Ny angrepsteknikk unngår deteksjon

Hver dag slippes det rapporter om de aller siste sårbarhetene som er oppdaget. Dette er ofte funn som sikkerhetseksperter finner, og stort sett følger sikkerhetsekspertene en uskreven regel når de finner en sårbarheter. Denne sier at ved funn av en ny sårbarhet bør produsenten kontaktes. Først når produsenten har fikset problemet ved for eksempel å slippe en oppdatering, kan sikkerhetseksperten vise omverdenen detaljert informasjon rundt sitt funn.

I noen tilfeller er ikke dette etikk som alle ønsker å benytte seg av. Enkelte velger heller å selge funnet sitt til høystbydende, og kjøper kan da begynne å infiserer PC-er rundt om i verden før produsenter som for eksempel Microsoft får mulighet å lage sikkerhetsoppdateringer.

Og dette har medført at Internett ikke lenger er så trygt sted å surfe på. Selv om du har oppdatert antivirus og brannmur er du allikevel maktesløs mot slike ”0-day” - angrep.

Ved å undersøke kildekoden på nettsted som prøver å infisere brukere ser du at denne trenden ikke bare tar av, men er blitt høyst sofistikert. Sikkerhetsselskaper som Symantec og Websense har derfor begynt å søke rundt på Internett etter slike skadelige koder. Bakmennene har nå svart tilbake med å kode om angrepskoden. De gjør den ugjenkjennelig for skannere, en prosess som på engelsk kalles å ”obfuscate” kode.

Hvis du har programmeringssnutten:

<table>Click here to surf on evil stuff</table>

Så gjør bakmennene om koden til:

!60!55!66!68!28!39!53!75!25!75!26!25!25!25!2!65!25!74!55!

og lager underliggende javascript for å tolke koden, slik at den tolkes av nettleseren på lik måte som eksempelet over.

For å unngå å bli rammet av slike angrep, kan du deaktivere javascript, men dette er ikke alltid like gunstig. Jobber du i en bedrift, finnes det en rekke programvarer som stenger ned slike nettsteder, og holder PC-en sikker selv om selskapet som har sikkerhetshullet ikke har kommet ut med en sikkerhetsoppdatering.

En innholdsfiltreringsløsning, enten i form av et rent filter eller en avansert brannmur, vil ofte kunne stenge ned sider som inneholder angrepskoder lenge før produsenten eller antivirus-selskaper får laget signaturfiler. Dette har med at alt en innholdsfiltreringsløsning trenger å gjøre, er å stenge ned siden lokalt. Derimot må produsenten som har svakheten lage en sikkerhetsoppdatering som ofte kan ta uker.

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen