Tag Archives: säkerhetshål

Säkerhetsnyheter på rad

Lösenordsbytardagen är kommen. Bra initiativ av PC för Alla. Byt lösenord ibland!

Ett säkert lösenord…

  • Byts regelbundet
  • Har minst 7 tecken, gärna fler
  • Blandar stora och små bokstäver med både siffror och symboler
  • Skrivs aldrig ut i e-post eller chattar

Ett bra tips är att använda ett program för lösenordshantering, det finns flera kostnadsfria lösningar att testa. Själv brukar jag rekommendera KeePass.

The Christian Science Monitor är inte en helt vanlig källa till säkerhetsnyheter för mig, men via Slashdot.org hittade jag en ganska gammal artikel om hur flottiga fingeravtryck på din smartphone gör det enkelt att hacka den. Det gäller särskilt Androidtelefoner där man kan logga in med en gest som i värsta fall lämnar ett tydligt mönster på skärmen. Ett enkelt knep för att undvika detta är att helt enkelt ta för vana att torka av då och då.

Stuxnet har allmänt ansetts vara unikt i sin komplexitet, men på konferensen Black Hat DC kom i dagarna en avvikande åsikt fram, vilket the The Register berättade igår. Säkerhetskonsulten Tom Parker menade att det finns brister i programmeringen som antyder att skaparna inte var de genier som det påståtts. Enligt Tom Parker hade bland annat bättre skriven kod mask inte läckt ut på Internet. Det går dock inte att komma ifrån att Stuxnet utnyttjade flera dittills okända säkerhetshål och faktiskt krävde stora kunskaper inom vitt skilda områden. Det är helt unikt.

IT World skriver om en ny variant av en gammal phishingteknik – det handlar om ett nytt sätt att få in skadlig kod på småföretagares datorer för att via dem komma in på bankkonton. Nu har cyberskurkarna kommit på att man kan föra in skadlig kod via falska jobbansökningar, och företag som vill anställa är lätta att hitta.

Virus i Sverige, november 2010

Hotrapport Sverige, november 2010

Överst på den svenska hotlistan i november fanns Win32/Patched (4,33 %), vilket innebär att skadlig kod har patchat en existerande systemfil, i syfte att gömma sig själv i systemet. Detta gör att det ibland kan vara svårt att rensa filen, eftersom systemet blir instabilt, eller inte startar alls om man bara tar bort den (ändrade) systemfilen.

På andraplatsen finner vi Java/TrojanDownloader (3,63 %) som är en trojan med en förkärlek för att installera skadliga filer eller program. Trojan-Downloader.Java.Agent.au kan komma från misstänkta sidor på nätet och tar sig ofta i systemet genom säkerhetshål eller via webbläsaren.

Även trean på novembers hotlista var en trojan med intresse för att installera skadliga filer och program och ta sig in i systemet på samma sätt som vår andraplatshållare. HTML/TrojanDownloader stod för 2,01 % av de svenska cyberhoten i november.

Fyran är Javatrojanen JS/Redirector (0.83%) som smittar till exempel genom skadliga webbsajter och skickar användaren vidare till andra sajter än de planerat att besöka. JS/Redirector låter även smittspridaren att attackera HTML-baserade e-postmeddelanden.

Femteplatsen hölls av INF/Autorun (0.79%), som kan köras automatiskt när USB-stickor och andra externa enheter används i på ett Windows-system.

Virus i Sverige, november 2010

Största hoten i Sverige november 2010

Källa: ESET ThreatSense.Net® (november 2010)

Inbyggd pdf-läsare i Chrome skulle kunna hindra attacker

Igår skrev bland andra Michael Jenselius på PC för alla om Googles nya feature i webbläsaren Chrome – inbyggd pdf-läsare. Det betyder att Google tar en egen väg för att möta problemen med skadlig kod som distribueras via svagheter i till exempel Adobes pdf-läsare.

Eftersom det handlar om helt nyskapad mjukvara, så bör tidigare attacker som gjorts mot andra pdf-läsare kunna kontrolleras. Att pdf-läsaren är inbyggd i browsern gör dessutom att den enkelt att uppdatera den, vilket är en klar fördel – det är ju självklart så att ju äldre och mer känt ett säkerhetshål är, desto oftare används det.

Samtidigt finns det en risk att Google introducerar helt nya buggar som går att utnyttja och pdf-formatet har ju varit ett hett byte för nätbrottslingar länge. Intressant är det dock.

Matousecs 8.0 Earthquake

Det har varit mycket snack i maj om Matousecs 8.0 Earthquake, även kallad Khobe exploit, som kan kringgå en viss typ av skydd hos vissa säkerhetsprodukter. Säkerhetsföretaget Matousec har i en rapport varnat för scenariot där ofarlig kod passerar antivirusskyddet och sen byts ut mot skadlig kod. Detta kan leda till att datorn kraschar och tas över av cyberskurkar.

Det låter förstås lite oroväckande och det verkar som om flera antivirusföretag har fått frågor om det från sina kunder. Vi på Eurosecure har inte hört något ännu och det finns faktiskt ingen anledning för att bli orolig.

Risken att Kobe-scenariot inträffar är väldigt liten. Antivirusvärlden har känt till svagheten i nästan tio år. Det handlar alltså om en ganska gammal teknik som jag själv har jobbat med för många är sedan. Under den långa perioden har vi inte sett att Khobe-scenariot inträffat. För en riktigt allvarlig attack måste datorn dessutom redan vara smittad av skadlig kod.

ESET:s säkerhetsanalytiker bevakar svagheten hela tiden. Det är därför ESET i ett pressmeddelande har försäkrat sina kunder om att de inte behöver vara oroade över denna säkerhetsfråga.

Jag vill dock, som alltid, uppmuntra alla att hålla antivirusprogrammet uppdaterat.

Ny attack: Nätfiskare utnyttjar Kissie, Kenza och pedofilhat för drive-by downloads

För ett par dagar sedan publicerade PC För Alla en nyhet om en riktigt fräck nätfiskeattack. Attacken var väldigt riktad och för ovanlighetens skull på svenska, vilket gjorde den ganska exceptionell.

Förövarna försökte nå ut både via forum och genom e-post. I mejl fick personer veta att de hade blivit tillagda på sidan barnförbrytare .se – alltså i egenskap av person som begått brott mot barn (även om jag tycker att namnet kanske främst antyder att det handlar om barn som är förbrytare). Få människor vill bli uthängda som pedofiler eller barnmisshandlare.

Jag har även sett infekterade länkar på ett forum om styrketräning då till sidan starkastisverige .se och en snabb sökning på ordet barnförbrytare leder oss till sajten hatadjur . nu – nätfiskarna har verkligen kartlagt vilka ämnen som väcker känslor på nätet.

Drive-by-download-attack utnyttjar Kissie och Kenza

Andra försöker man få att klicka genom att kalla sidan för internetkampanj – det skedde exempelvis i forumen på Allt om barn och Amelia. Brott mot barn är ett laddat ämne och många klickar vidare i ren affekt.

Det är svårt att veta hur stor spridning den här attacken har fått, men antagligen har ganska många klickat och infekterats. Rent tekniskt handlar det om en klassisk drive-by download: den infekterade sidan försöker ladda en Java-applet som i sin tur laddar hem en EXE-fil från nätet. Från början var det bara vi på ESET och ett par andra aktörer som upptäckte infektionen i Java-appleten, men nu bör förhoppningsvis de flesta antivirusprogram hitta den Java-appleten och EXE-filen.

EXE-filen verkar vara en variant av Poison Ivy, ett program som gör att man kan fjärrstyra den infekterade datorn. Bland annat kan hackaren kopiera filer, titta genom webbkameran och har möjlighet att helt styra datorn.

De som utförde attacken registrerade flera sajter samma dag, samtliga har nu stängts av webbhotellet Loopia där de låg. Man har bland annat försökt utnyttja de största svenska bloggerskorna för att nå ut, både Kenza och Kissie fick egna infekterade sajter kenzas-boyfriend .com och kissiestalkers .com. Här är ett urval av de nu stängda domänerna:

smygpedofiler .se
barnforbrytare .se
hatadjur .nu
kenzas-boyfriend .com
snuska-bilder .com
kissiestalkers .com
traderaskojare .se
gratis-st500 .se
sextrakasserier .se
gratisconverse .se
traderas-bedragare .se
pokerbluffen .nu
landskronaproblemet .se
svindelinfo .se

Uppdaterat 2010-05-14:
sdanhangare .se
sd-anhangare .se

Uppdaterat 2010-06-03:
offentligarasister .com

Just vinkeln och de riktade attackerna på svenska har gjort ett stort avtryck här i Sverige, vilket syns på hur mycket som skrivs om det. Några exempel:

Sydsvenskan
Aftonbladet
Svenska Dagbladet
Allehanda.se
Webbtips.se

Microsoft patchar Zero-Day-säkerhetshål

Microsoft var tvungna att släppa några patchar innan den officiella Patch Day som inträffar om två veckor. Anledningen är ett säkerhetshål i Internet Explorer som möjliggör så kallade Zero-Day-attacker. Den nya patchen ska förhindra att cyberbrottslingar utnyttjar hålet i Internet Explorer för att installera skadlig kod. Microsoft utförde denna patch snabbt eftersom en attack-kod (exploit code) redan hade publicerats online.

Varför pratar man om Zero-Day-attacker?

Namnet beskriver den ”tävling” mellan hackare och mjukvaruutvecklare som börjar samma dag som säkerhetshålet upptäcks: dag 0. Ibland kan det dock gå lång tid från det att säkerhetshålet upptäcks, tills dess att tillverkaren får reda på det, och ytterligare tid innan de har släppt en säkerhetsuppdatering.

