Sådan blev kommuner udsat for ransomware-angreb

Roses den, der roses bør.

Jeg har tidligere efterspurgt at V2 fulgte op på denne sag, så I skal have mange tak for i detaljeret at have dykket ned i den.

Efterfølgende kommer så, hvordan man kommer dette til livs, uden at hverdagen bliver omklamret af alt for mange restriktioner - og jeg tror ikke at "antivirus" er vejen frem, da der dybest set kan være tale om vedhæftninger der ser helt valide ud.

Så spørgsmålet er mere om der skal til at tænkes i helt nye baner fsva. filsystemer for dokumenter og lignende?

Kunne have fanget det.

Jacob, det er virkeligt usmageligt at du ikke lige nævner du arbejder hos Bromium, når du absolut skal reklamerer for dem.

Fair nok. Men micro-VMs kunne have fanget det, og det er altsaa ikke lyv. Beklager at jeg fik postet samme svar mange gange, man kan kun redigere men ikke slette dem igen.

"Og derfor handler det heller ikke kun om teknik, for at komme lignende angreb til livs i fremtiden, men også om at opdrage brugerne til - eksempelvis - ikke at åbne vedhæftede filer, der kan være farlige, mener Anne-Sofie Degn."

OK? Så nøjagtigt hvad fik brugeren til at åbne filen?

Det kan man ikke laengere. Hvordan skal brugeren vide om f.eks. et CV i en uopfordret jobansoegning indeholder en virus? Det er jo ikke engang sikkert at afsenderen ved det. Det eneste der er 100% sikkert er at traekke stikket, og det nok ikke en acceptabel loesning i dag. Traditional blacklist-baseret antivirus-software har aldrig for alvor virket, men var godt nok til at fange "I love you" og tilsvarende, hvilket fik IT-cheferne til at sove roligt om natten.

Det er min erfaring at rigtigt mange af de her angreb og "crap-ware" undgås hvis man fjerner lokaladministratorrettigheder på maskinerne. Jeg vil gå så langt, at det er uansvarligt at tillade lokaladmin rettigheder i systemer hvor der arbejdes med personfølsomme oplysninger. Det er også en holdning som deles med rigsrevisionen se evt. nedenståede fra RR

http://www.rigsrevisionen.dk/media/1943098/forebyggelse-af-hackerangreb.pdf

**Citat fra side 4  teknisk begrænsning af download af programmer fra internettet  begrænsning af brugen af lokaladministratorer  systematisk sikkerhedsopdatering af programmer. **

Man kan aldrig 100% eliminere personlige fejl. Men jeg kan da se to metoder, der i fremtiden vil minimere problemerne med den slags malware:

1) Tag backup så ofte som fysisk muligt. Det reducerer antallet af filer, der ikke er backup af, og det er jo kun dem, der er et problem (ud over indsatsen med restore).

2) Brugere skal ikke have skriverettigheder til alle filer. Faktisk til så få som muligt - det kan give lidt småbøvl i hverdagen, men indretter man sig rigtigt bør det ikke være voldsomt...

Det kan man ikke laengere. Hvordan skal brugeren vide om f.eks. et CV i en uopfordret jobansoegning indeholder en virus?

Ved ikke at køre minansøgning.doc.exe?

Men spøg til side, så har de jo netop ikke skrevet HVAD der var årsagen.

Derfor kan vi ikke vide, om det var et CV eller andet som gjorde det.

Og det er da det mest centrale overhovedet, hvad der var årsagen.

Hvis f.eks. det var et dokument, som installerede et eller andet, så måske ikke tillade scripting i en dokument læser? Hvilket så i forvejen er ret absurd at ville, men hvad.

Det er (iflg. en fyr der hed Turing) umuligt at skelne mellem kode og data. Derfor kan det sagtens vaere en PDF eller DOC/DOCX som var aarsagen, selv uden scripting mm. slaaet til. Proev at foelge forelaesningerne her: http://10kstudents.eu/ (og nej, det er ikke noget jeg har penge i ;-))

Derfor kan det sagtens vaere en PDF eller DOC/DOCX som var aarsagen, selv uden scripting mm. slaaet til.

OK, så lad os sige dén del af mit spørgsmål er besvaret.

Den anden del lyder:

1. HVAD fik vedkommende til at klikke på en executërbar zip-fil? Var det social enginneering? Et CV? Hvad?
2. HVORFOR får en executérbar ZIP-fil lov til at executeres uden admin-godkendelse?
3. HVORFOR får vedkommende lov til at installere nogetsomhelst? Uden admin-rettigheder?

Det er (iflg. en fyr der hed Turing) umuligt at skelne mellem kode og data.

Noget i retning af: http://hackaday.com/2014/11/15/hiding-executable-javascript-in-images-th...

?

...men hvad så hvis javascript og plugins er deaktiveret fra start for hele den applikation, som skal køre dokumentet...?

Browsere har settings for rettigheder til javascript og plug ins. Det samme må Word have. Adobe Reader har. Eller havde, da jeg brugte det. Jeg slog det altid fra for dem, jeg installerede det hos. Det er en gimmick, og en farlig én af slagsen.

Der er ikke tale om en exe eller zip eller scriptfil. Disse vil helt sikkert vaere blevet fanget af de naevnte filtre.

Jeg tror grundlaeggende ikke du forstaar, hvordan moderne exploits virker. De ligner fra programmets synspunkt helt almindelige data, men data som faar programmet til at miste kontrollen, for i stedet at udfoere binaer kode som angriberne har anbragt det rette sted i hukommelsen. Linket jeg postede ovenfor burde kunne forklare det, ellers kan soegemaskinen Google (disclaimer: Google er en kommerciel virksomhed, og jeg kender folk som arbejder for dem) nok ogsaa hjaelpe, soeg fx paa "how buffer overflow attacks work".

Jeg har tidligere efterspurgt at V2 fulgte op på denne sag, så I skal have mange tak for i detaljeret at have dykket ned i den.

Denne tre uger gamle historie fra New York Times kan også anbefales til almindelig orientering i relation til artiklens emne:

http://www.nytimes.com/2015/01/04/opinion/sunday/how-my-mom-got-hacked.html

Jeg tror grundlaeggende ikke du forstaar, hvordan moderne exploits virker.

Åbenbart ikke.

Jeg har koncentreret mig om mest at kigge på serverside og ren clientside kode, da det er dér, jeg har mine hovedinteresser (sikkerhed for webmasters).

Men der forestår da stadig et ubesvaret spørgsmål?

Hvorfor klikkede vedkommende på den fil?

Hvorfor klikkede vedkommende på den fil?

Hvordan får man opgraderet 7-800.000 offentlige ansatte til it-niveau anno 2015 - billigt og helst gratis samt på et halvt års tid?

Vedkommende gjorde etellerandet som fik et program paa computeren til at bearbejde noget ondsindet data, som kom fra nettet. Det kan have vaeret nok bare at hente emails ned, eller at laese nyheder eller se Youtube. Malware kan i dag komme via bannerreklamer eller paa en million andre maader. Der er ingen som har styr paa det, og det giver ikke laengere mening at bebrejde brugeren, for vi kan alle blive ramt.

Bromium (ja dem igen) har lavet en detaljeret analyse af Cryptolocker mm: http://labs.bromium.com/2014/05/27/cryptodefense-the-ransomware-games-ha...

Jeg tror grundlaeggende ikke du forstaar, hvordan moderne exploits virker.

Åbenbart ikke.

Til gengæld kan jeg så godt indse vigtigheden af at patche.

For hvidlister, som jeg sværger til, er jo brugt udfra at man ikke bare kan slippe udenom hvidlisterne med en exploit i en applikation/browser eller selve OSet. Altså at de er kodet uden fejl.

Tjoh...

Det kan have vaeret nok bare at hente emails ned

Vis mail som ren tekst.

eller at laese nyheder eller se Youtube.

NoScript

Malware kan i dag komme via bannerreklamer

Adblock og Ghostery.

eller paa en million andre maader.

Det eneste, som jeg pt. mener er en risiko, efter at have læst de her kommentarer, er exploits i browser, emaillæser, dokumentlæser mv.

Det kan selvfølgelig også være nok så katastrofalt, hvis uheldet er ude.

Kan hænde, jeg skal tage et kig på min backup strategi. Og patching.

Hvordan får man opgraderet 7-800.000 offentlige ansatte til it-niveau anno 2015 - billigt og helst gratis samt på et halvt års tid?

Nu ikke for at pege fingre, jeg spurgte.

Man er nødt til at vide hvofor, for at kunne forebygge i fremtiden.

De fleste social engineering scams har nogle fællestræk. Hvis man bare lærer dem, så kan man undgå en hel del snask. Den viden, som kommunen nu får, vil kunne bruges fremadrettet, ved at spørge hvorfor det gik galt og analysere fremgangsmåden.

Men igen, man kan nærmest ikke forebygge hvad man ikke ved. Synes, V2 burde gå dem tættere på klingen. Måske kan andre også lære noget?

Først - det er ikke 'buffer overflow', men stack overflow der bliver udnyttet. Dernæst hvis man snakker zero day exploit, så er man ikke bedst fordi man (måske) er den første der opdager den (aktuelle). Da jeg (og en kammerat) høstede og analyserede 1000-vis af angrebsforsøg, uploadede jeg dem til virustotal, og mange - desværre formange - var ukendte på upload tidspunktet. Til dem der ikke ved hvad jeg snakker om: https://www.virustotal.com/ Så der er de lavpraktiske ting, hvor jeg kommer til at tænke på foråret 2004. Her startede malware via '.zip'-filer, og det gjorde at de IT-afdelingerne ukritisk spærrede for vedhæftede '.zip' filer - vel og mærket uden at give besked til hverken afsender eller modtager. Uheldigvis var det præcist på sidste frist for aflevering af materiale fra Accenture til FESD udbudet (hos KL), hvilket var helt oppe at ringe, da der var dagbøder for for sen aflevering. Jeg har tavshedspligt, men nu er der gået så lang tid, så det er vel ok. Budskabet er: TÆNK i stedet for ukritisk at spærre for 'alting' - det kunne måske være vigigt. Hilsen 'The 'ol man' PS: Rune Jensen ved måske hvem jeg er, men 'long time no see....'

Her startede malware via '.zip'-filer, og det gjorde at de IT-afdelingerne ukritisk spærrede for vedhæftede '.zip' filer - vel og mærket uden at give besked til hverken afsender eller modtager.

Som det første ville jeg nok tænke .rar :)

Det var nu heller ikke fuld spærring, jeg tænkte på.

Det var mere noget i retning af "denne fil er downloaded fra internettet, så sæt executable bit til 0". Og så kan kun admin ændre det.

Jeg kan så forstå, der er mere i det end som så, og at binær kode er en del sværere at hamle op med, end det scripting jeg benytter til dagligt.

Iøvrigt var det jo netop dine analyser af de angreb dengang, som for alvor gjorde mig interesseret i det her sikkerhed. Er man én gang ramt af Storm, så kæmper man selvfølgelig tilbage, he.

Desværre er V2 det eneste tilbageværende forum, som også omhandler sikkerhed på et vidst niveau, og som er tilgængeligt udenfor Facebook/Google+/andre sociale medier.

Jeg skriver "desværre", ikke fordi det er et dårligt forum, men fordi det er jo ikke som sådan minded på at diskutere egentlig kode eller grundigere analyser her.

Iøvrigt var det jo netop dine analyser af de angreb dengang, som for alvor gjorde mig interesseret i det her sikkerhed. Er man én gang ramt af Storm, så kæmper man selvfølgelig tilbage, he.

Ja det var en spændende tid, nærmest som en krimi, hvor vi gennem - vistnok - flere år 'vogtede' som en høg over vore logfiler. Ok - det var nok mest mig, men du lagde materiale til. Det har jo givet en afgrundsdyb viden om opbygningen af bot net, angrebsvektorer og ikke mindst den uhyggelige snedighed der bliver lagt for dagen. Jeg kan nævne mange ting, men et par af de mest snediger er: * 'namogofer', der blot prober for sårbarhed, og registrerer det. Efterfølgende udnyttes denne sårbarhed til diverse bot/spam/osv - UDEN det kan spores (i std logfiler). * 'One time only' - vil jeg kalde det. Her er der tale om ændring af rewrite rules i .htaccess, så første visitor får malware, næste en mere eller mindre uskyldig side, og efterfølgende en 200 OK. For statan det er snedigt, for det forhindrer enhver efterforskning efterfølgende. Hvis der findes nogle læsere der ved noget om tingene, så opsnappede jeg 'tingene' ved at have en proxytrace på inden 1. opslag. En sjov tid var det, Rune, og jeg ville ønske andre kunne opleve det samme, men vores tilfælde var et 'lucky punch', som ikke umiddelbart kan replikeres. Bortset fra det, så var det referer spam som triggerede vort projekt. Hvis du vil tænke tilbage, har jeg - startet på at lægge tingene ud igen på et subdomæne til en side jeg skal bruge på den lange bane: http://wopr.float4you.com/ Der er lidt hårdt kodede reference der mangler ændringer, men ellers.. Og jo, de services jeg havde kørende på min hjemmestrikkede (Linux) server, kommer ikke til at køre mere. Hyggeligt at 'snakke' med dig igen, men forvent ikke jeg vender tilbage, da jeg ikke 'gider' debatere her. Det var kun denne ene gang fordi jeg så dit navn. Kan du hygge dig og - live long and prosper. Hilsen 'the ol' man'

Stack overflow er i det mindste noget sludder i denne sammenhaeng. Et stack overflow (stakoverloeb) vil paa en moderne (ca. aar 1988 eller nyere) maskine udloese en page fault (sidefejl), som enten bare vil faa stakken til at vokse, eller afbryde programmet, hvilket er relativt harmloest (DoS). Et buffer overflow (hvor bufferen typisk ligger paa stakken) kan derimod trivielt udnyttes til at aendre control flow, ved at overskrive en returadresse som ligger paa stakken efter den overloebne buffer, og saa har man i princippet vundet. De fleste exploits i dag er dog mindre trivielle, men buffer overflow er et godt udgangspunkt for at forstaa hvad der sker.

http://stackoverflow.com/questions/1120575/what-is-the-difference-betwee... .

Fra artiklen:

Både Nordfyns og Gribskov kommune har haft adskillige anti-virusløsninger på plads. Både via en ekstern leverandør, der har scannet mails, og så har der været et lokalt anti-virusprogram i drift også. Men intet af det har altså hjulpet.

»Og så vil jeg nok skifte antivirus-leverandør. Jeg har indberettet det til vores spam- og antivirus leverandør ude i byen, at der nok er noget, de skal se på,« siger han.

Tag nu og find en malware og upload til virustotal.com, så vil du opdage: * Der er 55 produkter der undersøger. * Hvis du er 'front mover', vil du opdage at i nogle tilfælde er det produkt a der kender den, men ikke produkt b. Andre tilfælde er det omvendt. Budskabet er, at hvis der er tale om zero day exploit, er der INGEN anti-'ting' der hjælper, da det kræver opdagelse med efterfølgende udvikling af fingerprint, og til sidst implementering. Der er selvsagt inerti i den process, og det er netop det 'de' udnytter. Det siger jo sig selv af alt malware er 'short lived'. Så afslutningvis hjælper det intet at klandre din(e) leverandør(er), da de i sagen natur intet kan gøre. Du kan få et hint: 'NETVÆRKSDREV' - bruger man virkelig det i dagens Danmark..?? Det gjorde vi i '80-erne, men jeg ville nok vælge en anden (og mere sikker) infrastruktur. Med venlig hilden 'the ol' man'

Der vil jeg saa, om jeg saa for penge for det eller ej, paastaa at Bromium rent faktisk virker mod zero-days. Det er et relativt nyt produkt, og det kraever en moden IT-organisation at koere det, men det virker. Det siger jeg ikke for at saelge produktet, jeg er ikke saelger og tror faktisk ikke det kan koebes i Danmark, men for at understrege at det antivirus som folk betaler for i dag, paa ingen maade er state of the art, og at der findes loesninger paa det problem som kommunerne har oplevet i dag.

Ang. netvaerksdrev er de nok mere reglen end undtagelsen, og vel ikke mere sikre eller usikre end saa meget andet. Problemet er nok bare at man ikke udnytter de muligheder der for adgangskontrol, fordi det er for besvaerligt.

Budskabet er, at hvis der er tale om zero day exploit, er der INGEN anti-'ting' der hjælper, da det kræver opdagelse med efterfølgende udvikling af fingerprint, og til sidst implementering.

Jeg turde ikke skrive det, da jeg ved, hvor fanatiske især Windows brugere er med AV. Men nu skrev du det jo, så---

Det er, som om AV er det allerhelligste af alt, og det eneste, man (som Windowsbruger) interesserer sig for, når emnet falder på sikkerhed.

Når hvad det i virkeligheden er, er sidste stop på en hullet sikkerhed.

Jeg tror, samtlige Windows brugere har fuldstændigt tjek på, hvilket AV, som i øjeblikket "tager flest virusser". Som om, det er det vigtigste hvad ren statistik siger, når det kan ændres fra dag til dag.

I stedet for at indtænke AV som det grundlæggende, og AV skal vel integreres dybt i systemet for at virke...? ...så tænk de langt vigtigste guide lines først.

oWASP er ikke noget dårligt sted at begynde. Man kan f.eks. kigge på "principle of least priviledge" til en start, som hvidlister bla. går ind under.

Og den vigtigste antivirus sidder i dit hoved. Den mindst vigtige er din AV.

Så jeg forstår slet ikke denne fokus på AV som mirakelmidlet.

Selvom jeg bruger Linux og overhovedet ikke nogetsomhelst AV, så betyder det ikke, jeg ikke tænker sikkerhed. Jeg er ikke så arrogant, at jeg mener, Linux er sikker out-of-the-box.

Linux skal "sættes op" som alle OSer skal, og der findes malware til Linux også, så det er fuldstændigt de samme principper og guide lines for Linux som for Windows, hvis man vil sikkerhed.

Jeg vil vove den påstand, at en hvidliste slår en blacklist mange gange i sikkerhed. Ikke bare fordi den tager zero days, og iøvrigt fylder langt mindre.

Men hvad når der er fejl i AVen, det er jo software som alt andet? Hørt om exploits til AVer? De eksisterer...

Jeg turde ikke skrive det, da jeg ved, hvor fanatiske især Windows brugere er med AV. Men nu skrev du det jo, så---

Min erfaring med et effektivt klient sikkerhedslag er som følger:

Kort målrettet undervisning og uddannelse til brugerne. Brug primært kun de indbyggede sikkerhedslag der findes i OS’et AV skal altid opfattes som det sidste sikkerhedslag, hvis alt andet fejler.

Se også det seneste blog-indlæg fra Jakob Heidelberg, som giver rigtig mange gode råd.

Kort målrettet undervisning og uddannelse til brugerne. Brug primært kun de indbyggede sikkerhedslag der findes i OS’et AV skal altid opfattes som det sidste sikkerhedslag, hvis alt andet fejler.

Grundlæggende enig, men...

Hvis AVen giver lyd fra sig, så er det tegn på, du har et hul i din sikkerhed et andet sted, som ikke er lukket.

Og hvis den ikke giver lyd fra sig, så er den nok slået fra af malware...

Er der andre end mig der undrer sig over at der tilsyneladende bliver arbejdet med følsomme data direkte på et netværksdrev?

Hvorfor sker det ikke i et versioneret sagssystem?

Hvor i artiklen står der, at der er tale om følsomme data? Og hvor står der, at de ikke bruge sagssystemer?

Der skulle ikke gå mange dage før Cryptowall igen spammes ud mod vilkårlige modtagere. Vi har postet en blog hvor man kan se hvordan den ankommer: http://www.csis.dk/da/csis/blog/4577/

Bromium Micro-VMs

Jeg tror nu at Bromium Micro-VMs er noget lort, vil ikke købe det.

1) Tag backup så ofte som fysisk muligt. Det reducerer antallet af filer, der ikke er backup af, og det er jo kun dem, der er et problem (ud over indsatsen med restore).

Nej det er ikke kun de filer der er Krypteret som er problemet. Hvis programmet har adgang til personfølsomme data, så ved du ikke hvor de kan være sendt hen ?

Der kan samtidig være lagt andre inficeret filer på drev, som andre PC og bruger kan komme til.

Der kan være lagt bagdøre og virus ind på PC.

Hvis der er flere version af samme fil, hvor står man så juridisk, -> Min byggesag, gik i gennem, nej ikke alligevel. :-(

I Linux kan man bl.a. bruge rettighedseskalering, dvs at en bruger har almindelige rettigheder, men så kan bruge et program med setuid/setgid, der så giver adgang til fx at rette i data.

ELler man kan bruger SElinux til at styre hvilke programmer der må hvad med hensyn til skrivning læsning osv.

Min næse lugter at der er tale om Windows-systemer, men har Windows efterhånden ikke lignende mekanismer? Eller kan kommunerne vel gå over til noget mere sikkert, hvis de da prioriterer sikkerhed.

Der er også faciliteter i Linux til at undgå stack overflow (canaries mv), det er bare en option når man oversætter hele systemet, og det kan kommunerne da bare forlange at leverandøren gør.

Det står der ingen steder, men det virker åbenbart som at beskyttelse af de kompromitterede data har høj prioritet. Hvis der blot er tale om systemfiler, så kan man jo ignorere advarslen og gendanne systemfilerne med ro i sindet.

At føre brugerne over i forskellige VM's eller afgrænse friheden i brugen af maskinerne er, efter min mening, en helt forkert drejning. Jeg mener, som mange andre i denne tråd, at bedre uddannelse er vejen frem.

Vis mail som ren tekst. ... NoScript ... Adblock og Ghostery.

Det er også meget fint, for os der arbejder med computere til daglig. Men det er også et alvorligt kompromis med brugervenligheden.

Jeg bruger selv de nederste to, men "moderne" hjemmesider er efterhånden gennemsyret af scripts og 3. parts API's og ofte er der reelt indhold som ikke indlæses, hvis de rette domæner ikke tillades i NoScript (eller undtages fra AdBlock/Ghostery).

Jeg synes ofte det føles lidt som en ørkenvandring at finde ud af hvilken af mine extensions der f*cker en given hjemmeside op, og whiteliste det minimale antal domæner nødvendigt for at indholdet vises. Og selv når det er gjort, hvad nytter det så når det er "nødvendigt" at whiteliste googleapis.com, amazonaws.com og diverse CDN's? - Så er der alligevel ret frit spil.

At forvente at "almindeige" mennesker skulle være bevidste nok om IT sikkerhed til at installere sådanne extensions i første omgang, kompetente nok til at vide hvad skal whiteliste og ikke skal og ihærdige nok til ikke at deaktivere skidtet efter en uge - det synes jeg hverken ikke er realistisk, eller rimeligt at forlange.

Jeg er tilbøjelig til at give Jacob ret. Den moderne IT-trussel er blevet langt mere sofistikeret og subtil, til en grad hvor selv erfarne IT-folk kan have svært ved at skelne skidt fra kanel. Det giver ikke mening alene at give brugerne skylden.

Der er tale om professionelle folk i kommunerne, der har ansvar nok til at rette i kommunens persondatarelaterede filer. Og de er på arbejde, de skal jo ikke sidde og surfe på maskinen i arbehdstiden. I det mindste må de tåle at når de surfer, så er der begrænsninger så de ikke skader sikkerheden i de kommunale systemer, som de har adgang til.

At forvente at "almindeige" mennesker skulle være bevidste nok om IT sikkerhed til at installere sådanne extensions i første omgang, kompetente nok til at vide hvad skal whiteliste og ikke skal og ihærdige nok til ikke at deaktivere skidtet efter en uge - det synes jeg hverken ikke er realistisk, eller rimeligt at forlange.

OK, nu bliver jeg kynisk. Så fred være med thumbs down.

En computer er kompleks.

Det, at man smækker mus og en grafisk brugerflade på, er i virkeligheden uærligt i forhold til, hvad computeren består af og kan.

Det svarer lidt til, at flyve på autopilot, for en flyvemaskine er også ganske kompleks. Det kan de fleste nok.

Men hvad sker, hvis der opstår noget uventet, så man må slå autopiloten fra?

Hvor mange kan, reelt, flyve uden autopilot?

Vi må så bare konstatere, at "autopiloten" i Windows (antivirus) begynder ikke at være nok. Hvis du vil flyve den her maskine, er du NØDT til at få noget af den samme viden, som piloten har.

Enten det, eller styrte i døden uden autopilot.

Det eneste sted, jeg har set, hvor brugervenlighed og høj sikkerhed rent faktisk virker er Ubuntu Software Center.

Og her tænker jeg konceptmæssigt, for søgemekanismen er noget lort og den er sk... langsom (og grim). Men det er ting, som kan ordnes. Grundlæggende, så kombineres høj brugervenlighed med essentielle guide lines for sikkerhed.

Alle andre steder, der må man vælge. Vil du have sikkerhed? Eller vil du have brugervenlighed?

Dit valg.

Hold op hvor gad jeg godt at kunne redigere mit indlæg (efter 5 minutter) og rette tyrkfejl og blive færdig med at omskrive mine sætninger :-/

Jeg er tilbøjelig til at give Jacob ret. Den moderne IT-trussel er blevet langt mere sofistikeret og subtil, til en grad hvor selv erfarne IT-folk kan have svært ved at skelne skidt fra kanel. Det giver ikke mening alene at give brugerne skylden.

Så sæt dem på en Chromebook.

Ja for verdens største reklameselskab, nu med eget styresystem bliver jo aldrig hakket :)

Det var mere noget i retning af "denne fil er downloaded fra internettet, så sæt executable bit til 0". Og så kan kun admin ændre det.

Hvis jeg under Linux mailer en eksekverbar binary gennem f.eks. Thunderbird, så kan selve filen slet ikke eksekveres, men kun gemmes - og på den gemte fil er x-bitten ikke sat, så jeg skal selv sætte den før programmet kan afvikles.

Hvis jeg zipper filen, skal jeg først pakke den ud, hvorefter den godt kan køres direkte, dvs. x-bitten berøres ikke.

Begge del kræver dog en del aktivt arbejde fra min side, før det går galt.

Hvis jeg zipper filen, skal jeg først pakke den ud, hvorefter den godt kan køres direkte, dvs. x-bitten berøres ikke.

Det er vel en sårbarhed?

Hvis folk forsøger at executere filer fra ZIP i Windows, som det lader til at være tilfældet, så vil det jo også virke her.

Men det kan da ikke være så svært at indbygge i OSet, at hvis en ZIP er downloaded, så skal alle udpakkede filer herfra være non-executable.

Ja for verdens største reklameselskab, nu med eget styresystem bliver jo aldrig hakket :)

Nu var privacy ikke indtænkt i forslaget.

Alt har en bagside.

Bortset fra det med hakkingen, som jeg mener er mindre interessant, for kender sgu ikke nogle firmaer, som ikke har været hakket*).

Men der er jo så ikke nogen kendte teknologiske løsninger, som virker, det er vel konklusionen?

Så på trods af forventede thumbs down fra whoever, er mere viden vejen frem? Viden om hvordan piloten gør?

*) I stedet for at slås om, om det hedder cracking eller hacking, bruges her ordet hakking som et kompromis.

Det er vel en sårbarhed?

Ja, det kan man vel sige, men omvendt, så kræver det en bevist handling, nemlig at jeg først gemmer zip filen, dernæst unzipper den, og først da kan jeg eksekvere filen.

Hvis jeg bare lader filhåndteringen åbne arkivet inde fra mailklienten, kan den binære fil ikke afvikles.

Hvis folk forsøger at executere filer fra ZIP i Windows, som det lader til at være tilfældet, så vil det jo også virke her.

Jo, men så er vi tilbage til at det fordrer en kæde af handlinger (med mindre Windows tillader afvikling inde fra zip filen), altså har det ikke så meget med AV at gøre, men den der sidder 40 cm fra skærmen.

Den største svøbe er nok desværre at industrien har bildt folket ind at det hele er så nemt, men som du også selv er inde på, så er det nødvendigvis slet ikke tilfældet, da folk sidder med et kraftigt værktøj i hænderne, som de måske ikke forstår.

Måske tiden er moden til at man gentænker hele konceptet, det gør sig både gældende for hvad folk egentlig må med computere, og hvordan data gemmes.

Men det kan da ikke være så svært at indbygge i OSet, at hvis en ZIP er downloaded, så skal alle udpakkede filer herfra være non-executable.

Det skulle vælg være en option som systemadministrator bestemte.

Jo, men så er vi tilbage til at det fordrer en kæde af handlinger (med mindre Windows tillader afvikling inde fra zip filen), altså har det ikke så meget med AV at gøre, men den der sidder 40 cm fra skærmen.

Jeg gad altså godt se, hvad der stod i den mail, som fik vedkommende til at åbne en zipped fil.

Kan ikke forstå, vi ikke må få det at vide.

• Det er nu bevist, man i dette og lignende tilfælde ikke kan stole blindt på antivirus
• Stig skriver, det kan havbe fatale følger bare at blocke ZIP-filer

Så eneste jeg kan se er, en analyse af den mail som blev afsendt og så forsøge at finde nogle regler udfra den, som man kan bruge i fremtiden.

PS. Jeg lagde mærke til, at mailen blev afsendt lige omkring frokost. Dvs. man har ganske kort tid til at reagere på mailen (i frokostpausen), og mailen har sikkert i sit indhold haft en tidsfrist af en art for en eller anden handling, som involverede unzipping af filen. Scams indeholder næsten altid meget korte tidsfrister, som gør det sværere at tænke sig om.

Ifølge nedenstående artikel ser det ud til at være rimelig enkelt at løse problemet. Forudsætter naturligvis at it-politikken tillader whitelisting af udgående trafik.

http://community.spiceworks.com/topic/606109-cryptowall-firewalled

Det er nu bevist, man i dette og lignende tilfælde ikke kan stole blindt på antivirus

Det har man da kendt til længe ?

Det giver vel også sig selv ?

Bandit udvikler skadelig software og spreder den. Der går noget tid (muinutter, timer, dage, måneder, år) før den bliver kendt. Antivirus producent udvikler genkendelse af den skadelige software, så der kan beskyttes I mod den.

Sådan har det da været siden Antivirus programmerne fødsel...

Jeg gad altså godt se, hvad der stod i den mail, som fik vedkommende til at åbne en zipped fil.

Er der ikke noget om at Windows pr. def. skjuler filernes extension nu om dage... og gør andre MS programmer det også ? Så ved folk jo slet ikke hvilken fil de har fået, de klicker bare og regner med / håber på at OS'et klarer det hele for dem.

At forvente at "almindeige" mennesker skulle være bevidste nok om IT sikkerhed til at installere sådanne extensions i første omgang, kompetente nok til at vide hvad skal whiteliste og ikke skal og ihærdige nok til ikke at deaktivere skidtet efter en uge - det synes jeg hverken ikke er realistisk, eller rimeligt at forlange.

Hvorfor ? Det er vel som med kørekort og truckcertifikat ?

Så ved folk jo slet ikke hvilken fil de har fået, de klicker bare og regner med / håber på at OS'et klarer det hele for dem.

Det gør de jo som hovedregel også. I hvert tilfælde for de operativsystemers vedkommende, hvor man bliver præsenteret for en advarsel om, at en eksekverbar fil er downloadet fra internettet og derfor som udgangspunkt kun bør afvikles, hvis man har tillid til afsenderen.

Visse operativsystemer er endda sat således op, at det kræver opsætning af en eksplicit undtagelse eller ændring af politikken på området, før man kan få lov at afvikle usignerede eksekverbare filer hentet fra nettet.

Men et sådant operativsystem har antageligvis ikke været i brug de pågældende steder.

Er der ikke noget om at Windows pr. def. skjuler filernes extension nu om dage... og gør andre MS programmer det også ?

Ved ikke, kan ikke huske Windows lige i dén del. Min Linux viser så altid filendelser, tror ikke jeg kan ændre det. Her kan jeg til gengæld bruge CTRL+H for toggle on/off skjulte filer, Windows må ha noget lignende for begge dele.

Og så højreklik på filen i arkivet, vælg "settings", og tag udover filendelsen og skjulte filer også størrelsen, creation date, rettigheder mv. Måske er der andre ledetråde til, det kan være malware. Inden man kører den, mener jeg.

Fx. er den annonceret i mailen som en .wav-fil på 27kb, så nytter det ikke noget, at arkiv-visning viser den som en .exe.

Det har man da kendt til længe ?

Jep

Det giver vel også sig selv ?

Det er jo min pointe. Det giver IKKE sig selv for rigtigt mange Windows brugere.

Selv når det er logisk, AV ikke fungerer, så går de mere op i statistik for et eller andet latterligt AV, end at bruge deres tid på at kigge lidt på de professionelt anerkendte guide lines (oWASP er en begyndelse), som giver dem så helt enormt meget bedre sikkerhed end nogetsomhelst AV kan.

Det hele drejer sig om så automatisk og brugervenligt som overhovedet muligt og så lidt tankevirksomhed som overhovedet muligt.

De gider på ingen måde sikkerhed, hvis de kan undgå det. HELLER ikke selvom det er logisk de burde.

De gider ikke alt "bøvlet". Hvilket er årsagen til, at folk hadede UAC. Som så til gengæld er det absolut eneste gode jeg kan sige om Vista.

Men det, som man gerne vil opnå fra producenternes side, høj sikkerhed, vil aldrig nogensinde kunne spille sammen med brugernes krav til høj usability, automation og nul tankevirksomhed. Det kan bare ikke lade sig gøre at få begge dele samtidig, og sådan er det.

Men man kan jo også altid lave en restore, ikk.

http://www.google.com/safebrowsing/diagnostic?site=google.com

Jeg kan ikke undgå at studse lidt over kommentarerne omkring admin vs non-admin rettigheder. Jeg tror mange glemmer at de interessante data ligger i brugerkontekst (f.eks my documents, eller på netværksdrev) hvorfor admin-rettigheder ikke er nødvendige. Du kan jo fint eksekvere kode i den session applikationen kører i uden de store armbevægelser. Er din browsersession startet i brugerkontekst, så burde der ikke være noget i vejen for at en kodestump kan få adgang til de samme data som din bruger. Det som kodestumpen ikke kan (uden at udnytte en sårbarhed for at eskalere sine privilegier) er at overleve et reboot af enheden. Jeg har i nogle år forsøgt at få såvel Microsoft som førende antivirus producenter til at illustrere eller dokumentere at det at fjerne admin rettigheder rent faktisk øger sikkerheden eller mindsker risikoen ved exploits. Det har de ikke kunnet til dato. Fordelen ved non-admin er at brugerne så ikke selv kan "komme til" at installere eller eksekvere applikationer der kræver særlige rettigheder til f.eks systemfoldere - men det er noget seriøst skidt at brugerprofilen indeholder det der i virkeligheden er målet for cryptolocker/wall og lign. stykker malware. Just my two cents.

Der vil jeg saa, om jeg saa for penge for det eller ej, paastaa at Bromium rent faktisk virker mod zero-days. Det er et relativt nyt produkt, og det kraever en moden IT-organisation at koere det, men det virker. Det siger jeg ikke for at saelge produktet, jeg er ikke saelger og tror faktisk ikke det kan koebes i Danmark, men for at understrege at det antivirus som folk betaler for i dag, paa ingen maade er state of the art, og at der findes loesninger paa det problem som kommunerne har oplevet i dag.

Respekt for et (for en gangs skyld) seriøst indlæg - selvom vi ikke er enige.

Der hvor du tager fejl, er hvis du tror der findes 'anti-ting' der kan finde zero-days exploits.

'Svinene' er faktisk meget intelligente, og alt dette malware er ligesom fygesne - det mindste hul og de skal nok finde vej.

Nu har jeg så angrebet servere (altså analyse), som jo er roden til alt ondt, og set i det virkelige liv hvilke angrebsvektore der bliver brugt. Du vil blive chokeret hvis du undersøger det.

Men DISCLAIMER: Man kan ikke fremprovokere en 'honeypot', så min viden er baseret på Hr. Rune Jensen's hjemmeside som på en eller anden måde tiltrak bot'er osv.. som fluepapir. Ikke een eneste dag uden angrebsforsøg (blind attack's), så jo en spændende tid som også Rune husker. Hvis du (eller andre) er interesserede i at vide hvorcan malware udbreder sig på servere, har jeg lagt nogle billeder og playbacks ud på min hjemmeside. Kig under: * http://wopr.float4you.com/xoomer/wopr.xoomer.playbacks.asp Her har jeg genskabt den brugeroplevelse som man oplevede det - dvs. alt er fra det virkelige liv - bortset fra endpointet, som er et lille hjemmestrikket program. I det virkelige liv ville man blive inficeret med malware. * http://wopr.float4you.com/xoomer/wopr.xoomer.pictures.asp Det er blot screendumps, da jeg ikke gad lave flere eksempler, men viser hvad brugerne var udsat for. Metodikken er den samme for alle med multiple layers som beskrevet her: http://wopr.float4you.com/storm.monitor/rationale.asp Som nævnt har hr. Rune Jensen lagt 'data' til, så han skal også have credit for sin medvirken, selvom han måske ikke er lige så teknisk stærk. Uden hans side (og utallige angrebsforsøg) havde jeg aldrig fået den dybdegående viden om 'internettets tilstand'. Og hr. Jacob - vi har til dels samme holdning. Jeg er heller ikke interesseret i at score penge, men at hjælpe til at aflive alt det der skrammel. Det kan du se ved selvsyn, da min hjemmeside er fuldstændig anonym, og indeholder kun hjælp til selvhjælp. Live long and prosper. Hilsen 'the ol' man'

Man kan ikke fremprovokere en 'honeypot'

Nej, det kan jeg se nu.

Alt jeg har fået igennem mere end 3 år på den nye side er gammeldags, 3. rangs spam botscript. Ingen SQL-angreb, ingen referer spam, ingen human attackers, som der også var i rigt mål på den gamle.

Den tiltrak vitterligt også det nyeste af det nye dengang, særligt Ukrainere og Israelere, og det var absolut ikke amatører som dem jeg har nu.

Hvis man så også lige indtænker, deres angreb på min hoster også.

Blocke standard spam?

isEvilBot = in(UserAgent,"MSIE 6.0") AND Not(in(AcceptEncoding,"GZIP"))

Done.

Jeg har tre... tre kinesiske spam botnets kørende med den samme elendige botkode.

Some good times are to be remembered, they do not come back.

Der vil jeg saa, om jeg saa for penge for det eller ej, paastaa at Bromium rent faktisk virker mod zero-days.

1. Hvad er forskellen på Isolation som Bromium kalder det, og Sand boxing?

2. Bromium er software. Som alt software, har det fejl. Hvad sker, når det får mere succes, brugerbasen bliver større, og det bliver interessant at finde huller i Bromium, så man kan undslippe isolationen?

Jeg kan godt se idéen. Og kan også sagtens forestille mig, den er smartere end antivirus. Men jah, altså... Jeg er ikke så meget for at installere 3. parts sikkerhed. Jeg har altid syntes, at sikkerheds "overlay" må være mindre sikkert, end hvis det er indbygget helt fra start-

Det er ikke det rette sted at diskutere, da alle 'ved bedre'. Jeg har ikke energi til at diskutere med 'bedrevidende' folk. Slut herfra da det er umuligt at lsve en objektiv diskussion. MVH 'the ol' man'.

Micro-VMs er en form for sandboxing, men paa et lavere niveau end sandboxes saasom Sandboxie eller Chrome's sandbox. Disse sandboxes kan beskytte mod fejl i applikationskoden, men ikke mod fejl i det underlaeggende OS (fx Windows systemkald.) Micro-VMs emulerer hele stakken, svarende til at bruge fx en ny VMware VM for hver eneste attachment eller website der aabnes, men dog med en mere endsidig fokus paa sikkerhed frem for features. Dvs. der emuleres ikke mere hardware end absolut noedvendigt, og Bromium har nogle af verdens skarpeste sikkerhedsfolk og 3rd party labs til at proeve at finde huller i emuleringen (deres skarphed kan dokumenteres ved at vi har haft mange talks paa DefCon og Black Hat og den slags steder). Ingen software er perfekt, heller ikke Bromium's, men det interface vi skal emulere (basalt set bare x86 fremfor hele Windows APIen) er velkendt og veldokumentet, og derfor har vi en rigtig god chance for at forstaa hvad der foregaar og forhindre sikkerhedshuller. Vores teknologi bygger paa bl.a. Xen, som har en ret god sikkerheds-track record, da det bl.a. er grundlaget for Amazon EC2. Begraensningerne i vores teknologi er at vi ikke altid kan vaere med paa det seneste nye, fx accelereret WebGL som grundlaeggende er en sinddsyg ide fra et sikkerhedssynpunkt, men vores kunder foretraekker generelt hoej sikkerhed frem for a have de nyeste bling-bling features.

Mere om problemer med Sandboxes her: http://blogs.bromium.com/2013/07/27/the-final-sandbox-fail/

Stack overflow er i det mindste noget sludder i denne sammenhaeng. Et stack overflow (stakoverloeb) vil paa en moderne (ca. aar 1988 eller nyere) maskine udloese en page fault (sidefejl), som enten bare vil faa stakken til at vokse, eller afbryde programmet, hvilket er relativt harmloest (DoS).

Kære Jacob. Det var ordkløveri, eller udvanding eller hvad du kalder det. FØR din tid hed det stack overflow eller buffer overrun, just that - no hard feelings. Men nu har jeg arbejdet med (stack machines(HP)) siden '80 så...

deres skarphed kan dokumenteres ved at vi har haft mange talks paa DefCon og Black Hat og den slags steder

Links til de talks på youtube?

Fx https://www.youtube.com/watch?v=RM1oBlFX5UQ

flere her: https://www.youtube.com/results?search_query=rafal+wojtczuk

og her: https://www.youtube.com/results?search_query=jared+demott

Og om Bromiums teknologi: https://www.youtube.com/watch?v=4eAV-4XgGAk

Jeg har kigget på nogle af videoerne, men mangler en real life demonstration af, at det ikke ødelægger brugervenligheden og samtidig at man kan køre alt hvad man kan forestille sig af malware i sådan en Bromium isolation.

Det lyder også som om, jeres teknologi er ret hårdt baseret på Intels hardware sikkerhedsteknologi, og alt andet lige, når Intel udvikler noget, så går det nok næppe Microsoft forbi, eh. Så hvis Microsoft udnytter den samme teknologi, indbygget i OSet, så vil i vel stå uden arbejde...

Lad mig sige det sådan at hvis jeres produkt virker som i reklamerer med, så er det da nok en del bedre end at bygge white lists selv. Selve idéen bag virker reel nok i teorien, jeg mangler bare noget konkret bevis.