det vil være det samme som anklage bilproducenterne for påkørsler af fodgængere og cyklister. Det er nærmere et spørgsmål om, at har man brug for denne service - så skal man tænke sig om og overveje konsekvenserne.

De pågældende sites, og der er lang flere end de nævnte, er ofre for en semilegal bagdør kombineret med manglende beskyttelse for en anvendelse, der er atypisk. Men det kan lade sig gøre og oven i købet uden at hacke med specielle værktøjer eller fordækte scripts. Lidt kreativ tænkning er nok.

Hvis man har et behov for at bruge en midlertidig e-mail adresse på lortemail.dk, så brug for pokker en så kryptisk adresse, at chancen for at gætte den er 1:1000000. Angiver man "hansen", "peter", "lotte", "kurt", "qwerty", "1234", "abcd" eller lignende - så er der en stor chance for at andre kigger med.

Klik her for at komme til http://LorteMail.dk

Englands nationale lotteri website hacked

2009-02-26T17:17:00.019+01:00

Hvis du spiller Lotto online, så glæd dig over, at du ikke spiller på den engelske pendant til Danske Spil - The National Lottery. Den berygtede rumænske hackergruppe har udført et dokumenteret SQL Injection angreb mod deres website. Danske Spils Sikkerhedschef siger, at de også har set lignende forsøg.

Man kan vist roligt sige, at det er held i uheld at det er den rumænske hackergruppe, med talsmanden "unu", som har dokumenteret SQL Injection sårbarheden hos The National Lottery. De har det nemlig med, at informere de ramte før de publicerer et hack.

I det givne tilfælde har gruppen igen dokumenteret deres SQL Injection angreb med grafik på HackersBlog - der viser en listning over databasens tabeller samt information om den administrative konto (brugernavn og MD5 kodet password). Se billederne her:

Et spillesite er spændende set med it-krimminelles øjne, da der uden tvivl er en stor omsætning fra et utal af håbefulde spillere. Websitens eneste formål er jo netop gambling, hvilket helt naturligt afleder brugen af penge.

Hackergruppen har da også specifikt markeret tabellen "tbl_users" som en indikator på, at der kunne trækkes personinformationer ud. De angiver ikke, om de rent faktisk har kunnet se tabellens indhold. Uanset om det har været muligt eller ej, så er det en katastrofe for The National Lottery.

I et worst-case scenarie, er det flere tusinde brugers informationer der vil kunne udnyttes. Personer, som garanteret også vil blive narret, hvis der dukkerede en e-mail op på vegne af spilleservicen med lovning om guld og grønne skove. Det er set før i andre sammenhænge.

Danske Spil har stor fokus på sikkerhed
Vores egen udbyder af Lotto, Quick, Oddset, Tips med mere - arbejder i samme kategori som The National Lottery. Her er der også en stor omsætning, hvilket man ved afleder stor opmærksomhed fra personer, der gerne vil tjene hurtige penge uden skelen til måden det gøres på.

"Penge har altid været det største motiv for kriminalitet og det vil nok ikke ændre sig. Så ja, selvfølgelig har der været nogen som har forsøgt at komme tæt på - og sådan vil det også være i fremtiden", siger Mickie Friebel, Sikkerheds- & Kvalitetschef hos Danske Spil A/S.

For Mickie Friebel er it-sikkerhed derfor en naturlig del af dagligdagen - som har sit udgangspunkt allerede på ledelsesniveau. Der foretages løbende risikoanalyser på alle projekter uanset om det er nye systemer, samarbejdsrelationer eller anden forretningsudvikling.

"Overordnet er vores tilgang Fortrolighed, Integritet og Tilgængelighed (FIT) og et væsentligt ledelsesmæssigt værktøjer hertil er risikostyring. Der foretages løbende overordnede risikovurderinger, herunder konsekvensvurdering og sårbarhedsvurdering, samt tilhørende justering til det tidssvarende risikobillede. Ud over dette arbejder vi efter WLA Security Control Standard, herunder også ISO27001, som er gode værktøjer til at at sikre den ledelsesmæssige del af sikkerheden", forklarer Mickie Friebel.

Uden Mickie Friebel vil gå i detaljer, så sikrer Danske Spil A/S at have et opdateret billede af omgivelserne ved at der abonneres på diverse nyhedsgrupper og benyttes flere forskellige adviseringsværktøjer, som mange leverandører tilbyder i dag.

Han bekræfter samtidig, at Danske Spil A/S jævnligt bliver testet for mulige sårbarheder, netop da trusselsbilledet kan ændre sig med meget kort varsel.

"Ja, Danske Spil A/S bliver jævnligt testet og med faste intervaller. Desuden bliver al software testet løbende under udvikling - og al ny software bliver funktionstestet, sårbarhedstestet og integrationstestet på et produktionslignende miljø, inden det ligges i drift. Når det ligges i drift, testes det igen for at sikre højst mulig kvalitet, sikring og oppetid for vores brugere", forklarer Sikkerheds- & Kvalitetschefen.

Mere sårbart Adobe software - denne gang i Flash

2009-02-25T00:08:00.003+01:00

Så er Adobe på skafottet igen. Nu er det Adobe Flash, nærmere bestemt version 9.0.124.0, som kan udnyttes når den behandler Shockwave filer. Et fuldendt angreb tillader afvikling af ondsindet kode på niveau med brugeren af computeren.

Der var engang en joke om Microsoft som bilproducent. Den var meget sjov. Med Adobes historik kunne jeg godt tænke mig at se, hvordan deres historie ville blive vinklet. Måske ville temaet være køkkenudstyr - for deres software minder efterhånden om et dørslag, sigte eller si.

I det aktuelle tilfælde er et besøg på en webside med en specielt udformet Shockwave Flash fil nok til at udnytte sårbarheden. I praksis sker det ved, at et bestemt objekt oprettes og efterfølgende destrueres sammen med alle tilknyttede referencer. Men en reference kan bibeholdes til at pege på objektet, som nu eksisterer i et ikke initialiseret hukommelsesområde. Det kan herefter udnyttes til afvikling af ondsindet kode.

Det kritiske er, at Flash er en standard som benyttes overalt i dag, hvor man ønsker at vise beriget multimedie indhold. Flere websites er opbygget udelukkende i Flash - og flere bannerreklamer er gået i samme retning. Yderligt er der Flash plugins til bredt udvalg af browsere og platforme - herunder Windows, Linux og MacOS.

På iDefense Labs hjemmeside er der en udbydende forklaring på, hvorfor de karakteriserer denne sårbarhed som HIGH. En lige så skræmmende information er, at den første dialog startede den 25. august 2008. Herunder ses den timeline som iDefense Labs angiver:

08/25/2008 - Initial Contact
09/22/2008 - PoC Requested
11/05/2008 - PoC Sent
11/06/2008 - Clarification requested
12/05/2008 - Clarification Sent
12/07/2008 - Additional Clarification Sent
02/19/2009 - Draft bulletin received
02/24/2009 - Coordinated Public Disclosure

Det tog med andre ord seks måneder fra første kontakt til koordineret information kom ud. Det kan derfor undre, at Adobe skal bruge yderligere tid til at få et fix smidt på nettet. Man kan kun håbe på, at der ikke har siddet dygtige kinesiske hackere og fundet den samme sårbarhed. De vil givet vis reagere noget hurtige på at få et exploit ud på nettet.

Wikileaks: Skype VoIP i Asterisk open source PBX system

2009-02-24T11:51:00.005+01:00

Ifølge Wikileaks information, så er Skype, og virksomheden bag open source PBX softwaren Asterisk, i fuld gang med udvikle et properitært modul, hvor Skypes VoIP løsning skal kunne kommunikere med Asterisk løsningen.

Som en spændende vinkel på mit indlæg i går (EU vil undersøge VoIP aflytningsteknikker), så er der lækket information på Wikileaks om, at Skype og Digium, virksomheden bag Asterisk, arbejder på et modul til integration af Skypes VoIP løsninger i open source softwaren.

Der skulle efter sigende været givet en offentlig demo ved en konference - men ellers har alt været hemmeligholdt. Det er blot for kort tid siden, at beta-testen blev udviddet til at inkludere nogle få tusinde virksomheder - som alle skulle underskrive en hemmeligholdelsesaftale (Non-Disclosure Agreement, NDA).

Der ligger dog nogle begrænsninger i beta-projektet. Eksempelvis kan eksisterende Skype brugere ikke direkte benytte løsningen. Det vil kræve, at der oprettes nye dedikerede konti til formålet. Uanset betabegrænsninger - så er dette er bestemt noget der skal holdes øje med.

Se Wikileaks side her (23. februar): Skype for Asterisk Digium Non-Disclosure Agreement, 2009

Se ordlyden for den omtalte Non-Disclosure Agreement

EU vil undersøge VoIP aflytningsteknikker

2009-02-23T09:24:00.008+01:00

EU's Judicial Cooperation Unit, kendt som Eurojust, vil nu til at undersøge, hvordan man bedst mulig kan aflytte samtaler foretaget ved hjælp af VoIP. Det er kampen mod international kriminalitet der har sat skub i undersøgelsen.

Kriminelle er ikke sene til at udnytte mulighederne for at arbejde under radaren - og her er samtaler foretaget fra eksempelvis Skype inkluderet. Det gør det yderst svært for myndighederne at lytte med, når detaljerne for smugling af stoffer, våben og mennesker aftales.

Det er den italienske regering som har udtrykt bekymring om stigningen i brug af VoIP til kriminelle formål: "Muligheden for at opsnappe Internettelefoni vil blive et essentielt værktøj i kampen mod internationalt organiseret kriminalitet inden- og udenfor Europa", siger Carmen Manfredda, Eurojust medlem fra Italien.

Den lyder som endnu en BigBrother-funktion, hvor lovlydige borgere og virksomheder kan risikere at blive aflyttet. Men det afviser Carmen Manfredda: "Vores mål er ikke at stoppe brugere i at udnytte mulighederne i Internettelefoni, men at forhindre kriminelle i at bruge Skype til at planlægge og organisere ulovlige aktiviteter".

Det skulle angivelig være på opfordring af Italiens Anti-Mafia direktorat, at muligheden for VoIP-aflyning er fremsat. Ifølge Eurojusts udtalelse, vil man forsøge at overkomme de tekniske og juridiske forhindringer der er i forbindelse med aflytning af Internet telefonsystemer - men stadig håndhæve reglerne for databeskyttelse og borgerrettigheder.

Skype har i den forbindelse fortalt ZDNet UK, at de har givet Eurojust en omfattende forklaring på deres retshåndhævende program og muligheder. De afviste samtidig pressehistorier om, at de har nægtet at samarbejde med forskellige myndigheder - men gerne vil samarbejde, hvor det er lovligt og teknisk muligt.

"Skype er stadig interesseret i at samarbejde med Eurojust til trods for, at de valgte ikke at kontakte os før de udsendte denne ukorrekte rapport", siger en talsmand for Skype som kommentar.

Yderligere information

Eurojust coordinates internet telephony investigations

Opdatering 28-02-2009: http://www.theregister.co.uk/2009/02/27/eurojust_abandons_skype

Humor: New Stupid Piece Of Shit

2009-02-20T16:42:00.006+01:00

Kender vi det ikke. Ny 'dims' der lover guld og grønne skove. Den kan mindst 12 gange mere end de forrige version. Det har The Onion News Network lavet satire over - og det går hårdt ud over Sony. Men morsomt er det :o)

Under overskriften Sony Releases New Stupid Piece Of Shit That Doesn't Fucking Work sætter The Onion News Network ord og billeder på det vi alle tænker engang i mellem, når endnu en ny version af en dims ser dagens lys.

Det er Sony det går ud over, men kunne være hvem som helst. Der må være en hos TheOnoin som har fået en mandagsudgave af et Sony produkt - og som er blevet lettere knotten. Man vil nok kigge en gang mere, hvis de officielle System Specifications virkelig er som TheOnion angiver:

Makes the most irritating beeping noise you've ever heard in your goddamn life

Fucks up everythings else you hook up to it

'Scans for recievers' whatever the fuck that means

Flashes rando fucking words and numbers on the display screen

Få et godt grin, se her (på engelsk) :

Se også indslaget her sammen med mange andre humoristiske og rammende indlæg: Sony Releases New Stupid Piece Of Shit That Doesn't Fucking Work

Ny kritisk Adobe Reader/Acrobat sårbarhed

2009-02-20T11:09:00.007+01:00

Adobe er i ilden igen. En ny kritisk sårbarhed i Adobe Reader og Adobe Acrobat v/9 og herunder, kan udnyttes til at crashe programmet og kan give en hacker fuld adgang til computeren. Der er allerede 0day exploit PDF-filer at finde ude på nettet.

Sårbarheden er bekræftet på en fuldt opdateret Windows XP med Servicepack 3, hvor Reader versionerne 8.1.0, 8.1.1, 8.1.2, 8.1.3 (seneste v/8.x) samt 9.0.0 (seneste v/9.x) kan udnyttes. Exploitkoden udnytter et non-JavaScript funktionskald til at udfylde et hukommelsesområde (heap) med kode der kan starte programmer og kommandoer (shell code).

Det formodes, at andre Windows versioner også er i farezonen - og det samme gælder for Linux og Apple OS X. Alt der kræves er, at man indlæser en angrebs-PDF-fil i Adobe Reader. Det kan være et PDF dokument hentet fra nettet - eller som ankommer vedhæftet en e-mail.

Flere antivirusprogrammer kan allerede finde disse angrebs-PDF-filer, eksempelvis Trend Micro og Symantec, men det er baseret på signaturer fra den 12. februar 2009. Man må antage, at personerne bag disse filer har videreudviklet deres angrebskode siden da.

For at imødekomme denne sårbarhed, anbefales det at deaktivere JavaScript muligheden i Adobe Reader og Adobe Acrobat. Det gøres ved at fjerne fluebenet følgende sted:
Rediger / Indstillinger / JavaScript / Aktiver Acrobat JavaScript.

Den mistede funktionalitet er intet mod, hvad der ellers kan ske. Se også Adobes egen Security Bulletin om problemet fra 19. februar 2009: Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat.

Krisen truer også it-sikkerheden

2009-02-19T13:56:00.010+01:00

Den økonomiske krise har også indflydelse på it-sikkerheden - enten direkte eller indirekte. Når nøglepersoner forsvinder, eller kritiske samarbejdspartnere går konkurs, så efterlades virksomheden sårbar på mere end en måde.

Det er ikke kun hacking og malware der udgør en trussel i denne krisetid. Der er utallige eksempler på, at opsagte medarbejdere forsøger at skade virksomheden. Det kan være alt fra egentlig sabotage til tyveri af intellektuel- eller kundeinformation.

Den stjålne information bruges til at komme foran i køen/kampen om et ledigt job – eller er rettet mod opstart af egen virksomhed. Det er ulovligt, men sker nok oftere end de fleste vil erkende.

You know / don’t know
Noget andet er den intellektuelle sårbarhed virksomheden udsættes for, når medarbejdere med central viden stopper. Specielt, hvis der ikke findes klare retningslinjer for dokumentering af ansvarsområder, arbejdsgange og procedurer. Noget specielt de små virksomheder glemmer.

De tilbageværende medarbejdere belastes med flere opgaver - og i nogle tilfælde ud over deres primære kompetenceområder. Det nye ansvarsområde forsøges udfyldt på bedste måde, men brandslukning bliver som oftest en hverdagsting.

I nogle tilfælde kan man stadig trække lidt på den medarbejder som bestred området tidligere, men i de fleste tilfælde er det et afsluttet kapitel.

Mange bække små
Det er oftest bagateller der eskalerer til omfattende problemer. Enten fordi de nedprioriteres til fordel for akutte sager – eller slet og ret er gået i glemmebogen. I nogle tilfælde ville fejlen være sket uanset krise eller ej – men chancerne er langt større i dag.

Som eksempel har jeg netop hørt om en mailserver, der gennem længere tid havde brokket sig. Opsagte medarbejderes mailkonti var stadig aktive - og serveren modtog løbende mails til dem. Den ansvarlige var også opsagt, men det var til ham at alarmerne kom. De tilbageværende havde i øvrigt slukket hans afleverede mobiltelefon, da de var trætte af dens konstante bibben. Det skal nævnes, at serveren stod for at skulle opgraderes – men det var holdt tilbage grundet krisen.

I andre tilfælde kan det være manglende opdatering af central software, manglende eller dårligt udført backup - og manglende gennemgang af logs på kritiske systemer. Det kan også være nedprioritering af opgradering af forretningskritisk software - eksempelvis overgangen fra en ældre antivirusversion til en nyere. Manglende fokus på sårbare tredjeparts produkter er også en faktor.

Konkurs-/kriseramte outsourcingspartnerne og konsulentvirksomheder, kan pludselig trække tæppet væk under virksomheden. Et skift til en anden samarbejdspartner er ikke budgetteret - og vil dermed resultere i en ekstra økonomisk byrde. Indtil en løsning findes, er virksomhedens sårbarhed øget. Det kan trække ud, da nogle virksomheder vælger at "se tiden an".

’Leftovers’ på nettet
Som det seneste figurerer der et stigende antal aktive websites, som ejerne tilsyneladende ikke gør noget ved længere. I flere tilfælde ejes de af mindre virksomheder der er afviklede eller godt på vej. Hostingen er betalt, så udbyderen gør ikke noget før de får besked på at lukke det ned - eller informeres om, at det bruges som angrebssite.

Det kritiske ligger i, at webapplikationen ikke længere vedligeholdes med opdateringer og rettelser. Med mængden af web-exploits der publiceres, på både åbne og lukkede fora, så er det oftest kun et spørgsmål om tid før, at en søgning finder det henlagte - men kørende - website.

Et sårbart website, for et ikke aktivt firma, lyder måske ikke så farligt. Deres kunder vil nok ikke kigge forbi længere. Men det udgør en reel trussel, hvis hackere udnytter websitet som en mellemstation til andre angreb. Det er fakta, at politiskmotiveret defacing foregår i udbredt stil - men skridtet fra statement til attacksite afhænger udelukkende af, hvem som finder det sårbare website først.

Følgende Google-søgning giver måske en ide om problematikken: http://www.google.com/search?q=intext%3Ahacked+by+site%3A.dk

20-02-09: Comons nyhed baseret på mit blogindlæg It-kriminelle overtager forladte websteder

Kaspersky rydder op

2009-02-16T21:18:00.020+01:00

Den 7. februar lykkedes det en rumænsk hackergruppe at kompromittere den amerikanske del af Kasperskys website. Jeg dokumenterede hændelsen med data taget fra den blog, hvor det blev publiceret. Det har Kaspersky set og rydder nu op.

Fredag den 13 (uha) hørte jeg af omveje, at et PR-bureau forsøgte at at få fat i mig. Første tanke var, at der muligvis var lidt mønt at tjene - så jeg kontaktede bureauet sent om eftermiddagen og efterlod mine kontaktdata. Jeg hørte dog ikke noget - weekenden ventede forude.

Nysgerrighed drev mig til at følge op på sagen i dag. Her talte jeg med en meget behagelig person der forklarede, at bureauet repræsenterede Kaspersky i Danmark. Man havde læst mit blogindlæg og ville gerne bidrage med information der dækkende begge sider af sagen. Man fandt, at mit indlæg "Sikkerhedsfirmaer med sløset web-sikkerhed" tog hackernes side.

Nuvel, det gjorde den på sin måde også. Kaspersky havde ikke frigivet nogen information om dette webhack da jeg skrev indlægget. Damange-control-apparatet var sat i gang (Comon den 10. februar og Version2 den 11. februar), så tænkte jeg, at den sag nok er begravet. Det var den så ikke.

Personen fra PR-bureauet forklarede, at jeg ville blive kontaktet af Kaspersky. Selvom det ikke blev sagt direkte, så var det tydeligt at Kaspersky var i gang med at rydde op. Han sendte mig kort efter den officielle udmelding som Comon og Version2 også citerer.

Det mest spændende kom klokken 21.46, hvor Kasperskys tekniske chef for norden fremsendte den samme officielle information fra 13. februar som er online. Så kan der ikke herske tvivl om, at sagen nu er belyst fra alle sider.

Og nej, jeg er ikke blevet truet med bål, brand og dyre advokater. DET ville i sig selv have været en endnu bedre historie :o) Informationen nuancerer hændelsen - men ændrer ikke det faktum, at der blev handlet reaktivt. Hvordan er det nu det ordsprog lyder? Oh jo... Practice What You Preach.

Tre på stribe

2009-02-13T11:57:00.014+01:00

Hvad har B, F og K til fælles? Det er forbogstaverne på de sikkerhedsfirmaer der har fået deres websites kompromitteret i løbet af få dage. Senest er det F-Secure der var mål for den aktive rumænske hackergruppe. F-Secure nedtoner angrebet.

Først var det Kaspersky og Bitdefender der blev knækket. Senest er turen så kommet til F-Secure, hvor angrebet igen er dokumenteret på HackersBlog. Gældende i alle de tre tilfæde er, at der var sårbarheder i webapplikationen som kunne udnyttes grundet manglende validering.

På samme måde som Kaspersky og Bitdefender, har F-Secure taget til genmæle og nedtoner hændelsen. De angiver på deres blog, at det var deres malware statistik server som fik besøg - men det kun var muligt for hackerne at læse information fra databasen - ikke skrive til den.

Angrebet var derfor kun delvist en succes siger F-Secure. Nedtoningen kommer i form af denne sætning: "So while the attack is something we must learn from and points at things we need to improve, it's not the end of the world". *Hehehe* minder det ikke lidt om denne here :o)

Sikkerhedsværktøj som hackertool

Fremgangsmåden er tilsyneladende den samme i hvert af tilfældende - og ikke ulig den måde it-sikkerhedskonsulenter arbejder på. En kombination af viden, værktøjer og manuel test. Det skulle efter sigende være udført således:

1) Gruppen scannede websitet med et automatiseret værktøj
2) Værktøjet fandt SQL Injection sårbarheder på bestemte sider
3) Sårbarhederne blev efterfølgende manuelt verificeret
4) Information blev trukket ud fra databasen og dokumenteret

Mistanken er faldet på, at det er sikkerhedsvirksomheden Acunetix's gratis web-application scanner værktøj som har været brugt. Det afviser Acunetix ikke. De mener dog, at det er mere sandsynligt, at det er en piratkopi af deres der fulde version som har været benyttet. Good PR.

Sikkerhedsfirmaer med sløset web-sikkerhed

2009-02-09T20:31:00.017+01:00

Man må forvente, at et sikkerhedsfirma har en kontant holdning til it-sikkerhed. Men både Kaspersky og Bitdefender har tilsyneladende glemt at sikkerheden også skal gælde deres websites. Resultatet blev blottede databaser og eksponering af kritiske informationer.

Et website er en virksomheds ansigt udad til. Hvis det hackes siger det generelt noget om virksomhedens holdning og fokus på it-sikkerhed. Går det ud over den lille vinduespudser - så er det både ærgeligt og irreterende. Men sker det for et it-sikkerhedsfirma - så er listen af negative superlativer meget lang!

Det er netop, hvad der er sket for it-sikkerhedsvirksomhederne Kaspersky og Bitdefender på deres websites i henholdsvis USA og Portugal. Lad mig sige det som ligger lige på tungen: Hvor sikker kan man være på disse producenters produkter, når de ikke formår at kunne sikre deres websites?

For Kasperskys vedkommende har det udførte SQL Injection angreb blottet hele deres database. Vi taler om komplet adgang til tabeller med brugere, aktiveringskoder, interne lister over bugs, administratorområde, webshop med flere. Alt sammen dokumenteret. *Oh-My-God*

Den komplette liste fra usa.kaspersky.com er dokumenteret fuldt ud på HackersBlog.

Hos Bitdefender er det også SQL Injection som har gjort det muligt at trække information ud af databasen. Her er det også muligt at trække information ud om databasenavn, administratorer, deres passwords (MD5 kodet), SessionID med mere.

Samtidig er det muligt at liste registrerede kunders personlige informationer fra Salgs tabellen - samt flere tusinde e-mail adresser fra Nyhedsbrev tabellen. Igen siger et billede mere end tusinde ord - så her er den grafiske dokumentation fra HackersBlog om sikkerheden hos Bitdefender:

Mon ikke der sidder nogle personer i de respektive virksomheder med meget, meget røde øren i øjeblikket. Og mon ikke der også kan komme en udskiftning i medarbejderstaben på tale?

Begrænsede brugerrettigheder afhjælper sårbarheder

2009-02-04T15:50:00.028+01:00

Begrænses brugerens rettigheder, kan hele 92 procent af de kritiske Microsoft sårbarheder afværges. Det er ikke nogen nyhed at sådanne begrænsninger kan være positive - men tallene fra BeyondTrust er alligevel overraskende.

Når en Windows XP installeres, er det de færreste der opretter en decideret administratorkonto med det eneste formål, at kunne servicere Windows systemet når der kræves administrative rettigheder. På størstedelen af de private maskiner er der én aktiv konto - og den er som standard medlem af Administrator gruppen.

Ifølge BeyondTrust, kunne 92 procent af de kritiske Microsoft sårbarheder (i 2008) være reduceret ved, at brugeren ikke have administrative rettigheder. Faktisk så har Microsoft selv anbefalet eller berørt dette emne i omkring 70 procent af deres security bulletins de har udsendt i 2008.

Alene fjernelse af de administrative rettigheder ville have højnet sikkerheden og resistensen i 94 procent af de Microsoft Office sårbarheder der blev rapporteret i 2008. Det samme var gældende for 89 procent af Internet Explorer sårbarhederne og for 53 procent af sårbarhederne i Windows operativsystemet.

Nu er tal taknemmelige og det er lidt svært at påvise (med mindre man har oseaner af tid) at tallenes pålydende holder vand. Men det er fakta, at begrænsede konti kan og vil reducere mulighederne for eksempelvis malware. Det skyldes blandt andet, at det er i brugerens sikkerhedskontekst at den indledende inficering starter.

Når der kræves admin rettigheder

En af begrundelserne for ikke at logge ind som en begrænset bruger er, at det gør installering og hverdagsbrug ulideligt eller helt umuligt. Det er ikke korrekt. Hvis det forholdt sig sådan, ville flertallet af de erhversmæssige Windows installeringer ikke kunne fungere.

Så lad os sige det som det er: Årsagen til begrænsede konti sjældent bruges på private Windows computere skyldes enten manglende viden eller direkte dovenskab :o)

I de tilfælde, hvor man ikke kan komme udenom at skulle udføre en handling under en administrativ kontos frie muligheder, mangler Windows de integrerede funktioner som Unix/Linux tilbyder. Her har man muligheden for at afvikle et program med administrative rettigheder ved at bruge su (Super User) eller sudo (Super User Do) kommandoen.

Men der findes dog nogle muligheder i og til Windows, som tillader begrænsede brugere at bryde ud et kort øjeblik. Men kontoens overordnede grænser er stadig bibeholdt.

Spræg rammerne midlertidigt

Den kommando i Windows, som kommer nærmest sudo kommandoen fra Linux, hedder "RunAs". Her kan man afvikle et program under en anden brugers kontekst, oftest administrator, og dermed midlertidigt bryde ud af de sikkerhedsmæssige rammer kontoen ellers er begrænset af.

Jeg sværger til at bruge RunAs fra kommandolinjen, da det give nogle muligheder som den grafiske udgave (i højreklikmenu) ikke har. Den vigtige mulighed er /env parameteren, der sørger for, at det er den begrænsede brugers miljø der benyttes når RunAs afvikler et program under en anden brugers kontekst.

Der er rapporter flere tilfælde på nettet, hvor brugere ikke har kunnet bruge RunAs til afvikling af programmer placeret på netværksdrev eller ved direkte UNC sti. Jeg har udelukkende benyttet RunAs til afvikling af lokale filer. Her følger et par eksempler på brugen ad RunAs:

Kør Windows brugergrænsefladen med administrative rettigheder:
C:\> runas /user:administrator "explorer.exe /separate"

Start Internet Explorer med administrative rettigheder:
C:\> runas /user:administrator /env "c:\Program Files\Internet Explorer\Iexplore.exe"

Tilføj/fjern bruger fra lokal administrator gruppe

En anden mulighed udnyttes i et smart lille batch-script fundet på nettet. Her tilføjes brugeren til den lokale administrator gruppe og fjernes igen efter endt brug (MakeMeAdmin.cmd):

REM CUSTOMIZATION:
REM The following values may be changed in order to customize this script:
REM
REM * _Prog_ : the program to run
REM
REM * _Admin_ : the name of the administrative account that can make changes
REM to local groups (usu. "Administrator" unless you renamed the
REM local administrator account). The first password prompt
REM will be for this account.
REM
REM * _Group_ : the local group to temporarily add the user to (e.g.,
REM "Administrators").
REM
REM * _User_ : the account under which to run the new program. The second
REM password prompt will be for this account. Leave it as
REM %USERDOMAIN%\%USERNAME% in order to elevate the current user.
REM ********************************************************************

setlocal
set _Admin_=%COMPUTERNAME%\Administrator
set _Group_=Administrators
set _Prog_="cmd.exe /k Title *** %* as Admin *** && cd c:\ && color 4F"
set _User_=%USERDOMAIN%\%USERNAME%

if "%1"=="" (
runas /u:%_Admin_% "%~s0 %_User_%"
if ERRORLEVEL 1 echo. && pause
) else (
echo Adding user %* to group %_Group_%...
net localgroup %_Group_% "%*" /ADD
if ERRORLEVEL 1 echo. && pause
echo.
echo Starting program in new logon session...
runas /u:"%*" %_Prog_%
if ERRORLEVEL 1 echo. && pause
echo.
echo Removing user %* from group %_Group_%...
net localgroup %_Group_% "%*" /DELETE
if ERRORLEVEL 1 echo. && pause
)
endlocal

Batch-scripted er måske ikke raketvidenskab, men kan bruges til inspiration.

Tools til formålet

Andre har taget en helt anden vinkel på problemet. De har udarbejdet applikationer der forsøger at efterligne Linux's sudo kommando. Den jeg har i tankerne kaldes for "Sudo for Windows". Målt op mod RunAs har dette værktøj to primære forskelle.

For det første behøver den begrænsede bruger ikke at kende den administrative brugers navn og password. Når rettighederne midlertidigt skal løftes op - skal brugeren blot bekræfte med sit eget kendte password. Sekundært er det kun brugere tilføjet en specielt oprettet lokalgruppe, der kan afvikle sudo-kommandoen.

Som dette program, virker de fleste af samme type ved, at der installeres en server-service der kommunikerer med et klientprogram. I dette tilfælde hedder klientprogrammet "sudo.exe". Det er server-servicen der håndterer den rettigheds-by-pass der ønskes. Hvorvidt sudo-servicen kan udnyttes - er endnu ikke afprøvet. Det er altid tricky når en en service er involveret.

"Sudo for Windows" er blot et af mange programmer der prøver at udvidde mulighederne i forhold til RunAs. Men pointen er stadig den samme: Brugerkontoen er begrænset for at mindske mulighederne for misbrug - men det er muligt at få forholdsvis let adgang til de kræfter og muligheder der ligger gemt i en administrativ konto.

Zombies i området - LØB!

2009-02-02T10:20:00.004+01:00

For et par dage siden fik bilisterne i Austin Texas en noget anden melding fra trafikskiltet nær et vejarbejde. De blev advaret mod zombier i området og blev opfordret til at komme væk. Nogle ynglinge havde taget kontrol over styringen af skiltet.

Selvom historien er lidt morsom, så er der også en alvorlig bagside. Meldingerne på skiltet kunne meget vel være udnyttet til at skabe panik med mulig fatal udgang. Hvis nu ordlyden havde været "Bombetrussel - STOP NU!". Så er der overvejende chance for at nogle ville panikbremse.

Nu blev det holdt som drengestreger, men det berører også et andet punkt. Sikkerheden på kontroldelen af disse skilte er efter sigende en ren joke. Styringspanelet er aflåst med en lille hængelås, der kan åbnes med papirklips. Her har man så adgang til det panel, hvor der er tilknyttet et keyboard.

Hvis adgangen er beskyttet med kodeord, så er det som standard "DOTS". Hvis det er ændret, så reset'er man blot adgangen ved at holde Ctrl + Shift nede samtidig med man taster "DIPY". Herefter vil teksten på skiltet blive reset og password vil igen være "DOTS". Tja...

Læs hele historien her: Austin,TX Overrun By Zombie Jokes, Hacked Electronic Road Signs

Malware og angrebssites klar til Valentinsdag

2009-02-01T13:29:00.007+01:00

Den 14. februar 2009 er det igen Valentinsdag. Traditionen tro betyder det, at it-kriminelle vil udnytte denne specielle dag til at få spredt malware. De er allerede i gang 14 dage før dagen - og benytter malware som kun få scannere kan finde i skrivende stund.

Kun 3 ud af 39 af de antivirusscannere, som VirusTotal benytter, kan finde den malware som spredes på falske Valentinsdag websites. Ved direkte søgning på domænet i Google, kommer det fint frem som indekseret - men Google indikerer endnu ikke at siten er farlig.

Fremgangsmåden er hverken ny eller overraskende. Hvert år dukker der falske websites op i forbindelse med højtider og store mærkedage. Til trods for, at denne viden er kendt af både it-kriminelle og mange computerbrugerne - så rammes ufattelig mange af malware hvert år i disse perioder.

Det er grunden til vi hvert år ser disse angrebssites dukke op under et nyt navn og med den seneste malware klar til angreb. På blot 5-7 minutter blev der fundet to ydrepunkter på skalaen over angrebssites. Det ene var yderst simpelt, nærmest amatøragtigt, og det andet havde alt hvad man kan forvente af et professionelt udviklet website.

Den "forkromede udgave" var langt mere raffineret. Ud over et flot og gennemarbejdet layout - så forsøger man direkte af inficere den besøgende gennem sårbarheder i henholdsvis de Quicktime og Flash plugins som mange browsere har installeret.

Eksempel på et "simpelt" attacksite

Det følgende minitrace er blot data over et af de simple af slagsen. Lidt grafik og et link til en exe-fil indeholdende malwaren. Netop den simple opbygning er nærmest et skoleeksempel i, hvor enkelt det kan gøres. Man behøver ikke det store setup - selvom det naturligvis vil øge chancen for at få de lidt mere garvede brugere i nettet.

Domænet er allerede kendt på listen fra Malware Domain Blocklist og hos Norton Safe Web men Google indikerer endnu ikke dette domæne som værenede farligt:

GET / HTTP/1.1
Host: waleprojekt.com (88.174.191.30)

HTTP/1.1 200 OK
Server: nginx/0.6.34
Date: Sun, 01 Feb 2009 11:28:45 GMT
Content-Type: text/html
Connection: keep-alive
Content-Length: 245
Last-Modified: Sun, 01 Feb 2009 11:28:06 GMT
Accept-Ranges: bytes

[!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"]
[html]
[head]
[title]Love...[/title]
[/head]
[body]
[center]
[h4]Guess, which one is for you?[/h4]
[a href="meandyou.exe"][img border="0" src="img.jpg"][/a][/center]
[/body]
[/html]

Et nærmere kig på IP-adressen afslører den tilhører følgende:

Free SAS / ProXad
8, rue de la Ville L'Eveque
75008 Paris
+33 1 73 50 20 00
+33 1 73 92 25 69
Information: http://www.proxad.net/
Spam/Abuse requests: mailto:abuse@proxad.net

Websitet er helt ukompliceret. Der benyttes ikke avanceret scripts til at angribe den besøgende på andre sårbarheder. Det interessante var herefter at få en idé om, hvilken type malware dette website spredte. Derfor blev den angivne exe-fil hentet ned til videre analyse:

GET /meandyou.exe HTTP/1.1
Host: waleprojekt.com (221.124.70.181)

HTTP/1.1 200 OK
Server: nginx/0.6.34
Date: Sun, 01 Feb 2009 11:30:01 GMT
Content-Type: application/octet-stream
Connection: keep-alive
Content-Length: 392704
Last-Modified: Sun, 01 Feb 2009 11:29:06 GMT
Accept-Ranges: bytes

Download Complete (meandyou.exe, 392704 bytes recieved)

Cirka et minut efter at siden første gang blev kontaktet, har IP-adressen ændret sig. Malware filen hentes nu fra en helt anden adresse - men domænet er stadig det samme. Dette er bestemt ikke normal opførsel for et website 'med rent mel i posen'.

Filen blev kort efter oploadet til VirusTotal.com for at få en indikator på, hvad det er vi har med at gøre. Resultatet var ikke overraskende, at kun 3 ud af 39 antivirusscannere fandt noget mistænkeligt. Af de tre produkter der råber vagt i gevær, er Sophos den eneste som indikerer et navn - nemlig W32/Waled-W.

Se VirusTotal analysen her:
http://www.virustotal.com/analisis/fd128c0d200607a9b1f1ae86d140b501

Den nye IP-adresse blev også tjekket. Fra først at have været en tur i Frankrig - blev selve malware filen nu hentet i Hong Kong. Men stadig med reference til samme domæne:

ITMM HGC
Hutchison Telecom Tower,
9/F Low Block,
99 Cheung Fai Rd, Tsing Yi,
HONG KONG
phone: +852-21229555
fax-no: +852-21239523
e-mail: hgcnetwork@hgc.com.hk

Blot for at få en idé om hvad dette angrebssite egentlig viste sine besøgende, blev den benyttede JPG grafikfil også hentet:

GET /img.jpg HTTP/1.1
Host: waleprojekt.com (80.98.203.215)

HTTP/1.1 200 OK
Server: nginx/0.6.34
Date: Sun, 01 Feb 2009 11:38:37 GMT
Content-Type: image/jpeg
Connection: keep-alive
Content-Length: 60457
Last-Modified: Fri, 23 Jan 2009 04:22:14 GMT
Accept-Ranges: bytes

Download Complete (img.jpg, 60457 bytes recieved)

Endnu engang ændrede IP-adressen sig for domænet. Denne gang blev vejen lagt forbi Ungarn - nærmere bestemt Budapest:

Tamas Mogyorosi
UPC Magyarorszag Kft.
Kinizsi 30-36.
H-1092 Budapest
address: Hungary
phone: +3614562600
fax-no: +3612160058
e-mail: mogyoros@broadband.hu

På blot 3 forespørgsler, henholdsvis på siden, malwaren og et grafikbillede - ændrede IP-adressen sig for hver gang. Blot for sjov blev siden hentet flere gange med cirka et minuts interval. Hver gang var det en ny IP-adresse der svarede fra en ny lokalitet i verden.

Dette, og flere andre faktorer (det er en nginx/0.6.34 webserver der svarer hver gang) indikerer, at Sophos har ret i, at dette er malware tilhørende Waledac botnettet: http://www.sophos.com/security/analyses/viruses-and-spyware/w32waledw.html

Anden information:

Amerikanerne er det land i verden der sender flest lykønskningskort. Hele 7 milliarder kort om året ifølge The Greeting Card Association. Hver amerikansk husholdning køber cirka 30 lykønskningskort om året - og hver borger i USA modtager i gennemsnit 20 kort om året.

Der er i praksis et kort til enhver given lejlighed, men julekort kommer ind på en sikker førsteplads (60 procent). På en lige så sikker andenplads kommer Valentinsdag (25 procent). Efterfølgende kommer Mors Dag (4 procent), Påske (3 procent) og Fars Dag (3 procent). De sidste 5 procent dækker over brylluper, fødselsdag, udnævnelser og lignende.

Der bliver med andre ord blive sendt omkring 1.75 milliarder Valentinsdagskort, hvoraf cirka 200 millioner sendes elektronisk. Dette tal er i stigning, men amerikanerne foretrækker stadig et fysisk lykønskningskort. Men 200 millioner er da en slat :o/

Trojaner i piratudgave af Apple iWork 09

2009-01-24T23:17:00.004+01:00

Mac-brugere har længe levet med et lille smil på læben, når talen faldt på it-sikkerhed. Målt op mod Windows-brugernes kvaler, så er malware rettet mod Mac nærmest latterlig lille. Men tiderne er ved at vende!

Som det seneste spredes der i øjeblikket en trojaner via torrentsites, hvor en piratudgave af Apples iWork 09 indeholder lidt ekstra kode. Installationsprogrammet, der ellers er fuldt funktionelt, indeholder nemlig også pakken iWorkServices.pkg. Når den afvikles vil trojaneren have read-write-execute rettigheder til root.

Trojaneren forbinder sig til servere på nettet, hvor den opdateres og henter anden type malware ned på maskinen. En ondsindet fjernbruger kan herefter forbinde sig til den ramte maskine og bruge den til andre formål. Forskellig antivirus til Mac, med signaturer fra den 22. januar, kan finde denne trojaner. Det er dog de færreste Mac-brugere der benytter antivirus. Hmmm....

Fokus på Mac sikkerhed

Som nævnt i indledningen, så har der ikke været megen fokus på malware rettet mod Mac's - platformen har været for ubetydelig for de it-kriminelle. Der har været et par sager gennem årene, men småting i de store sammenhæng. Men det seneste opsving for Apple har medført at vinden er begyndt at vende.

Når en platform begynder at blive populær, så kommer der fokus på at dyrke et marked for eksterne leverandører. Når markedet når en kritisk størrelse, på både den økonomiske og brugsmæssige side, vil forskellige typer af misbrug så småt starte. Det kan være alt fra piratkopiering og cracking til udvikling af malware og hacking.

Så Mac-brugerne kan godt indstille sig på, at det lille overbærende smil ikke er så sikkert længere. Frekvensen hvormed malware rettet mod OS X dukker op - er langsomt steget. Det varsler ændret tankegang hos Mac-brugerne, hvis de ikke vil tages på sengen som Windows-brugerne blev det ved årtusindskiftet.

Falske Obama websites spreder stadig malware

2009-01-23T09:25:00.009+01:00

Et større antal falske Obama websites spreder malware. Samtidig kan kun cirka 44 procent af de mest benyttede antivirusprodukter detektere den ondsindede kode i følge VirusTotal.

Sent i går aftes faldt jeg over exploitkode rettet mod et online CMS system. For at få en idé om, hvor aktivt den var benyttet, foretog jeg en søgning på nettet. Det resulterede i lidt over tusind hits. Jeg tjekkede herefter et tilfældigt af dem - og fandt i den forbindelse injectede links til et falsk Obama website.

Det er der på sin måde ikke det store nye i. De har eksisteret fra cirka en uges tid før Obamas indsættelse. Gældende for dem alle er, at de har sentationsoverskrifter i stil med, at Obama ikke vil være præsident eller frygter for sit liv. Vil man "læse mere" klikker man på et link der direkte henviser til en exe-fil. Filen er kreativt navngivet - eksempelvis "speach.exe", "readme.exe", "obamanews.exe" eller lignende.

Filerne er en og samme uanset navn. En nærmere analyser vise, at det er en Waledac-trojane som gemmer sig i filerne. Det er en spam botnet klient med blandt andet egen indbygget SMTP serverfunktion. Den første udgave af Waledac blev i øvrigt første gang set spredende den 23 December 2008.

Derfor kan det undre en del, at kun 44 procent (17 styk) af de 39 antivirusprogrammer som VirusTotal benytter, kan finde denne version. Hverken F-Secure, Norman, Panda eller Trend kan finde den. Se analysen her.

Dobbelt sløjfe

Samtidig indeholder siderne et link til et script, der forsøger at skjule sig som værende et Google Analytics script. Men, normalt linker et site til deres analytics side sådan: [script src="http://www.google-analytics.com/urchin.js"]. På disse angrebssites gøres det som et lokalt link der ligner det rigtige. Her kaldes det blot: for [script src="google-analysis.js" ].

Dette falske Google Analytics script er i virkeligheden en Trojan-Downloader JavaScript Iframe angivet i kodet form, hvor brugeren sendes til endnu en falsk side med det sigende "hxxp://googl-status.xxx/xxx/direct.php?eb0h".

Her får brugeren en falsk fejlebesked fra serveren om, at der er opstået en intern server fejl og en masse falsk relateret fejlinformation. Sjovt nok, så afsluttes denne "fejlsiden" med et kald til endnu et javascript. Dette indeholder en src ("?2481f8009c0c409f3e1df1f1d411dcden 76697700n65623068000000000000") med input til "direct.php" - som kaster brugeren videre til den egentlig angrebskode i escaped form.

I browseren vil angrebskoden blive oversat og fortolket. Angrebskode forsøger nu at skrive en fil (file.exe) til Windows systemet ved hjælp af et kendt MDAC-exploit. Lykkedes det, vil filen efterfølgende forsøgt afviklet.
.
Hit'n and hide

Disse sites, og deres bagmænd, er som nomader: De bliver ikke længe på samme sted. Når deres opgave er løst - eller området er enten for farligt eller udtømt for muligheder - så er det videre. Der er nok muligheder at tage fat på. Ellers finder man da blot på noget!!

Så mon ikke vi snart ser spam og angrebssites der lover at man kan se Michelle Obama nøgen eller lignende??!

Ny generation botnet benytter 1024-bit RSA kryptering

2009-01-14T16:11:00.002+01:00

Waledac hedder et af de seneste botnet. Det er igen bagmændene bag Storm botnettet der mistænkes for at være ophavsmænd. Drejningen er, at nu kommunikerer noderne i netværket ved hjælp af krypterede forbindelser.

To gamle ordsprog ser ud til at være Waledac bagmændenes leveord: "Hvor der er vilje er der vej" og "Man lærer af sine fejl". De har nu gjort det en del mere vanskeligt for researchers af kigge med i botnettets kommunikation. Den seneste version benytter nemlig 1024 RSA kryptering til kommunikationen mellem noderne i netværket.

Det gamle Storm botnet kunne overvåges og "knækkes", da det var muligt at lytte med i kommunikationen mellem noderne. Det medførte blandt andet, at webhosting firmaet McColo Corp. blev lukket af de amerikanske myndigheder i slutningen af oktober 2008. De udløste en markant nedgang i mængden af spam på verdensplan.

Den krypterede kommunikation som Waledac benytter sig af gør, at det ikke vil være så nemt at få bugt med dette botnet. Med mindre bagmændene i deres hast har overset detaljer der kan udnyttes af researchers. Til trods for det endnu ikke kan bevises entydigt, så er mange researchere sikre på, at Waledac ER Storm bagmændenes værk.

Waledac blev blandt andet opdaget ved, at det benyttede elektroniske julekort til at nå ud til brugerne. Baseret på information fra eksempelvis Shadowserver, mener man, at Waledac allerede nu har mere end 10.000 maskiner (zombies) i nettet og gradvist vil blive større.

25 grundlæggende fejl er årsagen til it-sårbarheder

2009-01-13T11:04:00.004+01:00

Det er sagt mange gange tidligere, at programmeringsfejl og manglende viden er årsagen til sårbarheder. Nu har SANS og MITRE udarbejdet en liste der beskriver de 25 mest åbenlyse fejl.

Det 'morsomme' er i den forbindelse, at listen indledes med fejl der relaterer til websider, hvilket er den vej de it-kriminelle kommer i kontakt med deres ofre i slutbrugerleddet.

Bemærk, at punkt 9 omhandler lækage i forbindelse med fejlbeskeder. En oftest overset informationskilde. Efter sigende blev omkring 1,5 million websites hacked i 2008 baseret på de resulterende sårbarheder. Tallet er med garanti større, men det er svært at bekræfte.

Her følger listen med de 25 mest åbenlyse grunde til at it-sikkerheden kompromitteres:

Insecure Interaction Between Components

#01: Improper Input Validation
#02: Improper Encoding or Escaping of Output
#03: Failure to Preserve SQL Query Structure (aka 'SQL Injection')
#04: Failure to Preserve Web Page Structure (aka 'Cross-site Scripting')
#05: Failure to Preserve OS Command Structure (aka 'OS Command Injection')
#06: Cleartext Transmission of Sensitive Information
#07: Cross-Site Request Forgery (CSRF)
#08: Race Condition
#09: Error Message Information Leak

Risky Resource Management

#10: Failure to Constrain Operations within the Bounds of a Memory Buffer
#11: External Control of Critical State Data
#12: External Control of File Name or Path
#13: Untrusted Search Path
#14: Failure to Control Generation of Code (aka 'Code Injection')
#15: Download of Code Without Integrity Check
#16: Improper Resource Shutdown or Release
#17: Improper Initialization
#18: Incorrect Calculation

Porous Defenses

#19: Improper Access Control (Authorization)
#20: Use of a Broken or Risky Cryptographic Algorithm
#21: Hard-Coded Password
#22: Insecure Permission Assignment for Critical Resource
#23: Use of Insufficiently Random Values
#24: Execution with Unnecessary Privileges
#25: Client-Side Enforcement of Server-Side Security

Yderligere information:

SANS Institutes Top 25 liste

Webangreb med en drejning

2009-01-09T15:12:00.004+01:00

Angreb fra inficerede websites er ingen nyhed. Alle der besøger det ramte website vil blive forsøgt angrebet. Men en snedig drejning har gjort det sværere at finde angrebskoden.

Den normale procedure for en it-krimminel, der ønsker at få fat i så stor en mængde ofre er, at inficere websites med mange besøgende. Til det formål benyttes Google til at identificere highend sites. Når disser er fundet, bliver de testet for eventuelle sårbarheder. Helt på samme måde som professionelle it-sikkerhedsvirksomheder gør det.

Hvis en sårbarhed lokaliseres - hackes websiten således den kan bruges som angrebssite. Men modsat den normale fremgangsmåde, hvor der tilføjes nye filer eller skjult kode, redigeres allerede eksisterende filer der benyttes af servicen.

Drejningen er i den forbindelse, at der testes for, hvorfra brugeren kommer. Hertil benyttes et referer tjek for at se om den besøgende ankom til websiten fra et Google link. Hvis det er tilfældet, går angrebet i gang med fuld musik. Hvis man ikke ankommer til siten fra en Google søgning - så sker der ikke noget.

Ved angrebet sendes brugeren hen til flere forskellige sites, som intet har med det originale website at gøre. På disse sites testes der målrettet efter forskellige sårbarheder i den givne internetbrowser. Kan en kendt sårbarhed lokaliseres vil den blive inficeret. Oftest med en trojan-downloader. Ellers lokkes brugeren til manuelt at acceptere installering af malwaren.

Netop brugen af referer, hvor kun bestemte brugere bliver ofre, gør det svært at lokalisere problemet hurtigt. Det vil kræve dybere analyse og dermed øges risikoen for flere rammes.

Danskerne benytter ikke de kommunale onlinetjenester

2009-01-09T09:37:00.011+01:00

På Version2 kan man læse nyheden om, at danskerne foretrækker at kontakte kommunen ved at ringe eller skrive et almindeligt brev. Klogt træk i mange henseende!

Det er KMD som har foretaget undersøgelsen for Ingeniøren. Den viser, at 95 procent af alle ansøgninger stadig afleveres på papirskemaer. Kun omkring fem procent kommer fra Internettet.

Med bemærkningen "klogt træk" angivet i indledningen, menes, at en del af de danske kommuners hjemmesider har en del at komme efter sikkerhedsmæssigt. Her er det traditionelle webbaserede angreb som stadig kan udføres - eller der kan indhentes information som ikke burde være tilgængeligt for den almindelige borger.

Startende fra 2006 begyndte en bølge af webbaserede angreb at ramme verden. Specielt i 2007 og 2008 så flere danske hjemmesider effekten af manglende fokus på webapplikationen. Det er med andre ord ikke nye og ukendte angrebsformer der tages i brug - men kendte fremgangsmåder. Herunder angrebstyper der kan dæmmes op for på efterhånden enkel vis.

Alligevel viser en stikprøvekontrol af en god håndfuld offentlige hjemmesider, at it-sikkerheden lader en del tilbage at ønske. Når det er muligt at udføre XSS angreb uden store problemer, så ligger der nogle udfordringer forude som først skal adresseres.

Hvis man virkelig ønsker borgerne skal benytte onlinetjenesterne, så skal det være med ro i sindet og uden risiko for at blive offer for et it-angreb. Omkostningen for borgeren der rammes overstiger langt den angivne pris på 150 kroner en telefonisk henvendelse koster efter KMDs beregninger.

Så indtil tjenesterne på alle niveauer er sikre at benytte - kontakt da bare kommunen telefonisk og ved hjælp af almindeligt brev. Det gælder eksempelvis borgerne i Københavns Kommune, Slagelse Kommune og Herning Kommune for at nævne et par stykker. Og skal du tjekke verdensvejret, så er der jo altid DMI...

Trojaner spærrer for The Pirate Bay og Mininova

2009-01-06T13:02:00.000+01:00

En trojaner er dukket op på flere forskellige torrent sites og spærrer adgangen til The Pirate Bay, Suprbay og Mininova. Den informerer samtidig den inficerede maskines bruger om, at download af piratsoftware er forkert.

Det er enkelte midler der tages i brug af Qhost-AC for at stoppe adgangen til de meste benyttede torrent sites. Den retter kort og godt hosts-filen i Windows til at indeholde forkerte oplysninger om, hvor disse torrent sites findes. Helt specifikt peger domænerne på local host - 127.0.0.1. Samtidig vises der både popup-beskeder med teksten “downloading is wrong” - samt der afspilles lyd med samme budskab.

De inficerede filer blev hurtigt lokaliseret og fjernet fra The Pirate Bay - efter flere torrent-brugere angav at en specifik key generator ikke virkede. Men det er sikkert at antage, at der er flere af samme slags som endnu ikke er opdaget.

Det har samtidig også sat spekulationerne i gang om, hvem der har udarbejdet denne trojaner. Her har der været frit spil til alle med hang til konspirationsteorier. Nogle angiver det er en udvilker vis software har været at finde på disse torrent sites. Andre igen mener, at det er organisationer som har med copyright og antipiratvirksomhed at gøre.

Uanset hvad, så er trojaneren ikke destruktiv - og man kan manuelt fjerne de indsatte linjer i hosts-filen.

Hello World!

2009-01-06T12:16:00.000+01:00

Det er nu 15 år siden jeg startede med at blogge. Den gang hed det ikke sådan - det var nærmere at dumpe hjernen på nettet. Nu starter jeg igen. Mest for sjov - men også med et snert af seriøsitet. Måske vil fokus tage en drejning senere hen, når jeg har fået "blod på tanden". Lad dette være indledningen på denne blog.