Sårbarheter i Citrix ShareFile

Citrix Sharefile

Flertalet sårbarheter har uppdagats i Citrix ShareFile. Dessa sårbarheter håller just nu på att rullas ut på samtliga on-prem installationer.

Produkten Citrix ShareFile är nämligen en produkt som möjliggör fildelning och installeras on-premise.

Vid inloggning dyker följande meddelande upp som uppmanar administratören att uppgradera:

De tre sårbarheterna som åtgärdas är:

  • CVE-2020-7473
  • CVE-2020-8982
  • CVE-2020-8983

Och de versioner av Citrix ShareFile som är sårbara är: 5.9.0 / 5.8.0 /5.7.0/ 5.6.0 / 5.5.0. En eller flera av dessa sårbarheter gör att en angripare kan stjäla filer från servern.

Två av ovan tre sårbarheter identifierades av Danske Bank Red-Team och här finnes mer information direkt från Citrix.

Test av Cobalt Strike

Cobalt Strike

För några månader sedan så införskaffade jag en licens till Cobalt Strike (CS). Jag tänkte dela med mig av mina erfarenheter om vad CS är och vad et kan användas till.

CS är ett kommersiellt bakdörrs-ramverk (C2 framework) som hjälper dig att kommunicera och utföra operationer. Du kan enkelt anpassa ramverket för att försvåra för antivirus-mjukvaror och liknande att upptäcka CS. Det finns även vissa likheter mellan Metasploits Meterpreter och CS, även om Metasploit är kompatibelt med CS.

CS består av tre olika komponenter kan man förenklat säga:

  • Teamserver – Serverdelen som sköter kommunikationen
  • Operatörsklient – Används för att erhålla ett grafiskt gränssnitt och ansluta mot serverdelen. Har chatt osv som gör klienten bra att använda vid Red Teaming-operationer där ni är många.
  • Implantat – Den payload som ska exekveras på målet och skicka beacons till teamserver. Finns som stage och stage-less.

Viktigt också är att veta vad CS inte är:

  • Hjälper dig inte att identifiera sårbarheter
  • Få exploits, enbart 2-3 stycken
  • Implantatet (C2-klienten) funkar enbart på Windows

Mina egna favoriter när det gäller CS är följande:

  • Malleable profiles – Möjliggör unik beacon-nätverkstrafik
  • Man in the browser – Gör att du kan använda webbläsaren som en proxy och använda autentiserade sessioner med smartcards exempelvis
  • Utbildning – Grundaren Raphael Mudge har lagt upp hundratals videos på YouTube för den som vill lära sig.
  • Artifact Kit – För dig som vill ändra implantatet så inte antivirus upptäcker din bakdörr.

För den som vill hålla sig uppdaterad med nya funktioner rekommenderar jag att följa den ändringslogg som återfinnes här: https://www.cobaltstrike.com/releasenotes.txt

Kostnaden för en licens ligger på 35000 SEK första året och sedan 25000 SEK efterkommande år.

Säkerhetspolisens årsbok 2019

Säkerhetspolisen

Säkerhetspolisen släppte nyligen sin årsbok för året 2019 och jag tänkte tolka cyber-relaterade bitar från årsboken.

Först och främst så får det nya cybersäkerhetscentret en hel del utrymme, och om du vill läsa mer om det rekommenderar jag följande blogginlägg.

Kina pekas ut och kinesiska underrättelsehotet omfattar nu även cyberspionage.

Locked Shields är en cyberövning där personal från Säpo medverkat. Den gick av stapeln 10–11 april 2019 och Sverige placerade sig på en tredje plats. Locked Shields anordnas av Natos cyberförsvarscenter, CCDCOE i Estland.

En bild som förevisar hur cyberspionage går till är med i årsboken. Inte så mycket nytt här:

Detta tyckte jag dock var intressant och värt att trycka lite extra på:

Cyberhotet riskerar att få allvarliga konsekvenser för samhällets funktionalitet. Den genomgripande digitaliseringen, att fler enheter kopplas upp mot internet samt fortsatt stora brister i it-säkerheten innebär att riskerna för störningar i samhällsviktiga verksamheter ökar. Även cyberangrepp som riktas mot mål i andra länder kan få allvarliga följdverkningar i Sverige. 

Speciellt det sista stycket är av intresse: Även cyberangrepp som riktas mot mål i andra länder kan få allvarliga följdverkningar i Sverige. Vad kan betyda är att vi har långa och komplexa leverantörskedjor där svenska organisationer kan vara underleverantörer till underleverantörer till ett mål.