Windows 7 sätter segel

Nu lämnar Windows 7 dockorna och stävar ut mot okända mål. Det har varit branschens största snackis ganska länge nu och många har förutspått att det nya operativsystemet kommer att bli ett fiasko, medan andra, framförallt Microsoft själva, tror att det kommer bli en storsäljare. Själv tror jag att Windows kommer att nå framgång åtminstone vad det gäller försäljningen. Det kanske blir så att företagen väntar ett tag innan de uppgraderar sina nätverk, men så småningom kommer nog även de att hoppa på tåget. Vad gäller säkerheten återstår det att se hur det nya operativsystemet presterar. Windows har i alla fall gjort en hel del patchar för att täppa till några säkerhetshål under förra veckan.

Dock kan alla ESET NOD32-användare, både privata eller professionella, sova lugnt eftersom vi erbjuder fullt stöd för det nya operativsystemet. Alla klient- och serverversioner för Windows har stöd för Windows 7!

Alltomxp har gjort en podcast för alla som vill veta mer om Windows 7 och PCOnline förklarar hur man uppgraderar från Windows XP till Windows 7.

En sista sak angående Microsofts marknadsföring: Microsoft har gjort en deal med skaparen av TV-serien ”Family Guy” som kommer att göra ett specialavsnitt för lanseringen av Windows 7 den 8 november. Vad det blir av det ska det också bli spännande att se.

Säkerhetshål under uppsikt

Computer Sweden skriver om ett känt säkerhetshål i Windows Vista, Windows Server 2008 och Windows 7 RC, ett hål som potentiellt skulle kunna användas av hackers för att installera skadlig kod på datorer. Kod som utnyttjar säkerhetshålet har nu gjorts tillgänglig i säkerhetsverktyget Metasploit. Det gör att det är väldigt lätt för även ”ovana” hackare att ta över datorer.

Microsoft har i skrivande stund ännu inte täppt till det säkerhetshålet (ett problem med SMBv2 som gör att man kan köra skadlig kod på datorn), men de har släppt ett verktyg för att stänga av/inaktivera SMBv2. Det bästa är naturligtvis att se till att man har brandväggsregler som gör att inga andra tjänster finns tillgängliga än de man specifikt ger tillåtelse till, och att man installerar Windows-uppdateringarna så snart de finns tillgängliga.

Man varnar för en ny Conficker i och med detta, även om vi ännu inte sett någon ta över någon dator med hjälp av verktyget och den nya koden.

Vi håller ögonen öppna.

Företag jobbar hårt, men ofta på fel ställe

Det har varit mycket diskussioner om virusattacken som drabbade sjukhus i Region Skåne igen. De stackarna hade redan mycket strul med en liknande attack för ett tag sen. Jag skrev tidigare om detta här och här och vi kommer även att nämna det i nästa podcastavsnitt. Just om virushaverier har nu amerikanska SANS Institute gått ut med en intressant rapport.

Enligt rapporten riktar många organisationer sitt arbete med IT-säkerhet på ett sätt som kan diskuteras. Huvudfokusen verkar ligga på att se till att operativsystemet är uppdaterat med aktuella patchar. Det finns ingen tvekan att detta är nödvändigt och bör göras regelbundet, men med tanke på att 60 procent av alla attacker är riktade mot hemsidor och webbaserade applikationer borde organisationer fokusera minst lika mycket på det som på OS-patchning.

Rapporten visar också att administratörer behöver dubbelt så lång tid att patcha webbapplikationer som att patcha operativsystemet. Säkerhetshål är inget att leka med och bör tätas omedelbart. Det spelar verkligen ingen roll om det handlar om operativsystemet, en hemsida eller mjukvara.

Spela säkert online

Som bekant flockas cyberkriminella som getingar kring ett saftglas när det finns en chans att lura av Internetanvändare pengar. Genom att onlinespel som World of Warcraft och Lineage både innehåller en närkontakt med andra spelare och riktiga pengar finns här utmärkta tillfällen för cyberkriminella att utnyttja säkerhetshål och använda sig av social ingenjörskonst för att tillskansa sig resurser från spelarna.
Men med lite sunt förnuft och med ett minimum av teknik kan dock riskerna med onlinespel undvikas. De kriminella ska inte stoppa oss från att ha kul!

Några tips för att undvika att bli offer för en av dessa nätets fulingar när du spelar online kommer därför här:

  • Stäng inte av ditt antivirusprogram för att du vill att datorn ska gå snabbare. Om du tycker att datorn går långsamt är det mycket bättre att byta antivirusprogram eller hitta en annan lösning
  • Använd dig av pålitliga spelservrar
  • Avslöja inte dina lösenord eller annan hemlig information i chattforum eller likande. Risken finns att den person som du chattar med har fått sitt konto hackat eller att du egentligen pratar med någon som försöker lura dig. Spelföretagen kommer ALDRIG fråga om ditt lösenord.
  • Verifiera att uppdateringar, mods, hacks och cheats kommer från trovärdiga källor innan du laddar ner dem
  • Använd dig av starka lösenord

Om du skulle ha lust att fördjupa dig mer i Internethot i onlinespelvärlden, kolla då in ESET:s nya research paper ”Playing Dirty” (PDF).