Månad: februari 2021

28 februari, 2021

#113 – Gisslandramat i San Francisco

Golden gate-bron inhöljd i en mystisk dimma. En bra metafor för att det okända i att inte ens kunna komma åt sitt eget nätverk. Vi är meta idag. Mycket meta.

Avsnittet: 113 – Gisslandramat i San Francisco
Inspelat: 2021-02-17 (publicerat 2021-02-28)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

I slutet av avsnittet ”Hotet Inifrån” nämnde jag problemet den osannolika historien om Terry Childs och Mattias och jag tyckte den historien i sig skulle vara intressant att berätta. Så vi tar oss tillbaka till San Francisco 2008 och försöker förstå vad det egentligen var som hände.

Vi avslutar genom att kort ta några av de viktigaste punkterna för att undvika denna typ av händelser, som vi slog fast i vårt tidigare avsnitt:

  • ”Least privilege” – bara ge användarna exakt de rättigheter de ska ha.
  • ”Separation of duties” – se till att kritiska handgrepp kräver att minst två personer är närvarande för att kunna utföras. Var av dem ska då ensamma inte kunna utföra uppgiften.
  • ”Forced vacation” – Tvinga de med höga behörigheter att ta semester för att hindra dem från att ensamma kunna driva en plan för att utföra olagliga handlingar mot sin organisation. Under deras semester kommer en annan person ta över och är då sannolik att upptäcka irregulariteter. Detta skyddar också mot misstag om folk blir trötta och ofokuserade med tiden.
  • Skapa en kultur där man ser till att folk inte accepterar slarv med säkerheten eller att man gör saker som kan vara brottsligt.
  • Se till att ha en livs-cykelhantering där man kontinuerligt ser över rättigheterna när användare byter arbetsuppgifter eller avdelningar.
  • Se till att konton skyndsammast tas bort eller kanske bättre, deaktiveras när någon slutar eller tar tjänstledigt.

Just det ja, vårt snack om min tidiga karriär och mannen som erbjöd domän admins rättigheter till en kvinna som en flirt, finns beskrivet mer i detalj här.

Däremot är detaljerna om mannen som skapade en tidbomb i ett program han skrev svåra att hitta något mer att berätta om, eftersom det tystats ner en del. Det är en historia som jag fick höra om på 90-talet från de som jobbat där ett tag, men jag kan inte säga någon om trovärdigheten i den. Så den kanske hör hemma bland fiskerihistorier mer än något annat.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
21 februari, 2021

#112 – e-postsäkerhet – mer än ett IT-problem

Marcus på Ports group pratar om epostsäkerhet med det viktiga fokuset på att skydda även utgående epost.

Avsnittet: 112 – e-postsäkerhet – mer än ett IT-problem
Inspelat: 2021-02-19 (publicerat 2021-02-21)
Deltagare: Erik Zalitis och Marcus Wessberg.

Lyssna på avsnittet

Medan du lyssnar

Vi har ju tänkt mycket på hur man ska se till att köra all inkommande epost genom en tratt där vi verifierar, sanerar och kategoriserar allting. Idag är spamfilter fullproppade med heuristiska kontroller, skadlig kod-skydd och mekanismer för att kontrollera vit- och svartlistor. Så på den fronten verkar vi ha någorlunda kontroll.

Det är värre på den utgående sidan, där vi först nu kommit på att vi måste se till att ingen kan utge sig för att vara oss. Epost har historiskt varit totalt oskyddat, där vem som helst kan ange vad som helst som avsändare.

Dessutom har varje epostmeddelanden i verkligheten två avsändare, men bara en av dem syns normalt i mailklienten. Detta har använts av hackare för att förfalska mail.

DMARC/DKIM/SPF tillsammans löser detta problem rätt bra, men det finns nya mekanismer som Verified Mark Certificate som kan göra att en avsändare kan komma med en logotype i mailklienten. Denna är kontrollerad, vilket gör att den som läser mailet vet exakt vilket företag mailet kommer från.

Idag är det jag som pratar med Marcus Wessberg från Portsgroup om hur epostskyddet idag håller på att återigen utvecklas för att kunna möta dagens- och morgondagens hot.

Portsgroup har tjänster för att säkra kundernas mail och måste därför hela tiden hålla koll på vilka mekanismer man måste ha idag och vilka man måste gå över till imorgon.

Vi pratar om en hel del relaterade problem som typosquatting och cybersquatting samt whaling och spearphishing.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
14 februari, 2021

#111 – Hackers vs. Gamers

Erik Zalitis och Mattias Jadesköld tycker en hel del om dagens ungdom och deras spelande. Borde inte de gå ut och spela fotboll istället? På min tid… Jag säger bara det….

Avsnittet: #111 – Hackers vs. Gamers
Inspelat: 2021-02-12 (publicerat 2021-02-14)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Medan du lyssnar

Så spel är ingen lek, alltså? De flesta datorspelarna är de som spelar ibland, som jag och Mattias. Men det finns en stor klunga ”gamers”, där spelandet är en livsstil. Den som lär sig att bli en duktig spelare är också sannolik att lära sig programmering och kanske senare att knäcka system. Det sistnämnda är inget problem så länge de fattar att inte börja sin bana som cyberbrottsling utan håller sig till att knäcka sina egna system eller andras med deras tillstånd.

Men för ”gamern” som börjar gå denna bana, är det inte främst pengarna, de snabba bilarna eller kanske att bli en hackervärldens Lex Luthor som lockar. Det handlar om tillhörighet och att vara någon i gruppen.

Men de riktiga cyberbrottslingarna vakar över de unga nykomlingarna för att kunna värva dem. Vad kan man göra åt detta och vad görs? NCA anser att ett allvarligt samtal med den nykläckta hackaren om var resan leder och att man kan få allt hackingen erbjuder på laglig väg, kan lösa problemet tidigt.

Säkerhetsindustrin skriker efter folk som kan hacka, säkra och bygga arkitekturer inom området. Men för den som valt den olagliga vägen är dörren dit stängd.

I got a little list…

… Sen det andra problemet: spelarna och spelföretagen är en stor måltavla för hackare själva.

One reason that we believe the gaming industry is an attractive target for hackers is that criminals can easily exchange in-game items for profit,” Martin McKeay, Security Researcher at Akamai said in a statement. “Furthermore, gamers are a niche demographic known for spending money, so their financial status is also a tempting target.

Vad kan man göra med en identitet? Mycket, men mina tankar är främst:

  • Kartlägga personer.
  • Förberedelse för ID-kapning.
  • ”Credential stuffing” för att ta sig in på andra ställen med användarnas inloggningsuppgifter.
  • Sno spelarens utrustning i form av rustningar och vapen och sälja dem.
  • Köpa saker för spelarens pengar.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
7 februari, 2021

Show Notes för #110 – Det ryska cyberkriget

Seriöst, den går att köpa på Internet.

Avsnittet: #110 – Det ryska cyberkriget
Inspelat: 2021-02-05 (publicerat 2021-02-07)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Att fundera på medan du lyssnar

Det går inte att höra, men inspelningen plågades av en del tekniska misöden, missförstånd och omtagningar. Och precis som Phil Spector fick ta hand om Beatles 250 timmar av osorterade inspelningar för att göra skivan ”Let it be”, har jag nu här lyckats foga ihop tagningarna till en helhet. Tror jag tagit bort typ 10-15 minuter material. Och det hela hänger ihop väl.

För att kunna förstå de Ryska hackergrupper som varit mycket lyckade i att göra påverkansaktioner, måste vi diskutera Rysslands historia de senaste 100 åren. Det gör vi de första 11 minuterna i programmet.

Från Ryska revolutionen där Bolsjevikerna tog över, genom det kalla kriget då alla stormakterna spionerade på varandra och fram till idag. Ryssland hade alla anledningar att bli bra på att kunna spionera, övervaka och påverka. Vi hade ett mycket initierat samtal med Fredrik Eriksson på Försvarshögskolan i augusti där vi i detalj gick igenom kalla kriget.

Här springer vi i rask takt igenom det för att bygga en bakgrund, sedan används det följande två tredjedelarna till att diskutera hur en av Ryssarnas mest fruktade hackers, APT28 går tillväga för att göra sitt jobb. Och det är IDAG. Det är HÄR och det är NU.

Kontroversiellt?

Är vi? … tydligen…

Vi försöker undvika att ta ställning, men det var absolut ingen tillstymmelse till försiktighet när Mattias sa ”Titta på idag, det är väl fortfarande en diktatur?”. Jag försökte korrigera honom, men insåg rätt snabbt att han har rätt. Alltså, det är ingen åsikt utan ett konstaterande.

För att kalla ett land en demokrati är en ohindrad möjlighet att regelbundet kunna rösta fram representanter eller personer (direktdemokrati) till att leda landet på riks- och lokalnivå ett krav. Det går inte att komma ifrån.

Och nu kan ju Putin förlänga sin mandatperiod så länge han lever. Det innebär att nästa val blir när han fallit från. Julius Caesar nickar från sin grav. Och då är det faktiskt bara att erkänna att det är omöjligt att se Ryssland som demokratiskt. Det fallet på sin orimlighet.

Sen kanske vi är finkänsliga som en släggfabrik, men Sovjet föll faktiskt och vi har gott om data att man förtryckte sin befolkning. Någon som vill säga emot?

Jag hör ingenting här…

Men till det viktiga, APT28

”Advanced Persistent Threat” 28 eller Fancy bear attackerar idag huvudsakligen med fyra mönster:

  • Installera malware via spearphishing
    • Ofta skickar man dokument med skadlig kod eller länkar till websidor innehållande skadlig kod som man räknar med kommer drabba utvalda grupper. Det kan vara folk som jobbar i vissa branscher, organisationer eller företag.
    • theguardiannews.org var en fejksite som kopplats till APT28.
  • Lura till sig tillgång till webmail genom spearphising
    • Man länkar till onedrive-office365.com eller liknande fejktsida i ett mail.
    • Detta mail ber användarna resetta sitt lösenord eller logga in för att kunna läsa ett dokument.
    • När användare når siten, ser den ut som en riktig inloggningstjänst, men är istället byggt för att locka av användaren deras riktiga namn och lösenord till t.ex. sin mail.
    • Man kan även lura användaren att godkänna auktorisering.
Denna ska du ALDRIG klicka på om du inte förväntar dig denna ruta och vet EXAKT vad den gör. ”Just say No!!!”.
  • Infektion av legitim websida
    • Man kan hacka en legitim sida och sätta upp skadlig iFrame som attackerar användaren webbläsare. Denna attack är mer komplicerad med moderna webbläsare, men principen fungerar fortfarande.
    • Exempelvis utnyttjades den vid en attack mot Polska myndigheter 2014.
    • Resultat: APT28 är inne på nätverket
  • Åtkomst genom Internet-anslutna webservrar
    • Scannar servern efter sårbarheter.
    • Attackerar opatchade sådana.
    • Kommer sedan in och förflyttar sig därefter lateralt genom nätverket.
    • Resultat: APT28 är inne på nätverket!

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.

Länkar

Ryssland och hackning:
https://www.xn--itskerhet-x2a.com/ryssland/

Tveksamt om de verkligen kom så långt med detta:
https://www.reuters.com/article/us-russia-usa-cybersecurity/russia-says-it-is-starting-to-resume-u-s-cyber-cooperation-tass-idUSKBN1WW1TL

Fancy a bear? A fancy bear, even:
https://en.wikipedia.org/wiki/Fancy_Bear

Rapporten Mattias pratar om. Utmärkt tidslinje:
https://www2.fireeye.com/rs/848-DID-242/images/APT28-Center-of-Storm-2017.pdf

Revolutionen som formade Ryssland:
https://www.so-rummet.se/kategorier/historia/det-korta-1900-talet/ryska-revolutionen

IT-säkerhetspodden: Från det kalla kriget till dagens spioner på nätet
https://www.itsakerhetspodden.se/podcast/88-fran-det-kalla-kriget-till-dagens-spioner-pa-natet/

All right, då… Dags för lite skamlös självreklam. Köp Mattias barnbok!:
https://www.bokus.com/bok/9789180072632/cyberdeckarna-gisslanprogrammet/

Facebook Spotify Soundcloud Apple Rss

Senaste avsnitten

Scroll to top