Det kan också betyda att bakdörrar som placeras hos leverantörer av IT-utrustning eller mjukvara som är avsedda för ett annat mål också kan hamna hos svenska organisationer. Ett exempel på detta är Operation ShadowHammer där uppdateringar till ASUS-datorer innehöll en bakdörr.

Värt att nämna är att även 5G samt IoT (Internet of Things), AI (artificiell intelligens) också förekommer. Där Säpo ser dessa som exempel kring teknikutveckling och säkerhet för kommande åren.

Glöm inte heller att det behövs samråd med Säpo om en säkerhetskänslig verksamhet ska driftsätta ett system eller göra en väsentlig förändring i ett informationssystem som hanterar säkerhetsskyddsklassificerade uppgifter.

Det är viktigt att Säpo är med tidigt i processen för att kunna lämna vägledning i säkerhetsskyddsfrågor. Beroende på hur omfattande samrådet är genomförs flertalet dialoger.

Det slutliga yttrandet, som utgår från säkerhetsskyddsbedömningen, kommer att lämnas sent i processen när verksamheten är klar med alla tester som visar att alla säkerhetsskyddskrav är uppfyllda. Sedan när yttrandet från Säpo lämnas kan verksamheten fatta beslut om driftgodkännande. 

Även framgår det att myndigheten avser att intensifiera tillsynen inom säkerhetsskydd och där ingår bl.a. penetrationstester av it-system, där sårbarheter i systemen identifieras.

Årsboken slutar med att tre medarbetare presenteras där en av dessa är ”Alexander” som jobbat med IT-forensik.

Här kan du ladda hem årsboken i sin helhet:

VPN-bugg i Apple iOS

Gänget bakom ProtonVPN identifierade en intressant bug när det gäller VPN som etableras från Apples iOS-baserade enheter. Det är nämligen så att anslutningar som redan är etablerade innan VPN-kopplingen upprättas kvarstår. Det innebär att även om ny datatrafik går via VPN-kopplingen så kan gamla redan etablerade TCP-anslutningar ligga kvar i minuter eller flera timmar.

Ett sådant klassiskt känt exempel är Apples pushmeddelanden som nyttjar långlivade TCP-uppkopplingar.

Det finns i dagsläget två stycken workarounds, den ena går ut på att du ansluter till ditt VPN och sedan slår på flygplansläge och sedan slår av flygplansläge så har du dödat alla gamla anslutningar.

Den andar workarounden är att använda Always-on VPN, som tyvärr enbart går att slå på via MDM-profiler.

Och när vi ändå är inne på Apple iOS så tänkte jag passa på att slå ett slag för just Always-on VPN. Just för att det i dagsläget är svårt att undersöka intrång mot Apple iOS, men just Always-on VPN kan hjälp att identifiera intrångsförsök, intrång eller exfiltration. Genom att köra trafiken genom en punkt där ni har goda möjligheter att undersöka vad som går till och från Apple-telefonerna.

Nåväl, vi kan alltid hoppas att Apple EndpointSecurity Framework kommer till iOS i framtiden och inte enbart macOS.

Oklart hur dessa påverkar VPN-leverantörer såsom Mullvad och OVPN som baserar sin mobilkoppling på OpenVPN. Men troligtvis är dessa också sårbara eftersom OpenVPN Connect till iOS lägger till en VPN-profil i telefonen.

Vet du mer? Kommentera gärna nedan.

Identifiera cyberintrång med Moloch

Identifiera cyberintrång med Moloch

Jag har haft på min todo-lista ända sedan det första släppet av Moloch som var år 2012 att jag ska testa verktyget. Moloch utvecklades innan 2012 internt hos AOL men släppte det sedan fritt för allmänheten. Dock så dröjde ända tills November 2019 innan jag fick bekanta mig mer med verktyget.

Moloch är ett verktyg som låter dig göra indexerade sökningar i stora mängder data. Säg exempelvis att du lagrar många hundra terabyte av PCAP-data och vill hitta vilka datorer på ditt nätverk som pratat med en viss IP-adress. Att göra en sådan sökning i mängder med PCAP:s kan ta otroligt lång tid. Du kan så klart använda Argus-metadata för att snabba upp sökningen men Moloch är mer användarvänligt samt avkodar information om varje protokoll också, som så klart också är sökbart.

Som backend använder Moloch sökmotorn Elasticsearch som är skriven i Java. Även så tillför Moloch ett snyggt webbgränssnitt och ett REST-API, här kommer två skärmdumpar:

Sessions screenshot
Vy för anslutningar (Connections)
SPI View screenshot
Vy för SPI (Session Profile Information)

Förutom själva webb-gränssnittet så finns även mjukvaran moloch-capture med som antingen kan importera PCAP-filer offline eller läsa av data direkt från ett interface.

Du kan även enkelt tagga upp information från andra system såsom Maltrail eller Suricata och sedan se dessa taggar eller söka på taggarna i Moloch via API:et eller verktyget som följer med:

capture/plugins/taggerUpload.pl localhost:9200 ip iptagdata tag tag .. tag
capture/plugins/taggerUpload.pl localhost:9200 host hosttagdata tag ..
capture/plugins/taggerUpload.pl localhost:9200 md5 md5tagdata tag
capture/plugins/taggerUpload.pl localhost:9200 email emailtagdata tag
capture/plugins/taggerUpload.pl localhost:9200 uri uritagdata tag

Det jag gillar mest med Moloch är att den kan avkoda ett antal olika protokoll såsom DNS, SSH, HTTPS, HTTP, DHCP, radius, socks osv.

För att ge ett exempel på en av många Threat Hunting teser du kan köra:

Vilka unika HASSH klient fingerprint SSH finns det och vart ansluter dom?

Så steg ett är att exportera dessa, exempelvis genom att gå på SPI-vyn och sedan Export unique HASSH. Då öppnas en ny länk med följande tre HASSH-fingerprints:

Tre unika HASSH (bilden är maskad)

Sedan klickar jag på Sessions-fliken och kan söka på sessioner med någon av dessa unika HASSH-fingerprints:

Sökning på en unik hassh i Moloch, bilden är maskad.

Om du är observant så ser du även att det finns en flik som heter Hunt. Den kan användas för att göra klartext-sökningar med intervaller, tyvärr inte så användbar om du inte kör TLSI (TLS Inspection).

Du kan även lägga upp något som heter Cron-queries som körs vid intervaller som sedan skickar notifieringar via Slack, E-post eller Twilio.

Sammanfattning Moloch

Verktyget är gratis att använda och stödjer Er verksamhet i att analysera nätverkstrafik. Det är ingen hög inlärningströskel och kan snabba upp arbete som i dagsläget kanske är mindre effektivt.

Moloch kompletterar andra open-source verktyg såsom Zeek och Suricata mycket bra.

Även har Moloch möjlighet att exportera data som PCAP från sessioner, vilket gör det enklare också om du vill analysera en händelse ytterligare med exempelvis Wireshark.

Ny allvarlig sårbarhet i SMBv3

Uppdatering: Nu har Microsoft släppt information också. De skriver att du kan använda följande Powershell-oneliner för att stänga av SMBv3-komprimering tillsvidare:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Observera att ovan oneliner ej hjälper mot klient-attacker.

Uppdatering 2: Nu kan du skanna ditt nätverk med följande verktyg: https://github.com/ollypwn/SMBGhost sårbarheten har fått namnet SMBghost

Information har nyligen släppts angående en sårbarhet i Windows hantering av SMBv3-protokollet. Denna sårbarhet kan jämföras med EternalBlue som var mycket allvarlig, dock så var det sårbarhet i SMBv1. Efter malware såsom WannaCryNotPetya och BadRabbit så hoppas jag verkligen att SMB-kommunikation är begränsad i många nätverk.

Fortiguard som varit snabba att släppa information uppger att det är nedan operativsystem som är sårbara. Titeln på Fortguards sida är: ”MS.SMB.Server.Compression.Transform.Header.Memory.Corruption”

  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows Server, version 1903 (Server Core installation)
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows Server, version 1909 (Server Core installation)

Denna sårbarhet går under CVE-2020-0796 och enligt en cachad sida hos Cisco Talos så verkar det som om Cisco felaktigt trodde att Microsoft patchat denna under dagens patch-tisdag.

Följande sökning ligger kvar hos sökmotorn DuckDuckGo:

Enligt Niall Newman på Twitter så går det att stänga av stödet för komprimering i SMBv3 med följande registernyckel, dock otestat:

Bild

Så slutsatsen är att detta kan leda till en ny mask som sprids snabbt. Microsoft kan tvingas att släppa en patch i förtid och enligt ovan så kan det eventuellt gå att stänga av komprimering i SMBv3.

Hur många attacker stoppar en WAF?

Svar: Mellan 1 och 100% av alla attacker enligt en ny undersökning. Läs mer nedan.

Finska cybersäkerhetsföretaget Fraktal bestämde sig för att göra ett test för att se hur väl en Web Application Firewall (WAF) fungerar.

Det finns rätt många WAF-leverantörer på marknaden och Fraktal fokuserade enbart på Azure Waf Amazon Managed, AWS WAF Fortinet Managed, Azure Waf with CRS 3.1 samt Barracuda WAF-as-a-Service.

Jag kan säkert komma på minst 10 andra WAF-tjänster som ej är testade, vilket är lite tråkigt.

Testresultatet ser ut enligt följande:

Och detta resultat är rätt anmärkningsvärt. Främst för att vissa produkter enbart fångade upp 1-2% av attackerna samt andra konstigheter såsom:

  • AWS Managed WAF hanterar POST och GET olika. Följande anrop blockerades i GET men inte i POST: %2e%2e//etc/passwd
  • Barracuda blockerar om är det enda i ett anrop. Men inte anrop såsom eval(‘sleep 5’)

Slutsatsen från denna undersökning tycker jag bottna i att vi ej bör lita helt på en WAF utan att den enbart fångar mellan 1-100% beroende på vilken WAF som används.

En WAF kan fånga lågt hängande frukter och en angripare med någorlunda kunskap bör kunna ta sig förbi en WAF.

CRS står för Core Rule Set och kommer från OWASP. Azure WAF har som standard version 3.0 och den nyaste versionen är 3.1 som man själv kan slå på. Version 3.1 innehåller fixar för false positives, file upload regler, Java-attacker och mer.

Givetvis kan även OWASP Core Rule Set även användas med ModSecurity/NAXSI och webbservrar såsom Nginx och Apache.

FRA årsrapport 2019

Ett återkommande tema på denna blogg är att skriva några rader gällande den årsrapport som FRA publicerar. Årsrapporten för året 2019 släpptes igår Torsdag den 20:de.

Årsrapporten ger oss en inblick i en verksamhet som omfattas av mycket sekretess. Men först, på uppmaning av FRA: lös kryptot nedan.

KODSXTTUMEVSXENXTEÄOGSUXRKCR

KTFIEHIALÖGRXTPAREHIEXNXSENT

Årsrapporten inleds av ett förord av FRA:s nya generaldirektör Björn Lyrvall som varit på plats sedan några veckor tillbaka. Från tiden att Dag Hartelius avgick tills det att Björn var på plats så var Charlotta Gustafsson tillförordnad GD (och numera överdirektör).

Rapporten går även igenom nya initiativet Sommarlovön där 15 stycken gynmnasieungdomar fick testa på att hacka och försvara en fiktiv myndighet. Som hjälp hade eleverna experter från FRA:s avdelning för cyberverksamhet.

Samverkan är en viktig del och det nya säkerhetscentret nämns givetvis i rapporten också, även framhålls det att NCSC ofta framhålls som en väl fungerade enhet.

Cyberförsvarspodden och Tekniskt Detekterings- och Varningssystem (TDV) nämns också samt att fler verksamheter har fått systemet installerat. Jag har tidigare skrivit om TDV här på bloggen ett antal gånger.

Nygamla hot såsom gråzons-problematiken och icke-linjär krigföring (hybridhot) tas också upp.

Under förra året har det kommit ny lagstiftning som tydligt klargör att FRA:s underrättelserapporter inte får användas i en brottsutredning och i rättsskipning. Detta gör att FRA kan rapportera även under en pågående förundersökning.

Här nedan du ladda hem årsrapporten i sin helhet (PDF)

Cyberförsvarsdagen 2020 eftermiddag

Detta är en sammanfattning av eftermiddagens pass under Cyberförsvarsdagen 2020. Du kan läsa om förmiddagen här

Moderator Lasse Larsson från Sectra inleder passet.

Kvantdatorer, när eller fjärran

Talare: Niklas Johansson, Linköpings universitet

En kvantdator kommer inte lösa alla problem utan enbart vissa specifika.

Grovers algoritm och Shors algoritm kan användas för att snabba upp beräkningar och gör asymmetrisk kryptering osäker.

Kvantkrypto är främst kommunikationsprotokoll som är kvantsäkert.

Frågan som återstår och som alla försöker svara på är när en kvantdator kan användas för att dekryptera eller focera krypterad information. Men frågan som återstår är om man verkligen behöver en kvantdator?

Kryptotexter samlas in idag för att avkrypteras i framtiden

AI för försvar och säkerhet

Talare: Linus Luotsinen, FOI

Djupinlärning som är ett område inom AI och maskininlärning som talaren kommer att fokusera på i denna presentation. Men precis som kvantdatorer så kan djupinlärning användas för att lösa specifika uppgifter.

Målsättningen är att bli effektivare och skriva bättre mjukvaror. Men i dagsläget så skiftas bara tiden från utvecklare till forskare.

Inom försvar och säkerhet har vi svårt att dela med oss av data så vi har svårt att hitta stora datamängder. Men vi kan göra detta via metainlärning där vi lär oss att lära via exempelvis simulatorer. Förklarbar artificiell intelligens är ett område där operatören måste förstå och ha tillit till hur AI:n fungerar. Det har även att göra med med etik och lagar också.

Hur man kan manipulera maskininlärningsalgoritmer är ett område där FOI forskar, dvs hackbar AI eller AI som hackas. Samt hur man bygger skyddsmekanismer mot detta.

5G och global säkerhetspolitik

Talare: Hosuk Lee-Makiyama, European Centre for International Political Economy (ECIPE

Det finns en stor skillnad mellan Japan och Kina. Japan var det stora hotet under 80-talet och man pratade om Sony men det blev Spotify som tog över. Kommuniststyret är en av Kina största tillbakahållare i dagsläget för att de ska öka.

En myt eller missförstånd om Huawei är att företaget har en militär bakgrund. Att grundaren har jobbat på PLA är sant men inte helt konstigt men det har faktiskt de flesta. Det andra stora kinesiska bolaget ZTE är givetevis statligt.

Underrättelselagen i Kinas lagbok är den som är intressant där alla företag måste ge staten tillgång till källkod eller lägga in bakdörrar.

Marknadsbegränsningar och fysiska begränsningar mot Huawei räcker inte. Frågan är hur staterna kan hålla borta dessa företag och vilka resurser har staterna att göra det, för det är ju förenat med en kostnad.

Vikten av svenska moln

Talare: Daniel Fäldt, Saab

Sverige ligger bra till när det gäller digitalisering, vi ligger på topp fem i världen. Men när det gäller säkerhet så ligger vi runt 17:de plats.

Vi ska bli bäst i världen på digitalisering enligt Regeringen och Riksdagen. Datadriven digital innovation, förmodligen något med AI.

Ett moln är effektivtet, robusthet och säkerhet.

Daniel visar på ett dokument som kommer från Snowden-läckorna där det står att Sverige är ett hot när det gäller ny teknik.

Digital information är Sveriges nya råvara!

Daniel Fäldt, Saab

Panelsamtal: Hur nyttjar vi teknikens trender och dess utveckling och samtidigt säkerställer säkerheten

  • Niklas Johansson, LiU
  • Linus Luotsinen, FOI
  • Daniel Fäldt, Saab
  • Hosuk Lee-Makiyama, ECIPE

Hosuk säger att det spelar ingen större roll vilket moln vi väljer, se exempelvis bundes-molnet i Tyskland där man kör allt på egna servrar. Men servrarna är kinesiska. Ryssland är också en partner med Kina och ser sig som nummer två och ser som gemensam part att bryta upp europa.

Linus berättar att varje universitet i USA har en neuronnätsforskare vilket vi inte har i Sverige. Givetvis har vi duktigt folk i Sverige men inte på den bredden som finns där. Vi får försöka bli duktiga på det vi kan och hitta ett eget spår.

Vad kan man göra med Googles kvantdator som har 50 qubit? Problemet som Googles kvantdator löser är ett ickeproblem. Man genererar brus som är svårt att återskapa med en vanlig dator.

Den mänskliga faktorn

Föreläsare: Carolina Angelis, fd. underrättelseofficer

Moderator: Eliza Öberg, Expisoft

Carolina berättar om att bilden om spionage inte stämmer överens med verkligheten. Hon berättar om gripandet för ett år sedan då Säkerhetspolisen grep en person som jobbade på uppdrag av Ryssland, han drev ett eget IT-företag och försåg en lokal SVR-agent med information.

HUMINT eller personbaserad inhämtning är ett hot mot alla typer av organisationer och många tänker att men det händer ju inte mig.

Tillfälle, motiv och bristande inre kontroll används för att rekrytera en insider. Sergej Skripal greps av GRU och släpptes senare vid ett spionutbyte men förgiftades senare år 2018 i Storbritannien av nervgiftet Novitjok.

Desto bättre tekniska lösningar vi omger oss av desto större motiv har angriparen att rekrytera en insider.

Carolina Angelis

En person kan ändras under tiden men varningssignaler kan vara lite farligt att titta på. Men det farligaste är att helt strunta i att reagera och säga sedan ”jo vi såg ju detta komma, men ingen har gjort något”.

Eliza frågar: ”Vilken av följande parametrar tror du kommer att påverka hot- och riskbilden mest de kommande 5 åren?” Flest röstade på människan.

Gråzon – Vilka områden i gråzonen anser du har blivit normalläge? Svaret cyberangrepp vinner.

Vilken/ vilka är den/ de viktigaste framgångsfaktorerna för en lyckad organisationsöverbryggande samverkan? Förtroendefullt nätverk är svaret med flest röster.

Vem borde vara huvudansvarig för att ha en helhetsbild av säkerhetsläget i svensk IT-infrastruktur? Nya nationella cybersäkerhetscentret fick flest röster.

Vilken är den viktigaste prioriteringen de kommande fem åren för ett stärkt nationellt cyberförsvar?

Ett väl fungerande cybersäkerhetscenter med deltagande av näringslivet fick 70%.

Sveriges digitala suveränitet kräver en helhetsbild 

Första talaren är André Catry vid Nixu och berättar att cyber är den femte krigsdomänen: cyberdomänen. André är också stolt över att NSA måste spionera på Sverige och refererar till Daniel Fäldts presentation.

Vi behöver zooma in för att inte se allt brus där ute när det gäller intrångsförsök. Att titta på insidan är det viktiga och tittar på vad som händer i vårat nätverk.

Men fler noder ger fler detaljer och detta var en idé som således in till KBM redan för 20 år sedan. Men hur ingriper man detta då? Jo genom IT-försvarsförbandet. Men sedan tog FRA över och valde då att hemligstämpla allt.

Transparens är inte direkt underrättelsetjänstens signum.

André Catry

Vad måste vi göra då undrar André? Jo följande saker måste genomföras:

  • Gemensam lägesbild för Sverige – Offentligt och privat. Omvärldsbevakning samt med våra grannländer
  • Nationell insatsledning – Någon som kan peka med hela handen: En cyberczar
  • Sekretess – Integritet – Detta är en avvägning
  • Digital suveränitet – Vi måste äga datan

Panelsamtal: En helhetsbild av det nationella läget – kan Sverige se den bilden?

Moderator: Vesa Virta, FRA

Panelen innehåller:

  • André Catry, Security Advisor NIXU
  • Magnus Lundgren, Business Development, Recorded Future
  • Mathias Bjarme, FM CERT 

Mathias ser att man gärna delar Försvarsmaktens lägesbild precis som man delar med sig av luft eller vattenlägesbilden.

Räkna med Försäkringskassans utbetalningar som del av lägesbilden säger Magnus på Recorded Future.

Bör vi titta på Snort eller är det Nmap och Shodan vi ska använda undrar Vesa? Man bör göra allt hela tiden anser André.

Magnus tycker att man kan benchmarka sig mellan sektorer och Vesa frågar sig om man bara behöver springa om sin kompis när man blir jagad av björnen.

Ett cybersäkerhetscenter bör placeras där kompetens finns såsom universitet och högskolor.

Mathias avslutar med att alla bör försöka vara med i Locked Shields för det bygger förtroende. Magnus tycker organisationer ska budgetera för säkerhet.

Framåt – vad behöver göras framåt för att stärka Sveriges cyberförsvar?

Moderator: Nina Larsson, 4C Strategies 

Paneldebatt med:

  • Pernilla Rönn, Combitech
  • Pontus Johnson, KTH
  • Jonas Lejon, Triop (undertecknad)

En fråga som lyfts upp från moderatorn är utbildning och vad som behöver göras inom området. Pontus berättar om deras satsning på KTH att utbilda cybersoldater.

Jag anser att vi alla måste vara ambassadörer för yrket och försöka få fler att bli intresserade av cybersäkerhet.

Även så togs frågan upp om hur vi ska mota bort antagonister som har en lång uthållighet som sträcker sig över flera år. Där tipsar jag om att bedriva uppsökande verksamhet samt titta där ingen annan tittar.

Pernilla framhåller vikten av mångfald inom branschen och skulle gärna se flerr kvinnor inom området, vilket det är brist på.

Cyberförsvarsdagen 2020 förmiddag

Detta är en sammanfattning av förmiddagens pass under Cyberförsvarsdagen 2020. Du kan läsa om eftermiddagen här

Inledning

Dagen började med att två generaldirektörer, en generalsekreterare och chefen för Försvarsmaktens LEDS CIO pratade om vad som är normalläge och vad som är gråzon.

Enligt FRA så befinner vi redan i en gråzon och detta ser FRA genom sin signalspaning såsom TDV-systemet. Angriparna är ute efter våra innovationer och konkurrenskraft instämmer Robert Limmergård.

De stora resurserna har statsunderstödda aktörer men enskilda små hacker-aktörer

Cybersäkerhetscentrets viktigaste uppgift enligt paneldeltagarna:

  • Björn Lyrrvall – Genom samverkan kan vi bättre skydda våra system
  • Dan Eliasson – Vi jobbar nära med andra myndigheterna och poolar våra resurser och får då bättre detekteringsförmåga
  • Robert Limmergård – Viktigt att vi inte häller ner informationen i ett stort svart hål.
  • Lennart Kvannbäcken – Viktigt att det finns personal i form av kött och blod och att samverkan blir mer än bara papper.

Annika Avén frågar panelen om bra exempel på samverkan mellan myndigheter och civila samhällen. Några exempel på bra samverkan som lyfts upp är FIDI-grupperningarna, arbetet via DIGG samt att bara denna dag är ett bra exempel. NSIT lyfts också upp som en bra gruppering, mycket av infrastrukturen ägs av den privata sidan.

Paneldebatt: Hotbild – Ansvar – Övningar

Moderator Martin Waern, Scandinavian Risk Solutions (SRS)

Lägesbild och hotbild

Inledningstal inför passet är Jan Berg som är chef för TDV på FRA berättar om hur hotbilden förändrats på 20 år samt att det finns runt hundratalet aktörer i dagsläget.

Hur mycket resurser behövs det för att bedriva denna typ av cyberattacker? Det finns otroligt många verktyg som open-source men även kommersiella verktyg.

Vad är det för aktörer som håller på med datorintrång? Grupperingar som är löst eller hårt knutna till olika stater, drivs av ekonomiska och politiska motiv. Agendan spelgas i den underrättelseinhämtning som genomförs.

Intressant kreativt scenario som Jan tar upp är intrånget mot den svenska dopingorganisationen. Man såg det nästan komma eftersom samma aktör troligtvis genomfört attacker mot WADA, World Anti-Doping Agency.

CloudHopper (APT10) samt Operation Soft cell är två intressanta operationer som visar på när antagonister går på tjänsteleverantörer.

Det tar i snitt 200 dagar innan ett intrång upptäcks, vad får det för konsekvenser för Er frågar sig Jan Berg på FRA. Ha ett långsiktigt arbete för det har aktörerna.

Panelsamtal: Signalskydd och hotbilden – är vi på rätt väg?

Panelen består av följande personer:

  • Jan Berg, FRA
  • Jens Bohlin, Tutus
  • Roger Forsberg, MSB
  • Peter Eidegren, Försvarsmakten

Många affärsdrivna verksamheter tänker inte först och främst på hotbilden när man försöker vara kreativa.

Nya signalskyddsföreskrifter finns nu på plats och har tidigare bara gällt för myndigheter. Andra verksamheter har tidigare använt signalskydd men inte varit reglerade av föreskrifterna. Men nuförtiden omfattar instruktioner och föreskrifter många fler organisationer.

Det finns bra och tydliga rutiner för Sveriges signalskydd, och det skapar förtroende berättar Peter Eidegren. Vad som också är nytt är att MSB som tidigare haft ansvaret för tilldelning av signalskydd så erbjuds nuförtiden enbart nyttjanderätt (en typ av lån).

Roger Forsberg berättar att MSB har möjlighet att besluta vilka som har tillåtelse att nyttja signalskydd. Man tecknar då en överenskommelse med MSB, signalskydd är av Svenskt nationellt säkerhetsintresse.

Man har även en plan framöver och anskaffar system samt försöker lägga dem på hyllan, men ibland kan de ta upp till ett år att få kryptosystem.

Jens Bohlin berättar om industrins utmaningar med att ta fram kryptosystem. Det är viktigt att jobba agilt och parallellt så inte utvärderingen av kryptosystem tar för lång tid och systemen är föråldrade när de väl kommer ut.

Behövs det verkligen fyra myndigheter som är ansvariga för krypto i Sverige frågar sig Martin? Det finns givetvis effektivitetsvinster säger Jens.

Roger avlutar paneldebatten och berättar om att dagens kryptosystem kan lösa många av organisationernas behov upp till nivå kvalificerat hemlig. Det gäller att vara kreativ och mycket går att köra över IP såsom IP-telefoni samt video.

Panelsamtal: Hur håller vi igång vårt fungerande samhälle?

Moderator: Torsten Bernström, CGI

Panelen består av följande deltagare:

  • Överste Patrik Ahlgren, Försvarsmakten
  • Mattias Wallén, SRS
  • Martin Allard, 4C Strategies

Martin berättar angriparen angriper oss där vi är som svagast och tar upp fel faktorer för fungerande försvar:

  • Försvarsmakt
  • Förtroende
  • Försörjningsberedskap
  • Fortifikation
  • Förfogande

När man arbetar med en utredning så har man ett direktiv att utgå ifrån. Och vill man annat får man prata med departementet.

Patrik berättar om vad en kvalificerad aktör kan ställa till med i samhället och att det inte går att åstadkomma 100%-ig säkerhet. Man måste räkna med bortfall. Ett exempel är att det måste finnas alternativa metoder för betalningar.

Alla i Sverige har ett ansvar att bidra till försvarsviljan anser Patrik. Ett robust samhälle går inte att bygga med den moderna tekniken, det är en utopi.

Svagheterna finns inte alltid där man tror och det ser ut som en lasagne och inte som stuprör säger Mattias. Lyfter upp dolda beroenden såsom OpenSSL samt sårbarheten Heartbleed.

En bra grundsäkerhet är att tjänsteleverantörerna klarar av de kända säkerhetshoten berättar Patrik.

Finns det en idé om K-företag 2.0, frågar moderatorn Torsten till Martin. Det finns flera skäl till att den inte går att införa systemet såsom upphandlingsregler. Regler runt konkurrens och EU är några delar som gör det svårare. Vilka företag ska omfattas om krigsplaceringar frågar Martin publiken.

Gemensamma privat-offentliga övningar för ett stärkt cyberförsvar

Gemensamma privat-offentliga övningar för ett stärkt cyberförsvar

Moderator: Torsten Bernström, CGI

Paneldeltagare:

  • David Olgart, Försvarsmakten
  • Erik Biverot, lagledare LockedShields
  • Daniel Vikström, Afry

David börjar med att berätta om övningen SafeCyber och Försvarsmaktens beroenden av olika företag och organisationer. Övning leder till att stärker cyberförsvarsförmågan.

  • Teknisk incidenthantering och rapportering. Kopplade mot diskussionsövningen
  • Riskhantering och beslutsfattande
  • Genomförde forskning. Hur genomför man effektivt incidenthantering?
  • Forskning på lägesuppfattning.

De mjuka delarna var också viktiga och att folk lärde känna varandra och den viktigaste erfarenheten var att fler ville köra övningar.

Erik berättar om CCDCOE och övningen Locked Shields samt att det var 23 tävlande lag från olika nationer.

Sverige hamnade på tredje plats under 2019 och det är otroligt bra då enbart Tjeckien och Frankrike hamnade före. Hela miljön är öppen och inget hemligt hanteras.

Hur organiserar sig ett tillfälligt sammansatt team är intressant forskning nämner Daniel och något som Gazmend Huskaj forskar på.

Moderatorn Torsten frågar panelen hur kunskapen sprids från övningar: David tipsar om FOI:s rapport som går igenom samt nämner MSB:s handbok för övningar.

Man måste vara ödmjuk säger Erik och detta är en kompetensdriven faktor, mycket hänger på vilka individer vi får tag på. Informella kunskapsöverföringen är också viktig säger Erik.

Nationellt Cybersäkerhetscenter – Storbritannien

Moderator: Richard Oehme, Knowit

En talare från brittiska UK Nation Cyber Security Center, NCSC berättar om Storbritanniens satsning och vad de har lärt sig om de senaste tre åren.

De försöker göra det enklare för företag och privatpersoner att använda Internet säkert. De försöker också bli mer transparenta och är en del av GCHQ, FRA:s motsvarighet i Storbritannien. Om en attack mot elnätet skulle inträffa så skulle det vara till NCSC som folk skulle vända sig till.

De har projekt just nu för att säkra upp smarta elnät och kritisk infrastruktur inom området smarta städer. Annat de har utgivit är en broschyr för småföretagare om cybersäkerhet.

En annan lyckad satsning som nämns är Exercise in a box som gör det enkelt för små företag och organisationer att öva. Allt är givetvis gratis som NCSC gör:

Exercise in a Box is an online tool from the NCSC which helps organisations test and practise their response to a cyber attack. It is completely free and you don’t have to be an expert to use it.

En av det mest intressanta sakerna jag tyckte hon nämnde var automatiskt nedtagning av phishing-webbsajter samt möjlighet att stoppa andra attacker automatiskt, går under namnet Active Cyber Defence (ACD).

Säker rekursiv DNS som de utvecklat tillsammans med civila sektorn som blockerar osäkra sajter (PDNS).

Ett tydligt mandat och en budget var två av framgångsfaktorerna för det brittiska cybersäkerhetscentret men även att de är samlokaliserade med GCHQ.