mboost-dp1
Symantec corporation
Jeg har det altid lidt lorent med sådanne berettelser fra virksomheder, der sælger antivirusprogrammer...
De har bare lidt for meget interesse i at skabe frygt omkring hvordan den kinesiske regering har 17.000 talentfulde hackere der kun er ude efter at hacke sig adgang til dit NemID...
De har bare lidt for meget interesse i at skabe frygt omkring hvordan den kinesiske regering har 17.000 talentfulde hackere der kun er ude efter at hacke sig adgang til dit NemID...
Ja, jeg ved heller ikke hvad man bruge nyheden til udover at sprede skræk og rædsel.
Det er i hvert tilfælde ikke skide smart at Symantec offentliggører hvad de ved om dem. Nu finder gruppen jo nok på noget endnu smartere eller gemmer sig bedre fremover. De burde hellere sende rapporten til myndighederne så de kunne få dem stoppet.
Derudover synes jeg det er usmageligt at et sikkerhedsfirma på den måde nærmest hylder en gruppe kriminelle for at være teknisk overlegne. Det kan motivere andre til at følge samme bane.
Det er i hvert tilfælde ikke skide smart at Symantec offentliggører hvad de ved om dem. Nu finder gruppen jo nok på noget endnu smartere eller gemmer sig bedre fremover. De burde hellere sende rapporten til myndighederne så de kunne få dem stoppet.
Derudover synes jeg det er usmageligt at et sikkerhedsfirma på den måde nærmest hylder en gruppe kriminelle for at være teknisk overlegne. Det kan motivere andre til at følge samme bane.
Cloud02 (2) skrev:#1
Hvis ikke informationerne skulle komme fra dem der arbejder i branchen, hvor skulle de ellers komme fra?
FBI cybercrime divisionen? Microsoft? IBM?
Eventuelt, ja.
At et firma som Symantec fortæller om den ene ting efter den anden med farlige vira, orme, hackergrupper mv. svarer jo til at en grønthandler kommer med en masse kostråd om hvor sunde deres grønsager er (hvem tror selv på det?) - eller Carlsberg fremlægger undersøgelser om hvor sundt øl er (ok, den ville jeg så nok tro på)...
Det er et spørgemål om kilden har noget at vinde ved at folk tager deres ting seriøst.
1000tusind (3) skrev:Det er i hvert tilfælde ikke skide smart at Symantec offentliggører hvad de ved om dem. Nu finder gruppen jo nok på noget endnu smartere eller gemmer sig bedre fremover. De burde hellere sende rapporten til myndighederne så de kunne få dem stoppet.
/facepalm
Det er ikke sådan sikkerhed fungerer. Det svarer til at sige at folk ikke bør vide at Al Queda eksisterer, fordi at så vil det være nemmere at stoppe dem :o)
At bringe uhumske menneskers aktiviteter frem i lyset har altid været den bedste måde at bekæmpe dem på. Du får intet ud af at tie stille om dem. Grupper som disse benytter allerede tjenester der anonymiserer deres internetadfærd.
1000tusind (3) skrev:Derudover synes jeg det er usmageligt at et sikkerhedsfirma på den måde nærmest hylder en gruppe kriminelle for at være teknisk overlegne. Det kan motivere andre til at følge samme bane.
At følge i Elderwoods fodspor kræver mere end inspiration og motivation. Det kræver netop at man kan finde ud af hvad man laver. At have stor adgang til 0-day angreb er ikke noget enhver scipt-kiddie kan gøre.
Årsagen til at en gruppe som Elderwood kan opstå er at en række ekstremt talentfulde individer har fundet sammen om et fælles mål. Så på den ene side skal du have folk som netop er så talentfulde (dem er der ikke mange af), og på den anden side skal disse folk have fælles holdning for at slutte sig sammen, samt at der er andre indgangsbarrierer. Frygten for at folk skal forsøge sig som copycats er derfor relativt urealistisk.
Omvendt er det vigtigt at man anerkender sine modstanderes evner, kapaciteter og hvilke udfordringer man står over for. Samtidigt er det ikke nogen man sandsynligvis kan opspore alene. Sammenslutning og hjælp udefra er oftest den eneste måde man kan komme grupper som disse til livs på, hvilket også er årsagen til at det er dumt at tie om dem. Man kommer længst med åbenhed og ved at invitere så mange som muligt til at deltage i jagten og komme med oplysninger. At fange hackere er ikke altid et job myndighederne (eller et firma som Symantec) kan klare alene.
Jeg har kun læst om at Symantec alder gruppen for Elderwoods. Er det kun Symantec der kalder dem ved det navn?
Og er det overhovedet en gruppe eller et projekt. Eller er det bare et navn som Symantec bruger når de opdager et angreb der anvender et 0-day sårbarhed og et waterhole?
Og er det overhovedet en gruppe eller et projekt. Eller er det bare et navn som Symantec bruger når de opdager et angreb der anvender et 0-day sårbarhed og et waterhole?
Uhadada... de brugte et 0-day angreb mod IE? Hvem fanden er stadig så retarderet de bruger den browser? Nobody, that's who...
#9 Elderwoods refererer egentlig bare til et framework for hurtigt og dynamisk at implementere 0-day exploits på hjemmeside. Navnet kommer fra at ordet Elderwoods optræder et par gange i koden hvis man graver dybt nok.
Det formådes at det kun er een gruppe der står bag, men denne gruppe formodes at være stor og støttet af en stat.
Hvad artiklen her på newz ikke beskriver er hvor sofistikerede de egentlig er. De ser ud til at have alle de 0-day exploits de kunne tænke sig. De sætter et vandhul op, med et 0-day exploit og venter på at deres mål besøger hjemmesiden - skulle denne 0-day rent faktisk nå at blive patchet inden de har opnået hvad de ville har man opserveret at det øjblikkeligt bliver skiftet ud med en ny 0-day exploit. Det er faktisk hele formålet med Elderwoods framworket.
At artiklen her på newz nævner 10 0-days er så vidt jeg ved noget vås. Jeg kunne ikke finde det tal i kilden, og så vidt jeg ved har man observeret mange flere.
Det formådes at det kun er een gruppe der står bag, men denne gruppe formodes at være stor og støttet af en stat.
Hvad artiklen her på newz ikke beskriver er hvor sofistikerede de egentlig er. De ser ud til at have alle de 0-day exploits de kunne tænke sig. De sætter et vandhul op, med et 0-day exploit og venter på at deres mål besøger hjemmesiden - skulle denne 0-day rent faktisk nå at blive patchet inden de har opnået hvad de ville har man opserveret at det øjblikkeligt bliver skiftet ud med en ny 0-day exploit. Det er faktisk hele formålet med Elderwoods framworket.
At artiklen her på newz nævner 10 0-days er så vidt jeg ved noget vås. Jeg kunne ikke finde det tal i kilden, og så vidt jeg ved har man observeret mange flere.
Det 0-day angreb, der blev opdaget i december 2012 og ramte Internet Explorer, tilskriver Symantec også Elderwood.Jeg tilskriver det Microsoft.
Det står da næsten beskrevet. Sætningerne er bare formuleret en anelse anderledes.blacktiger (11) skrev:Hvad artiklen her på newz ikke beskriver er hvor sofistikerede de egentlig er. De ser ud til at have alle de 0-day exploits de kunne tænke sig. De sætter et vandhul op, med et 0-day exploit og venter på at deres mål besøger hjemmesiden - skulle denne 0-day rent faktisk nå at blive patchet inden de har opnået hvad de ville har man opserveret at det øjblikkeligt bliver skiftet ud med en ny 0-day exploit.
Hvis det virkeligt er sandt så betyder det enten at der er nogle meget dygtige personer som arbejder på at finde huller, eller også er der nogle software leverandører som ikke gør deres arbejde ordentligt. (Måske er begge dele tilfældet.)
Er det samme stykke software, som angribes hver gang? Hvis der er en enkelt producent som udgiver software med så mange sikkerhedshuller, så bør den producent bruge flere resurser på at lukke sikkerhedshuller, eller også bør man holde op med at bruge deres software.
Et interessant spørgsmål er, hvor lang tid der går imellem de skifter til et nyt angreb.
Hvis de på de samme sites skifter til et nyt angreb hver gang der kommer en rettelse til det sidste hul, så bør software leverandørerne holde øje med de sites løbende, så de kan se hvad det næste angreb går ud på.
Dette er blot endnu et argument for at man skal lukke hullerne hurtigere. Hvis der f.eks. går en måned fra sitet er skiftet til et nyt angreb før der kommer en rettelse for det nye angreb, så skal man kun finde 12 huller om året for altid at have et hul parat når det før bliver lukket. Hvis man derimod kan have en rettelse ude af døren 48 timer efter sitet begynder at bruge et nyt hul, så skal de finde over 100 huller om året for at følge med.
Hvis man virkeligt vil problemet til livs, så suspenderer man udvikling af nye features på produktet og sætter udviklerne til at selv finde og rette fejl, der endnu ikke er blevet misbrugt, indtil disse malware sites opgiver at finde flere huller.
#12 men det er jo netop ikke rettet mod en enkelt producent men blot et meta framework. Lidt i stil med metasploit. Så de tager de sikkerhedshuller de har i ie, chrome, flash, java etc og serverer dem når en klient de vil ramme kommer forbi.
Det bliver naturligvis ikke serveret når du besøger siden, det ville være dumt. Det er også enormt svært at opdage, hvornår tjekkede du sidst bunden af din jquery library?
Det bliver naturligvis ikke serveret når du besøger siden, det ville være dumt. Det er også enormt svært at opdage, hvornår tjekkede du sidst bunden af din jquery library?
Nogen der har forsøgt at klikke på linket i nyheden, og i så fald, får i samme resultat som mig?
Virker som om Elderwood has gone matrix on their asses
Screendump
Virker som om Elderwood has gone matrix on their asses
Screendump
Hvert angreb er rettet imod et enkelt produkt. Og det er de angreb man skal fokusere på. Frameworket selv er uinteressant for udviklerne, som skal lukke hullerne.blacktiger (13) skrev:men det er jo netop ikke rettet mod en enkelt producent men blot et meta framework.
Store softwareudviklere burde ikke have svært ved at besøge siderne fra forskellige IP adresser med forskellige versioner af deres software. Og de kan jo også nemt spoofe versions nummeret.blacktiger (13) skrev:Det bliver naturligvis ikke serveret når du besøger siden, det ville være dumt.
Men hvis det enkelte website skifter mellem angreb rettet imod forskellige produkter, så er det måske lidt ineffektivt hvis de alle sammen hver for sig skal holde øje med alle nye angreb og finde ud af, om det er dem selv, det er rettet imod. Der ville måske være basis for en service der holder øje med websites, som anvender 0-day angreb og orienterer software producenten. Sådan en service ville give meget mere mening sikkerhedsmæssigt end antivirus, så Symantec burde overveje sådan en service.
De kan få et antal (virtuelle) computere sat op på dynamiske IP adresser hos internetudbydere rundt om i verden. Disse computere skal blot bruges som proxies for at skjule den rigtige IP adresse. Symantec henter så periodisk siderne gennem tilfældige proxies med user-agent sat til tilfældige sandsynlige værdier. Når et nyt angreb dukker op undersøger de hvilken software komponent den er rettet imod, og hvis producenten har tilmeldt sig, så Symantec dem en rapport med alle de detaljer, de allerede har fundet ud af.
Nagelfar^^ (14) skrev:Nogen der har forsøgt at klikke på linket i nyheden, og i så fald, får i samme resultat som mig?
Virker som om Elderwood has gone matrix on their asses
Screendump
Same. Heh er sgu lidt sjovt hvis de har været inde og lave det nummer :)
Men hvis det enkelte website skifter mellem angreb rettet imod forskellige produkter, så er det måske lidt ineffektivt hvis de alle sammen hver for sig skal holde øje med alle nye angreb og finde ud af, om det er dem selv, det er rettet imod.
For ikke at sige hamrende ineffektivt. Desuden er der jo ikke tale om et fåtal af suspekte sider. Der er langt oftere tale om at wordpress and andre udbredte system bliver hacket i masseis uden at ejeren ved det.
Men Google har jo rent faktisk en lignende service kørende der informerer dig når der er mallware på din side - de skal jo bare vide det først.
De kan få et antal (virtuelle) computere sat op på dynamiske IP adresser hos internetudbydere rundt om i verden.
Det lyder som et realistisk scenarie. En internetudbyder ville umuligt se noget problem i at en privat firma kommer ind og skal proxyer trafik fra et andet firmas aktive IP-adresse. Det ville heller ikke starte et ramaskrig her på newz. Desuden er det ikke engang muligt at lege proxy hvis den hackede side bruger SSL (medmindre firmaet der leger proxy også lige skal være en root CA)
En oplagt løsning på problemet.
Desuden er taktikken helt håbløs da du både skal gætte på hvem der er blevet hacket (hvilken wordpress blog) og serverer den pågældende exploit, samt hvilket firma/NGO der bliver det næste offer. Ud over det er der jo tale om 0-day exploits hvilket betyder du ikke aner noget om den i forvejen, og gør den ekstremt svær at detektere. Antivisusfirmaer har i lang tid prøvet sig på at fange ny mallware ud fra opførelsesmønstre, men det har vist sig helt håbløst og givet alt for mange falske positiver.
Det hænger simpelthen ikke sammen det du siger, og tråden knækker ikke kun et enkelt sted. Der er ingen god praktisk løsning på det. Det eneste der er nogenlunde effektivt er gode praksis internt i organisationen, men selv det har jo vist sig umuligt når man er mere end middelstor.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund