TSOC-blogg

Phishing mot Telenors e-post-kunder

2011-11-18T09:02:00.001+01:00

I løpet av de siste dagene har flere brukere av online.no mottatt phishing-e-poster. Et eksempel på en slik e-post er vist under:

E-posten informerer tilsynelatende om at tjenesten har fått nye temaer/layout, og oppfordrer brukeren til å følge lenken for å logge inn. Ved kun å se på teksten, ser det hele greit ut. Det var også opprinnelig en Telenor-logo i e-posten. Dersom en sjekker lenken, ser en imidlertid raskt at denne fører til en web-server i Peru. Web-siden så slik ut:

Denne er helt identisk til login-siden til epost.telenor.no, bortsett fra at bokstavene Æ, Ø og Å mangler. Siden er laget ved å kopiere hele web-siden til Telenor. Bildene blir også lastet fra Telenors egen web-server. Phishing-svindelen er i dette tilfellet forholdsvis godt utformet, og det er kanskje ikke så rart at en del lar seg lure til å gi fra seg påloggingsinformasjon.

Denne typen phishing e-poster blir gjerne sendt ut til tusenvis av brukere av tjenesten i løpet av kort tid. Én av disse brukerne syntes både e-posten og web-siden så mistenkelig ut og sendte den til Norsis, Norsk senter for informasjonssikring. E-posten ble deretter raskt sendt videre til TSOC.

En analytiker hos TSOC undersøkte web-serveren som serverte phishing-siden. Det ble raskt oppdaget at innhentede brukernavn og passord ble lagret til en tekstfil som var offentlig tilgjengelig fra web-serveren:

Det viste seg at svindlerne hadde lagret nesten hundre brukernavn og passord i løpet av 15. og 16. november. Web-serveren inneholdt også en phishing-side som rettet seg mot brukere av en Malaysisk bank.

TSOC sendte nå all informasjonen videre til Telenors interne abuse-avdeling. Disse begynte jobben med å få tatt ned phishing-siden, samtidig som listen over involverte brukere ble sendt til kundeservice. Der jobber det tre ansatte med spesialkompetanse rundt disse sakene. Disse finner mobilnummeret til kunden og sender ut nye autogenererte passord per SMS. Det blir også generert en e-post med mer informasjon til kunden om hva som har skjedd som kunden lese etter å ha logget inn med sitt nye passord.

Abuse-avdelingen kontaktet i mellomtiden en ekstern samarbeidspartner som spesialiserer seg på å ta ned svindelsider. Det ble nå automatisk sendt ut e-poster og faks til ISPen som ble benyttet, og firmaet som kontrollerte web-serveren (hosting-leverandøren). Firmaet bak web-tjeneren slettet fort den aktuelle phishing-siden, men svindlerne lastet dem opp på nytt. Like etter ble siden tatt ned for godt. Fra saken ble meldt inn til siden gikk ned, gikk det litt over en time. I dagene framover vil et automatisk overvåkingsverktøy sjekke om siden på nytt skulle komme opp, og i så fall sende ut varsel på nytt.

Dersom dette phishing-forsøket hadde vært vellykket, ville e-post-kontoene mest sannsynlig ha blitt brukt til å sende ut store mengder spam og forskjellige typer svindel e-post. Kanskje ville svindlerne også prøvd å logge seg inn på andre tjenester ved å benytte seg av e-post-adressen og passordet til brukerne. Mange benytter seg av samme passord på flere tjenester.

Denne gangen ble heldigvis angrepet oppdaget før noen rakk å utnytte den innsamlede informasjonen. Men svindlerne forsøker seg stadig med nye angrep.

Til slutt tar vi med noen råd for å unngå å bli lurt av denne typen svindel:

Ikke følg lenker i e-poster ved å trykke på dem. Gå heller direkte til siden du vil oppsøke, enten ved å skrive inn adressen i nettleseren eller ved å følge et bokmerke du allerede har lagret.
Dersom du må følge en lenke, hold markøren over lenken for å se hvor den faktisk fører før du klikker. Ofte kan teksten i en e-post inneholde en annen adresse enn den web-siden lenken faktisk tar deg til.
Sjekk alltid at adressen i adressefeltet i nettleseren stemmer med den tjenesten du vil logge inn på. F.eks: "epost.telenor.no[...]".
Dersom tjenesten du skal logge inn på benytter seg av kryptering (HTTPS), sjekk at siden du får opp faktisk er kryptert før du skriver inn brukernavn og passord. Dette kan du som oftest se i nettleseren ved at det står "HTTPS:" foran adressen.

Husk også å bruke forskjellig passord på forskjellige tjenester. Dersom noen skal klare å lure til seg passordet ditt, vil de da ikke ha mulighet for å logge seg inn på flere tjenester med ditt brukernavn.

Angrep mot web-servere, SQL Injection og gjenbruk av passord

2011-06-30T15:38:00.000+02:00

De siste ukene har det vært mange angrep mot web-servere der informasjon fra bakenforliggende databaser har blitt lastet ned og siden blitt publisert på nettet. Dette har ført til at flere store firmaer har mistet intern informasjon og også informasjon om sine brukere, som brukernavn, passord og kredittkortinformasjon.

Vi ser en trend av angrep, blant annet mot mot firmaer som Sony, Fox og PBS. Angriperne kommer seg gjerne inn i systemene ved hjelp av svakheter i web-serverne, først og fremst SQL-injection, eller ved å logge seg inn med brukernavn og passord som de har stjålet fra innbrudd mot andre tjenester.

I Norge ble det i dag meldt om at web-sidene til Statoil i Norge, Sverige og Finland også har blitt utsatt for uønsket aktivitet: http://www.statoilfuelretail.com/en/newsandmedia/news/Pages/HuginPressRelease_1527060.aspx. Dette viser at norske selskaper heller ikke slipper unne den uønskede aktiviteten.

Noen som utgir seg for å være angriperen postet den 23. juni informasjon fra Statoils interne SQL-server på følgende adresse: http://pastebin.com/aniYpbUj.

Beskytt deg

Hva kan en så gjøre for å beskytte seg mot denne typen angrep? DHS, CWE og SANS i USA slapp for få dager siden dette årets utgave av "Top 25 Most Dangerous Software Errors". Alle som har ansvaret for en web-server som "almenheten" har tilgang til bør sjekke denne opp mot de vanligste feilene fra listen over. Koden til web-serveren bør gjennomgås og en praktisk test mot systemer bør også gjennomføres for å se om sikkerheten er på riktig nivå. Det er viktig at utvikling av kode blir gjort med hensyn på sikkerhet: http://www.cert.org/secure-coding/

Når det gjelder direkte angrep mot web-serverne er det særlig metoden "SQL-Injection" som benyttes. Denne svakheten ligger også på toppen av listen over svakheter nevnt over. Når en web-server skal presentere en web-side til en sluttbruker, hentes gjerne dataene til siden fra en database-server som ikke sluttbrukeren har direkte tilgang til. Det er web-serveren som sørger for bare å servere de dataene som brukeren faktisk skal ha. Ved å "injisere" SQL-kode i web-forespørslene, kan en angriper noen ganger få direkte tilgang til den bakenforliggende database-serveren. For å unngå denne typen angrep er det viktig å filtrere bort alle spesialtegn og SQL-kode fra forespørslene som kommer inn fra sluttbrukernes web-browsere.

Sett sikre passord

Et annet punkt på listen det ofte syndes mot, og som kan få store konsekvenser dersom uhellet først er ute, er punkt nr 8 og 25, manglende eller dårlig beskyttelse av brukernes passord. Brukernes passord bør aldri lagres i klartekst og beskyttes av gode hash-funksjoner med salt (ekstra tilfeldige data i tillegg til selve passordet).

Den siste tids hendelser med storslipp av brukernavn og passord setter også fokus på at mange brukere benytter det samme passordet på mange forskjellige tjenester. Lekkasje av brukernavn og passord fra én uviktig tjeneste, kan dermed føre til at angriperne får tilgang til viktigere tjenester som for eksempel PayPal, e-post eller bedriftens web-publiserings-system.

Vi foreslår at alle før ferien setter seg ned og lager lange og unike passord for de tjenestene på Internett som betyr mest for dem. Ha en sikker sommer!

Måling av SQL-injection-angrep

2011-04-04T11:01:00.004+02:00

På fredag skrev vi i vårt nyhetsbrev om et nytt SQL-injection-angrep, Lizamoon, som viste seg å være veldig effektivt. Hundretusener av web-sider er infisert av scriptet, som sender brukeren videre til sider hvor det blir servert falsk anti-virus.

Nå har vi fulgt saken gjennom helgen, men det har ikke skjedd noe nytt. Antallet infiserte sider virker stabilt.

Derimot har det blitt diskutert hvordan en kan måle størrelsen eller effektiviteten av slike angrep. Mange, inklusive oss selv, har brukt Google for å søke opp sider som inneholder den strengen angrepet legger inn i websidene, som et verktøy for å måle størrelsen. Men Panayiotis Mavrommatis mener i sin blogg at dette ikke er veldig nøyaktig. Niels Provos spinner videre på dette, samt foreslår en bedre metode for måling. Han mener at en bør se på antall domener som har infiserte sider, ikke telle antall sider. Samtidig sammenligner han det pågående Lizamoon-angrepet med tidligere kjente SQL-injection-angrep.

Hva gjør at noen bedrifter har færre sikkerhetshendelser enn andre?

