APT-angreb kan stoppes!

Endnu en rapport om målrettet hacking (også kaldet APT-angreb) blev rutinemæssigt gennemgået, og endnu engang er konklusionen den samme: Ved hjælp af vores anbefalede sikkerhedsprogrammer, kan man sikre sig overraskende effektivt imod sådanne angreb.

Den påstand er lettere kontroversiel indenfor IT-sikkerhedskredse, og det er ikke ubegrundet. Der findes allerede talrige eksempler på, at alt fra myndigheder til sikkerhedsvirksomheder, og fra efterretningstjenester til specialiserede hackergrupper, selv er blevet hacket. At sikre sig imod hacking er vanskeligt, og traditionelt antivirus hjælper stort set ikke.

Men der er forskel på at sikre en hel virksomhed med dets netværk, servere og talrige medarbejdere, og at sikre en enkelt Windows-baseret PC. Den reducerede attack surface på en enkelt sikkerhedsbevidst konfigureret PC, giver mulighed for en langt højere grad af sikkerhed, end en hel virksomhed kan opnå. Som mentalt billede kan man tænke på, hvor meget simplere det er, at forsvare en underjordisk bunker med én indgang, imod indtrængere, end at forsvare et større boligkompleks med talrige indgange både over og under jordoverfladen. I det sidste tilfælde er der langt flere punkter at forsvare, og der er større risiko for, at dem der vil trænge ind, kan finde et svagt punkt. For som forsvarer skal man altid kunne forsvare alle punkterne, hvorimod indtrængeren frit kan vælge af udnytte et enkelt svagt punkt, på lige det tidspunkt der passer ham bedst. Den situation favoriserer angriberen.
Men på en computer er det muligt at lukke af for de fleste af hackernes indfaldsveje, så kun nogle få er tilbage. Og disse sidste indfaldsveje kan sikres, med en kombination af en sikkerhedsbevidst bruger, og nogle effektive sikkerhedsprogrammer.

Ikke mindst takket være Edward Snowdens afsløringer, ved vi en del om, hvilke metoder den amerikanske efterretningstjeneste NSA anvender til, at hacke sig ind hos alt, fra virksomheder til enkeltindivider. Den måske mest skræmmende hacking-metode vi kender til, omtales i de lækkede dokumenter som Quantum Insert. Angreb af denne type anvendes formodentlig kun (eller primært) af efterretningstjenester eller andre større foretagender, og er særdeles vanskelige at sikre sig effektivt imod. Selv med vores anvisninger for hvordan en PC sikres, er der ingen garanti overfor netop denne type angreb. Er man et højt prioriteret mål for en vedholdende efterretningstjeneste, så er det tvivlsomt om der findes nogen sikkerhedsopsætning, som kan yde en tilstrækkelig sikring af ens PC. Men med dette slået fast, så lader det også til, at man kan gøre det relativt omstændigt at hacke en PC, selv mod så skræmmende angreb som Quantum Insert, såfremt man ved hvordan det gøres. Selv NSA er ikke magiske!

Bemærk også, at langt de fleste APT angreb lader til at blive udført med andre hacking-metoder. Metoder som typisk er ret trivielle at stoppe, såfremt man dels har lidt kendskab til IT-sikkerhed, og dels har fulgt anvisninger som dem der tilbydes på denne hjemmeside.

Der er imidlertid overraskende få personer indenfor IT-sikkerhedskredse, som har et indgående kendskab til, hvordan man opnår virkelig høj sikkerhed på en Windows-computer. Mange af dem lader delvis til, at have opgivet kampen på dette felt. Mange kender kun til traditionelle antivirusprogrammer, og har ofte hverken hørt om, eller eksperimenteret med, nogen form for HIPS-sikkerhedsprogrammer. Og måske giver det mening, for HIPS er generelt ikke nødvendigt for at sikre sig imod det helt almindelige malware, som de fleste møder på nettet. Til gengæld er det via HIPS, at man kan sikre sig imod selv mange af de mest avancerede hacking-metoder… de metoder som traditionelt antivirus må give op overfor.

HIPS er en fællesbetegnelse for en række sikkerhedsprogrammer, som kan anvende flere forskellige sikkerhedsteknologier. Den præcise skelnen imellem begreberne er omtrent så udflydende som musikgenrer, men dem man typisk taler om er traditionelt HIPS, behavior blocking, sandboxing, anti-execution, anti-exploitation og virtualisering.

Men hvordan ved man om programmerne giver den sikkerhed de påstår? Og hvordan ved man om de ligefrem kan beskytte imod APT-angreb?

For at svare på dette, må man først forstå hvordan hacking foregår. Det er ikke nødvendigt selv at være ekspert indenfor feltet, men et vist kendskab er nødvendigt. Og igen er det overraskende få sikkerhedsfolk der besidder et sådant kendskab. Af samme årsag ser man ofte en lang række hævede øjenbryn til diverse hacking-demonstrationer, når det går op for folk, hvor enkelt det tilsyneladende er, at hacke deres PC. Men under overfladen er der nogle fællestræk ved de fleste hackingmetoder, som danner nøglen til, hvordan man kan forsvare sig imod dem (bemærk at med “hackingmetoder” refererer vi til hacking via internetforbindelsen, ikke fysisk kompromittering af hardwaren, som er et kapitel for sig). Omtrent alle hackingmetoder, falder nemlig ind under en eller flere af følgende kategorier:

1. Social engineering (brugeren bliver narret)
2. Eksekverbar fil (en malware-fil starter på offerets PC)
3. Fil-løst angreb (en allerede eksisterende process på offerets PC manipuleres til at køre ondsindet kode)

Alle disse metoder kan man sikre sig imod!

.

Vi gennemgår dem en for en:

1. Social engineering
Dette kunne eksempelvis være et telefonopkald til offeret, hvor hackeren udgiver sig for at være fra Microsoft, og overtaler offeret til at tildele fjernadgang til computeren. Det kunne også være et brev der overtaler offeret til, at installere et program fra en vedlagt USB-key. Eller det kan meget klassisk være en email med et link til en hjemmeside, der spørger om man vil installere et program, eksempelvis for at se noget indhold eller få adgang til en interessant video. Klikker man ”ja” og installerer programmet, så kan computeren være hacket. Det samme kan ske hvis man bliver overtalt til at indtaste en ondsindet kommando i Windows Kør-funktion. Derudover anvendes der i dag en hel del makroangreb via office-dokumenter. Det vil sige at man får tilsendt eksempelvis et Word eller Excel-dokument, som man overtales til at åbne. Dokumentet vil bede om at aktivere nogle indlejrede makroer (se billedet her). Gør man det, kan computeren være hacket. Det er næsten kun fantasien der sætter grænser for, hvordan folk kan narres via social engineering… hvis de da er godtroende nok.
Men alt dette kan man sikre sig effektivt imod ved, at tænke sig om når man bruger computeren, og at være det som i moderne tale omtales som ”paranoid”. Allerede der falder langt de fleste angreb via social engineering til jorden (og faktisk stoppes de fleste af dem også af anti-execution programmer, som beskrevet i næste punkt).
Dertil hjælper det også at have forstand på IT-sikkerhed og hacking, men man behøver normalt ikke at være ekspert. Hvis blot man tænker sikkerhedsbevidst, samt overholder de mest grundlæggende regler for IT-sikkerhed, så er man kommet rigtig langt.

2. Eksekverbar fil
Næsten alle malware- og hacking-angreb udføres via mindst én eksekverbar fil. Det vil sige en ondsindet fil (malware) som hackeren får ind på computeren, og får til at starte (eksekvere). Først når filen er startet, kan den udføre sine ondsindede handlinger på computeren. Hvis man kan stoppe angrebet før filen kan starte, så når den ikke at udføre noget som helst, og man har dermed effektivt stoppet angrebet.
Dette er hvad flere typer af HIPS gør. Om det er en .exe .scr .vbs .wsf eller en anden type eksekverbar fil spiller ingen rolle. Enhver ukendt fil som forsøger at starte, vil forårsage en pop-up som brugeren skal tage stilling til. Kun hvis man accepterer det, starter filen. Langt størstedelen af alle hacking-angreb (inklusiv de fleste via social engineering) kan stoppes effektivt på denne måde.
De såkaldt traditionelle HIPS har ofte denne funktion, men typisk har de også en række andre funktioner, som gør dem relativt komplekse at konfigurere og anvende korrekt. Et simplere valg er en anti-executable, som fokuserer specifikt på at kontrollere, hvilke filer der får lov at starte/eksekvere på computeren. Vi anbefaler i skrivende stund gratis-programmet VoodooShield.

