Taggat med: Riksbanken

Några kommentarer om intrånget mot Gunnebo

Uppdatering 1: Se längre ner.

Uppdatering 2: Brian Krebs gick redan ut i Feb/Mars och kontaktade Gunnebo efter att en server som tillhör dem stod exponerad ut mot internet med RDP-öppet. RDP är ett protokoll som möjliggör fjärradministration, och enligt Brian så var lösenordet password01. Dock är det oklart om det var via denna RDP-exponering som angriparna tog sig in.

Jag tänkte kommentera några saker gällande intrånget hos säkerhetsföretaget Gunnebo och hur denna typ av grupperingar arbetar.

Först och främst så är det enbart en sak som gäller för dessa antagonister: Pengar. De gör detta enbart för ekonomisk vinning, men Sverige som land drabbas på många olika sätt. Ritningar och information om känsliga system hos myndigheter såsom Försvarsmakten, FRA och Riksbanken kan i detta fall ha läckt ut. Det är rätt av Gunnebo att inte betala lösensumma till utpressarna, jag rekommenderar att aldrig göda denna typ av illegal verksamhet. Gunnebo kan själva också drabbas så klart, på flertalet sätt såsom mindre orderingång, prestigeförlust, negativ aktiekurs osv.

För organisationer som jobbar med leverantörer och underleverantörer såsom Gunnebo gäller det att dela med sig av minimalt med information. Efter uppdraget är slut eller upphandlingen är avklarad är det viktigt att gallra och radera information. Det gäller även eventuella backuper, mail-lådor osv där känslig information också kan sparas under en längre tid.

Intrånget genomfördes mest troligt på följande sätt:

En eller flertalet anställda får riktad E-post under längre tid där budskapet finjusteras till just att träffa deras organisation.

Mailet innehåller en bifogad fil alternativt en länk till en bifogad fil där mottagaren uppmanas att öppna filen. Denna fil innehåller någon typ av RAT (Remote Access Trojan) som inte upptäcks av antivirus-program.

Angriparen får nu ett initialt fotfäste inom Gunnebo och kan börja utforska system och behörigheter. När angriparen är väl innanför det yttre perimieterskyddet så har de flesta organisationer ett något sämre skydd och separation.

Detta är en kritisk punkt: Om organisationen har väl fungerande sensor-system så fångar dessa upp avvikande aktivitet hos användaren eller systemet. En SOC (Security Operations Center) kan fånga upp händelser när angriparen försöker eskalera rättigheter och genomföra lateral movements (sidorörelse?). Organisationen måste då snabbt isolera systemet och genomföra IT-forensik och Threat Hunting med ett EDR-system (Endpoint detection and response). Även kan kommando-kanalen (C&C) fångas upp med ett system som tittar och analyserar nätverkstrafiken, samt själva exfiltrationen som i detta fall handlade om 7.6TB som skickats ut ur nätverket.

Desto längre tid angriparen kan vara i nätverket och utforska desto mer system kan de erhålla tillgång till och sno information från.

Du bör även testa denna förmåga med återkommande annonserade och oannonserade tester. Hela flödet samt inviduella tester såsom phishing-tester mot personal, som förhoppningsvis utbildas löpande i detta.

Utpressarna har troligtvis krypterat delar eller stora mängder med information hos Gunnebo. Därför är det också viktigt att ha backup och testa dessa rutiner kontinuerligt.

Mount Locker som ligger bakom attacken mot Gunnebo arbetar troligtvis med flertalet andra hacker-grupper som tillgodoser den initiala intrångsvektorn. De ger sig på större organisationer såsom börsbolag som har möjlighet att pynta upp över 10 miljoner SEK i lösensumma.

Cybersäkerhet är inte lätt och måste få kosta tid, pengar och resurser

Ledningen måste vara med på tåget och tillgodose att detta finns avsatt och prioritera just detta. Distansarbete i samband med COVID-19 gör också att hotbilden förändras och VPN används i större utsträckning, jag återkommer med ett separat blogginlägg om detta.

Här är en lista med 861 andra organisationer som blivit utsatta av ransomware av 18 olika ransomware-grupperingar:

Uppdatering:

En annan aspekt i det hela att Gunnebo även utvecklar mjukvara till deras fysiska säkerhetssystem. En väl placerad bakdörr i denna mjukvara gör att en angripare kan ta sig förbi det fysiska skyddet.

Från darknet (Tor .onion) så kan man se följande skärmdumpar (källa)

Och den som vill djupdyka närmare när det gäller den typ av skadlig kod som troligtvis riktats eller använts mot Gunnebo kan se mer på Google-ägda VirusTotal.

IT-säkerhetskonferens C2 17 – Förmiddag

Detta är en sammanställning från IT-säkerhetskonferensen Command & Control 2017 förmiddag. Eftermiddagens sammanställning hittar du här

C2 17 har en PANIK-knapp
Klart det finns en PANIK-knapp

Dagens IT-säkerhetskonferens Command & Control ’17 börjar med mingel och frukost samt kaffe i den underbara lokalen Bygget och jag träffar på gamla och nya bekanta i branschen. Efter kaffe och smörgås håller dagens moderatorer Anne-Marie Eklund Löwinder och Åsa Schwarz en introduktion, formalia och genomgång av dagens program.

Kontrollen över internet

Anne-Marie Eklund Löwinder, CISO på IIS

Anne-Marie Eklund Löwinder

Anne-Marie berättar att .se-zonen var den första i världen som började att använda DNSSEC. Olika svagheter i DNS har successivt lett till att DNSSEC har ökat sin penetration bland toppdomäner.

Efter många och långa påtryckningar mot ICANN så blir rotzonen signerad vid den första ceremonin Juni 2010. Anne-Marie berättar om ICANN och IANA som sköter den operativa driften av systemet för signering. Det sker även kontroller i enlighet med 27002:2013 samt NIST SP 800-53 “High Impact system”.

Även så berättar Amel om ansökningsförfarandet och hur hon fick ansöka om att bli en av personerna som har hand om nyckeln för rotzonen. Tre personer skulle bl.a. gå i god för att hon var en bra person. Fysisk säkerhet vid själva ceremonierna är otroligt viktig och åtskilliga lager av fysisk säkerhet finnes.

aep används som hårdvarusäkerhetsmodul (HSM) tillsammans med smarta korta, 7 st TCR:er används.

Alla nycklar har ett bäst-före-datum och om problem uppstår så att nyckelpersoner inte kan ta sig till ceremonin så finns det tre olika fallback-rutiner. Minst tre av sju krypto-officerare måste ha möjlighet att närvara.

Ansvar är bästa försvar – styrkan i de tre försvarslinjerna

Karin Winberg, internrevisor på Riksbanken 

Karin Winberg

Föredraget handlar om ett ramverk som baseras på COSO:s principer om kontroll och uppföljning. Karin delar upp detta i tre försvarslinjer:

  1. Verksamheten och stödfunktioner – 90% av alla medarbetare. Rapporterar till VD
  2. Riskkontroll, regelefterlevnad – 9% av alla medarbetare. Övervakar 1:a linjen samt rapporterar till VD och styrelse
  3. Internrevision – 1% av alla medarbetare. Utvärderar 1 & 2 samt rapporterar till styrelse

Två samt tre är komplement till 1:an. Även förutsätter detta att det finns en VD, ägare samt styrelse. Olika linjer ovan rapporterar även till olika delar, dvs olika rapporteringsvägar. Finns en fjärde försvarslinje som kan vara en extern revisor eller tillsynsmyndighet.

En annan viktig del är hur oberoende olika delar är. Efter denna genomgång går Karin igenom olika nyckelkontroller samt roller och ansvar inom de olika linjerna.

Karin Skarp

Svenskt it-säkerhetsindex

Karin Skarp, Key Account Manager inom marknadsområdet National Security på Advenica

Berättar om en metod (index) för att mäta en organisations mognadsgrad inom cybersäkerhet. Framtaget tillsammans med Dataföreningen, SIG Security, Stockholms Universitet samt Radar. Även om digital ansvar och dess tre hörnstenar som handlar om Digital Functionality, Digital Privacy och Digital Sustainability.

Radar har tagit fram en sammanställning när det gäller olika branscher och dess mognadsgrad och detta återfinnes även i en rapport där svar från 266 organisationer återspeglas. Majoriteten av alla organisationer ligger runt 45-50% på skalan förutom bank och finans som ligger bättre till.

När det gäller kommuner så ligger dom dåligt till när det gäller risk samt mognad. Dock tycker Karin att detta är felaktigt, säg exempelvis om liv står på spel när det gäller vattenrening?

Indexet hjälper till att se var Er organisation är nu och vart ni är på väg.

Länk: https://radareco.se/radar-sakerhetsindex/ 

 Informationssäkerhet 3.0 – när säkerhet blir en del av Polisens verksamhet

Josefine Östfeldt, it-säkerhetschef på Polismyndigheten

Börjar sitt föredrag med att visa bilden på ett inbjudningskort. Syftet är att visa på att säkerhetsorganisationen bör oftare vara inbjuden till olika delar av organisationers arbete.

IT-säkerhetsenheten vid Polisen är just nu 30 pers men kommer snart att bli 70 personer på grund av omorganisation. Polismyndighetens vision när det gäller it- och informationssäkerhetsarbete är att vara ett föredöme för andra myndigheter.

I takt med digitalisering av myndigheten så ökar också efterfrågan på enhetens arbete. Även arbetssättet förändras med exempelvis DevOps och mer agilt, där säkerhetsarbete behövs.

