Press "Enter" to skip to content

Tag: Malware

10 skridt til bedre IT sikkerhed

Denne oversigt blev frigivet fra National Technical Authority for Information Assurance (CESG), der er det statslige argentur i UK der rådgiver stat og statslige ageture om håndtering af informationer og informations-sikkerhed. De fleste burde allerede være rutineret i hvilken produkter der kan løse de enkelte opgaver, men kontakt mig gerne hvis i har behov for konkret rådgivning med udgangspunkt i de systemer i allerede har i dag.

  1. d
Comments closed

DNS over HTTPS (DoH) sikkerhedsproblem

Standard DNS trafik er ukrypteret og ofte anvendt sårbarhede ved udnyttelse af en man-in-the-middle sårbarhed. For at bekæmpe dette, gik de store browser-udviklere i gang med at finde på løsninger på denne sikkerheds udfordring. Mozilla var først på markedet med DNS-over-HTTPS (DoH) som de meget snart vil have enablet default, når deres browser installeres.

Hvis jeg kort skal forklare hvad DNS-over-HTTPS (DoH) er; så afvikles DNS foresprøgselen over HTTPS, der derved sikre det er TLS kryptering’s protokollen. Det betyder at det kun er browser sessionen der ved hvilket domæne der requestes.

Problem:

  • Hvis du kører split-brain DNS internt, vil den resolve til den offentlige IP, da det kun er eksterne DNS server der resolver.
  • Har du blokeret for sites som FaceBook/Netflix/Dropbox via. DNS, så virker det ikke længere, da de spørger eksternt.
  • Logger du trafik i din firewall/router kræver det reverse-dns opslag for at se hvor trafikken router til.

Anbefaling:
Indtil videre vil min anbefaling til erhverv være at formulere en strategi for sikker DNS (Cisco Umbrella er et godt produkt) og efterfølgende disable muligheden for at brugerne selv enabler DNS over HTTPS (DoH).

Sådan ser i om DNS over HTTPS (DoH) er enablet på klienten.

Google Chrome:
Dette er tilføjet start-genvejen:

--enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST

Google Chrome DoH

Mozilla Firefox
Under: Tools -> Preferences -> General -> Network Settings -> Tryk Settings
firefox doh

Comments closed

Anbefalinger til IT sikkerhed

Flere dage med hjælp til oprydning efter diverse Cryptoware angreb, blev summeret perfekt af et citat fra filmen Doctor Strange, der passer på både IT-sikkerhed og alle vores andre dæmoner.
dr strange

We never lose our demons, we only learn to live above them

Der altid vil være hackere, virus, utilfredse medarbejdere, spionage og nedbrud – Så hvis man ikke vil slås med det, må man hæve sig over problemet.

Identificer -> Begræns -> Fjern -> Lær

Både Linkedin og IT-relaterede nyheds sites, flyder over med indlæg omkring vigtigheden af en moden IT-sikkerhedspolitik og hvordan trusselsbilledet har ændret sig de sidste år. Men sjældent er de efterfulgt af konkrete forslag til værktøj der kan benyttes til at hæve sikkerheden i sin infrastruktur. Derfor kommer her mine forslag til hvilken IT-sikkerhedsprodukter man med fordel kan benytte.

Hardening er en betegnelse man ofte bruger, når man gør noget hårdere – også IT-sikkerhed.

  • Sørg for at brugere ikke har adgang til foldere de ikke har behov for. Det kan gøres ved at køre en rollebaseret adgang til foldere. Det betyder alle hovedmapper er tilknyttet en sikkerhedsgruppe og medarbejdere skal være medlem af denne gruppe for at få adgang til mappen. En gratis sidegevinst ved dette, er det bliver nemmere at vedligeholde adgang og udføre en Audit til IT-revisionen.
  • Sørg for brugere ikke kan se mapper de ikke har adgang til. Det kaldes “Access-based enumeration” og er en funktion man aktivere på et netværks-share.
  • Patch er vigtige for sikkerheden og det gælder ikke kun for styresystemet. Alle applikationer i dag en sikkerheds-risiko. Derfor skal man sørge for de altid er opdateret og der ikke er installeret software der ikke er behov for. Programmer som Heimdal sikre en række programmer bliver automatisk opdateret.
  • Sørg for du har et overblik over alt udstyr og software. Lansweeper er gratis for de først 100 maskiner, og giver dig komplet inventory over alle maskiner og versioner af software installeret.
  • Applocker er en indbygget funktion fra Microsoft (via. en GPO). Det sikre der ikke afvikles andre programmer end det der er godkendt i forvejen. Man bestemmer selv hvor restriktiv politik der benyttes, men selv den laveste setting, giver et fantastisk filter mod utilsigtet afvikling af software.

Antivirus og malware har de fleste langt om længe forstået vigtigheden af, men det er ikke unormalt at valget af antivirus software er baseret på pris, og ikke funktion.

  • Cloud og Antivirus XaaS løsninger bliver bedre og bedre. I dag ville jeg anbefale Bitdefender (cloud) eller Symantec (on-prem.) da de begge er robuste løsninger, med gode muligheder for at blokere Cryptolocker og Zero-day exploits. Især Bitdefender GravityZone til erhverv, er en utrolig sikker og alsidig løsninger, der både sikre Windows, Mac og Linux maskiner – Alt sammen fra samme interface.
  • Min kollega nævnte han altid anbefaler man bruge forskelligt antivirus på hhv. server og endpoints. På den måde skulle malware potentielt forbi to forskellige systemer inden det kunne udrette skader. Det er ikke en tosset ide hvis der er økonomi til det.

DNS

  • Secure DNS og OpenDNS DNSCrypt er to produkter at en type der kommer til at være lige så normalt som antivirus i den fremtidige IT-infrastruktur. Sikker DNS forhindre maskiner i at kunne afvikle/loade de sites der er identificeret som usikre. Din klient kan simpelthen ikke få lov til at downloade indholdet, for den pågældende URL kan ikke loades.

Audit af filadgang på alle servere og konfigurations-ændringer på serverne må ikke undervurderes.

  • AdAudit sikre du ved nøjagtigt hvem ændrede/slettede/oprettede/flyttede en fil eller folder på en server. Programmet er bygget til at overvåge AD og server konfiguration, men har plugins til filservere, så den også kan benyttes. Det er især vigtigt, hvis man vil identificere “ground-zero” ved et crypto-locker angreb, for der fortæller programmet dig nøjagtigt hvem der krypterede den første fil og fra hvilken PC det skete.

Backup og Restore

  • Overvej hvilken Backup- og restore politik i har. Hvor længe vil i være om at restore alle servere? At man kan restore en server på 2 timer, er ikke det samme som man kan restore alle servere på samme tid.
  • Hvilken rækkefølge skal jeres IT genskabe applikationer? og hvordan er sammenhængen? En korrekt dokumentation giver svaret på dette, men hvis det ikke bliver trænet regelmæssigt er proceduren værdiløs.

Overvågning er mit hvertebarn, men hvad er en tidssvarende type af overvågning?

  • SIEM eller generel Syslog overvågning, giver et billede af alle events på serverne. Bliver der pludseligt flyttet/slettet/krypteret mange filer på en server, så dukker det op i overvågningen med det samme. Den slags overvågning sikre der hurtigere kan sættes ind for at forhindre et problem vokser. Samtidigt er det et audit trail når der efterfølgende skal dokumenteres hvad der er sket. Der findes mange løsninger i dag og behovet afgøre hvad det bedste produkt til situationen er. Generelt kan jeg dog anbefale SyslogNG, Correlog. Alienvault og Splunk. Microsoft OMS er ved at være et godt produkt, men mangler stadig lidt modning.
  • Ønsker man det hele(meste) i et, så kig på Newrelic.

Awareness

  • Træn jeres medarbejdere
  • Dyrk en ærlig omgangstone
  • Træn jeres medarbejdere
  • Træn jeres medarbejdere
  • Træn jeres medarbejdere
Comments closed

Petya Ransomware låser hele disken

At der kommer nye Vira og Malware hver dag er ikke en overraskelse, men udviklingen i Ransomware accelerere med en hastighed de fleste kun havde frygtet. Det nyeste skud på stammen af Malware er en der er døbt Petya.

Petya er en Crypto-ransomware der overskriver MBR og låser hele disken

Den største forskel på Petya op de andre Crypto-ransomware, er at den overskriver MBR ( Master Boot Record) på disken og dermed låse hele disken ned. De fleste andre Crypto-ransomware i dag låser kun enkelte filer.

Petya Screenshot
Petya Screenshot

De fleste gode Antivirus programmer finder denne malware. Trend Micro var den første af de store der fandt den, og har navngivet den “RANSOM_PETYA.A” i deres leksikon.

Sådan bliver du smittet:
I øjeblikket bliver den spredt med mail, som indeholder noget der ligner et link til et CV på Dropbox. Men i virkeligheden er det en EXE fil der afvikles med det samme, og låser din PC ned.

Resultatet:
Er dit udstyr først inficeret, ser du en skærm med instrukser i hvordan du betaler for at få låst din maskine op igen. Betalingen foregår via. Bitcoin og kan derfor ikke spores.

petya betalingsinfo
petya betalingsinfo

Sådan beskyttes en virksomhed:
– Web Security Gateway (Cisco Ironport eller tilsvarende)
– Korrekt Antivirus software (Trendmicro, Symantec eller Bitdefender)

Comments closed

Udenrigsministeriet hacket

I dagens udgave af Jyllands-Posten er der en artikel der beskriver Udenrigsministeriet blev hacket og det varede 4 måneder inden det blev opdaget. Selve artiklen vil jeg ikke kommentere og detaljerne omking hvordan Udenrigsministeriet blev hacket er klacificeret og det bør overlades til Center for Cybersikkerhed at udtale sig i sagen.

Til gengæld vil jeg forholde mig til den IT-Sikkerheds situation jeg ofte oplever hos kunder. Det gælder både kunder med on premise og cloud løsninger, da der efter min mening er en enkel årsag til situationen; Mangelfuldt beslutningsgrundlag da kompleksitet og trusselsbillede ofte er ugennemskueligt for beslutningstagere.

Eksempel #1 – Ingen Antivirus
Flere gange oplever jeg man bevist udlader at installere antivirus/malware software på serverne, fordi man fejlagtigt er af den overbevisning, en høj sikkerhedspolitik beskytter serverne mod angreb. Kunder virker oprigtigt overrasket når det går op for dem at et sikkeheds-exploit ikke begrænses at et komplekst password, eller at et Zero-day exploit ikke forhindres af en korrekt opdateret server. Er der derfor ikke installeret centralt administreret antivirus software på serverne, ved man ganske enkelt ikke at serveren er inficeret, som i eksemplet med Udenrigsministeriet, hvor det siges at være Center for Cybersikkerhed der slog alarm.

Tidligere var de fleste malwares formål at vælte en kørende server. I dag er fokus ændret til at give adgang til information, da vidensdeling på det sorte marked er en milliard-industri.

Eksempel #2 – Microsoft Antivirus
Et kig på AV-test.org hjemmesiden dokumentere det de fleste IT-konsulenter ofte oplever, at Microsoft Antivirus i er falsk sikkerhed i en flot indpakning. Dårlig antivirus er efter min mening værre end ingen antivirus, da en driftspersonalet fejlagtigt vil tro alt er i den skønneste orden, på trods af at alle servere er inficeret med trojans.
Antivirus test fra AV-test.org
Kilde AV-test.org

Eksempel #3 – Ingen central administration
Antivirus der kun notificere brugeren ved endpoints er kun marginalt bedre end fraværet af central administreret antivirus, da det overlades til enduser at vurdere og advisere IT-ansvarlige.

Anbefaling:
Følgende punkter bør efter min mening være et krav til enhver antivirus-løsning til erhverv:
– Central administration
– Outbreak-control
– Network Threat Protection
– Behavioral analysis

Personligt er Symantec Endpoint Protection mit første valg, ud fra både funktion, drift og pris. Men det er vigtigt at forstå at der ikke findes et perfekt antivirus software. Det drejer sig blot om at finde det der bedst passer til situationen.

Comments closed