• Andra sidor

  • Om Per Hellqvist
• Search for:

• Senast skrivet

  • Lura “polis-trojanen”?
  • “Ny” elaking låser datorn och kräver lösensumma
  • Updatera Windows omgående
  • Falska supportsamtal från Microsoft
  • Prova en annan DNS – snabbare, säkrare
  • Security Awards 2012 – Dags att nominera!
  • Om den stulna källkoden
  • Kom till Easyfairs!
  • Klumpigt phishingförsök
  • Extra patch från Microsoft ikväll
  • Om barn på internet, elak kod i mobiler, bovar och bedragare.
  • Om säkerhet i mobiler
  • Otur? Pyttsan!
  • Om den senaste tidens datorhaverier
  • Molnet eller hemma?

• Arkiv

  Select Month March 2012  (3) February 2012  (4) January 2012  (1) December 2011  (6) November 2011  (6) January 2011  (1) November 2010  (5) October 2010  (7) September 2010  (3) June 2010  (2) May 2010  (4) April 2010  (3) March 2010  (5) January 2010  (2) December 2009  (11) November 2009  (18) October 2009  (11) February 2008  (3) January 2008  (23) December 2007  (5) November 2007  (15) October 2007  (11) September 2007  (11) August 2007  (8) February 2007  (1) January 2007  (1) December 2006  (5) November 2006  (2) October 2006  (1) September 2006  (12) August 2006  (1) June 2006  (2) May 2006  (5) April 2006  (5) February 2006  (3) January 2006  (12) December 2005  (2) November 2005  (20) October 2005  (3) September 2005  (5) June 2005  (3) May 2005  (7) April 2005  (4) March 2005  (24) February 2005  (8) January 2005  (16) December 2004  (19)

• Kategorier

  Select Category Adobe  (6) Allmänt  (98) Android  (2) Apple  (8) Autenticering  (1) Backup  (4) Barn och Internet  (2) barn på internet  (6) Bedrägerier  (25) Botnets  (11) Defacement  (4) Facebook  (7) Falsk virusvarning  (5) Firefox  (6) Flash  (1) Framträdanden  (18) Grooming  (1) Hackers  (13) Handbok för föräldrar  (6) Hoax  (4) Intrång  (25) Intressant  (29) iPhone  (6) Jobbigt  (20) Konferenser  (17) Korkat  (24) Kryptering  (6) Kul  (13) Läsvärt  (24) Maffian  (1) Microsoft  (9) Mobiltelefoner  (5) Molnet  (1) Norton360  (1) Och sånt  (13) Överbelastningsattacker  (2) Patch  (1) Personlig integritet  (7) Phishing  (14) Riktade attacker  (1) Rootkits  (1) Säkerhetshål  (30) Security 2.0  (1) Security through Obscurity  (2) Självförhärligande  (11) Skydda ditt barn på Internet  (2) Skype  (5) Spam  (10) SurfaLugnt  (3) Symantec  (6) Symantec Security Briefing  (1) Trams  (13) Trojaner  (23) Twitter  (3) Uncategorized  (156) Virus  (18) Vishing  (1) Webbläsare  (6)

• Blogroll

  • Fraudwar – en blog om bedrägerier på internet
  • Joachim Strömbergson bloggar om kryptografi mm
  • Mark Russinovichs Blog
  • Schneier on Security
  • Symantec Security Response Blog

• Meta

  • Register
  • Log in
  • Entries RSS
  • Comments RSS
  • WordPress.org

• Spam blockerade

  20,955 spam comments blocked by
  Akismet

• Sidan designad av

  

• Bara en räknare

För ett par dagar sen skrev jag om ett nytt gissel. Det handlar om en utpressningstrojan vid namn Ransomlock som låtsas komma från svenska polisen och du krävs på bötesbelopp för något påhittat brott. Hela datorn låses tills dess du betalat. Du kan läsa orginalposten här.

(och jisses vad det smällde till i besöksstatistiken när både DN, TKJ och IDG länkade till bloggposten. Kul att så många verkar vara intresserade av säkerhet! Trist dock att så många verkar ha råkat illa ut…)

I många fall går det att lura dessa utpressningstrojaner. Tillverkarna har lagt in olika sätt att avaktivera dem. Kanske för att de ska kunna testa själva, kanske för att det helt enkelt är sättet de har att ge tillbaka kontrollen till dig när du betalat.

I fallet med den aktuella “polis-trojanen” Ransomlock så verkar det som om de inte ger dig tillbaka kontrollen även om du betalat. Uslingar.

Dock verkar det som om även dessa personer byggt in funktioner för att avaktivera trojanen! Kompisarna på Hispasec lade upp denna sida för ett par dagar sedan (kör den genom Google översätt om du är lite knackig på spanska).

Där skriver de att det verkar som om man kan avaktivera trojanen på två sätt:

1. Lägg en tom fil i samma katalog som trojanens egna filer. Namnet på filen ska vara pinok.txt. (Pinok betyder för övrigt “sparka” på ryska. Oklart varför man valt detta namn)

Nu kanske det är rätt svårt att veta var på datorn trojanen lagt sig, vilket gör att tips två kanske är bättre:

2. Det verkar som om trojanen har en “default-kod” som den lyssnar efter. Prova att skriva in 1029384756 som Ukash-kod.

Förhoppningsvis fungerar det. Det finns dock en risk att det är olika defaultkoder på olika varianter av trojanen, men man vet aldrig. Kanske någon drabbad kan tänka sig att prova och skriva i kommentaren här om det fungerade?

Taggar: Trojaner

Ibland är elakingarna förutsägbara och tråkiga, och ibland är de lite uppfinningsrika. Nu har en ny variant av en lite äldre trojan dykt upp, denna gång på svenska.

Det handlar om en så kallad lösensummetrojan (smaka på det ordet… Ransomware på engelska). Denna är väldigt elak och jobbig. När den aktiverar lägger den upp en bild över hela skärmen och stänger av tangentbord och mus. Man kan liksom inte göra så mycket då.

Jag vet inte exakt vilken version av trojanen det handlar om eftersom jag inte fått in någon exempelfil. Tyvärr vet jag heller inte var den kommer ifrån. Personen ville inte uppge det. Dock medgav personen att det handlade om … ska vi kalla det en “natursida” med många hudfärgade pixlar på bilderna (om du förstår vad jag menar). Så här ser det ut när man är …toast… (klicka på bilden för större version):

Som du ser så är det polis-loggor överallt och hela skärmen är täckt. Det är rätt snyggt gjort. Man har helt enkelt kört upp ett Internet Explorer-fönster i helskärmsläge. På maskinöversatt svenska står det att man gjort en massa brott och att polisen blockerat datorn så att man inte kan göra vidare brott. För att få tillbaka sin dator måste man betala böter på 100 Euro. Hmm… bara det borde vara en fingervisning om att inte allt står rätt till.

Om det är en ny variant av en äldre trojan (vilket jag misstänker) så handlar det om trojanen Ransomlock som nu alltså kommit i en svensk variant. Den är som du märker väldigt jobbig när man fått in den. Inte nog med att datorn är låst tills man betalar lösensumman – den stjäl information också! I tidigare varianter har den stulit lösenord till e-posten, pokersajter, FTP-konton, certifikat etc. Om man råkar ut för denna så är det viktigt att man byter samtliga lösenord efteråt.

Denna är mycket svår att få bort. Speciellt eftersom den låser ned datorn och startar varje gång man startar om Windows. Ett sätt kan vara att boota om datorn från Windows-skivan och välja att reparera en trasig installation. Ett annat kan vara att starta om i felsäkert läge och sen köra Norton Power Eraser och försöka få bort trojanen den vägen.

