Avsnittet: #115 – Supply Chain Cyber Security med Jonas Lejon
Inspelat: 2021-03-12 (publicerat 2021-03-14)
Deltagare: Mattias Jadesköld, Erik Zalitis och Jonas Lejon
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Allt är ju elände som vanligt. Nu kan man inte ens lita på att den där hemliga kryptotelefonen, superavancerade servern eller programvaran är pålitlig även om man skaffat den genom en trovärdig leverantör. Supply chain-attacker handlar om att flytta attacken till leverantörssidan, så det du köper levereras ”för-hackat”.

Många fick säkert kaffet i vrångstrupen när nyheterna vrålade ut att Huawei installerat ”ris-kornsstora” spionchip i servrar de sålde. Det visade sig inte vara sant, men för många var det ett sent uppvaknande och en insikt om att saker kan levereras i ett olämpligt skick. Och det är inget nytt. På 90-talet lyckades en tidning leverera ett virus genom en diskett som följde med tidningen. Därefter har vi hört om virus på USB-stickor direkt från affären ett antal gånger.

Förr kanske det var vanligt att detta var ett misstag, men numera är det nästan garanterat att det är ett medvetet drag. Och leverantören själv kan vara helt oskyldig. I detta avsnitt, som är ett samarbete mellan oss och SIG Security, pratar vi om Sky ECC-attacken, Solarwinds-hacket och diverse andra kända supply-chain-attacker med Jonas Lejon.

Jonas driver en egen blogg (kryptera.se), utför penetrationstester och håller föredrag om IT-säkerhet.

Länkar

• SIG Security
• NIST riktlinjer för att hantera Supply-chain-attacker
• CIS Control (Hardware assets)
• CIS Control (Software assets)
• En summering av supply side-attacker publicerad på Github

Felaktigheter

• Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.