av Mikael Winterkvist | nov 2, 2021 | Säkerhet
Nu används en ny teknik och ett nytt sätt för att försöka sprida trojaner. Koden för dessa farliga dataprogram döljs i källkod och kompilatorer för att utvecklare sedan ska luras att ta med koden i sina program.
Poängen är att få in den farliga koden redan på utvecklingsstadiet, i källkoden, vilket kan göra en trojan svårare att upptäcka men också att ge den mer och bredare spridning.
The trick is to use Unicode control characters to reorder tokens in source code at the encoding level.
These visually reordered tokens can be used to display logic that, while semantically correct, diverges from the logic presented by the logical ordering of source code tokens. Compilers and interpreters adhere to the logical ordering of source code, not the visual order.
The attack is to use control characters embedded in comments and strings to reorder source code characters in a way that changes its logic.
Trojan Source Codes
Unicode
För att inte bli alltför teknisk och komplicerad så handlar det om att använda vissa tecken, se till att koden ligger logiskt upplagd – utan att det ska vara för uppenbart vad koden egentligen gör. Koden kan sedan döljas i Öppen Källkod (Open Source) och i bibliotek och tillägg som används vid utveckling av mjukvara, för att ta två exempel. Koden kan även döljas i kommersiella program, tillägg och funktioner som kan köpas för att användas i appar och program. Med hjälp av det som kallas Unicode så visas ofarlig kod medan kompilatorn – det verktyg som används för att skapa exekverar kod ser och tar med den farliga koden, trojanen. Unicode används för att datorer ska kunna använda information oavsett vilket programmeringsspråk som används. Granskas koden av en utvecklare så ser koden ofarlig ut. Detsamma om kod klipps ut och klistras in av en utvecklare – den kod som visas ser ofarlig ut medan den farliga koden är det som klistras in.
“Therefore, by placing Bidi override characters exclusively within comments and strings, we can smuggle them into source code in a manner that most compilers will accept. Our key insight is that we can reorder source code characters in such a way that the resulting display order also represents syntactically valid source code.”
“Bringing all this together, we arrive at a novel supply-chain attack on source code. By injecting Unicode Bidi override characters into comments and strings, an adversary can produce syntactically-valid source code in most modern languages for which the display order of characters presents logic that diverges from the real logic. In effect, we anagram program A into program B.”
Säkerhetsproblem
De säkerhetsproblem som nu har identifierats finns i C, C++, C#, JavaScript, Java, Rust, Go och Python – alla de stora programmeringsspråken. Säkerhetsforskarnas rapport har publicerat i samarbete med 19 organisationer och företag för att kunna samordna distributionen av buggfixar och säkerhetsfixar samtidigt som informationen offentliggörs.
KrebsonSecurity
av Mikael Winterkvist | okt 28, 2021 | Säkerhet
En allvarlig bugg har hittats i ett tillägg för WordPress – The OptinMonster. Buggen kan exploateras för att kapa och ta över en sårbar webbplats.
Alla användare uppmanas att omgående uppdatera till version 2.6.5 och det handlar om ganska många användare. Enligt tillgänglig statistik så finns The OptinMonster installerad och aktiv på mer än en miljon webbplatser.
This endpoint can disclose data such as the site’s full path on the server, API keys used for requests on the site, and more.
An attacker holding the API key could make changes on the OptinMonster accounts or even plant malicious JavaScript snippets on the site.
The site would execute this code every time an OptinMonster element was activated by a visitor without anyone’s knowledge.
To make matters worse, the attacker wouldn’t even have to authenticate on the targeted site to access the API endpoint, as an HTTP request would bypass security checks under certain, easy to meet conditions.
Bleeping Computer
av Mikael Winterkvist | okt 27, 2021 | Säkerhet
Kortnummer, pinkoder och lösenord – företag idag har stora mängder information sparade online. Om känsliga uppgifter hamnar i fel händer kan konsekvenserna bli förödande. Med ett ökat användande av digitala tjänster och program kommer ett ökat krav på IT-säkerhet.
Har du någonsin fått ett mail eller sms som ser något märkligt ut? Då kan det vara läge att ana oråd. Phishing, eller nätfiske som det kallas på svenska, är en metod som används av cyberkriminella i syfte att komma åt information denne inte bör ha tillgång till.
En av de vanligaste hackningsmetoderna
Begreppet nätfiske syftar till att en person fiskar efter information. Avsändaren försöker lura dig genom att utge sig för att vara någon du litar på, ofta ett välkänt företag. Personen kan be dig klicka på en länk eller ladda ned ett dokument. Dessa innehåller skadliga virus som infekterar datorn – och kan göra att dina uppgifter blir åtkomliga.
Denna metod för cyberattacker har vuxit till att bli en av de vanligaste. Siktet är framför allt inställt på myndigheter, organisationer och företag. Bara Helsingborgs stad, till exempel, registrerar 30 miljoner phishing-försök – varje år.
Hur upptäcker man en phishing-attack?
Varför har just nätfiske kommit att bli en metod som används frekvent av cyberkriminella? Svaret är inte särskilt komplicerat: nätfiske är helt enkelt en metod som fungerar. Att mail och sms ser professionella ut samt att avsändaren utger sig för att vara någon annan gör det svårt att veta vad som är en attack och inte.
Idag finns många säkerhetsprogram som kan upptäcka en attack åt dig. Men för att undvika att en obehörig person kommer åt känsliga uppgifter är det även viktigt att du själv är medveten om varningssignalerna.
Vem är avsändare och mottagare?
Kommer mailet från en avsändare du inte känner igen? Leta upp företagets kontaktuppgifter och fråga om mailet kommer från dem. Även om mailet kommer från en avsändare du tidigare varit i kontakt med är det viktigt att kontrollera mailadressen. Ofta kan adressen innehålla små skillnader från den du vanligtvis använder för att kontakta företaget i fråga.
Se även över vem som är mottagare. Om mailet inleds med ”Bästa kund” eller liknande bör du vara försiktig. Om du är kund hos ett företag vet de sannolikt vad du heter.
Ser mailet konstigt ut?
Se över formuleringar och stavning. Om något känns märkligt kan det bero på att texten behandlats i ett översättningsprogram, vilket indikerar att personen inte kommer från det företag den säger sig göra. Du bör även se över mailets utseende. Om du tidigare varit i kontakt med företaget i fråga kan du jämföra dessa mail, för att se om de skiljer sig åt.
Är det bråttom?
När en cyberkriminiell kontaktar dig framhäver hen ofta att en åtgärd är brådskande. Detta är ett försök att få dig att fatta ett beslut under tidspress, vilket ofta kan resultera i att misstag begås.
Vart leder länken?
Som sagt är det vanligt att du uppmanas att klicka på en länk. Om du håller muspekaren över länken utan att klicka kan du se den exakta länkadressen. Även om adressen är svår att tyda kan den ge en uppfattning huruvida länken är trovärdig eller inte.
Kom ihåg att det alltid är bättre att vara på den säkra sidan. Om din magkänsla säger att något är fel: avstå från att klicka på länkar eller dela med dig av information.
av Mikael Winterkvist | okt 22, 2021 | Säkerhet
Tekniskt så är en överbelastningsattack, Denial of Service, inte komplicerad. Du skickar en stor mängd skräptrafik mot en webbplats, en nätbutik eller ett helt nät. Till slut slutar webbplatsen eller nätet att svara – skräptrafiken dränker all legal, riktig trafik.
Ekvationen för att lyckas är inte heller komplicerad – skicka mer trafik än webbplatsen eller nätet klarar av. Attackeras ett 100 MB-nät så krävs med trafik än den gränsen – mycket enkelt tekniskt förklarat. 100 MB dränks med 1 GB. Regelön är att om du ska stänga ned den som attackeras så måste du skicka mer trafik än mottagaren klarar av.
Det är de enkla förutsättningarna för en i grunden enkelt typ av attack.
Svår
Trots att attacken är enkel så är den svår att skydda sig mot. En del av skyddet är att försöka att filtrera bort skräptrafiken och det är här problemet ligger – vilken trafik är skräp och vilken trafik är det inte?
Filter kombineras med att försöka att identifiera vilka IP-nummer och nät skräptrafiken kommer ifrån och helt enkelt blockera de avsändarna. De som attackerar kan dock relativt enkelt byta avsändare så det kan lätt utvecklas till en katt-och-råtta lek.
Hur
Vet du inte hur du startar en attack så kan du köpa tjänsten på nätet för allt från några dollar till 100 till 1000 dollar per dag.
Urgently need to disable a competitor’s site? Then you need to contact us, our service will help you with this, we can disconnect both the website and the regular user from the Internet network. You can buy ddos attack from us in just 5 minutes, for this you only need to contact us via ICQ or TELEGRAM and have a BITCOIN coin in your wallet.
”Tjänsten” säljs och saluförs som vilken annan tjänst som helst. Du beställer via Telegram eller annan meddelandetjänst, betalar anonymt med BitCoin och sedan startar attacken mot det offer du har valt ut.
Varför?
Det vanligaste syftet är att slå ut en tjänst och sedan kräva betalt för att sluta att göra det. Gammaldags utpressning i digital form. Du vill slå ut en konkurrent – en vadslagningstjänst, ett onlinecasino eller liknande.
Den pågående attacken mot Skelleftekrafts nät, Skellefteås stadsnät, är lite svårare att analysera. För det första krävs mycket stora resurser för att slå ut fibernätet, för det andra är det svårt att se vad anledningen är. Har Skelleftekraft mottagit några krav så är det bara Skelleftekraft som vet det och de har ingen anledning att gå ut med den informationen just nu. Det kan också vara så enkelt som att det är en missnöjd kund med lite bredare och större tekniska kunskaper än vanligen.
Det är inte heller uteslutet att målet för attacken är någon i det aktuella nätet. Det har hänt förr att alltför breda attacker startats mot offer vilket lett till att många som inte har någon som helst koppling till offret drabbats.
av Mikael Winterkvist | okt 22, 2021 | Säkerhet
Nyligen försvann ransomware-gruppen REvil från nätet sedan deras Tor-noder hackats och tagits över av då okända. Nu kommer nya uppgifter som uppger att REvil hackades av amerikanska FBI i samarbete med Cyber Command och Secret Sdervice, I operationen ska även andra länder ha ingått.
REvil har tagit på sig ansvaret för att ha hackat Apples underleverantör Quanta, Colonial Pipline och leverantören Kaseya vilket ledde till att närmare 800 Coop-butiker tvingades att hålla stängt i flera dagar sedan deras IT.system havererat. Amerikanska Kaseya var leverantör till de svenska leverantörer som levererat tekniska lösningar till bland andra Coop.
Stor ransomware-attack mot amerikanska bolag
Återaktiverades
Efter en tids frånvaro från nätet så återaktiverades nyligen REVils hemsida och de servrar och noder som gruppen använt för sina system. Gruppen hade då varit borta från nätet sedan i juli i år. Det såg ut som att gruppen återupptagit verksamheten med att försöka att smitta med enskilda, organisationer och företag med ransomware och sedan pressa offren på pengar.
Signaturen 0_neday berättade för några dagar sedan, i ett digital forum, på The Dark Web att REvils servrar hackats och att de tagits över av okända.
”The server was compromised, and they were looking for me,” 0_neday wrote on a cybercrime forum last weekend and first spotted by security firm Recorded Future. ”Good luck, everyone; I’m off.”
Reuters
Hackats
I samband med attacken mot Kaseya så kom amerikanska FBI över en dekrypterings-nyckel, en huvudnyckel, som kunde användas för att låsa upp låsta och krypterade filer. Med den informationen som grund så inleddes jakten på medlemmar i REVil. I samarbete med andra länders polis så har sedan de amerikanska polis- och säkerhetsorganisationerna samlat in information om REvil, kartlagt deras nät och sedan lyckats att hacka delar av systemet. När REVil återställde sina system, sina servrar och startade upp verksamheten igen med hjälp av säkerhetskopior så visste inte gruppen att de redan var hackade och att ingångarna in i deras system fanns i säkerhetskopiorna.
“The REvil ransomware gang restored the infrastructure from the backups under the assumption that they had not been compromised,” said Oleg Skulkin, deputy head of the forensics lab at the Russian-led security company Group-IB. “Ironically, the gang’s own favorite tactic of compromising the backups was turned against them.”
Reuters
För några dagar sedan ska sedan flera av REvils servrar ha tagits över av FBI, Cyber Command och Secret Service i samarbete med andra länders polis. Enligt uppgifter lämnade till Reuters, nyhetsbyrån, så ska själva intrånget och övertagandet av servrarna inte ha gjorts av FBI eller någon amerikansk organisation utan av en utländsk samarbetspartner.
av Mikael Winterkvist | okt 13, 2021 | Säkerhet
Apple har publicerat en egen studie av konsekvenserna av att tillåta det som kallas sideloading, det vill säga att det ska vara tillåtet och gå att installera appar utanför App Store. I studien sägs att Android har 47 gånger mer malware som en följd av just denna funktion.
I debatten runt Apples App Store så finns det de som ställer krav på Apple att öppna upp distributionskanalen, tillåta alternativa butiker och att användare ska kunna ladda ned och installera appar, fritt, utanför App Store.
Over the past four years, Android devices were found to have
15 to 47 times more malware infections than iPhone.
Nearly 6 million attacks per month were detected by a large security firm on its clients’ Android mobile devices.
Det är några av de konstateranden som görs i rapporten där Apple hävdar att installation av appar utanför en kontrollerad miljö snabbt leder till fler hot och sämre säkerhet.
Kriminella
More harmful apps would reach users because it would be easier for cybercriminals to target them – even if sideloading were limited to third-party app stores only. The large amount of malware and resulting security and privacy threats on third-party app stores shows that they do not have sufficient vetting procedures to check for apps containing known malware, apps violating user privacy, copycat apps, apps with illegal or objectionable content, and unsafe apps targeted at children. Users would now be responsible for determining whether sideloaded apps are safe, a very difficult task even for experts. In the rare cases in which a fraudulent or malicious app makes it onto the App Store, Apple can remove it once discovered and block any of its future variants, thereby stopping its spread to other users. If sideloading from third-party app stores were supported, malicious apps would simply migrate to third-party stores and continue to infect consumer devices.
Apple har stöd i sin rapport i uppgifter från oberoende säkerhetsföretag. Det finns en rad tidigare gjorda undersökningar som visar att 95-98 procent av alla skadliga program och appar – malware, som skrivs för mobila plattformar skrivs med Android som måltavla.
Plattform
“We’re trying to do two diametrically opposed things at once: provide an advanced and open platform to developers
while at the same time protect iPhone users from viruses, malware, privacy attacks, etc. This is no easy task.”
Steve Jobs, October 17, 2007
Jämförs Android och iOS som plattformar så har idag Android långt fler allvarliga säkerhetsincidenter, långt fler appar som innehåller malware som kan laddas ned från Googles officiella butik, Google Play. Förklaringen är att Google inte alls har samma noggranna kontroll av appar som Apple har – i kombination med Androids större marknadsandel. Det senare kan dock inte förklara hela den stora skillnaden mellan plattformarna.
Rapporten
Rapporten är naturligtvis Apples sätt att samla sina argument för varför App Store ska behållas och få finnas kvar. Det är en partsinlaga i så måtto men samtidigt så går tillgänglig, oberoende statistik inte att vifta undan fullt lika enkelt. Det är en mycket stor skillnad mellan plattformarna när det kommer till säkerhet – även objektivt sätt.
