Category Archives: Skadlig kod

Dödar nätfisket vårt förtroende för kommunikation?

Dödar nätfisket vårt förtroende för kommunikation?

Det är bara att erkänna: Nätfiskeförsöken blir knappast sämre. Eller färre. 

Av den totala mängden är det mycket vi aldrig får se, eftersom de vassaste försöken inte är massutskick med e-post, utan riktar sig mot specifika mål. Det som syns i media är nätfiskeförsök som skickas ut hyggligt brett, ofta via e-post, och ofta i storföretags och myndigheters namn. Media rapporterar om dem, våra kunder och partners berättar om sina fall och jag själv utsätts då och då precis som alla andra. Ibland är det ganska skrattretande, ibland riktigt trovärdigt.

Nätfiske är ett brott med flera offer. Nummer ett är förstås den som utsätts för phishingförsöket och eventuellt faller för det, men det företag eller den myndighet som används som bete är också ett offer. Hårdraget kan man dessutom säga att den allmänna tilltron till digital kommunikation skadas och därmed indirekt tilliten mellan människor och andra aktörer i samhället.

En viktig fråga är om fortsatta spamfloder blir spiken i kistan för både sms och e-post. Varför skulle det bli så? E-posten har ju inte dött än, trots att så många har förutspått det tidigare? Argumenten för skulle vara att majoriteten av nätfiskeförsöken sker via e-post och SMS, kanaler som både har funnits länge och som har det gemensamt att de inte kräver någon form av ”godkännande” av avsändaren från mottagarens sida. Allt som krävs är ett telefonnummer eller en e-postadress för att kunna nå mottagaren, vilket förstås också är en av de stora fördelarna.

Nätfiske.

Nätfiske.

Ett mejl eller ett sms ger dessutom väldigt lite enkelt verifierbar information om avsändaren, den går att manipulera väldigt enkelt. Som lekman kan du helt enkelt inte vara säker på vem som har skickat ett mejl eller sms, så enkelt är det. Skillnaden mot till exempel Facebook eller andra så kallade sociala medier är att du där oftast har möjlighet att se mer av avsändaren. Du kan bilda dig en uppfattning om avsändaren är trovärdig både utifrån den information som finns och utifrån den information som saknas. 

Jag vet självklart att både e-post och våra telefonnummer blir kvar under överskådlig framtid. Vi använder e-postkontot som hubb för det mesta av vårt digitala liv och vår mejladress för att registrera de flesta tjänster vi är med i, även om främst Facebook tar delar av den kakan. Vi får stå ut med riskerna som e-post medför.

En följdfråga: Vad sker när gängen bakom detta fortsätter att utvecklas? Man kan absolut tänka sig att förtroendet för företagens eller organisationernas kommunikation sjunker, men det är en stor fråga som är svår att svara på. Den som har ett Netflixabonnemang och får spammeddelanden som ser ut att komma från Netflix påverkas på något sätt, men det är svårt att säga så mycket om hur. Kanske blir resultatet bara ökad vaksamhet? Kanske åker all deras kommunikation direkt i papperskorgen?

 

Slutligen: Kan man skydda sig mot spam och nätfiskeförsök i e-posten? Absolut, både med kunskap och med mjukvara. 

Källkritik är nummer ett:

  1. Är orsaken till att du får meddelandet trovärdig?
  2. Är det en ny och oväntad kanal?
  3. Är budskapet trovärdigt?
  4. Är språket korrekt?
  5. Är e-postadressen korrekt (det behöver visserligen inte betyda att allt stämmer)?
  6. Om du luras till en webbsida, verkar webbadressen korrekt?
  7. Blir du ombedd att ange personlig information, är det information de verkligen ska ha?

Missar du att se något av detta och råkar hugga på kroken är säkerhetsprogramet bastion nummer två. Ett program som ESET Smart Security innehåller flera skyddslager som stoppar attacker, läs mer och testa gratis här. 

  1. Spamskyddet stoppar den e-post som systemet definierar som spam. Du behöver inte ens konfronteras med skadliga mejl.
  2. Nätfiskeskyddet kontrollerar webbsidor du besöker mot en databas som ständigt uppdateras med nya webbplatser som sprider skadlig kod eller används för nätfiske.
  3. Antivirus, antispionprogram, Exploit blocker, botnätsskydd och en avancerad minnesskanner och andra system stoppar attacker och skadlig kod som av någon orsak tar sig förbi övriga system.

 

Trygghet_ESS

 

 

 

 

Glöm inte att lyssna på teknikern

Glöm inte att lyssna på teknikern

En berättelse som ganska ofta upprepar sig är den nedan. Den har en tydlig sensmoral om att beslut ofta mår bra att fattas nära dem som påverkas av dem.

Det brukar gå till ungefär så här. Kommun X behöver förnya/upphandla antivirus- och säkerhetsprogram till 15 000 datorer. Man börjar se sig om på marknaden eller kontaktar sin gamla leverantör, vad och hur beror på omständigheter och tillfälle. Teknikerna och administratörerna vet vilka behov som finns och vad som har funkat hittills. Saker börjar så småningom falla på plats och det är dags för ett beslut.

Då dyker det upp en politiker eller en hög chef, långt bort från det dagliga arbetet. Denne ser en fantastisk möjlighet att spara in pengar. Betala för antivirusprogram? Är ni galna? Det finns ju alternativ som är helt gratis?

giphy

Baksätesförare. Ganska ofta beter sig beslutsfattare precis på det sättet. Bild: Giphy

Gratis känns ofta som ett bra alternativ när man står där med plånboken öppen och ska betala, men när produkten inte står pall när det blåser har man ingen att prata med. Det slutar nästan alltid med att kostnaderna blir ännu högre än om man hade gjort rätt från början.

Det som har hänt många gånger är att det faktiskt uppstår problem. När någon tekniker tittar på systemen hittar de stora mängder av den skadliga kod som i regel kan tränga igenom de kostnadsfria skydden, till exempel dem från Microsoft.

Resultaten blir där och då kostnader för att rensa systemen. Dessutom kostar det att system måste ligga nere. Utöver det tillkommer all oro för vad som eventuellt kan ha skett på nätverken medan de var infekterade. Har någon kommit åt databaser, kommunikation, ekonomisystem? Det är inte helt lätt att veta i stora system och gäller det offentlig verksamhet är det verkligen inte bra.

Som en sista förnedring så kommer ju kommunen, organisationen eller företaget till slut att få ta kostnaden för att skydda 15 000 enheter med ett virusskydd som faktiskt håller vad det lovar.

Det här är ett exempel av många, vi ser dem onödigt ofta. I jakt på kostnader blir de tekniker som både har bäst kunskap om vilket skydd som behövs och om vilka system som är bäst för just deras organisation ur till exempel administrativ synvinkel förbigångna. Vad som krävs är bättre upphandlingar och att man låter dem som jobbar i verksamheten komma till tals. Dessutom bör man om och om igen mumla ”snålheten bedrar visheten” som ett mantra när man köper in säkerhetslösningar.

Kontakta gärna vårt team om du vill veta vad vi på ESET gör annorlunda, vi vinner priser för både hög detektion och låg frekvens av falsklarm. Dessutom är vi kända världen över för att våra program kräver minimalt av hårdvarans resurser så att datorkraften kan gå till annat. En fjärde fördel är nanouppdateringar, som innebär att nätverket hålls öppet och att dataåtgången blir minimal.

 

V8 – med skydd mot botnät och Javaexploits

Nya versioner av ESET NOD32 Antivirus och ESET Smart Security

Nu lanserar vi nya versioner av både antivirusprogrammet ESET NOD32 Antivirus och vårt säkerhetspaket ESET Smart Security. Förbättringarna i de nya versionerna koncentrerar sig på två mycket viktiga problem – exploits mot Java och botnät.

Boxar-V8-ny-version

Förbättrad Exploit Blocker – Kraftfullt skydd mot Javaexploits 

I version 7 lanserade vi Exploit Blocker, som upptäcker försök att utnyttja sårbarheter i program som ofta används av kriminella som en väg in i datorn, till exempel PDF-läsare, MS Office-sviten och olika webbläsare. I version 8 av båda programmen är den här komponenten uppdaterad och har nu stöd för att effektivt hitta potentiella exploits i Java.

Java är något av ett problembarn när det gäller skadlig kod, eftersom en stor del av alla exploits som utnyttjas i attacker och försök till attacker upptäcks i just Java.  

Botnätsskydd

Den nya versionen av ESET Smart Security innehåller dessutom ett helt nytt Botnätsskydd, som upptäcker dolda botnätsinfektioner genom att analysera trafiken på nätverket. Ett botnät som skyddas av ett rootkit kan vara mycket svårt att upptäcka om det av någon anledning tagit sig förbi försvarsbarriärerna. Genom att hitta mönster som är typiska för botnätsklienter i datorns kommunikation kan Botnätsskyddet upptäcka dolda infektioner och oskadliggöra dem.