3. Fil-løst angreb
Dette er en speciel angrebs-metode, som sjældent anvendes af almindeligt malware (note: siden denne blog blev skrevet er metoden blevet mere udbredt). Som navnet antyder, kan angrebet gennemføres uden at eksekvere en ny fil på offerets computer. I stedet får man den ondsindede kode til at blive udført af en allerede eksisterende process på offerets computer, og selv et anti-execution program som VoodooShield kan dermed ikke altid stoppe angrebet. For en nærmere beskrivelse af fil-løst malware kan denne, denne og denne artikel anbefales.
Men alligevel er der håb! For at kunne manipulere en process på offerets computer til, at køre den ondsindede kode, kræver det enten social engineering eller udnyttelse af en sårbarhed.
Det mest oplagte fil-løse angreb med social engineering er i form af et office-dokument med en indlejret makro. Vil man beskytte sig imod det, så kan man dog bare lade være med at køre makroer og andet ”aktivt indhold” i office dokumenter. Men dette er allerede beskrevet ovenfor, så lad os fokusere på angrebet som kræver udnyttelse af en sårbarhed. Dette kræver selvsagt at der rent faktisk findes en sårbarhed som hackeren kan udnytte. Den sårbarhed skal desuden være i et program, som hackeren har mulighed for at påvirke. Det kan være i ens browser, email-program, PDF-læser, unzip-program, eller andre programmer som bruges til, at behandle data der er modtaget udefra. Mest typisk er udnyttelse af sårbarheder i browser-plugins såsom Java, Adobe Flash Player og Microsoft Silverlight.
Men her er et tip: Du har næppe brug for nogen af dem! Afinstallere alle plugins i din browser, så er du sikret imod at sårbarheder i dem bliver udnyttet af hackere og malware på nettet (også beskrevet her). Hvis du derudover slår HTML fra i dit email program (som vi længe har anbefalet) og slår JavaScript fra i din PDF-læser (eller bruger vores anbefalede Sumatra PDF som slet ikke anvender JavaScript), så har du også øget sikkerheden på disse områder. Vores anbefalede OSArmor kan også stoppe de mest almindelige typer filløse angreb, og det samme kan VoodooShield.
Nu har du reduceret din attack surface i en sådan grad, at en hacker er tvunget til at gå efter, at udnytte sårbarheder direkte i de nævnte programmer. Hvis du holder disse programmer opdateret (først og fremmest din browser), sådan som helt grundlæggende IT-sikkerhed i årevis har foreskrevet, så er du allerede godt sikret. Og hvis du dertil anvender et anti-exploitation program (se mulighederne her) til, at sikre imod udnyttelse af sårbarheder, og hvis du eventuelt installerer NoScript i din browser, og generelt bare er forsigtig med hvilke hjemmesider du besøger og hvilke dokumenter du åbner, så har du gjort livet virkelig vanskeligt for eventuelle målrettede hackere/APT-trusler. Og vil du gå endnu længere, så er det også muligt at hærde sine programmer yderligere via et traditionelt HIPS, sandboxe udvalgte programmer, eller benytte virtualisering af styresystemet, omend alt dette ligger udenfor pensum af vores nuværende vejledninger. En effektiv behavior blocker giver også et ekstra lag af beskyttelse. Og naturligvis bør man bruge en VPN, som ud over de mange andre fordele en VPN giver, også kan øge beskyttelsen imod angreb som Quantum Insert (særligt kombineret med at surfe anonymt).

I de senere år er der kommet meget fokus på APT-truslerne indenfor erhvervslivet, og der er også jævnligt lækket detaljerede beskrivelser af, hvordan undertrykkende regimer rundt omkring i verden, hacker afvigende borgere og systemkritikere. Mange folk indenfor IT-sikkerhedskredse kender som nævnt meget lidt til HIPS, og de fleste ved ikke hvordan man sikrer en PC imod sådanne angreb. Mange af dem er af den opfattelse, at det er helt umuligt at sikre sig imod en APT/målrettet hacker. Dette er formodentlig sandt i forhold til at beskytte en hel virksomhed. Og hvis man er et højt prioriteret mål for NSA, eller andre efterretningstjenester med tilsvarende kontrol over internettet, så er det bestemt også udfordrende. Men man behøver ikke at give op, for selv i disse avancerede angreb er hackingmetoderne grundlæggende de samme, og falder ind under de 3 nævnte kategorier. Og som det netop er beskrevet, kan man sikre sig overraskende effektivt imod alle 3 kategorier af angreb.