Säkerhetsåret 2017 – Året då mjukvara pressade oss på pengar. Detta är trenderna inför 2018. | Feber

Teknik

Motor

Samhälle

Spel

Popkultur

Fritid

Tjock

Tester

Dagens fråga

Tipsa!

Skaffa Feber+

Hetaste

Senaste

Säkerhetsåret 2017 – Året då mjukvara pressade oss på pengar

Detta är trenderna inför 2018

Hela denna artikel är en annons

I rapporten Trender 2018 beskriver ESET:s säkerhetsexperter vilka områden de tror kommer att vara viktigast ur ett säkerhetsperspektiv under det kommande året och föreslår ett antal åtgärder som kan minska riskerna.

Våra skribenter tar upp utpressningsprogram, attacker mot kritisk infrastruktur, vikten av att analysera skadeprogram för att kunna bekämpa kriminell verksamhet, cyberhot mot valkampanjer och hur den personliga integriteten kommer att se ut under 2018.

Först ska vi dock ta en snabb titt på vad som hände under 2017 eftersom det året kommer att gå till historien som ett av de sämsta för vår digitala värld. Det här var året då säkerheten, eller snarare bristen på densamma, skapade stora rubriker och sedan blev ett stående inslag i ledande medier världen över. Årets största cybersäkerhetsincidenter var ett antal uppmärksammade fall som inte bara påverkade miljontals användare i hela världen, utan också medförde betydande ekonomiska förluster för stora multinationella företag och myndigheter.

De två attacker som stack ut mest under 2017 var utan tvekan de stora infektionerna med utpressningsprogram: WannaCryptor (även känt som Wannacry), som sedan följdes av DiskCoder.C. På grund av de här hotens ”maskliknande” egenskaper kunde data på tusentals slutpunkter och servrar över hela jorden attackeras både snabbare och mer effektivt än någonsin tidigare. De här attackerna innebar dessutom att säkerheten för en betydligt större grupp människor började ifrågasättas kraftigt.

Skärmdump av Wanna Decryptor publicerat på Twitter av användaren @fendifille

Angriparna lyckades inte bara att skapa uppmärksamhet i media. Till exempel kan Equifax-attacken mycket väl ha påverkat mer än hälften av USA:s vuxna befolkning och många människor utanför landet, och i attacken mot HBO läcktes privata uppgifter om kanalens skådespelare läcktes och produktionsrelaterat material som manus och avsnitt av serien Game of thrones. Till och med Yahoo! har till slut medgett att hela deras användardatabas utsattes för en attack 2013 som innebar att uppgifter från tre miljarder konton – bl.a. namn, e-postadresser, födelsedatum, lösenord och, i vissa fall, säkerhetsfrågor och svaren på dessa – läckte.

Och det finns mer. Under det senaste året har det spekulerats mycket kring huruvida det amerikanska presidentvalet 2016 manipulerades. 2017 upptäcktes även KRACK, ett hot mot krypteringssystemet WPA2 som kan försämra säkerheten i Wi-fi-anslutningar.

Sist men inte minst har vi Industroyer, det största hotet mot industriella styrsystem sedan Stuxnet. Industroyer har visat sig kunna påverka olika typer av kritisk infrastruktur, bl.a. vatten-, el- och gasförsörjning.

Med andra ord har det varit ett intensivt år på säkerhetsområdet. Flera orosmoln som tidigare identifierats av ESET:s säkerhetsexperter, och som har tagits upp i vår årliga Trends-rapport de senaste åren, blev tyvärr verklighet under 2017. Ett faktum som ytterligare förstärker denna utveckling är att cybersäkerhetsrelaterade incidenter blir allt vanligare inom alla delar av vår vardag; de händelser som beskrivs här påverkar ett mycket bredare och mer varierande spektrum av världens befolkning än någonsin tidigare.

Trådlösa nätverk attackerades under 2017 och många routrar fick uppdateras för att täta krypteringssystemet WPA2.

Den tekniska utvecklingen och den ökande användningen av ny teknik har inneburit att ett antal scenarier som var helt otänkbara för bara några år sedan nu är fullt realistiska. Detta blir alltmer uppenbart i takt med att vi upptäcker fler säkerhetsrelaterade konsekvenser som kan härledas till det faktum att många av de system och protokoll vi använder dagligen har utformats utan tanke på (omfattande) internetanslutning. Hur kan vi då lösa den här paradoxen utan en teknisk nedgradering?

Här vill jag återkomma till Trender 2018. Våra skribenter kan naturligtvis inte vara säkra på att de problem som beskrivs i artiklarna nedan kommer att bli verklighet (vi önskar oss verkligen ett mindre turbulent år i fråga om cybersäkerhet), men vi hoppas att rapporten hjälper läsarna att bli mer medvetna om vilka problem som kan uppstå.

Vi är optimistiska och tror att en framåtblickande övning som Trender 2018 ger alla som arbetar med och berörs av cybersäkerhet tillfälle att reflektera kring, diskutera och ta tag i dagens och morgondagen

Här följer den första artikeln av fem, som kommer att publiceras här och på vår websida under jan, februari och mars månad.

- Artikel 1: Ransomware-revolutionen
- Artikel 2: Attacker mot kritisk infrastruktur (publiceras vecka 5 2018)
- Artikel 3: Att gripa cyberbrottslingar (publiceras vecka 7 2018)
- Artikel 4: Demokratihack (publiceras vecka 9 2018)
- Artikel 5: Personlig integritet i den nya tidsåldern (publiceras vecka 11 2018)
- Artikel 6: Sammanfattning Trender 2018 (publiceras vecka 12 2018)

De revolutionerande utpressningsprogrammen
David Harley, Senior Research Fellow på ESET.

Det var faktiskt här jag kom in i bilden, för nästan 30 år sedan. Det första skadeprogram jag hjälpte till att hantera var Dr. Popps effektiva AIDS-trojan, som gjorde offrets data otillgängliga tills en avgift betalades för ”förnyelse av programlicens”. Under lång tid därefter fanns det inte mycket annat som kunde kallas utpressningsprogram, om man inte räknar hoten om upprepade DDoS-attacker (distribuerade överbelastningsattacker) mot företag och organisationer.

En mycket rimlig förnekelse
Parallellt med att överbelastningsattacker utförda genom nätverk av botstyrda datorer har blivit ett allt större problem sedan millennieskiftet har hoten om DDoS-utpressning tilltagit (om än mindre dramatiskt) i och med framväxten av utpressningsprogram de senaste åren. Statistiken kan dock vara missvisande eftersom vissa av de drabbade organisationer ogärna talar öppet om det, samt på grund den samtidiga ökningen av antalet DDoS-attacker med politiska dimensioner snarare än rena ekonomiska motiv. Olika typer av skadeprogram interagerar dock även på andra sätt. Utpressningstrojaner med inbyggda DDoS-botar har förekommit, och för inte så länge sedan valde charmknuttarna bakom botnätet Mirai att utföra en överbelastningsattack mot WannaCryptors (även känd som WannaCry) ”avstängningsknapp” i syfte att återaktivera vilande kopior av skadeprogrammet.

Ransomware låser in din egen personliga data och tvingar dig betala för att återfår tillgång till den.

Masken byter riktning
Naturligtvis finns det betydligt mer att säga om det skadeprogram ESET kallar Win32/Filecoder.WannaCryptor än kopplingen till Mirai. Kombinationen av utpressningstrojaner och maskar gjorde att skadeprogrammet spreds snabbare, om än inte lika dramatiskt i fråga om volym som vissa av 00-talets maskattacker. Det berodde delvis på att spridningen var beroende av en sårbarhet som redan hade byggts bort till stor del. De ekonomiska konsekvenserna för vissa stora företag och organisationer uppmärksammades dock av media världen över.

Betala och spela vårt spel*
En av fiffigheterna med WannaCryptor var att den som betalade lösensumman troligen aldrig skulle återfå tillgången till alla sina data. Detta är naturligtvis inget unikt; det finns otaliga exempel på utpressningsprogram vars upphovsmän inte har lyckats återskapa alla data, eller några data överhuvudtaget, på grund av felaktig kodning, eller på grund av att det aldrig var avsikten. Ranscam och Hitler raderade till exempel bara filer – ingen kryptering och inget rimligt sätt för förövaren att återskapa offrets data. Lyckligtvis verkar den typen av attacker inte ha varit särskilt utbredda. Det mest kända exemplet är kanske Petya-semiklonen som av ESET kallas DiskCoder.C och som faktiskt krypterar data. Med tanke på hur skickligt skadeprogrammet är utformat verkar avsaknaden av en återskapandemekanism inte direkt oavsiktlig. Snarare har vi nog att göra med ett fall av ”ta pengarna och spring”.

Wiper-hype
Även om skadeprogrammet DiskCoder.C, som av vissa inte anses vara av Petya-typ, kan användas som utpressningstrojan och därmed generera pengar har andra ”wiper”-program en helt annan agenda, t.ex. det (relativt) nyligen återuppväckta skadeprogrammet Shamoon. Två skadeprogram med wiper-funktion som båda har riktat in sig på Ukraina är KillDisk (tillsammans med BlackEnergy) och, på senare tid, en av Industroyers attacker.

Industroyer stängde under 2016 ned elnätet i Kiev, Ukraina, under en timme.

Vad kan vi lära oss av den här utvecklingen?
Att kräva en lösensumma för dina data är ett enkelt sätt för angriparen att tjäna ohederliga pengar. Att förstöra data av andra skäl, t.ex. politiska, verkar dock bli allt vanligare. Istället för att spekulera kring alla möjliga variationer på temat datasabotage ska vi ta en titt på några åtgärder som minskar risken överlag.

1. Vi förstår att människor väljer att betala i hopp om att få tillbaka sina data, trots att de vet att det uppmuntrar förövarna. Innan du betalar bör du dock fråga leverantören av ditt säkerhetsprogram (a) om återställning är möjlig utan att lösensumman betalas och (b) om det är ett känt faktum att betalning av lösensumman inte, eller kanske inte, resulterar i dataåterställning med det aktuella utpressningsprogrammet.

2. Att aktivt skydda dina data är säkrare än att lita på utpressarens kompetens och löften. Säkerhetskopiera allt som är viktigt för dig, ofta, på medier som vanligtvis inte är måltavlor för utpressningstrojaner och andra skadeprogram och förvara dessa på en fysiskt säker plats (helst mer än en plats). Se till att åtminstone några säkerhetskopior inte är anslutna till internet. Säkerhetskopior skyddar ju inte bara mot utpressningsprogram och annan skadlig kod, utan även mot andra datarelaterade risker och bör därför redan vara en del av din katastrofberedskap.

3. Idag ser många människor och organisationer inte säkerhetskopior som fysiska medier i form av t.ex. optiska skivor och flashminnen, utan som någon typ av molnlagring. Dessa finns oftast någon annanstans. Tänk dock på att vissa lagringsutrymmen av den typen alltid är ”på” och därför kan vara sårbara för utpressningsprogram på samma sätt som lokal och annan nätverksansluten lagring. Om data lagras på annan plats är det viktigt att lagringstjänsten
- inte är permanent uppkopplad
- skyddar säkerhetskopierade data mot automatisk och tyst modifiering och överskrivning av skadeprogram när lagringsutrymmet är anslutet till internet
- skyddar tidigare versioner av säkerhetskopierade data mot intrång så att du får tillbaka åtminstone vissa data (bl.a. tidigare versioner av senaste data) vid en eventuell attack
- skyddar kunden genom att tydliggöra leverantörens juridiska/avtalsenliga skyldigheter, vad som händer om leverantörens verksamhet upphör o.s.v.

4. Underskatta inte vikten av att säkerhetskopiera till medier som inte kan skrivas över/återanvändas. Om du inte kan ändra det som har sparats på dessa medier kan inte utpressningsprogram heller göra det. Kontrollera med jämna mellanrum att säkerhetskopiorna/återställningen (fortfarande) fungerar som de ska och att medierna (skrivskyddade eller skrivbara) fortfarande är läsbara (samt att eventuella skrivfunktioner inte aktiveras rutinmässigt). Och glöm inte att säkerhetskopiera dina säkerhetskopior.

5. Jag säger verkligen inte att du ska förlita dig på säkerhetskopior istället för att använda säkerhetsprogram, men tänk på att borttagning av aktiva utpressningsprogram med hjälp av säkerhetsprogram som upptäcker dem inte alls är samma sak som att återfå data. Om du tar bort utpressningsprogrammet och sedan bestämmer dig för att betala kanske dina data inte längre kan återställas (inte ens av förövarna själva) eftersom dekrypteringsmekanismen är en del av den skadliga koden. Å andra sidan är det ingen bra idé att återställa data till ett system i vilket utpressningsprogrammet fortfarande är aktivt. Med säkra säkerhetskopior kan du som tur är komma åt dina data om/när skadlig kod tar sig förbi säkerhetsprogrammet.

Framtiden då?
”Gör inga förutsägelser om datorer som inte kan följas upp under din livstid” – kloka ord från Daniel Delbert McCracken. Vi kan dock tillåta oss att extrapolera lite utifrån utpressningsprogrammens senaste utveckling för att på så sätt framföra några varningens ord om den framtida utvecklingen på det här området.

Målgrupp
AIDs-trojanen hade en mycket specifik målgrupp. Inte ens på den tiden var särskilt många intresserade av detaljerna kring AIDS, spridningen av trojanen via diskett var relativt dyr och mekanismen för betalning av lösensumman fungerade inte riktigt till angriparens fördel. (1989 hade Dr. Popp naturligtvis inte tillgång till kryptovaluta eller Dark Web. Inte heller fanns det ett enkelt sätt att använda Western Union (Nigeriabrevens favorit) eller tjäna pengar på nakenfotografier.)

Själva attacken var klassisk utpressning på så sätt att offret nekades tillgång till sina data. Senare DoS- och DDoS-attacker såg till att företag inte kunde tjäna pengar på de tjänster de tillhandahöll; även om det var kunderna som förlorade tillgången till tjänsterna var det leverantören som förväntades betala. I takt med att privatpersoners icke-kommersiella användning av internet har exploderat har dock även antalet potentiella måltavlorna ökat. Detta faktum är förmodligen en bidragande orsak till att dagens utpressningsprogram sprids ganska urskiljningslöst.

Riktningslös spridning
Även om media och alla som marknadsför säkerhetsprodukter tenderar att hetsa upp sig när mycket synliga eller högt värderade organisationer (vårdinrättningar, akademiska institutioner, telefonoperatörer, internetleverantörer etc.) angrips ska man inte utgå från att förövarna har riktat in sig specifikt på dessa aktörer. Eftersom vi inte alltid vet vilken angreppsmetod som har använts i en specifik attack kan vi inte säga att det aldrig kommer att hända. Det verkar dock som om gängen bakom utpressningsprogrammen tjänar relativt bra på betalningar från stora institutioner som utsätts från laterala attacker från medarbetare som har attackerats när de använt sina arbetskonton. Brittiska NHS Digital förnekar t.ex. att vårdsektorn är en specifik målgrupp – en åsikt jag faktiskt delar, generellt sett – men medger att vårdinrättningar ”ofta har drabbats”.

Kan det förändras?
I nuläget verkar det fortfarande finnas organisationer som är beredda att spendera relativt stora summor på att betala lösensummor. I vissa fall är detta en rimlig ”andrahandsstrategi”, och det kan vara klokt att ha en välfylld krigskassa att tillgå ifall det tekniska försvaret faller. Andra företag kanske hoppas att det är mer kostnadseffektivt att betala än att bygga upp komplexa extraförsvar som inte alltid ger önskad effekt. En sådan strategi kan dock i sig locka till sig angripare, eftersom företagen betraktas som lättåtkomliga eller extra betalningsvilliga (finansiella organisationer, kasinon etc.). Det ökade antalet attacker med wiper-program och utpressningstrojaner där betalning inte resulterar i återställning kan bromsa denna ohälsosamma utveckling, men förövarna kan då rikta in sig specifikt på de företag som fortfarande anses ovilliga att stärka sina försvar. Trots allt är det troligare att en lyckad attack mot en stor organisation ger bättre utdelning och snabbare resultat än breda attacker mot slumpvis utvalda datoranvändare och e-postadresser.

Data kontra apparater
Attacker mot smartphones och andra mobila enheter är ofta mindre inriktade på data och mer på att omöjliggöra användning av enheten och tjänsterna den ger tillgång till. Det är illa nog när alternativet till att betala lösensumman är att förlora inställningar och andra data, i synnerhet eftersom allt fler föredrar mobila enheter framför stationära och till och med bärbara datorer vilket innebär att allt större mängder data hotas.

I takt med att de onödigt uppkopplade sakernas internet blir allt svårare att undvika blir attackytorna fler, med sammankopplade enheter och sensorer inbäddade i de mest oväntade föremål och sammanhang: allt från routers, kylskåp, smarta mätare och tv-apparater till leksaker, elcentraler, bensinstationer och pacemakers. När allt blir ”smartare” ökar samtidigt antalet tjänster som kan störas av skadeprogram (oavsett om en lösensumma krävs eller inte). De senaste åren har vi diskuterat sannolikheten för det min kollega Stephen Cobb kallar ”sakernas utpressningsprogram”. Hittills finns det färre verkliga exempel på sådana hot än man skulle kunna tro med tanke på hur mycket de uppmärksammas. Det skulle dock snabbt kunna ändras, särskilt om mer konventionella utpressningsprogram blev mindre effektiva som ett sätt att tjäna snabba pengar. Jag är dock inte så säker på att det kommer att hända inom den närmaste framtiden…

Å andra sidan finns det inte mycket som tyder på att säkerheten i sakernas internet håller jämna steg med tillväxten i detsamma. Hackare har redan visat stort intresse för att slå mynt av otryggheten i sakernas internet. Att skriva och sprida skadeprogram som når ett stort antal IoT-anslutna enheter, och längre än så, är inte riktigt så enkelt som det ibland framställs i media, så det finns ingen anledning till panik. Däremot bör vi inte underskatta den digitala undre världens målmedvetenhet och förmåga att hitta på oväntade trick.

*Mina ursäkter till salig Henry Newbolt, som jag har felciterat: https://en.wikipedia.org/wiki/Henry_Newbolt.

36.6°

Annons
fre. 19 jan 2018, 15:56

Per månad

39 kr

Betala löpande per månad. Ingen bindningstid.

Starta prenumeration

Per år

299 kr

Enklast och billigast, bara 25 kronor i månaden. Betala löpande per år. Ingen bindningstid. Prova 14 dagar gratis innan du bestämmer dig.

Starta gratis provperiod

Engångsköp

349 kr

Slipp återkommande betalningar, betala ett år i taget. Betala med kort eller Swish.

Köp utan prenumeration