2011-03-24T14:08:00.000+01:00

I slutten av 2010 lagde vi i Telenor SOC en liste over våre ”sikreste kunder”. Listen inneholdt kunder som hadde få registrerte sikkerhetshendelser i forhold til antall brukere av nettverket.

I dag er det slik at de fleste brudd på sikkerheten i en bedrift oppstår på klient-PCer. Brukere blir ofte lurt til å hente ned malware eller PCen blir infisert av malware som web-browseren blir sendt til, uten at brukeren er klar over at noe unormalt skjer.

Vi satt til slutt igjen med ti kunder som skilte seg spesielt positivt ut når det gjaldt sikkerheten. Det ble laget et kort spørreskjema som ble sendt ut til disse kundene. Til slutt satt vi igjen med svar fra seks av kundene. Disse svarene vil bli oppsummert under.

Vi er klar over at seks kunder ikke er noe bredt grunnlag, men dette er uansett seks større norske bedrifter/institusjoner som det viser seg at har sikrere nettverk enn andre. Det er derfor nyttig å vite hvilke sikringstiltak disse har gjennomført.

Brannmur og filtrering mot Internett

Den første delen av undersøkelsen dreide seg om brannmuren og hvordan denne og andre nettverksenheter filtrerer trafikken som kommer inn fra Internett. Alle kundene hadde så klart en brannmur med pakkefilter ut mot Internet. Det varierer imidlertid hvilke andre filtreringsteknolgier som er i bruk:

5 av 6 spurte har URL-filtrering der malware, lenker sendt ut via spam og andre høyrisiko-kategorier blir blokkert. Vi kan legge til at alle kundene tillot bruk av sosiale medier som Facebook og Twitter.
3 av 6 kjører virus-filtrering av filer som blir lastet ned fra Internett.
Alle kjører filtrering av spam e-poster.
Ingen av bedriftene bruker IPS (Intrusion Prevention System)-teknologi.

Sikkerhet på klienter

Den neste delen av undersøkelsen tok for seg sikkerheten på klientene i bedriften. Det er selvfølgelig viktig for en bedrift å ha fokus på sikkerheten også på tjenerne. Et innbrudd i en tjener kan ofte føre til større konsekvenser enn tilfeldig malware i en klient.

Tre av seks bedrifter benytter seg av tynnklient-teknologi som Microsoft Terminal Services eller Citrix XenDesktop.
Alle kundene har sterke begrensninger i hva slags programvare brukere har lov til eller har mulighet til å installere på sine klienter.
Én bedrift benyttet kun tynne klienter for vanlige brukere, mens resten primært kjører forskjellige versjoner av Windows, hovedsaklig Windows XP.
Herding av klienter var gjort i noe grad hos fire av respondentene. Et eksempel på dette kan være å hindre vanlige brukere tilgang til regedit.
Hovedsaklig ble Internet Explorer 7 og 8 brukt til web-surfing.
Alle kundene bruker systemer for automatisk utrulling av patcher på klienter og tjenere. Produktene som brukes er Windows WSUS (Windows Server Update Services) , SMS (Systems Management Server) og Novell Zenworks.
Fem av seks respondenter lar ikke vanlige brukere ha administrator-tilgang på sin egen PC. Dette betyr for eksempel at brukerne ikke fritt kan installere ny programvare eller endre på systemparametere.
Alle bedriftene har avansert anti-virus-løsninger på klienten. Eksempler på løsninger er Symantec/Norman Endpoint Protection og Microsoft Forefront Client Security.
Kun én av respondentene har begrensninger når det gjelder bruk av USB-baserte minnepinner.
Fire av respondentene tillater kun standardiserte klient-maskiner i nettverket.

Opplæring av brukere og policy

Fire av seks bedrifter hadde opplæringsprogrammer i sikkerhet for nyansatte. Hos flere av disse måtte også de ansatte skrive under på at sikkerhetspolicy skulle følges. Hos én av bedriftene var det noe bevisstgjøring rundt sikkerhet, mens én ikke hadde noe formelt opplegg.

Det var også fire av bedriftene som hadde en sikkerhetspolicy som var i aktiv bruk.

Hva mener kundene selv er viktigst?

Vi spurte også de sikkerhetsansvarlige hos hver enkelt kunde om hva de selv trodde var den bakenforliggende årsaken til at de hadde færre hendelser enn andre kunder. Svarene kan oppsummeres som følger:

”Anti-virus og end point-protection på klienter stopper mye. Ellers er URL-filtrering mot Internett av spam-linker og malware også effektiv. IDS-sensoren er veldig god til å finne maskiner som allikevel måtte være infiserte og andre problemer i nettet.”
”Det viktigste er en god sikkerhetspolicy og oppmerksomhet rundt denne. Denne ansvarliggjør brukerne for sikkerheten og får dem til å opptre varsomt. Ellers er det URL-filteret som stopper de fleste angrepene.”
”Det viktigste er manglende administrator-tilgang på vanlige brukeres maskiner. Dette gjør at vi kan ha kontroll på patchenivå, malware virker ofte ikke og brukerne får ikke installert alt mulig rart på maskinene.”
”Alle sikkerhetstiltakene virker sammen. Det er vanskelig å trekke ut enkelttiltak.”
”Utvilsomt at vanlige brukere ikke har administratorrettigheter. Sentralisert utrulling av patcher, driftsavdeling med sterk sikkerhetsfokus og IDS er også viktig.”
”Det viktigste er at vanlige brukere ikke har administrator-rettigheter på egen maskin. Mange brukere benytter seg av tynne Citrix-klienter. Vi er også svært raske til å fange opp eventuelle infiserte maskiner ved hjelp av Telenors IDS-tjeneste og får disse ut av nettverket.”

Oppsummering

Vi mener at alle norske bedrifter bør se nøye gjennom sikringstiltakene som disse bedriftene har gjennomført og se på hvilke viktige tiltak en selv måtte mangle. Vår tidligere erfaring innenfor sikkerhet er sterkt sammenfallende med svarene fra denne undersøkelsen. Oppsummert bør en ha følgende tiltak på plass:

En levende sikkerhetspolicy som alle ansatte må sette seg inn i og leve etter.
Filtrering av innkommende web-trafikk som stopper lenker til malware og andre høyrisikosider.
Spam-filtrering av e-post som også fjerner phishing-angrep o.l.
Virus-scanning av innkommende trafikk fra nettet, f.eks. web-trafikk, e-post, FTP-overføringer osv.
Benytt om mulig tynne klienter.
Ha kontroll med hva som er installert på hver enkelt datamaskin og rull ut patcher sentralt.
Ikke la vanlige brukere ha administrator-tilgang til maskiner.
Installer anti-virus-programvare på både klient-maskiner og tjenere.
Ha gjerne et IDS-system for å oppdage maskiner som allikevel skulle bli infisert eller som blir infisert utenfor nettet og satt inn i bedriften.

Mange norske bedrifter har i dag problemer med infiserte klient-maskiner. Dette kan f.eks. føre til driftsforstyrrelser og tyveri av personlige- og bedriftsdata. Ved å gjennomføre tiltakene over vil en sterkt begrense denne trenden. Tiltakene vil også hjelpe godt mot mer målrettede angrep for å hente informasjon ut av bedriften, noe som blir mer og mer vanlig.

Hvordan betale for programvare som er gratis

2011-01-25T12:56:00.000+01:00

På nettet er det mengder med gratis programvare som kan lastes ned og benyttes av hvem som helst. Et populært eksempel på dette er Flash Player laget av Adobe. Programmet brukes blant annet til å vise nettannonser, spill og annet interaktivt innhold på nettsider.

Dersom en vil hente ned dette programmet til sin PC vil det være logisk å gå til Google eller Bing og gjøre et søk. Det enkleste og mest naturlige å søke etter vil antakeligvis være "download flash". Et slikt søk gir i dag følgende resultat (trykk på bildene for større utgave):

I skjermbildene over er det reelle resultatet markert med grønn firkant, mens et mindre bra resultat er markert med rødt.. De rødmerkede resultatene er begge betalte annonser, men både hos Google og Bing er det vanskelig å skille disse fra de reelle søkeresultatene. Dette gjelder i særlig grad for Bings resultat.

Dersom en er uheldig og trykker på et av de røde resultatene, blir en sendt til en av følgende sider:

Begge sidene er norskspråklige, selv om forfatteren neppe hadde vunnet en rettskrivingskonkurranse. Begge sidene inneholder også en lenke til å laste ned "Flash-player". I begge tilfeller er det imidlertid følgende fil som blir hentet ned:

Dette er ikke egentlig en installasjons-fil til Flash-player, men en fil som er laget for å presse deg for penger for deretter å hente ned den reelle installasjonsfilen. Dersom en starter filen, får en opp følgende skjermbilde:

For å få tilgang til den ekte installasjonsfilen (som forøvrig kan hentes gratis her..) må en altså sende en melding til telefonnummeret 2098 som generer 2 SMSer til 15 kroner/stk. Dette kortnummeret er eid av Echovox som holder til i Sveits. Et kjapt nettsøk avslører at dette firmaet allerede har en del misfornøyde kunder.. Vi har ikke prøvd å sende meldingen, men vi blir ikke overrasket dersom det også fører til at brukeren blir meldt inn i en eller annen abonnements-tjeneste..

Dersom en prøver å skrive inn en kode i programmet vil den bli sendt inn til en sentral tjener for verifisering:

GET /sms/isvalid.php?code=2353&country=no&pr=FlashPlayer&af=flashplayer2010-no.info&num=2 HTTP/1.1
User-Agent: NSIS_Inetc (Mozilla)
Host: verify.smsstatus.com

Denne tjeneren står hos en større leverandør av hosting-løsninger i Frankrike, OVH SAS.

Såvidt vi kan se har programmet ingen annen funksjonalitet utover det vi viser over. Det er med andre ord ikke snakk om klassisk malware/skadevare, men heller en "lett utpresning" for å få brukeren til å betale penger for noe som kan lastes ned gratis.

Bakmennene har imidlertid gjort en stor jobb med å tilpasse dette systemet til forskjellige markeder med oversetting av sidene, avtale med lokale betalingsformidlere og målrettet annonsering hos større nettsider. De tilbyr også andre gratis programmer for nedlasting mot betaling som Google Earth, NOD32, Windows Live Messenger osv.

Denne saken minner en på at en må være forsiktig også med sponsede søkeresultater. Ofte kan også disse være lureri, selv om en kanskje skulle tro at store aktører som Google og Microsoft (Bing) ville sjekke annonsene sine bedre for lureri og svindel.

Vær alltid svært skeptisk til å gi fra deg kredittkortinformasjon og mobiltelefonnummer på nett, spesielt til ukjente kilder som dette. Forsøk å gå direkte til leverandørers sider, dersom du vet adressen, i stedet for å søke hos Google eller Bing.

Ny malware sprer seg på Facebook i dag

2011-01-19T12:45:00.002+01:00

Vi ser i dag spredning av en ny type malware på Facebook. Malwaren sprer seg ved å sende meldinger til andre venner som er pålogget via Facebooks chat-system. Et eksempel på en melding er:

Foto :D hxxp://apps.facebook.c om/braiphotes/photo.php?=P1012447.JPG

Meldingen gir seg ut for å være en lenke til et bilde, men sender deg i virkeligheten videre til en Facebook-applikasjon:

Applikasjonen prøver å lure deg til å trykke på "View Photo". Dersom brukeren trykker på knappen, vil en Windows .exe-fil (programfil) bli lastet ned til maskinen. Nettleseren vil i de fleste tilfeller gi en advarsel om at filen kan være skadelig før den blir kjørt.

Filen som blir lastet ned oppnår følgende dekning på Virus Total:

10 av 43 anti-virus-løsninger gjenkjenner altså filen som malware.

I stedet for å vise et bilde, vil applikasjonen åpne en ny nettleser med en side fra Myspace:

Malwaren kobler også opp maskinen mot et IRC-basert botnet, slik at angriperne får full kontroll over maskinen og kan gi den forskjellige kommandoer.

Etter kort tid vil også følgende melding dukke opp i nettleseren:

Personene bak svindelen tjener altså penger ved å få brukerne de lurer til å fylle ut "undersøkelses-skjemaer". Dette er en svært populær måte å tjene penger på for tiden. Disse "undersøkelsene" ender ofte opp med at en må skrive inn mobilnummeret sitt på slutten for å ha muligheten til å "vinne en premie". Dette vil føre til at brukeren blir påmeldt en dyr SMS-tjeneste.

Facebook-applikasjonen som spredte malwaren har nå blitt tatt ned av Facebook, men en må regne med at svindlerne stadig lager nye versjoner av applikasjonen og fortsetter å spre malwaren.

Husk å være skeptisk til linker mottatt på Facebok, også via chat-funksjonen. Spør gjerne avsenderen om det virkelig var vedkommende som sendte linken. Last i alle fall ikke ned .exe-filer og kjør disse på maskinen.

Microsoft patchetirsdag

2011-01-11T23:36:00.003+01:00

Microsoft har i kveld sluppet to oppdateringer som dekker forskjellige sårbarheter i Microsoft-produkter. Det er enda ikke sluppet oppdateringer for to andre alvorlige sårbarheter, som beskrevet i de to siste avsnittene under.

Vulnerability in Windows Backup Manager Could Allow Remote Code Execution (MS11-001)

Oppdateringen dekker en svakhet i Windows Backup Manager for Windows Vista. Ingen andre versjoner av Windows er sårbare. For å utnytte denne svakheten, må brukeren lures til å hente ned og åpne en spesielt utformet Windows Backup Catalog (.wbcat)-fil. Detaljer rundt svakheten har allerede kommet ut, og utnyttelse av den i nær framtid vil derfor være sannsynlig.

Vulnerabilities in Microsoft Data Access Components Could Allow Remote Code Execution (MS11-002)

Denne oppdateringen dekker to svakheter i Microsoft Data Access Component. Begge sårbarhetene kan føre til kjøring av vilkårlig kode, med samme rettigheter som innlogget bruker. En angriper kan utnytte sårbarhetene ved å lure en bruker til å besøke spesielt utformede nettsider. Oppdateringen regnes som kritisk for Windows XP, Vista og 7 og viktig for server-versjoner av Windows (Windows 2003, 2008, 2008 R2). Det er enda ikke sluppet detaljer eller exploit-kode for disse to sårbarhetene, men Microsoft regner dem som relativt enkle å utnytte.

Se forøvrig dagens nyhetsbrev for mer detaljer rundt disse oppdateringene.

De to oppdateringene over utbedrer ikke to alvorlige tidligere publiserte svakheter i Windows, som befinner seg i Internet Explorer (se nyhetsbrev 22.12.10 og 01.05.11). For mer informasjon angående sårbarheter som fortsatt ikke er patchet, se Microsoft SRD blog. Teknisk Ukeblad har også skrevet en artikkel om disse svakhetene.

Det er utgitt Metasploit-moduler for begge disse sårbarhetene. Dette gjør det svært enkelt å utnytte dem, også for folk uten særlig kompetanse innenfor datasikkerhet. Microsoft har ikke sluppet informasjon om når disse sårbarhetene vil bli utbedret.

Facebook-malware sprer falsk anti-virus

2010-11-09T14:26:00.001+01:00

I dag ser vi stor spredning av malware via Facebook i Norge. Infiserte brukere spammer ut private Facebook-meldinger til alle sine kontakter.

Emnet er: "Hello".
Teksten i meldingen er: "I got you a surprise [forskjellige blogger].blogspot.com" (eller varianter rundt dette..)

Ved trykk på linken til bloggen på blogspot.com, vil en med en gang bli videresendt til en tjeneste som ser ut til å drive med deling av bilder. I virkeligheten dreier dette seg om en falsk side satt opp av kriminelle.

Siden ser akkurat nå ut som følger:

Dette er altså en lenke direkte til en .exe-fil. Dessverre viser det seg at mange brukere blir lurt av dette. Nysgjerrigheten tar nok overhånd etter å ha fått den "mystiske" meldingen fra en bekjent på Facebook.

Etter å ha lastet ned og kjørt trojaneren "photo.exe", vil følgende ting skje:

1. Filen "swnd_fdlshgheroiarhnd.exe" blir hentet ned fra adressen 109.196.14_3.134. Dette er et klassisk tilfelle av falsk anti-virus:

2. Filen "outlook.exe" blir hentet ned fra 109.196.14_3.134. Denne komponenten sørger antakeligvis for å spamme ut beskjeder til alle dine Facebook-kontakter for å prøve å spre malwaren videre.

Komponentene over kan også ha annen funksjonalitet i tillegg til den vi har oppdaget.

Vi har sett andre varianter av denne malwaren tidligere, men denne gangen har den oppnådd spesielt stor spredning i Norge. De forskjellige filene og nettadressene for spredning blir stadig endret for å unngå deteksjon fra anti-virus.

Vær veldig skeptisk til lenker mottatt på Facebook. Spesielt dersom de sender deg til eksterne sider. Ikke hent ned eller start .exe-filer.

Nytt målrettet angrep med Nobel-tema via e-post

2010-11-09T09:52:00.002+01:00

Det er avdekket et nytt målrettet angrep som har Nobels Fredspris som tema. E-posten er utformet slik at det ser ut som at den kommer fra "Oslo Freedom Forum" og inneholder en PDF-fil med en falsk invitasjon til utdelingen av Nobels Fredspris.

PDF-filen inneholder også en exploit som tar kontroll over maskinen den blir kjørt på. Det er uvisst hvilken utgave av Adobe Acrobat Reader exploiten er skrevet for.

Denne saken ble først oppdaget av Contagio Malware Dump. F-Secure har skrevet mer utfyllende om saken på sin blogg.

nobelpeaceprize.org kompromittering avdekket nytt hull i Firefox

2010-10-27T09:59:00.025+02:00

I gårsdagens bloggpost kunne TSOC avsløre at hjemmesiden til nobelpeaceprize.org hadde blitt kompromittert, og ble benyttet til å spre malware til besøkende. Samtidig meldte vi i vårt daglige nyhetsbrev at TSOC hadde avdekket et nytt og ukjent sikkerhetshull i Mozilla Firefox. Det som med hensikt ikke gikk klart frem, var at disse to sakene var relaterte; nobelpeaceprize.org videresendte besøkende til en ondsinnet server i Taiwan vha. en skjult iframe. Besøkende fikk deretter servert javascript som utnyttet en hittil ukjent svakhet i Firefox.

Koblingen mellom kompromitteringen av nobelpeaceprize.org og Firefox 0-day exploiten ble bevisst unlatt offentliggjort av oss for å minimere risiko for spredning av 0-day exploiten.

TSOC har jobbet med denne saken siden mandag ettermiddag, og analyser av det ondsinnede javascriptet førte til at vi i løpet av natt til tirsdag ble klar over at det dreide seg om et nytt og ukjent sikkerhetshull i Firefox. Svakheten ble da meldt inn til Mozilla.

Det finnes foreløpig ingen patch for svakheten, og vi anbefaler derfor å benytte en alternativ nettleser inntil videre. Eventuelt kan man benytte NoScript, en Firefox-plugin som i praksis deaktiverer Javascript. Mozilla jobber fortsatt med å utbedre svakheten.

nobelpeaceprize.org kompromittert

2010-10-26T09:55:00.001+02:00

Nettstedet nobelpeaceprize.org har blitt kompromittert og benyttet til å spre ondsinnet programvare til besøkende.

Vellykket utnyttelse av svakheten fører til at en bakdør, scvhost.txt, blir lastet ned og eksekvert. Til forskjell fra typisk malware som rapporterer tilbake til C&C over HTTP oppretter denne trojaneren en bakdør ved hjelp av et cmd.exe-shell som kobles tilbake til angriperen.

Bakdøren kopierer seg selv til c:\windows\temp\symantec.exe, legger seg inn i Windows Registry som 'Microsoft Windows Update' og forsøker deretter å koble opp bakdøren mot l-3com.dyndns-work.com (eller l-3com.dyndns.tv som nr. 2), på port 443/tcp.

l-3com.dyndns-work.com 60   IN A  140.113.40.206
l-3com.dyndns.tv       60   IN A  140.113.40.206

AS      | IP               | CC | AS Name
9916    | 140.113.40.206   | TW | NCTU-TW National Chiao Tung University

Observert aktivitet over denne bakdøren har vært sporadisk, og med innslag av skrivefeil er det mye som tyder på at den videre infeksjonen ikke er automatisert.

Den pågåtte aktiviteten har vært innsamling av informasjon rundt kjørende prosesser, ip-adresser og brukere på systemet.

scvhost.txt har svært dårlig antivirus-deteksjon; ingen av de 41 antivirus-produktene hos VirusTotal reagerte på trojaneren.

Det anbefales å sjekke brannmurlogger for tilkoblinger mot 140.113.40.206 port 443/tcp, da dette er en god indikasjon på vellykket infisering. Trafikk mot samme IP, men kun på port 80/tcp, er en indikasjon på at klient-PC'er kun har blitt forsøkt utnyttet.

Bokhandel med ekstratjenester

2010-10-22T10:56:00.001+02:00

De datakriminelle bruker etter hvert mange forskjellige triks for å lure vanlige brukere til å installere malware. I dag avdekket vi et nytt opplegg: en hel bokhandel satt opp kun for å lure brukere til å hente ned malware, kamuflert som nedlastbare bøker.

Lenker til bokhandelen (hxxp://worid-of- books.com) er injisert i tusenvis av vanlige web-sider ved hjelp av teknikker som SQL-injection og innhøsting av brukernavn/passord til web-tjenere. Dette fører til at Google, og andre søkesider, viser treff fra denne siden høyere oppe i søkeresultatene sine. Den letteste måten å komme inn på "bokhandelen" på er derfor sannsynligvis via Google e.l.

Søk på denne forfatteren (og mange andre!) med "download" etter gir altså link til malware som andre treff hos Google. Hvis en trykker på linken får en opp en tilsynelatende seriøs side med informasjon om en bok:

Hvis du trykker på download-knappen blir du servert en fil av typen "bokas_navn.pdf.exe". Windows gjemmer vanligvis filtypen for sluttbrukeren, så filen vil se slik ut etter å ha blitt lastet ned:

Normalt vil brukere få en advarsel av web-browseren når filen blir lastet ned om at filen kan være farlig. Hvis en dobbeltklikker på filen i Windows for å starte den, vil en også få en advarsel om at filen kommer fra en ukjent kilde. Hvis en svarer ja på disse advarslene, skjer det først ingenting. Men etter få sekunder dukker følgende bilde opp:

Hele bokhandelen er altså satt opp for å lure vanlige brukere til å laste ned falsk anti-virus. Denne varianten av falsk anti-virus er ganske plagsom, og det dukker stadig vekk opp advarsler og vinduer for eksempel av denne typen:

Vi testet denne varianten av falsk anti-virus mot Virus Total. Den har, som ventet, svært lav deteksjon. Kun 6 av 43 anti-virus-leverandører flagger filen som mistenkelig. Dette er typisk for falsk anti-virus, som stadig kommer i nye versjoner.

Dersom en prøver å hente ned flere "bøker" fra bokhandelen blir en møtt med følgende feilmelding:

Dette er antakeligvis gjort for å gjøre det vanskeligere å undersøke hva som faktisk foregår her. Eller kanskje synes bakmennene at bøkene er så billige at det får holde med én per kunde..

Av denne saken kan vi lære følgende:

Ikke stol blindt på søkeresultater fra Google og lignende, selv om resultatene kommer langt opp på listen og ser tilforlatelige ut. De kriminelle blir stadig flinkere til å komme høyt opp i resultatene ved hjelp av såkalt SEO (Search Engine Optimization). Hvis du ser etter en bok eller forfatter er det kanskje best å gå direkte til en kjent bokhandel på nettet.
Dersom noe er for godt til å være sant, så er det gjerne det. Bøker som en tilsynelatende kan hente ned gratis fra nettet burde få alarmbjellene til å ringe. Følg også nøye med på hva filnavnet slutter på og sjekk at filen er av forventet type. I dette tilfellet ble det servert en ".exe"-fil der en hadde forventet en ".pdf"-fil. Dersom en leser advarselen fra Windows før en starter filen vil en også kunne se at det er noe galt her.

Sommertips for mobil sikkerhet

2010-07-01T15:14:00.001+02:00

Sommerferien nærmer seg og mobiltelefonen vil gjerne bli brukt enda flittigere enn vanlig. Vi vil derfor poste en liten oversikt over det mobile trusselbildet i dag, samt hvordan en beskytter seg, fordelt på de mest aktuelle plattformene.

Det finnes enda svært lite malware til mobiltelefoner som sprer seg fra telefon til telefon eller som kan infisere mobiltelefonen ved besøk på websider, ved å lese MMS og lignende. Når en telefon blir infisert, skyldes det nesten uten unntak at brukeren selv har installert denne programvaren.

iPhone fra Apple
En iPhone kan kun installere programvare fra Apples egen App Store. Applikasjoner her er gjennomgått av medarbeidere fra Apple, men det er tvilsomt om malware gjemt i en ellers legitim applikasjon vil bli oppdaget. Phishing-applikasjoner vil ganske sikkert bli stoppet. Nøyaktig hvordan prosessen foregår er ukjent, men det har har vært få eller ingen tilfeller med malware på App Store. Dersom malware skulle snike seg inn, har også Apple muligheten til å fjernslette applikasjoner fra telefonene.

Det meldes stadig om svakheter i iOS og spesielt i nettleseren Safari. Kode for å utnytte slike svakheter har også blitt utviklet og prøvd, men har heldigvis hittil kun blitt brukt i kontrollerte miljøer. Foreløpig kan du altså være trygg i Safari og andre applikasjoner. Applikasjonene kjører også i egne ”sandkasser” som hindrer dem i å kommunisere direkte med hverandre.

Android fra Google
En Android-telefon kan fra produsenten kun installere programmer fra Android Market. Dette er imidlertid en innstilling som kan skrus av, slik at programmer kan installeres fra tilfeldige Internett-adresser. Vi anbefaler å kun installere applikasjoner fra Market. Android har ikke en like avansert godkjenningsprosess som Apple har for sin iPhone, men det har hittil vært meldt om få eller ingen tilfeller av malware på Android Market. Det kan imidlertid lønne seg å holde seg til de mest populære og seriøse applikasjonene som har fått god kritikk. Ikke installer helt ferske applikasjoner som få enda har testet.

Når en skal installere en applikasjon får en også opp en oversikt over hvilke funksjoner og data i telefonen applikasjonen vil ha tilgang til. Dette kan være noe vanskelig å forholde seg til, men kan gi en pekepinn om hva applikasjonen kan foreta seg på telefonen. Applikasjoner skal gå i sin egen ”sandkasse”, og en svakhet i én applikasjon skal dermed ikke kunne gå ut over andre funksjoner i mobilen. Også for Android meldes det stadig om svakheter i forskjellige deler av operativsystemet, uten at noe av dette har blitt utnyttet i stor grad enda.

Google har, i likhet med Apple, muligheten til å slette applikasjoner både i selve markedet og ved fjernsletting ute på hver enkelt mobil. Dersom malware skulle bli oppdaget, bør det derfor bli fjernet relativt raskt, så lenge applikasjonen er installert via det offisielle markedet.

Symbian fra Nokia
På Symbian har det inntill nylig vært vanlig å installere applikasjoner direkte fra sidene til utviklerne, eller å hente ned applikasjonene på en PC, og deretter overføre applikasjonen til telefonen. I fjor kom imidlertid Ovi Store for Nokia-telefoner. Vi anbefaler at applikasjoner installeres fra denne offisielle butikken. Nokia har også et system med kryptografisk signering av applikasjoner, men det er relativt enkelt å skaffe en slik signatur.

På Symbian-plattformen har det vært flere tilfeller av malware. Det har for eksempel forekommet malware som har spredd seg selv som en orm. Ved installering på en telefon spammer den ut linker til nedlasting av seg selv via SMS spredd til hele kontaktlisten til den infiserte brukeren. Det har også vært flere tilfeller av rene trojanere til plattformen. Flere av disse har sendt SMS-meldinger til dyre numre i utlandet. De fleste problemer unngås lett ved ikke å installere programvare fra ukjente kilder.

Sikkerheten i selve operativsystemet er god og det er lenge siden det har blitt meldt om store svakheter. Applikasjoner kan ikke fjernslettes av Nokia, men signaturen som er brukt til å signere applikasjoner kan svartelistes. De fleste telefoner er dessverre ikke konfigurert til å sjekke denne svartelisten ved installering av applikasjoner. Det tryggeste er derfor nok en gang å holde seg til den offisielle butikken for programvare, i dette tilfellet Ovi Store.

Windows Mobile (v6.x) fra Microsoft
På denne plattformen har det også, på lik linje med Symbian, også vært vanlig å installere applikasjoner direkte fra utviklernes sider eller via en PC. Sent i fjor kom imidlertid Windows Marketplace for Mobile, som er en offisiell applikasjonsbutikk fra Microsoft for platformen.

Windows Mobile er den plattformen som har vært mest plaget av trojanere. I år har for eksempel noen pakket sammen en trojaner og et legitimt spill. Den ferdige pakken ble spredt via flere kjente sider for nedlasting av applikasjoner til Windows Mobile. Malwaren ringte opp et dyrt utenlandsk nummer, uten at brukeren av applikasjonen kunne merke noe.

Applikasjoner som skal publiseres på Marketplace for Mobile må gå gjennom en godkjenningsprosedyre hos Microsoft. Det er også muligheter for å fjernslette applikasjoner, dersom malware skulle klare å snike seg gjennom godkjenningsprosessen.

Det er ikke meldt om store svakheter i Windows Mobile i det siste, og det er også lenge siden svakheter har blitt utnyttet.

Felles for alle platformer
Det farligste uansett mobilplattform er fortsatt å miste mobilen sin. Dette kan være ekstra alvorlig dersom mobilen er satt opp til å synkronisere e-posten mot jobben. For å beskytte seg mot dette er det fornuftig at mobilen spør om en PIN-kode hver gang den skal brukes/låses opp, selv om dette kan være irriterende i lengden. Dette vil hindre de fleste fra å få tak i informasjonen. Angripere kan imidlertid få tilgang til dataene på minnekortet i mobilen, dersom ikke dette er kryptert. Det gjelder derfor å ta godt vare på telefonen og eventuelt kryptere minnekortet, dersom mobilen inneholder data som ikke bør komme på avveie. Det kan også være fornuftig å bruke programvare for å kunne spore eller fjernslette mobilen, dersom den skulle komme på avveie.

Dersom du bruker Bluetooth, sett telefonen til ”Non discoverable” for å minimere sjansen for utnyttelse av svakheter.

Unngå WLAN-soner som er åpne eller som bruker den svært svake WEP-krypteringen. Uvedkommende kan lett snappe opp informasjon som brukernavn og passord til forskjellige tjenester ved å lytte på den ukrypterte trafikken.

Oppsummering
I fremtiden vil det sikkert dukke opp exploits også til mobiltelefoner som kan føre til automatisk installering av malware ved å besøke web-sider, spille av filmer og lignende. Dette skjer jo til stadighet på Windows-plattformen på vanlige PCer. Hittill er dette heldigvis et problem som er lite eller ikke-eksisterende på mobiltelefoner.

Det viktigste for alle plattformene er å kun installere programvare fra leverandørens offisielle butikk for distribusjon av programvare. Både leverandøren av mobiltelefonen og tusenvis av andre brukere har da gjerne testet den aktuelle applikasjonen før du som bruker henter den ned. Det er også viktig å ikke miste mobilen, dersom den ikke er beskyttet av passord og kryptering. Hvis du først skal miste den, er det sikkerhetsmessig best å miste den fra en båt eller brygge og ned i saltvann. ;)

Daglige nyhetsbrev i blogg-format

2010-06-18T12:37:00.002+02:00

TSOC har lenge hatt en tjeneste der vi sender ut et nyhetsbrev til et stort antall mottakere hver virkedag. En ukentlig oppsummering av disse nyhetene har blitt publisert på denne bloggen hver mandag.

Vi har nå opprettet en ny blogg der vi vil publisere nyhetsbrevene daglig samtidig som de blir sendt ut som e-post.

Adressen til den nye bloggen er: http://telenorsoc-news.blogspot.com/

Du vil også kunne følge lenker til de siste nyhetsbrevene i en egen boks på høyre side av bloggen du nå leser.

Vi håper at mange vil lese vår nye blogg med daglige oppdateringer fra sikkerhetsbransjen!

Den kommende IPv6-protokollen og sikkerhet

2010-04-14T14:27:00.001+02:00

Litt historie
Dagens Internett er basert på protokollen IPv4, som ble ble definert i 1981. Denne vedtatte måten å kommunisere over Internett på har vist seg å være en stor suksess. Den gamle standarden har imidlertid problemer med at antall tilgjengelige adresser er i ferd med å bli brukt opp. Dette er et økende problem da fler og fler "dingser" etter hvert kobles opp mot nettet. Eksempler på dette er mobiltelefoner, utstyr for automatisk måleravlesning, tv-spill og elektroniske leker, osv. IPv4 mangler også en standardisert måte å gjøre sikker kryptert kommunikasjon på.

IPv6 ble definert i 1998 og bruker 128 bits til å lagre adressen til en enhet i nettet. Dette vil si at protokollen i praksis har "uendelig" antall adresser til rådighet. Krypteringstandarden IPSec er også en del av protokollen, slik at kryptering av trafikk kan gjøres på en standardisert måte.

Kilde: Cisco

Dagens status
Overgangen fra IPv4 til IPv6 har tatt lengre tid enn de fleste hadde regnet med. Dette skyldes hovedsaklig bruk av NAT (Network Address Translation) som har gjort at det relativt begrensede adresseområdet i IPv4 har holdt lengre enn forventet. Ved hjelp av denne metoden kan tusenvis av datamaskiner gjemmes bak én enkelt IPv4-adresse. I IPv6 brukes ikke NAT, da det uansett er nok av adresser.

I dag er under én prosent av Internett-trafikken basert på IPv6. Men trafikken som går over den nye protokollen har vist sterk økning siden 2008. Mange ISPer begynner etter hvert å få støtte for protokollen. P2P-fildelingsprogrammet µTorrent støtter nå også IPv6 og er ansvarlig for en god del av økningen i trafikken. Dette er det mest populære programmet for fildeling ved hjelp av BitTorrent-protokollen.

Kilde: Arbor Networks

Samtidig støtte for begge protokoller
I dag støtter alle de vanligste operativsystemene IPv6 sammen med IPv4. Dette gjelder for eksempel Windows Vista, Windows 7, Mac OSX og de fleste Linux-distribusjoner. Støtten implementeres ved hjelp av en såkalt "dual stack". Forenklet betyr dette at operativsystemene støtter både IPv4 og IPv6 samtidig. Som oftest er det IPv6 som blir prioritert. Operativsystemet vil med andre ord først forsøke å få en IPv6-adresse. Dersom dette ikke lykkes, vil systemet forsøke å bruke IPv4. Operativsystemene er satt opp på denne måten for å gjøre overgangen til den nye Internett-protokollen så sømløs som mulig den dagen nettverket maskinen står på begynner å støtte IPv6.

Sikkerhetsmessig betraktning: På grunn av at IPv6 er førsteprioritet er det viktig å sørge for at IPv6-adresser ikke blir delt ut av enheter i nettet før den nye protokollen faktisk skal implementeres. Sørg derfor for å skru av støtte for IPv6 før det skal brukes. Pass på at DHCP-tjenere i nettet ikke deler ut IPv6-adresser.

Tunnelering av trafikk
I overgangen fra den gamle til den nye protokollen benyttes det ulike måter å tunnelere IPv6-trafikk over IPv4-protokollen på (6to4, Teredo osv). Dette kan føre til at det oppstår "skyggenettverk" i bedriften der maskiner internt i nettverket har kontakt ut mot andre IPv6-maskiner uten at noen har kontroll på trafikken. Disse maskinene kan omgå policy og også sikkerhetsmekanismer som brannmurer, IPS, anti-virus, URL-filtrering osv. Dersom ting er satt opp feil, kan den interne maskinen i værste fall også rute trafikk fra utsiden av nettverket og inn bak bedriftens brannmur.

Sikkerhetsmessig betraktning: Det er derfor viktig å blokkere all IPv6-trafikk til en er klar for å bruke den. Dette må gjøres i begge retninger på bedriftens Internett-brannmur. Både faktisk og tunnellert IPv6-trafikk bør blokkeres. Enda en grunn til å blokkere dette er at malware om kort tid kan komme til å ta i bruk IPv6 til å kommunisere med, siden filtrering og deteksjon av denne typen trafikk er svært mangelfull.

De to vanligste måtene å tunnelere IPv6-trafikk over IPv4 er "6in4" og "Teredo". Den førstnevnte pakker ned IPv6-pakkene i IPv4-pakker med protokollnummer 41. For å blokkere denne typen kommunikasjon holder det å blokkere IP-protokoll 41 i routere og brannmurer. For å blokkere Teredo-trafikk holder det normalt å blokkere port 3544/UDP i utgående retning.

Ny kode for nettverksoperasjoner
I forbindelse med at nettverksutstyr og operativsystemer har fått støtte for IPv6, har det også blitt utviklet helt ny nettverkskode (network stack). I begynnelsen må en regne med at det vil bli oppdaget en del svakheter i denne nye koden, akkurat som det gjennom årene har blitt gjort i IPv4. Et eksempel på dette er Microsoft Security Bulletin MS10-009. Denne omtaler en svakhet i Microsofts implementering av IPv6 som gjør det mulig for en angriper og få kjørt vilkårlig kode. Svakheter på dette nivået i operativsystemet kan ofte føre til stor skade. Det gjelder derfor å følge godt med på nye svakheter i forbindelse med utrulling av IPv6.

Punkter å tenke på ved framtidig implementering
Når en først bestemmer seg for å begynne og implementere IPv6 er det mange ting å tenke på. Her er noen punkter å starte med:

Fordeling av adresser. Tidligere ble kanskje adresser hardkodet på maskiner. I IPv6 må all utdeling av adresser gjøres automatisk, siden adressene er så lange at det er vanskelig for mennesker å forholde seg til dem.
Støtter sikkerhetsutstyret i nettet IPv6? Selv om det virker som om støtten er der kan det være enkelte funksjoner som fortsatt ikke støttes.
En må i en periode muligens operere med både IPv4 og IPv6 samtidig. Dette fører til merarbeid og større muligheter for feil. Policy må implementeres på begge nettene samtidig.
Begrenset kunnskap om IPv6 hos medarbeidere. En kjernegruppe bør få økt kompetanse rundt området.
IPv6-adressene vil som oftest ikke bli NATet. Dette betyr at alle interne maskiner kan adresseres direkte fra Internett. Dette gjør det viktig å sette opp brannmuren riktig for og beskytte interne ressurser mot tilgang fra utsiden.

Oppsummering
Utbredelsen av IPv6 er økende og ser ut til å begynne å nå en kritisk masse som vil gjøre at bruken akselererer ytterligere.

Bedrifter bør derfor begynne å tenke på IPv6. Først og fremst bør en sørge for at den nye protokollen er sperret for å unngå overraskelser i nær fremtid og beholde kontrollen over hva slags trafikk som går inn og ut av bedriftens nettverk. Deretter kan en begynne å planlegge når en vil implementere IPv6 og finne ut hva som må gjøres i nettet. Relevant personell må også sannsynligvis sette seg bedre inn i IPv6 og hvordan det hele fungerer.

Det er lurt å ta en gjennomgang av bedriftens utstyr og sjekke hva som er kompatibelt, tenke gjennom sikkerhetsaspekter og hvordan en skal dele ut adresser.

Norske bedrifter og Internet Explorer 6

2010-03-24T16:00:00.000+01:00

I den senere tid har ulike nettaviser ved flere anledninger slått opp at ansatte i flere store, norske bedrifter fremdeles benytter Internet Explorer 6 (IE 6). Samtidig har sikkerhetsaktører som bl.a. NorSIS på generelt grunnlag gått ut og advart mot å benytte den 9 år gamle nettleseren, som har en rekke sårbarheter og svakheter knyttet til seg. Årsakene til at IE6 fremdeles benyttes i en del norske bedrifter kan nok være mange og komplekse, men i hovedsak antar vi at den benyttes pga. kompatibilitet mot gamle og/eller egenutviklede applikasjoner. I det følgende vil vi se litt på utbredelsen av de ulike nettleserne i norske bedrifter, og sette dette i et sikkerhetsperspektiv.

Oversikten under viser fordelingen av de ulike nettleserne observert ifbm. webtrafikk hos et representativt utvalg av TSOC sine norske kunder. Dette er kunder som kjøper tjenesten sikkerhetsovervåking av Telenor, og datagrunnlaget for oversikten antas å være et tilnærmet gjennomsnitt av norske bedrifter.

Som oversikten viser, har Internet Explorer totalt sett en andel på over 85%. Sammenlikner man med nettleserstatistikken mot Finn.no for februar 2010, ser man at den totale IE-andelen der er 66,9%. Forskjellen forklares nok best med at privatbrukere av finn.no har vært langt flinkere til å ta i bruk alternative nettlesere enn bedrifter. Mer bekymringsfullt er det at omlag 26% av bedriftsbrukerne fremdeles benytter IE 6, en nettleser som i følge SecurityFocus skal ha hele 396 upatchede svakheter av varierende alvorlighetsgrad knyttet til seg. Skjeler man til Finn.no igjen, ser man at andelen IE 6 brukere her er nede i 5,6%. Også IE 7 og IE 8 har endel upatchede svakheter i seg, hhv. 15 og 31. Til sammenlikning har Firefox og Opera for øyeblikket ingen upatchede sårbarheter i seg. I sikkerhetsbransjen er det da også en generell oppfatning at Microsoft ofte benytter lengre tid enn konkurrentene på å tette nye svakheter som blir oppdaget/publisert.

Det skal også nevnes at Internet Explorer var hovedangrepsvektor i det som sikkerhetsbransjen har døpt Operasjon Aurora, der flere store, internasjonale selskaper i perioden desember 2009 til februar 2010 ble utsatt for målrettede angrep fra Kina vha. en da ukjent sårbarhet i IE 6/7/8. Det har i ettertid kommet frem at Microsoft hadde kjent til svakheten siden september 2009, og planla å slippe en fiks i forbindelse med deres sikkerhetsoppdatering for februar 2010. Fiksen ble imidlertid gitt ut som en hasteoppdatering den 21. januar.

Tallene over viser at en rekke norske bedrifter idag løper en betydelig risiko for å bli kompromittert ved å benytte IE 6. Her bør det fokuseres på å oppgradere, eventuelt fase ut, gamle applikasjoner slik at man kan ta i bruk nyere versjoner av IE, og dermed redusere denne risikoen. Dette er imidlertid ofte både kostbart og tidkrevende å gjennomføre i praksis. Derfor kan en løsning der man tar i bruk en alternativ nettleser for ekstern bruk, og kun benytter IE 6 mot interne/proprietære applikasjoner, være en akseptabel løsning mens man er i denne prosessen.

Trojaner spres via MSN Messenger

2010-03-01T23:50:00.010+01:00

Det ble idag observert en orm som sprer seg via MSN Messenger ved å sende ut meldinger som skal lure mottakerene i kontaktlisten til å laste ned og eksekvere trojaneren.

Dersom trojaneren lastes ned og eksekveres vil den forsøke å koble til en IRC-server på buri.burimche.net, port 1234/tcp.

buri.burimche.net resolver i skrivende stund til 88.208.204.56, og denne serveren er fremdeles oppe. Tidligere idag resolvet domenet til 208.98.51.20, som nå er nede.


AS      | IP               | CC | AS Name
46844   | 208.98.51.20     | US | ST-BGP - SHARKTECH INTERNET SERVICES
15418   | 88.208.204.56    | GB | FASTHOSTS-INTERNET Fasthosts Internet Ltd. Gloucester, UK.

Meldingene som sendes via MSN fra infiserte brukere inneholder en link til hxxp://www.facebook-c.com/image.php?Photo023girl.JPG, som inneholder selve trojaneren. Det som også er verdt å merke seg er at meldingene er tilpasset språkoppsettet til den infiserte PC'en, slik at meldinger fra norske Windows-oppsett blir sendt på norsk. Eksempler på meldinger som sendes er:


seen this?? :D http://..
poglej to fotografijo :D http://..
titta på min bild :D http://..
uita-te la aceasta fotografie :D http://..
se på dette bildet :D http://..
ser på dette billede :D http://..
vejte se na mou fotku :D http://..
[...]

hxxp://www.facebook-c.com er hostet hos Yahoo, men vil etter all sannsynlighet bli tatt ned innen kort tid.


www.facebook-c.com.    1200    IN    CNAME    p11-pprr.geo.premiumservices.yahoo.com.
p11-pprr.geo.premiumservices.yahoo.com.    299 IN CNAME sbs-p11p.asbs.yahoodns.net.
sbs-p11p.asbs.yahoodns.net. 300    IN    A    98.136.50.138
sbs-p11p.asbs.yahoodns.net. 300    IN    A    69.147.83.187
sbs-p11p.asbs.yahoodns.net. 300    IN    A    69.147.83.188

Trojaneren er obfuskert med en packer skrevet i Visual Basic, mens selve bot-koden er skrevet i Visual C++. Funksjonaliteten er relativt enkel, men gir bakmennene full kontroll over PC'en:

Kommunikasjon med C&C over IRC-protokollen
Sending av meldinger via MSN Messenger og Yahoo Messenger
Nedlasting og eksekvering av vilkårlige filer

Trojaneren installerer seg under c:\windows\winmbu.exe (skjult med vanlige fil-attributer), legger seg inn i FirewallPolicy som autorisert applikasjon og sørger for automatisk start ved å legge seg inn under HKLM\[..]\Winlogon\Userinit.

Filen detekteres for øyeblikket av 13/41 antivirus-produkter (http://www.virustotal.com/analisis/89c677bc0044864d80244aee8201661e79f431f33c3b164aa778f363fe1cf9da-1267474859)

IE6 0-day og Windows rettighetseskalering

2010-01-25T13:45:00.005+01:00

De siste to ukene er det blitt rapportert 2 ulike svakheter i alle versjoner av Microsoft Windows som sammen vil kunne være en meget effektiv angrepsvektor.

Den første var Internet Explorer 0-day svakheten som vi først omtalte i vårt nyhetsbrev 15. januar. Velfungerende exploitkode for IE6 ble tilgjengelig i Metasploit-rammeverket allerede 15. januar, dagen etter at svakheten ble allment kjent. Det er til og med lagt ut en bloggpost med en steg for steg guide for hvordan denne kan brukes. Microsoft rapporterer at det skal finnes privat "proof-of-concept" exploitkode for denne svakheten som også fungerer mot Internet Explorer 7 og 8. Denne svakheten ble fikset i en ekstraordinær patch utgitt 22. januar (MS10-002).

Den siste svakheten er rettighetseskaleringssvakheten i Windows-kjernen som vi omtalte i vårt nyhetsbrev 21. januar. Mange bedrifter lar brukerne kjøre med begrensede rettigheter på systemene sine for å begrense mulighetene for innbrudd og også for å begrense hva en eventuell angriper kan foreta seg dersom et innbrudd skulle være vellykket. Til denne svakheten ble exploitkoden publisert samtidig som selve svakheten ble allment kjent. Noe tidspunkt for patch for denne er så langt ikke kjent.

IE-svakheten er i seg selv kritisk, men kombinert med rettighetseskaleringssvakheten vil det også være mulig å få full kontroll over maskiner der brukere kjører med begrensede rettigheter. Det kan for eksempel være terminalservere, klienter der brukere er satt opp med begrensede rettigheter osv. Rettighetseskaleringssvakheten vil selvfølgelig være like effektiv i kombinasjon med andre svakheter i andre klientapplikasjoner som f.eks Adobe Reader, Flash ol.

Med exploitkode for IE6 tilgjengelig via Metasploit, samt ferdig kompilert kode for rettighetseskaringssvakheten allment tilgjengelig, satte vi opp et testmiljø for å se om dette virkelig var så enkelt å få til å fungere som det kunne virke som.

Etter å ha fulgt steg for steg guiden var Metasploit satt opp til å servere IE6 exploitkoden via en webserver og etter at vår sårbare klient med Internet Explorer 6 hadde vært innom denne så vi følgende:

Exploitkoden fungerte som den skulle og så ut til å fungere stabilt. Vi hadde nå samme rettigheter på maskinen som brukeren som besøkte nettsiden med exploiten. Brukeren som var logget inn på maskinen, var satt opp med begrensede rettigheter, så neste steg var å se om vi kunne få tilegnet oss mer rettigheter på systemet. Etter å ha lastet ned og kjørt den ferdigkompilerte exploitkoden kunne vi observere følgende:

Vi har nå rettigheter som SYSTEM og har dermed full kontroll over maskinen. Den samme ferdigkompilerte exploitkoden ble testet på Windows Vista med samme resultat.

Ofte vil DEP kunne gjøre det mye vanskeligere å utnytte svakheter på systemet og vi vil anbefale å skru dette på der det er mulig. Vi har omtalt DEP i en tidligere bloggpost som er tilgjengelig her. Microsoft melder om at det skal finnes privat exploitkode for den omtalte IE-svakheten som også kan omgå DEP, men at dette ikke er observert brukt i reelle angrep. Til brukere som fortsatt bruker Internet Explorer 6, vil vi på det sterkeste anbefale å oppgradere til versjon 8.0.

Dette viser hvor enkelt det ofte er å utnytte disse sårbarhetene, spesielt når alt er lagt til rette. I tillegg finnes det flere ulike grupperinger som selger kommersielle exploitpakker som er enda enklere å bruke enn det som ble vist her. Disse blir ofte utviklet og vedlikeholdt av profesjonelle som har salg av slike pakker som sin inntektskilde.

Kilder:
Metasploit.com
Full Disclosure
Microsoft Security Bulletin MS10-002
Microsoft Security Research & Defense

Passordskifte i utide

2009-11-17T11:30:00.001+01:00

SANS Handler's Diary skrev for en tid tilbake en blogpost angående passordbytte, der vi i Telenor SOC er enig:

Veldig mange driftsorganisasjoner praktiserer en policy om at brukere må bytte passord flere ganger i året, typisk 4 ganger i året. Men hvorfor?

De vanlige måtene for å lure til seg et passord fra en bruker er enten å spørre etter det (phishing eller social engineering), bruteforce av forskjellige slag eller keylogging. Men hvilke av disse metodene blir mindre vellykket om man skifter passord ofte?

Ingen!

Har en bruker lagd et passord som er svakt, vil han mest sannsynlig lage et like svakt passord neste gang. Har derimot en bruker laget et godt passord, så vil han bli irritert over å måtte lage et like bra passord neste gang. Og da vil enten passordet blir en variant av forrige passord eller rett og slett et dårligere passord.

I tillegg blir det da lett for brukere å benytte seg av det samme passordet flere steder, noe som gjør det lettere for en angriper å få tak i passordet.

Hvorfor praktiserer så mange denne regelen angående passordbytte? Vel, den har hengt med fra tidenes morgen, da passord var et lite kort ord som lett kunne knekkes. Nå er derimot ikke dette tilfellet lengre, men regelen er her fortsatt. Én positiv ting med passordbytte er hvis noen allerede har fått tak i passordet ditt og har tilgang, så vil jo de stenges ute (for en viss tid i alle fall).

Spørsmålet er derimot om det er bedre med et godt og langt passord som er tilnærmet umulig å bryte, enn et passord som en angriper knekker og dermed får tilgang til systemer inntil brukeren må bytte passord igjen..

De to nye (del 2)

2009-11-03T13:01:00.008+01:00

Forrige uke skrev jeg første post angående forslag til to nye regler når det gjelder sikkerhet på datamaskiner. Sammen med de tre tidligere reglene var vi da opp i fire:

1. Beskytt PC'en din ved hjelp av en brannmur
2. Ha installert antivirus med oppdaterte definisjoner
3. Ha alltid oppdatert programvare
4. Stol ikke på noen

Her er del to og den femte regelen:

5. Gjør deg kjent med Windows Update, ditt antivirus-program og lignende.

Alle som kjører Microsoft Windows har Windows Update. De fleste har også et antivirus-program og kanskje også et eget program for å finne og fjerne malware. Men er du som bruker kjent med programmene og vet hvordan de ser ut og opererer?

Det er to ting en bør vite om slike viktige programmer og det første er hvordan de ser ut. For også her prøver de kriminelle på Internett å lure deg: De forsyner deg med vinduer som ligner på kjente AV-programmer og Windows Update, der man både varsler om oppdateringer eller angivelig malware som har blitt funnet. Og nettopp her er det veldig viktig at du som bruker med sikkerhet kan skille mellom det virkelig programmet du har installert og et vindu som ligner. Ofte vil angriperne vise et vindu som egentlig er lureri, der man håper på at du skal svare bekreftende. For gjør man det er det stor sannsynlighet for at angriperne tar kontroll over maskinen din.

Det andre poenget er å være klar over hvordan programmene oppdateres. Vi ser ofte at det spretter opp et vindu med melding om at et installert program eller Windows selv trenger en oppdatering. Men hvordan vet vi at det faktisk er programmet selv som kommer med denne meldingen? Da er det veldig greit å vite at man bare kan trykke meldingen bort og selv oppdatere programmet manuelt som et valg i det aktuelle programmet. Slik kan en med sikkerhet vite at man ikke gjør noe feil eller havner i klørne til de som prøver å utnytte deg.

Et annet nyttig poeng med denne metoden, er å oppdage om man alt har blitt infisert. Mange malware-programmer i dag klarer å forhindre at Windows Update og antivirus-oppdateringer fungerer. Hvis du prøver å kjøre oppdateringer manuelt og det ikke ser ut til å fungere gjentatte ganger, har du en god indikasjon på at du alt er infisert.

Det skal ikke så mye til for å være mer sikker på Internett, men det gjelder å være bevist, ha kontroll og stole på egne programmer.

De to nye (del 1)

2009-10-27T10:40:00.008+01:00

Når det gjelder sikkerhet på personlige datamaskiner, så har det "alltid" vært tre grunnleggende regler å følge:

1. Beskytt PC'en din ved hjelp av en brannmur
2. Ha installert antivirus med oppdaterte definisjoner
3. Ha alltid oppdatert programvare

Disse tre reglene er fortsatt veldig gjeldende og noe alle og enhver burde følge. Dersom en følger de tre reglene over, blir det vanskelig for angriperne å ta kontroll over PCen din. Men ting forandrer seg, "de onde" vet om disse tre reglene og har tilpasset seg dem; hvorfor angripe selve PCen, når de heller kan få deg til å gi dem kontroll, helt frivillig? Før prøvde de å angripe svakheter i PCen din, nå prøver de å lure deg! (Se Social engineering [Wikipedia]) Derfor vil jeg foreslå to nye regler for å beskytte deg og din PC, det være seg på jobb eller hjemme:

4. Stol ikke på noen
5. Gjør deg kjent med dine sikkerhets-programmer

Denne bloggposten tar for seg punkt 4, mens del 2 kommer om noen dager og tar for seg punkt 5.

4. Stol ikke på noen.
I dag bruker angriperne primært tre forskjellige metoder til å lure deg til frivillig å installere deres skadelige programmer. Metodene endrer seg hele tiden, derfor lønner det seg å følge med.

Den ene er rett og slett å fortelle en bruker at vedkommende har fått virus på PCen og tilby en gratis skanning av PCen. En slik beskjed kan dukke opp ved surfing på et helt vanlig nettsted. Brukeren vil hver gang få beskjed om en mengde virus som er installert, i tillegg til et godt tilbud på et antivirus-produkt. Da tenker mange at dette må selvfølgelig være bra! For det første fant programmet virus som ditt allerede eksisterende AV-program ikke fant. I tillegg koster det penger og det er jo ofte et tegn på kvalitet!

