VG på hugget…

Så langt har Rune Fjeld Olsen vist seg å skrive gode artikler om spill, i sin rolle som spillanmelder for VG Nett. Etter hans siste artikkel om sikkerhet dukker det dog i hodet mitt opp et ordtak om skomakere og lester. Fjeld Olsen, man blir ikke verken ekspert eller får noen rett til å gi folk råd om sikkerhet bare fordi man spiller mye. Den kompetanse du utviser finnes i enorme mengder allerede og har åpenbart ikke gjort noe som helst for folks sikkerhet.

At overskriften bærer preg av Dagbla’ inspirasjon, der tilsynelatende enkle oppskrifter skal være løsningen på hvordan man ‘beskytter seg’ er vel ingen overraskelse. Tabloide medier skriver slik og dessverre kjøper også leserene dette. I allefall i dag. Hva som skjer i morgen eller hva som faktisk forbedrer folks sikkerhet, se det er ikke verken VG eller andre tilsvarende medier tjent med å formidle.

Det er forklart tidligere, av blant andre meg selv, hvorfor mange av rådene som presenteres i nevnte artikkel i beste fall er totalt unyttige og i verste fall direkte skadelige. Litt gravende journalistikk ville selvfølgelig avdekket dette, men ettersom dette åpenbart er for tungvint så skal jeg repetere litt her nå, i tur og orden:

– Sjekk PC’en din
Artikkelen råder folk til å sjekke sin PC for å finne ut om man allerede har virus. Underforstått; dersom man får negativt utslag på dette, og for de logisk tilbakestående betyr negativt utslag at det _ikke_ er avslørt virus på maskinen, så skal man oppfylle krav til en eller annen definisjon av virusfri.

Problemet er her at en kompromittert maskin forteller et antiwareprogram akkurat det maskinen vil at du skal vite. Om det ser ut som det er virus der eller ikke er opp til den kompromitterte maskinen, ikke til scanneren.

Fjeld Olsen glemmer åpenbart Sony-saken som verserte på nett for bare et par uker siden. Der brukte Sony tilsvarende teknikker for å skjule ‘spionprogramvaren’ for scannere. Her har du også neste argument mot antivirus. Antivirusprogrammene gikk glatt forbi, fordi de ikke var inntilt på å lete etter akkurat det de kunne finne.

Hva skjer dersom virus eller annen malware bruker samme teknikk? Jo, antivirusprogrammene må innstilles til å oppdage dette, eksplisitt for den infeksjonen. Antivirus fungerer vet å kjenne igjen kjente angrepsmetoder og infeksjoner, og alt som er ukjent vil derfor ignoreres eller ikke oppdages.

Så, antivirussøk for å finne ut om du har virus er som å forsøke å spørre ‘Er det noen terrorister her’ på flyplassen, i stedet for å bruke metalldetektor. Og for å dra analogien videre, nå kan det til og med være terroristene som står bak kontrollen. Du vet nemlig ingenting om en maskin som er kompromittert annet enn det den kompromitterende programvaren vil at du skal få vite. Om du kjører et antivirusprogram? Hvordan vet du det?

– Sikkerhetsoppdateringer
Dette er forsåvidt et greit tips, isolert sett. Fjeld Olsen ser dog ut til å gi ris til egen bak i det han anbefaler å bytte ut den programvaren som faktisk _blir_ oppdatert, med annen programvare som må manuelt oppdateres. Se lenger ned om bytte av programvare for mer informasjon. Mitt råd er: Klarer du ikke å holde maskinen sikker med Internet Explorer klarer du det heller ikke med Firefox eller Mozilla.

– Vedlegg og nedlastede filer
Fjeld Olsen forklarer, med ekstra vekt på ‘aldri’ at man ikke skal åpne vedlegg som er garantert 100% ufarlige. Grattis, Rune, dette er faktisk riktig, og et godt råd. Om du bare hadde holdt kjeft i resten av avsnittet ville det faktisk være et av de bedre rådene man kan gi til uforvarende og ukyndige brukere.

Heri ligger problemet med rådet til Olsen: ukyndig brukere. Hva er et 100% sikker vedlegg? Excel-fila med budsjettet fra idrettsklubben der man er økonomiansvarlig? Hva med bildene fra ferien i Bali, fra sin vesentlig bedre halvdel? Kanskje vil en oppdatering til antivirusprogrammet fra systemansvarlig i bedriften være en god idé?

Alle disse tre eksemplene kan eller har nylig kunnet medføre alvorlige sikkerhetsproblemer. Bilder fra ferien kan være malwareinfiserte wmf-filer, excelfila kan innholde makroer (hæ? hva er en makro? nettopp!) og oppdateringen til antivirusprogrammet kan helt fint være nettopp det, men kanskje ikke en slik oppdatering man helst vil ha.

Rådet til Olsen burde være å anse alle vedlegg og alle filer for suspekte. Om man vet at man skal få en gitt fil så kan man på forhånd avtale informasjon som verifiserer at den vedlagte fila er det den skal være. Får man vedlegg uten slik avtale skal vedleggene avvises eller verifiseres med avsender, fortrinnsvis ved å be avsender oppgi informasjon om fila, som for eksempel sist endret dato eller filstørrelse. Selv med dette vil man ikke være sikker på vedlegg, du velger fortsatt å stole på avsenders sikkerhetsopplegg, men skal du være helt sikker må du isolere vedlegg i såkalte sandkasser, og videre forklaring om dette er utenfor denne artikkelen sitt omfang.

– Finn farlige filer
Filendelser er ikke nødvendigvis noen indikasjon på faren ved å åpne filen. Som nylig vist man filendelser som ikke er antatt farlige medføre betydlige risiko, jfr. wmf-problemet på Windowsplatformen.

Filer er suspekte inntil det motsatte er bevist, og ferdig med det. Om du ikke vet hvordan du beviser dette så skal du ikke åpne filene. Ingen antiwareløsning i verden vil kunne beskytte deg om du bryter dette prinsippet.

– Bytt programvare
Fjeld Olsen poengterer at populariteten til programvare gjør den mer utsatt for sikkerhetproblemer enn for mindre utbredt programvare. Dermed burde alle bytte slik at det nå er den andre programvaren som er mer populær og alle problemene havner der i stedet.

Personlig synes jeg dette er en god idé, om det hadde vært slik, da. Dessverre ser jeg liten grunn til å bry meg om masseutbredte problemer ettersom disse i svært stor grad rammer uvitenhet og ikke programvare ekplisitt. Jeg foretrekker da å bote på uvitenheten i stedet, men jeg er jeg åpenbart del av en ganske liten minoritet på akkkurat dét området.

Så, Fjeld Olsen vil altså at vi skal bytte sikkerhetsfeilene i programvare A med sikkerhetsfeilene i programvare B. Han gir ingen forklaring på hvorfor annet enn av det er vesentlig færre som har fikset sikkerhetsfeilene sine i programvare A. At du burde være et bedre råd å fikse feilene i programvare A ser ikke ut til å fare forbi Fjeld Olsen sitt glattbarberte hode. Ikke bare det, men, i dette tilfelle, er sikkerhetsfeilene i programvare A vesentlig mer omtalt og fikses raskt på grunn av den negative (og her har det ordet en, vel, negativ betydning) omtalen som langvarige og alvorlige feil vil medføre. Si hva du vil om Microsoft, men å gjøre det som pressen synes ser bra ut synes å være blant deres sterke sider.

Et annet poeng er at programvare _må_ oppdateres. Dette har Fjeld Olsen selv poengtert, og det er riktig. Programvare fra Microsoft oppdateres automatisk gjennom Microsoft Update, gitt at du har en gyldig lisens, selvfølgelig. Merk at det er forskjell på Windows Update og Microsoft Update, sistnevnte tar også annen programvare enn kun operativsystemet.

Ved å velge bort programvare som likevel oppdateres får man altså en ekstra oppdateringsoppgave som må gjennomføres. En del programvare oppdateres mer eller mindre automatisk eller i det minste opplyser brukeren om at programvaren på oppdateres, men det er likevel en oppgave som krever oppfølging.

Når det er sagt, velg den nettleseren og det epostprogrammet du vil. Regn ikke med at du løser noe sikkerhetsproblem ved å bytte, men jeg vil likevel at du skal kunne velge. Om det er slik at rådene du har fulgt så langt fører til at du _ikke_ kan velge å bruke Internet Explorer så er det rådene som er feil.

– Beskyttelses-programmer
Fjeld Olsen forsøker å forsikre seg med å si at det ikke finnes noe fare ved å bruke antiware, eller beskyttelses-programmer som han i sin journalistiske ånd ord deler.

For ikke lenge siden ble det vist at feil i antivirusprogramvare gjør brukere av denne programvaren _mer_ utsatt enn de som ikke bruker denne programvaren. Fjeld Olsen sitt utsagn er derfor umiddelbart feil, men det stopper dessverre ikke der.

Ett lett poeng er å se på ytelsen på en maskin. Programvaren som kjører vil stjele ytelse, harddiskplass, effektiv båndbredde og andre ressurser men kjøper. Du kan gjerne argumentere med at de fleste har nok ytelse likevel, men om de har det så kan de jo bare kjøpe billigere maskiner og gi faen i å installere alt mulig av antiware. Som det er vist før, denne programvaren er komplett unyttig, og nå vist skadelig og bør derfor ikke installeres.

Ikke installér antiware. Klarer enn det klarer jeg ikke å si det.

– Få bort spionene
Nuvel, fra et sikkerhetsmessig perspektiv er kanskje dette mindre relevant. Problemet igjen er at om du velger å installere noe, og det faktisk slik at du velger det selv, så vil du ikke ha noen garanti for at du klarer å få det bort igjen senere.

Videre er det et spørsmål om denne ‘spioneringen’ faktisk er relevant i det hele tatt. Jeg har sett en del slik programvare, som er veldig aktive på å forklarer sin verdi ved å si at du har tousener på tousener av cookies på maskinen din.

Ja, du kan få rettet reklame av slikt. Hvis jeg først skal betale for en tjeneste ved å se reklame foretrekker jeg å se på noe som er relevant for meg fremfor fortreffeligheten av det nye bindet til Libresse.

– Bytt operativsystem
Yeah, rite.

Se ‘bytt programvare’.

Fjeld Olsen, bli ved din konsoll!

Found this article valuable? Want to show your appreciation? Here are some options:

a) Click on the banners anywhere on the site to visit my blog's sponsors. They are all hand-picked and are selected based on providing great products and services to the SharePoint community.

b) Donate Bitcoins! I love Bitcoins, and you can donate if you'd like by clicking the button below.

c) Spread the word! Below, you should find links to sharing this article on your favorite social media sites. I'm an attention junkie, so sharing is caring in my book!

Pin It

0-day exploit av WMF-filer…

Jeg undres hvor mye folk faktisk har lest om dette problemet. Jeg anbefaler i allefall å ta en titt på Microsoft sin egen advisory som svarer på en del av de mest innlysende spørsmålene (http://www.microsoft.com/technet/security/advisory/912840.mspx).

Dette er _ikke_ et IE-problem. Det _er_ et Windows-problem så lenge man inkluderer Windows Metafile-parseren i OS’et slik Microsoft selv gjør.

Det er ingen ‘smittefare’ slik det var med Code Red. Denne feilen kan kun utnyttes passivt, hvilket vil si at man selv må gjøre en aktiv handling for å bli smittet. Det er ingenting en ‘hacker’ kan gjøre for å angripe noen med denne svakheten. Eksempler på slike aktive handlinger er åpning av websider der noen har lagt ut skadelig kode, åpning av HTML-formatterte mailer i eldre versjoner av Outlook (Office XP og eldre), forhåndsvisning av HTML-mailer i Outlook Express og selvfølgelig, åpning av vedlegg eller WMF-filer fra kilder man ikke kjenner. Dog et par viktige ting ellers, se under.

Nå står det i advisoriet at kode kun blir kjørt i brukerens kontekst. Dette er dessverre ikke betryggende. Ved hjelp av blant annet teknikker som systemhooks kan kode kjørt fra enhver bruker skade systemet i vesentlig grad. ‘Vanlig’ begrensning av kjøremuligheter, for eksempel gjennom GPO eller andre eksekveringsbeskyttelser, baserer seg på å gjenkjenne når et program starter for godkjennelse av programmets kjørerettigheter. Problemet i dette tilfellet er at programmet allerede kjører, i form av at WMF-parseren kalles fra for eksempel iexplore.exe, outlook.exe eller forsåvidt andre programmer som bruker komponenten. Dermed blir det ingen eksekveringsbeskyttelse i det hele tatt.

En veldig nærliggende tanke er å bruke feilen til å installere rootkits.

Vær dog klar over at det er mange programmer som kan bruke parseren for å hente ut informasjon fra wmf-filer. Et eksempel på dette er Google sin desktop search. Dersom denne indekserer en infisert wmf-fil vil feilen utnyttes. Vær derfor ekstra forsiktig dersom du vil eksperimentere med infiserte wmf-filer. Det er heller ikke utenkelig at andre programmer som scanner filsystemet kan være utsatt for samme problem. Antivirus _bør_ ikke være sårbare ettersom de stort sett har sine egne parsere, men det kan være farlig å basere seg på at AV-folkene vet hva de gjør.

Det er relativt enkelt å skåne seg for problemer ved å avregistrere den gjeldende komponenten. Informasjon om dette står i advisoriet og for å inspirere til å lese dette tar jeg ikke med info om det her. Det er påstått av Sunbelt Software (http://sunbeltblog.blogspot.com/2005/12/dep-controversy.html), at selv avregistrering av komponenten ikke er tilstrekkelig, men utifra IBM IBM sin egen advisory ser det ut til at også de bruker komponenten til å finne metainformasjon og at avregistrering derfor vil hjelpe også mot deres problem.

Videre er det et poeng at nyere maskiner med såkalt Data Execution Protection i _hardware_ (ikke software DEP som det er i XP SP2) _kan_ stanse problemet (http://www.pcdoctor-guide.com/wordpress/?p=2042). Det er ikke alle maskiner som har dette i hardware, så om du ikke _vet_ at du har det, anta at du ikke har det og følg rådene i advisoriet. Det er også noen som opplyser at selv hardware DEP _ikke_ fungerer (http://blogs.zdnet.com/Ou/?p=143), men vedkommende har vistnok gjort feil i å tillate enkelte programmer (som jeg mistenker er programmer som bruker komponenten) og om man setter opp DEP riktig i OS’et vil hardware DEP fungere.

Ellers, igjen: Ikke stol på informasjon eller filer fra kilder du ikke kjenner. Følger du rådene om avregistrering er du sikret mot ‘de meste’ og i allefall nok til å unngå det de fleste vil oppleve som en trussel.

Pin It