Artikel top billede

DK-CERT: Hul fra Kina-angreb er lukket

Spor i kildekoden tyder på, at ikke kun angrebet på Google, men også et af programmerne bag det kom fra Kina, skriver Shehzad Ahmad fra DK-CERT i denne klumme.

Den største it-sikkerhedshistorie i januar var utvivlsomt Googles oplysning om, at firmaet var blevet angrebet af hackere fra kinesiske IP-adresser.

Over 30 andre firmaer var udsat for lignende angreb.
Efter nogle dage viste det sig, at hackerne udnyttede et hidtil ukendt sikkerhedshul i Internet Explorer til at komme ind på ofrenes pc'er.

Rettelsen blev fremskyndet

Microsoft kendte allerede til sårbarheden, som firmaet blev gjort opmærksom på i september.

Derfor var Microsoft godt i gang med at udvikle en sikkerhedsrettelse, der skulle udsendes sammen med de øvrige rettelser i februar.

Men da sårbarheden nu blev offentligt kendt, gik der ikke lang tid, før eksempler på angrebsprogrammer var tilgængelige.

Derfor valgte Microsoft at udgive rettelsen før planlagt. Så den kom allerede den 21. januar.

En interessant detalje er, at rettelsen ikke kun lukker det aktuelle sikkerhedshul. Den fjerner også syv andre sårbarheder, som ikke har været offentligt kendt.

Aurora angreb IE 6

Den sårbarhed, der blev brugt i angrebet, er kendt som CVE-2010-0249.

Den opstår, når Internet Explorer prøver at tilgå memory, som er initialiseret forkert.

Angrebene mod Google og andre firmaer har fået navnet Aurora.

De brugte et angrebsprogram, der kun virkede under Internet Explorer 6. Angrebsprogrammet havde form som et link til en webside, der aktiverede sårbarheden. Herefter blev der installeret en trojansk hest på pc'en.

Nogle iagttagere har i øvrigt moret sig over, at der åbenbart må sidde nogen i Google, som bruger en for længst forældet version af konkurrentens browser.

De dystre spor fra Kina

Sikkerhedsforsker Joe Stewart har analyseret koden til det program, der blev installeret på de sårbare pc'er. Han har især kigget efter tegn på, om den ser ud til at være skrevet af kinesere.

Det ser det ikke umiddelbart ud til: Sprogindstillingerne i ressourcedelen af filen er således sat til engelsk.

Men han faldt over et mærkeligt valg af algoritme. Til en fejlkorrektionsalgoritme bruger programmet en metode, som adskiller sig fra normen.

Joe Stewart har søgt efter lignende algoritmer på nettet. Han har fundet nogle, og de stammer alle fra Kina.

Det officielle Kina har afvist at være involveret i angrebet.

Kan DEP slås fra?

Siden det første angrebsprogram blev offentliggjort har der været forlydender om, at det skulle være muligt at omgå DEP-beskyttelsen (Data Execution Prevention).

DEP findes i Vista og Windows 7. Funktionen forhindrer, at der kan køres programkode fra områder af memory, der er afsat til data.

Dermed beskytter funktionen mod udnyttelse af sårbarheden, hvis den er aktiveret.

Microsoft mener, at der nok findes angrebsprogrammer, som kan omgå DEP og udnytte sårbarheden. Men de er ikke set anvendt i praksis.

Under alle omstændigheder anbefaler jeg alle at installere rettelsen. Og så er det også en god ide at opgradere til Internet Explorer 8, hvis det er muligt.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere