Blogginlägg -
Möller Insights - vecka 47
Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på McAfee i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.
Veckans sammandrag handlar om signed malware och dess konsekvenser
Programmen som visar
falskleg
Nu i veckan släpptes McAfees kvartalsrapport om digitala
hot, och den starkaste trenden under sommaren har varit en explosionsartad
ökning av signed malware – skadliga program som försetts med ett digitalt
certifikat, antingen förfalskat eller stulet från en av de hundratals
certifikatauktoriteter som finns världen över.
De vanligaste tillfällena när du och jag kommer i kontakt med digitala certifikat – och faktiskt märker det - är när vi gör våra bank- och e-handelsärenden. Det där lilla låset som dyker upp i browserns adressfönster är en indikator på att sidan är certifikatskyddad. Eller när vi landar på en sida och säkerhetsmjukvaran varnar för certifikatfel.
Det fanns en tid då företags IT-infrastrukturer ofta släppte igenom all programvara som var försedd med certifikat, eftersom skadlig programvara saknade dem. Som tur är har explosionen av signed malware inte gått obemärkt fram men det förtjänar ändå att påpekas med tanke på den snabba utvecklingen. Och med tanke på att certifikaten är hårdvaluta för IT-brottslingar. Med ett falskt certifikat kan en sajt man tror sig befinna sig på i själva verket vara en helt annan, en där man definitivt inte bör skriva in sina lösenord eller sitt kreditkortsnummer…
Sedelärande berättelse
Certifikatauktoriteter har av uppenbara skäl höga krav på säkerhet. Men
incidenter är ändå inte ovanliga – senast stals certifikat nu i sommar mot
Opera Software, och spår från dessa
stulna certifikat finns i många av de nya skadliga program som dykt upp.
Ett av de mest förödande IT-intrången i modern tid förövades just mot en sådan certifikatauktoritet, DigiNotar. Det var ett nederländskt privat företag som delade ut certifikat både i eget namn och å den nederländska regeringens vägnar.
I
januari 2011 köptes DigiNotar upp av ett annat säkerhetsföretag för drygt
80 miljoner kronor.
Den 17 juni 2011 skedde ett säkerhetsintrång via den oskyddade DMZ som
DigiNotar använde för internt bruk. Efter ett par veckor hade angriparen –
fortfarande oupptäckt – tagit sig in till de säkra servrarna, även de som inte
var direkt anslutna till internet. Mellan den 1 juli och 22 juli hade
angriparen full kontroll över företagets certifikatservrar – både för att
plocka ut information och dölja spår.
Den 19 juli 2011 upptäcktes till slut att något var fel i DigiNotars
datasystem. En intern utredning tillsattes men inget kommunicerades utåt.
I augusti 2011 började internetanvändare i Iran drabbas av intrång mot sina
Gmail-konton. Det visade sig snabbt att det var DigiNotars Google-certifikat
som användes för att lura användarna att lämna ifrån sig sina
inloggningsuppgifter. Samma historia upprepades med andra högprofilerade
sajter. Först då gick DigiNotars ägarföretag ut och bekräftade
intrånget som man hade vetat om i över en månad… men att det inte var någon
fara och allt strax skulle vara fixat. Den nederländska regeringen höll inte
med och drog
genast in alla DigiNotar-certifikat på sina egna sajter, samtidigt som man
ställde företaget under tvångsförvaltning och varnade allmänheten att de
statliga sajterna inte kunde betraktas som säkra. Ingen kul dag för en
IT-minister.
I
september 2011 gick DigiNotar i konkurs.
I oktober 2012 kom så den slutgiltiga rapporten om intrångets skadeverkningar; den är intressant läsning och visar på en skrämmande aningslöshet både när det gäller att intrånget kunde tillåtas hända och att det först förtegs och sedan tonades ner. Att Nederländernas regering reagerade snabbt och kraftfullt är däremot hoppingivande.
Min amerikanske kollega Kevin J Reardon har skrivit mer utförligt om den här historien i boken Security Battleground. Om någon vill ha en riktig rysare att läsa i höstmörkret.
En ljuspunkt i sammanhanget är att DigiNotar-affären både ledde till en större insikt om hotet och en snabb prioritering att hitta effektiva motmedel. Större kontroll och ett rigidare regelverk för certifikatauktoriteter står numera högt på den IT-politiska agendan. Från säkerhetsföretagens sida är det förstås också en hög prioritet att bekämpa attacker från malware – både med och utan digital signatur – som även omfattar ett sandbox-läge där misstänkt kod tvingas visa vad som döljer sig bakom falskleget. I oktober lanserade vi McAfee Advanced Threat Defense som kombinerar möjligheten att snabbt finna, frysa och förinta skadliga program. Tills ännu bättre övergripande kontroll av digitala certifikat är på plats är den typen av dörrvakt det bästa försvaret.
Ämnen
- Datasäkerhet
Kategorier
- mcafee
- fredrik möller
- möller insights
- säkerhet
- it-säkerhet
- it-hot
- undersökning