Eftersom man inte vet vad mer trojanen kan ha laddat ned så är det säkraste alltid att installera om Windows. Har du en bra backup så är det inga problem. Kom dock ihåg att inte ta backup på program utan bara bilder, musik och egenskapade filer (.doc, .xls etc). Installera om programmen från orginalmedia efter ominstallationen av Windows.

Som jag skrev ovan vet jag tyvärr inte var den kommer ifrån. Dock misstänker jag att man infekterar dig automatiskt när du kommer in på en preparerad sida med hjälp av ett kommersiellt attackverktyg vid namn Black Hole Exploit Kit. Det är ett av de attackverktyg som används mest de senaste åren. Den är mycket avancerad och “pålitlig”. De som köper och använder den kan räkna med en bra “return on investment”. Som vanligt gäller det att hålla datorn uppdaterad. Ofta använder de attacker mot tidigare kända säkerhetshål för att infektera dig. Håller du datorn uppdaterad minskar den risken.

En gissning är att trojanen är rysk till ursprunget. När de som ligger bakom den registrerar domäner för sina elakheter så använder de ofta e-postadresser som slutar på .ru. Det kan dock vara så att det handlar om kapade mejladresser som råkar vara ryska, men det är nog en rätt kvalificerad gissning att elakingarna bakom den är ryssar.

Vi tittar vidare på detta och jag kommer återkomma om och när vi får reda på något mer. Vet du mer om denna så får du gärna höra av dig. Speciellt om du vet var man kan hitta en preparerad webbsida. Vi vill såklart ha tag i trojanen så vi kan lägga in den i våra skyddsprogram.

Uppdatering: Det finns kanske ett sätt att lura trojanen. Läs detta och prova om du råkat illa ut.

Taggar: Bedrägerier, Intrång, Jobbigt, Säkerhetshål, Trojaner

Igår släpptes den månadsvisa uppdateringen från Microsoft. En av dessa är kritisk. Den är dessutom väldigt kritisk. Vissa säkerhetshål ska det mycket till för att elakingarna ska kunna utnyttja den, medan andra är lättare. Denna är av typen som går att göra automatiskt spridande maskar av. Med andra ord räcker det med att ha datorn igång för att man ska kunna infektera datorn (vissa förbehåll).

Sårbarheten finns i Remote Desktop Protocol (RDP), på svenska “Fjärrskrivbord“,  som normalt används av supportavdelningen. Den är enligt uppgift avstängd som standard, men på en hel del företag är den påslagen. Med andra ord är det förmodligen ingen större fara för din hemdator, men jobbdatorn kan IT-avdelningen behöva hantera skyndsamt.

På din hemdator bör du få uppdateringen automatiskt inom 24 timmar från det att den släppts. Med andra ord borde du redan fått frågan när du läser detta. Dröj inte med att uppdatera Windows när frågan kommer. Är du orolig eller om du inte vill vänta kan du köra Windows Update manuellt. Du hittar den under Kontrollpanelen och i Internet Explorer (under Tools ellerVerktyg beroende på språk).

Mer information om säkerhetshålet finns på Microsofts sida. De förutsäger själva att denna sårbarhet borde vara såpass intressant för elakingarna att det borde dyka upp en mask inom en månad. Det är mycket ovanligt att Microsoft själva uttrycker sig så, vilket understryker allvarligheten.

Senast när jag kollade RDP-trafiken (vid 15-tiden i eftermiddags) på Internet så såg vi ingen onormal ökning i trafiken. Detta tyder på att det ännu inte är så mycket på gång. Men det kommer förmodligen ändras.

Ingen vet vad en sån mask (eller annan elak kod) kan tänkas göra, men eftersom sårbarheten finns i en del som normalt används för att fjärrstyra datorer så kan man anta att det kommer ge elakingarna kontroll över datorn. Inge vidare med andra ord.

