Gå til innhold

Nasjonal sikkerhetsmyndighet følger dataangrepet tett: – Største i sitt slag


Anbefalte innlegg

Videoannonse
Annonse
Gjest Slettet-376f9

Hvordan kan NSM se om min eller andres PCer har blitt infisert? Hvordan følger de et virus verden rundt. Er det spyware på PCene våre som varsler Microsoft/Apple/NSM om at det er noe galt?

Lenke til kommentar

Informasjonen i.f.m. WannaCry/WanaCrypt0r er utfordrende å forholde seg til, delvis fordi det fortsatt mangler mye helt grunnleggende informasjon samtidig som media (både sosiale og mer tradisjonelle) overflømmes av mengder med ekspertuttalelser av varierende kvalitet.

 

Dette "angrepet" (det er sannsynligvis villedende å kalle dette for et angrep) har trådd i kraft fredag 12. mai og har vært temmelig effektivt i å få utført sine oppgaver.

 

Det er også klart at dette angrepet har blitt veldig kraftig/synlig, siden de som står bak dette har benyttet seg av at NSA for lenge siden har oppdaget en sårbarhet i Microsoft Windows operativsystemet sine transport-protokoller. Denne sårbarheten informerte selvsagt ikke NSA Microsoft om, men har brukt den til å angripe ulike mål som de har ment seg berettiget til å angripe (dette kan selvsagt ha vært høyst ulike mål slik Snowdon har skaffet bevis for). Denne sårbarheten ble publisert i mars måned, når et stort slipp av det som ser ut til å være NSA angrepsverktøy og informasjon ble publisert på Internettet av Wikileaks. Dermed ble denne sårbarheten da plutselig offentlig, før Microsoft hadde hatt noen mulighet til å fikse problemet. I første der av april ble denne sårbarheten fikset av Microsoft og såkalte patcher ble gjort tilgjengelig for alle støttede operativsystem versjoner av Windows.

 

Nå ca 1 måned senere har denne sårbarheten blitt benyttet ifm dette "angrepet". Det at denne sårbarheten har gjort at man har kunnet spre seg ekstremt effektivt, og uten brukere sin medvirkning, har selvsagt betydd utrolig mye for de konsekvensene dette har fått...! Nå benyttes denne sårbarheten både internt i nettverkene, men også via Internettet (men det forutsetter at noen har plassert sine Windows maskiner mer eller mindre direkte på Internettet og da fortjener man nesten det man får).

 

MEN, fortsatt er det vel ingen som helt sikkert har klart å beskrive hvordan denne dataormen WannaCry har klart å komme inn til den første datamaskinen i hver bedrift...! Det spekuleres i fisking type e-post med linker eller vedlegg, hvor linker har blitt klikket på eller vedlegg har blitt åpnet. Men fortsatt er det vel ikke bekreftet hvordan dette har funnet sted...???

 

Det hevdes at 57.000 bedrifter/organisasjoner i 99 land har blitt kompromittert (dvs. ikke bare forsøkt angrepet, men gjennomført kompromittert). Hvordan er dette mulig uten at noen har oppdaget helt sikkert hvordan noe har kommet seg inn i bedriftene...? Har alle bedriftene som har blitt kompromittert hatt minst 1 datamaskin åpen mot Internettet? Hvis det har vært benyttet linker eller vedlegg, hvordan har den aktuelle datamaskinen blitt kompromittert...? Dette finnes det ikke noe offentlig informasjon om, så enten vet ingen dette (lite sannsynlig) eller dette holdes skjult (av ulike grunner, hvor det er liten grunn til å like så mange av de sannsynlige årsakene).

 

Både NSM og NorSIS som vanligvis er oppegående organisasjoner, uttales det at det nok er store mengder organiserte kriminelle som står bak dette "angrepet". Det er en smule underlig at det ikke stilles spørsmål ved slike udokumenterte påstander...!

 

Organiserte kriminelles kalles jo dette fordi de i noen grad er organiserte. Det betyr at de har en forholdsvis klar intensjon, kan være ganske brutale i sin fremferd, men går som regel etter verdier (i en eller annen form - fortrinnsvis større verdier). Å sette i gang en operasjon som dette, som havner på alle medier sine førstesider fra Kina, til Russland til USA, så må man nesten være en komplett idiot med veldig destruktive ønsker - for å synes at det er lurt. Det man oppnår er å få fokus fra alle lands organisasjoner som bekjemper kriminalitet (og som gjør det på mange måter). De nærmest tvinger disse til å samarbeide til tross for landegrenser og politiske standpunkter. Det fremstår ærlig talt som lite gjennomtenkt...

