Wannacry

utpressningstrojan som i maj 2017 gjorde den dittills kanske mest om­fatt­ande attacken mot datorer i hela världen. Den utnyttjade en sårbarhet i Windows. Vilka som låg bakom attacken är tills vidare okänt. – Attacken började den 12 maj och hade samma dag drabbat uppskattningsvis 230 000 datorer i 150 länder. De drabbade uppmanades i ett budskap på datorns bildskärm att betala motsvarande 300 dollar i bit­coin för att kunna an­vända sina datorer igen. – Spridningen av Wanna­cry bromsades den 13 maj av en programmerare som upptäckte att Wanna­cry hade en inbyggd avstängningsmekanism, som pro­gram­me­ra­ren fram­gångs­rikt använde. Se denna artikelMalwareTech. – Sår­bar­heten i Windows upptäcktes först av NSA, som hemlighöll den, även för Micro­soft, och i stället utvecklade attackmetoden EternalBlue för att kunna göra intrång i Windows-system. Hackargruppen Shadow Brokers kom över koden till EternalBlue och släppte den i april 2017. Det är troligen den koden som har använts i attacken. Microsoft hade också upptäckt sårbarheten, och hade redan i mars 2017 skickat ut en patch som oskadliggjorde EternalBlue, men många organisationer hade inte in­stal­le­rat den. Dessutom använder många företag fortfarande Windows XP, som Microsoft inte längre under­håller och alltså inte heller skickar ut patchar till. (Fast Microsoft gjorde ett undantag och skickade efter attacken ut en patch mot Wannacry för Windows XP.) Microsoft har riktat hård kritik mot NSA för att NSA har hemlighållit sårbarheten, se detta inlägg på Microsofts officiella blogg. – Wannacry spreds på flera sätt: som virus och genom nätfiske. När det har infekterat ett it‑system sprids det som en mask. – Wannacry kallas också för Wannacrypt, WannaCrypt0r, Wanna Decryptor och WCRY.

[attacker] [skadeprogram] [ändrad 16 maj 2017]

Cloud hopper

världsomfattande attack mot it-leverantörer. Den blev känd i april 2017, men tros ha pågått i mindre skala sedan 2014. Bakom attacken tros en grupp kinesiska hackare stå, känd som APT10. Attacken har i synnerhet riktats mot företag som tillhandahåller it‑tjänster åt andra företag. – Se pressmeddelande från MSB.

[attacker] [hackare] [5 april 2017]

evil maid

Det är omöjligt att få tag i bra tjänstefolk nu för tiden.
Det är omöjligt att få tag i bra tjänstefolk nu för tiden.

evil maid attack – attack som bara kan göras på en dator som angriparen har fysisk tillgång till vid upprepade tillfällen, och som har lämnats obe­vakad. (Ett ondskefullt hembiträde är alltså den idealiska angriparen.) Sådana attacker kan kringgå avance­rade säkerhetsåtgärder. Angriparen kan till exempel vid det första intrånget installera ett program som registrerar alla knapptryckningar eller ansluta en usb-pinne som gör det. Vid nästa besök laddar besökaren ner knapp­tryckningarna och av­instal­le­rar programmet. Intrånget har då inte lämnar några spår, men angriparen kan bland knapptryckningarna hitta lösenord eller annan känslig infor­ma­­tion. – Uttrycket evil maid attack myntades 2009 av den polska it‑säker­hetsforskaren Joanna Rutkowska (blogg).

[attacker]

Poisontap

ett verktyg för intrång i en låst dator. – Poisontap är ett program som kan köras på en Raspberry Pi, som i sin tur ansluts till ett usb‑uttag på den dator som ska angripas. Poisontap får den angripna datorn att tro att den kommunicerar direkt med internet, när den i själva verket kom­mu­ni­cerar via Poisontap. (Datorer som är i gång men i vänteläge, och eventuellt också lösenords-skyddade, brukar fortsätta att kommunicera med inter­net.) Poisontap kan därför komma åt och spara känslig in­for­ma­tion. Detta behöver bara ta någon minut, sedan kan Poisontap avlägsnas. Den in­stal­le­rar också en bakdörr, så att angriparen efteråt kan komma åt den an­gripna datorn på distans. – Poisontap ut­veck­lades 2016 av Sammy Kamkar (samy.pl), läs mer på denna länk. Där finns också tips om hur man skyddar sin dator.

Dirty cow

Sårbarheten Dirty Cows maskot: en tecknad ko som ser ut att vara nedstänkt med smutsigt vatten.
Det är ingen ko. Det är en bugg.

sårbarhet i kärnan till Linux. Den ger angripare möjlighet att ge sig själva högre rättigheter i systemet. Dirty cow upptäcktes i oktober 2016 och åt­gärd­a­des kort därefter. – I själva verket har sår­barheten funnits sedan 2007, då Linus Torvalds upptäckte den och åtgärdade den, men hans rättelse togs bort av misstag. Sår­barheten har att göra med funktionen copy-on-write, förkortat cow, därav namnet Dirty cow, och den finns inte i alla Linux-distributioner. – Läs mer på dirtycow.ninja. – Kommentar från Linus Torvalds.

Mirai

botnät som i oktober 2016 genomförde mycket stora distribuerade överbelastningsattacker (ddos-attacker). Attackerna slog tillfälligt ut sajten Krebs on security (länk) och moln-operatören OVH (länk). Det beräknas att 145 000 infekterade enheter deltog i attackerna. – Mirai infekterar främst inter­net­ansluten utrustning som inte är datorer, till exempel webbkameror och wi‑firoutrar. Anledningen är att sådan utrustning vanligtvis levereras med förinställda användarnamn och lösenord, som kunderna inte alltid ändrar. Mirai letar därför igenom internet efter sådan utrustning och försöker logga in med typiska lösenord som ”admin”. Om inloggningen lyckas installeras en bot. Boten kan sedan fjärrstyras genom internet, och ett stort antal botar kan genomföra en koordinerad attack på kommando. – Käll­koden till Mirai publicerades i början av oktober på ett hackarforum. – Läs mer om Mirai på säker­hets­före­taget Incapsulas blogg.

Rowhammer

eller Row hammer – tekniskt avancerad metod för dataintrång. Angriparen får först den attackerade datorn att om och om igen köra ett program som skriver över en rad minnesceller i ett dram-minne. På grund av att minnes­cellerna i ett modernt dram-minne är mycket tätt packade leder detta förr eller senare till att laddning läcker till angränsande rader av minnesceller och får dem att slå om. Dessa förändringar i minnet kan i sin tur ge angriparen möjlighet att manipulera datorns system för be­hörig­heter och logga in som administratör.