Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Elak kod » Kryptoblog

Archive for the ‘Elak kod’ category

Testa filer med VirusTotal

January 9th, 2008

VirusTotal är en tjänst på nätet där man kan testa filer man misstänker innehåller elak kod mot ett stort antal AV-program. Bakom VirusTotal står säkerhetslaboratoriet Hispasec Sistemas och sidan sponsras av ett stort antal AV-tillverkare:

* AhnLab (V3) * Aladdin (eSafe) * ALWIL (Avast! Antivirus) * Authentium (Command Antivirus) * Avira (AntiVir) * Bit9 (FileAdvisor) * Cat Computer Services (Quick Heal) * ClamAV (ClamAV) * CA Inc. (Vet) * Doctor Web, Ltd. (DrWeb) * Eset Software (ESET NOD32) * ewido networks (ewido anti-malware) * Fortinet (Fortinet) * FRISK Software (F-Prot) * F-Secure (F-Secure) * Grisoft (AVG) * Hacksoft (The Hacker) * Ikarus Software (Ikarus) * Kaspersky Lab (AVP) * McAfee (VirusScan) * Microsoft (Malware Protection) * Norman (Norman Antivirus) * Panda Security (Panda Platinum) * Prevx (Prevx1) * Rising Antivirus (Rising) * Secure Computing (Webwasher) * Softwin (BitDefender) * Sophos (SAV) * Sunbelt Software (Antivirus) * Symantec (Norton Antivirus) * VirusBlokAda (VBA32) * VirusBuster (VirusBuster)

På VirusTotals webbplats finns även en sida med statistik. Bland annat kan man se vilka som är dom vanligaste typerna av elak kod VirusTotal detekterar just nu:

VirusTotal just nu.

Det går att skicka filer till VirusTotal med SSL, däremot hittar jag ingen info om vad som händer med filerna efter att dom analyserats av VirusTotal. Litar man på att VirusTotal är snäll och skyddar filerna känns detta som en bra tjänst för att testa misstänkta filer.

Samtidigt finns det diskussioner om att utvecklare av elak kod själva använder VirusTotal för att verifiera att deras kod flyger under RADARn, något VirusTotal tar upp på i ett inläggsin blogg.

Ross Andersson söker efter ondska

November 22nd, 2007

En av mina stora idoler på säkerhetsfronten, forskaren Ross Andersson har hälsat på Google och hållit en presentation. Presentationen Searching for Evil finns på YouTube och är väl värd att titta på:

Sammanfattningen på YouTube förklarar vad presentationen handlar om:


Computer security has recently imported a lot of ideas from economics, psychology and sociology, leading to fresh insights and new tools. I will describe one thread of research that draws together techniques from fields as diverse as signals intelligence and sociology to search for artificial communities.

Evildoers online divide roughly into two categories – those who don’t want their websites to be found, such as phishermen, and those who do. The latter category runs from fake escrow sites through dodgy stores to postmodern Ponzi schemes.

Google-video om Gmail och spam

November 20th, 2007

Google har släppte en video om hur de arbetar för att bekämpa spam i Gmail:

Kanske inte den mest seriösa videon. Men problembeskrivningen i sig tycker jag stämmer. Och om de verkligen använder den teknik de beskriver för att identifiera spam (inklusive optisk teckenigenkänning i bilder) är det klart intressant.

Dagens säkerhetsdumhet presenteras av….

November 15th, 2007

FPGA-leverantören Xilinx.

Var precis inne på Xilinx webbplats och upptäckte att på sidan för att ladda ner utvecklingsverktyg fanns den här uppmaningen till Xilinx användare:


Turn off virus scanner to reduce installation time. Download file will contain installations for multiple platforms. After downloading, unzip the file and run “setup”

Detta på en webbplats som endast är skyddad med ett lösenord. Jag som användare har ingen möjlighet att verifiera att:

  1. Sidan verkligen tillhör Xilinx och är en del av deras webbplats.

  2. Programmet som laddas ned kommer från Xilinx

  3. Programmet som laddats ned inte påverkats på vägen

Att då uppmana sina användare att stänga av viruskontrollen är kort sagt uselt säkerhetstänkande. Xilinx använder SSL/TLS på delar av sin webbplats, men inte på sidan för nedladdning. Och hur svårt är det egentligen att ta fram och publicera information om storlek och signatur för de filer man gör tillgängliga? (Även om en sådan information behöver skyddas den också – om webbplatsen är hackad är antagligen den informationen inte att lita på.)

Jag har skickat en kommentar/uppmaning till Xilinx om att ta bort sin uppmaning och tänka till på säkerheten. Om jag får ett svar återkommer jag.

En kollega kom för övrigt med en bra observation: Varför är det så få kommersiella företag som publicerar signaturer för de filer och program de gör tillgängliga? Ser man MD5-, SHA-signaturer kan man nästan vara säker på att leverantören är ett öppen/fri kod-projekt.

Intelligenta algoritmer och dumma människor

November 13th, 2007

Jag har tidigare skrivit om CAPTCHA - Completely Automated Public Turing test to tell Computers and Humans Apart, dvs automatiserade tester avsedda att särskilja människor och maskiner.

Syftet med CAPTCHA är att kunna blockera maskiner från access till olika resurser, exempelvis diskussionsforum eller nätspel, men samtidigt inte hindra mänskliga besökare. Ofta är CAPTCHA:n utformad som en förvrängd bild där människans förmåga att tolka bilder utnyttjas:

Typisk CAPTCHA.
(Typiska CAPTCHA-bilder lånade från Wikipedia.)

CAPTCHA och intresset för att komma åt de tillgångar CAPCTHA-tekniken skyddar har lett till ett ställningskrig mellan de som utvecklar CAPTCHA-algoritmer och de (typiskt SPAM-troll) som försöker hitta på algoritmer för att knäcka CAPTCHA-algoritmerna. Men om man nu tycker att det är svårt att hitta på smarta algoritmer för att attackera CAPTCHA kan man istället ta till dumma människor.

Computerworld hade för ett tag sedan en artikel om hur spammare använder access till porr för att locka användare att tolka CAPTCHAs plockade från webbplatser spammarna vill få access till:


Spammers are using a virtual stripper as bait to dupe people into helping criminals crack codes they need to send more spam or boost the rankings of parasitic Web sites, security researchers said today.

A series of photographs shows “Melissa,” no relation to the 1999 worm by the same name, with progressively fewer clothes and more skin each time the user correctly enters the characters in an accompanying CAPTCHA (Completely Automatic Public Turing Test to Tell Computers and Humans Apart), the distorted, scrambled codes that most Web mail services use to block bots from registering hundreds or thousands of accounts. Spammers rely on Web e-mail accounts because they’re disposable; by the time filters have blocked the address, the spammers throw it away and move on to another.

The CAPTCHAs that Melissa feeds to users are, in fact, legitimate codes snatched from Yahoo Mail’s signup screens, said analysts at Trend Micro Inc. The hackers, frustrated at their inability to come up with a way to automate account registration, are getting users to do their dirty work.

“They’re using human beings in semi-real time to translate CAPTCHAs by proxy,” said Paul Ferguson, a network architect at Trend Micro. “You have to give them this, it’s clever.”

Each time the user correctly decodes the CAPTCHA, a new Melissa photo is revealed, pulled from a hacker-controlled server in Israel, according to Symantec Corp. The plain-text decodes are sent to that same server, where they are presumably banked for future use in generating large numbers of Yahoo Mail accounts.

På Wikipedias sida om CAPTCHAs finns även en länk till en sida med information om där människor anställts för att sitta och lösa CAPTCHAS, på liknande sätt som folk anställs för att träna upp karaktärer i spel som World of Warcraft. (Den sidan kallar fenomenet Turing farm.)

Jag vill ändå separera dessa två typer av attacker mot CAPTCHAs där människor plockas in som beräkningsenheter. I det förra fallet handlar det om att på olika sätt lura och locka folk att hjälpa till med något de annars inte hade ställt upp på. Och frågan är hur man skyddar sig mot detta. Finns det bra sätt att tekniskt stoppa denna typ av attack?

Dels kan man försöka stoppa möjligheten att skicka CAPTCHAn vidare, vilket i sig inte är helt lätt. Men frågan är om CAPTCHA-tekniken i sig går att förändra? Jag bloggade för ett tag sedan om knäppa CAPTCHAs, men det kanske är så att för vissa webbplatser är CAPTCHAs med domänspecifik semantisk koppling lösningen.

Matte-CAPTCHA.
(Matte-CAPTCHA.)

Dvs bara användare som verkligen är intresserade av access till webbplatsen är kapabla att lösa CAPTCHAn… Med konsekvens att Internet blir än mer slutet och fragmenterat. Men knäppa CAPTCHAs är kanske inte så knäppt i alla fall.