Josefines organisation går mot att jobba mer agilt och mer integrerat mot övriga organisationer inom Polisen. En agil organisation måste kunna jobba snabbt och kräver helt nya krav hur arbetet bedrivs.

  1. Ingen separation av it- och informationssäkerhet. Allt under en funktion men givetvis “Separation of duties”
  2. Säkerhetsfunktionen ska jobba nära verksamheten. Säkerhet är inget man lägger till på slutet.
  3. Riskbaserat it- och informationssäkerhetsarbete. 100% säkerhet är inte bra för en verksamhet, konstant förändring. Identifiera risken
    1. SOC/CERT
    2. Penetrationstester
  4. En mix av kompetenser. Ger bra synergier
  5. Bidra till att utveckla verksamheter. Tillför en ny dimension samt vara proaktiva och ta ansvar.

It-säkerhet i självkörande bilar

Christina Rux, Senior Service Architect, Connected Car IT Services på Volvo Cars

Ungefär 100-200 ECU:er uppkopplad på CAN-bussen i en bil. Man har även börjat att tala om att gå över till Ethernet internt i bilen. Just nu håller Volvo dock på att fundera på vad som ska in i bilar år 2025, för detta är något som planeras nu.

Christinas avdelning jobbar med uppkopplade tjänster såsom:

  • Volvo on call
  • Remote update service
  • Phone as key
  • Uber – Självkörande bilar
  • Zenuity – Definera funktioner för självkörande bilar tillsammans med Autoliv
  • Mobility – Ny enhet på Volvo
  • In car delivery. Leveranser direkt till bilen
  • Road friction indication. Meddelar till molnet hur väglaget är
  • Autonomous drive

Hon nämner även att det genomfördes 330 000 starter av motorvärmare på ett dygn via en app i mobiltelefonen.

När det gäller hur bilen är uppkopplad så är det via en telematikenhet med modem är uppkopplad via Wifi, bluetooth eller modem med SIM-kort.

Hackade bilar blev blev en stor realitet 2015  och hackers intresse för uppkopplade bilar förväntas öka. Ett dataintrång måste kunna stoppas på några minuter. Refererar även till Charlie Miller och Chris Valaseks arbete om att hacka Jeep Cherokee. Externa protokollet från bilen till molnet var samma som gick in på CAN-bussen. Även berättar Chrisina om hacket av Teslas bil och att en over-the-air uppgradering kunde lösa problemet utan att återkalla bilar.

Volvo har en privat PKI inom och utanför bilen. Autentisering och åtkomstkontroll av bilen, mobil-appar och web-lösningar. E2E security mellan bilen, molnet och appar.

Riksbanken: Cyberattacker har blivit vanligare

Riksbanken går nu ut och varnar för att cyberangrepp mot det finansiella systemet. I den senaste rapporten från Riksbanken med titel Finansiell stabilitet 2016 så ägnas ett helt fördjupningskapitel på fyra sidor åt cyberangrepp.

I denna fördjupning så pekar Riksbanken bl.a. på att cyberangreppen ökade med 38 procent globalt under 2015 (källa PWC:s rapport Turnaround and transformation in cybersecurity).

Även så pekar man på den attack som genomfördes mot SWIFT-systemet i Bangladesh centralbank under Februari 2016.

Behöver Er organisation hjälp med cybersäkerhet? Kontakta Triop AB 

Riksbankens system förstora betalningar går under benämningen RIX (här kan du se samtliga deltagare). Och RIX är själva navet i det svenska finansiella systemet och där även transaktioner mot RIX distribueras till SWIFT-nätverket.

Och vad detta betyder beskrivs i rapporten enligt följande:

Detta innebär att ett cyberangrepp mot någon del av dessa sammanlänkade nätverk kan hota den finansiella stabiliteten i Sverige men även internationellt

RIX-systemet
Övergripande bild på RIX-systemet

Även så framgår det i rapporten att allt fler aktörer i det finansiella systemet väljer att outsourca sin IT-infrastruktur. Och även om Finansinspektionen utövar tillsyn mot banker och finansiella infrastrukturföretag så framgår följande:

I dag finns det inte någon myndighets om bedriver direkt tillsyn av externa leverantörer av IT‐tjänster till finansiella företag och har mandat att besluta om sanktioner samt vidta åtgärder gentemot dessa externa leverantörer. Ett uttalat ansvar och mandat i detta avseende skulle sannolikt underlätta arbetet med att belysa och minska de risker som kan uppstå när ett fåtal externa leverantörer av IT‐tjänster ansvarar för en stor del av den finansiella sektorns IT‐drift.

Här kan du ladda hem rapporten i sin helhet som PDF:

Riksbanken Finansiell Stabilitet 2016