Daily Archives: November 25, 2014

Backdoor.Regin er navnet på det trojanske malware, som Symantec mener stammer fra en vestlig regering.

Et stykke malware, som har spioneret hos særligt de russiske og saudiarabiske internetudbydere, tele-selskaber og hotel-, og flyselskaber.

Men selvom USA er et sandsynligt bud på, hvem der kan stå bag, så vil Symantec meget nødigt sætte afsender på Regin uden håndfaste beviser.

Det fortæller Candid Wüest, Principal Threat Researcher hos Symantec Security Response.

“Regin malwaren er et utroligt sofistikeret stykke malware, som har været aktiv siden 2008. Det store arbejde som er lagt i malwaren og den vilje til langsigtet overvågning gør det sandsynligt, at det er en stat, som står bag,” siger Candid Wüest.

“Ud fra de ramte lande, så er det sandsynligt, at det er et vestligt land der står bag overvågningen, men vi har intet fældende bevis for, hvem der står bag.”

Læs også: Dansk Europol-chef: 100 udviklere står bag al malware

Regin er tre dele bagvej og to dele overvågning
Malwaren er opbygget af fem moduler, der ligesom en babusjka pakkes ud og dekrypteres. De tre første moduler udfører selve infiltreringen af offerets system.

Disse tre moduler er ens over alle de inficerede computere.

De sidste to moduler af malwaren er de udskiftelige elementer; det er her Regin specifikt kan tilpasses, hvilket system der angribes, og funktioner som afluring af passwords, hente meta-data på telefonopkald eller logge flymanifester og hoteloplysninger kan tilføjes.

Symantecs Candid Wüest fortæller, at der er så mange som 100 forskellige overvågningsmoduler, som alle kan tilføjes, men at de endnu ikke er sikre på, at de har fundet alle moduler og deres funktioner.

Fordeling af Regin-angreb. Figur: Symantec

At det netop er informations- og rejsesektorerne som er ramt af det trojanske malware er ikke tilfældigt.

“Denne type overvågning giver en efterretningstjeneste et billede af, hvem der taler med hvem, hvor folk rejser og hvilke hoteller de bor på,” fortæller Candid Wüest.

“Når en efterretningstjeneste ved hvilket hotelværelse en person af interesse bor på, kan den viden kombineres med traditionel spionage, hvor lyd- og videoovervågning installeres på værelset.”

Læs også: Væmmelig trojaner på spil: Går direkte efter alle dine adgangskoder

Blev opdaget på netværkstrafikken
Det trojanske stykke software er næsten umuligt at opdage på computeren, på grund af sin modulære opbygning og en evne til at gemme sig på en harddisks ubrugte hukommelse.

Derfor var det ikke programmet, der først blev fundet, men den trafik af data det genererede til angriberen.

“Det var en af vores kunder, som først opdagede en mærkelig http-trafik, hvilket vi undersøgte og på den måde opdagede programmet,” siger Candid Wüest.

Læs også: It-chefer skal slå i bordet med det samme: It-sikkerhed er også bestyrelsens problem

Regin benyttede sig af flere unikke TCP og UDP protokoller samt ICMP/ping til kommunikation med angriberen.

Malwaren holdt en pause
Regin hører til i den eksklusive gruppe af ondsindede programmer, som er velskrevne, godt gemt og uhyre effektive. Alt sammen tegn på et velovervejet angreb.

Den dukkede først op i 2008 og var aktiv frem til 2011.

Her tog malwaren et års pause, hvor det blev fjernet fra de inficerede computere, inden det vendte tilbage med fornyede kræfter i 2013 i en 2.0 udgave.

“Vi har ikke kunne finde nogen tegn på Backdoor.Regin i hele 2012. Måske var den for effektiv og sikrede sin ophavsmand så mange passwords, at malwaren blev overflødig, men vi ved det faktisk ikke,” siger Candid Wüest.

“Regin er stadig derude, men nu når vi har opdaget den, vil vi holde øje med, om den ændrer mønstre eller forsvinder igen.”

Læs også:

Dansk cyber-sherif indrømmer: Ja, vi planter malware

Sikkerhedsfirma: Hackere stjæler 1,2 milliarder logins

Nu falder der dom i Danmarkshistoriens største hackersag

Det har været overordentligt svært at få en bil fra amerikanske Uber, der lancerede sin taxa-lignende tjeneste i Købehavn i sidste uge.

Men nu slår tjenesten fast, at den har biler på de københavnske gader, selvom repræsentanter fra københavnske limousineselskaber siger, at de ikke har kendskab til limousineselskaber, der kører for Uber.

Computerworld har sendt en række spørgsmål til Uber, og via e-mail bekræfter selskabet, at det har et samarbejde med et københavnsk limousineselskab, men af konkurrencemæssige hensyn ønsker Uber ikke at oplyse hvilket selskab, det drejer sig om.

Uber erkender dog, at efterspørgslen i øjeblikket markant overstiger udbuddet, hvilket er forklaringen på, at det i
øjeblikket er utroligt svært at bestille en vogn via Ubers app.

Ifølge Uber må kunderne forvente, at der kan gå flere måneder, før tjensten virker optimalt i Købehavn.

“Vi må opfordre til, at folk har tålmodighed, og der går formodentligt et par måneder, før det kommer til at virke 100 procent. Uber har nogle skrappe screeninger af chaufførerne, der gør, at det tager lang tid, før en chauffør kan blive godkendt til at køre for os,” lyder det via e-mail fra Alex Czarnecki, der er ansvarlig for Ubers lancering i Danmark.

Men hvorfor har Uber valgt at lancere sin tjeneste, hvis der ikke er chauffører nok?

“Den store interesse har overvældet os meget, og derfor ville vi naturligvis også ønske, at vi havde haft flere chauffører til rådighed.”

To tjenester i Købehavn
Uber har lanceret to tjenester i København.

Den ene er Uber Black der er en limousine-lignede premium-tjeneste, som blev lanceret øjeblikkeligt og permanent. Og dernæst blev den betydeligt billigere samkørsels-lignende tjeneste UberPop lanceret i en seks måneders testperiode.  

Som Computerworld tidligere har skrevet, så meddeler Ubers app dog nærmest konsekvent, at der ikke er nogen biler ledige i København.

De københavnske limousineselskaber, som Computerworld har været i kontakt med, har heller ikke kendskab til folk i branchen, der har valgt at samarbejde med Uber.

“Jeg har været til møde med Uber, men valgte at takke nej til deres tilbud, og det samme har de andre københavnske limousineselskaber, som jeg har været i kontakt med,” sagde Morten Rix-Møller, formand for Brancheforeningen for Forretningslimousiner og indehaver af virksomheden Dansk Limousineservice, til Computerworld i lørdags. 

Læs mere:

Smarte Uber i danske chauffør-problemer – hvor er alle bilerne?

Rejsekortet har udviklet sig til en ganske god forretning for trafikselskaberne, og pengene tjenes på forglemmelser blandt brugerne af metro, tog og busser.

Hele 816.000 rejsende har nemlig modtaget en såkaldt dummebøde for at glemme at tjekke ud ved rejsens slutning. Bøderne svarer til et samlet beløb på over 40 millioner kroner. 

Det skriver Ekstrabladet.dk.

Avisens tal viser, at 2.607 rejsende dagligt har fået en ekstra betaling for forglemmelsen i perioden fra 1. januar til 9. november 2014.

Til sammenligning blev der sidste år givet 614.000 bøder for at glemme at tjekke ud med rejsekortet.

Så selv om rejsekortet har været plaget af tekniske problemer, ser bødeudskrivningsdelen altså ud til at fungere ganske udmærket.

Du kan læse mere om problemerne her: Efter software-opdatering: 2.400 opkald om dagen til Rejsekortet

Ifølge Forbrugerrådet skyldes de mange bøder til danske passagerer, at rejsekortet er for besværligt at bruge, og at løsningen derfor ikke fungerer godt nok.

“Det er beviset for, at rejsekortet er vanskeligt for folk at bruge korrekt. Det såkaldte skifte-tjek-in generer kunderne, og formålet er udelukkende at hjælpe trafikselskaberne til at fordele penge mellem hinanden,” siger Asta Ostrowski, transportpolitisk medarbejder i Forbrugerrådet til Ekstra Bladet.

Læs også:

Rejsekort-projektet har kostet enorm formue: Så meget har det kostet

Direktøren for rejsekortet, Bjørn Wahlsten, kan godt forstå, at folk er frustrerede over bøderne, men siger samtidig, at de fleste kunder er tilfredse.

“98,02% af de rejsende tjekker korrekt ud,” siger han til Ekstrabladet.

Årets it-fuser
Computerworlds læsere kårede i december sidste år rejsekortet til Årets it-fuser.

I afstemningen svarede 40 procent af de personer, der stemte, at det famøse kort til rejser med offentlige transport var en fuser.

Den historie kan du læse her: Vinderen af Årets it-fuser: Det er Computerworlds skyld

Læs også:

Brugere ramt af kuk hos Rejsekortet efter stor it-opdatering

Rejsekortet: Vi er ikke stolte af den nuværende løsning

Antallet af falske mails, der udgiver sig for at komme fra Skat får nu skatteminister Benny Engelbrecht til at love ændringer i Skats praksis med at sende mails direkte til borgernes private e-mail. Det skriver Politiken.

Skat er gennem længere tid blevet kritiseret for at sende mails om restskat, forskudsopgørelsen med aktive links til Skats hjemmeside direkte ud til borgernes personlige mailadresser.

Ifølge kritikerne gør Skats praksis det for nemt for it-kriminelle at ændre indholdet i de aktive links og på den måde lokke borgerne ind på hjemmesider, der forsøger at franarre borgerne personlige oplysninger som bank-konti, passwords med mere, som i yderste konsekvens kan misbruges til identitetstyveri.

Derfor lover ministeren nu at tage konsekvensen af kritikken, og fra foråret 2015 går Skat derfor over til at sende sine elektroniske breve ud til borgerne via digital post på borger.dk og e-boks, hvor indbakken kun modtager mails fra det offentlige plus de myndigheder organisationer og firmaer, som borgerne selv har giver adgang.

“Jeg vil ikke gå ind i en teknisk vurdering af, om det nu var en god eller dårlig ide at sende mails ud til borgerne med links. Det må Skats it-folk selv svare på.”

“Men omkring kritikken af Skat vil jeg gerne sige, at det er godt, at mange eksperter kommer med gode råd til Skat om, hvordan de skal forholde sig til sikkerheden. Det kan få Skat til holde sig oppe på tæerne,” siger Benny Engelbrecht til Politiken.

Han peger samtidig på, at Skats nye praksis ikke er nogen garanti for at man som borger ikke fortsat får svindelmails, der forsøger at lokke oplysninger ud af folk.

“Så Skat skal stadig gøre, hvad de kan for at sikre sig, at de har de rigtige advarsler på hjemmesiden, og at de anmelder alle forsøg på for eksempel mailsvindel,” siger Benny Engelbrecht til Politiken.

En opgørelse fra Digitaliseringsstyrelsen viser, at omkring 90 procent af alle danskere over 15 år nu er tilmeldt Digital Post.

Læs også:

Unge gider ikke digital post: Skal provokeres med quiz

Usability-ekspert: Her er ni problemer med digital post

En password manager er en smart lille app, der hjælper brugeren med at holde styr på de mange forskellige adgangskoder.

Dermed behøver han eller hun ikke at bruge “12345″ eller sit eget efternavn på de forskellige tjenester på nettet, men kan i stedet anvende mange forskellige og stærkere adgangskoder, fordi det lille program hjælper med at huske dem. 

Nu viser det sig imidlertid, at de stadig mere populære apps til at huske adgangskoder med i sig selv kan udgøre en sikkerhedsrisiko.

Har de kriminelle først held til at komme ind på en sådan app, er der dømt tag-selv-bord blandt de mange spændende adgangskoder.

Udnytter Citadel-trojaner
En trojansk hest ved navn Citadel har allerede haft held til at kompromittere millioner af computere rundt omkring i verden, og nu tyder meget på, at bagmændene forsøger at udnytte Citadel til også at opsnappe ofrenes adgangskoder.

“Så længe malwaren kommunikerer med C&C (command-and-control serveren, red.), kan konfigurations-filen opdateres med information om nye mål, aktiviteter og C&C-destinationer,” skriver Dana Tanir, der står spidsen for IBM’s sikkerhedsfirma Trusteer.

“Da millioner af maskiner allerede er inficerede med Citadel, er det let for de krimimelle at udnytte denne malware på nye måder. Det eneste, de skal gøre, er at tilføje en ny konfigurations-fil til eksisterende maskiner og vente på, at de inficerede maskiner har adgang til målene.”

Opsnapper din indtastning
IBM’s forskere har nu spottet en ny fil, der netop konfigurerer Citadel til at gå efter password managers og andre brugervaliderings-løsninger.

“Den fortæller, at malwaren skal begynde at keylogge (opfange brugerens indtastning, red.), når nogle bestemte processer kører,” lyder oplysningen fra IBM.

IBM har også frigivet den konkrete kode, der nu afvikles via Citadel-trojaneren. Koden afslører, at de processser, det drejer sig om, er:

- Personal.exe
- PWsafe.exe
- KeyPass.exe

IBM oplyser blandt andet, at PWsafe.exe hører til Password Safe – en gratis, open source password manager – ligesom også KeyPass.exe relaterer sig en en af de gratis løsninger, der findes på markedet.

“Password management og autentifikations-programmer er vigtige løsninger, der hjælper med sikker adgang til applikationer og web-tjenester. Men det er vigtigt at forstå, at de løsninger kan kompromitteres af malware,” skriver IBM.

“Hvis en kriminel er i stand til at stjæle master-adgangskoden og få adgang til bruger/adgangskode-databasen i en password manager-løsning eller kompromittere en autentifikations-løsning, kan angriberen få uhindret adgang på tværs af følsommme systemer og informationer,” lyder advarslen fra IBM.

Du kan læse mere om Citadel og de nye angrebsmetoder, som IBM har opdaget, her.

Læs også:

Ny funktion på iPhone og iPad: Sådan husker iOS 8 dine adgangskoder

Derfor er dine web-adgangskoder alt for ringe

Få styr på alle dine usikre adgangskoder