Category Archives: Säkerhet

Tidernas mest snabbspridda Ransomware - WannaCry

Tidernas mest snabbspridda Ransomware – WannaCry

På morgonen fredagen den 12e maj började WannaCry (eller WannaCrypt / WannaCryptor) spridas som en löpeld världen över. WannaCry är ett ransomware, alltså ett program som krypterar filer och begär en lösensumma för att återställa dem, som sprider sig som en mask helt automatiskt. WannaCry riktar bara in sig på Windows-system.

Hur spridningen går till

När WannaCry körs på en dator så börjar den med att installera sig själv i systemet, och installerar även anonymiseringsprogrammet Tor, för att kunna prata anonymt med servrarna som styr masken.

Därefter börjar masken använda sig av den inbyggda fil- och skrivardelningen i Windows, för att sprida sig vidare både i det lokala nätverket, och över internet. Masken utnyttjar ett säkerhetshål i Windows som gör att den kan automatiskt köra skadlig kod på andra datorer, bara genom att ansluta till dem.

Om säkerhetshålet

Säkerhetshålet som WannaCry använder sig av finns i alla Windows-versioner, från Windows XP till Windows 10, och Windows Server. Det upptäcktes i samband med att hackergruppen Shadow Brokers släppte säkerhetsverktyg som de stulit från Equation Group i april 2017. Equation Group är en grupp som misstänks ligga bakom masken Stuxnet, och det finns flera exempel på Equation Groups kopplingar till amerikanska myndigheten NSA (National Security Agency).

Redan i augusti 2016 berättade Shadow Brokers att de hade verktyg och information om säkerhetshål som de kommit över från Equation Group, och ville ha betalt för att släppa verktygen. Bland det de kommit över, fanns flera så kallade zero-day-säkerhetshål, alltså aktuella sårbarheter som det inte släppts uppdateringar för. Ett av verktygen de kommit över kallades EternalBlue, som utnyttjar ett säkerhetshål i Windows fil- och skrivardelning för att köra skadlig kod. Microsoft släppte en uppdatering som täppte till hålet den 14e mars 2017, innan EternalBlue hade släppts publikt. Exakt en månad senare, den 14e april, valde Shadow Brokers att släppa ett par av de verktyg de kommit över, däribland EternalBlue. Vissa funderar på om de valde att släppa det, för att Microsoft nu hade patchat säkerhetshålet, även om hackergruppen hade tillgång till det över ett halvår tidigare, och Equation Group (NSA) långt tidigare än så.

Stora störningar världen över

WannaCry spreds snabbt över världen, och drabbade flera olika företag och myndigheter, som fick sina filer krypterade. Ett av de värsta exemplen verkar vara brittiska National Health Service (NHS), som ansvarar för den offentliga sjukvården i Storbrittanien. Det finns siffror som säger att över 40 brittiska sjukhus drabbades av infekterade datorer och medicinsk utrustning, vilket lett till stora förseningar, och att akutsjukvård blivit omdirigerat till andra platser.

Enligt Europol har över 200.000 datorer smittats i fler än 150 länder.

Utöver det har vi även sett bland annat tyska tågstationer

och köpcenter i Singapore bli drabbade.

Även FedEx, Nissan, Renault, Telefonica, och flera stora universitet hör också till de som fått datorer infekterade, och filer krypterade.

Drabbade i Sverige

I Sverige har jag bara hört talas om två drabbade, Sandvik, och Timrå kommun. Det innebär alltså att de har haft sårbara, icke-uppdaterade, Windows-installationer, förmodligen kopplade direkt mot Internet. Rent generellt har de nordiska länderna varit relativt förskonade. Förhoppningsvis för att de varit bra på att hålla system uppdaterade, och att de inte tillåter fil- och skrivardelning på datorer som är anslutna till internet. Man kan ju i allafall alltid hoppas..

Spridningen stoppas – av en slump

När IT-säkerhetsföretag får tag på ny okänd skadlig kod, behöver de analysera den för att se vad den gör. Det sker både manuellt, och helt automatiskt. Oftast används så kallade sandlådor (sandboxes) för att köra den skadliga koden, och se vad den gör. Sandlådan är en kontrollerad del av ett system, och på så sätt får filen som analyseras “leka i en sandlåda” och göra vad den vill, försöka sprida sig, kryptera filer och liknande. Sedan försöker man se vad den gjort, och tar beslut om det var ny skadlig kod som ska stoppas, eller kanske bara ett vanligt “snällt program” man aldrig sett förut.

Många av de som skapar skadlig kod, brukar lägga till programkod för att försöka upptäcka att den körs i en sandlåda, och alltså håller på att analyseras. Om den upptäcker att någon försöker “se vad koden gör”, så brukar den bara avsluta, eller “låtsas vara ett snällt program”. Det finns flera sätt att försöka upptäcka att koden inte körs på ett riktigt system, till exempel kan koden vänta på att användaren ska göra någonting särskilt, eller på annat sätt försöka se om datorn verkar användas normalt. Om programmet som analyseras försöker ansluta till webbplatser, brukar vissa sandlådor låtsas svara, istället för att skicka det vidare till den riktiga webbplatsen. Detta för att att se vad som händer, och för att de inte ska råka “göra något dumt” mot den riktiga webbplatsen.

Det finns flera exempel på skadlig kod som försöker ansluta ut mot slumpade icke-existerande domännamn, och om de lyckas ansluta, så antar de att de analyseras i en sandlåda, och avbryter. Detta sker innan den har visat andra tecken på “dum aktivitet”, som att sprida sig, eller kryptera filer. I fallet WannaCry så försöker den ansluta till domänen “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”, och om den svarar, så antar den att koden analyseras och avbryter, innan den infekterar systemet eller krypterar några filer. En IT-säkerhetsexpert märkte att WannaCry försökte ansluta till den servern, och registrerade domänen, bara för att kunna spåra hur många datorer som drabbades av infektionen. Genom att äga domänen kunde han se varje gång masken kördes, och kunde se var i världen den infekterade datorn fanns. Tanken bakom det var bara att kunna få statistik om infektionen, men det ledde alltså till att masken trodde den kördes i en sandlåda, eftersom domänen helt plötsligt fanns, och den slutade infektera systemet!

ESET-användare skyddade redan från början

I april, när Shadow Brokers släppte de hackade verktygen som utnyttjade både fixade, och ofixade, sårbarheter i olika system, analyserade vi på ESET vad verktygen gjorde, och la till skydd mot det i våra antiviruslösningar. Sedan över en månad tillbaka stoppar ESET nätverksattacken som utnyttjas som “EternalBlue network attack”, och användaren är alltså skyddad, även om man inte har uppdaterat Windows.

Vi stoppar även flera versioner av WannaCry, och användare som har ESET Live Grid aktiverat, vår molnbaserade säkerhetslösning (aktiverat som standard), var skyddad redan tidigt på fredag morgon, innan spridningen hade tagit fart.

Håll systemen uppdaterade

När masken WannaCry började spridas, så hade en säkerhetsuppdatering som täppte till hålet funnits tillgängligt redan i två månader! Den 14e mars släppte Microsoft MS17-010 (KB4013389) som täppte till hålet. Alla de som har blivit drabbade har alltså inte installerat de uppdateringarna, även fast vi under april såg tusentals datorer bli infekterade, dock inte med ransomware, utan “vanliga” bakdörrar.

Microsoft har även släppt en uppdatering till Windows XP som täpper till hålet, för att så många blivit drabbade har kvar XP, även fast Microsoft slutat stödja det operativsystemet sedan länge.

Detta leder oss osökt in på nästa del…

Sluta använd gamla protokoll

Säkerhetshålet som utnyttjas finns i Windows fil- och skrivardelning. Microsoft har flera olika versioner av det protokollet, och det var SMBv1 som drabbades, ett protokoll som är flera decennier gammalt, och inte används alls av nyare operativsystem. Det har hittats flera säkerhetshål i SMBv1 som gjort att man kan ta över systemet, och till och med de hos Microsoft som jobbar med det, rekommenderar att man stänger av det! Det är lätt att stänga av, och har man relativt nya operativsystem i nätverket, så blir det mycket säkrare av att inte stödja det längre. Rådet som alltid gäller, är att minska den potentiella attackytan, och inte använda funktioner och protokoll man inte har behov av, och att inte låta saker vara nåbara från internet i onödan. Personligen tycker jag att Microsoft borde ha inaktiverat SMBv1 sedan länge som standard, med möjlighet att slå på det om man har uråldriga enheter i nätverket som kräver det.

Det finns fortfarande pengar att tjäna på ransomware

Om man drabbats av WannaCry, och fått sina filer krypterade, så ska man betala $300 för att få tillbaka filerna, det vill säga cirka 2700 kronor. Kanske ett billigt pris om personliga bilder, eller företagets ekonomiservrar eller e-postservrar är krypterade. Man bör alltid ha säkerhetskopior, och bör inte betala de lösensummor som de begär. Man kan inte garantera att filerna blir dekrypterade även om man betalar, och genom att betala stödjer man brottsligheten, och de har ett bra incitament att fortsätta.

Om filerna blir krypterade begär WannaCry betalt i Bitcoin, en virtuell valuta, där det kan vara svårt, eller rent av omöjligt, att spåra vem som betalat vad till vem.

