av Mikael Winterkvist | jun 3, 2023 | Säkerhet
Säkerhetsforskare vid Kaspersky Labs, rysk säkerhetsföretag, har upptäckt en pågående attack mot äldre versioner av iOS, före iOS 15.7, som uppges vara en mycket sofistikerad och svårstoppad attack. Enligt Kaspersky så kan en enhet kapas utan att användaren gör annat än tar emot ett meddelande via iMessage.
Attacken, en så kallad ”Zero-Click” attack, innebär att användaren inte behöver klicka någonstans, inte lockas att ladda ned och installera något utan attacken startar med ett meddelande via iMessage. Attacken har fått namnet ”Triangulation” och riktas mot versioner av iOS före 15.7 – alltså inte de senaste versionerna av Apples operativsystem för mobila enheter.
Attacken
Attacken börjar med att en angripare skickar ett specialpreparerat meddelande till offren via Apples iMessage-tjänst. När en skadlig bilaga i meddelandet väl har mottagits startar attacken automatiskt utan att personen i fråga behöver öppna meddelandet eller bilagan. Innan offret har en chans att radera meddelandet, kommer den skadliga koden som exekveras genom en bugg (säkerhetsbugg) redan att ha laddat ner spionprogrammet som ger angriparen ökad tillgång till enheten.
Då koden och attacken i sig inte ser ut att finnas kvar efter en omstart av en drabbad enhet så pekar det mesta på att det är en attack som görs via en bugg i hanteringen av minnet i iOS.
Analyser
Av de rapporter som inkommit och utifrån de analyser som har gjorts så ser det inte ut som att iOS-versioner efter 15.7 är sårbara vilket tyder på att de uppdateringar som Apple har släppt för iOS 15.7 och senare åtgärdat de buggar som exploateras vid en attack.
av Mikael Winterkvist | jun 3, 2023 | Säkerhet
När de etablerade medierna ska skriva om buggar och säkerhetsproblem så finns en tendens till att bre på, lägga ihop alla problem och ett överdrivet alarmistiskt tonläge. Det är Tors allt skillnad på bygger och buggar och alla är inte så livsfarliga som medierna ville framställa dem som.
macOS och Apples plattformar är ingalunda förskonade från buggar och säkerhetsproblem. Din Mac är inte immun, lika lite som din iPhone eller iPad – och håller du inte dina prylar uppdaterade så ökar exponeringen mot säkerhetsproblem för varje uppdatering.
Nyligen rapporterades det om en säkerhetsbugg i macOS som skulle kunna exploateras för att attackera en sårbar Mac-dator. Buggen åtgärdades i macOS 15.7 i en uppdatering som släpptes i april i år – en uppdatering för äldre versioner av macOS. Apple släppte uppdateringen sedan det kommit in rapporter om att buggen och buggarna aktivt exploaterades ute på nätet – i klartext obehöriga försökte komma åt sårbara Mac-datorer.
Buggen och buggarna hade då redan åtgärdats i de senaste versionerna av macOS (Ventura) och detta är ett exempel på att du ska uppdatera dina enheter. Se till att hålla operativsystem appar och program uppdaterade till de senaste versionerna – oavsett vad andra, självutnämnda experter hävdar. Det är en mycket dålig idé att inte uppdatera för att försöka att undvika nya buggar och problem därför att förr eller senare så kommer obehöriga att försöka att exploatera de säkerhetshål som du valt att inte åtgärda.
Alarmistiska rapporter
Tyvärr tenderar medierna till att slå larm lite för ofta och inte heller göra skillnad på hur kritisk och allvarlig en bugg är. Grundregeln är rätt enkel – en bugg som kan exploaterat fjärrstyrt är alltid värre, långt mycket värre än en bugg som bara kan exploateras via fysisk access.
Kan någon hacka din dator med ett script på en hemsida, exempelvis så är det en synnerligen allvarlig bugg – långt mycket värre än en bugg som bara kan exploateras om den obehörige sitter framför din dator. Låt mig ta ett färskt exempel – den nyligen rapporterade buggen “Migraine”.
Buggen upptäcktes av Microsoft, har rapporterats till Apple som släppt en uppdatering. I sig är buggen allvarlig då den kan användas för att runda i stort set de flesta utbyggda säkerhetsfunktionerna i macOS men det finns ett men – den som ska göra det måste ha tillgång till din dator.
Buggen kan användas för att hacka en Mac via ”Migration Assistant”, därav namnet (CVE-2023-32369) och i ett inlägg på sin hemsida så har Microsoft förklarat hur ”Migraine” kan exploateras.
Bugg
Det är en allvarlig bugg, buggen kan användas för att runda inbyggda säkerhetsfunktioner som ska skydda dig och din information – om den obehöriga har tillgång till din dator, kan logga in, kan starta ”Migrations-Assistenten” och flytta data.
Sitter en obehörig person framför din dator, eller med din dator i knät, och har lyckats att logga in så har du långt allvarligare problem än ”Migraine”. Då är inte problemet ett denne någon kan explodera en bugg – då är problemet att hen har kontroll över din dator.
Det är skillnad på buggar och buggar och framför allt är det skillnad på hur allvarliga och kritiska de är utifrån hur de kan exploateras.
Uppdatera
Nu behöver du inte kunna veta skillnaden, kunna förklara den, och du behöver framför allt inte sitta och göra någon analys av huruvida du ska eller inte ska uppdatera. Regeln är enkel (beklagar pekpinnarna här) – håll dina operativsystem uppdaterade och se till att dina program är uppdaterade.
Alltid och utan undantag.
av Mikael Winterkvist | maj 21, 2023 | Säkerhet
Efter att ha tillbringat åratal med att övervaka, följa och kartlägga den skadliga programvara som skapats av en av Kremls mest avancerade hackergrupper så slog FBI till och ett enda slag så deaktiverade de programmet Snake och slog ut Putins favoritverktyg.
FBI skapade ett motvapen som slog ut programmet Snake, hela nätverket med hackare och gruppen Turla. I ett enda slag så slogs plattformsoberoende skadlig kod ut. Kod använts i mer än två decennier för spionage och sabotage. Snake har utvecklats och drivits av Turla, en av världens mest sofistikerade APT:er, en förkortning för Avancerade Persistent Threath, en term för långvariga hacking-grupper sponsrade av nationalstater – i det här fallet Ryssland.
Turla
Experter från flera säkerhetsföretag är till stora delar överens om att Turla låg bakom intrång i det amerikanska försvarsdepartementet 2008, och på senare tid det tyska utrikesdepartementet och Frankrikes militär. Gruppen har också varit känd för att släppa lös Linux-skadlig programvara och använda satellitbaserade internetlänkar för att upprätthålla sin verksamhet.
Ett av de mest kraftfulla verktygen i Turlas verktygslåda är Snake, en slags digital schweizisk armékniv som körs på Windows, macOS och Linux. Snake är skrivet i programmeringsspråket C och kan liknas vid en låda med Lego där varje bit är en modul med sina egna funktioner som är byggda ovanpå ett enormt peer-to-peer-nätverk som i hemlighet länkar en infekterad dator med en annan. Enligt FBI, har Snake hittills spridit sig till mer än 50 länder och infekterade datorer som tillhör NATOs medlemsregeringar, en amerikansk journalist som har bevakat Ryssland och sektorer som involverar kritisk infrastruktur, kommunikation och utbildning.
CNBC
2003
Ursprunget till Snake går tillbaka till åtminstone 2003, med skapandet av en föregångare till Snake som fick namnet ”Uroburos”, en variant av ouroboros, som är en gammal symbol som visar en orm eller drake som äter sin egen svans. FBI betecknar Snake som en av de mest avancerade och mest sofistikerade exemplen av malware men det är kanske också exakt det som en federal polisorganisation förväntas att säga efter att just ha lojast att plocka ned hela ekosystemet runt Snake. Oberoende experter däremot menar också att Turla och Snake var ett högst påtagligt hot, stöttad av Putins Ryssland och gruppen har som redan sagts varit aktiv länge, sedan tidigt 2000-tal.