 

Når de som har forsøkt å spore pengeoverføringer i denne saken, mener at det har kommet forsvinnende lite frem til mulige initiativtagere - så fremstår dette som en katastrofalt tåpelig aksjon - som vel neppe har vært gjennomført av store mengder organiserte kriminelle. Det er selvsagt mulig at det på ingen måte var meningen at dette skulle bli så voldsomt som det ble, men heller ikke det fremstår som altfor sannsynlig (men er selvsagt en liten mulighet).

 

Derimot fremstår det som langt mer sannsynlig at dette har vært igangsatt av noen temmelig få, som bare har benyttet seg av utbredte botnet til å spre dette - eller at dette egentlig har vært gjort over noe tid - for så å tre i kraft 12. mai. En bedre analyse av de eksemplarene av malware/exploit vil bekrefte/avkrefte dette.

 

En annen mulighet som virkelig bør tenkes over, er at dette har vært voldsomt og skapt masse styr. Det er en ganske perfekt avledningsmanøver, mens man gjør noe annet som var det egentlige målet. Det egentlige målet trenger heller ikke å være så stort, men bør ha en temmelig stor verdi for den som angriper (gitt motstanden som aktiveres her). Dette synes i mindre grad å være vurdert...

 

Det har vært spekulert i (av NorSIS/VG) at noen har hatt Norge veldig i tankene her, men det er verdt å tenke over at eksemplarer av WanaCrypt0r har minst 28 språkfiler inkludert - ergo er vi ikke i noen særlig særstilling. I tillegg har land fra Alaska til New Zealand fått problemer med dette, inkludert USA, det meste av sør-Amerika, EU/EØS, India, Kina, Japan, Russland, Australia, osv. Det er vanskelig å argumentere for at angrepet skjedde fordi norsk IT-personell akkurat hadde tatt helgen...

 

Det at det ble funnet en mulig kill-switch som stopper selve kryptering osv. fra å aktiveres, og det at denne kill-switchen ganske raskt ble tatt kontroll over og gjort operativ, kan bety at de store skadene dermed stoppet fra å bli videreført.

 

Men det meste av dette er basert på de eksemplarene man har funnet og startet å analysere. Ingenting hindrer en mulig angriper i å endre på spillereglene, og skape problemer i stor grad videre.

 

Men igjen så bør det stilles mer spørsmål:

 

- Hvem tjener egentlig på dette?

- Står inntektspotensialet i noe forhold til den ekstreme heksejakten som nå vil igangsatt...?

- Hvordan kom de første eksemplarene av ondsinnet kode inn i den enkelte bedrift eller organisasjon?

- Hva er egentlig vitsen med alt dette, utover å lage mye ståhei?

 

Det er lov til å håpe at flere begynner å stille spørsmål i denne saken...?

  • Liker 3
Lenke til kommentar
Gjest Slettet-376f9

Jeg har alltid vært skeptisk til det som kommer fra sikkerhetsmyndighetene, hvem og hvor de måtte være. Jeg tviler ikke på at de gjør en god jobb, men det som kommer fra dem behøver ikke å være den endelige og fulle sannheten. Det som presenteres er ikke alltid etterprøvbart, og kan derfor være en lett blanding av halvsannheter, hvite løgner og info som skal brukes til å forvirre fienden. Og la oss ikke glemme gode gamle dekkoperasjoner.

Endret av Slettet-376f9
Lenke til kommentar

Hvordan kan NSM se om min eller andres PCer har blitt infisert? Hvordan følger de et virus verden rundt.

 

Virus som dette sprer seg ved å sende forespørsler til tilfeldige adresser. Litt som tyver som går fra hus til hus for å stjele verdisaker.

 

Tenk deg at NSM (Og andre sikkerhetsfirmaer både statlig og private) har fake hus satt ut blant de ekte husene i gata. Disse brukes til å loggføre hvilke områder tyvene operer i. De har ikke noe i ditt hus, men siden har disse fake husene kan de se at noe er på ferde.

 

Firmaer utveksler data fra slike honningkrukker, og ved å analysere trafikken disse mottar kan man lage et ganske godt bilde av hvilke virus som sprer seg på nettet og hva den generelle trenden er.

  • Liker 2
Lenke til kommentar

....snip.

Du har et par direkte feil i din fremstilling. Microsoft kom med sikkerhetsfiksen den 14, mars, mens EternalBlue - som er verktøyet WannaCry bruker for å komme seg inn på maskinene ble sluppet av hackergruppen "The Shadow Brokers" den 14. april. Kjennskapen til sikkerhetshullet - som var det Wikileaks publiserte kom mye tidligere. Det som "The Shadow Brokers" gjorde oppfatter jeg som ren kriminell virksomhet.

 

Så vidt jeg har fått med meg - så er det åpning av filvedlegg i epost som er hovedangrepsmåte (kan også være linker). Og det er nok at en bruker gjør dette på et ikke "oppdatert" nettverk. Det er EternalBlue komponenten som egentlig lager skaden - da den er laget for å distribuere "skadevare/spionprogrammer" i hele nettverket. Men måten EternalBlue virker på - gjør det faktisk ikke så enkelt å spore kilden i et nettverk. Men egentlig er det ikke så interessant - de tre hovedangrepsmåtene for malware/ransomware - nemlig infisert vedlegg, link eller drive-by er alle verdiløse på oppdaterte maskiner.

 

Det er særdeles enkelt å unngå videre spredning av denne. Oppdater Windows (det er patch til og med for XP åpent tilgjengelig) og bruk oppdatert virus/malware-programvare. Defender er oppdatert med signaturer. Patchen hindrer EternalBlue komponenten å virke.

 

57 000 organisasjoner i 99 land er for lite tall - de siste fra Avast og Kaspersky er over 75 000 personer/organisasjoner/bedrifter i 120 land (noen sier 170 000 maskiner). Men 75 000 er ikke noe stort tall - bare i Norge er det over 90 000 virksomheter med flere enn 5 ansatte. Så selv med 75 000 så snakker vi bare om promiller av antall organisasjoner/bedrifter i berørte land. Og % virksomheter som ikke er knyttet opp mot internett er marginal. Man kan ikke drive virksomhet i dag uten å være knyttet til internett. I realiteten er omtrent alt av datamaskiner i dag knyttet direkte til internett - eneste spørsmålet er graden av sikkerhet (dvs brannmur, segmentering etc). Dog i dette tilfellet kan det interne nettverket være meget godt sikret mot omverdenen (militarisert) om bare en bruker har tilgang til å åpne filvedlegg i epost på det interne nettverket hvor maskiner ikke er patchet.

 

Personlig er jeg sikker på at det er tidligere ransomware som har infisert minst 75 000 maskiner, men da er det enkeltmaskiner som er angrepet. Det at EternalBlue komponenten har spredd WannaCry i så stor grad internt, og man derfor har fått så synlig effekt er det som gjør at dette oppfattes som så enormt. Om 10 maskiner hos enketbrukere i den engelske helsevesenet slås ut, vil aldri komme i nyheter. Når 40 % - dvs en del 1 000 maskiner slås ut - ja da blir det oppslag. Problemet hos NHS var at de fremdeles har en del 1 000 maskiner med XP.

 

Bitcoin er så vidt jeg vet vanskelig om ikke umulig å spore - så vi vet vel ikke akkurat mye om det er betalt særlig. Men potensiale er stort - fort vekk en del 100 millioner dollar. 170 000 x 300 = 510 mill

 

Det er ingen kill-switch - det som skjedde var at en 22 år gammel selvlært engelsk "sikkerhetsekspet" ved en tilfeldighet registrerte et domene som ble brukt i spredningen - noe som "reduserte" hastigheten på spredning. Domenet låg i koden.

Men å stoppe krypteringen på infiserte maskiner er umulig.

 

NSM har heller ikke skrevet/uttalt at dette er store mengder organiserte kriminelle. De har sagt at dette er kompetente kriminelle. Sandland i NorSIS har uttalt i VG at det er et "voldsomt apparat av organiserte kriminelle som står bak" - det betyr ikke at de er mange - men at de har nødvendige ressurser. Behov for store botnet er det i dette tilfelle ikke - selv om det må sendes ut en del eposter.

 

Datakriminalitet - blant annet ransomware er meget lukrativ virksomhet med svært lav oppdagelsesrisiko. Så vitsen er nok primært penger. Du spør om det kan være avledningsmanøver. Neppe tror jeg, fordi slike ting vil øke sikkerhetsfokus - og således redusere risikoen for å lykkes.

 

Og, ja det er spørsmål knyttet til dette. Mye informasjon er bare delvis korrekt. Det er også mye opphausing gjennom media. Men etter min mening stiller du ikke de rette spørsmålene. De rette spørsmålene er:

* Er det OK at store bedrifter/offentlige organisasjoner kjører ikke oppdatert OS - når vi ser mulige konsekvenser.

* Er det OK at man skal få lov til å koble maskiner uten oppdatert OS på nettet.

 

PS!!

Må korrigere meg selv, ny info i dag tyder på at et hull i brannmuren er blitt benyttet. Ikke mer info om hva slags hull og hvordan.

Endret av Bolson
  • Liker 4
Lenke til kommentar

Håper man får tak i de som står bak, for dette er uakseptabelt!

 

Det er system og nettverksadministratorer som står bak dette.

 

Kan være tilbøyelig til å si ledelsen.

Men det er admin sin jobb å få det han trenger for å kunne beskytte det han skal beskytte.

 

Men rotårsaken til dette utbruddet er jo som vanlig brukere som klikker på vedlegg i epost.

  • Liker 1
Lenke til kommentar

Epost phishing har bare fått bedre og bedre Emnefelt (overskrifter) i epostene med tiden. I dag finnes det eposter som genuint ser ut å være en "ekte" epost framfor spam slik mye epost så ut for litt tid siden. Selvsagt så finnes det mye slik rare Emnetitler i sirkulasjon enda.

 

En skal derfor ikke være for blåøyd og tro at det ikke også finnes norske involverte betalte oversettere som er en del av det kriminelle nettverket. Gjerne også idémakere, som kommer opp med idéer på foretaksnavn og Emnetitler som klarer å lure folk, hvor det sitter folk med norsk språk- og markedsinnsikt som står på lønninglistene til de kriminelle.

Endret av G
  • Liker 1
Lenke til kommentar

 

Håper man får tak i de som står bak, for dette er uakseptabelt!

 

Det er system og nettverksadministratorer som står bak dette.

 

Kan være tilbøyelig til å si ledelsen.

Men det er admin sin jobb å få det han trenger for å kunne beskytte det han skal beskytte.

 

Men rotårsaken til dette utbruddet er jo som vanlig brukere som klikker på vedlegg i epost.

IT sikkerhet er eit ledelsesansvar.

Dersom IT sikkerhet ikkje er ivaretatt i bedriften.så har ikkje ledelsen gjort jobben sin.

Lenke til kommentar
Gjest Slettet+9817324

For et idiotisk spørsmål Tom, selvfølgelig er det spyware på PC'ene våre.

 

Edit; Feature, ikke spyware ;)

Vi ligger å spyr hele gjengen ja :p

Lenke til kommentar
Gjest Slettet-376f9

Hvor lang tid tar det å kryptere innholdet på en HDD/SSD?

Endret av Slettet-376f9
Lenke til kommentar

De følger situasjonen tett... ja, ikke bare de. Men fra en nasjonal organ som NSM forventer i alle fall jeg at de gjør noe mer enn å følge med, og å komme med slike påstander post-factum betyr at de ikke gjorde noe som helst på forhånd.

Lenke til kommentar
Gjest Slettet-376f9

De følger situasjonen tett, slik de i etterkant kan si hva som skjedde. Etterpåklokskap er den eneste sanne visdom.

Lenke til kommentar

De følger situasjonen tett... ja, ikke bare de. Men fra en nasjonal organ som NSM forventer i alle fall jeg at de gjør noe mer enn å følge med, og å komme med slike påstander post-factum betyr at de ikke gjorde noe som helst på forhånd.

 

Ikke så mye å få gjort i dette tilfellet annet enn å be folk oppdatere systemene sine, og unngå tvilsomme vedlegg.

Lenke til kommentar

De følger situasjonen tett... ja, ikke bare de. Men fra en nasjonal organ som NSM forventer i alle fall jeg at de gjør noe mer enn å følge med, og å komme med slike påstander post-factum betyr at de ikke gjorde noe som helst på forhånd.

 

Hva mer kan de gjøre! Stenge tilgangen til internett for alle i Norge. Det ville blitt ramaskrik og det er heller ikke et virkemiddel som NMS har.

 

Og hva kunne de gjort på forhånd, stengt tilgangen til internett for alle som ikke hadde oppdatert Windows eller brukte Windows XP eller Windows 8. Det ville faktisk krevd overvåkning - og det vil vi ikke ha.

 

Det var ingen som viste noe om hendelsen på forhånd, den kom faktisk som "lyn fra skyfri himmel" på alt av sikkerhetsaktører.

 

Du har nok også misforstått NSM sin rolle. 

Lenke til kommentar

Hvis man mener at de som blir hacka får takke seg selv om de ikke har sikra pcen sin godt nok, så er ikke jeg enig i det. For har man retten til og er uten ansvar om man bryter seg inn i en pc og lager problemer? Jeg mener nei, det har man ikke og det er man ikke. 

Endret av ronron25
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...