Recensions-fusk på Amazon

November 6th, 2007

Jag sitter just och tröskar igenom boken AVIEN Malware Defence Guide.

Boken AVIEN Malware Defence Guide.

För att kolla upp lite fakta och vad andra tyckt om boken kollade jag på Amazon. Bokens betyg på Amazon är fem fyrar, och är baserat på två läsarkommentarer, mer exakt den här:


5.0 out of 5 stars The must have book for all Malware administrators, August 11, 2007 By Michael P. Blanchard “co-Author of AVIEN Malw… (Mass, USA)

If your book budjet only allows for one book this year, this is the book you should buy. If you’re a malware administrator for a small to huge size enterprise this is the book that will help guide you through your day to day activities.

The section on detection of a piece of malware that may be running on a user’s machine is extreamly helpful, the tools mentioned in that chapter will all become staple items in your outbreak “jumpkit” after reading that section.

There really isn’t any other book like this out on the market today. The entire book was written by the global top professionals in the field that live with the malware threat on a daily basis. They are not people that are locked away in a lab somewhere only discecting threats, although that is a part of many of their jobs. These authors know what it’s like to be in the trenches, trying to protect their enterprise environments while still maintaining that extreamly delicate balance that allows their users to perform the daily activities that they require to make the enterprise run smoothly. These authors help walk you through their sections as if they are right there with you guiding you along and answering your questions.

Och:


5.0 out of 5 stars One of the Author’s Speaks, August 10, 2007 By Kenneth Bechte

This is the book I wish I had when I started in the field back in 1988. Every one of the contributors to the book are great and knowledgeable folks. Unlike the other books on this subject everyone who contributed is highly regarded, experienced and active in the career field.

This is a MUST for every Corporate IT library.

Men hallå?! Det är alltså två av författarna till boken som skrivit dessa recensioner! (Tur att dom inte tog till överord…)

Jag har inte bestämt mig för om boken är bra eller ej, men att författarna är ohederliga och inte att lita på, det har jag kommit fram till.

Ett säkert lösenord

October 15th, 2007

Den här bilden dök upp i en artikelWorse Than Failure:
PW för MS Knowledge Base
Visst, det är nog ingen som kan gissa ditt lösenord – men blir det inte lite jobbigt att logga in? ... Och gissningsvis måste du byta lösenord innan du lärt dig det gamla utantill…

Första virusrättegången i sverige

October 8th, 2007

IDG skriver om att det nu är dags för den första rättegången kopplad till viruskod i sverige. Den som är åtalad är en 33-åring från Härnösand. Det virus han är anklagaf för att ha skapat och sedan spridit är det Windows-virus som kallas för Ganda.

Ganda, som egentligen är en datormask, började spridas mars 2003 och första halvåret 2003 låg Gandaviruset på tredje plats över de mest spridda virusen i Sverige. Enligt IDG var hämd Härnösandsbons syfte med Ganda:


Enligt Härnösandsbon hade han blivit illa behandlad av skolväsendet. Han hade svårigheter att klara muntliga förhör och begärde enbart skriftliga. När det inte beviljades kände han sig diskriminerad. Gandaviruset hade en lista med hårdkodade mottagare. Dessa var journalister och skribenter på Tidningen Ångermanland, Aftonbladet, SVT Debatt och Flashback. Dessutom var det adresserat till mottagare på Skolverket.

Åtalspunkterna gäller dataintrång och grovt egenmäktigt förfarande vilka var för sig kan ge fängelse i upp till två år. Jag tycker att det skall bli mycket intressant att se domstolen bedömer att det är att sprida elak kod.

När datorerna blev farliga

September 24th, 2007

(Jag har läst ett antal intressanta artiklar och rapporter som jag tänkt blogga om, men inte hunnit med – så nu kommer en radda postningar med lästips.)

Lars Ilshammar, historiker, journalist och chef för Arbetarrörelsens arkiv och bibliotek, har skrivit en rapport/essä om när datorerna blev farliga.

Lars Ilshammar

Vad Ilshammars text handlar om är inte när datorerna rent tekniskt blev farliga – utan när den mediala debatten och den politiska uppfattningen i Sverige om datorer, både tekniken i sig och användningen av tekniken, övergick från i grunden teknokratiskt och optimistiskt till att vara kritiskt. Ilshammars sammanfattning förklarar det hela:


During the 1960s, Swedish society underwent a rapid and revolutionary computerisation process. Having been viewed as a harmless tool in the service of the engineering sciences during the first part of the decade, the computer became, during the second part, a symbol of the large-scale technology society and its downsides.

When the controversy reached its peak in 1970, it was the threats to privacy that above all came into focus. This debate resulted in the adoption of the world’s first data act in the early 1970s. This paper will study and analyse the Swedish computer discourse during the 1960s, with special focus on the establishment of the Data Act. The core issues are what factors of development and what main figures were instrumental to the changing approach to computer technology during the later part of the decade.

Rapporten är mycket intressant att läsa, inte minst med tanke på den debatt som i dag förs om datalagring, buggning och avlyssning av olika typer av kommunikation. I slutet av 60-talet och bara några få in på 70-talet rasade en rejäl debatt om integritet och då speciellt de hot mot den privata integriteten som datatekniken gav möjlighet till.

Det är två saker som jag reagerar på när jag läser Ilshammars rapport. Dels hur fort omslaget från en i grunden positiv inställning till en negativ inställning gick. På några få år, från 1968 till ungefär 1972, slår attityden om närmast fullständigt och innebär konkreta förändringar som införandet av datalagen och inrättandet av Datainspektionen. Den andra saken jag reagerar på är vilka som gick i frontlinjen för att värna den personliga integriteten – det var nämligen Folkpartiet tätt följda av Moderaterna, samma partier som i dag går i frontlinjen för att inskränka integriteten med hjälp av datorer.

Jag hoppas att företrädare för dessa partier från den tiden pratar med dagens företrädare och diskuterar hur man då resonerade vad gäller skydd för den personliga integriteten kontra effektiv myndighetsutövning och skillnaden mot dagens samhälle. Jag tror vi i det här fallet har mycket att lära av dåtiden.

En bok som då kunde vara bra att läsa är Datamakt, skriven 1975 av den Folkpartistiska riksdagsledamoten Kertin Anér (ISBN 91-7070-421-X). Boken är alltså skriven i efterdyningarna av den debatt Ilshammar skriver om, och en bra sammanfattning av hur man inom Folkpartiet och borgarna resonerade. Boken ser man ofta på antikvariat och är värd att plocka upp. (Jag betalade 20 SEK för mitt ex.)

Ok, förutom integritetsapekter, vad har detta med IT-säkerhet att göra? Jo en koppling jag gör är att i dag finns det reella hot – phising, identitetsstöld, virus, spam, trojaner som folk är relativt medvetna om. Till detta tillkommer ökad övervakning med kameror, buggning etc – detta utan att farorna analyseras speciellt mycket. Samtidigt exponerar sig folk på Facebook, MySpace, Flickr etc och tycker att det är helt ok. Vi har alltså en mycket komplex blandning av psykologi, integritet, datoranvändning, reeella och imaginära hot samt utdelning och bearbetning av personlig information med i många fall global exponering.

I detta läget kanske vi, precis som när datorerna blev farliga, borde ha en ordentlig offentlig debatt. Det kanske är dags att exempelvis sociala nätverk på Internet, messa, LOL-cats, övervakningskameror och e-myndigheter betraktas utifrån säkerhet och integritet? Att dom kanske är lite farliga.

Mer om knäpp CAPTCHA

August 29th, 2007

Läsaren Rombobjörn postade en bra kommentar om knäppa CAPTCHAs:


Att använda punktskrift skulle kunna vara ganska listigt i ett forum för föräldrar till blinda barn till exempel. Formeln (som inte är en ekvation) är antagligen avsedd för matematiker. Om man inte kan förkorta den till ln 2 så tillhör man inte målgruppen.

Vad Rombobjörn pekar på är att dessa CAPTHAs, hur knäppa de ser ut att vara egentligen bygger på något mycket viktigt: semantisk förståelse. Rombobjörn har helt rätt och jag hade fel, detta är bra CAPTCHAs.

Och ja, det är en formel (eller ett uttryck), inte en ekvation. Eller som Via/Yes (vilket märke det nu är) uttrycker det i sin reklam: Ny, bättre formulering. 😉

Men det här (tack Martin E) är väl ändå en knäpp CAPTCHA?

Ännu en knäpp CAPTCHA

Man måste vara en dator för att kunna titta på den tillräckligt länge för att klura ut koden.