När detta skrivs har flera betalningar gjorts till bitcoin-adresserna som används av WannaCry, och just nu uppgår det till över 29 bitcoin, vilket motsvarar nästan 500.000 kronor.

Microsofts ställningstagande mot NSA

I samband med den här incidenten har Microsoft gjort ett uttalande med sin syn på det hela. Om en amerikansk myndighet vetat om den här sårbarheten länge, utnyttjat den själv för att ta över system, och inte rapporterat det till Microsoft, så är ju de delvis ansvariga för att detta har hänt. Speciellt när system har tagits över av deras egna verktyg, som de “förlorat till hackare”.

Detta är definitivt den ransomware-attack som har fått störst och snabbast spridning, men jag tror absolut inte det är den sista. Oavsett om man hackas för att få in en bakdörr, eller få ransomware installerad så finns det fortfarande massa pengar för de kriminella att tjäna på det hela.

Id-kapning ska ÄNTLIGEN bli olagligt

Id-kapning ska ÄNTLIGEN bli olagligt

Från och med i sommar ska det bli straffbart med ID-kapning i Sverige. Att till exempel köpa varor eller lägga upp information på Internet i någon annans namn blir enligt förslaget straffbart med upp till två års fängelse från och med den 1 juli. Brottsrubriceringen kommer att kallas ”olovlig identitetsanvändning”. 

Man kan självklart ifrågasätta hur det har kunnat vara lagligt hittills, men man får kanske vara glad att lagstiftningen inte halkar ännu längre efter verkligheten än den gör. Den digitala utvecklingen går fort, men ett lagförslag som detta hade jag hoppats få se tidigare.

”Men vi går något längre än vad utredningen sa, för om man gör på det här sättet, alltså kapar identiteten på nätet och gör det upprepade gånger mot samma person, så kommer man också kunna dömas för olaga förföljelse. Det fanns inte med i utredningen från början och gör att vi får en ännu starkare kriminalisering” säger Morgan Johansson till SR Ekot.

Tolkar jag Morgan Johansson rätt så kommer faktiskt så kallade facerapes att kunna bli olagliga i sommar. Straffbart med upp till två års fängelse. Så akta er.

 

alltidonline

Glöm inte att lyssna på teknikern

Glöm inte att lyssna på teknikern

En berättelse som ganska ofta upprepar sig är den nedan. Den har en tydlig sensmoral om att beslut ofta mår bra att fattas nära dem som påverkas av dem.

Det brukar gå till ungefär så här. Kommun X behöver förnya/upphandla antivirus- och säkerhetsprogram till 15 000 datorer. Man börjar se sig om på marknaden eller kontaktar sin gamla leverantör, vad och hur beror på omständigheter och tillfälle. Teknikerna och administratörerna vet vilka behov som finns och vad som har funkat hittills. Saker börjar så småningom falla på plats och det är dags för ett beslut.

Då dyker det upp en politiker eller en hög chef, långt bort från det dagliga arbetet. Denne ser en fantastisk möjlighet att spara in pengar. Betala för antivirusprogram? Är ni galna? Det finns ju alternativ som är helt gratis?

giphy

Baksätesförare. Ganska ofta beter sig beslutsfattare precis på det sättet. Bild: Giphy

Gratis känns ofta som ett bra alternativ när man står där med plånboken öppen och ska betala, men när produkten inte står pall när det blåser har man ingen att prata med. Det slutar nästan alltid med att kostnaderna blir ännu högre än om man hade gjort rätt från början.

Det som har hänt många gånger är att det faktiskt uppstår problem. När någon tekniker tittar på systemen hittar de stora mängder av den skadliga kod som i regel kan tränga igenom de kostnadsfria skydden, till exempel dem från Microsoft.

Resultaten blir där och då kostnader för att rensa systemen. Dessutom kostar det att system måste ligga nere. Utöver det tillkommer all oro för vad som eventuellt kan ha skett på nätverken medan de var infekterade. Har någon kommit åt databaser, kommunikation, ekonomisystem? Det är inte helt lätt att veta i stora system och gäller det offentlig verksamhet är det verkligen inte bra.

Som en sista förnedring så kommer ju kommunen, organisationen eller företaget till slut att få ta kostnaden för att skydda 15 000 enheter med ett virusskydd som faktiskt håller vad det lovar.

Det här är ett exempel av många, vi ser dem onödigt ofta. I jakt på kostnader blir de tekniker som både har bäst kunskap om vilket skydd som behövs och om vilka system som är bäst för just deras organisation ur till exempel administrativ synvinkel förbigångna. Vad som krävs är bättre upphandlingar och att man låter dem som jobbar i verksamheten komma till tals. Dessutom bör man om och om igen mumla ”snålheten bedrar visheten” som ett mantra när man köper in säkerhetslösningar.

