Tag Archives: Ondvare

Stuxnet – kjør konspirasjonsteori

Irans atomanlegg har blitt infisert av en datamaskinorm. Det er ormen Stuxnet, som har herjet siden juni i år. Stuxnet er ganske interessant ondvare. Det er altså det som på folkemunne kalles et virus, bare at de som jobber med sånt kaller det for en orm. Ormen Stuxnet ligner ikke noe av det vi tidligere har sett av ondvare. Vi skal ikke se bort fra at det tidligere har vært lignende ormer, men vi har i så fall ikke sett dem.

Det som er spesielt med Stuxnet er for det første kompleksiteten til ormen. Den er skrevet i flere programmeringsspråk, og den utnytter mange sikkerhetshull til Windows på en gang. Joda, vi har sett det før, men denne gangen er det foreløpig hele fire sikkerhetshull som utnyttes.

En annen svært spesiell vri er at Stuxnet er i stand til å overvåke PLC, og til og med omprogrammere dem! For de som ikke henger med der, så er det snakk om at denne ormen kan overvåke datastyrte prosesser i fabrikker, eller atomanlegg for den del, og til og med endre disse prosessene. Kort fortalt – De som har kontroll over Stuxnet kan fjernstyre Iranske atomanlegg. Nice? [edit] Åkei da, så er fjernstyring ikke mulig uten nett – så dette anlegget kan ikke fjernstyres. Bare en rekke andre anlegg av ymse slag som tilfeldigvis skulle ha både nett, Windows og de aktuelle PLC.

DA er det på tide å kjøre konspirasjonsteoriene. En datamaskinorm av dette slaget er ikke laget av guttunger som vil ha det gøy. Denne ormen er laget av passe hardcore programmerere, antakeligvis godt betalt av noen. Hvorfor de antakeligvis er godt betalt? Jo, rett og slett fordi disse sikkerhetshullene som utnyttes er hard valuta blant hackere – og man blåser ikke hele fire sikkerhetshull på en gang uten gode grunner (eller gode penger).

Stuxnet inneholder i tillegg en god oppdateringsrutine, som gjør at den kommer til å leve en stund. Vi har ikke sett det siste til denne ormen. Hvem som står bak, og hvorfor kan vi bare spekulere i. Får vi noen gang vite det? Med fare for å gjenta meg selv til det kjedsommelige: Har noen nok ressurser er det ingenting som er umulig av inntrengning i datasystemer. VIL noen eie deg, er du eid. (Kjør paranoia også, i tillegg til konspirasjonsteori)

Det som bekymrer meg aller mest av dagens nyheter er at Iranske atomanlegg drives av Windows. #snekrebomberom

WikiLeaks ser etter en kopi for analyse
Wikipedia om Stuxnet

Tidligere postet om ondvare:
Slik fjernstyrer ukrainske hackere politiets datamaskiner
Datasikkerhet er en vits, bruk hjelm
Ondsinnet programvare for linux

Slik fjernstyrer ukrainske hackere politiets datamaskiner

Tore Neset, redaktør i digi.no og Itavisen.no skriver et friskt innlegg i dag, titulert «Vekk med Windows». Bakgrunnen for dette er at mens både Kripos, helse vest og det norske politiet har latt store deler av sine datanettverk styres av kriminelle ukrainske hackere, bytter det franske politiet ut sine 90.000 Windows-klienter med Ubuntu. De har bare byttet ut 5.000 så langt siden 2004, men har allerede spart 50 millioner euro(!) på lisenser og vedlikeholdskostnader.

Der har vi fått det oppsummert svart på hvitt, at Windows-plattformen er veldig utsatt for virus, og at Ubuntu ikke bare er billigere lisensmessig (gratis lisens, last ned og installer nå!), men også enklere og billigere i drift.

Ja, hva venter vi på? At alle tjenester vi har skal bli slått ut av virus før det skjer noe? Nei! Nok sløsing på leketøy!

Bortsett fra at det er ustabilt på grunn av skrotprogramvare og virusjaget har jeg ikke noe personlig mot Windows. Det spiller mange av spillene dine best. Derimot har jeg noe mot lukket kode i offentlig sektor, da jeg mener lukket kode er nødt til å bli dårligere enn åpen kode. Grunnen til dette er svært enkel. Kode er matte. Det finnes regler for matte, og regler for sikker kode. Åpen kode kan enkelt sjekkes av hvem som helst, og det er ikke så vanskelig å forstå for en programmerer. Siden åpen kode skal sees av mange legger man seg gjerne litt mer flid når man skriver den i utgangspunktet også. Erfaringer viser også at fri programvareprosjekter er nesten 3 ganger så raske til å tette igjen sikkerhetshull som Microsoft.

Hvis man er Kripos, eller Norge, eller USA hadde man kanskje ønsket å ansette er par stykker til å se gjennom kildekoden til det man bruker før alt blir fjernstyrt fra Ukraina?

