Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 27. oktober 2009

De to nye (del 1)

Når det gjelder sikkerhet på personlige datamaskiner, så har det "alltid" vært tre grunnleggende regler å følge:

1. Beskytt PC'en din ved hjelp av en brannmur
2. Ha installert antivirus med oppdaterte definisjoner
3. Ha alltid oppdatert programvare

Disse tre reglene er fortsatt veldig gjeldende og noe alle og enhver burde følge. Dersom en følger de tre reglene over, blir det vanskelig for angriperne å ta kontroll over PCen din. Men ting forandrer seg, "de onde" vet om disse tre reglene og har tilpasset seg dem; hvorfor angripe selve PCen, når de heller kan få deg til å gi dem kontroll, helt frivillig? Før prøvde de å angripe svakheter i PCen din, nå prøver de å lure deg! (Se Social engineering [Wikipedia]) Derfor vil jeg foreslå to nye regler for å beskytte deg og din PC, det være seg på jobb eller hjemme:

4. Stol ikke på noen
5. Gjør deg kjent med dine sikkerhets-programmer

Denne bloggposten tar for seg punkt 4, mens del 2 kommer om noen dager og tar for seg punkt 5.

4. Stol ikke på noen.
I dag bruker angriperne primært tre forskjellige metoder til å lure deg til frivillig å installere deres skadelige programmer. Metodene endrer seg hele tiden, derfor lønner det seg å følge med.

Den ene er rett og slett å fortelle en bruker at vedkommende har fått virus på PCen og tilby en gratis skanning av PCen. En slik beskjed kan dukke opp ved surfing på et helt vanlig nettsted. Brukeren vil hver gang få beskjed om en mengde virus som er installert, i tillegg til et godt tilbud på et antivirus-produkt. Da tenker mange at dette må selvfølgelig være bra! For det første fant programmet virus som ditt allerede eksisterende AV-program ikke fant. I tillegg koster det penger og det er jo ofte et tegn på kvalitet!

Og kvalitet er det! Programmet ser ut og oppfører seg som et helt vanlig antivirus-program. Det etterligner Windows i både form og farge, det har de riktige navnene og ikonene, og det har til og med sin egen oppdateringsmekanisme. Men hele programmet er bare juks og er egentlig en trojaner som nå har forbigått din brannmur, slått din eksisterende antivirus ut av spill og forhindrer at du får oppdatert programvare. I tillegg er det mange som faktisk har betalt for dette programmet, med et personlig eller firmaets kredittkort.

Vi omtalte slike programmer alt i 2008 og da programvaren Antivirus XP 2008:



Men selv om dette er over ett år siden, ser vi fortsatt en mengde klienter som har dette og tilsvarende programmer installert.

Den andre metoden for å spre ondsinnet kode er å fortelle deg at du må laste ned siste versjon av et program (gjerne Flash Player) for å spille av en morsom filmsnutt på en web-side.



Beskjeden dukker gjerne opp på sosiale nettverk som Facebook eller Twitter og kommer tilsynelatende fra en av dine kontakter. Denne metoden ble også beskrevet av oss i 2008, men er like aktuell i dag, og det er lett å sikre seg mot dette! Ber de deg laste ned siste versjon av Flash, gå vekk ifra siden og last ned siste versjon av Flash selv. Ber de deg fortsatt oppdatere Flash, eller ber deg laste ned et program eller codec du ikke har hørt om før, la være! Sjansen er alt for stor for at du lures i fella.

Den tredje metoden er å sende ut spam-e-poster med beskjed om å følge en lenke for å installere en oppgradering eller lignende til PCen. E-posten er gjerne forfalsket slik at den ser ut til å komme fra din systemadministrator eller Internett-leverandør. Installér aldri oppgraderinger etter å ha fulgt lenker i e-poster! Noen ganger ligger også filen som et vedlegg til e-posten. Husk å aldri installere programmer som blir mottatt i e-poster. Disse er nesten alltid skadelige. Gi heller ikke fra deg personlig informasjon, dersom en lenke i en e-post ber deg gjøre dette.

