Återkoppling Ingen är rädd för vargen

Jag skrev i mitt blogginlägg Ingen är rädd för vargen följande stycke:

”När det gäller elak kod förekommer det naturligtvis att organisationer råkar ut för t.ex. virusangrepp och det kostar pengar att sanera och ställa saker och ting tillrätta. Men efter 10 år i den här branschen är min uppfattning den att virus (och annan fientlig kod) är (eller borde vara) ett ganska litet problem när vi pratar IT och informationssäkerhet i sin helhet, i alla fall på företagsnivå”.

”Visst har jag varit med om några riktiga skräckexempel och de kommer jag att beskriva vid senare tillfälle i denna blogg. Det som jag dock oftare upplever som ett problem i min yrkesroll är avsaknaden av styrande dokument, så som policys, rutiner, intern utbildning, incidentrapportering, upplysningsplan mm”.

Jag läste under dagen en artikel i ComputerSweden att USB-minnen bakom virusangrepp i Skåne. Detta angrepp av masken Conficker är naturligtvis ett bevis på att fientlig kod kan skapa otroligt stor skada vad gäller skadat renommé samt direkta kostnader. Masken infekterade ca: 10 000 datorer inom region Skåne (landstinget) och de orsakerna är bland annat dåligt uppdaterade system och eventuellt felaktigt användande av en USB sticka från en extern konsult. Dock är detta ännu ej bevisat.

Bortsett från att utbrott av fientlig kod faktiskt inträffar och kan åsamka mycket stor skada pekar jag ännu en gång på vikten av att införliva rutiner och styrande dokument i verksamheten.

1. Ca: 1 000 datorer inom region Skåne har saknat nödvändiga uppdateringar.

Detta är en brist som troligtvis kan kopplas till bristande rutiner/strategier gälland just hantering av uppdateringar/patchar. Kanske var exempelvis inventering och dokumentation av det aktuella landstingets datorer undermålig eftersom 1 000 datorer helt plötsligt står utan den nödvändiga uppdateringen?

Att dokumentera IT-miljön ger fördelar vid arbetet med uppdateringar men det ger även andra fördelar: 

1. Snabbare uppstart
Vid exempelvis ett allvarligt virusangrepp är det av stor vikt att ha en bra dokumentation för att snabbt kunna starta upp systemen igen.

2. Snabbare felsökning
Det blir enklare att finna felen snabbt om du har ett väl dokumenterat nätverk. Bra dokumentation reducerar behovet av efterforskning av samma problem varje gång det uppstår. Ett nätverksschema kan hjälpa dig att identifiera blivande problemområden i ett tidigare skede.

3. Mindre risk för informationsförlust
Det finns alltid en risk att den nätverksansvarige har allt i sitt huvud. När han eller hon slutar blir det ett stort problem för företaget. Om det finns bra dokumentation av nätverket så blir övergången från det att en person slutar till det att en ny är insatt i verksamheten mindre kännbar.

4. Ansvarsfördelning
Om det är ett lite större företag med flera anställda inom IT-avdelningen blir ansvarsfördelningen kring nätverket lättare om viktig information finns dokumenterad.

5. Förbättrad nätverksdesign
Finns det bra dokumentation kring nätverket är det lätt att förbättra designen och bygga ut nätverket med fortsatt god design.

6. Tidsaspekt
Ett uppdaterat nätverksschema kommer att spara tid åt dig som administratör under alla förhållanden.

2. Användande av externa enheter (i det här fallet USB-sticka)

Enligt den rapport som ComputerSweden har tagit del av har man kunnat spåra minst ett fall där en extern tekniker har använt sitt USB-minne mellan sin privata dator och landstingets datorer. Detta torde också vara en del av bristande rutiner. I en gällande IT policy borde användande av exempelvis USB minnen vara beskrivet. I policyn skulle man kunna tänka sig följande:

1. Totalt förbud att använda USB minnen överhuvudtaget,
2. USB minnen skall alltid skannas med ett uppdaterat antivirussystem innan de används.

Problemet vad gäller punkt 2 är att det aktuella landstingets antivirussystem (F-secure) inte fann den aktuella masken i första läget eftersom Conficker då var ett nytt hot.

Men…

Det är lätt att sitta här och vara efterklok och bror duktig på en blogg…

Det skall också tilläggas att ingen patient kom till skada under det inträffade angreppet och systemen uppges nu vara befriade från Conficker masken.

/Tomas

Policyomfattning

Konsten att skapa ett virus

Mängden fientlig kod (virus, maskar, trojaner mm) har eskalerat under de senaste 2 åren. Det kommer ständigt nya rapporter från säkerhetsindustrin om antalet virus som finns i omlopp och vi pratar nu miljontals.

Man kan fundera på hur det kan spridas så mycket nya virus hela tiden men det är faktiskt inte så konstigt. Internet är en fantastisk källa vad gäller information och detta utnyttjar vi oavsett vilken agenda vi har. Vill du baka en kaka, kolla Internet. Vill du göra en bomb, kolla Internet. Och vill du göra ett virus, kolla Internet.

Bara på YouTube florerar det mängder av filmsnuttar som med varierande kvalitet beskriver hur du som viruskreatör skall gå till väga.

Ett annat effektivt sätt är att besöka någon av de ljusskygga communitys som enbart sysslar med denna typ av verksamhet. Jag har skrivit ett dokument om enkelheten att skapa ett virus och det dokumentet finner du här: http://www.secure-it.se/generator.htm

I dokumentet beskriver jag bland annat hur en virusgenerator (Virus constructor) fungerar och hur en av dessa communitys fungerar (i det här fallet VX Heavens).

Dokumentet är skapat endast i syfte att kasta ljus på hur enkelt det är för vem som helst utan programmeringskunskaper att skapa och distribuera ett virus. Även om man kan ha åsikter om värdet/nyttan med detta dokument anser jag att man måste vara insatt i det faktiska läget för att kunna förstå och motverka denna typ av hot.  

OBS! Att skapa och distribuera virus och annan fientlig kod som skadar annan person eller egendom är en brottslig handling.

/Tomas

Virus constructor

Ingen är rädd för vargen

Hej
Detta är mitt absolut första blogginlägg! Wow, jag trodde aldrig att jag skulle börja blogga men nu har det skett. Min blogg kommer till stor del att handla om IT och informationssäkerhet. Trista ämnen? Ja, i månt och mycket är det faktisk det för gemene man. Dock är dessa områden ett nödvändigt ont att vara lite insatt i med tanke på hur dagens samhälle fungerar. Vi lever i en tid där allt mer sker i digital form och detta öppnar otroliga möjligheter för oss men det öppnar också dörrar för individer med en ljusskyggare agenda än den du och jag har.

Ett problem vad gäller IT och informationssäkerhet är att den bransch som jag tillhör har skrikit efter vargen så många gånger, utan att denne har dykt upp, att den vanlige datoranvändaren börjar bli mer eller mindre avtrubbad för de olika hotbilderna som förekommer i vår digitala värld. På Internet är ju exempelvis det mesta farligt!

Förstå mig rätt, jag tycker att man skall ha full respekt för att t.ex. Internet är en farlig plats. Framförallt om man är naiv och godtrogen men jag har också respekt för att man som vardaglig datoranvändare tröttnar på allt hojtande om att ”Nu finns det 10 000 000 virus i omlopp på Internet” och ”Den nya supermasken som kommer att ta död på Internet är snart här” samt ”Ny trojan kommer att logga allt du gör på din dator, så skyddar du dig”.

Det är lite som med den aktuella svininfluensan. Mycket massmedial information där nästan all information är olika och mer eller mindre diffus. Vad blir kontentan? Jo vi avtrubbas och ifrågasätter till och med om vi skall låta vaccinera oss eller ej vilket möjligen kan ge katastrofala följder (ingen vet ju säkert).    

När det gäller elak kod förekommer det naturligtvis att organisationer råkar ut för t.ex. virusangrepp och det kostar pengar att sanera och ställa saker och ting tillrätta. Men efter 10 år i den här branschen är min uppfattning den att virus (och annan fientlig kod) är (eller borde vara) ett ganska litet problem när vi pratar IT och informationssäkerhet i sin helhet, i alla fall på företagsnivå.

Visst har jag varit med om några riktiga skräckexempel och de kommer jag att beskriva vid senare tillfälle i denna blogg. Det som jag dock oftare upplever som ett problem i min yrkesroll är avsaknaden av styrande dokument, så som policys, rutiner, intern utbildning, incidentrapportering, upplysningsplan mm.

Lite snabbutbildning
För att ge dig som läser denna blogg lite mer kunskap om elak kod kan du läsa två mer ingående dokument som jag har skrivit om ämnet, dessa finner du om du följer dessa länkar:

http://www.secure-it.se/hotbild.htm
http://www.secure-it.se/generator.htm

Kanske dags att börja styra upp lite?
Jag är av följande uppfattning. Om du som företagsägare, IT chef eller IT ansvarig införlivar alla medarbetar under samma paraply där samtliga individer får ta del av företagets synsätt på hur de IT-tekniska hjälpmedlen skall hanteras, via en t.ex. IT policy, kan man få ett helt annat scenario kring t.ex. nämnd ”antivirusproblematik”.

Du måste fortsättningsvis använda antivirus som en del i det skalskydd du omger dig av men jag är alldeles övertygad om att du kan både spara licenspengar och minska antalet incidenter gällande detta område.

Det är en fråga om att medarbetarnas okunskap utgör risken och hotet och inte huruvida ditt företag använder Norton, Nod32 eller AVG. Om Bengt, på ekonomiavdelningen, på grund av okunskapen om IT relaterade hot konstant klickar på alla länkar i inkommande e-brev kommer företagets situation se ut på ett sätt. I detta scenario finns det inget antivirussystem i världen som kommer skydda organisationen från ett slutligt utbrott av fientlig kod.

Om däremot företaget har arbetat fram rutiner (i skriftlig form) som har implementerats, godkänts och signerats av medarbetarna där det beskrivs hur exempelvis bifogade länkar i e-post skall hanteras kommer vi att ha en annan situation. Bengt kommer nu att ta bort länken eller rådfråga den IT-ansvarige innan han hej vilt klickar på dessa.

Naturligtvis måste parametrar som exempelvis ”känd avsändare ” och andra faktorer bakas in och för att en policy eller rutin skall ha ett värde måste det finnas en konsekvensbild beskriven, presenterad och accepterad av den anställde för att denna ”lösning” skall ha en fullgod effekt.

För att summera denna första bloggskrivelse av mig på ett någorlunda nyanserat sätt anser jag alltså att policys, rutiner, intern utbildning och andra ”mjuka” delar har ett större värde än de tekniska lösningar vi i regel omger oss av. Skalskydd är nödvändigt men det går inte att enbart luta sig mot dessa eftersom risken blir att vi snart hamnar i falsk säkerhet.

Vad händer då när vargen verkligen står där?