Du kan testa ESET Smart Security och ESET NOD32 Antivirus gratis i 30 dagar.

Hört talas om Project Zero?

Fler än du och jag har ett intresse av att nätet blir en säkrare plats. För stora internetbolag, som Google, är det negativt om användarna/kunderna uppfattar nätet som osäkert, eller om de drabbas av attacker och skadlig kod. Det stör affärerna. Google tycks faktiskt ha ett alldeles äkta engagemang för Internet och dess användare, det är ju trevligt.

På sin säkerhetsblogg skriver Google:

“You should be able to use the web without fear that a criminal or state-sponsored actor is exploiting software bugs to infect your computer, steal secrets or monitor your communications. Yet in sophisticated attacks, we see the use of ”zero-day” vulnerabilities to target, for example, human rights activists or to conduct industrial espionage. This needs to stop. We think more can be done to tackle this problem.”

Googles svar är alltså Project Zero, som har målet att hitta och täppa till sårbarheter i både egna och andras tjänster och program. Målet är att minska möjligheten för både säkerhetstjänster och cyberkriminella att utföra riktade attacker genom att snabbare upptäcka fler säkerhetshål innan fel människor gör det och därmed få dem patchade snabbare. För säkerheten på Internet är detta något mycket bra, och förhoppningsvis skapar Project Zero ringar på vattnet.

Säg hej till Simplocker, ransomware för din Android

ESET har analyserat den hittills första Androidtrojan som visat sig ha en krypteringsfunktion, länken går till ESETs internationella blogg We live security. Namnet blev Simplocker och det vi ser är ytterligare ett till exempel på en typ av skadlig kod som sprider sig från Windows till Android. Det senaste exemplet var polistrojaner av det slag vi tidigare har sett för Windows.

Simplocker hör till familjen ransomware, det vill säga skadlig kod som håller data eller hårdvara som gisslan med förhoppningen att den drabbade ska betala en lösensumma för att få tillbaka kontrollen över sina tillgångar. Där till exempel polistrojaner jobbar helt och hållet med skam och rädsla som hållhake, så krypterar Simplocker filer på telefonens minneskort, så att de blir obrukbara.

Simplocker_Infographic_NOCTA

Spridningen är inte stor, det finns ingen anledning att oroa sig än, men ser vi det som ett proof-of-concept kan vi konstatera att vi kan behöva våra förhållningssätt till Android ganska snart. I Sverige ser vi väldigt lite av den här typen av nya hot, eftersom de oftast sprids via inofficiella appbutiker. Här tycks vi hålla oss till Google Play, det är ett säkert kort, liksom Amazon. Fortsätt med det så har vi färre problem. Det är emellertid bara en tidsfråga innan vi ser mer allmän spridning av Android

Jag hade tänkt sätta ihop en checklista för hur man ska bete sig som Androidägare för att undvika problem, men ESET har gjort en så bra att jag delar med mig av den istället. Orkar du inte läsa den kommer en sammanfattning här:

1. Använd bara appar från appbutiker du känner till och litar på om du inte är en avancerad användare.

2. Kom ihåg att du inte är säkrare på Android än på en PC.

3. En gammal telefon är mindre säker än en ny, eftersom tillverkarna oftast slutar skicka ut uppdateringar av Android, även om det kommer nya Androidversioner från Google.

4. Kör alltid den senaste Androidversionen som finns för din telefon. En äldre version är mer sårbar.

5. Använd alltid, alltid skärmlås. Allra helst ett lösenord, mindre gärna PIN-kod eller ett grafiskt mönster. Fingeravtrycksläsare är ju kul, men kortsiktigt (du har bara 10 fingrar).

6. Ha inte alla ägg i samma korg, se till att du har backuper av allt viktigt. Då är till exempel Simplocker mest ett irritationsmoment, eftersom du kan göra en full återställning utan att bli av med information och bilder.

7. Tänk på att vissa appar är en guldgruva för den som kommer in i telefonen, exempelvis e-post, Dropbox och Facebook. Använd ett applås eller logga helt enkelt ut om du inte använder tjänsten ofta.

8. Kontrollera appars rättigheter när du installerar. Väldigt ofta är listan obehagligt lång. Värt det? Om ja, kör hårt.

9. Använd en mobilsäkerhetsapp eller mobilt antivirus som ESET Mobile Security for Android. Gratisversionen innehåller antivirus och stöldskyddsfunktioner, betalversionen mer av allt. Jag tycker själv att den är riktigt bra, trots att det bara är tredje versionen. (Högst betyg av alla säkerhetsappar på Google Play – just sayin’.)

10. Använd de inbyggda säkerhetsfunktionerna i Android. Blir du av med telefonen kan det vara bra att känna till Googles Device Manager. Förutsatt att du har GPS:en påslagen kan du spåra telefonen med hjälp av den.

11. Betala aldrig kidnapparen. Du vet aldrig om du får någon nyckel för att dekryptera dina filer och det är aldrig bra att uppmuntra brottslingar. Då är brottet för deras del lyckat.

Bitcoinstöld från Mac-användare

TechWorld skriver idag om en ny trojan som stjäl bitcoin från Mac-användare. Det är rätt intressant, för jag såg hur hela historien utspelade sig, allt eftersom det hände.

En användare på den populära webbplatsen Reddit skrev att han utvecklat ett nytt program kallat ”StealthBit” som skulle göra anonyma bitcoin-överföringar enklare. Programmet släpptes tillsammans med källkoden på GitHub och länkade vänligt till ett kompilerat program.

StealthBit

StealthBit

Rätt snart så varnades det för att köra programmet eftersom det var en okänd person som postat det, och man vet aldrig om det kompilerade programmet verkligen överensstämmer med källkoden, om man inte kompilerar om det själv.

Tyvärr var det så att utöver programmet i sig, så fanns det skadlig kod inbakad. När programmet kördes la det in sig som tillägg/plugin i Safari och Chrome vilket i princip ger det full kontroll över all webbtrafik. Detta utnyttjades för att stjäla inloggningsinformation till flera stora bitcoin-webbplatser, vilket i sin tur användes för att stjäla bitcoin från folk. Programmet hade även stöd för att ladda hem och köra fler program, vilket i princip gav attackeraren fri tillgång till användarens Mac.

Tyvärr är det så att just trojaner är det vanligaste sättet att drabbas av skadlig kod. Oavsett om du är hemanvändare eller företag som kör Windows, Mac eller Android. Användaren väljer att köra ett program, och oavsett om man kör det som administratör eller ej, så kan de få full tillgång till allt från online-konton till datorn i sig. De kan autostarta, ladda hem och köra andra program eller börja spara användarnamn och lösenord. Oavsett enhet eller operativsystem.

Användaren som postade programmet på Reddit kallade sig ”trevorscool” (Trevor is cool), och på GitHub hette kontot ”Thomas Revor” (T. Revor). Ett liknande program, även det för Mac med en trojan i sig, postades för snart ett år sedan. Det programmet hette ”Bitvanity”, och användarnamnet då var ”Trevory”. Tydligen behöver man inte vara så kreativ för att skapa trojaner, lura folk och tjäna pengar.

De bekräftade stölder som skett hittills är i dagens värde över 100.000 kronor.

Google Translate Mörkar Spam

Att spammare använder sig av översättningstjänster online är ingen hemlighet. De använder tjänsten för att lokalanpassa spammail, så att mottagaren får mailet på sitt modersmål, för att öka trovärdigheten. För några år sedan, när översättningstjänsterna precis hade kommit, blev resultatet inte riktigt trovärdigt eftersom översättningen mest liknade en Yoda-monolog. Men tjänster som Google Translate har blivit betydligt bättre och används fortfarande av spammare, men inte enbart för att översätta spammail.

Nätverkssäkerhetsföretaget Barracuda Networks har upptäckt att Google Translate även används för att lura spamfilter. När en länk kopieras i Google Translate genererar tjänsten en ny länk. Google är ett av världens mest kända varumärken och de flesta brukar inte bli misstänksamma när de stöter på en Googlelänk i ett mail. Sannolikheten att vi klickar på en länk som börjar på http://google.com/ är betydligt större än med en länk som börjar på till exempel http://cheapmedicine.spam/.

URL:en i mailet mörkas ytterligare genom att länken kortas (med hjälp av till exempel y.ahoo.it/) i Google Translate. Därefter kan det vara svårare att se vilken sida den egentligen länkar till.

So far so good. Nu har vi kanske hamnat på en tydlig spam-sida. Det behöver i sig inte vara alltför illa, men sidan kan innehålla skadlig kod. Barracuda har ännu inte kunnat hitta ett sådant exempel, där tricket används för att länka till en sida med skadlig kod, men de säger dock ”We certainly hope this technique is not discovered by malware distributors” och jag kan inte göra annat än att hålla med.

Heuristisk analys hittar de nya hoten

När man skriver om antivirusprogram är det svårt att inte prata om heuristik. Det är ett svårt ord att säga och faktiskt även ett ganska knepigt begrepp att förklara. Men det är jul och då ska man vara snäll – så här kommer ett försök.

Eftersom skadlig kod finns i så extremt många varianter och eftersom de som skapar den blir fler och använder allt mer avancerade metoder har endast virussignaturer inte räckt långt på ganska många år. Det krävs något mer, någon form av intelligens, eller åtminstone något som känner igen ett oönskat beteende, inte bara en viss fil eller en sorts malware.

Det går att dra en enkel parallell till verkligheten. Om du står vid ett övergångsställe och det lyser röd gubbe så vet du att du inte ska gå, när det är grönt så går det bra. Men även om det är grönt så går du inte bara, du tittar ändå för att försäkra dig om att det inte kommer bilar eller cyklister som skulle kunna tänkas missa dig. Det kommer en cyklist som kör mot rött, du stannar.

Alla situationer är unika och du behandlar dem olika. Kommer det en bil, men den är ganska långt borta så beter du dig på ett sätt. Kommer en bil på samma avstånd, men i högre fart så gör du en annan bedömning.

Våra hjärnor vet direkt och instinktivt om en situation är bra och rätt eftersom vi tar in ny information om nya miljöer och händelser och kombinerar med tidigare erfarenheter. I grund och botten tillämpar vi en logisk algoritm kombinerad med erfarenhet och sunt förnuft på varje beslutssituation.

Då vi försöker efterlikna detta på datorer kallar vi det heuristik. Problemet är att en dator inte kan anpassa sig till något utanför fördefinierade händelser, för datorn är alla beslutssituationer svarta eller vita, något är antingen sant eller falskt.

Vi kan skapa någon form av intelligens i ekvationen för datorn genom att definiera gränser och tröskelvärden och bestämma hur beslut ska fattas inom dessa olika gränser. Det är där heuristiken börjar: vi låter datorn vidta fördefinierade åtgärder, ungefär som en människa skulle göra.

När vi applicerar det här på datorsäkerhet blir det lite svårare. Gränsen mellan det potentiellt skadliga och det harmlösa är fin, eftersom det beror på situationen eller programmet. Ett program som öppnar alla filer på ett system kan vara ett indexeringsverktyg eller ett antivirusprogram. Men om programmet börjar skriva till vissa filer? Då kan det fortfarande vara ett antivirusprogram som rensar en misstänkt fil, men det kan också vara ett skadligt program som sprider sig.

När en människa tittar på koden är det oftast ganska tydligt vad programmet gör och du kommer att agera utifrån din bedömning. Ovanstående är fortfarande bara en heuristisk analys. Idag är skadlig kod ganska komplex och ofokuserad. Den sekvens som gör något skadligt kan vara väl gömd inuti vanlig kod och utspridd över delar av program som körs. Den kan också vara beroende av åtgärder i andra processer som körs. För att upptäcka detta dynamiskt, måste du kombinera resultat från olika processer som på egen hand kan vara oskyldiga, men skadliga när de kombineras.

Att skapa en heuristisk sekvens för att upptäcka komplex skadlig kod är också känt som ”avancerad heuristik” och är ett mycket kraftfullt sätt att upptäcka nya skadliga program och hot eller modifierade hot och varianter av befintlig skadlig kod.

Eftersom sekvensen av olika händelser måste överskrida en gräns för att utlösa en åtgärd, så går det som en logisk slutsats att anta att det granskade objektet sannolikt inte är säkert och bör blockeras.

Och när de som skapar skadlig kod försöker hitta nya sätt att ta över eller infektera ett system, så uppdateras antivirusprogrammen med avancerade heuristiska regler för att motverka detta. Under åren har därmed avancerad heuristik med ökande erfarenhet blivit ett kraftfullt och framgångsrikt verktyg som stoppar mängder av attacker.

God jul till alla bloggläsare och ESET-fans!

Säkerhetsradion: Drive-by downloads

I vår senaste podcast pratar vi om så kallade drive-by downloads och presenterar ett rykande färskt exempel från en av Sveriges mest populära sajter; Blocket.se.

Kolla in videon nedan för att se hur det såg ut på Blocket.se när vi upptäckte den falska annonsen där och vad som hände när vi klickade oss vidare: