TDC ændrer i mail-filter efter ransomware-angreb mod kommuner

Nordfyns Kommune, der i denne uge blev ramt af ransomware, anvender en mail-filter løsning fra TDC. Nu har TDC ændret i filteret for at undgå lignende angreb.

Som bekendt har flere danske organisationer - blandt andet Nordfyns Kommune - i denne uge ufrivilligt fået krypteret en stribe filer som følge af et vellykket ransomware-angreb i form af en vedhæftet og ondsindet fil i en mail.

I Nordfyn Kommunes tilfælde blev filen ikke stoppet, inden den nåede frem til medarbejderens indbakke, selvom kommunen anvender en løsning fra TDC, der netop skal bortfiltrere farlige email.

Kort efter denne uges ransomware-angreb begyndte i mandags, har TDC ændret - tirsdag formiddag - i virksomheds antivirus-filter, så risikoen for, at noget lignende gentager sig, skulle være mindre.

Som Version2 tidligere i dag har fortalt, har malwaren i mailen til Nordfyns Kommune været skjult som en eksekverbar fil pakket ind i flere zip-filer. Og det har haft betydning for, hvordan mailen er blevet håndteret af TDC’s filter.

Læs også: Zip-i-zip-fil sneg sig uden om kommunale antivirus-løsninger

Hvis der er vedhæftet en eksekverbar fil direkte i en mail, eller hvis der ligger en eksekverbar fil i 1. niveau af en zip-fil, så bliver filen ikke alene scannet for virus, men den bliver også - for en sikkerheds skyld - holdt tilbage i 24 timer. Ligger den eksekverbare fil i en zip-fil i en zip-fil, bliver den stadig scannet, men ikke holdt tilbage.

»Vi scanner eksekverbare filer, selvom de ligger i en zip-fil i en zip-fil, men filen er ikke blevet sat i karantæne, da det netop var en indlejret zip-fil,« siger sikkerhedschef i TDC Lars Højberg.

Og i første omgang har de antivirus-filtre, TDC benytter, ikke opdaget noget fordækt i filen til Nordfyns Kommune.

Var mailen med zip-filen, der indeholdt zip-filen med den eksekverbare fil, derimod blevet sat i karantæne i 24 timer, så medgiver Lars Højberg, at der ville være en vis sandsynlighed for, at både et eller flere af TDC's antivirusprogrammer, plus eventuelle lokale beskyttelsesprogrammer, var blevet opdateret, så den ondsindede fil kunne være opdaget i tide.

»Det ville selvfølgeligt have øget sandsynligheden for, at den ville kunne være blevet fanget,« siger han.

TDC har i forlængelse af denne uges ransomware-angreb ændret procedure, så zip-filer, der indeholder andre zip-filer, ligeledes bliver sat i karantæne i 24 timer.

Læs også: Sådan blev kommuner udsat for ransomware-angreb

Det her er jo en service, I tager penge for. Det virker lidt nemt, at TDC’s filter har kunnet snydes ved at lægge en eksekverbar-fil i ind i zip-fil i en zip-fil. Hvad siger du til det?

»Du har ret i, at sandsynligheden for, at den ondsindede fil var blevet fanget havde været større, hvis en mail med en zip-fil i en zip-fil ikke kun var blevet virus-scannet, men også sat i karantæne i 24 timer inden ny scanning. Og det kan jeg kun beklage. Nu er der rettet op på det,« siger Lars Højberg.

Tilbage i Nordfyns Kommune er it-chef Per Stenaa ved at tage sine sikkerhedsforanstaltninger op til revision.

»Jeg har været tilfreds indtil i mandags,« siger han.

Nu er Per Stenaa i dialog med KMD omkring kommunens firewall-opsætning, og så har han sat en proces i gang for at få skiftet den lokale antivirus-løsning. Og så har han rettet henvendelse til TDC i direkte forlængelse af angrebet i starten af ugen, men han har endnu til gode at høre fra virksomheden.

»Og så forventer jeg at få en tilbagemelding fra TDC i forhold til deres tilgang til det. Det mangler jeg at få.«

Når tilbagemeldingen fra TDC kommer, vil han vurdere situationen derfra.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Ja det er jo en god forretning at sælge antivirus samt firewall løsninger.

Når man ikke får virus, så er det fordi det virker ?
Hvis man så får virus, så er det ikke vores fejl, og vi har ingen erstatningsansvar.

Jeg sælger også et midler mod forkølelse virus, det skal bare betales også tages tages regelmæssigt. Hvis i så bliver forkølet, så er i bare uheldig, 1 ud af 10 får det alligevel. Men jeg har også et middel, som jeg også sælger så det går hurtigere over.

Viser bare at antivirus er TOTAL værdiløs, og faktisk farligere ind ingen at have, da mange så tror sig beskyttet. Den eneste som antivirus er god for er sælger der af, og CPU og Hardware producenter som også får en del salg, når Antivirus programmer viser sig mere skadeligt ind virus.

Men her hvordan man fjerner det.

https://www.youtube.com/watch?v=bKgf5PaBzyg

  • 8
  • 1
Thomas Hedberg

Pånær måske bekvemmelighed, så har jeg svært ved at se begrundelsen for at brugerne kan modtage den type af filer i første omgang. Jeg ville istedet blokere totalt for disse filtyper.

  • 1
  • 0
Henrik Gammelgaard

Jeg kender ikke systemerne, men engang var det relativt normalt at nogle PDF printere ikke kom zlib/deflate paa chunks i PDF filer. Jeg kunne formode at en kommune sender en del af disse rundt - omend jeg intet kendskab har dertil. Hvis det er tilfaeldet - saa kunne det vaere praktisk at man kunne modtage zip filer.

Samme hvis man f.eks. har agencies der levere assets og hvor der ikke bruges vaerktoej paa begge sider til det, eller hvis en person uden for mail system sender en log fil... etc.

  • 0
  • 0
Bent Jensen

Pånær måske bekvemmelighed, så har jeg svært ved at se begrundelsen for at brugerne kan modtage den type af filer i første omgang. Jeg ville istedet blokere totalt for disse filtyper.


ZIp eller Exe ?
ZIP bruger du jo typisk også til at gemme exe. Hvis du ikke bare selv ændre extension, når du vil sende f.eks. via Gmail.
I alle nyere versionen af windows er extension gemt, på kendte filer som default, for ikke at forvire bruger.

Det er jo ikke kun exe filer, det er også Jar, bat og en helt masse andre filer som er linket til et program, som måske også kan afvikle ondkode.

Hvis du så også blokere for alle disse filer, kan du jo heller ikke modtaget opdateringer, heller ikke sikkerheds opdateringer, som jo også er vigtigt.
Alt efter hvordan du har udrullet maskinerne.

Men hvis man øger sikkerhed så vil arbejdsgangen blive svære og måske dyre, og der skulle bruges flere penge på EDB for at holde PC-er opdateret og fungerende centralt.
Noget som der også skal bruges penge på, og hvorfor skal man det, der sker jo ikke noget. Andet at man kommer til ved et uheld at sende et par 1000 personfølsomme oplysninger til de forkerte. Men det koster jo heller ikke noget, hverken i bøder, eller fyringer.

Det undre mig også at man har skrive adgang til 40-50.000 filer ? Hvad hvis man kom til at putte dem i papir kurven ved en fejl, eller fik dem flyttet rundt ved en fejl. Det sker for alle.

  • 5
  • 0
Michael Lytzen Hansen

Hvorfor skal de altid køre Windows? Hvorfor kan de ikke bare køre Linux eller Unix? Så ville det være piece-of-cake at forhindre nogen i at gøre modtagne filer eksekverbare. De ville være betydeligt mindre udsat for angreb.
Windows har endnu ikke et permission system som er særligt udviklet. Jeg kan faktisk ikke lige på stående fod komme i tanke om et OS med et mindre udviklet permission system end det i Windows. Derfor undre det mig meget, at man er så forhippet på at bruge windows.
Det ville i øvrigt på sigt også være ufatteligt meget billigere at skifte til Linux/Unix..

  • 2
  • 4
Rune Jensen

Hvorfor kan de ikke bare køre Linux eller Unix? Så ville det være piece-of-cake at forhindre nogen i at gøre modtagne filer eksekverbare.

Jeg har kigget på Linux file perissions og folder permissions.

Jeg kan ikke se nu, det er så enkelt.

Så vidt jeg nemlig kan læse, så er der ikke nogen indstilling, som hedder "alle filer i denne folder skal være non-executable, uanset hvad"

Og hele idéen må jo være ikke direkte at bloke disse filer. De skal stadig kunne modtages, gemmes, udpakkes og læses, idét ZIP er ikke et ondartet værktøj og som andre er inde på, så er der begrænsninger i MB på hele upload, hvor kompression gør nytte.

De må bare ikke kunne executeres, kun udpakkes og "læses" i en dokumentlæser.

Og jeg har nu kigget på det problem rigtigt længe, jeg kan simpelthen ikke se løsningen.

Som sagt, bare det at blokere for selve ZIP-filerne, det vil i mine øjne ikke være rigtigt. Det bliver starten på en lang, lang blacklist, som konstant skal holdes opdateret. Det er nødt til at have med rettigheder at gøre et eller andet sted til executables.

  • 0
  • 2
Thomas Hedberg

Exekverbare filer (herunder også andre typer som .scr, .bat, .com, .cmd osv). Jeg ser ingen grund til at blokere .zip filer medmindre de indeholder ovenstående.

Jeg vil formode at de fleste kommuner styrer deres desktops centralt med hensyn til opdateringer og dermed ville jeg tro at de færreste kommunale brugere normalt ville have brug for at modtage disse typer filer via e-mail.

Men når det er sagt, så skal den slags beslutninger tages udfra organisationens behov og risiko villighed.

Iøvrigt er jeg rene personligt langt mere fan af whitelists fremfor blacklists.

  • 0
  • 0
Michael Lytzen Hansen

Nu ved jeg ikke hvor du har læst det henne, men jeg tror måske ikke at du har læst det helt færdigt. I Linux/Unix er der forskel på, om du har læse/skrive/eksekverings adgang, og hvem der har disse. Man kan sagtens have en fil man godt kan læse, men ikke eksekvere. Permission er ikke bare permission. Det har man Windows folk ofte svært ved at forstå, og det er der nok ikke noget at sige til.
Som du selv skriver, skal zip filer osv ikke blockes, og det har jeg heller aldrig ment. Der er jo heller ikke noget skadeligt i af unzippe en fil. Det er jo ikke zip filen som eksekveres, men unzip toolet, og det er noget andet.

Som udgangspunkt, så er filer man henter fra nettet ikke eksekverbare, selvom det er en eksekverbar fil man henter. Man skal så selv gøre den eksekverbar - hvis man har rettighed til det - og kan finde ud af det. En offentlig myndighed skal vel aldrig - nogensinde - overhovedet modtage noget der kan eksekveres.. Hvad skulle det være?

  • 2
  • 1
Thomas Hedberg

Svaret vedr. zip/exe var til Bent.

Prøv at gå ind i advanced i settings for en folder eller fil på Windows og du vil se du har samme muligheder med at sætte henholdsvis read, execute, write og et hav af andre typer (der er forskel på read og execute). Disse kan sættes for bruger, grupper m.m. Systemet er faktisk meget fleksibelt, men default er så desværre at execute er slået til som standard.

Desværre er der ikke særligt mange der benytter sig af disse muligheder i deres standard opsætning af klienter. Hærdning bliver somregel ofret på "lavest mulig pris/tilbud's alteret" eller fordi administratoren simpelthen ikke er bekendt med mulighederne.

Vi er helt enige vedr. offentlige myndigheder (og iøvrigt mange normale firmaer). De er meget få grunde (om nogen) til at skulle modtage filer på den måde der skal eksekveres på deres desktops.

  • 2
  • 0
Christian Nobel

En setting på directory niveau og du kan ikke eksekvere filer i et katalog på Windows.

Så simpelt kan det jo ikke sættes op - det er jo ligegyldigt om der ikke kan eksekveres filer i databiblioteket ("fælles drev"), da programmet der afvikles efter udpakning (som jo kan være et vilkårligt sted) jo ikke nødvendigvis kører i databiblioteket, men udelukkende manipulerer med filerne som et hvilket som helst andet program legitimt kan gøre det.

  • 0
  • 0
Thomas Hedberg

@Christian, Nej, du skal jo rette det mere end et sted. Men hvis du blokerer exekvering i f.eks %temp% hvor jeg formoder zip udpakkeren gemmer som default kommer man langt. Man kan også overveje en masse andre kataloger for dybest set er der få (om nogen) grunde til at tillade andre kataloger end dem under /program files og /windows

Hvis man har en meget homogen og/eller stram styring af sine klienter kunne man også overveje Applocker eller lign. whitelisting teknologier.

  • 1
  • 0
Rune Jensen

Som udgangspunkt, så er filer man henter fra nettet ikke eksekverbare, selvom det er en eksekverbar fil man henter.

Jo - men Læs Cristian Nobels test på Linux. Filen beholder execute bit sat, hvis den zippes før afsendelse, og ved modtagelse gemmes på disken.

Det er jo fuldstændigt som det i artiklen beskrevne scenarie på Windows, så den kan direkte kopieres til et lignende Linux-attack.

Og det, som alle de her Linux nørder (inklusive mig selv) altid har sagt om, at Linux brugere har højere viden, den gennemhulles vel, hvis Linux rulles ud i stor stil i en organisation som en kommune.

Det er jo så de samme mennesker, som sidder bag computeren, om det er Linux eller Windows, med de samme krav til høj brugervenlighed, og med den samme (manglende) viden omkring phishing.

  • 0
  • 0
Michael Lytzen Hansen

Man bør nok override unzip/tar commando med noget i stil med:
for file in tar -tzf $0 ; do tar -xzf $0 $file; if [ -f $file ]; then chmod a-x $file; fi; done
Når man så pakker sit arkiv ud, så fjernes exec bittene fra alle filer.
Måske er der en smartere metode?

Hvilke muligheder har min i windows?

  • 2
  • 1
Thomas Hedberg

Hvis jeg har sat en deny execute på et bibliotek og udpakker en .zip fil med en .exe fil i det bibliotek under Windows, så får brugeren en fejl når de forsøger at starte .exe filen. Har ikke lige testet om det gælder mange af de andre typer filer der kan startes - herunder .scr, .bat, .com osv.

Jeg prøvede med den indbyggede unzipper, WinRar og 7-Zip.

Men en Linux kontra Windows krig er slet ikke interessant. Min holdning er at systemerne ikke er bedre end administratorerne og brugerne og der kan være mange gode grunde til at bruge begge systemer med deres respektive fordele og ulemper. Men de skal begge sættes rigtigt op og hærdes så det ikke er de allermest simple ting der kan slippe ind.

  • 3
  • 0
Christian Nobel

Måske er der en smartere metode?

Problemet er bare at det er fixes der næsten er umulige at håndtere i en større organisation.

Og som sagt før, PC'en (uagtet OS) er vor tids store svøbe, for på den ene side vil man gerne have det så fleksibelt, "smart", brugervenligt osv., på den anden side kæmper man med at man gerne vil have styr på data, dels fsva. tilgang og brug, dels sikkerhed mod ødelæggelse.

Det er en frygtelig svær balancegang, og når man så også påtænker at man har givet folk et voldsomt værktøj i hænderne, som de sjældent forstår, så er der altså ikke nogen nemme løsninger.

Måske kunne det danne baggrund for overvejelser om hvorvidt hele den filbaserede struktur (hvor alt er filer) vi baserer ting på, overhovedet er den rette tilgang.

  • 1
  • 0
Thomas Hedberg

Problemet er bare at det er fixes der næsten er umulige at håndtere i en større organisation.

Godt brug af Active Directory og Group Policy afhjælper i Windows miljøer kan afhjælpe en meget stor del af disse udfordringer, men bruges alt for lidt.

Men du har helt ret i at det er en balance gang.

  • 1
  • 0
Rune Jensen

Men en Linux kontra Windows krig er slet ikke interessant. Min holdning er at systemerne ikke er bedre end administratorerne og brugerne og der kan være mange gode grunde til at bruge begge systemer med deres respektive fordele og ulemper. Men de skal begge sættes rigtigt op og hærdes så det ikke er de allermest simple ting der kan slippe ind.

Jeg tror ikke, du skal lægge så meget betydning i den overskrift, du svarer på længere, så langt nede i diskussionen. Folk svarer jo og giver mulige løsninger både fra Windows og Linux perspektiv, så...

Jeg er også enig i, det helt centrale må vel være at finde en generisk løsning, som man så evt. kan tilpasse sine evt. systemer og brugere-

Helt lavpraktisk, så er den første, helt generiske regel, som jeg altid bruger, at tage en google (man kan såmænd nok også binge eller yahooe) på den del af teksten i mailen, som står mest ud, gerne hvis der er stavefejl.

Jeg har brugt den metode masser af gange, og jeg har nærmest altid fundet svar på, om denne eller hint email nu er en scam. Altså, når man får 2000 svar med denne her sætning i bold i søgeresultatet, så er den jo nok ikke ukendt... og den enkle regel kan man jo så passende lære sine brugere.

Men for admin, den, som bestyrer opsætning af systemet, der må man også kunne lave en slags tommelfingertregel, sådan at hvis brugerne kvajer sig, så er der i det mindste en chance for, de ikke executerer hvor de ikke skulle. Uanset så systemet/OSet.

  • 0
  • 0
Martin Nielsen

Jeg har svært ved at forstå, at det er nødvendigt at få vedhæftede filer ind på medarbejderens computer. Hvis en borger sender en ansøgning ind, med personlige oplysninger, hvorfor skal den fil så først gemmes på medarbejdercomputeren og så uploades tll det rigtige system?

Jeg tænker umiddelbart at vedhæftede filer burde blive gemt i en web-service, og at de derfor vil blive erstattet med et link til den web-service. Her vil det så være muligt at læse dokumenterne, i web-browseren samt få oplysninger om fil-typen og det vil være muligt at fjerne header for eksekverbare filer, så de vil blive vist som tekst i stedet.

Og når en fil fra borgeren, eks. et dokument eller en PDF skal gemmes, burde det være muligt at sende den til systemet via et sags-id eller lignende.

Jeg er klar over at nogle kommuner lider under besværlige systemer, og indtil de bliver erstattet kan det være nødvendigt at downloade filerne og uploade dem manuelt til systemerne. Men denne sag er et godt eksempel på, at kommunerne skal til at tænkte nyt, når det kommer til sikkerhed. Og på samme måde som det er muligt at scanne e-mails for vira og andet utøj, vil det også være muligt at pille vedhæftede filer ud og erstatte dem med et link til en web-service, hvilket kunne øge sikkerheden i fremtiden.

  • 2
  • 0
Peder Mikkelsen

Michael Lytzen Hansen skrev:

> Hvorfor skal de altid køre Windows?

Typisk er det på grund af noget fag-software som kun laves til Windows og manglende lyst til at lave det bestående om.

> Hvorfor kan de ikke bare køre Linux eller Unix? Så ville det
> være piece-of-cake at forhindre nogen i at gøre modtagne filer
> eksekverbare.

Det er faktisk også ret nemt på Windows, hvis ellers ledelsen tør træffe beslutningen om at begrænse brugeren ved ikke at tillade lokal administrator-rettigheder og så bruge det indbyggede Software Restriction Policies. Læs eventuelt mere om det her:

https://technet.microsoft.com/en-us/library/bb457006.aspx

Det virker, selv på Windows XP, men forudsætningen er at man kender hvert enkelt program som skal afvikles og hvidlister det.

> Derfor undre det mig meget, at man er så forhippet på at bruge windows.

Man bruger nok det som er nødvendigt for at forretningen kører rundt og man får løst de opgaver man skal.

> Det ville i øvrigt på sigt også være ufatteligt meget billigere
> at skifte til Linux/Unix..

Nej, de samme folk som forlanger en usikker opsætning af Windows vil ende op med det samme på en Unix-maskine.

  • 3
  • 0
Log ind eller Opret konto for at kommentere