I förra veckan knatade Adrian Braekke och jag till Justitiedepartementet med över 100 000 namnunderskrifter till stöd för en benådning av Peter Sunde. Det har ni säker redan…
Det finns få personer i ett företag som kan göra så mycket skada som en ohederlig it-tekniker. Vi tar en närmare titt på vilka riskerna är och vad man kan göra för att skydda sig.
Dagens hotbild är stadd i förändring och modern malware framträder som en av de mest rörande krafter som spelar in. Med möjligheten att eventuellt samordna miljontals infekterade noder, passera säkerhets gränser oupptäckta på efterfrågan, och för att anpassa efterfrågade funktioner, har modern malware mer gemensamt med en helt distribuerad moln-baserad applikation än vad det gör med de enkla självreplikerande virus och maskar som vi har känt tidigare. Denna omvandling kräver en uppdatering av de sätt på vilka vi tror om dessa hot, om vi ska ha en chans och skydda våra företagsnätverk mot dem.
Introduktion till MalwareA Brief History of Malware
40 år sedan medan du arbetar på BBN, började Bob Thomas experimentera med begreppet en mobil applikation. För detta ändamål utvecklade han body-programmet, som hade förmågan att gå från maskin till maskin. Creeper frodats snabbt genom ARPANET smittar allt i sin väg, och uppkomsten av datavirus var över oss.
Men även denna blygsamma början exponeras en grundläggande lektion om skadlig kod som vi fortfarande brottas med idag – en decentraliserad, mobilen är underförstått knuten till förekomsten av ett nät eller några liknande media kommunikation. Creeper behövs ARPANET, och malware har speglade utvecklingen av nätverk sedan dess.
År 1988 hade Morris Worm ägt och visat kraften av relativt enkla program att använda program och Internet för att snabbt infektera ett stort antal maskiner i mycket korta tidsperioder. Under hela 1990-talet och början av 2000-talet, fortsatte malware att utvecklas, lägga till nya funktioner och trycka ribban högre när det gäller infektioner. Trots dessa framsteg förblev malware fortfarande mycket en självreplikerande meddelande i en flaska. Kraften i det skadliga programmet till stor del förutbestämd när den skrevs. Programmet hade ett jobb att göra, men logiken i hotet var i stort sett som finns i skadliga kod själv.
Uppkomsten av Malware Synthesis
År 2007 gav den stadiga utvecklingen av skadlig kod sätt att en seismisk sticket framåt. Runt denna tid de första botnät började dyka upp, och i grunden förändrat världen av malware (och IT-säkerhet tillsammans med det). Botnät skilde sig från sina föregångare genom att alla infekterade värdar kan centralt kontrolleras av en angripare, vilket gör att alla de enskilda maskinerna att samarbeta som en distribuerad massivt malware program. Bara detta skulle vara ett stort steg, men det finns en annan lika viktig punkt – den intelligens bakom den skadliga koden var nu dynamiskt istället för fast. En person kan kontinuerligt styra och ändra skadlig kod bygger på hans behov i motsats till att låsa in de resurser som ursprungligen skrevs in i malware.
Denna evolutionära hopp förändrats i grunden i spelet, och påverkade hur skadlig kod skribenter utvecklat sin kod. Istället för fokus malware vara någon uppsättning åtgärder som t.ex. att skicka spam, nu uppmärksamheten flyttas att utforma en plattform som skulle kunna upprätthålla en pågående och dynamisk attack. Kommandot-och-kontroll infrastruktur i uppdrag att organisera verksamheten blev avgörande. Stealth blev ett huvudmål eftersom inkräktare kan nu kontrollera och dra fördel av en infekterad maskin för en obestämd tid.
Angriparen kan alltid uppdatera skadliga programmet som hans behov ändras, skicka skräppost en dag, och stjäla kreditkortsnummer nästa. Styrkan i ett stycke skadlig kod kom till vila på kvaliteten på kommunikation, ledning och förmåga att undvika upptäckt. På endpoint, innebar detta att dra nytta av många års erfarenhet av att gömma från och inaktivera klientsidan säkerhet och på nätverksnivå innebar det utvecklas till ett av de mest kraftfulla och stabila nätverk i världen.
Förstå Dagens moderna Malware
Med tanke på utvecklingen av skadlig kod, är det viktigt att vi tittar på mer än bara funktion malware (dvs. en bank botnät). Det är lika viktigt att förstå hur skadlig kod skyddar sig, kommunicerar och folie vår befintliga försvar på djupet. För att hjälpa i denna klassificering kan vi följa malware genom sin livscykel:
• Infektion: Hur skadlig kod levereras? Via ett körbart, förpackad i en fil, levereras via en infekterad webbsida? Hur kommunicerar malware?
• Uthållighet: När på värden, hur är värd kan kvarstå på den infekterade värden utan att utlösa host-baserad säkerhet? Använder det en rootkit? Har avaktivera antivirusprogram? Har installera det bakdörrar? Detta område kan vara mycket djupa, eftersom skadliga program har en lång katt-och-råtta historia i förhållande till den anti-virus industrin och det finns en uppsjö av tekniker för att undvika upptäckt.
• Kommunikation: malware räknar med att vara bosatt på den infekterade maskinen under en lång tid, så det kommer att behöva en metod att kommunicera som inte utlöser lösningar för nätverkssäkerhet. Dessutom förmåga att kommunicera är i stort sett makt malware. Utan förmåga att kommunicera, skulle modern malware börjar snart likna våra mer traditionella maskar och virus. Är det kommunicera på icke-standardiserade portar, kryptera sin trafik, ombud använder eller tunneln inom andra godkända program?
• Kommando och kontroll: Hur är kommandot-och-styrning hanteras? Kan det bli uppdaterade konfigurationsfiler, eller skicka och ta emot meddelanden från peer-to-peer-nätverk? Hur klarar det skadliga programmet med förlusten av ett kommando-och kontrollsystem server?
• Skadliga Funktioner: Naturligtvis är vi i slutändan måste hålla reda på slutet beteende malware. Några malware kommer att förbli mycket fokuserad, med inriktning på en viss typ av information inom en specifik organisation. Andra kommer att variera över tiden, växling med de behov och önskemål bot ägare.
Dessa är de viktigaste faktorer som vi kan använda för att definiera en instans av modern malware, och i processen, ger en färdplan för hur vi i slutändan kommer att kunna kontrollera skadlig kod. Metoderna för kommunikation, uthållighet och command-and-styrning ger skadlig kod med kraft, utan representerar också svaga punkter. Och i motsats till den allmänna opinionen, har vi faktiskt de verktyg och bästa praxis i dag att försvara oss i dag.
Georgia Tech Titan Project
Ett nytt malware intelligens utvecklat vid Georgia Tech Research Institute (GRTI) hjälper myndigheter och privata företag delar hot intelligens och arbeta tillsammans för att förstå attacker. Dubbat Titan, tillåter systemet medlemsorganisationer att lämna hot data och att samarbeta i malware analys och klassificering.
Medlemmar bidrar uppgifter anonymt så att ingen skulle veta vilka specifika organisationer hade påverkats av attacken, sade Chris Smoak, projektledare och gren chef för skadlig programvara analys vid GTRI Cyber teknologi och informationssäkerhet Lab, SecurityWeek.
”Du ber folk att lämna information om riktade attacker, så anonymiteten är inbyggd i plattformen”, Smoak sagt.
Förutom att få information om attacker som påverkar andra organisationer får medlemmarna rapporter om skadlig kod prover de har redan lämnats in, till exempel potentiella skador den troliga källan, det bästa botemedlet, och de risker som provet. Analysen bygger på vad GTRI forskarna lär sig genom reverse-engineering av malware och annan information som sammanställts från andra källor inom den skadliga koden slutförvaret.
Titan är ”inte bara för tekniska yrkesverksamma” som rederiernas och CTOs är att se hur insikter från Titan kan användas för att förbättra organisationens säkerhet, sade Smoak. Och chefer kan bestämma hur man skall fördela sina utgifter dollar när de har en bättre förståelse för vilka hot de står inför, sade han.
Titan kan markera ”heta knappen frågor” och användas som en prognos verktyg. I ett exempel scenario, beskrivs Smoak hur analytiker kan korrelera flera hot indikatorer och räkna ut att en viss attack slå flera universitet på en gång. De kan också ha möjlighet att dra paralleller med liknande incidentrapporter som har hänt i det förflutna och räknar med att attacken kommer att flytta till rikta finansiella tjänster företag i några månader. Detta är den typ av proaktiva underrättelsetjänst medlemmar kommer att ha tillgång till genom Titan som de kan använda för att förbereda, säger Smoak.
Forskare Andrew Howard och Christopher Smoak, och forskarutbildning forskarassistent George Macon. Jämföra hur företag använder VirusTotal med hur de kan använda Titan är en ”rättvis jämförelse”, Smoak sagt, men noterade att Titan kan göra mycket mer än det skadliga programmet analysen webbplatsen. Generellt sett kan man ladda misstänkta filer till VirusTotal att ta reda på om det är skadligt, och om existerande säkerhetsrisker verktyg kan upptäcka det. Det finns dock inget sätt för VirusTotal att titta på två varianter av skadlig kod och korrelera med att säga att de är lika, men Titan kan göra det, sade Smoak.
Många malware utvecklare använder polymorfism för att dynamiskt generera något olika versioner av skadlig kod för att undvika upptäckt av traditionella antivirusprogram. Under Titan skulle medlemmarna kunna se att händelser som de trodde inblandade olika typer av skadliga program var faktiskt alla drabbats av den samma en, förklarade Smoak.
Smoak beskrivs Titan som en ”modulärt ramverk.” Med nya typer av skadlig kod och angrepp tekniker framväxande, är tekniker för att analysera dessa hot utvecklas snabbt, sade han. Titan är utformad för att låta forskare att bygga nya moduler för att hantera olika analyser uppgifter som behövs. Till exempel, även om Android malware är på uppgång, det finns inte många verktyg för dynamisk automatiserad analys av mobila malware. Medlemmar bara kunde bygga en modul med Titan API som kan packa upp och analysera skadlig kod samtidigt dra nytta av alla andra funktioner och information i systemet, säger Smoak.
