In English

Säkerhetstest • Artikel

24 augusti, 2024

Ordlista IT-säkerhet

Precis som många andra branscher kryllar säkerhetsvärlden av buzzwords och akronymer. Vissa kommer och går, medan andra har blivit vedertagna och vanligt förekommande när vi pratar om teknisk säkerhet. Här är ett antal ord och begrepp som kan vara bra att känna till. Listan fylls på löpande.

Ordlista – vad innebär säkerhetstermerna?

APT

APT står för advanced persistent threat och är en term för en som används för att beskriva en attack som bygger på olovlig, långvarig närvaro i ett nätverk. Bakom attackerna ligger i många fall statsfinansierade grupper med stora resurser och hög teknisk kompetens. Attackerna utförs nästan uteslutande mot en specifik organisation och har ett specifikt syfte, till exempel att avlyssna hemlig information, och lämnar ofta få eller inga spår efter sig.

Brute force-attack

En brute force-attack används för att knäcka lösenord eller annan känslig information genom att systematiskt testa alla möjliga tecken i alla möjliga positioner. Till sin hjälp använder angriparen automatiserade verktyg och datorkraft. Med kraftfulla grafikkort kan gissningsförsöken bli upp till flera miljoner per sekund. Tiden det tar att knäcka ett lösenord beror bland annat på hur snabbt en gissning kan genereras, vilken krypteringsmetod som har använts och hur lättgissat lösenordet är.

Broken access control

Access control, eller åtkomstkontoll, är sättet som ett system hanterar åtkomst till innehåll och funktioner och beviljar auktorisering till vissa användare och andra inte. Felkonfigureras de policys som hanterar åtkomstkontroll kan det resultera i brister eller luckor - så kallad Broken Access Control. Bristerna kan leda till att angripare kan kringgå mekanismer för behörighetskontroll och på så sätt utföra uppgifter och komma åt information som om de vore privilegierade användare.
Broken access control-sårbarheter är vanligt förekommande och finns med på OWASPs lista över de 10 vanligaste sårbarheterna i webbapplikationer.

Certificate pinning

Certificate pinning är ett extra lager av skydd i kommunikationen mellan klienter och servrar som använder kryptografiska certifikat för att säkra överföringar mellan parterna. När ett certifikat eller en offentlig nyckel väl är känt eller introducerat för motparten kan det "pinnas". Detta innebär i sin tur att klienten inte behöver förlita sig på certifikatsutfärdare.

Certificate pinning används främst som skydd mot avancerade man-in-the-middle-attacker.

Cross-site scripting (XSS)

Cross-site scripting-attacker, eller XSS, är en attack som går ut på att en angripare försöker få sin fientliga kod att köras i en användares webbläsare. Attacken möjliggörs genom att en webbsida eller webbapplikationer använder obetrodd data på ett osäkert sätt. Bristen gör det möjligt för angriparen att plantera skadlig kod på i webbsidan, som användarens webbläsare sedan inte kan skilja från legitim kod och därmed exekverar. Den faktiska attacken sker sedan när offret besöker webbsidan som kör den skadliga koden.

Målet med attacken kan bland annat vara att över användarkonton, manipulera innehåll eller komma åt cookies, sessionstokens och annan känslig information som lagras av webbläsaren.

DDoS-attack

DDoS-attack, även kallat överbelastningsattack, står för distributed denial-of-service och är ett stort angrepp riktat mot ett nätverk, en webbplats, ett datorsystem eller en webbtjänst. Det första steget i attacken är att angriparen kapar ett större antal uppkopplade enheter, såsom datorer och IoT-prylar, och skapar ett så kallat botnät. Detta botnät gör det sedan möjligt för angriparen att utföra attacken genom att utnyttja kraften hos de kapade enheterna och dölja källan till trafiken.

Målet med attacken är att överbelasta och slå ut webbplatsen eller servern, och på så sätt göra den otillgänglig för legitima användare. Den kan även fungera som en rökridå för andra, mer omfattande attacker och intrång.

Domain squatting

Domain squatting, eller cybersquatting, innebär att ett domännamn används med avsikt att dra nytta från ett varumärke som tillhör någon annan. Det finns två huvudsakliga sätt att tjäna pengar på domain squatting; antingen genom att placera annonser på siten, eller att sälja tillbaka domänen till ett högre pris.

Typisk domain squatting kan innebära att någon registrerar en domän för ett befintligt företag fast med en annan landsbetäckning, såsom .uk eller .com. Det kan även handla om att försöka föregå företaget genom att exempelvis köpa domännamnet på en produkt som snart ska lanseras.

Domain squatting kan även användas i phishing-kampanjer, där angriparen registrerar webbplatser vars namn liknar namnen på välrenommerade domäner. Tidigare var metoden laglig, men idag har många länder lagar som förbjuder det.

Dependency confusion

En dependency confusion-attack, eller supply chain substitution, inträffar när ett programvaruinstallationsskript luras att hämta en skadlig kodfil från ett offentligt arkiv istället för den avsedda filen med samma namn från ett internt arkiv. Attacken möjliggörs genom att dependency managern är felkonfigurerad och prioriterar nerladdning av kod från publika källor istället för interna, som i sin tur kan innehålla skadlig kod.

Honeypot

En honeypot är en dator eller ett datorsystem som är utformat för att efterlikna troliga mål för cyberattacker. Den kan till exempel utge sig för att vara en applikation eller tjänst som är intressant för angripare, och på så sätt fungera som ett lockbete.

Genom att övervaka och analysera trafiken till systemet kan användaren få insikter kring var de cyberkriminella kommer ifrån, hur de agerar och vad de vill åt. Informationen kan även användas för att avgöra vilka vidtagna säkerhetsåtgärder som faktiskt fungerar och vilka som kan behöva förbättras.

Keylogger

En keylogger är programvara eller hårdvara som loggar den information som matas in via tangentbord eller liknande enheter. En keylogger avsedd för ett tangentbord kan vara en hårdvaruenhet, som kopplas in mellan tangentbordet och datorn, och som spelar in allting som sänds från tangentbordet till datorn.

Med trådlösa tangentbord, och speciellt sådana som inte krypterar trafiken, kan en keylogger-enhet istället avlyssna den trådlösa trafiken. I de fallen räcker det att placera enheten i anslutning till tangentbordet, till exempel dolt under ett innertak eller i kabelrännor.

Keyloggers förekommer även som mjukvara, och sprids då i regel som skalig kod i bifogade filer i mail och sms eller via infekterade webbplatser. Syftet kan dels vara att fånga upp känslig information, såsom kontonamn, lösenord eller personliga PIN-koder, men även för att avlyssna och övervaka användares aktivitet.

Lateral movement

Inom cybersäkerhet innebär lateral movement processen från att en angripare får ett fotfäste i en IT-miljö till att den sprider sig till resten av nätverket. Det finns många sätt för en angripare att genomföra processen. En väg är att infektera en enhet med skadlig kod, och därifrån flytta i sidled för att infektera andra datorer och servrar i nätverket tills dess att det slutliga målet är uppnått.

Angriparens mål är att den laterala rörelsen ska ske oupptäckt. Men även om attacken upptäcks kan angriparen i många fall behålla sin närvaro i nätverket på grund av att fler enheter är infekterade.

Man-in-the-middle-attack

En man-in-the-middle-attack (MITM) är en term för när en angripare i hemlighet placerar sig i en konversation mellan en användare och en applikation. Allt som part A sänder till part B, och alla svar från B tillbaka till part A, går via mannen i mitten. Informationen kan på så sätt avlyssnas, och i vissa fall även förändras, ofta utan att någon av parterna är medvetna om vad som händer.

Ett vanligt sätt att drabbas av attacken är att surfa på ett öppet, osäkert nätverk som angriparen också har tillgång till. Offren är vanligtvis användare av sårbara mobilappar, finansiella tjänster, SaaS-tjänster, e-handelssajter och andra webbplatser där inloggning krävs.

Målet med attacken är vanligtvis att stjäla personlig information, såsom inloggningsuppgifter, kontouppgifter och kreditkortsnummer. Metoden kan även användas för att få fotfäste i ett nätverk under infiltrationsstadiet av ett mer omfattande APT-angrepp.

Metasploit

Metasploit Framework är en Ruby-baserad, modulär plattform för penetrationstestning som används för att skriva, testa och exekvera exploateringskod. Ramverket innehåller en uppsättning verktyg som kan användas för att testa säkerhetsbrister, kartlägga nätverk, utföra attacker och undvika upptäckt. Några av de mest populära verktygen är John the Ripper och Hashcat, som båda används för att knäcka lösenord.

Eftersom Metasploit har öppen källkod kan det enkelt anpassas och användas med de flesta operativsystem. Plattformen används av cyberkriminella såväl som etiska hackare för att identifiera och exploatera sårbarheter i nätverk och servrar.

Principle of least privilege

Principle of least privilege bygger på att alla användare, program och processer endast ska ha de behörigheter som krävs för att utföra sin funktion. Ett användarkonto som har skapats för att hämta information från en databas behöver exempelvis inte ha administratörsrättigheter, och en programmerare behöver inte tillgång till finansiella system.

Efterlevs principen minskar risken för att angripare får tillgång till kritiska system eller känslig data genom att angripa ett användarkonto, en enhet eller en applikation.

Ransomware

Ransomware är en form av skadlig programvara som krypterar filer eller hela hårddiskar, både lokalt och nätverksanslutna. När filerna väl är krypterade kräver angriparen en lösensumma från offret för att låsa upp dem igen, därav namnet ’ransomware’. Det finns dock inga garantier för att filerna blir upplåsta igen, och rekommendationen är alltid att inte betala angriparna.

Ransomware sprids vanligtvis via phishingmail innehållandes bilagor med infekterade filer eller länkar till webbplatser som utnyttjar kända sårbarheter i besökarens webbläsare.

Social engineering

Social engineering är en bedrägerimetod där angriparen kombinerar sin tekniska kunskap med ett stort mått social manipulation. Genom att rikta in sig på den enskilda individen går angreppssättet runt många säkerhetssystem, och kan därför vara svårt att skydda sig emot. Målet med attacken är att förmå användaren att begå säkerhetsmisstag eller lämna ifrån sig känslig information, såsom konto- eller inloggningsuppgifter.

Exempel på vanliga social engineering-attacker är phishing (bluffmail), smishing (bluff-sms) och tailgaiting (exempelvis följa efter en anställd in på kontoret).

Spear-phishing

Spear-phishing är en riktad form av phishing som innebär att skräddarsydda mail skickas till utstuderade offer. Attackerna föregås ofta av ett gediget förarbete, där företagets hierarki, processer och teknik studeras och kartläggs, ofta med hjälp av publika källor på internet. Informationen kan sedan användas för att skapa autentiska mail som skickas till utvalda personer i organisationen, exempelvis personal på ekonomiavdelningen med mandat att betala ut pengar.

Spyware

Spyware är en typ av skadlig programvara utformad för att ta sig in i enheter, samla in data och vidarebefordra den till en tredje part utan användarens medgivande. Programvaran kan installeras på enheten på flera sätt, till exempel genom en drive-by-nedladdning, en trojan som ingår i ett legitimt program eller ett vilseledande popup-fönster.

Spyware kan även hänvisa till legitim programvara som övervakar data för kommersiella ändamål, såsom reklam, och kallas då för ”adware”. Tecken på att en enhet är infekterad med spyware kan bland annat innefatta oönskat beteende, att applikationer kraschar och försämring av nätverks- och enhetsprestanda.

SQL-injektion

SQL står för structured query language och är ett standardiserat programspråk för att hämta och modifiera data i vissa databaser, såsom MySQL, MariaDB eller MS SQL. SQL-injektion, även känd som SQLi, är en attackvektor som använder SQL-kommandon för att extrahera eller manipulera data i en SQL-databas. Attacken möjliggörs genom en brist som innebär att servern använder obetrodd data för att generera SQL-förfrågningar på ett osäkert sätt.

Trots att SQL-injections kan påverka vilken datadriven applikation som helst som använder en SQL-databas, används den oftast för att angripa webbplatser.

