Opdateret Java? Fint, men hackerne har kig på Silverlight

Hackerne flytter i stigende grad fokus fra usikre Java-installationer til andre 3. parts programmer som Silverlight, og Flash er stadig et mål, viser Cisco-rapport. Få styr på din patch-management eller få snask, lyder opfordringen fra sikkerhedsekspert.

shareline

Hackere flytter fra Java til Silverlight og Flash. Patch for pokker.

Selvom året er 2015 er patching af software tilsyneladende ikke noget, der ligger specielt højt på listen over beskyttelse mod hackere, fremgår det af en nyligt udgivet sikkerhedsrapport fra netværksvirksomheden Cisco.

Ud af de knap 1.000 it-sikkerhedsdirektører, virksomheden har spurgt, svarer kun ca. 40 pct, at patching og konfiguration indgår som en del af de værn, organisationen bruger mod trusler.

I samme Cisco rapport fremgår det også, at netop upatchede huller i software bliver udnyttet af it-kriminelle til at trænge ind på virksomhedernes netværk. Ganske vist har der været et fald på 34 pct. i mængden af udnyttede Java-sårbarheder, men til gengæld er udnyttelse af huller i Microsofts Silverlight-plugin begyndt at stige ganske kraftigt - procentvis - i 2014.

Og så er PDF-filer, der bliver sendt via mail og åbnet i upatchede læsere og huller i Adobes Flash stadig populære blandt programmer med sårbarheder, som hackerne benytter.

Rapporten fra Cisco forklarer faldet i angreb via Java med, at nye Java'er auto-opdaterer, og at forældede Java-runtimes simpelthen bliver blokeret af browseren.

Derfor har de kriminelle rettet blikket mod upatchede udgaver af Adobes produkter og altså ikke mindst Microsofts Silverlight-browserplugin, konkluderer rapporten fra Cisco. Og så er en ny angrebs-trend dukket op i 2014, hvor sikkerhedshuller i Flash bliver kombineret med JavaScript, hvilket gør det vanskeligere at detektere et angrebet, der ligger spredt udover flere forskellige filformater.

Opdater programmer

Og derfor er det stadig, som før, en særdeles god idé at holde sine programmer opdaterede, hvis hackerne skal holdes ude af organisationen. Eksempelvis browsere og plugins i disse, der kan give uvedkommende adgang til netværket, hvis bare brugeren klikker forbi en hjemmeside med ondsindet kode.

Faktisk vil direktør for forskning og sikkerhed i danske Secunia Kasper Lindgaard gå så langt som til at sige, at det er mindst lige så vigtigt med en ordentlig styring af, hvordan software bliver patched i organisationen, som det er at have en firewall eller antivirus. Hverken Firewall eller antivirus forhindrer nemlig nødvendigvis den type angreb, som sker via sårbare 3. parts-applikationer.

»Sørg for at have en central styring af de applikationer, der installeret. Det virker i mange tilfælde, men ikke i alle. Vi har en del kunder, der siger, at i vores organisation, bliver folk nødt til at kunne installere det, de har behov for. Og hvis man har det, så må man bare sørge for, at ens patch-management-strategi, den sidder lige i skabet,« siger Kasper Lindgaard.

Og hvis ikke den sidder lige i skabet?

»Så vil jeg sige, der er en ret stor sandsynlig for, at man allerede har snask på sit netværk.«

At det let kan gå galt, og at der ikke skal mere til, end at en enkelt bruger forvilder sig ind på en hjemmeside med ondsindet indhold - eller måske ligefrem bliver lokket derind - demonstrerede teknisk direktør i sikkerhedsvirksomheden CSIS, Jan Kaastrup forleden i DR2's nyhedsmagasin Dagen.

Her sendte han en mail til en af værternes computere med et link, der så ud til at pege på en underside på dr.dk.

I virkeligheden ledte linket dog først brugeren omkring en side med malware, som efterfølgende sendte brugeren videre til den rette side. Der var skaden imidlertid sket, og Jan Kaastrup kunne få den inficerede maskine til at tage et billede af de to værter med computerens webcam.

I dette tilfælde var det en upatched Java, der gjorde drive-by angrebet, som den slags kaldes, muligt. Men det kunne sagtens have været en stribe andre, upatchede plugins, der bliver udnytter. Ikke mindst fordi flere malware-kits scanner computeren for adskillige usikre browser-plugins.

»Man kan sørge for at holde sine 3. parts programmer opdaterede, men der kan stadig komme nul-dages sårbarheder. I virkeligheden kan man ikke beskytte sig 100 pct. mod at blive hacket,« siger Jan Kaastrup til Version2.

Det er SÅ let

Han opfordrer derfor også virksomheder til at forholde sig til, hvordan hackerangreb kan opdages hurtigst muligt. Og hvordan der så skal reageres. Men lyder samme opfordring fra Jan Kaastrup som fra Kasper Lindgaard: sørg for at hold 3. parts programmer opdaterede.

Og hvis ikke det kan lade sig gøre eksempelvis at opdatere en gammel Java, fordi software i organisationen er afhængig af den, så konfigurer den på en måde, så den kun bliver aktiveret i forbindelse med den web-app, som kræver Java-versionen. Alternativt brug to forskellige browsere, så den en browser er til web-app'en med den usikre Java, og den anden browser er til al anden brug, lyder opfordringen fra Jan Kaastrup.

En ting er, at det kan lade sig gøre at udnytte sikkerhedshuller i 3. parts programmer, hvad værre er, det er let at gøre det, blot man har de rette værktøjer, fortæller Kasper Lindgaard.

»Det er let. Og det er derfor, det er vigtigt at opdatere sine 3. parts applikationer, specielt de mest brugte,« siger Kasper Lindgaard og tilføjer:

»Det er så pokkers vigtigt, der skal bare en uopdateret ting til.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Max Jakobsen

Jeg har ikke installeret silverlight og har ingen problemer. Flash - der er flere der er begyndt at lave reklamer der starter af sig selv.Bla her på sitet, der ikke bare ski*** irriterende det er også en sikkerheds risiko. Så kære version2, videnskab og ingenøren og hvad der ellers bruger disse underlige ting, lad os sselv bestemme om vi vil se reklamen. TAK.

  • 2
  • 0
#9 Jesper Nyrup

Kør med en browser til daglig brug (for eksempel firefox), uden plugins dvs. flash, java, silverlight, adobe pdf osv. Jeg kører selv uden javascript men det gør mange ting besværlige (men selvfølgelig sikrere) Når du skal se en video eller spille et spil eller whatever så åbner du din alternative browser for eksempel chrome, hvor disse plugins er enablet. Dette udgør i min mening en nogenlunde sikker måde at browse på.

  • 1
  • 0
#10 Loke Dupont

Gør de stadig, da det er det eneste der understøtter ordentligt DRM.

Dette passer ikke længere. Google Chrome har understøtter Widevine DRM et stykke tid nu. Det er også hvad Netflix bruger til afspilning (du får ikke længere Silverlight hvis du bruger Google Chrome). Ligeledes understøttes der DRM direkte i Safari på Yosemite eller IE på Windows 8.1 og begge steder vil du også få HTML5 baserede Netflix afspillere.

  • 1
  • 0
#13 Rune Jensen

Det er så let. Og det er derfor, det er vigtigt at opdatere sine 3. parts applikationer, specielt de mest brugte

Jo... men opdateringer tager ikke zero days. Ellers ville det ikke være zero days.

Hvis man starter ud med alt disabled, så kan man gå ind på hvilkensomhelst side og de kan ikke gøre en skid.

Så kan man enable plugin/scripting lidt ad gangen, hvis man stoler på siden, og putte det på hvidlisten.

Youtube f.eks. kører hos mig efter en hvidliste via NoScript. Startet ud med intet, og tror såmænd kun få scripts er tilladt siden.

Det samme med mails. Alt vises som udgangspunkt som ren tekst, som ikke kan executeres. Hvis jeg vil have billeder eller andet (eller se som HTML), skal jeg udtrykkeligt give tilladelsen.

Og mht, downloadede filer, så ryger jeg ind under denne: https://wiki.ubuntu.com/Security/ExecutableBit

Når alt kører efter hvidliste, så er der ingen anden mulighed for infektion, end at jeg selv, med vilje, installerer det.

  • 1
  • 0
#14 Henrik Madsen

Flash - der er flere der er begyndt at lave reklamer der starter af sig selv.Bla her på sitet, der ikke bare ski*** irriterende det er også en sikkerheds risiko.

Lige præcis den der med at lave reklamer som starter af sig selv og med lyd var det der fik mig til at installere en adblocker.

Fordelene er mange, siden vises hurtigere, det bliver nemmere at se det væsentlige frem for blinkende og larmende reklamer og man risikerer ikke så let at blive inficeret via en 0-day som smides i et banner på en annonceserver som så bliver smidt i hovedet på brugere på de sider som får penge fra annonceserverens ejer.

Husker tydeligt at det var en 3 mobile annonce som fik mig til at installere adfender.

Sådan en rigtig træls reklame, en sen aften og uden mouseover eller noget kom der pludseligt en voldsomt tordenskrald fra mine højtalere som ikke var skruet ned.

Jeg blev satme så forskrækket og gal at der røg adfender på øjeblikkeligt og jeg har egentligt aldrig fortrudt.

  • 1
  • 0
#17 Jakob Damkjær

Og efter jeg brugte Netflix med deres html5 version et stykke tid er jeg gået tilbage til silverlight... Streamingkvaliteten er bare bedre...

HBO og deres brug af flash og widewine giver en markant dårligere kvalitet og selv på en 30 Mbit linje har de fra tid til anden små hickups og nedgradering af kvalitet fra tid til anden...

Mht silverlight er det ikke helt automatisk selvopdaterede (som faktisk virker, som det burde være med flash og java men aldrig rigtigt er det...) ?

  • 0
  • 0
Log ind eller Opret konto for at kommentere