Binero på Next Generation Threats 2012

  • PUSHA

Igår gick Techworlds IT-säkerhetsevent “Next generation threats” av stapeln och Binero var på plats. Visserligen fungerade inte kameran men med mobiltelefonen lyckades jag ändå fånga en unik händelse på bild, fem av de skarpaste hjärnorna i branschen samlade på ett ställe.

Från vänster har vi Rik Ferguson (Trend Micro), David Jacoby (Kaspersky Lab), James Lyne (Sophos), Mikko Hypponen (F-Secure), Greg Day (Symantec).

 

Inledningen

Dagen inleddes med en kort presentation av Magnus Aschan på Techworld som presenterade resultatet av den enkätundersökning deltagarna fått fylla i på förhand. Mest anmärkningsvärt var att “bring your own device”, där personal använder privata mobiltelefoner och usb-minnen på kontoret sågs som ett stort problem, samtidigt som man saknar rutiner för att hantera detta. Ungefär hälften av deltagarna visste inte om en mobiltelefon på arbetsplatsen attackerats, antagligen för att man helt saknar skydd och rutiner för att kontrollera. Det största hotet, efter DDOS-attacker och intrång utifrån, är dock användare som medvetet eller omedvetet orsakar problem.

 

Vilka utför attacker?

Första talare ut var Mikko Hypponen från F-Secure. Han föreläste om vilka det är som utför attackerna på nätet. Grovt kan dessa delas in i tre olika grupper. De kriminella utför attacker för att tjäna pengar.

En metod att tjäna pengar som återkom några gånger under dagen är ransom-ware som innebär att ens filer “kidnappas” genom att de blir krypterade och att man måste betala för att få filerna återställda. Det kan också ske genom att man får upp fönster om att illegala filer upptäckts på en dator och att man måste betala böter. Andra metoder som de kriminella använder är att skicka spam, sälja kreditkortsuppgifter och inloggningsinformation och utföra DDOS-attacker.

Liksom alla andra som vill tjäna pengar måste de kriminella på något sätt marknadsföra sig. Ett exempel på detta är YouTube-klippet Gwapo’s Professional DDOS Service. Se gärna klippet, och beundra killens frisyr, men köp inte deras tjänster!

Andra gruppen som utför attacker på nätet är hacktivister, aktivister som av politiska, religiösa eller ideologiska skäl utför attacker. Mest kända hacktivistgruppen just nu är antagligen Anonymous, en väldigt lös gruppering av hackers som ligger bakom attacker mot bland annat Sony, MasterCard och VISA. Syftet är inte att tjäna pengar, utan att föra fram sitt budskap, eller i vissa fall förhindra andra organisationer att föra fram sitt budskap.

Tredje gruppen är statligt sanktionerade attacker, något som blir allt mer vanligt och som vi antagligen kommer att se mer av i framtiden. Det mest välkända exemplet är kanske datormasken Stuxnet som attackerade industrisystem i Iran, däribland datorer i ett kärnkraftverk. Redan när Stuxnet upptäcktes 2010 stod det klart att det var så avancerat att utvecklingen av masken måste ha varit sanktionerad av en eller flera stater. Sedan dess har det varit flera länder som pekats ut, bland annat Ryssland och Kina. Det är dock numera allmänt accepterat att det var USA och Israel som låg bakom Stuxnet. Mikko vill inte använda termen cyberkrig eftersom attacker aldrig riktats mot länder man är i krig med, men han är säker på att det bara är en tidsfråga innan cyberkrigsföring faktiskt sker.

 

Hur ser hoten ut?

Nästa talare var Greg Day från Symantec som berättade om hur företag attackeras och vilka företag som riskerar att attackeras. Olika attacker har olika målgrupper och man kan grovt dela in attacker efter hur specifika offren är. I många fall försöker man attackera väldigt många olika organisationer eller personer med förhoppningen att några få av attackerna lyckas. Ett tydligt exempel på detta är spamutskick som går ut till hundratusentals olika adresser och där bara några enstaka personer nappar. I andra änden på skalan har vi Advanced persistent threat, APT, där en grupp, till exempel en stat, har väldigt stora resurser som används för ett väldigt specifikt mål.

Bild: d70Focus/Flickr

Mitt på skalan hamnar attacker mot en viss grupp av människor eller organisationer, till exempel attacker som riktar sig mot en viss sorts företag. Enligt Greg kommer kommer attackerna på denna skala i framtiden bli mer och mer lika då de kriminella blir allt mer sofistikerade och får mer resurser men inte riktar in sig på ett visst mål.

Greg tog också upp modeordet “big data” och de möjligheter och problem som uppkommer när man hanterar extremt stora datamängder. För antivirustillverkare handlar det oftast om att samla in information om varje fil som körs, var filen kommer ifrån, vad den gör, om andra användare kört filen tidigare och om det i så fall uppstod några problem. All denna information kan användas för att bedöma varje enskild fil som misstänkt eller ofarlig.

 

Säkerhet och komfort

Efter en kortare rast blev det dags för Rik Ferguson som inte bara är säkerhetsexpert på Trend Micro utan även en tvättäkta hårdrockare. I läderboots, jeans och en svart t-shirt som inte dolde hans tatueringar inledde han med att berätta om den ständiga kompromissen som måste göras mellan säkerhet och komfort. Av bekvämlighetsskäl reser han bara med handbagage men av säkerhetsskäl fick han inte ha med sig deoderant på resan, publiken var varnad!

Rik berättade om hot på mobiltelefoner och konstaterade att antivirusbranschen varit som pojken som ropade “Vargen kommer!”. I flera år har branschen pratat om hotet på mobiltelefoner utan att det hänt särskilt mycket. Men nu när folk tröttnat och inte längre lyssnar dyker hoten upp. Ett stort problem med mobiltelefoner är att när man väl hittat en applikation man gillar och klickat på att installera den dyker det upp information om vilka tjänster applikationen vill ha tillgång till. Många personer klickar då vidare utan att bry sig om varför ett spel måste kunna komma åt ens kontakter och telefonsamtal. Förutom att tänka sig för när man installerar applikationer är det främsta rådet att helt undvika applikationer utanför App Store och Google Play.

Rik tog även upp IPV6 och de problem som uppkommer när fler och fler tekniska prylar, allt från kameror till tvättmaskiner, kommer att vara anslutna till internet med en egen IP-adress.

Efter lunch blev det underhållning med David Batra som bland annat berättade om hur pinsamt det kan bli när ens storebror väljer lösenord för det trådlösa nätverket.

 

Kriminell hacking är business

Näste man på tur var James Lyne från Sophos som inledde med att visa Crimepack, ett verktyg som vem som helst kan använda för att bygga upp sitt eget botnet. Crimepack är ett tydligt exempel på hur affärsinriktade kriminella hackers är. Har man inte bestämt sig helt för att bli kriminell utan bara vill testa kan man hyra Crimepack som en tjänst, istället för att köpa den. I kontrollpanelen skapar man den kod som behövs för att infektera andra datorer, sedan är det bara att vänta på resultatet. Flera olika metoder används för att försöka infektera datorer och man får tydlig statistik på vilka angreppsmetoder som lyckades och hur många datorer som infekterats. James berättade även om den mängd trådlösa nätverk som finns, ofta med dåligt skydd eller inget skydd alls. På Sophos hemsida kan man se en film om James projekt Warbike då han cyklade nästan 15 mil i Londons innerstad för att hitta trådlösa nätverk.

 

Vad har vi lärt?

Sedan blev det dags för dagens första talare från Sverige, David Jacoby från Kaspersky Lab, som ställde sig frågan vad vi egentligen lärt oss de senaste tjugo åren. Han varnade för att blicka allt för långt framåt och tyckte istället att man skulle se bakåt. Det som var det största hotet för fem och ett år sedan är antagligen fortfarande det största hotet. De flesta attacker som sker idag använder social engineering eller SQL-injections, metoder som varit kända länge. Hackertarget  har gjort en fin sammanställning över attacker som skett med SQL-injections de senaste tio åren. Något svar på varför IT-säkerhetsbranschen fortfarande brottas med samma problem som de alltid gjort och vad man ska göra åt det hade David inte, istället uppmanade han publiken att fundera och diskutera problemet. Han ansåg dock att IT-säkerhet är ett tankesätt, det räcker inte att ta fram nya verktyg och policys, man måste istället förändra människors, inte bara teknikers, sätt att tänka på IT-säkerhet.

Nästa man, även han från Sverige var Jonathan James från Atea som bland annat samarbetat med FBI. Förutom att berätta om penetrationstester av medicinisk utrustning visade han hur man kan attackera en dator som kör Internet Explorer med programmet Metasploit och säkerhetshålet “Microsoft Internet Explorer Image Arrays Use-After-Free Remote Code Execution Vulnerability” som offentliggjordes i måndags och som än så länge inte är patchat.

Slutligen var det dags för Jörgen Städje, välkänd och uppskattad skribent på IDG, som läste en text om hur det är att få vara teknisk journalist och få prova på allt från att köra ånglok till att spela orgel. Det var ett passande förord till tidningen Teknikaliteter med 122 sidor Städje-artiklar som lämpligt nog fanns med i goodie-bagen.

Vad tar vi då med oss hem efter denna dag? Främst är det insikten att antivirusföretag inte sitter på någon perfekt lösning. De gör ett bra jobb, men för att få en hög säkerhet måste alla, inte bara tekniker, arbeta mot samma mål. Talarna uppmanade också publiken att samarbeta med varandra och inte försöka tysta ner intrång som sker.


Bäst i test två år i rad - Internetworld

Rekommenderas av InternetworldVi är prisade för vår goda support, höga funktionalitet och kontrollpanel.