Sådan beskytter du dig imod 99,8 procent af alle malware-angreb

TEMA: Ved at holde otte forskellige programmer opdateret, vil 99,8 % af alle malware-angreb på Windows-maskiner blive afvist. Java Runtime Environment er det vigtigste hul at lukke.

Hackere har det ofte nemt, fordi mange virksomheder og private brugere ikke får opdateret softwaren på computeren med de seneste lapninger.

Men indsatsen, der skal til for at forskanse sine fortrolige data, behøver ikke at være så stor. Hackerne foretrækker nemlig at angribe via en håndfuld af de mest gennemhullede programmer.

»99,8 procent af alle exploits derude er baseret på bare otte forskellige softwaredistributioner,« forklarede Peter Kruse, sikkerhedskonsulent fra firmaet CSIS, på Dansk IT's sikkerhedskonference i januar, hvor Version2 var med.

De otte problembørn er både gammelkendte browser-tilføjelser, men også mere ukendte trusler.

Java Runtime Environment er blevet en klar nummer ét i hackernes favorit-adgangsvej og er derfor den vigtigste at få patchet. Resten af listen rummer Adobe Flash, Adobe Acrobat Reader, Internet Explorer, Firefox, Quicktime, Adobe Shockwave Flash og Winzip.

Læs også: It-kriminelle kaster sig over NemID-teknologien Java

Får man løbende lukket hullerne i de otte programmer, kan man altså sove væsentligt roligere om natten.

Statistikken over, hvilke stykker software hackerne foretrækker at angribe igennem, kommer fra de it-kriminelle selv.

I dag kan man nemlig købe avancerede, men brugervenlige værktøjer til at sammensætte et angreb, der rummer alt, hvad man har brug for.

Herunder statistik over de mest populære sårbarheder i software, som mange internetbrugere har installeret.

Ved at koncentrere sig om de otte mest kritiske, burde opgaven med at holde softwaren på sin computer være overkommelig, mener Peter Kruse. Og i dag findes der også flere værktøjer, som giver overblik og hjælper med at opdatere programmerne.

»Det behøver ikke være svært at patche,« forklarede Peter Kruse og gjorde reklame for værktøjet Heimdal fra CSIS, der er gratis for private brugere.

Det danske firma Secunia tilbyder også et gratis værktøj, PSI, som hjælper med patch-arbejdet. Softwaren har fået international bevågenhed og er flere gange nævnt som uundværlig af amerikanske it-medier som PC World og ZDnet.

Artiklen er en del af Version2's tema om it-sikkerhed i uge 7 og 8.

Kommentarer (40)

Carsten Olsen

Dette giver mere net-sikkehed end div. købe-crap-ware.
I Chrome 9 er plug-in fabriks-indbygget og kører i en sandbox. (herunder Adobe)
Chrome 9 patcher automatisk. (altid opdateret)
Chrome 9 er klar vinder i alle seriøse indbrudskonkurrencer.
Chrome 9 virker også på Windows XP. /;-} (Gammel PC får nyt (sikkert)liv)

Steen Larsen

Hej Jesper og andre,

I praksis er det svært at bruge en firewall for udgående trafik. Dels ved de fleste brugere ikke hvilken traffic der er Ok og i praksis bruger det meste malware nu http og http over TLS til udgående traffik. Jeg vil hellere bruge min begrænsede tid på at forhindre at min computer bliver inficeret. Hvis noget malware først har kørt på ens PC er det "Game over" og tid til total geninstallering IMHO.

Mvh
Steen

Jesper Ørsted

Hej Steen,
En ordentlig udgående firewall kan du ikke bare bestemme hvilke porte der skal være åbne, du kan også bestemme hvilke programmer der skal kunne åbne hvilke porte og hvilke servere de må gå til. Det betyder at et malwareprogram ikke kan "smutte" igennem, HTTP eller HTTPS portene, da de ikke er godkendt af firewallen til at gå på nettet.

Jacob Larsen

@Michael
Nu har de gængse *nix jo et par fordele i forhold til listen ovenfor. For det første har de centraliserede updates, der virker væsentligt bedre end noget som helst til Windows. For det andet kører brugeren normalt ikke som admin, hvilket dog er mindre vigtigt i de her tider hvor det mest er brugerens data man angriber.

Steen Larsen

Hej igen Jesper,

Hvis malware kører på en computer med fulde privilegier kan det gøre lige hvad det vil. Dvs. det kan rekonfigurere eller deaktivere din lokale udgående firewall eller overtage eksisterende processer. Ofte ser man f.eks. malware som overtager Internet Explorer processen for at derefter være sikker på at kunne kommunikere via HTTP og HTTPS.
Derudover vil langt de fleste mennesker ikke være i stand til at konfigurere en firewall per program hvorefter de ender med at svare automatisk Ja hver gang et program beder om lov til at gå på nettet.
Dermed ikke sagt at en udgående firewall aldrig stopper noget malware, men jeg stiller spørgsmålstegn ved effektiviteten af udgående firewalls på typiske PC'er. Sorry! ;-)

Jesper Ørsted

Hej igen Steen,
Nu ved jeg ikke med Windows, men der er intet program der får lov til at køre i admin mode på MacOSX, med mindre det er blevet installeret med admin rettigheder og computeren afkræver admin adgangskode ved installationen. Alternativt skal den køres i SUDO mode fra terminalen af. Derudover er nyinstallerede programmer på Mac sandboxed indtil brugeren giver tilladelse til at de må køre. Eneste undtagelse er digitalt signerede Appleprogrammer eller digitalt signerede programmer installeret fra Mac App Store. Det at køre med fulde admintilladelser gør man kun hvis man køre i root. Og det er der ingen ved deres fulde fem der vil gøre.

Flemming Wyrtz

Jeg har arbejdet med Mac fra før jeg første gang lærte at skrive www i Netscape. Jeg har aldrig brugt virusbeskyttelse og surfer som enhver anden rundt på nettet og modtager mail. Jeg bruger generelt ikke Microsoft produkter. Jeg erstatter dem helst med andre programmer hvis jeg kan.

For en uge siden hentede jeg under indtryk af det stadige bomardement om at Mac nu er usikker ClamXav ned på min computer og testkørte i nat. No files infected.

Jeg har mine date med fra begyndelsen af 90'erne, hvor jeg skiftede til Mac. Én gang har en kunde sagt, at en af mine filer var inficerede. Det viste sig at beskeden kom fra et af de programmer der levede af at sprede frygt.

Om min Mac er 100% sikker ved jeg ikke, men det må være tæt på. Og så må i godt kalde mig jubelidiot, men helt ærligt har jeg ikke tid til at beskæftige mig med computerproblemer. Jeg lever af at sælge industrimaskiner og ikke af at holde min computer up to date.

Steen Larsen

Hej Jesper,

Nu ved jeg ikke med Windows, men der er intet program der får lov til at køre i admin mode på MacOSX, med mindre det er blevet installeret med admin rettigheder og computeren afkræver admin adgangskode ved installationen. Alternativt skal den køres i SUDO mode fra terminalen af. Derudover er nyinstallerede programmer på Mac sandboxed indtil brugeren giver tilladelse til at de må køre. Eneste undtagelse er digitalt signerede Appleprogrammer eller digitalt signerede programmer installeret fra Mac App Store. Det at køre med fulde admintilladelser gør man kun hvis man køre i root. Og det er der ingen ved deres fulde fem der vil gøre.

Ja, Mac har mange udmærkede sikkerhedssystemer som man endelig skal anvende. MEN, ligesom du kan komme igennem en låst dør ved at bruge et brækjern istedet for nøglen kan malware ofte få adgang til admin rettigheder uden "sudo" og lignende. Det sker ved at bruge "local privilege escalation" sårbarheder.

Sådanne sårbarheder er også blevet anvendt til at få "root" adgang til iPhone og Android telefoner. Men her er det telefonens ejer der "hacker" sin egen telefon hvilket jo egentlig er ganske morsomt.

Thomas Ammitzbøll-bach

En Linux-bruger ville aldrig finde på at:

  • Køre "./configure;make install" på en tilfældig *.tar.gz-fil fra SourceForge som root.
  • Tilføje et tilfældigt APT/YUM-repository med "alle de fede codecs".
  • Copy/Paste en tilfældig snippet fra Nettet, man ikke forstår.
  • Installere tilfældige PHP-applikationer og give dem alle rettigheder, de skal have, for at kunne køre.

