Vi er nu ankommet til San Francisco, hvor vi skal deltage i den store RSA Sikkerhedskonference, som finder sted i Moscone konferencecenteret midt i San Francisco. Man kan godt mærke, at konferencen er en af de vigtige på sikkerhedsområdet, da den trækker så mange mennesker, at hotellerne hele vejen rundt har skruet priserne gevaldigt op i denne uge.
Jeg har taget turen herover sammen med min kollega Niels Mogensen fra Conscia. Vores første session handler om Emerging Threats og afvikles mandag fra 8:30 til 17:30, så det er en lang session med fuldt hus af konferencedeltagere. Jeg vil skyde på, at der er omkring 4-500 mennesker til denne session. Sessionen er delt op i korte 30 minutters sessioner, hvor forskellige foredragsholdere kommer med deres input til, hvad de mener, “emerging threats” er.
Den første session handlede om Putin, og hvordan Rusland påvirker opfattelsen af sig selv via de sociale medier. Dette er sket i forbindelse med de amerikanske valg, Brexit og Cataloniens krav om uafhængighed. Der bliver ikke rigtigt ført de store beviser, men mere fremført en række postulater om russernes indblanding. Talerne mente, at sociale medier bliver den nye kanal at angribe igennem – da mange personer og virksomheder har kontroller for e-mail, men ikke for sociale medier, her er der mere frit spil. Og så er det ufattelig billigt at lave effektive kampagner på de sociale medier.
Den næste session omhandlede cryptojacking. Her var det Ciscos Umbrella DNS-blokering, som blev omtalt, og hvor effektiv den er til at beskytte mod et voksende problem med cryptojacking – altså at din computers ressourcer bliver anvendt til at cryptomine uden din viden. Også her blev det fremført, at Europa og Ukraine står bag en del af denne trussel.
Næste session handlede om praktiske erfaringer fra et IOT botnet, som lavede Social Media Fraud. Botnettet var Linux/Moose. Det bliver fx anvendt til at købe sig til flere følgere på Instagram. Prisen er omkring 13 USD for 1000 følgere. Og botnettet er lavet således, at det også ’liker’ rigtige stjerner på instagram således, at det kommer til at virke legitimt.
Derfra gik næste session videre til at omtale hacking af IOT-enheder, og om det var profitabelt. Sessionen blev fremført af en threat researcher fra Symantec. Der blev taget udgangspunkt i et botnet med 100.000 IOT bots. 75% af disse inficerede IOT-enheder var faktisk routere. Det var en fin præsentation, som viser, at der faktisk ikke er så mange penge at komme efter på IOT-enheder.
Præsentationerne fortsatte ud over hele dagen og handlede meget om våbenkapløbet mellem dem, der forsvarer og dem, der angriber. Om Exploit kits og hvordan de bliver mindre og mindre anvendt, fordi politiet har lavet raids mod udviklerne. I stedet for Explot kits er indsatsen nu rettet mod makroer i Office-dokumenter, brute-force-angreb mm. En præsentation gav et helt praktisk eksempel på en ondsindet Word-macro, som undgik den basale beskyttelse indbygget i Windows 10.
Den sidste præsentation mandag var fra McAfee. De snakkede om ransomware og stigningen i target ransomware – altså hvor angriberen udser sig et offer, finder en vej ind via fx en ubeskyttet RDP-session og derefter planter sin ransomware. Angriberen får formentligt en langt større gevinst ved at udvælge og angribe specifikke mål end blot at distribuere ransomware tilfældigt.
Der blev givet eksempler på, hvor let det er at få adgang til netværk og en RDP-adgang til en anonym amerikansk lufthavn til 10 USD blev nævnt. Herigennem kan ransomwaren så afleveres og sprede sig. Ransomwaren skal ikke spredes vha. e-mail, da den så oftest vil blive blokeret.
Gandcrap ransomwaren fra Rusland blev omtalt, og det blev fortalt, at man anvender mellemmænd til at sprede ransomware. Mellemmændene får så en betaling for at sprede den.
Desuden fortalte McAfee, at de har udgivet sitet www.nomoreransom.org, hvor man kan finde nøgler til nogle versioner af ransomware, og som hjælper med at finde den rette nøgle.
Der blevet også givet nogle gode råd til, hvordan man kan beskytte sig mod ransomware.
Forebyggelse:
- Backup, backup, backup.
- Benyt robust endpoint-sikkerhedssoftware
- Netværkssegmentering
- Robust Identity Management
- Hold al software på din computer opdateret
- Fil-endelser skal være synlige
- Overvej at benytte en Software Restriction Policy (SRP)
Tips ved inficering:
- Genstart eller sluk ikke din computer
- Abryd straks forbindelsen til internettet og andre netværk
- Tag et memory dump
- Slet IKKE nogle filer (heller ikke ransom notes)
- Tag fotodokumentation
- Tag en kopi af det krypterede drev (der kan være en løsning i fremtiden). Dårlig programmering kan også gøre, at du ikke kan decrypte, og at filerne ødelægges.
- Forsøg at genskabe filerne med forensic-værktøjer som fx PhotoRec.
- Betal ikke, men tjek nomoreransom.org for en eventuelt nøgle til dekryptering
- Accepter risikoen for at du mister al data, hvis du beslutter dig for at betale og søge professionel rådgvning
Og endelig skal du få udarbejdet en god incident response-plan.
Alt i alt har det været en god og spændende dag, som viser bredden af alle RSA-sessionerne. Vi ser rigtig meget frem til de kommende dage og sessioner.