Opdateret Java? Fint, men hackerne har kig på Silverlight
[shareline:76543] Hackere flytter fra Java til Silverlight og Flash. Patch for pokker.[/shareline]
Selvom året er 2015 er patching af software tilsyneladende ikke noget, der ligger specielt højt på listen over beskyttelse mod hackere, fremgår det af en nyligt udgivet sikkerhedsrapport fra netværksvirksomheden Cisco.
Ud af de knap 1.000 it-sikkerhedsdirektører, virksomheden har spurgt, svarer kun ca. 40 pct, at patching og konfiguration indgår som en del af de værn, organisationen bruger mod trusler.
I samme Cisco rapport fremgår det også, at netop upatchede huller i software bliver udnyttet af it-kriminelle til at trænge ind på virksomhedernes netværk. Ganske vist har der været et fald på 34 pct. i mængden af udnyttede Java-sårbarheder, men til gengæld er udnyttelse af huller i Microsofts Silverlight-plugin begyndt at stige ganske kraftigt - procentvis - i 2014.
Og så er PDF-filer, der bliver sendt via mail og åbnet i upatchede læsere og huller i Adobes Flash stadig populære blandt programmer med sårbarheder, som hackerne benytter.
Rapporten fra Cisco forklarer faldet i angreb via Java med, at nye Java'er auto-opdaterer, og at forældede Java-runtimes simpelthen bliver blokeret af browseren.
Derfor har de kriminelle rettet blikket mod upatchede udgaver af Adobes produkter og altså ikke mindst Microsofts Silverlight-browserplugin, konkluderer rapporten fra Cisco. Og så er en ny angrebs-trend dukket op i 2014, hvor sikkerhedshuller i Flash bliver kombineret med JavaScript, hvilket gør det vanskeligere at detektere et angrebet, der ligger spredt udover flere forskellige filformater.
Opdater programmer
Og derfor er det stadig, som før, en særdeles god idé at holde sine programmer opdaterede, hvis hackerne skal holdes ude af organisationen. Eksempelvis browsere og plugins i disse, der kan give uvedkommende adgang til netværket, hvis bare brugeren klikker forbi en hjemmeside med ondsindet kode.
Faktisk vil direktør for forskning og sikkerhed i danske Secunia Kasper Lindgaard gå så langt som til at sige, at det er mindst lige så vigtigt med en ordentlig styring af, hvordan software bliver patched i organisationen, som det er at have en firewall eller antivirus. Hverken Firewall eller antivirus forhindrer nemlig nødvendigvis den type angreb, som sker via sårbare 3. parts-applikationer.
»Sørg for at have en central styring af de applikationer, der installeret. Det virker i mange tilfælde, men ikke i alle. Vi har en del kunder, der siger, at i vores organisation, bliver folk nødt til at kunne installere det, de har behov for. Og hvis man har det, så må man bare sørge for, at ens patch-management-strategi, den sidder lige i skabet,« siger Kasper Lindgaard.
Og hvis ikke den sidder lige i skabet?
»Så vil jeg sige, der er en ret stor sandsynlig for, at man allerede har snask på sit netværk.«
At det let kan gå galt, og at der ikke skal mere til, end at en enkelt bruger forvilder sig ind på en hjemmeside med ondsindet indhold - eller måske ligefrem bliver lokket derind - demonstrerede teknisk direktør i sikkerhedsvirksomheden CSIS, Jan Kaastrup forleden i DR2's nyhedsmagasin Dagen.
Her sendte han en mail til en af værternes computere med et link, der så ud til at pege på en underside på dr.dk.
I virkeligheden ledte linket dog først brugeren omkring en side med malware, som efterfølgende sendte brugeren videre til den rette side. Der var skaden imidlertid sket, og Jan Kaastrup kunne få den inficerede maskine til at tage et billede af de to værter med computerens webcam.
I dette tilfælde var det en upatched Java, der gjorde drive-by angrebet, som den slags kaldes, muligt. Men det kunne sagtens have været en stribe andre, upatchede plugins, der bliver udnytter. Ikke mindst fordi flere malware-kits scanner computeren for adskillige usikre browser-plugins.
»Man kan sørge for at holde sine 3. parts programmer opdaterede, men der kan stadig komme nul-dages sårbarheder. I virkeligheden kan man ikke beskytte sig 100 pct. mod at blive hacket,« siger Jan Kaastrup til Version2.
Det er SÅ let
Han opfordrer derfor også virksomheder til at forholde sig til, hvordan hackerangreb kan opdages hurtigst muligt. Og hvordan der så skal reageres. Men lyder samme opfordring fra Jan Kaastrup som fra Kasper Lindgaard: sørg for at hold 3. parts programmer opdaterede.
Og hvis ikke det kan lade sig gøre eksempelvis at opdatere en gammel Java, fordi software i organisationen er afhængig af den, så konfigurer den på en måde, så den kun bliver aktiveret i forbindelse med den web-app, som kræver Java-versionen. Alternativt brug to forskellige browsere, så den en browser er til web-app'en med den usikre Java, og den anden browser er til al anden brug, lyder opfordringen fra Jan Kaastrup.
En ting er, at det kan lade sig gøre at udnytte sikkerhedshuller i 3. parts programmer, hvad værre er, det er let at gøre det, blot man har de rette værktøjer, fortæller Kasper Lindgaard.
»Det er så let. Og det er derfor, det er vigtigt at opdatere sine 3. parts applikationer, specielt de mest brugte,« siger Kasper Lindgaard og tilføjer:
»Det er så pokkers vigtigt, der skal bare en uopdateret ting til.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