Det FBI gjorde var att vända Snake mot sig själv. FBI skapade kod som helt enkelt slog ut Snake genom att deaktivera Snake och slå av programmet och hela dess nätverk.
The FBI has developed the capability, using PERSEUS, to impersonate Snake’s Turla operators and issue commands to Snake malware that will effectively, and permanently, disable it. Using authentication codes that the FBI has obtained for the Snake implants on the Subject Computers, the FBI can use PERSEUS to complete the full Snake authentication and session establishment protocols, and send commands to the Subject Computers that the Snake malware on the Subject Computers will interpret as legitimate and execute.
Specifically, the FBI has developed a technique that exploits some of Snake’s built-in commands, discussed above, which, when transmitted by PERSEUS from an FBI-controlled computer to the Snake malware on the Subject Computers, will terminate the Snake application and, in addition, permanently disable the Snake malware by overwriting vital components of the Snake implant without affecting any legitimate applications or files on the Subject Computers.
The FBI has extensively tested this technique and has confirmed both that it is effective at disabling the Snake malware, and that the computer hosting the Snake malware is not adversely affected by this technique. Indeed, in testing, the FBI has confirmed that a computer infected by Snake and remediated through PERSEUS, will continue to function as normal. Notably, the commands transmitted by PERSEUS are sent using the custom communications protocols and encryption developed by Turla for the Snake malware, and thus can be interpreted and executed only by Snake implants. Thus, a computer that is not compromised by Snake could not understand PERSEUS’s commands, and would disregard them.
Ur FBIs dokument som lämnats in till domstol.
av Mikael Winterkvist | maj 21, 2023 | Säkerhet
Apple är satt under lupp. Apples sätt att göra affärer, skyddet runt App Store och Apples andra plattformar granskar av jurister, experter och politiker. Apple har för stor makt och Apples kontroll ska brytas upp men det finns en annan sida av Apple kontroll, Apples inhägnade trädgård och det är det pris vi kanske kommer att få betala för alla den frihet vi eventuellt får om Apples kontroll minskar.
Under förra året så stoppade och blockerade Apple bedrägliga transaktioner i sina system motsvarande två miljarder dollar. Under åren så har Apple infört olika åtgärder för att stödja, övervaka och kontrollera sitt ekosystem. Apples olika plattformar innehåller en rad funktioner som inte bara ska hålla tekniken skyddad utan även oss konsumenter, användare och abonnenter. App Store är en plattform som lockar över 650 miljoner genomsnittliga veckovisa besökare världen över, Samtidigt är den en livlina för mer än 36 miljoner registrerade Apple-utvecklare som en global distributionsplattform som stöder mer än 195 lokala betalningsmetoder och 44 valutor. I detta finansiella ekosystem finns ber ägare som försöker lura användare på pengar.
Apple stängde ned 428 000 utvecklarkonton och 282 miljoner kundkonton för bedrägeri och missbruk förra året, 2022.
Under 2021 avslutade Apple över 802 000 utvecklarkonton för potentiellt bedräglig aktivitet. År 2022 sjönk den siffran till 428 000, delvis tack vare nya metoder och protokoll som gör att App Store kan förhindra skapandet av potentiellt bedrägliga konton. Dessutom avvisades nästan 105 000 Apple Developer Program-registreringar för misstänkta bedrägliga aktiviteter, vilket hindrade dessa aktörer från att skicka in appar till App Store.
Användare
År 2022 skyddade Apple användare från nästan 57 000 opålitliga appar som inte har samma inbyggda integritets- och säkerhetsskydd som App Store. Dessa obehöriga marknadsplatser distribuerar skadlig programvara som kan imitera populära appar eller ändra dem utan medgivande från deras utvecklare.
Bara under de senaste 30 dagarna har Apple blockerat närmare 3,9 miljoner försök att installera eller starta appar som distribuerats olagligt genom Developer Enterprise Program, som tillåter stora organisationer att distribuera interna appar för användning av anställda.
Apple vidtar också åtgärder mot bedrägliga kundkonton och inaktiverade 2022 över 282 miljoner kundkonton associerade med bedräglig och kränkande aktivitet och 198 miljoner försök till bedrägliga nya konton blockerades innan de ens kunde skapas.
Partsinlaga
Det är klart att Apples omfattande redovisning ovan är en partsinlaga. Det är ett direkt svar på den kritik Apple har fått och ett svar på kraven om att bryta upp App Store, plocka ned muren runt plattformen men det är också ett faktum – minskad kontroll leder till minskad säkerhet.
Förra året blockerade Apple nästan 3,9 miljoner stulna kreditkort från att användas för att göra bedrägliga inköp och förbjöd 714 000 konton att göra transaktioner igen. Totalt blockerade Apple 2,09 miljarder dollar i bedrägliga transaktioner på App Store 2022.
av Mikael Winterkvist | maj 13, 2023 | Säkerhet
Är Apples iOS och iPadOS en säkrare plattform än Googles Android? En återkommande tvistefråga mellan anhängare av de olika plattformarna och till och med ett ämne som avhandlats i domstol och där domstolen – och den som startade den juridiska tvisten med Apple kom fram till egna slutsatser. Så nu ger sig Magasin Macken på uppgiften att ge ett svar.
Exponering
Vi börjar med det som kallas exponering vilket i klartext handlar om antalet hot, hur hoten ser ut och den den sammanvägda bilden ser ut för respektive plattform.
98-99 procent av alla skadliga program för mobila plattformar skrivs för Android.
Utifrån det så är iOS en avsevärt säkrare plattform än Android.
Spyware
I sammanhanget kan det vara på sin plats att avhandla de senaste årens spyware-incidenter. Det är riktade attacker mot enskilda som genomförs med avancerade och sofistikerade spionprogram varav Pegasus kanske är det mest ökända. Det här är attacker som skiljer sig markant mot mer allmänna attacker, buggar och säkerhetsproblem. Det handlar om attacker som riktas mot en mycket liten begränsad grupp – journalister, advokater, människorättsaktivister och demokratiförespråkare för att ta några exempel. Det är också mycket sofistikerade attacker där det satsat miljoner, dollar, på att ta sig in i andras telefoner, surfplattor och datorer.
Enkelt uttryckt – det är en typ av attacker som det är mycket svårt att skydda sig mot och det är en typ av attacker som de allra flesta av oss aldrig kommer att utsättas för.
Med det sagt – Apple har gjort ändringar i iOS och iPadOS som gör det möjligt att stänga ned alla de möjligheter som de här spionprogrammen försöka att exploatera. I ”Lock Down Mode” så har externa säkerhetsforskare konstatera att en enhet skyddas mot dagens kända attacker med spionprogram.
Skydd
När en jämförelse ska göras så är det naturligt att också titta på hur de olika plattformarna har skyddats, hur de aktivt skyddas och hur den enskildes data skyddas. Låt oss börja med App Store Google Play – de butiker genom vilka appar distribueras,
Apple kontrollerar inskickad appar automatiskt – och manuellt.
Google kontrollerar inskickade appar automatiskt.
Apple godkänner inte appar per automatik och kontrollerar inte i efterhand utan innan en app dyker upp i App Store. En app ska den ha klarat och genomgått Apple tester innan den publiceras i butiken. Google godkänner appar direkt och kontrollerar, automatiskt, i efterhand.
Tittar vi historiskt hur dessa båda system har fungerat så är det utan tvekan så att Google har haft betydligt större problem med trojaner, malware och andra bedrägliga appar. Det handlar om appar som laddats ned och spridits bland flera miljoner användare i mer än ett fall och även om Apple haft sin beskärda del av incidenter så är det inte på långa vägar jämförbara.
På den här punkten så är iOS och iPadOS vida överlägsen säkerheten i Android.