Nej, det er der ingen Linux-brugere, der kunne finde på.

:-P Thomas

Anders Christensen

->Flemming Wyrtz

nu kender jeg ikke en Macs måde at arbejde på, så det kan være at jeg tager fejl.

Men de root kit der blandt andet findes til windows, ligger sig ind før driverne, og styrer derved hvad styresystem må se, og kan derved undgå at de bliver opdaget.

Ved ikke om ovenstående gør sig gældende for Mac.

Jesper Hedemann

Arr nu skal vi lige huske at det tog Charles Miller 2 min og hacke en MacBook Air i 2008 og året efter tog ham under 10 sec. og hacke en MacBook igennem Safari.

»Mac OS X er som at bo på en gård på landet, uden nogen låse, og Windows er som at bo i et hus med gitter for vinduerne i den belastede del af en by,«

taget fra http://www.version2.dk/artikel/14283-hacker-mac-computere-er-som-et-ulaa...

Flemming Wyrtz

Hej Anders.

Jeg er ikke ekspert som det fremgår, men jeg har dog aldrig haft problemer med sikkerheden. Det er ikke det samme som at jeg ikke kan få det. Fra 2002 og frem har Mac OSX været bygget op om Unix og det giver så vidt jeg kan se nogle alvorlige fordele. Ethvert program som skal ud at køre skal have tilladelse fra mig. Og det giver jeg selvfølgelig ikke bare.

Jeg har i mit firma 2 ansatte som ikke er genier til computere og de surfer såmænd også rundt i cyberspace.

Vi har ingen virus beskyttelse og hvordan kan det være, at min bankkonto ikke er tom? Min hjemmeside ikke er hacket? Min e-mail konto ikke bruges til Spam? Min harddisk ikke er udraderet?

Er jeg dum?

Min ven mekaniker-Brian er helt overbevist om, at min bil kører dårligt fordi jeg ikke har haft stemplerne ude i denne uge. Er det dét vi taler om?

Og iøvrigt lever jeg godt på landet. Jeg bruger min computer til mit arbejde og ikke til at lege med. Det er ligesom med min bil. Jeg kører i den.

Anders Christensen

"Mac OS X er som at bo på en gård på landet, uden nogen låse, og Windows er som at bo i et hus med gitter for vinduerne i den belastede del af en by"

En gård på landet ligger langt fra alt, så det er besværligt at komme frem og tilbage.
I byen er der hurtig og nem adgang til ting.

:)

Anders Christensen

"Mac OS X er som at bo på en gård på landet, uden nogen låse, og Windows er som at bo i et hus med gitter for vinduerne i den belastede del af en by"

En gård på landet ligger langt fra alt, så det er besværligt at komme frem og tilbage.
I byen er der hurtig og nem adgang til ting.

:)

Jesper Kristensen

Wow, jeg er ret forundret over at Winzip er med på listen. Er det efterhånden ikke ved at være lang tid siden Windows 98 og ME forsvandt fra computerne?

Jesper Poulsen

Sådanne sårbarheder er også blevet anvendt til at få "root" adgang til iPhone og Android telefoner. Men her er det telefonens ejer der "hacker" sin egen telefon hvilket jo egentlig er ganske morsomt.

Hvilken Android-bruger er så dum at rode med cracking af telefonen, når Android selv tilbyder alternativ adgang?

Jesper Poulsen

Wow, jeg er ret forundret over at Winzip er med på listen. Er det efterhånden ikke ved at være lang tid siden Windows 98 og ME forsvandt fra computerne?

WinZip kan ting som Microsofts elendige indbyggede Zip-support ikke kan.

Hvis du står med en lettere beskadiget Zip-fil i en moderne Windows så er du f*cked hvis du ikke har WinZip. Står du med en z-fil (pakket-fil.z), så kommer du heller ikke uden om WinZip.

Steen Larsen

Hvilken Android-bruger er så dum at rode med cracking af telefonen, når Android selv tilbyder alternativ adgang?

Android tilbyder alternativ adgang til at installere sofware udenom Android Market. Men dette er ikke det samme som at have linux "root" privilegier. Se
http://smarterware.org/3189/why-and-how-to-root-your-android-phone
eller Google anroid root.

Jesper Poulsen

Android tilbyder alternativ adgang til at installere sofware udenom Android Market.

Og derigennem kan man installere software der giver adgang til root access. Det er ikke et crack af telefonen. Jailbreak af iPhone er et decideret crack på lige fod med Linux på Xbox.

Steen Larsen

Og derigennem kan man installere software der giver adgang til root access. Det er ikke et crack af telefonen.

Dette software bruger et "local privilege exploit" til at blive "root". De fleste Android telefoner har ikke nogen officiel adgang til "root" privilegier. Så det vil jeg kalde en slags "crack" selvom brugeren ikke ved at et exploit bliver brugt - men folk har selvfolgelig forskellige definitioner af ordet "crack".

iPhone jailbreak og Linux på Xbox er også cracks IMHO, men med et andet primart formål: at kunne køre noget ikke-godkendt software på ens eget "device". Android brugere har heldigvis lov til at installere "uofficielt" software uden Googles tilladelse.

Hans Dalsgaard Jensen

Og derfor er Mac OS X det første der knækkes ved Pwn2own - hver gang?

Var det ikke som den ene ud af to - og den anden, Windows 7, "overlevede" heller ikke ...

Som almindelig dødelig kan jeg holde mig til 'hackerens' eget råd: "For now, I'd still recommend Macs for typical users ..." (http://www.tomshardware.com/reviews/pwn2own-mac-hack,2254-6.html)
og nyde stilheden på landet.

Jesper Poulsen

Var det ikke som den ene ud af to - og den anden, Windows 7, "overlevede" heller ikke ...

Mac'en røg først. Hver gang. Og ganske hurtigt, faktisk. Windows holder stand længere.

Som almindelig dødelig kan jeg holde mig til 'hackerens' eget råd: "For now, I'd still recommend Macs for typical users

Security by obscurity. Hvad med at vælge et system der ikke har åbenlyse sårbarheder i stedet for bare at vælge et system der er mindre kendt/brugt?
Kig evt. på SELinux.

Hans Dalsgaard Jensen

... Windows holder stand længere.

Ikke for at træde i det, men nu havde de jo forberedt sig dage (uger?) i forvejen. Anyway, ... "Security by obscurity" - ikke den bedste model, men den har nu i praksis været meget effektiv!

Tak for tippet med SELinux. Desværre, Linux er sjovt, men som OS generelt ikke for "almindelige dødelige".

Jeg sætter dog min lid til, at sikkerhedsmodeller som anvendt i SELinux finder hurtigere vej til OS X end til Windows, specielt givet OS X ophav (nemmere at impementere?).

Jesper Poulsen

Ikke for at træde i det, men nu havde de jo forberedt sig dage (uger?) i forvejen.

Og?

Det eneste de har forberedt er hvilken exploit de skulle bruge og hvilke værktøjer de skulle udnytte den med. De har ikke haft hardwaren på forhånd.

Desværre, Linux er sjovt, men som OS generelt ikke for "almindelige dødelige".

Sikke noget vrøvl. Det er hurtigere og lettere at få en moderne desktop-distro up-and-running end det er at få et ditto gængs GUI-baseret closed source OS igang.

Jeg har lige smidt Ubuntu 10.04 på en maskine. Den fandt printeren og grafikkortet (stod klar med en lukket driver, hvis jeg var interesseret). Skærmen havde den korrekte opløsning. Netkort fundet og IP-adresse tildelt (DHCP). Out-of-the-box.

Det eneste der er lettere er en maskine hvor man får software og hardware fra samme leverandør (Apple).

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Spring - The Spring Framework 3 - Foundation

Hvornår: 2015-12-01 Hvor: Storkøbenhavn Pris: kr. 15300.00

DB2 9 for Linux, UNIX and Windows Application Programming Advanced [CL110G]

Hvornår: 2015-09-07 Hvor: Storkøbenhavn Pris: kr. 12000.00

Adobe Illustrator kursus udvidet

Hvornår: 2015-10-14 Hvor: Storkøbenhavn Pris: kr. 5900.00

Arbejdspraksis og it

Hvornår: 2016-02-01 Hvor: Østjylland Pris: kr. 15000.00

CXD-205 Citrix XenDesktop 7.5 Skills Update

Hvornår: 2015-09-28 Hvor: Østjylland Pris: kr. 16050.00