Så här ser användargränssnittet för RDP ut (ifall någon tycker det är spännande)

 

Taggar: Jobbigt, Microsoft, Patch, Säkerhetshål

Under en tid har en grupp riktat in sig på en sårbarhet som inte går att patcha – människan. De ringer upp “vanligt folk” och presenterar sig som om de kommer från Microsofts supportavdelning. Därefter försöker de lura dig att installera program eller också fipplar de omkring i datorn via fjärrstyrning och debiterar dig sedan för “jobbet”.

Rent bedrägeri med andra ord.

Tumregeln är: Microsoft kommer aldrig ringa upp dig om du inte kontaktat dem först och bett dem ringa. Lägg på luren direkt.

Tom Aafloen har ett bra blogginlägg här

Microsoft säger sitt här

Microsoft har även en specialsida om bedrägerierna här

Polisen har till och med uppmärksammat problemet och skriver om det här

Sprid gärna varningen vidare till vänner och bekanta. Speciellt de som inte är så datorvana.

 

Taggar: Bedrägerier, Intrång, Jobbigt, Microsoft

Det skrivs en del om DNSer nu. Enligt uppgift kommer FBI stänga ned en del ful-DNSer som elakingar satt upp. De som är infekterade med en speciellt elak trojan som kallas DNSChanger kommer efter det inte kunna surfa då DNSerna sköter uppslagningen mellan “www-namnet” och webbserverns IP-adress.

Läs mer på IDG.

Oavsett vad så kan jag varmt rekommendera dig att prova vår tjänst Norton DNS. Den är helt gratis att använda. Vi tillhandahåller den utan kostnad för hemanvändare och för företag av olika slag om man blir partner (mycket bra om man har t ex ett internet-café)

Du byter helt enkelt ut de DNS-inställningar du har idag (t ex i din bredbandsrouter) mot dns.norton.com. Så enkelt är det. Fullständiga instruktioner finner du på sajten.

När du sedan surfar ser vi automatiskt till att du inte hamnar på elaka sajter. Jag märkte själv att det gick snabbare att surfa efter det att jag bytt. Det verkar som om vår DNS är snabbare än min internetleverantörs.

Prova själv och säg vad du tycker.

Ett blogginlägg omatt elakingarna bakom DNS Changer åkt dit

FBI har en lång och intressant historia om gänget

Är du orolig och undrar om du är infekterad så rekommenderar jag dig att ladda ned vårt gratisverktyg Norton Power Eraser. Den tar bort mycket av det som vanliga antivirusprogram har svårt med.

Taggar: Allmänt

Tidigt i morse (enligt min tidsuppfattning) sparkade vi äntligen igång juryarbetet inför årets upplaga av Security Awards! Under ett par månader kommer ett 50-tal personer från hela säkerhetsbranschen sammanstråla ett par gånger och fundera ut vilka de värdiga vinnarna av detta fina pris är.

Årets upplaga är den tredje och det växer varje år. Nu är det upp till dig att nominera den/de som du tycker är värd priset så att vi har något att välja mellan.

Det finns hela tolv kategorier att välja mellan:

• Årets Säkerhetsarbete i kommun
• Årets Säkerhetskonsult
• Årets Säkraste Utbildningsplats
• Årets Risk Managementarbete
• Årets IT-säkerhetslösning
• Årets Säkerhetsföretag
• Årets säkerhetsarbete i landsting
• Årets Säkerhetselev
• Årets Bevakningsföretag
• Årets Säkerhetslösning
• Årets Säkerhetsperson
• Årets Säkerhetsnål

Jag sitter själv i juryn för Årets IT-säkerhetslösning, och även fast jag själv arbetar för Symantec så svär jag att hålla mig absolut opartisk. Arrangören gjorde samma bedömning innan de frågade mig. Jag satt även med i juryn förra året utan anmärkning

Trots att jag sitter i en av jurygrupperna går det självklart att nominera mig om du så vill Förslagsvis i kategorierna Årets Säkerhetsperson eller Årets Säkerhetsnål.

