Per Hellqvist om IT-säkerhet och sånt

FBIFBI skickade i dagarna ut ett varningsmeddelande till amerikanska företag. Detta efter det att elak kod som helt raderar hårddiskar upptäckts. Enligt rapporten “blankas” hela hårddisken, inklusive MBR etc, vilket gör att maskinen inte ens startar upp.

(Symantec kallar den Backdoor.Destover)

Det är såklart ett mycket allvarligt läge man hamnar i efter en sådan attack. Om den koordineras och om den först fått tid att sprida sig i ett företagsnätverk för att sedan aktivera, t ex vid en förutbestämd tidpunkt, så kan man effektivt slå ut i princip ett helt företag.

Det finns en mängd åtgärder man kan vidta för att undvika att ett sådant scenario uppstår. Det är inga nyheter, utan samma råd vi alltid ger.

En del gäspar när vi tar upp dem. Men det finns två skäl till att vi upprepar samma visa gång på gång: 1. Folk gäspar när vi tar upp dem och lyssnar inte och 2. De fungerar.

Så, låt oss ta dem igen:

Red_onions1-300x2231. Använd flera olika skyddslager.
Idag finns i princip inte “antivirusprogram” i dess klassiska form längre. Istället säljer de större tillverkarna “säkerhetspaket” med flera olika skyddstekniker. Vi på Symantec säljer Norton Security till hemanvändare och Symantec Endpoint Protection till företagskunder. I dessa paket finns bland annat antivirusprogram, intrångsdetektion och brandvägg. Flera olika skyddstekniker som tittar på problemet (indatat…) från flera olika synvinklar för att avgöra vad som är snällt och vad som är kan vara elakt.

När vi tittar på vilken del som stoppar flest hot är det faktiskt intrångsdetektionen och inte antivirusprogrammet eller brandväggen som många tror. Det är för att dagens attacker oftast kommer i form av ett utnyttjande av ett säkerhetshål som inte täppts till på datorn. Det är toppen att IDSen upptäcker det, för då har det inte skrivits något till hårddisken. Att mota Olle i grind är viktigt.

Som steg två kommer antivirusdelen. Det vanligaste sättet att bli infekterad idag (förutom via webbattacker) är fortfarande när användaren klickar på en bilaga i e-posten eller på en länk. Då är det ofta den heuristiska motorn (som letar efter virusliknande beteenden) eller den lite nyare ryktesbaserade motorn som reagerar.
Backup-Services2. Backup/säkerhetskopiering.
Jag vet inte varför detta inte fungerar ute i världen, men det borde vara världens enklaste sak att se till att detta fungerar. Dagens program är så enkla att till och med barn kan använda dem. På hemdatorn klickar man 1. vad som ska tas backup på (bilder, mappar, enheter eller vad som helst) 2. var backupen ska lagras (USB, DVD, lagringsenhet, molnet etc) och 3. Om det ska ske kontinuerligt eller vid vissa tidpunkter. På företagsdatorer är det ännu enklare. Där ställer bara admin in hur det ska fungera.

Har man en bra säkerhetskopiering så är destruktiv elak kod ett mindre problem. Då är det ju bara att återställa från säkerhetskopian så är man igång igen. Dessutom, om datorn/paddan/telefonen stjäls så har inte allt försvunnit. Dessutom kan säkerhetsavdelningen i det fallet titta igenom säkerhetskopian för att se vilken information som nu kan antas vara på vift.

Network3. Nätverket
De två första stegen gällde klienter, för att det är idag ofta klienter som får ta den stora smällen när det gäller att hålla emot attacker. Vi är ofta ute och reser/jobbar hemma etc och tillbringar mer och mer tid utanför företagets skyddande murar.

I företagsnätverket bygger man säkerhet på ungefär samma sätt, men man har kraftigare murar. Man kan filtrera och analysera nätverkstrafiken, sätta kraftiga IDSer, sätta upp proxyservrar och virusscanna all trafik.

Samma grundregel gäller. Lager på lager med olika säkerhetsteknologier som tittar på problemet från olika synvinklar. Och sen en bra säkerhetskopiering på toppen.

Destruktiv elak kod dyker upp lite då och då. De är som tur är väldigt ovanliga eftersom de motverkar själva syftet med elak kod. Skaparna vill ju gärna att koden ska ligga kvar hos offret så länge som möjligt för att kunna tjäna mer pengar, avlyssnar längre eller använda datorn i attacker. Om man förstör “värddatorn” så sabbar man liksom affärsmöjligheterna samtidigt.

Men destruktiv kod används i andra syften är “vanlig” elak kod. Det används ofta i utpressningssyfte, eller i politiskt syfte. Som nu.

Fortsätt sträva mot att bygga upp ett motståndskraftigt försvar. Det är inte så himla svårt.

Lycka till!

Taggar: Allmänt, Backup, Hackers, Jobbigt, Riktade attacker, Säkerhetshål, Trojaner, Virus

Kommentarer

2 kommentarer to “Destruktiv elak kod – inte så farligt om man är förberedd”

  1. height growth exercises on August 23rd, 2015 16:29

    height growth exercises

    Destruktiv elak kod – inte så farligt om man är förberedd | Säkerhet & Sånt

  2. youtube marketing on July 11th, 2016 02:27

    youtube marketing

    Destruktiv elak kod – inte så farligt om man är förberedd | Säkerhet & Sånt

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.