Kontakta gärna vårt team om du vill veta vad vi på ESET gör annorlunda, vi vinner priser för både hög detektion och låg frekvens av falsklarm. Dessutom är vi kända världen över för att våra program kräver minimalt av hårdvarans resurser så att datorkraften kan gå till annat. En fjärde fördel är nanouppdateringar, som innebär att nätverket hålls öppet och att dataåtgången blir minimal.

 

När rootas den första självkörande bilen?

När rootas den första självkörande bilen?

En intressant diskussion pågår just nu om självkörande bilar och etik. Frågan rör hur en självkörande bil ska prioritera i svåra situationer och svaret beror på vilket perspektiv man har: Befinner du dig i eller utanför bilen? Min fråga blir om inte den som äger en självkörande bil kommer att vilja manipulera den för sin egen vinnings skull.

Först lite bakgrund, hoppa över den om du vill:

“Vår strategi är att bilen aldrig ska hamna i en situation där den tvingas välja att fatta den typen av moraliska beslut”, sade Erik Coelingh på Volvo personvagnar till Ny Teknik om Volvos approach till problemet för ett par månader sedan. Tesla uttalade sig i samma artikel och verkar ha en lite annan vinkel.

Popular Science gick djupare in de filosofiska frågorna i artikeln Who will the driverless cars decide to kill? Frågan i just den artikeln handlar alltså om vem en bil ska välja att köra ihjäl när den hamnar i en situation där den faktiskt måste välja.

En annan fråga handlar om vem som har ansvaret om en självkörande bil orsakar en olycka. Det har vi, har Volvo sagt till Popular Science.

Något djupare i frågorna gräver MIT Technology Review, läs om du har tid, det är intressant.

Om man funderar ett tag så inser man massor av svåra frågor om etik och moral att ta ställning till, samtidigt som det redan finns företag som pratar vitt och brett om sina tekniker. Man önskar att det var så enkelt som Asimovs robotiklagar, men nu när det är dags att skicka ut helt automatiska dödsmaskiner på vägarna känns de faktiskt lite förenklade.

Men vad är själva frågan?

Den korta versionen: Självkörande bilar kan komma att behöva fatta beslut om liv och död som måste baseras på moraliska principer. Det finns många tänkbara scenarier, men det viktigaste lär vara detta: Om bilen måste välja att köra ihjäl en person på trottoaren eller offra föraren, vad väljer den? Man kan anta att föraren är av en åsikt och personen på gatan av en annan. Här finns inga enkla svar, men som samhälle lär vi behöva ta ställning ganska snart.

Sen får vi inte glömma den här följdfrågan: Hur många dagar tar det efter att den första fullt autonoma självkörande bilen kommer ut på marknaden innan någon rootar den? Och när det har hänt, hur lång tid tar det innan man kan ladda ner firmware som låter dig ändra bilens beteende så att du gagnas på bekostnad av andra trafikanter? Den bil som skulle offra dig i en olyckssituation agerar annorlunda och räddar ditt liv, men någon annan dör. Det här är ganska stora frågor. 

Det finns självklart otaliga andra möjligheter för den som vill hacka sin självkörande bil. Vill du köra fortare? Programmera den att köra för fort och ställ in hur mycket för fort du vill köra och när. Eller programmera den att köra mer aggressivt. Kanske gillar du inte zebralagen eller vill köra mot rött när det inte finns bilar i närheten. Allt är möjligt.

För mig som passionerad programmerare är det tydligt att bilintresserade och datorintresserade människor har någonting gemensamt: Vi måste testa allt och använda sånt vi redan har för att skapa något nytt, coolare och bättre. Något annat jag har lärt mig under åren är att om något är möjligt att göra, så kommer det att göras. Ta det axiomet och lägg till de etiska frågorna ovan så har du en helt ny uppsättning utmaningar. För om en självkörande bil gör något som någon kunnig och nyfiken människa, eller marknaden, inte gillar, så kommer en lösning på problemet snart att dyka upp.

 

 

ESET_testa-gratis

 

Blir stora varumärken en maktfaktor i säkerhetsvärlden?

Blir stora varumärken en maktfaktor i säkerhetsvärlden?

Vad kan man ta med sig tillbaka från en säkerhetskonferens som Black Hat? Jag kom därifrån med en fråga som utkristalliserade sig först efter ett par månader: Kommer globala varumärken att bli en maktfaktor inom säkerhetsvärlden? 

För tredje året i rad besökte jag hacking- och säkerhetskonferensen Black Hat i Las Vegas för att delta i utbildningar och seminarier – och självklart nätverka. Intressant nog är uppslutningen från Sverige stor varje år, för två år sen var vi svenska säkerhetsintresserade näst största besökargrupp efter amerikanerna.

Eftersom det var tredje året på raken funderade jag lite på om det gick att se någon trend i ämnen, vad sker med branschen? Finns det någon röd tråd bland seminarier och problemställningar? Tyvärr blev det första svaret nej – inget tydligt.

Men när jag ganska nyligen berättade för en kollega om alla miljoner dollar som plöjs ner av olika företag i fester, hyrda jättevillor, flashiga lokaler med öppen bar och go-godansare, så slog det mig att jag faktiskt hade upplevt något helt nytt i år: Jag var på fest hos Nike.

Jag har pratat med flera branschkollegor och alla hade ett undrande ögonbryn höjt. Nike hade helt enkelt stora rekryteringskroken ute bland världens främsta och mest engagerade säkerhetsexperter och lade mycket pengar på det. Varför? Man kan tänka sig en förklaring som om den stämmer pekar på en intressant utveckling.

Idag är varumärken något extremt viktigt, det vet vi alla. Nike säljer oerhört mycket på sitt varumärke. Att etablera, bygga och förvalta sitt varumärke är grundläggande. Något annat grundläggande i marknadsföring är engagemang från och interaktion med kunder och användare.

Ofta är det hela grunden för att lyckas i konkurrensen, och det är antagligen ännu mer sant när det gäller kläder och skor. Företagen arbetar oerhört hårt och noggrant för att bygga upp en image och engagera användarna, eftersom deras image hjälper användare till att skapa sin egen image.

Och när det gäller engagemanget – Nike har ju lanserat en egen plattform för löpare, Nike+, där man till och med kan koppla upp skorna. Detta innebär ju ett stort förtroendekontrakt med användarna och är för dem ett bra sätt att behålla kontakten med kunden efter köpet i butiken.

Relationen mellan sport och säkerhet är såklart inte frågan, utan relationen mellan sportkläder och sportande människor.

Idag är varumärken är under ständig attack. De flesta vet antagligen inte om hur vanligt det har blivit med olika typer av attacker mot företag, organisationer, partier och personer. Till exempel DDOS-attacker har blivit vardagsmat, man kan enkelt och billigt genomföra attacker mot varumärkens webbsidor och rent av försöka kräva en lösensumma för att sluta.

En ännu viktigare aspekt är att alla verksamheter har någon form av användar- eller kundregister och att de databaserna läcker eller stjäls är sådant som inte får hända, men som händer titt som tätt. (Du kan fråga ”otrohetssajten” Ashley Madison vad deras användare anser om varumärket efter att användarregistret läckte.)

Lärdomen från Black Hat 2015 blir att nya aktörer börjar ta de frågorna om IT-säkerhet på allvar, alltså att aktörer som tidigare bara köpte en tjänst börjar engagera sig. Att sköta säkerhetsfrågorna väl och att ta dem på allvar är en hygienfaktor för företag som lever på varumärke och förtroendekapital, eftersom varumärket och fanbasen är motorn som driver affären. Det blir så mycket tydligare för varje incident.

Rubbas förtroendet tar det en evighet att reparera skadan. Framtiden handlar alltså om att de företag lyckas bäst med sina preventiva säkerhetsåtgärder har bättre chanser på marknaden än de företag som gör ett sämre jobb.

Inget vatten på flyget – men bomber är okej

Jag flög till och från USA för ett par veckor sedan och såg som vanligt soptunnorna i säkerhetskontrollen fyllas av flaskor med vatten, schampoo, felpackad tax free-sprit och hudkräm. Precis som det har varit sen ungefär den 11 september 2001.

Samtidigt har så gott som alla flygresenärer med sig en eller flera sådana här BOMBER:

 

Man skulle kunna kalla det motsägelsefullt. Varför skulle jag lägga timmar av efterforskning på att bygga nån sorts flytande kompositbomb eller bygga in TNT i klacken när jag kan göra hål i mitt mobilbatteri och bränna hål i flygplansskrovet?

Affärerna skulle gå avsevärt sämre för flygbolagen om resenärerna tvingades lämna ifrån sig surfplattor, telefoner och laptops när de gick ombord. Dessutom vore alla investeringar i Wifi på flyget förgäves. Vi lär alltså få fortsätta ha med oss bärbar elektronik på flyget, och det är uppenbarligen inga problem att ha med sig flera extrabatterier heller.

Samtidigt bevisar detta något som så många har påpekat när det gäller flygsäkerheten: Det handlar om en övervägning som flygbolag och myndigheter gör och mycket av säkerhetsarbetet på flygen är ett spel för gallerierna. Terrorister känner förstås också till att de inte kan smuggla ombord flytande bomber i flaskor och att skjutvapen i alla fall i vissa fall upptäcks i kontrollerna – ville de begå ett attentat skulle de hitta på nåt kreativt. Dagens säkerhetsrutiner betyder i värsta fall ganska lite för flygsäkerheten och man kan bara hoppas att de vet vad de håller på med.

När man ser klippet ovan förstår man iallafall plötsligt varför det inte är tillåtet med vassa föremål på flyget. Den regeln kan vi ju behålla så länge man får ha med sig BOMBER på flyget.

Inför obligatoriska mognadstester för Internet of Things

Teknik är kul, det kan jag tänka mig att alla som läser detta håller med om. Vi har fått se otroligt många fascinerande och nästan otroliga koncept, produkter och tekniker växa fram på bara några tiotals år. Jag tror att vi är lyckligt lottade.

En sak har dock varit konstant under utvecklingen och är det under kanske alla tekniska utvecklingsstadier: Predikanterna. Varje gång vi står inför ett visst moment, ett nytt drag eller ny riktning, en ny ingrediens i the Special Sauce, så ser några talangfulla och påpassliga människor trenden, döper den klatschigt säger att detta är det nya svarta. Haka på eller gå under. Somligt visar sig faktiskt vara det nya svarta, somligt är just bara en utbytt ingrediens i the Special Sauce. Det finns lite att tänka på här.

Det första är att de här trenderna ofta är artificiellt indelade. Världen består av gråskalor, så när vi pratar om globalisering, datorisering, Big Data, BYOD eller något annat, så finns rader av exempel där utvecklingen går åt motsatt håll. De som pratar om trenden är oftast de som behöver sälja saker eller ha nya ämnen att skriva om.

Det andra är att det rätt sällan skapas något nytt under solen. Oftast är det inget som är särskilt nytt i utvecklingen. Same s**t, different name. Eventuellt handlar det om en mognadsfas i en utvecklingen, ibland om ett krön innan trenden ohjälpligt är över.

Det tredje är att vi faktiskt har en fri vilja och kan välja. Det här är det viktigaste. Som säkerhetsarbetare är det min högsta plikt att vara motvalls, måla fan på väggen och försöka se problemen och en lösning på dem först och främst.

Dagens ämne är Internet of Things, en trend som förutspåtts länge, men som nu är het. Konceptet innebär som känt att allt fler tekniska prylar nätverksuppkopplas. Det smarta hemmet har man ju pratat om länge, kylen som messar över en handlalista när du är på väg hem från jobbet, etc. I näringslivet handlar det om att företag potentiellt kan tjäna en massa på att koppla upp alla sensorer, enheter och kylskåp på internet, eller något annat nät. Det handlar om dataanalys, så någonstans är kusinen Big Data.

Jag har ett väldigt viktigt råd att ge till alla debattörer, företagsledare eller andra som tror att det här kanske är en bra idé eller ett spännande koncept. Se först till att företaget uppfyller ett enda skallkrav:

Samtliga andra säkerhetsproblem bör vara lösta och alla attackvektorer blockerade innan projektet inleds.

Just nu utvecklar cyberkriminella sin verksamhet snabbare än försvaren mot dem. Vi på ESET stoppar skadlig kod, blockerar nätfiske och stoppar en lång rad vägar in i systemen, men den mänskliga faktorn och svagheter i system gör tillsammans att vägarna in är svåra att överblicka för säkerhetsavdelningarna. Risken att en stor incident som påverkar verksamheten allvarligt är statistiskt liten för ett enskilt företag, men den dag en Sony- eller Targetattack inträffar är det inte lika kul längre.

Det är så onödigt att öppna ännu fler dörrar, när så många redan står öppna.

 

Läs mer:

Welivesecurity – Internet of Things: a Security Timebomb?
SvD – Datorsäkerhet är som folkhälsa

17-åring stäms på halv miljon för civilkurage

Erik, 17, dömdes för att ha försökt säkra kommunens it-system

Det är svårt att inte häpna inför sånt här. När stora IT-företag idag belönar utomstående som hittar och rapporterar svagheter i deras system, så väljer Umeå kommun att anmäla en 17-årig pojke som tagit sig in i kommunala system just i avsikt att göra ansvariga uppmärksamma på hur illa säkrade lösenordsdatabaserna var. (Om det nu är så det var, vi var ju faktiskt inte där.)

Erik dömdes till 35 timmars samhällstjänst, vilket han själv tycker är rimligt, eftersom han formellt sett bröt mot lagen. Det har han också gjort, det är inte lagligt att ta sig in någonstans bara för att det går eller är enkelt, även om syftet är att visa hur dåligt låset är.

Men att polisen genomför tre husrannsakningar och anhåller Erik – i lagens ögon fortfarande ett barn – i ett helt dygn utan att han får prata med sina föräldrar, det låter som en väldigt hård reaktion. Att Umeå kommun dessutom säkrar upp sina databaser en smula och därefter börjar processa efter en halv miljon i skadestånd – jag tycker att det skorrar illa.

Det enda sättet att testa hur säkert ett system är, är att försöka ta sig in. Penetrationstester ska vara sanktionerade och beställda, men när en myndighet inte reagerar på missförhållanden är det inte mycket man kan göra än att försöka få deras uppmärksamhet på annat sätt – eller att snällt vänta på att någon stjäl ens användaruppgifter.

Eftersom målet var att avslöja missförhållanden skulle Eriks hackning kunna jämställas med visselblåsning. Det brukar allmänt anses vara en moraliskt riktig handling. Visselblåsning är inte lagskyddat som sådant, men den som avslöjar missförhållanden för en journalist skyddas av det lagstadgade källskyddet. Erik satt nog inte på ett scoop stort nog för att kunna läcka till en journalist, men kanske borde samhället ändå se till det moraliskt riktiga i en handling istället för att straffa så fort det finns laglig möjlighet? Personligen föredrar jag den hållningen, särskilt när det rör sig om ungdomar. Då är dessutom höga skadestånd extra skadliga, effekterna sitter kvar under många år.

Man kan jämföra med en av januaris mer intressanta nyheter om att det kan vara dataintrång att installera program själv på jobbdatorn, beroende på vad Högsta domstolen kommer fram till. (Marcus Jerräng kommenterar problemen med den frågan bra.)

Myndigheter ska behandla personuppgifter på ett så säkert sätt som möjligt och en nivå på de tekniska lösningarna borde vara garanterad. Brister måste uppmärksammas. Kan vi enas om det?

Därför står Telia maktlösa

Nu vet nog de flesta att gruppen Lizard Squad har tagit på sig en rad attacker mot Electronic Arts som drabbat Telia och Tele2. Mångas Internetuppkoppling har gått ner och tagit med sig digital-tv-med mera. Mer detaljerad information är svår att få tag på i dagsläget. Stämmer det att de ligger bakom? Vad är målet egentligen? Förhoppningsvis får vi reda på mer information snart!

Vad är det som pågår?

Det är någon form av överbelastningsattack, och en av de vanligaste formerna är Distributed Denial of Service-attack eller DDOS, som är en överbelastning av servrar genom att en enorm mängd förfrågningar skickas samtidigt. Det innebär helt enkelt att servrarna är upptagna med den trafik attackerarna skickar och inte kan utföra de tjänster de egentligen ska.

I fallet nu är de servrar som är överbelastade, i alla fall delvis, DNS-servrar där DNS står för Domain Name System. Domännamnssystemet är det som kopplar samman domännamn (som www.eset.se) med en IP-adress (till exempel 173.194.116.216).

Det finns attacker som använder just DNS-servrar som verktyg, möjligen rör det sig om i det här fallet om en så kallad DNS amplification attack.

Runt om i världen finns det en stor mängd felaktigt konfigurerade DNS-servrar. I vanliga fall så är det t.ex. bara Telias kunder som använder sig av Telias DNS-servrar. En felkonfigurerad DNS-server kommer svara på alla förfrågningar om namnuppslag, oavsett varifrån de kommer. Till exempel så ska inte Telias DNS-servrar svara på namnuppslag som görs från exempelvis Bahnhofs kunder, just för att förhindra sådana här saker.

Fördelen för hackaren här är att systemet använder UDP, som i princip saknar säkerhetsfunktioner och leveransstatusar. Det leder till att attackeraren slipper vänta på något svar – det går att spamma på med full näthastighet. Förövaren skickar en begäran med falsk avsändare till en stor mängd felkonfigurerade DNS-servrar, och attackeraren har satt sitt önskade mål som avsändare för trafiken. När alla dessa tiotusentals felkonfigurerade DNS-servrar sedan får förfrågan, kommer det att se ut som att det kommer från, i detta fall, en adress från Telia. Då svarar alla DNS-servrarna till målet (Telia), vilket leder till oerhörda mängder trafik och överbelastning.

Men, du sa ju amplifiction attack? Vad innebär det?

Jo, en ”vanlig” (mängdbaserad) denial-of-service-attack innebär att man har ett, eller flera system, som skickar massa trafik till målet, och mängden trafik som skickas är i princip lika stor som det som mottagaren tar emot. I vissa fall går det istället att göra en ”amplification attack”, vilket innebär att den mängd data som attackeraren skickar, är mindre än den mängd som tas emot av målet. Det krävs alltså mindre, för en större attack. Just DNS är rätt sårbart för detta. Man kan skicka en förfrågan på bara 64 byte (”tecken”) till en felkonfigurerad DNS-server, som sedan svarar till målet för attacken med flera tusen byte som ”svar” på förfrågan. Det är inte sällan man kan få 50x ökning av trafikmängden som attackaren skickar, gentemot vad som tas emot av målet.

Om man sedan gör detta via t.ex. ett botnät, och känner till tiotusentals felkonfigurerade DNS-servrar, så kan man ”lätt” komma upp i trafikmängder om flera hundra gigabit per sekund som skickas till målet.

Men, kan man inte fixa problem med DNS-servrarna?

Jo, naturligtvis. Vissa av de felkonfigurerade servrarna tas ner eller patchas, men tyvärr finns det fortfarande jättemånga kvar. Liknande attacker går även att göra med andra protokoll som SSDP, SNMP och NTP.

Vad kan man göra mot en DDOS-attack?

Man kan göra väldigt lite utöver att skaffa större kapacitet. Det går faktiskt att göra väldigt lite åt själva attacken över huvud taget.

Tar Telias servrar emot X gigabyte data per sekund, så måste de kunna hantera all denna trafik plus sin egen ordinarie trafik, och sedan försöka sortera ut och slänga den irrelevanta trafiken. Naturligtvis kan man som nätleverantör filtrera det långt innan det når själva servern, men det är ändå en väldigt stor trafikmängd som måste tas emot av nätverksutrustningen på vägen.

Riktigt stora DDOS-attacker är svåra att förhindra.

En lösning kan vara att använda sig av anycast, vilket (väldigt kortfattat och förenklat) innebär att flera maskiner kan nås med samma IP-adress. Om man t.ex. sätter upp en maskin i USA och en i Sverige, och använder anycast, så kommer europeisk trafik förmodligen att gå till den svenska servern, medan trafik från syd- och nordamerika skickas till servern i USA. Om man på så sätt har flera olika platser i flera olika länder som kan ta emot trafiken, så kommer trafikmängden till varje server vara mycket mindre. Även om man har 100.000 datorer i ett botnät, som försöker attackera samma mål, så kommer de ändå nå olika servrar, de som är geografiskt närmast, och på så sätt behöver inte all trafik från hela världen slussas till ett stackars nätverk i Sverige.

Är det en DNS amplification DDOS som Telia drabbats av?

Man vet ännu inte exakt vad som ligger bakom det, det skulle kunna vara en sådan extern attack (EDIT: men jag har fått information om att det inte är exakt det som är orsaken). Vi får helt enkelt vänta tills någon information släpps publikt.

Vad kan jag göra som användare för att få tillbaka uppkopplingen?

För vissa har det fungerat att byta DNS-servrar till exempelvis Googles med adresserna 8.8.8.8 och 8.8.4.4. Andra upplever dock att det inte gör någon skillnad. Andra menar att uppkopplingen har fungerat bättre när trafiken går via en VPN-tjänst. Din sökmotor kan berätta hur du byter DNS-server i nätverksinställningarna och Mullvad är en bra VPN-tjänst.

V8 – med skydd mot botnät och Javaexploits

Nya versioner av ESET NOD32 Antivirus och ESET Smart Security

Nu lanserar vi nya versioner av både antivirusprogrammet ESET NOD32 Antivirus och vårt säkerhetspaket ESET Smart Security. Förbättringarna i de nya versionerna koncentrerar sig på två mycket viktiga problem – exploits mot Java och botnät.

Boxar-V8-ny-version

Förbättrad Exploit Blocker – Kraftfullt skydd mot Javaexploits 

I version 7 lanserade vi Exploit Blocker, som upptäcker försök att utnyttja sårbarheter i program som ofta används av kriminella som en väg in i datorn, till exempel PDF-läsare, MS Office-sviten och olika webbläsare. I version 8 av båda programmen är den här komponenten uppdaterad och har nu stöd för att effektivt hitta potentiella exploits i Java.

Java är något av ett problembarn när det gäller skadlig kod, eftersom en stor del av alla exploits som utnyttjas i attacker och försök till attacker upptäcks i just Java.  

Botnätsskydd

Den nya versionen av ESET Smart Security innehåller dessutom ett helt nytt Botnätsskydd, som upptäcker dolda botnätsinfektioner genom att analysera trafiken på nätverket. Ett botnät som skyddas av ett rootkit kan vara mycket svårt att upptäcka om det av någon anledning tagit sig förbi försvarsbarriärerna. Genom att hitta mönster som är typiska för botnätsklienter i datorns kommunikation kan Botnätsskyddet upptäcka dolda infektioner och oskadliggöra dem.

Du kan testa ESET Smart Security och ESET NOD32 Antivirus gratis i 30 dagar.