Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 18. november 2011

Phishing mot Telenors e-post-kunder

I løpet av de siste dagene har flere brukere av online.no mottatt phishing-e-poster. Et eksempel på en slik e-post er vist under:




E-posten informerer tilsynelatende om at tjenesten har fått nye temaer/layout, og oppfordrer brukeren til å følge lenken for å logge inn. Ved kun å se på teksten, ser det hele greit ut. Det var også opprinnelig en Telenor-logo i e-posten. Dersom en sjekker lenken, ser en imidlertid raskt at denne fører til en web-server i Peru. Web-siden så slik ut:




Denne er helt identisk til login-siden til epost.telenor.no, bortsett fra at bokstavene Æ, Ø og Å mangler. Siden er laget ved å kopiere hele web-siden til Telenor. Bildene blir også lastet fra Telenors egen web-server. Phishing-svindelen er i dette tilfellet forholdsvis godt utformet, og det er kanskje ikke så rart at en del lar seg lure til å gi fra seg påloggingsinformasjon.

Denne typen phishing e-poster blir gjerne sendt ut til tusenvis av brukere av tjenesten i løpet av kort tid. Én av disse brukerne syntes både e-posten og web-siden så mistenkelig ut og sendte den til Norsis, Norsk senter for informasjonssikring. E-posten ble deretter raskt sendt videre til TSOC.

En analytiker hos TSOC undersøkte web-serveren som serverte phishing-siden. Det ble raskt oppdaget at innhentede brukernavn og passord ble lagret til en tekstfil som var offentlig tilgjengelig fra web-serveren:



Det viste seg at svindlerne hadde lagret nesten hundre brukernavn og passord i løpet av 15. og 16. november. Web-serveren inneholdt også en phishing-side som rettet seg mot brukere av en Malaysisk bank.

TSOC sendte nå all informasjonen videre til Telenors interne abuse-avdeling. Disse begynte jobben med å få tatt ned phishing-siden, samtidig som listen over involverte brukere ble sendt til kundeservice. Der jobber det tre ansatte med spesialkompetanse rundt disse sakene. Disse finner mobilnummeret til kunden og sender ut nye autogenererte passord per SMS. Det blir også generert en e-post med mer informasjon til kunden om hva som har skjedd som kunden lese etter å ha logget inn med sitt nye passord.

Abuse-avdelingen kontaktet i mellomtiden en ekstern samarbeidspartner som spesialiserer seg på å ta ned svindelsider. Det ble nå automatisk sendt ut e-poster og faks til ISPen som ble benyttet, og firmaet som kontrollerte web-serveren (hosting-leverandøren). Firmaet bak web-tjeneren slettet fort den aktuelle phishing-siden, men svindlerne lastet dem opp på nytt. Like etter ble siden tatt ned for godt. Fra saken ble meldt inn til siden gikk ned, gikk det litt over en time. I dagene framover vil et automatisk overvåkingsverktøy sjekke om siden på nytt skulle komme opp, og i så fall sende ut varsel på nytt.

Dersom dette phishing-forsøket hadde vært vellykket, ville e-post-kontoene mest sannsynlig ha blitt brukt til å sende ut store mengder spam og forskjellige typer svindel e-post. Kanskje ville svindlerne også prøvd å logge seg inn på andre tjenester ved å benytte seg av e-post-adressen og passordet til brukerne. Mange benytter seg av samme passord på flere tjenester.

Denne gangen ble heldigvis angrepet oppdaget før noen rakk å utnytte den innsamlede informasjonen. Men svindlerne forsøker seg stadig med nye angrep.

Til slutt tar vi med noen råd for å unngå å bli lurt av denne typen svindel:

  • Ikke følg lenker i e-poster ved å trykke på dem. Gå heller direkte til siden du vil oppsøke, enten ved å skrive inn adressen i nettleseren eller ved å følge et bokmerke du allerede har lagret.
  • Dersom du må følge en lenke, hold markøren over lenken for å se hvor den faktisk fører før du klikker. Ofte kan teksten i en e-post inneholde en annen adresse enn den web-siden lenken faktisk tar deg til.
  • Sjekk alltid at adressen i adressefeltet i nettleseren stemmer med den tjenesten du vil logge inn på. F.eks: "epost.telenor.no[...]".
  • Dersom tjenesten du skal logge inn på benytter seg av kryptering (HTTPS), sjekk at siden du får opp faktisk er kryptert før du skriver inn brukernavn og passord. Dette kan du som oftest se i nettleseren ved at det står "HTTPS:" foran adressen.
Husk også å bruke forskjellig passord på forskjellige tjenester. Dersom noen skal klare å lure til seg passordet ditt, vil de da ikke ha mulighet for å logge seg inn på flere tjenester med ditt brukernavn.

torsdag 30. juni 2011

Angrep mot web-servere, SQL Injection og gjenbruk av passord

De siste ukene har det vært mange angrep mot web-servere der informasjon fra bakenforliggende databaser har blitt lastet ned og siden blitt publisert på nettet. Dette har ført til at flere store firmaer har mistet intern informasjon og også informasjon om sine brukere, som brukernavn, passord og kredittkortinformasjon.

Vi ser en trend av angrep, blant annet mot mot firmaer som Sony, Fox og PBS. Angriperne kommer seg gjerne inn i systemene ved hjelp av svakheter i web-serverne, først og fremst SQL-injection, eller ved å logge seg inn med brukernavn og passord som de har stjålet fra innbrudd mot andre tjenester.

I Norge ble det i dag meldt om at web-sidene til Statoil i Norge, Sverige og Finland også har blitt utsatt for uønsket aktivitet: http://www.statoilfuelretail.com/en/newsandmedia/news/Pages/HuginPressRelease_1527060.aspx. Dette viser at norske selskaper heller ikke slipper unne den uønskede aktiviteten.

Noen som utgir seg for å  være angriperen postet den 23. juni informasjon fra Statoils interne SQL-server på følgende adresse: http://pastebin.com/aniYpbUj.  

Beskytt deg
Hva kan en så gjøre for å beskytte seg mot denne typen angrep? DHS, CWE og SANS i USA slapp for få dager siden dette årets utgave av "Top 25 Most Dangerous Software Errors". Alle som har ansvaret for en web-server som "almenheten" har tilgang til bør sjekke denne opp mot de vanligste feilene fra listen over. Koden til web-serveren bør gjennomgås og en praktisk test mot systemer bør også gjennomføres for å se om sikkerheten er på riktig nivå. Det er viktig at utvikling av kode blir gjort med hensyn på sikkerhet: http://www.cert.org/secure-coding/

Når det gjelder direkte angrep mot web-serverne er det særlig metoden "SQL-Injection" som benyttes. Denne svakheten ligger også på toppen av listen over svakheter nevnt over. Når en web-server skal presentere en web-side til en sluttbruker, hentes gjerne dataene til siden fra en database-server som ikke sluttbrukeren har direkte tilgang til. Det er web-serveren som sørger for bare å servere de dataene som brukeren faktisk skal ha. Ved å "injisere" SQL-kode i web-forespørslene, kan en angriper noen ganger få direkte tilgang til den bakenforliggende database-serveren. For å unngå denne typen angrep er det viktig å filtrere bort alle spesialtegn og SQL-kode fra forespørslene som kommer inn fra sluttbrukernes web-browsere.

Sett sikre passord
Et annet punkt på listen det ofte syndes mot, og som kan få store konsekvenser dersom uhellet først er ute, er punkt nr 8 og 25, manglende eller dårlig beskyttelse av brukernes passord. Brukernes passord bør aldri lagres i klartekst og beskyttes av gode hash-funksjoner med salt (ekstra tilfeldige data i tillegg til selve passordet).

Den siste tids hendelser med storslipp av brukernavn og passord setter også fokus på at mange brukere benytter det samme passordet på mange forskjellige tjenester. Lekkasje av brukernavn og passord fra én uviktig tjeneste, kan dermed føre til at angriperne får tilgang til viktigere tjenester som for eksempel PayPal, e-post eller bedriftens web-publiserings-system.

Vi foreslår at alle før ferien setter seg ned og lager lange og unike passord for de tjenestene på Internett som betyr mest for dem. Ha en sikker sommer!

mandag 4. april 2011

Måling av SQL-injection-angrep

På fredag skrev vi i vårt nyhetsbrev om et nytt SQL-injection-angrep, Lizamoon, som viste seg å være veldig effektivt. Hundretusener av web-sider er infisert av scriptet, som sender brukeren videre til sider hvor det blir servert falsk anti-virus.

Nå har vi fulgt saken gjennom helgen, men det har ikke skjedd noe nytt. Antallet infiserte sider virker stabilt.

Derimot har det blitt diskutert hvordan en kan måle størrelsen eller effektiviteten av slike angrep. Mange, inklusive oss selv, har brukt Google for å søke opp sider som inneholder den strengen angrepet legger inn i websidene, som et verktøy for å måle størrelsen. Men Panayiotis Mavrommatis mener i sin blogg at dette ikke er veldig nøyaktig. Niels Provos spinner videre på dette, samt foreslår en bedre metode for måling. Han mener at en bør se på antall domener som har infiserte sider, ikke telle antall sider. Samtidig sammenligner han det pågående Lizamoon-angrepet med tidligere kjente SQL-injection-angrep.

torsdag 24. mars 2011

Hva gjør at noen bedrifter har færre sikkerhetshendelser enn andre?

I slutten av 2010 lagde vi i Telenor SOC en liste over våre ”sikreste kunder”. Listen inneholdt kunder som hadde få registrerte sikkerhetshendelser i forhold til antall brukere av nettverket.

I dag er det slik at de fleste brudd på sikkerheten i en bedrift oppstår på klient-PCer. Brukere blir ofte lurt til å hente ned malware eller PCen blir infisert av malware som web-browseren blir sendt til, uten at brukeren er klar over at noe unormalt skjer.

Vi satt til slutt igjen med ti kunder som skilte seg spesielt positivt ut når det gjaldt sikkerheten. Det ble laget et kort spørreskjema som ble sendt ut til disse kundene. Til slutt satt vi igjen med svar fra seks av kundene. Disse svarene vil bli oppsummert under.

Vi er klar over at seks kunder ikke er noe bredt grunnlag, men dette er uansett seks større norske bedrifter/institusjoner som det viser seg at har sikrere nettverk enn andre. Det er derfor nyttig å vite hvilke sikringstiltak disse har gjennomført.

Brannmur og filtrering mot Internett
Den første  delen av undersøkelsen dreide seg om brannmuren og hvordan denne og andre nettverksenheter filtrerer trafikken som kommer inn fra Internett. Alle kundene hadde så klart en brannmur med pakkefilter ut mot Internet. Det varierer imidlertid hvilke andre filtreringsteknolgier som er i bruk:
  • 5 av 6 spurte har URL-filtrering der malware, lenker sendt ut via spam og andre høyrisiko-kategorier blir blokkert. Vi kan legge til at alle kundene tillot bruk av sosiale medier som Facebook og Twitter.
  • 3 av 6 kjører virus-filtrering av filer som blir lastet ned fra Internett.
  • Alle kjører filtrering av spam e-poster.
  • Ingen av bedriftene bruker IPS (Intrusion Prevention System)-teknologi.

Sikkerhet på klienter
Den neste delen av undersøkelsen tok for seg sikkerheten på klientene i bedriften. Det er selvfølgelig viktig for en bedrift å ha fokus på sikkerheten også på tjenerne. Et innbrudd i en tjener kan ofte føre til større konsekvenser enn tilfeldig malware i en klient.
  • Tre av seks bedrifter benytter seg av tynnklient-teknologi som Microsoft Terminal Services eller Citrix XenDesktop. 
  • Alle kundene har sterke begrensninger i hva slags programvare brukere har lov til eller har mulighet til å installere på sine klienter.
  • Én bedrift benyttet kun tynne klienter for vanlige brukere, mens resten primært kjører forskjellige versjoner av Windows, hovedsaklig Windows XP.
  • Herding av klienter var gjort i noe grad hos fire av respondentene. Et eksempel på dette kan være å hindre vanlige brukere tilgang til regedit.
  • Hovedsaklig ble Internet Explorer 7 og 8 brukt til web-surfing.
  • Alle kundene bruker systemer for automatisk utrulling av patcher på klienter og tjenere. Produktene som brukes er Windows WSUS (Windows Server Update Services) , SMS (Systems Management Server) og Novell Zenworks.
  • Fem av seks respondenter lar ikke vanlige brukere ha administrator-tilgang på sin egen PC. Dette betyr for eksempel at brukerne ikke fritt kan installere ny programvare eller endre på systemparametere.
  • Alle bedriftene har avansert anti-virus-løsninger på klienten. Eksempler på løsninger er Symantec/Norman Endpoint Protection og Microsoft Forefront Client Security.
  • Kun én av respondentene har begrensninger når det gjelder bruk av USB-baserte minnepinner.
  • Fire av respondentene tillater kun standardiserte klient-maskiner i nettverket.

Opplæring av brukere og policy
Fire av seks bedrifter hadde opplæringsprogrammer i sikkerhet for nyansatte. Hos flere av disse måtte også de ansatte skrive under på at sikkerhetspolicy skulle følges. Hos én av bedriftene var det noe bevisstgjøring rundt sikkerhet, mens én ikke hadde noe formelt opplegg.

Det var også fire av bedriftene som hadde en sikkerhetspolicy som var i aktiv bruk.

Hva mener kundene selv er viktigst?
Vi spurte også de sikkerhetsansvarlige hos hver enkelt kunde om hva de selv trodde var den bakenforliggende årsaken til at de hadde færre hendelser enn andre kunder. Svarene kan oppsummeres som følger:
  1. ”Anti-virus og end point-protection på klienter stopper mye. Ellers er URL-filtrering mot Internett av spam-linker og malware også effektiv. IDS-sensoren er veldig god til å finne maskiner som allikevel måtte være infiserte og andre problemer i nettet.”
  2. ”Det viktigste er en god sikkerhetspolicy og oppmerksomhet rundt denne. Denne ansvarliggjør brukerne for sikkerheten og får dem til å opptre varsomt. Ellers er det URL-filteret som stopper de fleste angrepene.”
  3. ”Det viktigste er manglende administrator-tilgang på vanlige brukeres maskiner. Dette gjør at vi kan ha kontroll på patchenivå, malware virker ofte ikke og brukerne får ikke installert alt mulig rart på maskinene.”
  4. ”Alle sikkerhetstiltakene virker sammen. Det er vanskelig å trekke ut enkelttiltak.”
  5. ”Utvilsomt at vanlige brukere ikke har administratorrettigheter. Sentralisert utrulling av patcher, driftsavdeling med sterk sikkerhetsfokus og IDS er også viktig.”
  6. ”Det viktigste er at vanlige brukere ikke har administrator-rettigheter på egen maskin. Mange brukere benytter seg av tynne Citrix-klienter. Vi er også svært raske til å fange opp eventuelle infiserte maskiner ved hjelp av Telenors IDS-tjeneste og får disse ut av nettverket.”

Oppsummering
Vi mener at alle norske bedrifter bør se nøye gjennom sikringstiltakene som disse bedriftene har gjennomført og se på hvilke viktige tiltak en selv måtte mangle. Vår tidligere erfaring innenfor sikkerhet er sterkt sammenfallende med svarene fra denne undersøkelsen. Oppsummert bør en ha følgende tiltak på plass:
  • En levende sikkerhetspolicy som alle ansatte må sette seg inn i og leve etter.
  • Filtrering av innkommende web-trafikk som stopper lenker til malware og andre høyrisikosider.
  • Spam-filtrering av e-post som også fjerner phishing-angrep o.l.
  • Virus-scanning av innkommende trafikk fra nettet, f.eks. web-trafikk, e-post, FTP-overføringer osv.
  • Benytt om mulig tynne klienter.
  • Ha kontroll med hva som er installert på hver enkelt datamaskin og rull ut patcher sentralt.
  • Ikke la vanlige brukere ha administrator-tilgang til maskiner.
  • Installer anti-virus-programvare på både klient-maskiner og tjenere.
  • Ha gjerne et IDS-system for å oppdage maskiner som allikevel skulle bli infisert eller som blir infisert utenfor nettet og satt inn i bedriften.

Mange norske bedrifter har i dag problemer med infiserte klient-maskiner. Dette kan f.eks. føre til driftsforstyrrelser og tyveri av personlige- og bedriftsdata. Ved å gjennomføre tiltakene over vil en sterkt begrense denne trenden. Tiltakene vil også hjelpe godt mot mer målrettede angrep for å hente informasjon ut av bedriften, noe som blir mer og mer vanlig.

tirsdag 25. januar 2011

Hvordan betale for programvare som er gratis

På nettet er det mengder med gratis programvare som kan lastes ned og benyttes av hvem som helst. Et populært eksempel på dette er Flash Player laget av Adobe. Programmet brukes blant annet til å vise nettannonser, spill og annet interaktivt innhold på nettsider.

Dersom en vil hente ned dette programmet til sin PC vil det være logisk å gå til Google eller Bing og gjøre et søk. Det enkleste og mest naturlige å søke etter vil antakeligvis være "download flash". Et slikt søk gir i dag følgende resultat (trykk på bildene for større utgave):



I skjermbildene over er det reelle resultatet markert med grønn firkant, mens et mindre bra resultat er markert med rødt.. De rødmerkede resultatene er begge betalte annonser, men både hos Google og Bing er det vanskelig å skille disse fra de reelle søkeresultatene. Dette gjelder i særlig grad for Bings resultat.

Dersom en er uheldig og trykker på et av de røde resultatene, blir en sendt til en av følgende sider:



Begge sidene er norskspråklige, selv om forfatteren neppe hadde vunnet en rettskrivingskonkurranse. Begge sidene inneholder også en lenke til å laste ned "Flash-player". I begge tilfeller er det imidlertid følgende fil som blir hentet ned:


Dette er ikke egentlig en installasjons-fil til Flash-player, men en fil som er laget for å presse deg for penger for deretter å hente ned den reelle installasjonsfilen. Dersom en starter filen, får en opp følgende skjermbilde:


For å få tilgang til den ekte installasjonsfilen (som forøvrig kan hentes gratis her..) må en altså sende en melding til telefonnummeret 2098 som generer 2 SMSer til 15 kroner/stk. Dette kortnummeret er eid av Echovox som holder til i Sveits. Et kjapt nettsøk avslører at dette firmaet allerede har en del misfornøyde kunder.. Vi har ikke prøvd å sende meldingen, men vi blir ikke overrasket dersom det også fører til at brukeren blir meldt inn i en eller annen abonnements-tjeneste..

Dersom en prøver å skrive inn en kode i programmet vil den bli sendt inn til en sentral tjener for verifisering:

GET /sms/isvalid.php?code=2353&country=no&pr=FlashPlayer&af=flashplayer2010-no.info&num=2 HTTP/1.1
User-Agent: NSIS_Inetc (Mozilla)
Host: verify.smsstatus.com


Denne tjeneren står hos en større leverandør av hosting-løsninger i Frankrike, OVH SAS.

Såvidt vi kan se har programmet ingen annen funksjonalitet utover det vi viser over. Det er med andre ord ikke snakk om klassisk malware/skadevare, men heller en "lett utpresning" for å få brukeren til å betale penger for noe som kan lastes ned gratis.

Bakmennene har imidlertid gjort en stor jobb med å tilpasse dette systemet til forskjellige markeder med oversetting av sidene, avtale med lokale betalingsformidlere og målrettet annonsering hos større nettsider. De tilbyr også andre gratis programmer for nedlasting mot betaling som Google Earth, NOD32, Windows Live Messenger osv.

Denne saken minner en på at en må være forsiktig også med sponsede søkeresultater. Ofte kan også disse være lureri, selv om en kanskje skulle tro at store aktører som Google og Microsoft (Bing) ville sjekke annonsene sine bedre for lureri og svindel.

Vær alltid svært skeptisk til å gi fra deg kredittkortinformasjon og mobiltelefonnummer på nett, spesielt til ukjente kilder som dette. Forsøk å gå direkte til leverandørers sider, dersom du vet adressen, i stedet for å søke hos Google eller Bing.

onsdag 19. januar 2011

Ny malware sprer seg på Facebook i dag

Vi ser i dag spredning av en ny type malware på Facebook. Malwaren sprer seg ved å sende meldinger til andre venner som er pålogget via Facebooks chat-system. Et eksempel på en melding er:

Foto :D hxxp://apps.facebook.c om/braiphotes/photo.php?=P1012447.JPG

Meldingen gir seg ut for å være en lenke til et bilde, men sender deg i virkeligheten videre til en Facebook-applikasjon:


Applikasjonen prøver å lure deg til å trykke på "View Photo". Dersom brukeren trykker på knappen, vil en Windows .exe-fil (programfil) bli lastet ned til maskinen. Nettleseren vil i de fleste tilfeller gi en advarsel om at filen kan være skadelig før den blir kjørt.

Filen som blir lastet ned oppnår følgende dekning på Virus Total:


10 av 43 anti-virus-løsninger gjenkjenner altså filen som malware.

I stedet for å vise et bilde, vil applikasjonen åpne en ny nettleser med en side fra Myspace:


Malwaren kobler også opp maskinen mot et IRC-basert botnet, slik at angriperne får full kontroll over maskinen og kan gi den forskjellige kommandoer.

Etter kort tid vil også følgende melding dukke opp i nettleseren:


Personene bak svindelen tjener altså penger ved å få brukerne de lurer til å fylle ut "undersøkelses-skjemaer". Dette er en svært populær måte å tjene penger på for tiden. Disse "undersøkelsene" ender ofte opp med at en må skrive inn mobilnummeret sitt på slutten for å ha muligheten til å "vinne en premie". Dette vil føre til at brukeren blir påmeldt en dyr SMS-tjeneste.

Facebook-applikasjonen som spredte malwaren har nå blitt tatt ned av Facebook, men en må regne med at svindlerne stadig lager nye versjoner av applikasjonen og fortsetter å spre malwaren.

Husk å være skeptisk til linker mottatt på Facebok, også via chat-funksjonen. Spør gjerne avsenderen om det virkelig var vedkommende som sendte linken. Last i alle fall ikke ned .exe-filer og kjør disse på maskinen.

tirsdag 11. januar 2011

Microsoft patchetirsdag

Microsoft har i kveld sluppet to oppdateringer som dekker forskjellige sårbarheter i Microsoft-produkter. Det er enda ikke sluppet oppdateringer for to andre alvorlige sårbarheter, som beskrevet i de to siste avsnittene under.

Vulnerability in Windows Backup Manager Could Allow Remote Code Execution (MS11-001

Oppdateringen dekker en svakhet i Windows Backup Manager for Windows Vista. Ingen andre versjoner av Windows er sårbare. For å utnytte denne svakheten, må brukeren lures til å hente ned og åpne en spesielt utformet Windows Backup Catalog (.wbcat)-fil. Detaljer rundt svakheten har allerede kommet ut, og utnyttelse av den i nær framtid vil derfor være sannsynlig.

Vulnerabilities in Microsoft Data Access Components Could Allow Remote Code Execution (MS11-002)
Denne oppdateringen dekker to svakheter i Microsoft Data Access Component. Begge sårbarhetene kan føre til kjøring av vilkårlig kode, med samme rettigheter som innlogget bruker. En angriper kan utnytte sårbarhetene ved å lure en bruker til å besøke spesielt utformede nettsider. Oppdateringen regnes som kritisk for Windows XP, Vista og 7 og viktig for server-versjoner av Windows (Windows 2003, 2008, 2008 R2). Det er enda ikke sluppet detaljer eller exploit-kode for disse to sårbarhetene, men Microsoft regner dem som relativt enkle å utnytte.

Se forøvrig dagens nyhetsbrev for mer detaljer rundt disse oppdateringene.

De to oppdateringene over utbedrer ikke to alvorlige tidligere publiserte svakheter i Windows, som befinner seg i Internet Explorer (se nyhetsbrev 22.12.10 og 01.05.11). For mer informasjon angående sårbarheter som fortsatt ikke er patchet, se Microsoft SRD blog. Teknisk Ukeblad har også skrevet en artikkel om disse svakhetene.

Det er utgitt Metasploit-moduler for begge disse sårbarhetene. Dette gjør det svært enkelt å utnytte dem, også for folk uten særlig kompetanse innenfor datasikkerhet. Microsoft har ikke sluppet informasjon om når disse sårbarhetene vil bli utbedret.

 
>