Inga säkerhetslösningar är starkare än den svagaste länken

av | jun 13, 2021 | Krönikor

Spelutvecklaren EA hackades via Slack. Intrånget på Twitter möjliggjordes efter det att hackarna lurat till sig kontouppgifter på Slack. Nej, det är inget fel på Slack utan dessa två historier visar tydligt att inga säkerhetssystem är starkare än den svagaste länken.

Sociala hack, det är så den här typen av intrång kallas, en närmast klassisk metod ända sedan Kevin Mitnick läste handböcker, ringde upp intet ont anande anställda och lurade till sig inloggningar i amerikanska telefonsystem. Metoden är lika enkel som effektivt – ta reda på vem eller vilka som sitter på värdefulla konton och lura dem sedan att lämna ifrån sig informationen. Här har olika former av samarbetsverktyg blivit en måltavla, däribland Slack.

Slack

Företag skapar sina egna kanaler på Slack där anställda sedan kan kommunicera. Twitter har egna kanaler på Slack, EA har det och miljontals företag och organisationer har det. Igen – det är inget fel på Slack, inget fel att samarbeta digitalt men det kräver ett visst mått av medvetande, säkerhetsmedvetande för att lämna företagets egna system och använda andra system, utanför företagets skalskydd.

För många år sedan använde jag samma metod för att kartlägga och avslöja ett nätverk av BBS:er som distribuerade källkod för datavirus och trojaner. Med i toppen bland alla dessa BBS:er fanns en svensk BBS, en av de största som drevs av signaturen Tormentor. Det visade sig vara en student på Chalmers. Det här var före Internet och BBS:er var system som du ringde upp och kunde logga in på. De här BBS:erna innehåll filer som vilken annan BBS som helst men filerna var källkod för datavirus, trojaner och andra skadliga program.

Kartläggning

Min kartläggning byggde på en påhittad italiensk lastbilchaffis med stort intresse för dator och datavirus. Georgia Mendocca med aliaset Esmond Drury drog runt bland Europas underground BBS:er i över åtta månader medan jag steg för steg lyckades komma över vilka personer som drev dessa system var, deras namn, yrke, var de bodde och statistik om deras BBS:er. Jag hackade inte ett enda system utan genom att utge mig för att vara en beryktad hackare och spridare av datavirus fick jag access till en lång rad system. I efterhand var det inte inte särskilt listigt att utge sig för att vara en italiensk lastbilschaufför. Jag kan knappt ett ord italienska och hade enkelt kunna bli avslöjad. Den som kan något om flugfiske vet också att Esmond Drury är en räkimitation, en fluga.

Metoden

Nåväl, metoden, att utge för att vara någon annan, stegvis vinna någon annans förtroende och sedan locka och lura till dig kontouppgifter fungerade då och det fungerar nu. Vi vill tro gott om andra, det är såna vi är och dessutom är det lätt att förledas att tro att alla som dyker upp på en intern kanal på Slack ingår i din grupp, din familj och ditt företag. Det är individer som du borde kunna lita på.

Metoden bygger inte på kunskaper om datorer, källkod, programmering eller teknik. Den bygger på ett vara lite slipad i att upprätthålla och utveckla sociala kontakter – umgås, prata och kommunicera. Du ska ha sociala färdigheter, inte datakunskaper.

Ett enkelt exempel:

Du ber om hjälp med en inloggning, hävdar att du tappat dina uppgifter och att du nu har en chef efter dig som vill ha viss information av dig.

Vi har alla råkat ut för otåliga chefer som vill ha viktig information, snabbt, gärna för en kvart sedan. Vi har förmodligen också hamnat i en liknande sits – att inte ha rätt inloggningsuppgifter.

En person som du sett inloggad i den interna kanalen på Slack sedan länge ber om nu om uppgifterna i ett privat meddelande. I meddelandet finns uppgifter om en intern organisationsstruktur angiven. Det är rätt namn på avdelningar, rätt namn på chefer och rätt namn på alla inblandade. Den som kontaktar dig på Slack är en av er – tror du.

Så, tänker du hjälpa en kollega i nöd eller gör du det inte?

Svårare än så behöver ett intrång, ett hack och stöld av värdefull data inte vara. Det handlar i första hand om sociala färdigheter, inte datakunnighet, och det är den äldsta metoden i världen.

Medvetande

Lösningen, motmedlet, är en hög grad av säkerhetsmedvetande. Lösningen är utbildning, kunskaper och ett visst mått av misstänksamhet kombinerat med en policy, ett regelverk som klart säger att du inte ska lämna ifrån dig kontouppgifter. Såväl Twitter som EA har garanterat såna regler men säkerhetsarbetet stannar inte vid en utbildning och en samling regler. Det är ett ständigt pågående arbete där regler måste förnyas, kunskaper måste förnyas, uppdateras och där alla anställda måste involveras. Det handlar om påminnelser om det enkla faktum att ett namn på Slack inte behöver vara den du tror att det är.

Snusförnuftigt och självklart?

Absolut, men inte för EA och Twitter.

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: