Säkerhet för “Silver Surfers” Joakim von Braun Säkerhetsrådgivare SeniorNet Södermalm 2005-05-24
Seniorer mycket aktiva användare Av personer som är boende i Stockholm och är 55 år och däröver, surfar 45 procent minst ett par gånger varje vecka. 2 –
Säkerhet för privatanvändare Virus, maskar och trojaner Spam och e-mail Hacking Spyware och Uppringningsprogram Avlyssning E-handel Piratkopiering Sex och pornografi 3 –
Joakim von Braun Senior Security Advisor Född 1955 Fil kand Professionellt säkerhetsarbete i över 30 år Extern rådgivare och konsult SÄPO i 25 år Arbete åt den militära underrättelsetjänsten Egen företagare i 13 år Konsult Föredragshållare och lärare Journalist Joakim von Braun är en av Sveriges mest kända IT-säkerhetsexperter. Innan han började arnbetae med IT-säkerhet, sysslade han med öststatlig underrättelseverksamhet, särskilt sovjetiskt industrispionage och tekniksmuggling från väst till öst. De senaste 13-14 åren har han gjort sig känd som en kunnig konsult, IT-säkerhetsskribent och föreläsare. Han har en mycket bred kunskap inom säkerhetsområdet och har särskilt fördjupat sig inom området fientlig kod, dvs trojanska hästar, maskar, fientliga script, rootkits mm. 4 –
Symantec Världsledande inom IT- och Internet-säkerhet 19 % av världsmarknaden för brandväggar, IDS, antivirus, filterprogram, säkerhetsrevision mm. Managed Security Kontor i över 40 länder Partners i 126 länder 15 laboratorier, responsteams och SOCs 24/7/365 Symantec är både enligt IDC och Gartner världens ledande Internet-säkerhetsföretag. Företaget har en väl utvecklad syn på hur säkerhet inom en organisation ska hanteras och säljer säkerhetsprogram såväl som hårdvara tillsammans med Managed Security och konsulttjänster. Man säljer ingenting direkt, utan all kommersiell verksamhet sker genom välutbildade partners, som har en hög kompetens och alltid har ett antal anställda som är certifierade på Symantecs olika produkter. 5 –
Virusen är döda!!! De första datavirusen dök upp redan på 1980-talet. Men 1998 dök trojanerna NetBus och Back Orifice upp, och året därpå började vi se allt fler och fler maskar som spred sig över Internet. Cirka 2001 var virusen i det närmaste utkonkurrerade. Dagspress och datatidningar (och ibland även vi experter) talar ofta om ”virus” eftersom vanliga användare ungefär vet vad det rör sig om för slags problem. 6 –
Fientlig kod – vad är det? Virus – fientlig och/eller oönskad kod som sprider sig mellan program på en dator eller mellan olika dokument Maskar - fientlig och/eller oönskad kod som sprider sig mellan datorer över nätverket eller över Internet Trojanska hästar - fientlig och/eller oönskad kod som sprids gömda i programfiler och som sedan utför olika slags uppdrag på den infiltrerade datorn Fientliga script – JavaScript, VB-script och ActiveX-kontroller göms på Web-sidor och i mail Fientliga script dök upp som ett nytt hot hösten 2001. Det innebär att script exempelvis kan gömmas i HTML-sidor på Webben och en användare kan bli … 7 –
Varför har vi alla dessa problem? Anledningen till att dagens hackers och de som skriver fientlig kod gör som de gör har förändrats de senaste två åren. Idag vill alla tjäna pengar. Man sprider spam, bedriver utpressning, stjäl personinformation som säljs vidare, utnyttjar andras kreditkort, hackar sig in på bankkonton, säljer hackingverktyg till andra personer, och en massa annat. 8 –
Mask-spridning 1.095 Windows-maskar sprider sig på följande sätt: - via E-mail 574 - via nätverket 201 - via IRC 339 - via ICQ 51 - via Messenger-tjänster 50 - via P2P 203 (av 6.073 filer 2004-01-27) 9 –
Vad är en ”trojansk häst”? Trojaner är en slags avancerade hacker-verktyg De kan inte sprida sig själva som virus och maskar Trojaner döljs ofta inne i andra program Många trojaner kan göra att en hacker kan fjärrstyra en dator Andra funktioner är att hackern loggar allt som skrivs på tangentbordet eller stjäl användarens lösenord. När en hacker vill fjärrstyra en trojan måste rätt port vara öppen i brandväggen. Om den inte är det, kan hackern inte nå sin trojan. Det som loggats från tangentbordet eller stulits från datorn, skickas ut via e-mail, Internet Relay Chat (IRC), ICQ eller olika Messengertjänster. Portarna dessa program använder är många gånger öpnna i brandväggen, som då inte ger något skydd mot att information försvinner ut. 10 –
Firewall = endast 50 % skydd 2.265 st Remote Access 495 st Keyloggers 609 st Password-stealers 336 st Hacking tools (IP scanners, sniffers etc) 360 st DoS tools 387 st Anti-protection tools statistiken baserad på 6.073 filer, 2004-01-27 Remote Access = fjärrstyrning. Keylogger = loggar allt som skrivs på tangentbordet till en osynligt textfil. Password stealer = stjäl vissa lösenord om de står på sina vanliga platser. Hacking tools = kan på insidan fungera som IP-scanners (kartlägger det interna nätverket), port-scanners (kartlägger vilka portar som är öppna på en dator) eller som sniffers (kopierar nätverkstrafiken). DoS tools = kan skicka s.k. Denial of Service-trafik mot en server och därmed stoppa serverns vanliga arbetsuppgifter. Destructive trojans = raderar alla filer på hårddisken eller formaterar om hårddisken. Anti-protection tools = kan slå ut antivirus-program och personliga brandväggar. Loggade tangentbordstryckningar och stulna lösenord kan skickas till en hacker via tjänster som är öppna i brandväggen, t.ex. via e-mail, chat, Messenger-meddelanden etc. Statistiken är hämtad från en databas jag personligen byggt upp sedan våren 1999 och som bl.a. innehåller kompletterande information till Symantecs och andra företags write-ups. Sedan några månader tillbaka innehåller våra write-ups mycket av den information jag samlat under åren och våra virus-beskrivningar är nu utan tvekan de bästa i säkerhetsbranschen. 11 –
Fjärrstyrnings-trojaner Stjäla lösenord Kopiera filer Logga allt som skrivs på tangenbordet Utföra affärer på Internet-banker (cirka 50 st) Ändra på användarens deklaration På andra sätt utnyttja 24-timmarsmyndigheterna Lagra hacking-program, stula kreditkortsnummer, barnporr 12 –
Definitionen av ett blandat hot ”Blandade hot kombinerar karaktäristiken av virus, maskar, trojanska hästar and fientlig kod, med olika sårbarheter för servrar och Internet för att starta, överföra och sprida en attack. Genom att utnyttja flera olika metoder och tekniker, kan blandade hot spridas mycket snabbt och förorsaka omfattande skador.” På grund av att hoten blivit mer komplexa, utnyttjar säkerhetshål i operativsystem och/eller program, slår ut säkerhetsverktyg som antivirusprogram och personliga brandväggar, samt många gånger kan smitta på mer än ett sätt, kräver detta att man måste uppdatera operativsystem och applikationer ofta, uppdatera AV och brandväggar minst en gång om dagen samt förutom att skydda sig med hjälp av antivirus, även nyttja personliga brandväggar och IDS på klienterna. 13 –
Ökningen av Blended Threats Ovanstående statistik pekar på risken att blandade hot kommer att öka. Säkerhetshålen i operativsystem och olika program utnyttjas för att fientliga kod ska kunna sprida sig och få en åtkomst till datorerna som annars inte skulle vara möjlig. På grund av säkerhetshålen fungerar inte alltid de olika säkerhetsfunktionerna i de drabbade programmen. Maskar som utnyttjar säkerhetshål, t.ex. Code Red, Nimda, och den nya Bugbear, har stora möjligheter att sprida sig snabbt. Fortfarande fångar vi in cirka 35.000 Nimda-maskar per dag!!! 70-procentig ökning mellan 2001 och 2002. Säkerhetshål medför att datorn måste uppdateras. 14 –
Blandade Hot – ett exempel Masken Appix (september 2002): - Både virus, mask och trojansk häst - Utnyttjar två säkerhetshål i Outlook, Outlook Express och Internet Explorer - Dödar Antivirusprogram och Personliga brandväggar - Kan smitta från Web-sidor - Använder egen SMTP-server - Sprider sig via e-mail - Sprider sig med hjälp av KaZaA och eDonkey2000 - Kan utföra Denial-of-Service (DoS)-attacker Appix upptäcktes i september 2002 och är ett utmärkt exempel på hur dagens blandade hot ser ut. Det duger inte endast att nyttja antivirus för att skydda sig – man måste minst ha en personlig brandvägg också. Både operativsystem, applikationer, antivirusprogram och personliga brandväggar måste uppdateras frekvent, annars ökar risken dramatiskt för att nya blandade hot infiltrerar det interna nätverket. Appix sprider sig många gånger via fildelningsprogrammen KaZaA och eDonkey2000. Vid månadskiftet september/oktober är cirka 35 maskar som sprider sig via åtta olika fildelningsprogram kända. 15 –
Spam Inte svenskt problem fram till slutet av 2001 90 % av spam är på engelska Mycket spam kommer från svenska adresser Mail-relay, hacking, fjärrstyrningstrojaner Var 3:e anställd drabbas av spam 16 –
Varifrån kommer adresserna? CD-skivor med tiotusentals adresser Web-läsarna kollas Nyhetsgrupper scannas Spyware-program Barn lockas fylla i Web-formulär Tävlingar på Internet 17 –
Hackers 18 –
Hacking Bredband = lokalt nätverk Oftast identisk IP-adress Kommunikationen öppen 24/7 Stor bandbredd Stor lagringskapacitet Ett fåtal har ett försvar 19 –
Masken Novarg (MyDoom) 20 –
Hacktivism Många anger politiska skäl till att hacka andras servrar eller utföra Denial of Service-attacker 21 –
Spyware Styr reklamen på Internet Göms i nedladdningsbara program – de är inte ”freeware” Liknar trojanska hästar Spyware samlar allt mer information Lämnar ut ditt privatliv Utan spyware dör många nedladdade program 22 –
Dialers eller Uppringnings-program Dialers kan endast användas mot modem-användare Byter ut telefonnumret Betalnummer Utlandsnummer Fakturor 23 –
E-commerce Användare skrämda i onödan Överföring av kreditskortsinformation säkert Databaser hackas ofta – onödigt spara CC information Kundvagnar många gånger osäkra Priser kan manipuleras Webauktioner stort för bedragare 24 –
Phishing E-mail från banker och kreditkortsföretag Logotyper och typografi stämmer till 100 % Web-länk (URL) till en server på Internet Uppmaning att skriva in personinformation Bedrägerier – bank, kontokort, lån etc 25 –
Piratkopiering Brottsligt Fara för virus, maskar och trojaner Säkerhetshål i programmet Många konfigurerar felaktigt Spyware P2P-program 26 –
Piratkopior finns överallt 27 –
Sex-brott 28 –
Många privatpersoner sårbara Endast 70 procent har Antivirus-program Många som har AV har inte uppdaterat dem (cirka 20 %) Ett fåtal har personliga brandväggar Mycket få personer uppdaterar OS och övriga program Stor okunskap Naiva om risken Tar sällan backup Kollar inte datorn regelbundet 29 –
Vulnerability Statistics 25% of online users report a port scan vulnerability 21% report a NetBIOS privacy vulnerability 31% are still not running antivirus software 56% report a browser privacy vulnerability 36% report a virus or Trojan infection* Source: Over 1.5M results submitted to Symantec Security Check website. *Virus infection statistics are from over 737,000 results submitted. All statistics are as of July 2002. Allt fler användare smittas av trojaner. Så många som var tredje person som kör Security Check har smittats. Företag och myndigheter är inte lika alls lika hårt drabbade men det sker en ökning även där. Ofta sker infektionerna via Webben. Ett stort svensk företag rapporterade att de under år 2002 fram till mitten av september fångat in 21.500 maskar och trojaner via sitt antivirusprogram. Två tredjedelar av infektionerna hade fångats i mail-trafiken, medan en tredjedel av filerna hade försökt komma in via Web-trafiken på port 80. Tidigare var infektioner via mail den helt dominerande risken. 30 – 4
Hur skydda sig? Antivirusprogram (uppdatering minst 1 gång/dag) Personlig brandvägg (uppdatering 1 gång/vecka) Uppdatering av Windows Uppdatering av alla program Spamfilter Starkt lösenordsskydd 31 –
Hur blir man av med spam? Byt ut din mail-adress Ta bort mail-adressen ur Web-läsaren Skaffa en eller flera extra adresser enbart för reklam och liknande Iaktta försiktighet Lämna inte ut din mail-adress i onödan Installera ett spam-filter Ställ krav på din Internet-leverantör 32 –
Skydd mot virus, maskar, trojaner, hackers och läckage av privat information Samtliga program är fullständigt integrerade: Norton Personal Firewall Norton AntiVirus Norton Intrusion Detection Norton Privacy Control Norton Parental Control Norton Spam Alert Ad Blocking Enskilda användare får i och med 2003-versionen av NIS ett ypperligt skydd mot blandade hot. Tack vare integrationen av de olika verktygen blir det svårare för maskar och trojaner att stänga av aktiva processer. NIS/NPF är den personliga brandvägg som är bäst skyddad av alla mot attacker från fientlig kod. 33 – 8
Frågor Jvonbraun@symantec.com 34 –