Generelt kan en ikke svare ukritisk ja på forespørsler som plutselig dukker opp på skjermen! Dersom du skal oppdatere Flash Player, andre programmer eller operativsystemet, lønner det seg å gå direkte til leverandørens web-sider og gjøre det selv. Ellers kan man ikke vite hva man installerer eller hvor det kommer fra. Installér kun kjente programmer fra kjente leverandører. Men gjelder dette din jobb-PC er det også viktig å følge bedriftens egne retningslinjer. I de fleste tilfeller vil driftsavdelingen både oppdatere og holde ved like programmer installert på din PC.

Uansett, vær kritisk, ikke la deg lure!

tirsdag 13. oktober 2009

DEP – Data Execution Prevention

Før helgen ble det meldt om en ny svakhet i Adobe Reader. Denne svakheten benytter seg av en buffer-overflow. Utnyttelse av mange av disse svakhetene, også denne, kan utbedres ved å skru på en lite kjent funksjon i Windows kalt DEP – Data Execution Prevention.

Hva er DEP og hvorfor bør det skrus på?
Exploits (kodesnutter som tar kontroll over systemet ved å utnytte sårbarheter) bygger ofte opp instruksjonene sine i et område av minnet som egentlig er avsatt for data. De får deretter "instruksjonspekeren” til å peke inn i dataområdet der instruksjonene er klargjort, slik at disse blir kjørt. DEP sørger for å terminere programmer som prøver å kjøre instruksjoner fra minneområder som er avsatt for data og ikke instruksjoner. Dette kan hindre utnyttelse av mange buffer-overflow svakheter.

Noen nye CPUer har hardware-støtte for DEP. Dersom CPUen i din maskin ikke har støtte for DEP, benytter Windows seg av en software-basert versjon av DEP som er noe mindre effektiv.

Hvordan skrur en på DEP?

  • Windows XP
    Start – Control Panel – System – Advanced – velg ”Settings” under “performance” – velg fanen (tab’en) Data Execution Prevention – ”Turn on DEP for all programs and services except those I select” - OK
  • Windows Vista/7
    Start - Control Panel – System and Security – System – Advanced System Settings - – velg ”Settings” under performance – velg fanen (tab’en) Data Execution Prevention – ”Turn on DEP for all programs and services except those I select” – OK


Endringen må utføres som en administrator på maskinen. Dersom du ikke er innlogget som en administrator, høyreklikk på ”System” fra listen over, velg ”Run as Administrator” og skriv inn passordet.

Kjør en omstart av maskinen etter å ha endret innstillingen.

Endringen kan også gjøres ved å kjøre følgende kommando som administrator i et kommandovindu:
bcdedit.exe /set {current} nx OptOut

Hva kan være negative konsekvenser av å skru på DEP?
Enkelte eldre spill og antivirus-programmer er laget på en måte som gjør at de blir stoppet av DEP.



Dersom du vet at du kan stole på programmet, og det fortsatt blir stoppet av DEP, kan du legge det til i en liste over unntak fra DEP-beskyttelsen

Hvordan skrur en på DEP for alle maskiner i nettverket?
Oppsettet av DEP styres gjennom en kommando i boot.ini. Denne kan endres på alle PCer i en bedrift slik at DEP er skrudd på som standard. Se følgende side hos Microsoft for mer informasjon.

Før en skrur på dette for mange maskiner på én gang anbefales det å kjøre test på et mindre antall standard-klienter for å se at alt fungerer som det skal. Dersom noen applikasjoner i organisasjonens klient-PC fungerer dårlig med DEP kan disse legges inn som unntak.

DEP støttes foreløpig ikke av Group Policy.

Oppsummering
DEP vil først hjelpe etter at exploit-koden har kommet inn på systemet og faktisk prøver å utnytte en sårbarhet, enten i operativsystem eller andre programmer. Det beste er såklart å unngå å få exploit-koden inn på systemet og ikke å ha sårbarheter i systemet.

Uansett hvor godt en er sikret, kan en alltid bli utsatt for en exploit som det enda ikke finnes noen patch for. Da er DEP god å ha som en siste forsvarsmur.

Her er en detaljert beskrivelse fra Microsoft rundt DEP.

 
>