av Mikael Winterkvist | jan 9, 2021 | Säkerhet
Okända människor som tränger innanför skalskyddet och som under flera timmar kan ha haft tillgång till de anställdas datorer. De senare kan dessutom ha lämnats inloggade i känsliga system. Attacken mot Capitolium är inte bara en attack mot demokratin; det är en säkerhetsmässig katastrof.
Dagen efter attacken har de anställda återvänt till sina arbetsplatser, börjat att städa upp efter vandalerna och sönderslagna saker ersätts eller repareras. Förutom de rent materiella skadorna så finns ytterligare ett problem – ett stort problem.
Vandaler
Under 3-5 timmar så har helt okända vandaler funnits inne i de anställdas lokaler, vid deras arbetsplatser och det finns bilder inifrån Nancy Pelosis kontor där en av huliganerna sitter i hennes stol och har lämnat ett meddelande på hennes skrivbord. På varje skrivbord finns en dator och de anställda har i varierande grad haft tillgång till känslig och hemlig information. Nancy Pelosi är en av de högst uppsatta politikerna i Washington, talman för det demokratiska partiet och det är en roll som haft i flera år. Pelosi har sannolikt en mycket hög säkerhetsklassning vilket ger henne tillgång till mycket känslig information.
Det finns flera olika tekniska lösningar för att skydda information och för att hantera vilka anställda som får komma åt vilken information. Kortläsare är en vanlig lösning där den anställde har ett kort, ett ID-kort som sätts i en läsare och som innehåller information om accessgrad.
I normalfallet så ska en dator låsas omedelbart när kortet tas ut ut kortläsaren och då infaller sig frågan – har alla medarbetarna i Capitolium sina ID-kort?
De som saknar sina kort – har de access till känslig information?
Avgått
Ansvariga för säkerheten är tjänstemän som kallas Sergeant-at-Arms. I senaten är Sergeant-at-Arms också ansvarig för dator- och datasäkerheten. I representanthuset så är det the Office of the Chief Administrative Officer som ansvara för datasäkerheten. Sergeant-at-Arms i senaten och Sergeant-at-Arms i representanthuset har inom kort inte sina jobb kvar. Nancy Pelosi har meddelat att representathusets ansvarige har lämnat sitt jobb (avgått) och senatens Chuck Schumer har meddelat att om Sergant-at-Arms med ansvar för senaten inte avgår frivilligt så kommer han att sparkas.
Utredningen lär starta med att gå igenom allt det videomaterial som finns. Videor som tagits med Capitoliums övervakningssystem. Var har inkräktarna rört sig, vilka rum har de varit inne i och vilka datorer har de rört är frågor som utredarna vill ha svar på. I det arbetet lär utredarna också vara mycket intresserade för att se om någon har försökt att överföra data till datorerna, försökt att installera något i dem.
Pöbel
Även om det var en skränade pöbel långt så går det inte att utesluta att andra, med helt andra avsikter kan ha glidit med in i byggnaden, dolda av kaoset. De kan ha de som hakat på för att om möjligt installera spionmjukvara i datorerna. Hur osannolikt det än må tes sig så kan utredarna inte jobba utefter vad som är sannolikt utan från vad som är möjligt att göra.
Regeln är enkel – har okända varit inne i lokalerna så ska varenda uppkopplad pryl betraktas som att den är komprometterad – tills motsatsen är bevisad.
Sedan måste utredarna också ta reda på vad som stulits och om det är känslig elektronisk apparatur. det kan vara allt från kortläsare till lagringsmedia, hårddiskar och USB-minnen exempelvis.
Omfattande uppgift
Utredarna har ett mycket omfattande arbete framför sig dör det gäller att skala av skal efter skal för att stegvis komma allt längre ned i hierarkin av potentiella hot.
- Har känslig information skrivits ut?
- Har dokument stulits och i så fall vilka?
- Kan det antas att de obehöriga kan ha loggat in, försökt logga in eller kan de ha kommit åt system med datorer som inte var utloggade?
Inledningsvis kommer frågorna att vara många men de måste besvaras för att få ett grepp om vilken information som eventuellt kan finnas i orätta händer.
Därefter kommer den tidsödande uppgiften att försöka att värdera skadorna – då inte de materiella skadorna uta de säkerhetsmässiga skadorna i det fall att könslig information verkligen på goda grunder kan antas har hamnat i vandalernas händer.
Olika system
Det finns centrala informationssystem i den amerikanska kongressen men varje enskild politiker har också sitt eget system vilket betyder att det i princip finns 435 enskilda system för folkvalda till representanthuset och att det finns ytterligare 100 system som tillhör kongressens senatsledamöter. En mängd olika system och lösningar vilket ger ett segmentering som kommer att skapa problem för utredarna.
- Hur många av de här datorerna, mobiltelefon och surfplattorna stals vid attacken är en konkret fråga.
- Vad innehöll de blir per automatik nästa fråga.
Utredarna har en mycket stor uppgift framför sig.
av Mikael Winterkvist | jan 6, 2021 | Säkerhet
Trots Trumps utpekande av Kina som sannolikt skyldig till intrånget hos företaget Solarwinds och dess kunder så har USAs federala polis, FBI, och underrättelseorganisationen en annan uppfattning. De båda organisationerna pekar ut Ryssland som att vara de som sannolikt ligger bakom intrånget.
Det är onekligen en viss kontrast mellan Donald Trups twittrande i frågan och det gemensamma uttalande från en rad amerikanska myndigheter.
Först Trump:
https://twitter.com/realDonaldTrump/status/1340333619299147781?s=20
Sedan underättesorganisationer och FBI:
This work indicates that an Advanced Persistent Threat (APT) actor, likely Russian in origin, is responsible for most or all of the recently discovered, ongoing cyber compromises of both government and non-governmental networks. At this time, we believe this was, and continues to be, an intelligence gathering effort. We are taking all necessary steps to understand the full scope of this campaign and respond accordingly.
JOINT STATEMENT BY THE FEDERAL BUREAU OF INVESTIGATION (FBI), THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY (CISA), THE OFFICE OF THE DIRECTOR OF NATIONAL INTELLIGENCE (ODNI), AND THE NATIONAL SECURITY AGENCY (NSA)
av Mikael Winterkvist | jan 2, 2021 | Säkerhet
Hackarna som tog sig in i bland annat Microsofts datorsystem via en bakdörr i Solarwinds mjukvara har varit inne och läst källkod, skriver Microsoft i en uppdatering av den pågående utredningen.
Microsoft har hittills inte hittat några tecken eller spår som tyder på att hackarna, som antas vara ryska, har kommit åt eller tagit sig in produktionssystem men i åtminstone ett fall så har ett konot använts för att läsa källkod:
Our investigation has, however, revealed attempted activities beyond just the presence of malicious SolarWinds code in our environment. This activity has not put at risk the security of our services or any customer data, but we want to be transparent and share what we’re learning as we combat what we believe is a very sophisticated nation-state actor.
We detected unusual activity with a small number of internal accounts and upon review, we discovered one account had been used to view source code in a number of source code repositories. The account did not have permissions to modify any code or engineering systems and our investigation further confirmed no changes were made. These accounts were investigated and remediated.
Microsoft
Inte manipulerats
Enligt Microsoft så ska koden inte ha manipulerats och det finns inga ändringar gjorda i koden noterade.
av Mikael Winterkvist | dec 30, 2020 | Säkerhet
Just nu distribueras stora mängder falska brev som ser ut att komma från Spotify men som är ett bedrägeriförsök för att komma över kontouppgifter.
I brevet (mail) sägs att :
Vi har problem med den aktuella faktureringen. Uppdatera din betalningsinformation.
Avslöjas
Brevet kommer inte från Spotify vilket avslöjas via en kontroll av avsändaradresser.
Kontrollerar du avsändaren ytterligare genom att följa att titta på alla information, den väg mailet har skickats, så kommer det från en server i Estland, ee.
Webbplatsen
Webbplatsen tillhör inte heller Spotify (naturligtvis):
Hemsidan innehåller ett formulär där du ombeds att lämna ifrån dig dina kontouppgifter, ditt betaltkort tillsammans med CV-koden.
av Mikael Winterkvist | dec 22, 2020 | Säkerhet
Allt medan drabbade kunder försöker reda ut om de har blivit hackade och om information stulits så pågår utredningen och genomgången av säkerhetsföretaget Solarwinds och det intrång i deras datorsystem som kan ha drabbat närmare 18 000 kunder. Utredningen, och det som framkommit hittills, är inte smickrande för Solarwinds och frågan är hur bra säkerhetsföretaget faktiskt är, var, på säkerhet?
Tillgången till olika delar av Solarwinds datorsystem ska ha sålts, eller bjudits ut till försäljning, i olika forum på the Dark Web, sedan en längre tid tillbaka, skriver Reuters.
In one previously unreported issue, multiple criminals have offered to sell access to SolarWinds’ computers through underground forums, according to two researchers who separately had access to those forums.
One of those offering claimed access over the Exploit forum in 2017 was known as “fxmsp” and is wanted by the FBI “for involvement in several high-profile incidents,” said Mark Arena, chief executive of cybercrime intelligence firm Intel471. Arena informed his company’s clients, which include U.S. law enforcement agencies.
Security researcher Vinoth Kumar told Reuters that, last year, he alerted the company that anyone could access SolarWinds’ update server by using the password “solarwinds123”
“This could have been done by any attacker, easily,” Kumar said.
Ingenting
Solarwinds använde ett mycket enkelt lösenord för att skydda en av sina viktiga uppdateringsservrar och närd blev uppmärksammade på att detta var fallet så gjorde Solarwinds ingenting. Flera dagar efter det att intrånget hos FireEye, som var inledningen på avslöjandet att Solarwinds hade hackats, så fanns uppdateringarna, med hackarnas bakdörr, fortfarande tillgängliga att ladda ned från Solarwinds servrar.
Reuters
av Mikael Winterkvist | dec 21, 2020 | Säkerhet
En bugg i programmet och tjänsten iMessages har exploaterats för att övervaka en mängd journalister på nyhetskanalen Al Jazeera. Minst ett dussintal journalister vid nyhetstjänsten har övervakats med spionprogramvara, skriver brittiska The Guardian.
Spionprogramvaran som har använts har utvecklats av israeliska NSO Group och journalisterna har övervakats av Saudi Arabien och Förenade Arabemiraten, enligt Citizen Lab vid universitetet i Toronto.
Researchers at Citizen Lab said the apparent malicious code they discovered, which they claim is used by clients of Israel’s NSO Group, made “almost all” iPhone devices vulnerable if users were using an operating system that pre-dated Apple’s iOS 14 system, which appears to have fixed the vulnerability.
The Guardian
Buggen, som åtgärdats i uppdateringen till iOS 14 ska ha funnits i iMessage och iOS i över ett år, skriver The Guardian som stöder sig på uppgifter från universitetet. Israeliska NSO Groups utvecklar mjukvara för att hacka inte bara Apples produkter utan även Android, Window sick andra operativsystem. Företaget har flera gånger anklagats för att deras produkter och mjukvara används av diktaturer för att kartlägga och spionera på demokratiaktivister och oppositionella.
In a statement, Apple said the attack described in Citizen Lab’s research was “highly targeted by nation states” against specific individuals. It said: “We always urge customers to download the latest version of the software to protect themselves and their data.” It also said it could not independently verify Citizen Lab’s analysis.
The Guardian
