Malware på Amazons Web Services er brugernes egen skyld

For dårlig forståelse af brugen af Amazons tjenester betyder at kunderne selv åbner op for angreb mener sikkerhedsekspert.

30. juli 2014 Lars Bennetzen Nyheder, Sikkerhed, Tophistorier

I denne uge er det blevet konstateret, at en sårbarhed i den distribuerede søgemaskinesoftware, ElasticSearch, er blevet brugt til at installere DDoS-malware på Amazones kunder: http://it.slashdot.org/story/14/07/28/1444241/attackers-install-ddos-bots-on-amazon-cloud?utm_source=rss1.0mainlinkanon&utm_medium=feed

Men i virkeligheden er det brugernes egen fejl, det mener Russ Spitler, VP of Product Strategy hos AlienVault i hvert fald.

“Dette er rigtig interessant, ikke mindst fordi der mangler en meget vigtig detalje. ElasticSearch er en backend tjeneste, ækvivalent til en database som MySQL eller Oracle, så det rigtige spørgsmål er i virkeligheden – hvad pokker laver disse ting på internettet?” spørger Russ Spitler. 

Det er brugernes egen fejl

Han mener, at det peger på en basal mangel i brugernes forståelse af Amazon Web Services (AWS) sikkerhedskontrol.

“Det er en basal opgave en låse disse servere og begrænse adgangen til deres tjenester. AWS har gjort dette langt lettere end i traditionelle datacentre. Faktisk er det nødvendigt for brugerne eksplicit selv at åbne op for tjenesten, så den bliver tilgængelig fra det almindelige internet, som det var i denne sårbarhed,” fortæller Russ Spitler.

Så fornuftig brug af EC2 sikkerhedsgrupper ville, ifølge Russ Spitler, totalt eliminere dette problem.

“Desværre er brugerne i disse dage stadig ved at ‘komme op i hastighed’. Vi har for nyligt konstateret, at mere end 18.000 MySQL-databaser var offentligt tilgængelig – brugerne sikrer ikke deres tjenester ordentligt, og de er dovne, når det kommer til at lære om de muligheder, som AWS stiller til rådighed,” mener Russ Spitler.

De cyberkriminelle er dog langt fra dovne, og de opdager denne sløvhed. Russ Spitler mener ikke, at det er sidste gang, vi kommer til at se malwarekampagner, der retter sig mod tjenester der kører på AWS, og som ikke har noget at gøre på internettet.

“Uanset hvad brugerne gør for at opgradere ElasticSearch installationen, så få den dog af internettet. Selv når den er fuldt opgraderet svarer det til at lade din pengepung ligge på trappetrinet foran din hoveddør. Jo, der er da en chance for at der ikke kommer nogen og opdager den, men hvorfor tage den chance? Dit datalager har ikke nogen grund til at stå åben for hele verden,” slutter Russ Spitler.

About Lars Bennetzen 3961 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.

Relaterede Artikler

Nyheder

Ransomware er en pengemaskine for kriminelle

9. juli 2019 Lars Bennetzen Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
Cyberkriminelles foretrukne angrebsmetode i dag er såkaldte ransomware-angreb. Ransomware rammer både virksomheder, institutioner og privatpersoner, men hvad er ransomware? Hvordan undgår man at blive ramt? Og hvad gør man, hvis uheldet er ude? Bogdan Botezatu er ekspert i digitale trusler hos IT-sikkerhedsvirksomheden Bitdefender, og han forklarer om ransomware: “Ransomware er en ondsindet software, som man typisk får ind på computeren ved at klikke på et link i en fup-mail. Derfra bliver computerens data låst, indtil løsepenge er betalt, og desværre ser vi, at mange virksomheder og privatpersoner ikke ser anden udvej end at betale. Derfor er ransomware en rigtig god forretning.” Bogdan Botezatu forklarer, at det ikke er svært at komme i gang med at bruge ransomware. Basale ransomware-angreb kan sættes i gang af børn. Hvis man kommer ind på nettets mørke afkroge og kriminelle handelspladser, så kan man købe en ransomware-service, som er nem at sætte op og komme i gang med. Det er ofte svært for politiet at fange bagmændene. Derfor er metoden meget populær: Ransomware er let at bruge, det er svært at blive fanget, og man kan tjene styrtende med penge. Tal fra Bitdefender viser, at cyberkriminelle tjener i omegnen af 5 milliarder kroner om året alene på ransomware-angreb. En IT-kriminel tjener i gennemsnit 1.500 kroner for hver krone, vedkommende har investeret i ransomware. “Vi har set angreb, som på få måneder indbringer hundredvis af millioner kroner, og gerningsmændene forsvinder fra radaren, så snart pengene er tjekket ind. Det er svært for politiet at gøre noget …. (læs mere her)
Nyheder

Falske COVID-19-testresultater og -vaccinecertifikater til salg på det mørke internet

23. marts 2021 Lars Bennetzen Nyheder, Nyhedsbrev, Tophistorier
Check Point Research, der er en del af Check Point Software Technologies, har opdaget, at cyberkriminelle i høj grad tilbyder falske COVID-19-testresultater og -vaccinationscertifikater på det mørke internet, der også er kendt som dark web. Hermed kan personer, der har købt et falsk certifikat påstå, at de enten er testet negativ eller er blevet vaccineret mod COVID-19. Udover muligheden for falske certifikater, er det, som Check Point tidligere har afsløret, også muligt at bestille en vaccine på det mørke internet. Det er i dag både muligt at købe vacciner fra bl.a. AstraZeneca, Johnson & Johnson og den russiske Sputnik V-vaccine. Priserne på vaccinerne er steget, så de billigste nu koster 500 dollars per dosis, og antallet af annoncer fra de cyberkriminelle er ligeledes steget med 300 pct. over de seneste tre måneder. Det er dog værd at bemærke, at der ikke er nogen garanti for, at man modtager et legitimt produkt, hvis man overhovedet modtager noget. I takt med at samfundet åbner mere op, vil der i nogle tilfælde være krav om enten et bevis på, at man er vaccineret eller kan fremvise et negativt COVID-19-testresultat. Det udnytter de cyberkriminelle ved at forsøge at tjene penge på de folk, der har brug for sådan en dokumentation. Men udover at man aldrig kan være sikker på at modtage det, man betaler for, når man handler med cyberkriminelle, så er det også dokumentfalsk, hvilket er ulovligt. Desuden ved vi, at de cyberkriminelle er mest interesseret i at få fat i personlige informationer, …. (læs mere her)
Business

Undgå ’business email compromise’ angreb

26. maj 2020 Lars Bennetzen Business, Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
Business email compromise (BEC) er en type angreb, hvor hackere bruger hackede emailkonti til at kompromittere organisationer for at få adgang til at svindle dem for store summer. En succesrig emailsvindel involverer normalt, at hackere overvåger medarbejderes mailkorrespondance over længere tid, hvilket gør dem klar til på et tidspunkt at “overtage” konti hos særlige medarbejdere, hvorefter de udgiver sig for samarbejdspartnere og får medarbejderne til at udbetale store summer til deres egne kontonumre. Denne type angreb forårsagede et tab for den norske investeringsfond Norfund på omkring 10 millioner dollars, jvfr. oplysninger fra fonden. Liviu Arsene, sikkerhedsekspert fra Bitdefender, kommer med følgende råd, som kan hjælpe finansielle institutioner med at undgå at blive ofre for denne type kriminalitet: Ikke bare skal man være meget nøjeregnende med altid at følge “best practice” inden for IT-sikkerhed, men også sikre interne procedurer, der kan forhindre sådanne transaktioner. For eksempel kunne en standard procedure være, at medarbejdere altid bekræfter mailforespørgsler om pengeoverførsler via andre kommunikationskanaler, som fx telefon eller videomøde. Telefonisk bekræftelse bør kun kunne finde sted via allerede kendte telefonnumre og ikke via numre, der er oplyst per mail, da disse også kan tilhøre hackerne. De fleste BEC (Business Email Compromise) scams kan stoppes, hvis medarbejderne har en fast og ufravigelig procedure til at gennemtjekke pengeoverførsler. Måske ser data rigtige ud, men kontonummeret er et andet. Der bør finde et dobbelttjek sted for alle former for pengeoverførsler. Der bør være to separate autoriteter, der skal godkende hver enkelt transaktion. Helst i helt forskellige afdelinger …. (læs mere her)