Integritet
Skyddet av den enskilda och den enskildes, användarens data är ytterligare en punkt där det knappt går att göra en jämförelse – så stora är skillnaderna. Googles affärsidé är att samla in data – Apples är det inte. Så enkelt kan skillnaden uttryckas och det innebär att Google samlar in information om allt du gör, vilka webbplatser du besöker, vad du tittar på, vad du söker efter, vad du laddar ned, laddar upp – allt samlas in.
I Android finns en rad av Googles egna tjänster inlagda och de används för att ytterligare kartlägga allt det du gör med din Android-enhet.
Slutsats: iOS och iPadOS är avsevärt mycket säkrare som plattformar och som operativsystem betraktat på en gång rad punkter. Skillnaden har historiskt varit mycket stor och den tenderar att öka därför att Apple gör mer för den enskildes integritet och skydd än vad Google gör.
av Mikael Winterkvist | maj 7, 2023 | Säkerhet
Apple har testat det som kallas Rapid Security Responses – snabba, mindre, lite mer akuta uppdateringar bland sina betatestare ett tag och i måndags, den 1 maj, så skulle den första uppdateringen skickas ut på riktigt. Det fungerade inte som Apple hade tänkt sig.
Den här typen av uppdateringar är tänkt för mer akuta incidenter där det exempelvis har konstaterats att det görs attacker mot macOS, iOS och/eller iPadOS ute på nätet. Det är uppdateringar som ska släppas mellan de ordinarie uppdateringarna och sannolikt så lär Apple inte använda funktionen särskilt ofta, eller låt oss hoppas det blir så att inte macOS också landar i det uppdateringshelvete som användarna på Windows-sidan upplever där de tvingas installera nya uppdateringar ibland så snart de startar sin dator.
Misslyckande
Måndagens släpp av uppdateringar blev på sin höjd 50-procentig. Det fungerade för macOS men det fungerade inte alls, inledningsvis, för iOS och iPadOS.
Uppdateringen för iOS och iPadOS gick inte att installera (se ovan). När uppdateringen skulle verifieras så dök ett märkligt meddelande upp om att enheten saknade uppkoppling. Nätets forum fylldes av rapporter om samma fel och först flera timmar senare så hade Apple hittat felet, åtgärdat det så att uppdateringen gick att få in och få på plats.
Apple säger i stort sett ingenting om vad uppdateringarna innehåller, vad de ska skydda oss mot och varför vi behöver installera dem – inte utöver en uppmaning om att vi ska/bör installera installera uppdateringarna.
Installationen
Installationen i sig är också en smula förbryllande – du laddar ned filen som verifieras och sedan startar installationen med en omstart, svart skärm, ingen indikator som visar installationen innan enheten startar upp igen. Hela installationen är minst sagt abrupt. Sen var det här med vad det är den här uppdateringen ska skyddas oss mot. Apple har historiskt ovilja att berätta vilka säkerhetsnål och buggar som en uppdatering åtgärdar och förväntar sig alldeles för ofta att vi bara ska göra som Apple säger – installera uppdateringen utan protester eller ifrågasättande.
Apple har sedan många år tillbaka använt sig av ”security by obscurity” – säkerhet som bygger på att vi inte berättar vilka hoten är, vad vi måste skyddas oss mot eller vilka brister våra system har. Säkerhet som bygger på att inte berätta, inte diskutera och inte informera – förrän möjligen då, långt i efterhand. Det är en tanke som bygger på att om vi inte berättar så är det bara mycket få som vet och då är risken mindre.Det är som Apple anser att informationen, kunskaper är farlig, eller i vart fall kan skada. De flesta andra företag har för länge sedan övergett den doktrinen och den uppfattningen.
Motivera
Det uppenbara problemet här är att om du inte berättar vad en uppdatering ska skydda mot, vilket hot det handlar om och inte ens om det är ett allvarligt hot, pågående attacker eller vad det handlar om så lär du ha svårt att motivera användare att faktiskt göra som du säger eller ber dem om. Snabba, mindre uppdateringar för akuta problem är bra men det är inte bra att inte berätta varför jag ska installera dem. Det är förbryllande och närmast nonchalant.
