Texter

14 mars, 2021

#115 – Supply Chain Cyber Security med Jonas Lejon

Ovanligt glad trots alla IT-säkerhetsproblem på nätet… Eller kanske just därför…

Avsnittet: #115 – Supply Chain Cyber Security med Jonas Lejon
Inspelat: 2021-03-12 (publicerat 2021-03-14)
Deltagare: Mattias Jadesköld, Erik Zalitis och Jonas Lejon
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Allt är ju elände som vanligt. Nu kan man inte ens lita på att den där hemliga kryptotelefonen, superavancerade servern eller programvaran är pålitlig även om man skaffat den genom en trovärdig leverantör. Supply chain-attacker handlar om att flytta attacken till leverantörssidan, så det du köper levereras ”för-hackat”.

Många fick säkert kaffet i vrångstrupen när nyheterna vrålade ut att Huawei installerat ”ris-kornsstora” spionchip i servrar de sålde. Det visade sig inte vara sant, men för många var det ett sent uppvaknande och en insikt om att saker kan levereras i ett olämpligt skick. Och det är inget nytt. På 90-talet lyckades en tidning leverera ett virus genom en diskett som följde med tidningen. Därefter har vi hört om virus på USB-stickor direkt från affären ett antal gånger.

Förr kanske det var vanligt att detta var ett misstag, men numera är det nästan garanterat att det är ett medvetet drag. Och leverantören själv kan vara helt oskyldig. I detta avsnitt, som är ett samarbete mellan oss och SIG Security, pratar vi om Sky ECC-attacken, Solarwinds-hacket och diverse andra kända supply-chain-attacker med Jonas Lejon.

Jonas driver en egen blogg (kryptera.se), utför penetrationstester och håller föredrag om IT-säkerhet.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.

7 mars, 2021

#114 – 5G och IT-säkerheten

Matrs Mägiste från Telia är veckans gäst i IT-säkerhetspodden och berättar om just IT-säkerhetsaspekten på 5G.

Avsnittet: 114 – 5G och IT-säkerheten
Inspelat: 2021-02-26 (publicerat 2021-03-07)
Deltagare: Mattias Jadesköld, Erik Zalitis och Mats Mägiste.

Lyssna på avsnittet

Medan du lyssnar

Så, det blir alltså snabbare, mindre fördröjningar och fler funktioner! Nice, men hur är det med IT-säkerheten? Det är ju alltid det som sitter på den andra sidan av gungbrädan och flyger i en vacker båge över huvudet på funktionsidan som väger bly när den sätter sig på sin sida.

Men Mats Mägiste tror att säkerheten faktiskt är något man tagit hänsyn till här. Dock måste vi gå igenom de vanligaste frågetecknen om teknologin, varesig de handlar om säkerhet eller inte.

Så här är några av frågorna:

  • Är 5G något som märker skillnad på när vi väl börjar använda det?
  • Har vi skapat ett nytt sätt att ge hackarna enorma, dynamiska botnät?
  • Är strålningen farlig?
  • Hur är det med nät-neutraliteten?
  • När kommer vi få teknologin på bred front?
  • Vad får utländska aktörer för makt över våra nätverk när 5G införs?
  • Hur påverkar 5G oss som arbetar med IT-säkerhet?

David Jacoby skräder dock inte orden, vad det gäller 5G:
https://www.youtube.com/watch?v=tuWKYCoCiv4&t=1920s

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
28 februari, 2021

#113 – Gisslandramat i San Francisco

Golden gate-bron inhöljd i en mystisk dimma. En bra metafor för att det okända i att inte ens kunna komma åt sitt eget nätverk. Vi är meta idag. Mycket meta.

Avsnittet: 113 – Gisslandramat i San Francisco
Inspelat: 2021-02-17 (publicerat 2021-02-28)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

I slutet av avsnittet ”Hotet Inifrån” nämnde jag problemet den osannolika historien om Terry Childs och Mattias och jag tyckte den historien i sig skulle vara intressant att berätta. Så vi tar oss tillbaka till San Francisco 2008 och försöker förstå vad det egentligen var som hände.

Vi avslutar genom att kort ta några av de viktigaste punkterna för att undvika denna typ av händelser, som vi slog fast i vårt tidigare avsnitt:

  • ”Least privilege” – bara ge användarna exakt de rättigheter de ska ha.
  • ”Separation of duties” – se till att kritiska handgrepp kräver att minst två personer är närvarande för att kunna utföras. Var av dem ska då ensamma inte kunna utföra uppgiften.
  • ”Forced vacation” – Tvinga de med höga behörigheter att ta semester för att hindra dem från att ensamma kunna driva en plan för att utföra olagliga handlingar mot sin organisation. Under deras semester kommer en annan person ta över och är då sannolik att upptäcka irregulariteter. Detta skyddar också mot misstag om folk blir trötta och ofokuserade med tiden.
  • Skapa en kultur där man ser till att folk inte accepterar slarv med säkerheten eller att man gör saker som kan vara brottsligt.
  • Se till att ha en livs-cykelhantering där man kontinuerligt ser över rättigheterna när användare byter arbetsuppgifter eller avdelningar.
  • Se till att konton skyndsammast tas bort eller kanske bättre, deaktiveras när någon slutar eller tar tjänstledigt.

Just det ja, vårt snack om min tidiga karriär och mannen som erbjöd domän admins rättigheter till en kvinna som en flirt, finns beskrivet mer i detalj här.

Däremot är detaljerna om mannen som skapade en tidbomb i ett program han skrev svåra att hitta något mer att berätta om, eftersom det tystats ner en del. Det är en historia som jag fick höra om på 90-talet från de som jobbat där ett tag, men jag kan inte säga någon om trovärdigheten i den. Så den kanske hör hemma bland fiskerihistorier mer än något annat.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
21 februari, 2021

#112 – e-postsäkerhet – mer än ett IT-problem

Marcus på Ports group pratar om epostsäkerhet med det viktiga fokuset på att skydda även utgående epost.

Avsnittet: 112 – e-postsäkerhet – mer än ett IT-problem
Inspelat: 2021-02-19 (publicerat 2021-02-21)
Deltagare: Erik Zalitis och Marcus Wessberg.

Lyssna på avsnittet

Medan du lyssnar

Vi har ju tänkt mycket på hur man ska se till att köra all inkommande epost genom en tratt där vi verifierar, sanerar och kategoriserar allting. Idag är spamfilter fullproppade med heuristiska kontroller, skadlig kod-skydd och mekanismer för att kontrollera vit- och svartlistor. Så på den fronten verkar vi ha någorlunda kontroll.

Det är värre på den utgående sidan, där vi först nu kommit på att vi måste se till att ingen kan utge sig för att vara oss. Epost har historiskt varit totalt oskyddat, där vem som helst kan ange vad som helst som avsändare.

Dessutom har varje epostmeddelanden i verkligheten två avsändare, men bara en av dem syns normalt i mailklienten. Detta har använts av hackare för att förfalska mail.

DMARC/DKIM/SPF tillsammans löser detta problem rätt bra, men det finns nya mekanismer som Verified Mark Certificate som kan göra att en avsändare kan komma med en logotype i mailklienten. Denna är kontrollerad, vilket gör att den som läser mailet vet exakt vilket företag mailet kommer från.

Idag är det jag som pratar med Marcus Wessberg från Portsgroup om hur epostskyddet idag håller på att återigen utvecklas för att kunna möta dagens- och morgondagens hot.

Portsgroup har tjänster för att säkra kundernas mail och måste därför hela tiden hålla koll på vilka mekanismer man måste ha idag och vilka man måste gå över till imorgon.

Vi pratar om en hel del relaterade problem som typosquatting och cybersquatting samt whaling och spearphishing.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
14 februari, 2021

#111 – Hackers vs. Gamers

Erik Zalitis och Mattias Jadesköld tycker en hel del om dagens ungdom och deras spelande. Borde inte de gå ut och spela fotboll istället? På min tid… Jag säger bara det….

Avsnittet: #111 – Hackers vs. Gamers
Inspelat: 2021-02-12 (publicerat 2021-02-14)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Medan du lyssnar

Så spel är ingen lek, alltså? De flesta datorspelarna är de som spelar ibland, som jag och Mattias. Men det finns en stor klunga ”gamers”, där spelandet är en livsstil. Den som lär sig att bli en duktig spelare är också sannolik att lära sig programmering och kanske senare att knäcka system. Det sistnämnda är inget problem så länge de fattar att inte börja sin bana som cyberbrottsling utan håller sig till att knäcka sina egna system eller andras med deras tillstånd.

Men för ”gamern” som börjar gå denna bana, är det inte främst pengarna, de snabba bilarna eller kanske att bli en hackervärldens Lex Luthor som lockar. Det handlar om tillhörighet och att vara någon i gruppen.

Men de riktiga cyberbrottslingarna vakar över de unga nykomlingarna för att kunna värva dem. Vad kan man göra åt detta och vad görs? NCA anser att ett allvarligt samtal med den nykläckta hackaren om var resan leder och att man kan få allt hackingen erbjuder på laglig väg, kan lösa problemet tidigt.

Säkerhetsindustrin skriker efter folk som kan hacka, säkra och bygga arkitekturer inom området. Men för den som valt den olagliga vägen är dörren dit stängd.

I got a little list…

… Sen det andra problemet: spelarna och spelföretagen är en stor måltavla för hackare själva.

One reason that we believe the gaming industry is an attractive target for hackers is that criminals can easily exchange in-game items for profit,” Martin McKeay, Security Researcher at Akamai said in a statement. “Furthermore, gamers are a niche demographic known for spending money, so their financial status is also a tempting target.

Vad kan man göra med en identitet? Mycket, men mina tankar är främst:

  • Kartlägga personer.
  • Förberedelse för ID-kapning.
  • ”Credential stuffing” för att ta sig in på andra ställen med användarnas inloggningsuppgifter.
  • Sno spelarens utrustning i form av rustningar och vapen och sälja dem.
  • Köpa saker för spelarens pengar.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
7 februari, 2021

Show Notes för #110 – Det ryska cyberkriget

Seriöst, den går att köpa på Internet.

Avsnittet: #110 – Det ryska cyberkriget
Inspelat: 2021-02-05 (publicerat 2021-02-07)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Att fundera på medan du lyssnar

Det går inte att höra, men inspelningen plågades av en del tekniska misöden, missförstånd och omtagningar. Och precis som Phil Spector fick ta hand om Beatles 250 timmar av osorterade inspelningar för att göra skivan ”Let it be”, har jag nu här lyckats foga ihop tagningarna till en helhet. Tror jag tagit bort typ 10-15 minuter material. Och det hela hänger ihop väl.

För att kunna förstå de Ryska hackergrupper som varit mycket lyckade i att göra påverkansaktioner, måste vi diskutera Rysslands historia de senaste 100 åren. Det gör vi de första 11 minuterna i programmet.

Från Ryska revolutionen där Bolsjevikerna tog över, genom det kalla kriget då alla stormakterna spionerade på varandra och fram till idag. Ryssland hade alla anledningar att bli bra på att kunna spionera, övervaka och påverka. Vi hade ett mycket initierat samtal med Fredrik Eriksson på Försvarshögskolan i augusti där vi i detalj gick igenom kalla kriget.

Här springer vi i rask takt igenom det för att bygga en bakgrund, sedan används det följande två tredjedelarna till att diskutera hur en av Ryssarnas mest fruktade hackers, APT28 går tillväga för att göra sitt jobb. Och det är IDAG. Det är HÄR och det är NU.

Kontroversiellt?

Är vi? … tydligen…

Vi försöker undvika att ta ställning, men det var absolut ingen tillstymmelse till försiktighet när Mattias sa ”Titta på idag, det är väl fortfarande en diktatur?”. Jag försökte korrigera honom, men insåg rätt snabbt att han har rätt. Alltså, det är ingen åsikt utan ett konstaterande.

För att kalla ett land en demokrati är en ohindrad möjlighet att regelbundet kunna rösta fram representanter eller personer (direktdemokrati) till att leda landet på riks- och lokalnivå ett krav. Det går inte att komma ifrån.

Och nu kan ju Putin förlänga sin mandatperiod så länge han lever. Det innebär att nästa val blir när han fallit från. Julius Caesar nickar från sin grav. Och då är det faktiskt bara att erkänna att det är omöjligt att se Ryssland som demokratiskt. Det fallet på sin orimlighet.

Sen kanske vi är finkänsliga som en släggfabrik, men Sovjet föll faktiskt och vi har gott om data att man förtryckte sin befolkning. Någon som vill säga emot?

Jag hör ingenting här…

Men till det viktiga, APT28

”Advanced Persistent Threat” 28 eller Fancy bear attackerar idag huvudsakligen med fyra mönster:

  • Installera malware via spearphishing
    • Ofta skickar man dokument med skadlig kod eller länkar till websidor innehållande skadlig kod som man räknar med kommer drabba utvalda grupper. Det kan vara folk som jobbar i vissa branscher, organisationer eller företag.
    • theguardiannews.org var en fejksite som kopplats till APT28.
  • Lura till sig tillgång till webmail genom spearphising
    • Man länkar till onedrive-office365.com eller liknande fejktsida i ett mail.
    • Detta mail ber användarna resetta sitt lösenord eller logga in för att kunna läsa ett dokument.
    • När användare når siten, ser den ut som en riktig inloggningstjänst, men är istället byggt för att locka av användaren deras riktiga namn och lösenord till t.ex. sin mail.
    • Man kan även lura användaren att godkänna auktorisering.
Denna ska du ALDRIG klicka på om du inte förväntar dig denna ruta och vet EXAKT vad den gör. ”Just say No!!!”.
  • Infektion av legitim websida
    • Man kan hacka en legitim sida och sätta upp skadlig iFrame som attackerar användaren webbläsare. Denna attack är mer komplicerad med moderna webbläsare, men principen fungerar fortfarande.
    • Exempelvis utnyttjades den vid en attack mot Polska myndigheter 2014.
    • Resultat: APT28 är inne på nätverket
  • Åtkomst genom Internet-anslutna webservrar
    • Scannar servern efter sårbarheter.
    • Attackerar opatchade sådana.
    • Kommer sedan in och förflyttar sig därefter lateralt genom nätverket.
    • Resultat: APT28 är inne på nätverket!

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.

Länkar

Ryssland och hackning:
https://www.xn--itskerhet-x2a.com/ryssland/

Tveksamt om de verkligen kom så långt med detta:
https://www.reuters.com/article/us-russia-usa-cybersecurity/russia-says-it-is-starting-to-resume-u-s-cyber-cooperation-tass-idUSKBN1WW1TL

Fancy a bear? A fancy bear, even:
https://en.wikipedia.org/wiki/Fancy_Bear

Rapporten Mattias pratar om. Utmärkt tidslinje:
https://www2.fireeye.com/rs/848-DID-242/images/APT28-Center-of-Storm-2017.pdf

Revolutionen som formade Ryssland:
https://www.so-rummet.se/kategorier/historia/det-korta-1900-talet/ryska-revolutionen

IT-säkerhetspodden: Från det kalla kriget till dagens spioner på nätet
https://www.itsakerhetspodden.se/podcast/88-fran-det-kalla-kriget-till-dagens-spioner-pa-natet/

All right, då… Dags för lite skamlös självreklam. Köp Mattias barnbok!:
https://www.bokus.com/bok/9789180072632/cyberdeckarna-gisslanprogrammet/

31 januari, 2021

Show Notes för #109 – Hur arbetet blir proaktivt

Här sitter jag framför (eller är det bakom?) mikrofonen alldeles innan vi startar inspelningen.

