av Mikael Winterkvist | dec 21, 2020 | Säkerhet
Sveriges Television har kartlagt hur svenska bolag drabbats av den bakdörr som installerats av hackare i SolarWinds Orion-mjukvara och genomgången visar att så många som tio stora svenska bolag kan ha drabbats, däribland det statliga rymdbolaget, Volvo och Skanska.
Attacken där förmodat ryska hackare tagit sig in i det amerikanska företaget Solarwinds datorsystem och installerat en bakdörr i en av de filer som igår i mjukvaran SolarWinds Orion uppges ha drabbat närmare 18 000 av Solwarwinds kunder då bakdörren skickades ut i en uppdatering. Attacken, som fått namnet Solarburst, är n av de mest omfattande på senare år och det misstänks att hackar haft tillgång till flera könsliga datorsystem enda sedan tidigt i våras.
Rymdbolag
Ett av drabbade företag och myndigheter är det stattliga rymdbolaget:
Än så länge har man inte kunnat se att någon data stulits enligt Stefan Gustafsson, chef för strategisk säkerhet på Rymbolaget.
– Det här är ett mycket avancerat angrepp. Det liknar ingenting vi tidigare sett och vi hoppas att våra åtgärder och det starka samarbetet som finns mellan våra expertmyndigheter och andra aktörer runtom i världen ska ge ett resultat som räcker, så att det här inte ska behöva påverka negativt, säger Gustavsson till SVT.se.
Skanska och Volvo är företag som använder Solarwinds mjukvara och de har gått igenom sina datorsystem men inte kunnat hitta några tecken på att information har stulits. Även Ericsson har använt Solarwinds mjukvara men har valt att inte uttala sig om hackerattacken, skriver SVT.se.
av Mikael Winterkvist | dec 20, 2020 | Säkerhet
Donald Trump går mot sin egen utrikesminister Mike Pompeo, avfärdar rapporter från sina egna underrättelseorganisationer, och tonar ned de senaste attackerna mot amerikanska myndigheter och företaget. Trump pekar istället ut Kina som skyldiga till intrånget hos företaget Solarwinds vilket lett till ett av de största intrången, historiskt.
Säkerhetsföretaget FireEye upptäckte tidigare ett intrång is att datorsystem och analyserna av intrånget visade att hackarnabtagit sig in via Solarwinds lösningar (mjukvara). Ytterligare analyser visade att det var hos Solarwinds som intrånget startade. Hackarna, som tros vara ryska statsstödda Cozy Bear, hade försett en fil som ingår i Solarwinds mjukvara med en bakdörr.
Stora amerikanska företag och myndigheter drabbade av intrång
https://twitter.com/realDonaldTrump/status/1340333619299147781
Kina
Trump hävdar nu att uppgifterna är överdrivna och att det inte är fastställt att det är ryska hackare som ligger bakom. Trump pekar istället ut Kina.
Hours after Secretary of State Mike Pompeo told a conservative radio show host that “we can say pretty clearly that it was the Russians” behind the vast hack of the federal government and American industry, he was contradicted on Saturday by President Trump, who sought to muddy the intelligence findings by raising the possibility that China was responsible.
Defying the conclusions of experts inside and outside the government who say the attack was a cybersecurity breach on a scale Washington has never experienced, Mr. Trump also played down the severity of the hack, saying “everything is well under control,” insisting that the news media has exaggerated the damage and suggesting, with no evidence, that the real issue was whether the election results had been compromised.
New York Times
Framkommit
Av det som framkommit hittills så kan närmare 18 000 myndigheter och företag i USA och andra delar av världen ha drabbats i och med att bakdörren finns i en utskickad uppdatering. hackare kan också ha haft tillgång till olika datorsystem ända sedan tidigt i våras vilket gör det svårt att uppskatta hur stora mängder data de eventuellt kan ha kommit över.
av Mikael Winterkvist | dec 18, 2020 | Säkerhet
Ett av USAs allvarligaste attacker från vad som tros vara ryska hackare startade med ett intrång hos säkerhetsföretaget Fireye. en vecka senare meddelade Solarwinds, ett säkerhetsföretag från Austin Texas, att även de drabbats av ett intrång som kan kopplas till en uppdatering av företagets mjukvara Orion. Det två incidenterna blev inledningen på rapporter om intrång hos en rad stora amerikanska företag och myndigheter.
Solarwinds är en stor amerikansk leverantör av säkerhetsmjukvara. Bland kunderna finns Vita Huset, NASA och en rad stora amerikanska företaget, däribland Microsoft. Intrånget tros ha möjliggjorts genom att den uppdatering som Solarwinds skickat ut till sina kunder innehöll skadlig kod, en bakdörr eller liknande.
Sofistikerad attack
Attacken är mycket sofistikerad. Av det som framkommit hittills så ser det ut som att hackarna, vilka tros vara den statsstödda gruppen APT29 också kända som Cozy Bear, först tagit sig in i Solwarwinds datorsystem och där noggrant analyserat innehållet i mjukvaran Orion. En av filerna som ingår i Orion, en DLL-fil (SolarWinds.Orion.Core.BusinessLayer.dll), har sedan komprometterats med kod. När sedan Solwarwinds har skickat ut sin uppdatering till en lång rad kunder så har den skadliga koden förts in innanför kundernas olika säkerhetssystem.
The scale of the Russian espionage operation appears to be large, said several individuals familiar with the matter. “This is looking very, very bad,” said one person. SolarWinds products are used by organizations across the world. They include all five branches of the U.S. military, the Pentagon, State Department, Justice Department, NASA, the Executive Office of the President and the National Security Agency, the world’s top electronic spy agency, according to the firm’s website.
Hackarna har skaffat sig en väg rakt in i mycket stora amerikanska företag och myndigheters datorsystem. Listan på drabbade växer nu, dagligen, liksom listan på de som kan vara potentiellt drabbade:
Amerikanska myndigheter:
- The Departments of Homeland Security
- The US Department of Agriculture
- The Treasury Department
- The US Postal Service
- The US Commerce Department
Företag:
- FireEye – säkerhetsföretag
- Solarwinds
- Flera av Microsofts stora kunder
- 425 av företagen på Topp 500 använder Solwarwinds lösningar
- Samtliga amerikanska försvarsgrenar använder Solarwinds lösningar
- de tio största telefonoperatörerna i USA använder Solarwinds lösningar
Enligt uppgifter som Solarwind lämnat till amerikanska myndigheter så har färre än 18 000 av alla företagets 300 000 kunder installerat uppdateringen. Solarwind har även en lång rad kunder internationellt, utanför USA. Uppdateringen med den aktuella DLL-filen ska ha skickats ut i uppdateringen från mars till juni i år.
Attacken
Amerikanska CISA, en gren av Homeland Security, har kommit fram till att attacken inleddes tidigt i våra, inte senare än mars månad, och att hackarna tagit sig in i Solarwinds datorsystem, de inre delarna och där förblivit oupptäckta ända fram till intrånget hos säkerhetsföretaget FireEye för någon vecka sedan. Den kod som lagts in i uppdateringen är också sofistikerad. Efter installationen så ligger koden inaktiv i närmare två veckor innan den aktiveras och öppnar en väg in i det drabbade systemet.
“This APT actor has demonstrated patience, operational security, and complex tradecraft in these intrusions. CISA expects that removing this threat actor from compromised environments will be highly complex and challenging for organizations.”
- This is a patient, well-resourced, and focused adversary that has sustained long duration activity on victim networks
- The SolarWinds Orion supply chain compromise is not the only initial infection vector this APT actor leveraged
- Not all organizations that have the backdoor delivered through SolarWinds Orion have been targeted by the adversary with follow-on actions
- Organizations with suspected compromises need to be highly conscious of operational security, including when engaging in incident response activities and planning and implementing remediation plans
Det skriver CISA i en första rapport om intrånget.
Ryssland
Ryssland tillbakavisar uppgifterna om att de ska ligga bakom attacken. Ryssland förnekar överhuvudtaget alla attacker och hävdar att landet inte utför några aggressiva eller offensiva handlingar ute i den digitala världen.
Länkar
av Mikael Winterkvist | dec 9, 2020 | Säkerhet
Säkerhetsföretaget FireEye har attackerats av statsunderstödda och flera viktiga dataprogram som säkerhetsföretaget använder stals i samband med ett intrång.
Vid intrånget stals viktiga verktyg som FireEye använder för att testa kunders säkerhet och enligt FireEye så var det en mycket ovanlig och sofistikerad attack, riktad direkt mot FireEye:
Based on my 25 years in cyber security and responding to incidents, I’ve concluded we are witnessing an attack by a nation with top-tier offensive capabilities. This attack is different from the tens of thousands of incidents we have responded to throughout the years. The attackers tailored their world-class capabilities specifically to target and attack FireEye. They are highly trained in operational security and executed with discipline and focus. They operated clandestinely, using methods that counter security tools and forensic examination. They used a novel combination of techniques not witnessed by us or our partners in the past.
Kevin Mandia, FireEye
Verktygen användes av företagets så kallade Red Team och det handlar om mjukvaror som simulerar attacker och som söker efter kända säkerhetshål.
av Mikael Winterkvist | dec 4, 2020 | Säkerhet
Det tog Ian Beer, medlem av Googles Project Zero, över sex månader att se hur, och om, det skulle gå att exploatera en bugg i Apples iOS. En bugg som idag är åtgärdad men som om den hade blivit allmänt känd och fått spridning hade kunnat orsaka mycket allvarliga problem. Buggen gick nämligen att exploatera på distans, trådlöst.
Alla buggar som kan exploateras på distans, utan att användaren märker det, är att betrakta som kritiska och mycket allvarliga. De är en kriminell hackares våta dröm och i det här fallet så kunde buggen ge en obehörig kontroll över en iOS-enhet, en iPhone eller en iPad, trådlöst, på distans.
Mardröm
Buggen, eller kanske snarare möjligheten att exploatera den, är (var) lika livsfarlig som skrämmande. Genom att skicka skräddarsydda datapaket via WiFi så kunde en iPhone/iPad fås att krascha och sedan kunde malware installeras. Obehöriga kunde, trådlöst, kapa och ta över iOS-enheter men mardrömmen slutar inte där. Buggen var dessutom möjlig att sprida vidare, likt en mask som hoppar från iOS-enhet till iOS-enhet likt ett virus som sprider sig snabbt till andra sårbara enheter i närheten. Det är en av de allvarligaste, mest kritiska och skrämmande buggarna som avslöjats i iOS sedan 2007 när Apple lanserade sin första iPhone. Det är högst sannolikt att det finns andra buggar, kanske minst lika allvarliga som vi aldrig fått höra talas om. De har snyggt och prydligt åtgärdats utan att allmänheten har fått kännedom om dem men den här buggen vet vi alltså att den finns, att den existerar och att den går att exploatera.
Dessbättre åtgärdades den av Apple i maj i år och det finns inga rapporter eller information som tyder på att buggen har exploateras ute på fältet. Så sitter du med en iOS-enhet som du inte har uppdaterats sedan tidigart i våras så bör du uppdatera – nu.
Video
Videon nedan visar hur buggen exploateras och samtliga iPhone kraschar och startar om – direkt.
Håll dina prylar uppdaterade
Här finns bara en enda vettig regel – se till att hålla dina prylar uppdaterade. Det är en oerhört enkel, rak, tydlig reglering – ladda hem och uppdatera de saker som du använder oavsett om det sitter äpple på dem eller inte. Förutom buggfixar som tar hand om saker som inte fungerar så finns alltså viktiga säkerhetsuppdateringar – buggar som kan leda till att du blir av med information.
I det här fallet rapporterades buggen till Apple som åtgärdade den i maj i år.
Buggar är en del av all utveckling av mjukvara och det är en utopi att tro att det existerar utvecklare som aldrig gör fel. Såna utvecklare finns bara i fantasin och kvaliteten på en mjukvara utgörs inte bara av dess funktioner och utseende utan även av hur buggar, uppdateringar och problem hanteras.
Kolla dina prylar, nu!
av Mikael Winterkvist | nov 26, 2020 | Säkerhet
Nyligen avslöjades flera utvecklare av e-postprogram för att scanna igenom mail, processa uppgifter och sedan sälja informationen vidare. Egentligen borde inte informationen komma som en överraskning då det framgår av användaravtalen för flera av de här tjänsterna att data samlas in och processas men som alla vet så läser vi sådana avtal mer än lovligt slarvigt.
Det är Motherboard som gått igenom och granskat flera appar, program och tjänster – flera av dem bland de mest populära apparna i Apples och Googles nätbutiker. Edison, och Cleanfox är två exempel men det finns fler. Det finns dock en enkel checklista som du kan följa för att undvika att installera och använda tjänster som plockar åt sig av dina användardata. Här är Mackens lista och tips.
Gratis
Sluta att jaga gratistjänster. Det finns inga gratisluncher och inget företag kan utveckla appar, program och tjänster utan att ta betalt på något sätt. Ett sätt att ta betalt är att samla in dina data och sälja informationen.
Läs avtalen
Läs igenom avtalen och integritetspolicyn. Det brukar faktiskt framgå vad som samlas in, hur informationen samlas in och vad den används till. Speciellt sedan EU införde GDPR så har företagen tvingats att skriva om sina regelverk och informera användarna.
Ett extra lager
Det den här typen av tjänster gör är att skapa ett extra lager mellan dig och din leverantör av e-post. Alla dina mail skickas via tjänsten – inte direkt mellan mottagande och sändande servrar. Förutom att det kan bli svårt att hitta eventuella fel, när något blir fel, så har du alltså ytterligare ett lager, ytterligare en leverantör att ta hänsyn till för att du ska kunna skicka och ta emot mail.
För egen del använder jag inga sådana program. Jag hämtar min e-post direkt via Apples Mail ioh blir det fel så är det antingen hos mig eller hos min leverantör. Nu råkar det vara jag också (mitt företag) men du förstår säkert vad jag menar. Du har inte heller kontroll över hur dina mail lagras eller skyddas utan måste luta på ytterligare en leverantör i kedjan.
Checklista:
- Undvik gratistjänster, eller kolla upp dem mycket noga innan du använder dem
- Läs avtalen
- Lita inte på program/appar/tjänster som skapar ett extra lager mellan dig och din leverantör