Det finns mer analys och korrelation kan i Titan, vilket är det som gör det så värdefullt att medlemmarna, säger Smoak.
Först presenterades i maj, har systemet varit i publik beta sedan dess. Projektet har för närvarande cirka 20 medlemmar och analyserar och klassificerar i genomsnitt 100.000 stycken av skadlig kod varje dag. En huvuddelen av de skadliga proverna analyseras data från olika dela grupper, säger Smoak. Medlemmar in fem till 10 prover per vecka, säger Smoak.
Systemet har ”bra kritisk massa”, med medlemmar som spänner myndigheter och över den näringsgren som tillhandahåller faktiska data som är användbar, sade Smoak. Det finns ingen push to lägga till nya medlemmar för resten av beta perioden, sade Smoak. Systemet kommer att förväntas vara final i ”några veckor”, vid vilken punkt plattformen sannolikt kommer att utvidgas till att lägga till fler.
Det faktum att GTRI är en icke vinstdrivande och akademisk institution har hjälpt locka medlemmar, säger Smoak. Det finns flera andra informationsutbyte initiativ som har lanserats under de senaste månaderna, många av dem med leverantörer. Medan leverantörer arbetar hårt för att göra plattformen användbar för alla, det finns en viss oro för att säljaren kan ha viss bias, och kan trycka på en viss produkt till medlemmarna, säger Smoak. Det får inte finnas fördomar alls, men ”driver uppfattning resultat,” Smoak sagt.
Medlemmarna granskas innan de tillåts att delta. För närvarande finns det inga säkerhetsföretag med Titan, Smoak sade, även om han inte såg någon anledning till varför de inte skulle kunna få tillgång om de uppmanas att gå med.
Titan är inte heller närvarande samarbetar med företag som RSA / Netwitness och Microsoft, som arbetar på sina egna projekt för att förse industrin med intelligens foder innehållande information som härrör från botnät och annan skadlig nätverksaktivitet. Smoak sade att han skulle vilja ”prata med folk på Microsoft” för att se hur att använda data, men ingenting är på gång just nu.
Det primära målet för Titan är att ”hålla kostnaderna av data mycket låga” och lämna dessa insikter och dataanalys billigt till medlemmar, säger Smoak.
Företag, stora som små, behöver ofta inte har tid och resurser för att analysera de hot som slår sin omgivning eller att driva egna centra hotbildsanalys. Defenders har svårt att slåss avancerade riktade attacker utan ett sätt att dela information med sina motsvarigheter.
Titan ”fyller gapet” och hjälper organisationer räkna ut vad de aktuella hoten är ”utan att tömma plånboken”, Smoak sagt.
Har du funderat på hur du kommer säkra din IPv6 infrastruktur? Även om du inte genomför en IPv6-nätverk, måste du ändå vara oroliga för övergången. Här är hur kan du vara säker på att din nätet finns kvar skyddas som branschens går mot IPv6.
Det har varit en hel del störningar runt övergången till IPv6, med början med statliga mandat så tidigt som 2003, och bygga upp till World IPv6 Day den 8 juni. Medan många organisationer kände vilseleda genom Y2K hype mer än ett decennium sedan har IPv6 övergången varit annorlunda. IPv6 Övergången har redan börjat och kommer att fortsätta under tiotals år påverkar varje organisation på olika sätt. Men en sak varje organisation aktier är att övergången kommer att påverka oss alla och kräver en viss nivå av förberedelser för att bibehålla den operativa integriteten vi förväntar oss och kräver från vår IT-infrastruktur.
IPv4 till IPv6 ConsiderationsThere finns olika faktorer som driver övergången från IPv4 till IPv6:
• Kretsen av tillgängliga IPv4-adresser har fullt ut till att de regionala Internet-register (RIRs) och är nästan slut
• amerikanska federala myndigheter och institutioner som uppdrag att integrera IPv6 i sina nät infrastrukturer
• Företag som betjänar den federala regeringen, som t.ex. försvar entreprenörer, Managed Service Providers och Internet Service Providers, har blivit i praktiken, under förutsättning att dessa mandat och behöver övergången till IPv6 för att vara i överensstämmelse
• Företag i branscher bygga storskaliga nät, såsom större webbföretag och kommunikation leverantörer, måste implementera IPv6 system och nätverk för att företagens tillväxt och innovation
Om du är utsatt till Office of Management and Budget (OMB) eller Department of Defense (DoD) IPv6 mandat eller om du är i en bransch som är i färd med att lansera IPv6-teknik, då är chansen du har planerar för ganska lång tid. Du kan även vara en bra bit på vägen att definiera och utveckla arkitektur och migration strategi och har börjat det faktiska genomförandet av IPv6 system och nätverk. Men har du funderat på hur du kommer säkra din IPv6 infrastruktur? Det är inte säkert att anta att din nuvarande säkerhetskontroller, politik och processer kommer att skydda din IPv6-miljö samt din IPv4-miljö. De flesta säkerhetsföretag har släpat nätverk företag att införa fullskaligt stöd för IPv6.
Men även om du inte genomför en IPv6-nätverk, måste du ändå vara oroliga för övergången. De flesta operativsystem och många nya skrivare och andra nätverksenheter är IPv6 aktiverade och erbjuder en dual-stack konfiguration för att stödja IPv6-trafik utöver IPv4. Som IPv6-aktiverade konsumentprodukter enheter såsom smartphones och tabletter in på ditt nätverk avsedda eller inte, har du nu två potentiella kommunikationskanaler du behöver oroa dig. Du behöver veta att dina säkerhetskontroller och politik enhetligt stöd för IPv4 och IPv6.
Så hur kan du vara säker på nätet finns kvar skyddas som branschens går mot IPv6? Börja med att be dina IT-säkerhet leverantörer följande frågor:
1. Har deras lösningar nöjd amerikanska federala regeringen IPv6 (USGv6) provningskrav, visar överensstämmelse med IPv6? Utformad för att skydda federala myndigheternas investeringar i IPv6 teknik säkerställer testprogrammet samverkan mellan alla IT-och nätverkskomponenter som används för att bygga, underhålla och säkra IT-infrastruktur federala myndigheter.
2. Kan de visa att deras lösningar fungerar jämförelsevis med IPv4 och IPv6-trafik? Till exempel i fallet med IPS / IDS-lösningar, inte identifiera produkten och blockera IPv6-baserade attacker samt IPv4-baserade attacker?
3. Stöder deras lösning ett brett utbud av tunneldrivning mekanismer? Tunneldrivning mekanismer, såsom 6to4 och Teredo, är övergången teknik som gör det möjligt IPv6 värdar och routrar för att kommunicera över IPv4-nätverk. Vissa säkerhetsverktyg erkänner inte sådana mekanismer och kan därför inte ge något skydd.
4. Kan sina lösningar fungera och styras via ett IPv6-nätverk? Det är viktigt att du har möjlighet att utse en IPv6 IP-adress till en leverantör enhet och hantera det via IPv6 för att distribuera den på ett IPv6-nätverk.
5. När det gäller sårbarhetsanalys nätverksidentifiering och IPS / IDS verktyg är säljarens säkerhetsverktyg beroende på aktiv sårbarhetsskanning? Aktiv skanning verktyg kan bli invalidiserad under tyngden av den otroligt stora antalet IPv6-adresser tillgängliga att söka.
6. När det gäller brandvägg och tillgång listor kontroll (ACL) som är konfigurerade för att blockera alla ”IP” trafik, gör de i själva verket blocket IPv6-trafik samt IPv4? Vissa nätverk apparater kräver extra konfigurering för att hantera IPv6 och använda termen ”IP” att enbart hänvisa till IPv4.
IPv6 kommer att möjliggöra för organisationer att bygga större och mer effektiva nätverk för att stödja tillväxt och innovation. Övergången är i full gång och varje nätverk håller på att bli ett IPv6-nätverk, oavsett om vi väljer det eller inte. Övergången behöver inte endast fokusera på operativa frågor, men säkerheten också. Identifiera kontroller, lösningar och strategier som stödjer IPv6 parallellt med IPv4 är en förutsättning för din organisations säkerhet.
Hej !
Jag har känt mig trött och håglös idag men efter jag varit på stan i Sala för inhandling av ett par nya skor och lite godis känt mig bättre , ha de kamrater 🙂
Jag tror att det var angeläget för polisen att presentera Sveriges första seriemördare .
————————
Råstam om vårdcirkusen Quick
En vårdskandal eller en bisarr längtan efter att få stoltsera med Sveriges första seriemördare? I sin postumt utgivna bok målar Hannes Råstam upp en bild av fallet Quick som vore det en teaterföreställning. Journalisten Mattias Göransson berättar om arbetet.
STEFAN KURT JOHANSSON 
Michael Anti: Behind the Great Firewall of China (2012)
Källa : Techworld
Internet Archive delar en petabyte via bittorrent
Av Anders Magnusson
Drygt 1,4 miljoner filmer, böcker och ljudfiler hos organisationen Internet Archive kan nu snabbare spridas mellan användarna genom fildelning.
Vad kan jag göra för att förbättra situationen?
I förra veckan knatade Adrian Braekke och jag till Justitiedepartementet med över 100 000 namnunderskrifter till stöd för en benådning av Peter Sunde. Det har ni säker redan…
annatroberg.com
Dagen har varit god , jag träffade Lasse ”E” idag snackade lite om nostalgiska perioder , lol 🙂
—————
Ex-IT Administrator Pleads Guilty to Destroying Virtual Servers from a McDonald’s
Credit Card Purchase at McDonald’s Helped FBI Connect Culprit to Cyber Attack Origin
Källa:
Security week
Den olagliga it-teknikern
Det finns få personer i ett företag som kan göra så mycket skada som en ohederlig it-tekniker. Vi tar en närmare titt på vilka riskerna är och vad man kan göra för att skydda sig.
Källa: Tech world
Källa , översättning Google : security week
En introduktion till modern Malware
Dagens hotbild är stadd i förändring och modern malware framträder som en av de mest rörande krafter som spelar in. Med möjligheten att eventuellt samordna miljontals infekterade noder, passera säkerhets gränser oupptäckta på efterfrågan, och för att anpassa efterfrågade funktioner, har modern malware mer gemensamt med en helt distribuerad moln-baserad applikation än vad det gör med de enkla självreplikerande virus och maskar som vi har känt tidigare. Denna omvandling kräver en uppdatering av de sätt på vilka vi tror om dessa hot, om vi ska ha en chans och skydda våra företagsnätverk mot dem.
Introduktion till MalwareA Brief History of Malware
40 år sedan medan du arbetar på BBN, började Bob Thomas experimentera med begreppet en mobil applikation. För detta ändamål utvecklade han body-programmet, som hade förmågan att gå från maskin till maskin. Creeper frodats snabbt genom ARPANET smittar allt i sin väg, och uppkomsten av datavirus var över oss.
Men även denna blygsamma början exponeras en grundläggande lektion om skadlig kod som vi fortfarande brottas med idag – en decentraliserad, mobilen är underförstått knuten till förekomsten av ett nät eller några liknande media kommunikation. Creeper behövs ARPANET, och malware har speglade utvecklingen av nätverk sedan dess.
År 1988 hade Morris Worm ägt och visat kraften av relativt enkla program att använda program och Internet för att snabbt infektera ett stort antal maskiner i mycket korta tidsperioder. Under hela 1990-talet och början av 2000-talet, fortsatte malware att utvecklas, lägga till nya funktioner och trycka ribban högre när det gäller infektioner. Trots dessa framsteg förblev malware fortfarande mycket en självreplikerande meddelande i en flaska. Kraften i det skadliga programmet till stor del förutbestämd när den skrevs. Programmet hade ett jobb att göra, men logiken i hotet var i stort sett som finns i skadliga kod själv.
Uppkomsten av Malware Synthesis
År 2007 gav den stadiga utvecklingen av skadlig kod sätt att en seismisk sticket framåt. Runt denna tid de första botnät började dyka upp, och i grunden förändrat världen av malware (och IT-säkerhet tillsammans med det). Botnät skilde sig från sina föregångare genom att alla infekterade värdar kan centralt kontrolleras av en angripare, vilket gör att alla de enskilda maskinerna att samarbeta som en distribuerad massivt malware program. Bara detta skulle vara ett stort steg, men det finns en annan lika viktig punkt – den intelligens bakom den skadliga koden var nu dynamiskt istället för fast. En person kan kontinuerligt styra och ändra skadlig kod bygger på hans behov i motsats till att låsa in de resurser som ursprungligen skrevs in i malware.
Denna evolutionära hopp förändrats i grunden i spelet, och påverkade hur skadlig kod skribenter utvecklat sin kod. Istället för fokus malware vara någon uppsättning åtgärder som t.ex. att skicka spam, nu uppmärksamheten flyttas att utforma en plattform som skulle kunna upprätthålla en pågående och dynamisk attack. Kommandot-och-kontroll infrastruktur i uppdrag att organisera verksamheten blev avgörande. Stealth blev ett huvudmål eftersom inkräktare kan nu kontrollera och dra fördel av en infekterad maskin för en obestämd tid.
Angriparen kan alltid uppdatera skadliga programmet som hans behov ändras, skicka skräppost en dag, och stjäla kreditkortsnummer nästa. Styrkan i ett stycke skadlig kod kom till vila på kvaliteten på kommunikation, ledning och förmåga att undvika upptäckt. På endpoint, innebar detta att dra nytta av många års erfarenhet av att gömma från och inaktivera klientsidan säkerhet och på nätverksnivå innebar det utvecklas till ett av de mest kraftfulla och stabila nätverk i världen.
Förstå Dagens moderna Malware
Med tanke på utvecklingen av skadlig kod, är det viktigt att vi tittar på mer än bara funktion malware (dvs. en bank botnät). Det är lika viktigt att förstå hur skadlig kod skyddar sig, kommunicerar och folie vår befintliga försvar på djupet. För att hjälpa i denna klassificering kan vi följa malware genom sin livscykel:
• Infektion: Hur skadlig kod levereras? Via ett körbart, förpackad i en fil, levereras via en infekterad webbsida? Hur kommunicerar malware?
• Uthållighet: När på värden, hur är värd kan kvarstå på den infekterade värden utan att utlösa host-baserad säkerhet? Använder det en rootkit? Har avaktivera antivirusprogram? Har installera det bakdörrar? Detta område kan vara mycket djupa, eftersom skadliga program har en lång katt-och-råtta historia i förhållande till den anti-virus industrin och det finns en uppsjö av tekniker för att undvika upptäckt.
• Kommunikation: malware räknar med att vara bosatt på den infekterade maskinen under en lång tid, så det kommer att behöva en metod att kommunicera som inte utlöser lösningar för nätverkssäkerhet. Dessutom förmåga att kommunicera är i stort sett makt malware. Utan förmåga att kommunicera, skulle modern malware börjar snart likna våra mer traditionella maskar och virus. Är det kommunicera på icke-standardiserade portar, kryptera sin trafik, ombud använder eller tunneln inom andra godkända program?
• Kommando och kontroll: Hur är kommandot-och-styrning hanteras? Kan det bli uppdaterade konfigurationsfiler, eller skicka och ta emot meddelanden från peer-to-peer-nätverk? Hur klarar det skadliga programmet med förlusten av ett kommando-och kontrollsystem server?
• Skadliga Funktioner: Naturligtvis är vi i slutändan måste hålla reda på slutet beteende malware. Några malware kommer att förbli mycket fokuserad, med inriktning på en viss typ av information inom en specifik organisation. Andra kommer att variera över tiden, växling med de behov och önskemål bot ägare.
Dessa är de viktigaste faktorer som vi kan använda för att definiera en instans av modern malware, och i processen, ger en färdplan för hur vi i slutändan kommer att kunna kontrollera skadlig kod. Metoderna för kommunikation, uthållighet och command-and-styrning ger skadlig kod med kraft, utan representerar också svaga punkter. Och i motsats till den allmänna opinionen, har vi faktiskt de verktyg och bästa praxis i dag att försvara oss i dag.
Georgia Tech Titan Project
Ett nytt malware intelligens utvecklat vid Georgia Tech Research Institute (GRTI) hjälper myndigheter och privata företag delar hot intelligens och arbeta tillsammans för att förstå attacker. Dubbat Titan, tillåter systemet medlemsorganisationer att lämna hot data och att samarbeta i malware analys och klassificering.
Medlemmar bidrar uppgifter anonymt så att ingen skulle veta vilka specifika organisationer hade påverkats av attacken, sade Chris Smoak, projektledare och gren chef för skadlig programvara analys vid GTRI Cyber teknologi och informationssäkerhet Lab, SecurityWeek.
”Du ber folk att lämna information om riktade attacker, så anonymiteten är inbyggd i plattformen”, Smoak sagt.
Förutom att få information om attacker som påverkar andra organisationer får medlemmarna rapporter om skadlig kod prover de har redan lämnats in, till exempel potentiella skador den troliga källan, det bästa botemedlet, och de risker som provet. Analysen bygger på vad GTRI forskarna lär sig genom reverse-engineering av malware och annan information som sammanställts från andra källor inom den skadliga koden slutförvaret.
Titan är ”inte bara för tekniska yrkesverksamma” som rederiernas och CTOs är att se hur insikter från Titan kan användas för att förbättra organisationens säkerhet, sade Smoak. Och chefer kan bestämma hur man skall fördela sina utgifter dollar när de har en bättre förståelse för vilka hot de står inför, sade han.
Titan kan markera ”heta knappen frågor” och användas som en prognos verktyg. I ett exempel scenario, beskrivs Smoak hur analytiker kan korrelera flera hot indikatorer och räkna ut att en viss attack slå flera universitet på en gång. De kan också ha möjlighet att dra paralleller med liknande incidentrapporter som har hänt i det förflutna och räknar med att attacken kommer att flytta till rikta finansiella tjänster företag i några månader. Detta är den typ av proaktiva underrättelsetjänst medlemmar kommer att ha tillgång till genom Titan som de kan använda för att förbereda, säger Smoak.
Forskare Andrew Howard och Christopher Smoak, och forskarutbildning forskarassistent George Macon. Jämföra hur företag använder VirusTotal med hur de kan använda Titan är en ”rättvis jämförelse”, Smoak sagt, men noterade att Titan kan göra mycket mer än det skadliga programmet analysen webbplatsen. Generellt sett kan man ladda misstänkta filer till VirusTotal att ta reda på om det är skadligt, och om existerande säkerhetsrisker verktyg kan upptäcka det. Det finns dock inget sätt för VirusTotal att titta på två varianter av skadlig kod och korrelera med att säga att de är lika, men Titan kan göra det, sade Smoak.
Många malware utvecklare använder polymorfism för att dynamiskt generera något olika versioner av skadlig kod för att undvika upptäckt av traditionella antivirusprogram. Under Titan skulle medlemmarna kunna se att händelser som de trodde inblandade olika typer av skadliga program var faktiskt alla drabbats av den samma en, förklarade Smoak.
Smoak beskrivs Titan som en ”modulärt ramverk.” Med nya typer av skadlig kod och angrepp tekniker framväxande, är tekniker för att analysera dessa hot utvecklas snabbt, sade han. Titan är utformad för att låta forskare att bygga nya moduler för att hantera olika analyser uppgifter som behövs. Till exempel, även om Android malware är på uppgång, det finns inte många verktyg för dynamisk automatiserad analys av mobila malware. Medlemmar bara kunde bygga en modul med Titan API som kan packa upp och analysera skadlig kod samtidigt dra nytta av alla andra funktioner och information i systemet, säger Smoak.
