Masseangrep mot norske nettsider pågår nå!

2009-11-02T11:31:00.005+01:00

Preben Nyløkken, senior sikkerhetskonsulent, Watchcom

Det populære bloggverktøyet ”WordPress” har vært mye under angrep av datakriminelle, og Watchcom Graywolf har nå detektert en ny angrepsbølge som rammer flere norske nettsteder. Det er derfor meget viktig at de som kjører WordPress i sin bedrift oppdaterer denne til siste versjon umiddelbart – da denne skal være fri for sårbarheten de kriminelle utnytter.

I skrivende stund er det 362 norske nettsider som er rammet av angrepet.

Nettsidene blir injisert med reklame som ikke dukker opp på selve siden men kun i kildekoden – dette i håp om å lure søkemotorer som blant annet Yahoo, Google og Bing. Hensikten er å utnytte norske siders gode renommé til å drive trafikken mot lugubre nettsteder som forsøker å selge falske eller dårlige medikamenter til intetanende sluttbrukere.

Er du rammet?
Dersom du kjører WordPress og er usikker på om du er blitt rammet av dette konkrete angrepet, er det nyttig å se etter Viagra-referanser i websidens kildekode. Selv om forbryterne denne gangen kun har lagt igjen referanser til Viagra, kunne sikkerhetshullet like gjerne ha blitt benyttet til å legge igjen skadelig kode. Derfor er det grunn til å tro at det vil komme en større infiseringsbølge i etterkant av dette innledende angrepet.

Paranoia 2009

2009-09-22T10:54:00.002+02:00

Preben Nyløkken, senior sikkerhetskonsulent, Watchcom

I år blir det et stjernespekket Paranoia-seminar med de største navnene i IT-sikkerhetsbransjen. Kevin Mitnick er tilbake, denne gangen for å besvare dine spørsmål. Da han foreleste på Paranoia i 2006 vakte dette stor interesse både hos deltagere og media-Norge. Mitnick var på et tidspunkt en av USAs mest ettersøkte menn og ble til slutt fengslet for de lovbruddene han begikk. Dette forandret han som person, og i dag driver han et konsulentselskap som beskytter selskaper mot hackere.

Andre navn på IT-sikkerhetsbransjens stjernehimmel er Johnny Long. Han er å anse som oppfinner av betegnelsen ”Google Hacking”, og ble verdenskjent da han demonstrerte hvordan den veldig brukervennlige søkemotoren Google kunne benyttes til å hente ut sensitiv informasjon om nesten hvilket som helst selskap. Han fant ut hvordan Google egentlig fungerte, og brukte dette til sin fordel. Så kommer du på Paranoia får kanskje du også se hvordan dette gjøres, og hvor lett det er å finne sensitive dokumenter fra ditt selskap.

De resterende foreleserne har alle spennende overraskelser å vise, som jeg ikke skal nevne her! Litt hemmelig må det jo være?

Personlig gleder jeg meg hvert år til Paranoia, men ekstra spennende blir det i år da jeg til og med skal være konferansier. Det å stelle i stand et arrangement som Paranoia er en mye større jobb enn det de fleste tror, og planleggingen begynner gjerne et halvt år før selve seminaret. Min jobb på dagen er utvilsomt spennende, men det gir meg også en mulighet å følge hele planleggingsprosessen fra start til slutt. Vi har arrangert Paranoia i en rekke år nå, og fått både ris og ros.

Vi i Watchcom er konkurransemennesker alle sammen, og forsøker hver gang å perfeksjonere alt. Vi har lyttet på hva deltagerne ville da, og forsøkt i beste grad å få dette til. Derfor er Mitnick tilbake, derfor er Johnny Long på plass og derfor blir Paranoia enda mer spektakulært i år – enn tidligere.

Det er ingen tvil om at årets Paranoia blir større, bedre, proffere og ikke minst gøyere!
Det er allerede trangt om plassene, så skynd deg med påmeldingen hvis du vil få med deg dette.

Sjekk ut www.paranoia2009.com i dag!

Automatisk oppdatering - en hodepine mindre

2009-06-25T10:54:00.003+02:00

Magnus Solberg, Security Engineer, Watchcom

Undersøkelser viser at det finnes mellom 5 til 20 skrivefeil eller logiske brister per 1000 linjer kode (sjekk ut http://panko.shidler.hawaii.edu/HumanErr/ for flere fun facts om menneskelig feilaktighet). Flesteparten av disse har lav eller ingen innvirkning på programmets funksjonalitet – mens andre feil er av mer alvorlig karakter og kan føre til minnelekkasjer, programkrasj, eller utgjør i verste fall alvorlige sikkerhetshull.

Ifølge NIST inneholdt Windows 3.1 rundt 3 millioner linjer kode, mens de i ”gode gamle” Windows 2000 allerede var oppe i 35 millioner linjer – og dette er altså bare OS’ene, uten en eneste ekstraapplikasjon installert! Et raskt regnestykke viser altså at antallet bugs øker enormt for hvert år som går. Noen som fremdeles lurer på hvorfor det stadig kommer patcher fra Windows Update? Patcher er definitivt ikke et fenomen som begrenser seg til Windows eller Adobe.

Hva med alle de forskjellige sikkerhetsboksene stående rundt omkring i nettverket? Brannmurer, IDS’er, IPS’er, krypto, antispam, et cetera ad infinitum – alle disse har som oftest til felles at:

1) De kjører proprietære operativsystemer
2) At automatiserte oppdateringer verken er mulig eller ønskelig (random downtime anyone?)
3) Holdningen til dem stort sett begrenser seg til ”If it ain’t broken, don’t fix it”.

En av hovedutfordringene vi ser er at det – uansett – alltid er ett hode for lite på IT-avdelingen. Man har rett og slett ikke tid til å sette seg ned og lese bombardementet av mailer som kommer fra produsentene av alle de forskjellige innretningene. Så lenge det putrer og går, hvorfor ta sjansen på å ødelegge den skjøre balansen? Det er tross alt tusen andre ting som skal tas tak i.

En oppdatering er ikke alltid like viktig, eller for den saks skyld riktig. Noen sub-versjoner og patcher blir sluppet for å adressere spesifikke problemer, andre inneholder en lang rekke bugfixer eller legger til nye funksjoner. Det er alltid viktig å finlese release notes’ene for å se om den nye versjonen er viktig for ens eget nettverk – kanskje det ikke er noen grunn til å kjøre ned autentiseringstjenesten sin en hel dag bare for å få installert koreanske hjelpefiler på boksen? På den annen side – kanskje nettopp denne brannmurpatchen vil hjelpe på det merkelige bermudatriangelet av pakketap du ikke har klart å pinpointe enda? Noen ganger er også oppdateringen rett og slett feil. Husk at patcher og oppdateringer bare er linjer med kode som alt annet – det er ikke sjelden at bugs introduseres eller reintroduseres. Det kreves tid og interesse for å forvisse seg om hvorvidt en oppdatering er viktig og riktig for ens nettverk. Lesing av release notes, forum-browsing, og utveksling av tips og triks med andre som har like systemer.

Nye funksjoner er – nesten – like viktige som bugfixes. Produsentene av de ulike sikkerhetsanretningene forsøker å holde tritt med nye trusler, og introduserer regelmessig ny funksjonalitet. Et godt eksempel i dette henseende er IronPort – nye versjoner av AsyncOS (IronPort’s proprietære operativsystem, bygget på en sterkt modifisert FreeBSD-kjerne) har introdusert on-box kryptering av mail, autentiserings- og sikringsmetoder som DKIM og SPF, avansert bildegjenkjennelsesteknologi, og masse annet. Å ikke holde boksen sin oppdatert selv om den (tilsynelatende) fungerer fint innebærer altså at man sakker bakut i forhold til å holde sin organisasjons sikkerhet på et optimalt nivå.

Så var altså tiden kommet. Release notes’ene indikerer at dette er noe du har behov for, summingen på forumet er enige om at dette var en fin og stabil release, og den tre år gamle antispamburken skal endelig få sin første oppdatering. Hvordan var det nå man gjorde dette igjen? Vil det føre til nedetid? Bør dette tas etter at brukerne har gått hjem for dagen, blir det nok en dag med overtidspizza til middag? Kan du garantere at du kjenner oppdateringsrutinen godt nok til å stole på at det ikke i stedet blir en natt på serverrommet, febrilsk letende etter knappen for å sette boksen tilbake til factory reset? Og så er det jo papirarbeidet, da. Allokering av tidspunkt, varsling av konsulenter og brukere, dokumentere i for- og etterkant... Vel, du kan jo alltids ta oppdateringen ved neste release i stedet..
Alt dette ovenstående er utfordringer vi i Watchcom har stått ovenfor gang på gang.

Vi drifter jo selvsagt vårt eget nettverk (sannsynligvis med en del flere ”interessante” applikasjoner og bokser enn hos de fleste), og kjører i tillegg rutinemessig oppdateringer på systemene til våre kunder. Som foretrukket sikkerhetspartner til en stadig økende mengde små og store norske organisasjoner er vi godt over gjennomsnittet interessert i å lese alt av informasjon vi kan komme over som er relatert til løsningene vi leverer and beyond. Det er rett og slett jobben vår å vite hva slags bugs som eksisterer i en gitt løsning, hvilke som fikses, og hva slags spennende nye funksjoner som blir utformet for å beskytte nettverket mot stadig mer avanserte trusler. Som sertifiserte installatører og administratorer av systemene vi setter opp hos kundene våre er vi også godt vant med å gjøre oppdateringen ”by the book” for å minske risikoen for menneskelig feil, eller å implementere oppdateringer som er ustabile eller ubrukelige. Prosessen blir selvsagt dokumentert nitidig, etter samme faste formular.

Så derfor tenkte vi – hvorfor ikke rett og slett tilby dette som en tjeneste? I første rekke kommer vi til å kunne tilby et ”oppdateringsabonnement” til nye og eksisterende IronPort-kunder. Som en av de bedriftene i Norge med flest IronPort-installasjoner, og kompetente medarbeidere med sertifiseringer og erfaring virket dette som et naturlig startsted for noe som kan hjelpe oss å holde våre kunders sikkerhet på et så høyt nivå som mulig. Vi utelukker selvsagt ikke at tilbudet kan bli utvidet til andre produkter – for mer info og detaljer, hør med din kundekontakt! ;)

Dette kan kanskje sørge for én hodepine mindre for en allerede overarbeidet IT-avdeling?

Mer automatiserte angrep mot norske nettsteder

2009-03-19T13:39:00.012+01:00

Preben Nyløkken, senior sikkerhetskonsulent, Watchcom

Et av Watchcom sine fokusområder er overvåkning, og det er ikke helt uten grunn. Det skjer nemlig enormt mye med trusselbildet i Norge for tiden, og første bloggpost handler om nettopp dette.
Paranoia 2008 var en smakebit på hva Watchcom har planlagt tilknyttet overvåking. Dette ble blant annet presentert gjennom ”project Graywolf.”

I utgangspunktet var prosjektet og teknologien utviklet for å tilfredsstille vår egen nysgjerrighet for å avdekke om trusselbildet var så alvorlig som vi hadde predikert. Tallene ble lagt på bordet, og bekreftet vår mistanke. Nå er teknologien blitt moden, og forebygger web-infisering for kundene vi overvåker. Og mye har skjedd siden Paranoia, der i blant flere automatiserte angrep mot web-applikasjoner.

”prober”
Før angrep mot norske nettsteder starter, sendes det ofte en ”probe” fra de som står bak. Denne sjekker om du har filer på serveren din som de vet kan være sårbare for enkelte angrep. Hvis de filene blir lokalisert kommer hackerne på besøk en gang til, men denne gangen med et arsenal av våpen som bagasje. Målet er å injisere skadelige koder på nettsiden, så en rekke XSS (http://en.wikipedia.org/wiki/Cross_site_scripting) og SQL-injection (http://en.wikipedia.org/wiki/SQL_injection) angrep blir ofte forsøkt mot nettsiden.

Dette høres kanskje ut som enkle angrep som websider ikke burde være sårbare mot, men Watchcom sitt sikkerhetsteam testet godt over 100 nettsider i 2008 med manuelle sikkerhetstester. Dommen er klar: Ca 80 prosent av alle nettsidene vi testet i 2008 var sårbare for XSS (både i persistent, og ikke-persistent variant), og SQL-injection i ca 30 prosent av tilfellene. Kundene vi tester er ofte større organisasjoner med million-budsjett på sikkerhet, så det er ingen tvil om at ”alle” kan bli rammet av denne problemstillingen.

Er angrepet vellykket hackes websiden, men ikke slik vi er vant til å se. Nå legges det inn små kodesnutter på nettsiden som infiserer brukeren, mens den resterende nettsidens design og tekst ikke endres. Dette er meget effektive angrep da det ofte tar lang tid å oppdage at nettsiden er blitt angrepet. I tidsrommet i mellom blir de besøkene forsøkt infisert, med mål om å få tilgang til sluttbrukerens finansielle informasjon som bankkort og lignende.

Så følg med i vår nye blogg videre hvor vi kommer med en rekke real-life caser som vi jobber med, også tilknyttet denne problemstillingen.

Tiltak mot slike angrep:
1. Husk at en web-applikasjon er lik som normale applikasjoner med tanke på at det kommer nye versjoner av programvaren. Benytter du deg av hyllevare så er det en kritisk faktor å holde websidens rammeverk oppdatert med siste versjon. En rekke angrep går mot kjente publiseringsløsninger. Snakk med din forhandler av slike løsninger om det er kommet nye versjoner av den programvaren dere bruker.

2. Hvis du ikke allerede kjører sikkerhetstester så kan det være smart å vurdere dette. Sørg også for at slike tester ikke kun baserer seg på automatiske verktøy som scanner nettsiden, men også at noen foretar en manuell gjennomgang av nettsiden. Grunnen til dette er at automatiserte verktøy kun finner ”low-hanging-fruit”, mens mer avanserte angrep som Missing Authorization (http://www.owasp.org/index.php/Guide_to_Authorization), ikke blir oppdaget. Kombinasjonen av automatiske verktøy og manuelle tester er et meget godt utgangspunkt for en sikker webapplikasjon.

3. Sørg for at databasebrukerne ikke kjører som SA (den med høyest rettigheter på en database), og har så lite privlegier som mulig (f.eks kun SELECT om det er alt som behøves). Dette kan være med å begrense web-infiseringer selv om applikasjonen er sårbar for eksempelvis SQL-injection.

4. Valider input fra sluttbruker. Dette betyr at informasjon som kommer fra klienten (post, get, header-informasjon med mer) sjekkes for ulovlige tegn. Det er her viktig å whiteliste, kontra blackliste. Husk også å encode output før teksten presenteres, for å være på den sikre siden.