Du får nominera hur många lösningar till hur många kategorier du vill, så när du nominerat mig så fortsätt med en annan

Vi vill ha många förslag att välja mellan för att göra det riktigt bra. Det finns massor med bra säkerhetsarbete och säkerhetsfolk därute som är väl värda att lyftas fram och belönas. Vem/Vilka tycker du?

Och du? Glöm inte boka in den 20 september i kalendern. Då delas priset ut på SKYDD-mässan.

Läs mer om kategorierna och nominera här

Bilder på förra årets vinnare här

Taggar: Allmänt, Framträdanden, Kul, Och sånt, Självförhärligande

Jag får lite frågor om varför jag inte bloggat om det pågående fallet kring vår källkod. Så, jag gör väl det

Historien så här långt: För ett tag sedan går en grupp ut med informationen om att de har källkoden till ett antal av våra produkter. Denna grupp har tidigare gjort sig kända för att komma med uttalanden som inte stämmer och de har tidigare sagt sig ha information som de kommer att släppa publikt, men sedan inte gjort.

Lite senare dyker det upp en fil-lista som vi tittar på och ser att, visst, det ser ut som filer från vår källkod. Men för väldigt gamla produkter.

Vi kan efter egna spårningar bekräfta att det är vår källkod och att någon kommit över dem för sex-sju år sedan. De produkter man tillskansat sig källkod till är alltså mycket gamla. Vissa av produkterna finns inte längre och andra har helt omskriven källkod. När det gäller PcAnywhere är det lite annorlunda. Det visar sig att rätt många fortfarande använder gamla versioner helt enkelt för att de fungerar och då ser man sig inte nödgade att uppdatera, mer om det längre ned.

Nu ska man veta att vanliga datoranvändare inte har någon som helst nytta av källkoden. Man kan inte installera (piratanvända) den som ett vanligt program. De som vet vad de sysslar med kan dock gå igenom koden och leta svagheter som man sedan kan attackera.

Vi sätter oss själva och går igenom källkoden och letar efter sårbarheter. Vi hittar ett par och skriver fellagningar som sedan publiceras på denna sida tillsammans med utförliga instruktioner om hur man ska göra.

I början av året kontaktas vi av någon eller några som säger sig representera gruppen Anonymous. De vill ha $50.000 mot att de inte ska publicera koden publikt. Klassisk och simpel utpressning med andra ord. Vi gör som man ska göra när det handlar om utpressning och kontaktar polisen. De tar över kommunikationen med utpressarna och försöker få tag på dem. Något händer och personerna inser att de inte kommer få några pengar (vilket de inte skulle fått oavsett vad). Då går man ut med en story om att VI kontaktat dem och försökt muta dem att inte släppa källkoden. Omvärlden går inte på det och då beslutar man sig för att publicera källkoden.

05.40 igår svensk tid lades en torrent till källkoden upp på Pirate Bay.

Jag vill passa på att påpeka två saker: 1. Som vanlig användare har man absolut ingen nytta av att ladda ned koden. Det är inte ett program, det är källkod. 2. Genom att ladda ned koden så gör man sig skyldig till upphovsrättsbrott.

Så vad händer nu? Polisen gör sitt jobb och hjälper oss spåra upp brottslingarna och i övrigt gör vi som vi alltid gör och har alla antenner uppe i jakten på attacker. Vårt uppdrag är att skydda våra kunder mot alla typer av attacker oavsett om attackerna sker mot andras eller våra egna produkter. Upptäcks det nya sårbarheter eller om vi ser attacker kommer vi som vanligt skydda våra kunder med kraft.

En vanlig fråga jag får från kunder är “Bör jag vara orolig?”. Det enkla svaret är – “nej”. Vi har gjort bedömningen att användare av de produkter vars källkod nu är på vift inte är i farozonen. Dessutom – använder man fortfarande så gamla säkerhetsprodukter så har man i realiteten inget skydd ändå. Använder du PcAnywhere ber vi dig ladda ned och installera de fellagningar vi lägger ut på denna sida och i övrigt arbeta med säkerheten som vanligt.

Man kan tycka vad man vill om det inträffade, men hur man än vrider och vänder på det har vi utsatts för brott och de som gjort detta är brottslingar. De som bidrar till att sprida koderna gör sig också skyldiga till brott.

Vi är vi ett brottsoffer. Det är surt. Vårt källkod är på vift. Det är surt. Men det som känns som ett riktigt lågvattenmärke är att vissa marknadskollegor med riktigt dåligt omdöme nu försöker utnyttja situationen för att sälja sina produkter. Man kontaktar våra kunder och använder det som kallas FUD (Fear, Uncertainty and Doubt) för att få våra kunder att byta säkerhetsleverantör. Detta är på alla sätt uselt och jag hoppas verkligen att ingen går på deras ytterst tvivelaktiga arbetsmetoder. Man brukar säga att “all is fair in love, sales and war”, men ibland går vissa över gränsen. Jag hoppas att det slår tillbaka på dem karmas  fulla kraft. Jag har brev som bevis och överväger att publicera dem här för att visa på barnsligheterna. Innan jag gör det vill jag dock ha tag i företaget i fråga för en kommentar (som såklart publiceras tillsammans med ett eventuellt blogginlägg).

Jag har egentligen inget mer att säga om intrånget eller källkodssläppet. Men om det dyker något mer intressant så skriver jag såklart om det. I övrigt är det business as usual. Uppdatera när det kommer uppdateringar och håll ett ständigt vakande öga på nätverket och datorerna så löser sig det mesta.

Taggar: Intrång, Intressant, Jobbigt, Korkat, Läsvärt, Säkerhetshål, Symantec, Trams

Är på EasyFairs i Göteborg imorgon onsdag. Håller en mycket spännande presentation kl 11.15 på säkerhetscenen. Kom gärna förbi och hälsa på!

Och är ni inte i Göteborg så talar jag även när Easyfairs kommer till Stockholm den 16-17 mars.

Välkomna!

Taggar: Allmänt, Framträdanden, Intressant

Normalt sett använder elakingarna olika trick för att dölja luringar i phishing-mejlen. Ibland inte. Finn felet

 

Dear Visa User,

Our records show that someone tried to reset the password on your Verified by Visa account.

We have set a temporary password for your account:Yvj4@r6
Please sign in to your account and change it as fast as possible:

http://verified.visa.com.webserv.is-very-evil.org/visa/index.php?CustomerID=MV923N

Thank you,
The Visa Support Team

Visst. Länken går ju inte till Visa. Domänen är ju det som kommer precis innan toppdomänen (i det här fallet .org) och snedstrecket. Det spelar ingen roll vad som står efter snedstrecken och heller inte vad som står mellan de första punkterna i URLen. Det är snedstrecket som gäller. I det här fallet går länken inte till visa.com utan till den minst sagt suspekta domänen “is-very-evil.org”.

Man kunde lika gärna skrivit “pannkaka.is-very-evil.org” eller vad som helst. Men för att försöka lura dem som inte läser så noga innan de klickar så skrev man “verified.visa.com” (istället för pannkaka eller cykelpump).

Ett annat tecken på att det inte är en “säker” sajt som länken pekar emot är att den börjar med “http” istället för “https”. Det extra “s”-et visar på att sajten använder SSL, alltså en krypterad överföring. Banker, kreditkortsbolag med flera använder sådana. Bedragare gör det i de allra flesta fall inte.

Klicka inte på sånt här.

 

Taggar: Bedrägerier, Phishing

Ville bara göra dig uppmärksam på att Microsoft släpper en kritisk fellagning ikväll. Bara att hänga på. Mer information här

 

Taggar: Microsoft, Säkerhetshål

keep looking »