Det finns mer analys och korrelation kan i Titan, vilket är det som gör det så värdefullt att medlemmarna, säger Smoak.
Först presenterades i maj, har systemet varit i publik beta sedan dess. Projektet har för närvarande cirka 20 medlemmar och analyserar och klassificerar i genomsnitt 100.000 stycken av skadlig kod varje dag. En huvuddelen av de skadliga proverna analyseras data från olika dela grupper, säger Smoak. Medlemmar in fem till 10 prover per vecka, säger Smoak.
Systemet har ”bra kritisk massa”, med medlemmar som spänner myndigheter och över den näringsgren som tillhandahåller faktiska data som är användbar, sade Smoak. Det finns ingen push to lägga till nya medlemmar för resten av beta perioden, sade Smoak. Systemet kommer att förväntas vara final i ”några veckor”, vid vilken punkt plattformen sannolikt kommer att utvidgas till att lägga till fler.
Det faktum att GTRI är en icke vinstdrivande och akademisk institution har hjälpt locka medlemmar, säger Smoak. Det finns flera andra informationsutbyte initiativ som har lanserats under de senaste månaderna, många av dem med leverantörer. Medan leverantörer arbetar hårt för att göra plattformen användbar för alla, det finns en viss oro för att säljaren kan ha viss bias, och kan trycka på en viss produkt till medlemmarna, säger Smoak. Det får inte finnas fördomar alls, men ”driver uppfattning resultat,” Smoak sagt.
Medlemmarna granskas innan de tillåts att delta. För närvarande finns det inga säkerhetsföretag med Titan, Smoak sade, även om han inte såg någon anledning till varför de inte skulle kunna få tillgång om de uppmanas att gå med.
Titan är inte heller närvarande samarbetar med företag som RSA / Netwitness och Microsoft, som arbetar på sina egna projekt för att förse industrin med intelligens foder innehållande information som härrör från botnät och annan skadlig nätverksaktivitet. Smoak sade att han skulle vilja ”prata med folk på Microsoft” för att se hur att använda data, men ingenting är på gång just nu.
Det primära målet för Titan är att ”hålla kostnaderna av data mycket låga” och lämna dessa insikter och dataanalys billigt till medlemmar, säger Smoak.
Företag, stora som små, behöver ofta inte har tid och resurser för att analysera de hot som slår sin omgivning eller att driva egna centra hotbildsanalys. Defenders har svårt att slåss avancerade riktade attacker utan ett sätt att dela information med sina motsvarigheter.
Titan ”fyller gapet” och hjälper organisationer räkna ut vad de aktuella hoten är ”utan att tömma plånboken”, Smoak sagt.
Källa: översättning Google security week
Källa : översättning Google security week
Därför kan alla behöva bry sig om IPv6
Har du funderat på hur du kommer säkra din IPv6 infrastruktur? Även om du inte genomför en IPv6-nätverk, måste du ändå vara oroliga för övergången. Här är hur kan du vara säker på att din nätet finns kvar skyddas som branschens går mot IPv6.
Det har varit en hel del störningar runt övergången till IPv6, med början med statliga mandat så tidigt som 2003, och bygga upp till World IPv6 Day den 8 juni. Medan många organisationer kände vilseleda genom Y2K hype mer än ett decennium sedan har IPv6 övergången varit annorlunda. IPv6 Övergången har redan börjat och kommer att fortsätta under tiotals år påverkar varje organisation på olika sätt. Men en sak varje organisation aktier är att övergången kommer att påverka oss alla och kräver en viss nivå av förberedelser för att bibehålla den operativa integriteten vi förväntar oss och kräver från vår IT-infrastruktur.
IPv4 till IPv6 ConsiderationsThere finns olika faktorer som driver övergången från IPv4 till IPv6:
• Kretsen av tillgängliga IPv4-adresser har fullt ut till att de regionala Internet-register (RIRs) och är nästan slut
• amerikanska federala myndigheter och institutioner som uppdrag att integrera IPv6 i sina nät infrastrukturer
• Företag som betjänar den federala regeringen, som t.ex. försvar entreprenörer, Managed Service Providers och Internet Service Providers, har blivit i praktiken, under förutsättning att dessa mandat och behöver övergången till IPv6 för att vara i överensstämmelse
• Företag i branscher bygga storskaliga nät, såsom större webbföretag och kommunikation leverantörer, måste implementera IPv6 system och nätverk för att företagens tillväxt och innovation
Om du är utsatt till Office of Management and Budget (OMB) eller Department of Defense (DoD) IPv6 mandat eller om du är i en bransch som är i färd med att lansera IPv6-teknik, då är chansen du har planerar för ganska lång tid. Du kan även vara en bra bit på vägen att definiera och utveckla arkitektur och migration strategi och har börjat det faktiska genomförandet av IPv6 system och nätverk. Men har du funderat på hur du kommer säkra din IPv6 infrastruktur? Det är inte säkert att anta att din nuvarande säkerhetskontroller, politik och processer kommer att skydda din IPv6-miljö samt din IPv4-miljö. De flesta säkerhetsföretag har släpat nätverk företag att införa fullskaligt stöd för IPv6.
Men även om du inte genomför en IPv6-nätverk, måste du ändå vara oroliga för övergången. De flesta operativsystem och många nya skrivare och andra nätverksenheter är IPv6 aktiverade och erbjuder en dual-stack konfiguration för att stödja IPv6-trafik utöver IPv4. Som IPv6-aktiverade konsumentprodukter enheter såsom smartphones och tabletter in på ditt nätverk avsedda eller inte, har du nu två potentiella kommunikationskanaler du behöver oroa dig. Du behöver veta att dina säkerhetskontroller och politik enhetligt stöd för IPv4 och IPv6.
Så hur kan du vara säker på nätet finns kvar skyddas som branschens går mot IPv6? Börja med att be dina IT-säkerhet leverantörer följande frågor:
1. Har deras lösningar nöjd amerikanska federala regeringen IPv6 (USGv6) provningskrav, visar överensstämmelse med IPv6? Utformad för att skydda federala myndigheternas investeringar i IPv6 teknik säkerställer testprogrammet samverkan mellan alla IT-och nätverkskomponenter som används för att bygga, underhålla och säkra IT-infrastruktur federala myndigheter.
2. Kan de visa att deras lösningar fungerar jämförelsevis med IPv4 och IPv6-trafik? Till exempel i fallet med IPS / IDS-lösningar, inte identifiera produkten och blockera IPv6-baserade attacker samt IPv4-baserade attacker?
3. Stöder deras lösning ett brett utbud av tunneldrivning mekanismer? Tunneldrivning mekanismer, såsom 6to4 och Teredo, är övergången teknik som gör det möjligt IPv6 värdar och routrar för att kommunicera över IPv4-nätverk. Vissa säkerhetsverktyg erkänner inte sådana mekanismer och kan därför inte ge något skydd.
4. Kan sina lösningar fungera och styras via ett IPv6-nätverk? Det är viktigt att du har möjlighet att utse en IPv6 IP-adress till en leverantör enhet och hantera det via IPv6 för att distribuera den på ett IPv6-nätverk.
5. När det gäller sårbarhetsanalys nätverksidentifiering och IPS / IDS verktyg är säljarens säkerhetsverktyg beroende på aktiv sårbarhetsskanning? Aktiv skanning verktyg kan bli invalidiserad under tyngden av den otroligt stora antalet IPv6-adresser tillgängliga att söka.
6. När det gäller brandvägg och tillgång listor kontroll (ACL) som är konfigurerade för att blockera alla ”IP” trafik, gör de i själva verket blocket IPv6-trafik samt IPv4? Vissa nätverk apparater kräver extra konfigurering för att hantera IPv6 och använda termen ”IP” att enbart hänvisa till IPv4.
IPv6 kommer att möjliggöra för organisationer att bygga större och mer effektiva nätverk för att stödja tillväxt och innovation. Övergången är i full gång och varje nätverk håller på att bli ett IPv6-nätverk, oavsett om vi väljer det eller inte. Övergången behöver inte endast fokusera på operativa frågor, men säkerheten också. Identifiera kontroller, lösningar och strategier som stödjer IPv6 parallellt med IPv4 är en förutsättning för din organisations säkerhet.
In my heart and soul indeed , Hallo Norway !
Kraftfullt datavirus stjäl lösenord
Ett nytt datavirus som fått namnet Gauss har stulit nyckelinformation från bankkunder i Mellanöstern, uppger it-säkerhetsbolaget Kaspersky Lab.
Svd.se
🙂
Givande dag , nog lite tråkigt men de funkar 😉
Hej !
Jag har känt mig trött och håglös idag men efter jag varit på stan i Sala för inhandling av ett par nya skor och lite godis känt mig bättre , ha de kamrater 🙂
Jag tror att det var angeläget för polisen att presentera Sveriges första seriemördare .
————————
Råstam om vårdcirkusen Quick
En vårdskandal eller en bisarr längtan efter att få stoltsera med Sveriges första seriemördare? I sin postumt utgivna bok målar Hannes Råstam upp en bild av fallet Quick som vore det en teaterföreställning. Journalisten Mattias Göransson berättar om arbetet.
Svd.se
En till bra låt på tyska . 🙂
Gitarrsolot efter 3.30 är häftigt bra 😉 MYS RYS .
Denna låt var det som jag skrev om då jag vistades i Polen Gorky park , det var en spektakulär upplevelse i Polen Warzawa .
Bra låt föresten .
En höjdarlåt !
Hej ljuva 70-tal med Elton 🙂
Jag hade LP,n , helt underbar skiva
Hacka Facebook och bli miljonär
Facebook erbjuder hackare en miljon dollar om de lyckas hitta en större svaghet i det sociala nätverkets it-system.
Källa : Svd.se
KUNGSÖRS SCHACKKLUBB
calandrella.wordpress.com
Varför är det så tyst i media från Rysslands håll angående ekonomin ?