ESET Anders Nilsson, IT-säkerhetsexpert  ”Om cyberattacken och WannaCry”

ESET Anders Nilsson, IT-säkerhetsexpert ”Om cyberattacken och WannaCry”

Publicerat av: Redaktionen

[KANALRÖST] I dagarna upplever vi den största attacken inom Ransomware som vi hittills har sett. IT-Kanalen kontaktade därför Anders Nilsson som är IT-säkerhetsexpert på ESET.

Anders Nilsson, IT-säkerhetsexpert på ESET

Vad är din allmänna uppfattning om attacken, frågar vi.

Det är den största i sitt slag och den har definitivt skapat stor skada, men min tolkning är att det inte är proffs som ligger bakom. Med det sagt vill jag inte på något sätt nonchalera eller nedvärdera det som hänt. Jag menar bara att om den eller de som står bakom attacken hade haft mer kunskap skulle den här attacken ha kunnat få ännu allvarligare följder eftersom spridningen blev så global.

Säkerhetshålet var redan känt

Men spridningen hade inte behövt bli så omfattande om företag och enskilda hade varit noggrannare med att se till att ha de senaste uppdateringarna av, i detta fall, Windows. Faktum är att Microsoft skickade ut en patch (uppdatering) redan den 14 mars i år. Den syftade till att täppa till det säkerhetshål som hade upptäckts i Windows.

Vilka versioner berördes av säkerhetshålet, frågar vi. Det var samtliga versioner från Windows XP fram till Windows 10, inklusive Windows Server, svarar Anders.

NSA och CIA bestulna på Hackerverktyg

Dessutom hade attacken kunnat stoppas eller i alla fall mildrats om det tidigare hade kommit fram att amerikanska NSA (National Security Agency) fick ett Hackerverktyg stulet under hösten 2016. Det verktyget utnyttjade samma säkerhetshål i Windows som WannaCry. Detta var något som NSA höll tyst om inledningsvis.

WikiLeaks skrev den 7 mars i år i en pressrelease att man skulle börja läcka en mängd CIA-dokument under kodnamnet ”Vault 7”. Anledningen till att många tusen CIA-dokument hade kommit ut var, enligt WikiLeaks, att CIA hade tappat kontrollen över flera av sina verktyg för bl.a. Hacking. Det är inte helt klarlagt om detta avser samma Hackerverktyg som NSA blev bestulna på.

Microsoft vill att det ska skapas regler och förordningar för att kända säkerhetshål ska rapporteras. På så sätt hoppas man att snabbare kunna åtgärda felen. I fallet med CIA & NSA har man uppenbart använt kännedomen om säkerhetshålet för att kunna agera utifrån sin egen övervakning.

Gamla versioner är sårbara

Men varför har inte alla stora företag och kommuner uppdaterat sina system, frågar vi Anders.

Man måste ha en viss förståelse för att företag m.fl. som fortfarande använder XP, som en del av sin systemflora, kanske har hamnat i en situation där man använder applikationer och IT-system som inte stödjer senare Windowsversioner. Därför behöver man ligga kvar i t.ex. Windows XP. Då måste man sträva efter att de datorerna körs off-line så långt det är möjligt. Annars är man sårbar, konstaterar Anders.

Över en halv miljon inbetalt i lösen

Det är uppenbart att den här attacken har fått en spridning och åstadkommit skador av en sådan omfattning som vi inte tidigare har sett. Det går t.o.m. att säga att människors liv & hälsa har utsatts för fara eftersom bl.a. sjukhus i England drabbades. Det gör att det är många, tunga instanser och organisationer, som vill se att de skyldiga åker fast och ställs inför rätta. Det borde inte vara så svårt. Det är väl bara att spåra de betalningar (lösen) som har gjorts för att få datorer upplåsta efter attacken, frågar vi. Tyvärr är det inte så lätt, svarar Anders Nilsson. Betalningarna måste göras med Bitcoin och den valutan skapas med s.k. Blockchain-teknik. Det gör att du visserligen kan se betalningarna men det är omöjligt att se vem som äger respektive Bitcoin. Jag kan se att fram till nu har det betalats in 584 104 kronor till de bitcoin-adresser som används, m.a.o. över en halv miljon kronor. De pengarna har inte rörts än, berättar Anders.

Rädsla för sandlådan bromsade effekten

En hjälte i sammanhanget är den unga brittiske IT-säkerhetsexperten som genom att registrera en domän lyckades att bromsa attackens kraft. Vi ber Anders att förklara hur det kunde bromsa attacken.

Denna typ av virus, som denna gång döpts till WannaCry, slumpar fram Internetadresser som den försöker att koppla upp sig mot. Den brittiske experten hade noterat i den skadliga koden att det fanns ett anrop till en domän med ett långt och krångligt namn som inte var registrerad. När han registrerade den domän fick viruset plötsligt kontakt och kopplade upp sig mot den domänen. Men hur kunde det bromsa spridningen, undrar vi.

Anders förklarar att en del av dagens säkerhetslösningar består av s.k. Sandboxes. Syftet med dem är att låta en skadlig kod ”härja fritt” i en helt avskild miljö där ingen skada kan åstadkommas. Det har blivit ett framgångsrikt sätt att hantera olika attacker med skadlig kod. För att bemöta detta har personerna bakom skapandet av skadlig kod börja att ha en s.k. Kill Switch inbyggd i koden. Det innebär att det slumpvisa skapande av adresser är tänkt att vara en kontroll av att viruset inte är utsatt för övervakning, t.ex. i en Sandbox. Tanken är att dessa slumpvis skapade adresser är så orimliga att de inte kan finnas på riktigt. Om viruset plötsligt får träff på en adress så slutar den att agera och ”låtsas vara snäll” eller är helt passiv. Många gånger är det kodat så att om viruset får träff på en adress slumpas ytterligare en adress fram och om 3-4 adresser på rad får träff då blir viruset inaktivt. I fallet med WannaCry räckte det tydligen med en träff för att det skulle sluta att verka. Min slutsats blir att viruset trodde att det var övervakat i en Sandbox eftersom det fick en träff på den domän som den brittiske experten registrerade. Därför fortsatte den inte att attackera.

Att Anders Nilsson och hans kollegor på ESET samt övriga aktörer i branschen står inför ständigt nya utmaningar i bästa James Bond-stil blir alltmer tydligt.

Vad bör vi tänka på?

Vi ber Anders Nilsson att lyfta fram vad företag, organisationer och enskilda användare bör tänka på för att minska risken för att bli utsatt. Han ger oss följande checklista:

  • Installera alltid de senaste uppdateringarna av operativsystemet
  • Installera ett Antivirusprogram och håll det uppdaterat
  • Installera en intelligent brandvägg
  • Stäng gamla protokoll som inte används. Många gånger finns säkerhetshålen i ”fil och skrivarprotokoll” (Gäller i första hand företag)
  • Segmentera nätverken så att personaldatorer och systemdatorer separeras. Alla datorer behöver inte tillgång till Internet (Gäller i första hand företag)
  • Gör säkerhetskopior regelbundet
  • Gör mer än en säkerhetskopia åt gången och förvara dem på annat ställe än där datorn är, t.ex. i molnet
  • Glöm inte bort att det finns andra hotbilder t.ex. stöld och brand

Avslutningsvis konstaterar vi att detta inte var den sista gången som vi drabbas av en cyberattack och kampen mellan ”The Good Guys and The Bad Guys”.

 

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00