TLS mutual authentication

Mutual authentication, eller ömsesidig autentisering, innebär att både servern och klienten autentiserar sig emot varandra. TLS mutual authentication, eller mTLS, är i sin tur en implementering av ömsesidig autentisering med hjälp av TLS, som är ett välanvänt kryperingsprotokoll på Internet.

I en vanlig TLS-anslutning verifieras oftast bara att servern är att den som den utger sig för, men i mTLS verifieras även klienten mot servern. På så sätt kan en server begränsa vilka klienter som har rätt att ansluta till servern och inte.

mTLS används ofta för att begränsa tillgång till API:er och autentisera dess klienter. Det kan även användas i Zero Trust-miljöer för att verifiera servrar och i känsliga miljöer för att autentisera användare.

Web shell attack

Ett webbskal (web shell) är ett skadligt skript skrivet i typiska programmeringsspråk för webbutvecklare, såsom ASP, JS och JSP. Webbskal används i regel av angripare som vill få fjärråtkomst till webbservrar. För att installera ett webbskal utnyttjas vanligtvis sårbarheter i webbserverns programvara eller sårbara plugin-program. När webbskalet väl är implementerat möjliggör det för angriparen att köra egna kommandon på servrarna.

Dessa kommandon kan i sin tur användas för att stjäla data eller för att använda servern som bas för annan aktivitet, såsom identitetsstöld och laterala rörelser. Det är även vanligt att webbskal används för att agera bakdörr åt en angripare, som sedan kan distribuera fler skadliga verktyg i nätverket för att stjäla mer information i framtiden.

XXE-injektion

XML är ett format som webb- och mobilapplikationer, ordbehandlare och olika webbtjänster använder för att lagra och transportera data mellan system. Enligt XML-standarden kan filer laddas in som förklarar strukturen i ett XML-dokument, så kallad DOCTYPE-definition.

En XML external entity (XXE)-injektion innebär att en angripare kan kontrollera den adress som DOCTYPE-filen laddas in från. Angriparen kan då i vissa fall extrahera ut filer från servern eller anropa andra servrar på det interna nätverket, och på så sätt trigga känsliga operationer eller kartlägga interna system.

Zero-day

Zero-day-sårbarheter refererar till säkerhetshål i mjukvara, som exempelvis operativsystem och browsers, som ännu är okända för tillverkaren och således öppna för en angripare att utnyttja Eftersom sårbarheten är okänd för tillverkaren så finns det initialt ingen tillgänglig säkerhetspatch som kan täta hålet. Många zero-day-sårbarheter upptäcks heller inte av antivirus-program eftersom det saknas signaturer för att detektera attacken.

Zero-day-exploits refererar i sin tur till kod som angripare använder för att utnyttja en zero-day-sårbarhet. När det väl är gjort är det fritt fram för angriparen att plantera trojaner, ransomware eller annan skadlig kod på enheten.

Zero-logging

Zero-logging, eller No-Log, är en policy som VPN-leverantörer använder för att garantera anonymitet hos sina användare. Genom att implementera zero logging-policys lovar VPN-leverantören sina användare att de inte behåller någon personligt identifierbar information om dem. Denna typ av information inkluderar bland annat användarens IP-adress, onlineaktivitet och detaljer om e-post – helt enkelt allt som kan kopplas till din identitet.
VPN-tjänster som upprätthåller policyn låter dig med andra ord surfa, söka, streama och kommunicera online utan att behöva oroa dig för att din aktivitet lagras eller säljs till tredje part. Det är dock viktigt att känna till att det finns VPN-leverantörer som påstår sig använda zero logging-policys utan att faktiskt göra det. Det är därför viktigt att alltid läsa igenom leverantörens privacy policy noggrant innan du köper tjänsten, samt läsa recensioner från andra användare.

Zero trust

Zero trust är en modell för att skydda moderna nätverksmiljöer från intrång och andra avancerade cyberhot. Modellen bygger på principen att ingenting innanför – eller utanför – ett nätverk är säkert, och ställer därför krav på att endast autentiserade och godkända användare och enheter kan komma åt applikationer och data. På så sätt skiljer sig zero trust från traditionell nätverkssäkerhet, som istället följde principen "trust but verify" och automatiskt litade på användare och endpoints inom organisationens ramar.