Hus och attackvektorn

I onsdags var familjen på möte med banken för att skriva under några papper gällande framtida huset i Åkersberga. Ett orosmoln är att företaget vi skriver kontrakt med nu ej kunde garantera tillträde i slutet av jan 2016 – utan att de skulle ”försöka”.

Nåväl, oavsett hur detta påverkar oss med tillökning i familjen i  början av januari så är det ett i-landsproblem. Vi har ett boende hos svärmor, och det kommer inte att gå någon nöd på oss.

I arbetsväg så har jag kommit en lång bit med ett stort projekt som legat i pipen sedan jag åter var på plats efter pappaledigheten. Release för detta stora projekt är planerad efter nästa vecka – och det kommer i sin tur att äntligen innebära att jag får möjlighet att grotta ner mig i lastbalansering och spegling av både filer samt databas. En utmaning blir att möjliggöra spegling av OS konfiguration – allt beror på vad vår externa partner kan erbjuda då det i detta fall handlar om en VPS tjänst.

Privat så har det blivit en del studier gällande Kali Linux 2.0, jag gick igenom en del av ramverken och fastnade specifikt på metasploit sektionen som just nu är av störst intresse. Tragiskt nog visade det sig även att SMS spoofingen är borttagen från Kali Linux 2.0, och det krävs att man antingen nedgraderar SEO – toolkit alternativt kör en virtuell image på backtrack för att få tillgång till denna tjänst.

Tillbaka till metasploit – jag kommer aldrig diskutera en nuvarande eller gammal arbetsgivares säkerhetsaspekter eftersom det både är en säkerhetsrisk i sig samt dåligt omdöme från min sida. Men jag har uppmärksammat att just metasploit och email-spoofing är något som de flesta företag dagligen utsätts för. Detta kan jag konstatera och prata om eftersom alla seriösa företag har rutiner och säkerhet på plats för att stävja detta. De som ej har det är minst sagt skyldiga sina egna kunder att förvalta och hantera deras information på ett säkert sätt med best practices som minimal requirements.

Nyligen så publicerade SweClockers en väldigt bra artikel som bryter ned allt väldigt high-level för en bra översikt. Artikeln kan läsas här.

Efter att ha läst på om metasploit och på vilka sätt som en payload kan skickas till måldatorn läste jag flertalet bloggar och artiklar om hur både antivirus samt en korrekt konfigurerad brandvägg med loggning kan ge både skydd samt heads-up när något väl inträffar. Men enligt artikeln från SweClockers som får stöd av andra källor är det enbart ca 40% av hoten som virusprogrammen stoppar.

Ett vanligt förekommande scenario är att metasploit mha social enginering tar sig in på en måldator -> exempelvis skickas en PDF fil från en spoofad email adress som har någon form av koppling till måldatorn eller dess företag (exempelvis från samma maildomän eller en extern samarbetspartner). Innehållet i PDF filen innehåller de instruktioner som krävs för att etablera en anslutning till måldatorn (via reverse connection) som i sin tur levererar en payload. Denna payload kan vara allt från en key-logger, remote-desktop mjukvara etc beroende på vad syftet är med attacken.

Men hur exakt är det virusprogrammen stoppar ett PDF dokument innehållandes den skadliga koden? Jo – det är precis som med ett vanligt virus. Virusprogrammet flaggar en fil eller ett dokument som skadligt  baserat på dess signatur. Finns signaturen i virusprogrammets databas kommer filen eller dokumentet med all säkerhet att blockeras, finns signaturen ej så kommer dokumentet ha större chans att komma igenom. Som artikeln nämner är ett första steg att skydda sig: uppdatera ditt antivirus kontinuerligt 

Orsaken till varför bara 40% av hoten stoppas är en kombination mellan att nya exploits skapas (signaturen finns ej ännu i virusdatabasen) eller att signaturen ändrats mha encoding -> msfencode

Det är faktiskt så enkelt som att i metasploit ramverket i Kali Linux välja vilken encoding Du vill använda för din exploit. Vi encodar alltså om vår exploit (utan att förstöra dess funktionalitet) och ändrar således signaturen. Det finns en rad populära encoders som används flitigt och ovan kan ni läsa mer via länken msfencode.

Men i slutändan så är det inte så enkelt som att bara förbjuda PDF attachments i sitt företag då många externa partners levererar viktig information på detta sätt -> exempelvis fakturor och avtal.

Ett alternativ för att lösa interna behov vore att kräva digital signering på alla email, och enbart tillåta PDF attachments från dessa typer av avsändare internt via exempelvis exchange mail-server rules. Då har man ett verktyg mot just email spoofing som fokuserar på social enginering där en anställd ombeds öppna ett dokument som ser ut att komma från en kollega eller liknande. Att även blockera länkar som går direkt till externa resurser (ex PDF dokument) vore passande -> öppnas ett PDF dokument direkt i webbläsaren så är det upp till måldatorns antivirusprogram att blockera eller tillåta dokumentet.

Att kräva digital certifiering från externa partners är naturligtvis ej rimligt.