Og kvalitet er det! Programmet ser ut og oppfører seg som et helt vanlig antivirus-program. Det etterligner Windows i både form og farge, det har de riktige navnene og ikonene, og det har til og med sin egen oppdateringsmekanisme. Men hele programmet er bare juks og er egentlig en trojaner som nå har forbigått din brannmur, slått din eksisterende antivirus ut av spill og forhindrer at du får oppdatert programvare. I tillegg er det mange som faktisk har betalt for dette programmet, med et personlig eller firmaets kredittkort.

Vi omtalte slike programmer alt i 2008 og da programvaren Antivirus XP 2008:

Men selv om dette er over ett år siden, ser vi fortsatt en mengde klienter som har dette og tilsvarende programmer installert.

Den andre metoden for å spre ondsinnet kode er å fortelle deg at du må laste ned siste versjon av et program (gjerne Flash Player) for å spille av en morsom filmsnutt på en web-side.

Beskjeden dukker gjerne opp på sosiale nettverk som Facebook eller Twitter og kommer tilsynelatende fra en av dine kontakter. Denne metoden ble også beskrevet av oss i 2008, men er like aktuell i dag, og det er lett å sikre seg mot dette! Ber de deg laste ned siste versjon av Flash, gå vekk ifra siden og last ned siste versjon av Flash selv. Ber de deg fortsatt oppdatere Flash, eller ber deg laste ned et program eller codec du ikke har hørt om før, la være! Sjansen er alt for stor for at du lures i fella.

Den tredje metoden er å sende ut spam-e-poster med beskjed om å følge en lenke for å installere en oppgradering eller lignende til PCen. E-posten er gjerne forfalsket slik at den ser ut til å komme fra din systemadministrator eller Internett-leverandør. Installér aldri oppgraderinger etter å ha fulgt lenker i e-poster! Noen ganger ligger også filen som et vedlegg til e-posten. Husk å aldri installere programmer som blir mottatt i e-poster. Disse er nesten alltid skadelige. Gi heller ikke fra deg personlig informasjon, dersom en lenke i en e-post ber deg gjøre dette.

Generelt kan en ikke svare ukritisk ja på forespørsler som plutselig dukker opp på skjermen! Dersom du skal oppdatere Flash Player, andre programmer eller operativsystemet, lønner det seg å gå direkte til leverandørens web-sider og gjøre det selv. Ellers kan man ikke vite hva man installerer eller hvor det kommer fra. Installér kun kjente programmer fra kjente leverandører. Men gjelder dette din jobb-PC er det også viktig å følge bedriftens egne retningslinjer. I de fleste tilfeller vil driftsavdelingen både oppdatere og holde ved like programmer installert på din PC.

Uansett, vær kritisk, ikke la deg lure!

DEP – Data Execution Prevention

2009-10-13T11:59:00.004+02:00

Før helgen ble det meldt om en ny svakhet i Adobe Reader. Denne svakheten benytter seg av en buffer-overflow. Utnyttelse av mange av disse svakhetene, også denne, kan utbedres ved å skru på en lite kjent funksjon i Windows kalt DEP – Data Execution Prevention.

Hva er DEP og hvorfor bør det skrus på?
Exploits (kodesnutter som tar kontroll over systemet ved å utnytte sårbarheter) bygger ofte opp instruksjonene sine i et område av minnet som egentlig er avsatt for data. De får deretter "instruksjonspekeren” til å peke inn i dataområdet der instruksjonene er klargjort, slik at disse blir kjørt. DEP sørger for å terminere programmer som prøver å kjøre instruksjoner fra minneområder som er avsatt for data og ikke instruksjoner. Dette kan hindre utnyttelse av mange buffer-overflow svakheter.

Noen nye CPUer har hardware-støtte for DEP. Dersom CPUen i din maskin ikke har støtte for DEP, benytter Windows seg av en software-basert versjon av DEP som er noe mindre effektiv.

Hvordan skrur en på DEP?

Windows XP
Start – Control Panel – System – Advanced – velg ”Settings” under “performance” – velg fanen (tab’en) Data Execution Prevention – ”Turn on DEP for all programs and services except those I select” - OK
Windows Vista/7
Start - Control Panel – System and Security – System – Advanced System Settings - – velg ”Settings” under performance – velg fanen (tab’en) Data Execution Prevention – ”Turn on DEP for all programs and services except those I select” – OK

Endringen må utføres som en administrator på maskinen. Dersom du ikke er innlogget som en administrator, høyreklikk på ”System” fra listen over, velg ”Run as Administrator” og skriv inn passordet.

Kjør en omstart av maskinen etter å ha endret innstillingen.

Endringen kan også gjøres ved å kjøre følgende kommando som administrator i et kommandovindu:

bcdedit.exe /set {current} nx OptOut

Hva kan være negative konsekvenser av å skru på DEP?
Enkelte eldre spill og antivirus-programmer er laget på en måte som gjør at de blir stoppet av DEP.

Dersom du vet at du kan stole på programmet, og det fortsatt blir stoppet av DEP, kan du legge det til i en liste over unntak fra DEP-beskyttelsen

Hvordan skrur en på DEP for alle maskiner i nettverket?
Oppsettet av DEP styres gjennom en kommando i boot.ini. Denne kan endres på alle PCer i en bedrift slik at DEP er skrudd på som standard. Se følgende side hos Microsoft for mer informasjon.

Før en skrur på dette for mange maskiner på én gang anbefales det å kjøre test på et mindre antall standard-klienter for å se at alt fungerer som det skal. Dersom noen applikasjoner i organisasjonens klient-PC fungerer dårlig med DEP kan disse legges inn som unntak.

DEP støttes foreløpig ikke av Group Policy.

Oppsummering
DEP vil først hjelpe etter at exploit-koden har kommet inn på systemet og faktisk prøver å utnytte en sårbarhet, enten i operativsystem eller andre programmer. Det beste er såklart å unngå å få exploit-koden inn på systemet og ikke å ha sårbarheter i systemet.

Uansett hvor godt en er sikret, kan en alltid bli utsatt for en exploit som det enda ikke finnes noen patch for. Da er DEP god å ha som en siste forsvarsmur.

Her er en detaljert beskrivelse fra Microsoft rundt DEP.

Koobface benytter exploits

2009-09-22T11:23:00.011+02:00

I tillegg til de vanlige falske Flash-oppdateringene, har vi nå observert at bakmennene bak Koobface benytter exploits for å spre denne ormen.

De ferskeste linkene til Koobface har også en oppdatert side som skal lure brukere til å installere en falsk oppdatering av Flash. Tittelen på de nye sidene er "Video posted by * SpyCam *", og ser slik ut:

Dessverre har vi i det siste døgnet også sett tilfeller hvor brukere blir automatisk redirigert til sider som inneholder exploit-kode som forsøker å utnytte flere kjente svakheter på brukerens PC. Dette er en ny utvikling fra banden bak Koobface, som tidligere bare har benyttet seg av social engineering for å lure brukere til å installere ormen.

Siden inneholder et obfuskert javaskript som fyrer av fem exploits:

Exploitene som forsøkes er:

MS06-014 Microsoft Data Access Components Exploit
MS08-041 Microsoft Access Snapshot Viewer Exploit
MS08-078 Internet Explorer XML Memory Corruption Exploit
CVE-2008-2992/CVE-2007-5659 Adobe Acrobat PDF Exploits (printf, collectEmailInfo)
MS09-002 Internet Explorer 7 Uninitialized Memory Corruption Exploit

Kort om Koobface

2009-09-22T08:55:00.004+02:00

For fjorten dager siden postet vi en presentasjon rundt falske sikkerhetsprodukter på bloggen. I dag poster vi en tilsvarende presentasjon rundt ormen Koobface, som har spredd seg via sosiale nettverk som Facebook og Twitter i snart ett år.

Disse to typene malware er blant de største truslene mot norske nettbrukere akkurat nå. Koobface vil også installere falske sikkerhetsprodukter på PCer den klarer å infisere.

Presentasjonen inneholder følgende:

Fakta og historikk rundt Koobface.
Hvordan oppdage at ormen prøver å infisere deg på et sosialt nettverk.
Hvordan unngå å bli infisert.
Hva skjer dersom PCen først blir infisert og hva en kan gjøre med det.

Trykk på hvert enkelt bilde under for å få det i større format, eller hent ned hele presentasjonen i PDF-format her.

Vi håper at en gjennomgang av dette på norsk kan brukes til å få større oppmerksomhet rundt denne typen malware. Bedrifter o.l. står fritt til å bruke presentasjonen til intern opplæring.

Online-redaksjonen har laget en versjon av presentasjonen for privatmarkedet.

Kort om falske sikkerhetsprodukter

2009-09-07T14:07:00.013+02:00

De siste ukene har aktiviteten rundt falske sikkerhetsprodukter (scareware) igjen tatt seg kraftig opp. Vi har laget en presentasjon som omhandler denne typen malware. Presentasjonen viser kort følgende:

Hvordan en bruker kan bli lurt til en web-side som prøver å lure vedkommende til å installere falsk anti-virus.
Hva falsk AV gjør med PCen til offeret.
Hva en bør gjøre hvis en blir forsøkt lurt til å installere et falsk AV-produkt eller kommer i skade for faktisk å installere det.

Trykk på hvert enkelt bilde under for å få det i større format, eller hent ned hele presentasjonen i PDF-format her.

Telenor Online har også postet om falsk antivirus.

Vi håper at en gjennomgang av dette på norsk kan brukes til å få større oppmerksomhet rundt denne typen malware. Bedrifter o.l. står fritt til å bruke presentasjonen til intern opplæring.