Avsnittet: #109 – Hur arbetet blir proaktivt
Inspelat: 2021-01-29 (publicerat 2021-01-31)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Att fundera på medan du lyssnar

Man skulle faktiskt kunna säga att detta avsnitt är en fortsättning på det om Insider-hoten, då det diskuterar på en mer konceptuell nivå hur problemen kan lösa genom att uppnå ett proaktivt beteende istället för att reagera i ren panik som vanligt.

Vi kommer tillbaka till ämnena ”skapa en säkerhetskultur” och ”kunna upptäcka hot”. Men denna gång hör det till en mycket bredare blick över hur ett företag eller organisation ska kunna försvara sig.

Så… Proaktivitet kan väldigt enkelt ses som två beteenden:

  • Nostradamus-läget, där man försöker förutspå attacker.
  • Reagera-snabbt-läget, där man reagerar på indikatorer på att något på gång innan attacken egentligt börjar lyckas. Denna Proaktivitet är dock även en form av reaktivitet, dock inte på fullbordat faktum. Tänk dig mer som att gå till doktorn för att få veta om det där konstiga födelsemärket är farligt eller inte.

Förresten, en triljon är en etta med 18 nollor efter sig. Alltså 10¹⁸. Nu vet du mer en vad jag gjorde när jag spelade in avsnittet.

Din verktygslåda

… Och här är Mattias, redo att programleda.

Threat hunting

”Pentestning med silkesvantarna på” eller kanske ”etisk hackning med vapnen säkrade”. Man tittar på miljön som en hackare och försöker förstå hur långt en sådan skulle kunna ta sig om det vore på riktigt. Detta är något de flesta i IT-säkerhetsbranschen gjort när de går igenom det som ska installeras. Men här sker det mer systematiskt och man går då igenom allting steg för steg.

En kund skulle kunna be konsulten gå igenom miljön och svara på hur långt en Ransomware-attack skulle kunna gå.

Ethisk hacking (Pentester)

Kan en konsult bryta sig in? Och hur långt kommer denne? Ibland kanske man inte kan ta sig hela vägen, men dock göra miljön otillgänglig eller radera information. Kanske är ett total övertagande i sig inte heller det värsta som kan hända, utan det är när organisationens data kopieras av hackarna och därför läcks. Detta är ganska garanterat att ske som en effekt av ett totalt övertagande, men det behöver inte gå så långt för att känsligt data ska bli tillgängligt för hackarna. Så även mindre attacker som inte ”når hela vägen” kan vara förödande. Många attacker mot klienter bygger faktiskt på att INTE ta över systemet, eftersom data kan nås av den användaren som är inloggad och då kan även hackaren göra det. På det sättet är det lättare att inte skapa larm i övervakningen men fortfarande få tillgång till datat. Case in point ”Living of the land” där man använder program och funktioner som redan finns på datorn och oftast nöjer sig med att köra dem med den inloggade användarens rättigheter.

Så ett pentest är nödvändigt för att kunna stänga alla vägar som går att hitta. Jag säger att med tillräckligt med tid, kan en pentestare ”ta sig in”. Detta borde kanske klargöras lite. ”Ta sig in” är ordmässigt ett totalt övertagande, men jag vill faktiskt även inkludera att man läcker data, gör systemet otillgängligt eller kan ändra data utan rättigheter i detta begrepp.

Pentestaren bryter sig in och dokumenterar hur detta gick till.

Bygga en säkerhetskultur

En repetition från avsnittet om Insiders men ”kulturskapande” är överlägset att bara utbilda folk som sedan glömmer allt. Skapa en medvetenhet där alla kollektivt minns, skyddar och förutsäger attacker. Grupptryck har en negativ klang, som det väl förtjänar, men att använda det för att skapa ett ”På den här arbetsplatsen gör vi inte såhär”-tänkande kan istället tvinga fram ett säkerhetsmedvetet beteende.

DISA (digital informationssäkerhetsutbildning för alla)

Så hur börjar man bygga denna kultur? Prova DISA – en sentida variant av ECDL, men fokuserande på säkert beteende istället för att lära ut hur man använder sin dator (vilket idag är ganska överspelat).

MSB ligger bakom DISA, som har en mycket bra ”frågesport”-funktion där du kan testa hur du beter dig i riktiga situationer. Det är hygglig trivialt, men inte så mycket menat att lära folk självklarheter som att faktiskt se till att dessa tankar finns fräscht i minnet.

En mycket användbar strategi för alla typer av organisationer som inte har egna motsvarigheter.

Omvärldsbevakning

Två saker: du måste veta vad som händer i det stora och du måste veta vad som händer nära dig. När dig är både i din bransch, ditt fysiska område, med dina konkurrenter och hur attacker och försvar utvecklas.

Definition av ”omvärlden”: (substantiv) INTE DU!

Det vill säga allt du inte har direkt kontroll över. Larvig definition? Definitivt inte. Tänk på detta när du bygger din proaktiva säkerhet.

Här är de bitarna vi inte visste vad vi skulle göra något med…

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

”Frågesport” a’ la DISA:
https://webbutbildning.msb.se/utb/DISA/

En inledning tilll Proaktivt försvar:
https://blog.morphisec.com/what-is-proactive-cyber-defense

Olika taktiker för detta:
https://www.entrustsolutions.com/2020/11/13/proactive-vs-reactive-cyber-security/

Jag ger inte mycket för denna artikel. Det refererar till en undersökning som finns på en Casino-site:
https://chiefexecutive.net/almost-90-cyber-attacks-caused-human-error-behavior/

Homer Simpson vet hur det är med statistik (Vilket jag ironiskt nog felciterar i avsnittet):
https://www.youtube.com/watch?v=sm7ArKlzHSM

Simpsons paradox har inget att göra med Homer, men är ett läskigt bevis på hur man kan misslyckas med att tolka statistik:
https://www.youtube.com/watch/ebEkn-BiW5k

Hur definierar man omvärldsbevakning?
https://www.informationssakerhet.se/metodstodet/analysera/#omv%C3%A4rldsanalys

24 januari, 2021

Show Notes för #108 – De sju dödssynderna och säkerhet

Djävelen behöver inte göra ont att titta på … Men att råka ut för, är en helt annan sak.

Avsnittet: 108 – De sju dödssynderna och säkerhet
Inspelat: 2021-01-22 (publicerat 2021-01-24)
Deltagare: Erik Zalitis, och Mattias Jadesköld

När man börjar med att citera Ingemar Bergmans det sjunde inseglet, har man satt tonen. Så är det bara, men nu har den milstolpen swishat förbi och vad annat kan vi göra än att fortsätta vägen framåt och hoppas på det bästa?

Idén var svår att genomföra, eftersom religiösa texter inte särskilt ofta handlar om IT-säkerhet. Skulle t.ex. syndafloden vara guds DDOS-attack?

1. Högmod

Komplexitet – Samma tillverkare av alla delar i systemet.

Enskilda komponenter får för mycket makt.

2. Girighet

Slarv med säkerhetsarbetet och att ekonomi före säkerhet
Man får ofta det man betalar för.

Mattias tycker situationen blivit bättre i detta område, medan Erik ställer sig undrande även om han håller med om att säkerhet är lättare att motivera idag än förut. Och sen är ”det är billigt” inte längre ett så bra argument heller när man ska sälja en säkerhetslösning.

”Det finns ingen budget för säkerhet…. Fast helt plötsligt gör det det” (dvs efter att systemet blivit hackat)

Sheep security… Eller hur var det nu?

3. Vällust

Kära inte ner dig i en produkt! Det finns många förmodligen andra som passar bättre och som är billigare. Utgå från behovet istället för att välja den där produkten du såg på en mässa eller alltid har kört.

4. Avund

Viktigt att titta på sin egen förmåga och sin organisations resurser. Vad behöver vi för skydd? Hur fungerar det bäst för vår organisation?

5. Frosseri

Här är ett beteende. Kan se det på föreläsningar och i forum. Man vill raljera, beskriva hur dåligt andra hanterat saker utan att komma med lösningar. En slags överdriven njutning.

Man vill gärna slänga upp PPT-slides med FBI-artiklar och sånt som är ”coolt” men egentligen inte relevant.

6. Vrede

Den synden som jag ser minst av i säkerhetsbranschen. Men inget bra verktyg att ta till. Tänker på UFC-bossen som vrålar till de som streamar olagligt UFC. Det blir ju mer en ögonöppnare.

Om man ska översätta det så är det smart att göra som Addtech. Beskriv vad som hänt. Häng inte ut attackerarna (de får bara publicitet och kanske än mer blodad tand att attackera) och arbeta strukturerat.

7. Lättja

Säkerhetsarbetet utvecklas inte och kan inte skydda mot nyare attacker som dyker upp (Ingen omvärldsbevakning. Detta är inte slarv per se.

Eller att man inte kan upptäcka att attacker händer. Eller vad som kopplas in, eller vad som händer med enheter som slutar fungera korrekt, eller anomalier.

Saker konfigureras fel på grund av diverse anledningar.

Lösningen för de flesta problemen: TÄNK – TÄNK FÖRE. Detta är troligen en dygd (Vi måste ta detta i ett uppkommande avsnitt!)

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

17 januari, 2021

Show Notes för #107 – Adjö kära gamla Flash

Avsnittet: #107 – Adjö kära gamla Flash
Inspelat: 2021-01-15 (publicerat 2021-01-17)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Goodbye flash:
https://www.youtube.com/watch?v=EBPH6O68UY4

10 januari, 2021

Show Notes för #106 – Hotet inifrån

Ok, allesammans, här är Lisa-Kalle, vår nya ekonomichef. Hen har av egen vilja bett att få intervjua er alla för att få veta mer om ert jobb och vad ni har för privata intressen. Hen är hygglig, men gillar sin Stetsonhatt och sin trenchcoat. För att inte kränka hens känslor och visa en inkluderande företagskultur ska vi givetvis vara öppna för hens klädval och att hen gillar att gå runt med en blomma med någon glaspryl i mitten på i kavajslaget.

Avsnittet: #106 – Hotet inifrån
Inspelat: 2021-01-09 (publicerat 2021-01-10)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Vi kan ju inte låta bli att nämna ”Dr Strangelove” denna gång heller. Scenen då Sovjets president springer runt i USAs krigsrum och fotograferar hemliga dokument med en mikrokamera är hejdlöst rolig och kan räknas som någon form av insiderbrott… trots att han är outsider… Kanske man kan se honom som en konsult inplockad i ett nödläge, eller så ska man inte tänka så mycket sådant där i en svart humor-baserad film.

Så vilka tre (alltid tre-tal!) insiders finns det?

  • Den gör fel och skickar ut data eller gör skada.
  • Den som är lurad av någon annan och gör saker utan att förstå konsekvenserna.
  • Den som är illvillig och vill göra skada, tjäna pengar eller hjälpa någon på utsidan.

Det är lätt att alltid tänka på den illojale medarbetaren när man pratar insiders, men det är att förenkla det hela uppenbarligen. Men svårigheten är att den som gör misstag och den som blir lurad av någon (i viss mån) kan stoppas relativt effektivt. Den som är lurad och guidas av en van cyberbrottsling eller den som själv slår sig in på cyberbrottets banan är så pass svåra att stoppa att det kan vara rent av omöjligt att hindra detta.

Mattias drar sedan följande exempel på insiderbrott:

  • Microsofts databas läckte ut på grund av anställdas oaktsamhet. (2019)
  • General Electric-anställda stal affärshemligheter för att få en affärsfördel.

Det är två olika händelser men de är båda exempel på hur denna typ av problem trots att förutsättningarna skiljer sig radikalt.

Lösningen är att satsa på att:

  • Hindra läckage med DLP-lösningar.
  • Införa mikrosegmentering.
  • Skapa en kultur där man ser till att folk inte accepterar slarv med säkerheten eller att man gör saker som kan vara brottsligt.
  • Se till att ha en livs-cykelhantering där man kontinuerligt ser över rättigheterna när användare byter arbetsuppgifter eller avdelningar.
  • Se till att konton skyndsammast tas bort eller kanske bättre, deaktiveras när någon slutar eller tar tjänstledigt.
  • Se till att övervaka system- och nätverkshändelser som tyder på olämpligt beteende även för de med godkända rättigheter.
  • ”Least privilege” – bara ge användarna exakt de rättigheter de ska ha.
  • ”Separation of duties” – se till att kritiska handgrepp kräver att minst två personer är närvarande för att kunna utföras. Var av dem ska då ensamma inte kunna utföra uppgiften.
  • ”Forced vacation” – Tvinga de med höga behörigheter att ta semester för att hindra dem från att ensamma kunna driva en plan för att utföra olagliga handlingar mot sin organisation. Under deras semester kommer en annan person ta över och är då sannolik att upptäcka irregulariteter. Detta skyddar också mot misstag om folk blir trötta och ofokuserade med tiden.
  • Förankra policies och krav på sänkta behörigheter med ledningsgruppen då detta ger IT-avdelningen den kraft som krävs för att kunna genomföra dessa. Utan ledningsgruppen påskrift kan användarna motsätta sig att acceptera striktare policies.

Errata

  • Erik berättar om Terry Childs som höll San Franciscos fibernätverk gisslan att detta var möjligt för att de inte tog ifrån honom rättigheterna när han fick sluta. Det är i stort sätt vad som hände, fast han satte faktiskt igång att låsa andra ute på grund av att han kom i bråk med sina medarbetare om en policy för att lämna ut lösenord. Och detta skedde INNAN han fick sparken. Det var alltså mer av att han hade för mycket rättigheter snarare än att de inte hade fungerande livscykelhantering. En liten korrigering, men ändå viktig att göra.

Länkar

Fängelse för att han låste administratörerna i San Fransiscos nätverk ute för denna Terry Childs:
https://www.govtech.com/security/Former-San-Francisco-Network-Admin-Terry.html

Anders Sandberg pratar om att skapa en säkerhetskultur och hantera informationssäkerhet i verkligheten.
https://www.itsakerhetspodden.se/podcast/9-kommer-vi-ha-hemligheter-i-framtiden/

Vi pratar om attacken mot AddTech, som visserligen inte var ett insiderbrott, men visar på problemet med lateral förflyttning:
https://www.itsakerhetspodden.se/podcast/71-attacken-mot-addtech/

Det må ha varit över 20 år sedan, men Love letter visar på faran med att inte begränsa användares rättigheter:
https://www.itsakerhetspodden.se/podcast/65karleksbrevfranfilippinerna/

Informationsläckage, som är vanlig effekt av insiderbrott är ett ämne i sig:
https://www.itsakerhetspodden.se/podcast/63-informationslackage/

Mikrosegmentering och Zero-trust network hör ihop:
https://www.itsakerhetspodden.se/podcast/8-zero-trust-networks/

Scroll to top