nomore

Du må gjerne slette token de lagrer hos deg, men da er du i praksis heller ikke pålogget lenger. Og da er vel poenget borte?

Men hva som lagres i cookies/tokens er uansett ikke så veldig relevant ettersom de sitter på adskillig mer informasjon om deg i backend, og det er jo denne dataen de selger videre. Med mindre du betaler de. Og ja, i tråd med GDPR så skal du kunne be om utlevering av informasjon de har lagret på deg.

Å avslå cookies løser ikke problemet. Det er bare samtykke til å lagre ikke-essensielle cookies på maskinen din. Nødvendige cookies for å levere tjenesten kan de lagre uavhengig av dette. Og problemet her er at tjenesten trenger ikke nødvendigvis cookies for å lage en profil på deg, lagre opplysninger om deg og evnt selge disse videre. Så det vil uansett ikke løse problemet å kjøpe et produkt som skal hindre uønskede cookies.

Heilt sant. Og da er vi tilbake til tillit igjen.

Men nå var det opprinnelige spørsmålet hvordan brukere ("de fleste av oss") kan oppdage/se om trafikken blir dekryptert og inspisert av noen på veien. Og da tenker jeg at å se etter ugyldig sertifikat er en enkel og low hanging fruit for de fleste. Men at sertifikatet er ok betyr ikke at noen ikke lytter, slik det virker som om @arne22 mente.

Eller om Telenor SOC har skrevet om det på bloggen.

Jeg mener du bruker dette feil. Gyldig sertifikat betyr ikke at ingen kan dekryptere trafikken din, men at oset stoler på utsteder. En mitm oppsett på en flyplass vil ofte medføre ugyldig sertifikat og et tydelig signal til brukeren. Men et mitm oppsett på jobb hos oss for eks vil gi et gyldig sertifikat.

Visste du @arne22 at ping trafikk kan misbrukes og blant annet brukes til å lekke interne data ut mot en ukjent mottaker på internett? Ville du ha reagert om du såg ping pakker i trafikkloggen din?

Jeg prøver ikke å sette opp feller for å poengtere hva du ikke kan, jeg prøver å vise hvor komplisert det du snakker om er. På linken til Mitre er det eksempler på det du spør om. Om du ser under techniques så listes det opp hvilke teknikker malwaren bruker for å gjøre jobben sin. Og der er det blant annet listet opp dll injection. Er det sånn å forstå at du ikke finner frem på Mitre sin side? Eller stoler du ikke på det som står der? Og dette er viktig når du påstår at Defender nærmest er garantert at en ikke har RAT og ikke minst at det virker som om du ikke tror at en kan modifisere kjørende prosesser og installert software uten at det lyser rødt og blinker alarm i logger. Telenor sin SOC blog er veldig fin. Jeg bruker den flittig selv. Men at det ikke står noe der betyr ikke at det ikke skjer eller ikke finnes. Det er feil bruk av kilden. Igjen så lurer jeg på hva du spør om og hva du vil jeg skal bevise. Tror du ikke at det er mulig å modifisere en software eller deler av den etter installasjon? Altså hva er det konkret du ikke tror på når jeg snakker om msedge.exe?

Mitt generelle råd i slike situasjoner er utelukkende at du skal fokusere på jobben din og de oppgavene du har, og ikke legge deg opp i andre sine oppgaver. Du kan, og bør, snakke med sjefen dersom dette fører til økt arbeidsbelastning på deg eller går ut over frister/arbeid som tilhører deg. Men da fokuserer du på hvordan det som skjer påvirker din jobb, ikke hva du mener om jobben vedkommende (ikke) gjør. I ytterste konsekvens er det nå engang sånn at det er opp til leder å fordele arbeidsoppgaver, og for alt du vet kan dette være en avtale mellom leder og kollegaen din om at dette er en ok måte å løse en helseutfordring på eller noe annet du ikke har noe med. Å blande seg opp i dette vil ofte medføre dårlig stemning eller at du havner i et dårlig lys.

Om jeg forstår spørsmålet ditt rett nå så kan du sjekke ut gh0st RAT her: https://attack.mitre.org/software/S0032/ Der kan du lese seg opp på hvilke teknikker den bruker, sårbarheter den utnytter, hvilke grupper som har brukt den og kampanjer den er brukt i. Det er ikke den eneste men kanskje en av de nyere og større som er dokumentert godt. Men på Mitre sine sider kan du lese om veldig mye andre varianter og ikke minst se litt på hvilke teknikker som faktisk brukes «in the wild».

Eier av IP blokk ble sjekket (det kan skje at kategorisering er feil) men nylige endringer ble ikke sjekket og det er et veldig godt tips. Det hadde ikke vist noe i dette eksempelet men det er absolutt noe som kan skje og som er raskt å sjekke ut. Teams er håpløst og blir jo bare verre og verre føles det som.

Jeg forstår ærlig talt ikke hva det er du vil jeg skal bevise? At en prosess som kjører på maskinen kan starte nettleseren?

Du misforstår. Det er ikke nødvendig at edge er infisert med en RAT. Men at en installert RAT kan bruke edge for å kommunisere ut.

Men en trojaner må ha utgående (og inngående) trafikk for å kunne tilby «Remote Access»? Malware har ofte en adferd som gjør at de ringer hjem til en Command and control server for å gi lyd fra seg, hente oppdateringer, laste opp data eller motta instruksjoner. Og det gjøres gjerne via Edge prosessen. At det er Edge.exe betyr jo ikke automatisk at det er en brukerinitiert nettleserøkt men kan like godt være malware som kommuniserer eksternt. Er dette ukjente konsepter? Litt av poenget med eksempelet mitt er at det er ikke så enkelt og lett som du gir uttrykk for i en del av disse trådene dine. At det er lite sannsynlig at RAT kan komme inn fordi en bruker Defender er rimelig tynt (og feil). Og mye av dette handler om tillit til det du ser. Tillit til at Defender ikke er disabled, utdatert eller kompromittert. Tillit til at edge.exe er genuin og ikke tuklet med. Osv. Og selv med blind tillit til alt dette så står man gjerne der med denne mistenkelige trafikken. Hva da? Enden på eksemplet mitt ble at en SaaS tjeneste bedriften bruker fikk med en feil en ekstra DNS peker som pekte mot landet som var sperret. En typisk CDN tjeneste tilhørende SaaS tjenesten. Så når brukere brukte denne applikasjonen ble feil DNS peker returnert til klienten og den gjorde da et tilkoblingsforsøk som ble blokkert. Verifisert med at trafikken avtok etter at leverandøren fikset DNS pekerne sine.