Det burde være et krav fra det offentlige om at innkjøpt programvare bør kunne sjekkes, videreutvikles og gjenbrukes.

Det rare med hele saken er at når det gjelder hva som helst innenfor offentlig sektor, så skal det spares. Skal du kjøpe noe må du ha en god grunn til det. Når det gjelder programvare så er dette anderledes; du får Microsoft Windows, Internet Explorer og Microsoft Office selv om du ikke trenger det.

Allerede i 2004 var det flere skoler og instanser som gikk over til linux. Hvis de har klart det i 5 år, skulle ikke resten snart kunne følge? Dette er ikke et teknisk spørsmål, men et politisk.

Lurte du på hvordan i all verden ukrainske hackere kan fjernstyre norsk politis datamaskiner? Det er dessverre alt for enkelt. Det er bare snakk om å følge med på varslede sårbarheter og konseptkode, implementere den i et program som sjekker etter oppdateringer og gir dem kontroll over datamaskinen, og spre dette. Det viser seg at svært mange ikke rekker å oppdatere alle sine maskiner på et halvt år, så da er det bare å kjøre på.

Når først man har fått inn en ondvare på en maskin, kan man gjøre akkurat som man vil. For eksempel sette inn en ondvare til, bedre gjemt enn den første slik at man bevarer kontrollen selv etter fjerning. Man kan selvfølgelig få lastet ned alle data fra maskinen, og man kan logge tastetrykk og skjermbilder. Hele datamaskinen og alle dens tilganger er da helt i hendene på den som har laget den ondsinnede programvaren. Dette er ikke storm i et vannglass, dette er storm i en orkan.

VG melder at politiet neppe var utsatt for et målrettet angrep, og neida, dette var ikke et målrettet angrep. Men kan noen fortelle meg hvor mange målrettede angrep som har vært utført siden oktober i fjor? – Nei det er det ingen som kan, for det er ingen måte å finne ut det på. Hvis noen lager egen kode for å angripe en enkelt aktør vil ikke antivirusselskapene få tak i programvare, og dermed ikke få laget noe som kan finne den igjen. Det er på tide at politikere innser hvor alvorlig dette faktisk er.

Datasikkerhet er en vits, bruk hjelm

Jeg har sagt det før, og jeg kan si det igjen. Datasikkerhet er en vits. Passordet på datamaskinen din er en gummistrikk som lås på skuffen hvor du oppbevarer viktige papirer. Nøkkelen til det trådløse nettverket ditt er en kost på døren. Trafikken som sendes over nettverket ditt er sammenbrettet papir. Alt dette bør du være klar over når du bruker IKT.

Det som er hakket værre er at Windows-maskinen din kan tas over og fjernstyres til hva som helst. Det som er enda værre er at mange sykehus, millitærdivisjoner, banker og andre enheter som man ville forvente var sikret mot slikt gang på gang blir tatt over av kriminelle.

Nettopp ble det kjent at opp til 100 millioner bankkontoer har blitt stjålet fra Heartland Payment Systems. Heartland vet foreløpig ikke hvor mange av disse kontoene som har blitt misbrukt, men sikkerhetseksperter uttaler at man må regne med at all data er kompromittert, inntil det motsatte er bevist. Hva skjedde? Jo, det var det samme igjen, en Windows-boks har blitt infisert av ondvare og spist seg inn i nettverket som utfører transaksjonene. Ondvaren brukte et sikkerhetshull i Windows som nå er tettet. Samtidig vokser konfigurasjonspulern (tysk: conficker) seg stadig større og har nå nådd over 9 millioner datamaskiner. Spredningen av denne ormen utføres på flere måter. En av spredningsmåtene er gjennom sikkerhetshullet i Windows Server service, som ble tettet av Microsoft i oktober. Desverre er det mange som ikke har fått oppdatert maskinen sin siden da, og får viruset bare ved å være tilkoblet internett.

En annen spredningsmetode er gjennom eksterne lagringsenheter, noe som minner meg om gamle dager. Det viser seg at ved å benytte en infisert USB-disk eller lignende vil viruset i mange tilfeller komme seg inn på datamaskinen, bare ved at du klikker vis filene på enheten, eller klikker på ikonet for flyttbar disk i Windows Utforsker.

Du bør følge Microsofts råd, og eventuelle nye oppdateringer av saken.

Conficker utnytter et gammelt sikkerhetshull, og skaden har antakelig blitt betydelig begrenset av ondvareforfatterens treghet. Alle ormens mekanismer kunne vært skrevet ferdig og lagt på vent til et sikkerhetshull ble avdekket, og blitt lansert måneder tidligere. Kildekoden til hvordan man utnytter Windows server service hullet har vært tilgjengelig for hvem som helst siden oktober. Enkelte miljø har visst om metoden for å utnytte hullet siden mai.

Det vi har sett nå er ingenting. En dag får vi en orm med like gode spredningsegenskaper som utnytter et par av de hundrevis av utettede hullene. Bare Zero Day Initiative lister 15 utettede Microsoft-hull, og litt færre hull hos mange store programvareleverandører. Enkelte av dem har leverandøren blitt varslet om for flere år siden. Zero Day Initiative er de snille, de slemme lister ikke hullene de finner. Antall tettede hull har ingen betydning, det er antall ikke tettede hull som teller.

På det tidspunktet er man prisgitt at forfatteren av ondvaren «bare» forsøker å lage et nytt botnet, og ikke har til hensikt å ødelegge, stjele eller frigi data som måtte finnes hos den infiserte.

Inntill videre, så lenge linux går klar av all levende ondvare, holder jeg meg til det. En dag kommer det vel litt mer hit, men for nå, og de siste årene har jeg kunnet drikke kaffe og slappe av, mens de andre har hatt velbegrunnet panikk. Bruk hjelm når du sykler, bruk bilbelte når du kjører og bruk linux når du surfer. Lykke til!

Linker:
US-CERT: Microsoft Windows Does Not Disable AutoRun Properly
VG: Norske bankkort undersøkes etter kortsvindel
VG: Hacket flere millioner bankkort
digi.no: Conficker har smittet ni millioner
dinside.no: sikrer deg mot nettyveriKommentar: Tja, ikke helt, og du utsetter USB-lagringsenheten din for infeksjon av skadelig programvare.

Ondsinnet programvare for linux

Ondsinnet programvare er programvare som er laget for å tjene ett annet formål enn å tjene brukeren av datamaskinen. Det kan være virus, trojaner, eller andre varianter, alle samlet under begrepet malware på engelsk. Hvis jeg kan få lov til å finne på et nytt ord, så blir det i dag: Ondvare.

Jeg har som mange andre lagt merke til den enorme økningen i antall trojanere siden 2007, og det føles ikke særlig betryggende å høre at vi snart er oppe i en million ondvare, hvor det å ta kontroll over PCer og å stjele passord er mest interessant for utviklere av denne ondsinnede programvaren. Programvaren har som mål å enten finne passord og kredittkortopplysninger, eller å fjernstyre datamaskinen din, slik at den kan brukes til svindel og angrep av andre.

Selv bruker jeg Ubuntu på min bærbare, og var litt usikker på hvordan denne enorme økningen i ondsinnet programvare påvirker min datamaskin, så jeg startet forholdsvis tidlig i kveld med å google etter informasjon om virus på linux. Jeg fant ut at det var nesten 900 virus til linux i 2005, men at de blir tatt hånd om av linux-kjernen. Mye gammel informasjon her, så jeg forsøker meg på å søke etter nyere informasjon, så jeg går altså inn på “Avansert søk”. – Noen burde forresten fortelle google at “Avansert søk”-feltene kunne vært på forsiden, i det minste som en opsjon under “Innstillinger”. Jeg fant nyere info, men ikke helt det jeg var ute etter. På en av de første sidene kunne nettleseren min fortelle meg at dette så ut som en angrepsside, og at jeg måtte komme meg bort der fra. Litt senere finner jeg en side hvor det står om et linux-virus som det ikke finnes fiks for, men det viste seg å være en aprilspøk.

Jeg ser gjennom sidene til flere antivirus-leverandører, og mange av dem leverer antivirusprogramvare til linux, men ingen forteller hvor mange linux-virus den tar. Jeg finner ut at du bør ha antivirus på linux hvis du mellomlagrer Windows-filer og Microsoft Office-filer, og hvis du har en epostserver, for å se gjennom eposten som passerer.

Etter mye leting finner jeg endelig et skjermbilde av linux med virus på. I dette tilfellet var det virus laget for Windows som ble kjørt under Wine. For ordens skyld, så er Wine et program som lar deg kjøre Windows-program under linux.

Men jeg finner mer.. I august i år ble det funnet ett virus, Phalanx2, som kunne infisere enkelte varianter av linux, herunder Debian og Ubuntu. Viruset kan benytte seg av et hull som ble fikset i mai for å få tak i SSH-nøkler, og så et annet hull som ble fikset dagen etter viruset ble observert. Med andre ord hvis du har fikset Debian eller -avarten siden mai har du ingenting å frykte.

Det finnes to viktige årsaker til at ondsinnet programvare i hovedsak ikke er et problem for de som bruker linux på sin datamaskin. Den ene er at de som lager ondsinnet programvare ønsker å treffe flest mulig, og siden over 90 % av skrivebordsdatamaskiner er Windows-basert sier det seg selv at sjansen for å infisere mange maskiner er større enn mot linux sine knappe 4 %. Den andre årsaken er at linux’ håndtering av nettverkskommunikasjon er gjennomtenkt av mange tusen mennesker. Åpen kildekode har vist seg å utvikle seg til å bli svært god over tid.

Siden jeg oppdaterer maskinen min daglig ser jeg ingen grunn til å bruke masse systemressurser på å ha antivirus-program på min bærbare.