Nasjonal sikkerhetsmyndighet følger dataangrepet tett: – Største i sitt slag

[KWPHWF43]

Håper man får tak i de som står bak, for dette er uakseptabelt!

 

Næ, det krever at myndighetene benytter seg av elektronisk overvåking, og det liker ikke fake-liberalerne i dette forumet. La da heller de kriminelle få holde på.

[HNX7PN1L]

Synes ikke det var noe stort til angrep egentlig, tar man i betraktning botnet's som har funnets i mange år, kan man jo lett se at dette ikke var store greier. ref https://en.wikipedia.org/wiki/Botnet (scroll ned til historical list of of botnets)

 

Man kan jo anta at om en som har et slikt botnet, har lyst og installere en ransomware kan han lett trigge dette på samme måte som han gir andre kommandoer (instrukser) til botnettet? f.eks 20% av et botnet med 1 million infiserte maskiner ville väre likverdig dette 'angrepet'. men klart dere elsker vel og blåse opp småsaker,

[nessuno]

 

De følger situasjonen tett... ja, ikke bare de. Men fra en nasjonal organ som NSM forventer i alle fall jeg at de gjør noe mer enn å følge med, og å komme med slike påstander post-factum betyr at de ikke gjorde noe som helst på forhånd.

Hva mer kan de gjøre! Stenge tilgangen til internett for alle i Norge. Det ville blitt ramaskrik og det er heller ikke et virkemiddel som NMS har.

 

Og hva kunne de gjort på forhånd, stengt tilgangen til internett for alle som ikke hadde oppdatert Windows eller brukte Windows XP eller Windows 8. Det ville faktisk krevd overvåkning - og det vil vi ikke ha.

 

Det var ingen som viste noe om hendelsen på forhånd, den kom faktisk som "lyn fra skyfri himmel" på alt av sikkerhetsaktører.

 

Du har nok også misforstått NSM sin rolle.

Jeg vet ikke... se hvor angrepet stammer fra, stenge "hovedkilden" av viruset som kommer til Norge hvis det er snakk om helt konkrete websider... finne ut hvem skal ha bitcoins for å "frigjøre" maskinene og for eksempel angripe utpresseren (for å hindre spredning) og gjennom angrep sikre bevismaterialer for senere anmelding/etterlysning via Interpol.

Jeg vet ikke, jeg er ikke noe IT-arbeider så jeg bare gjetter, men hvis en nasjonal sikkerhetsmyndighet bare "følger med" og hvis det eneste svaret man får er "hva mer kan de gjøre?" så synes jeg man bør for eksempel stryke de fra statsbusjetten. Hva pokkeren er vitsen med en "sikkerhets"myndighet som bare "følger med"? Masse katter bruker timehvis hver dag for å kikke ut vinduet og følge med ting, ingen av dem er derimot finansier av skattepengene.

Endret 14. mai 2017 av nessuno

[Bolson]

 

 

De følger situasjonen tett... ja, ikke bare de. Men fra en nasjonal organ som NSM forventer i alle fall jeg at de gjør noe mer enn å følge med, og å komme med slike påstander post-factum betyr at de ikke gjorde noe som helst på forhånd.

Hva mer kan de gjøre! Stenge tilgangen til internett for alle i Norge. Det ville blitt ramaskrik og det er heller ikke et virkemiddel som NMS har.

 

Og hva kunne de gjort på forhånd, stengt tilgangen til internett for alle som ikke hadde oppdatert Windows eller brukte Windows XP eller Windows 8. Det ville faktisk krevd overvåkning - og det vil vi ikke ha.

 

Det var ingen som viste noe om hendelsen på forhånd, den kom faktisk som "lyn fra skyfri himmel" på alt av sikkerhetsaktører.

 

Du har nok også misforstått NSM sin rolle.

Jeg vet ikke... se hvor angrepet stammer fra, stenge "hovedkilden" av viruset som kommer til Norge hvis det er snakk om helt konkrete websider... finne ut hvem skal ha bitcoins for å "frigjøre" maskinene og for eksempel angripe utpresseren (for å hindre spredning) og gjennom angrep sikre bevismaterialer for senere anmelding/etterlysning via Interpol.

Jeg vet ikke, jeg er ikke noe IT-arbeider så jeg bare gjetter, men hvis en nasjonal sikkerhetsmyndighet bare "følger med" og hvis det eneste svaret man får er "hva mer kan de gjøre?" så synes jeg man bør for eksempel stryke de fra statsbusjetten. Hva pokkeren er vitsen med en "sikkerhets"myndighet som bare "følger med"? Masse katter bruker timehvis hver dag for å kikke ut vinduet og følge med ting, ingen av dem er derimot finansier av skattepengene.

 

 

Å finne ut hvem som skal ha bitcoins er i realiten nesten umulig. Bitcoin legger ikke igjen spor i tradisjonell forstand - dvs alle transaksjoner blir "arkivert" i bitcoins blockchain - men bare som adresser, ikke hvem de tilhører. En slik sporing kan først gjøres i ettertid - dvs etter betaling er gjort. Nå er nok disse som står bak såpass dyktig at de skjuler sin spor her også. Men bitcoin vil bli brukt i etterforskningen av hendelsene. Å bruke motangrep som virkemiddel har vi i Norge så vidt jeg vet bevisst sagt at vi ikke skal gjøre og NSM er ikke tillatt å gjøre dette. Skulle man bruke motangrep mot hendelser/angrep så ville man fort fått en fullstendig kyberkrig og et internett som kollapset. Det er så vidt jeg vet internasjonal enighet at om ikke å bruke motangrep - f.eks DDoS - mot IP-adresser. I dette tilfellet - der det etterhvert viser seg at malvaren WannaCry sprer seg som en orm - så ville det heller ikke vært mulig.

 

Å finne ut hvor angrep (hendelser) kommer fra er en helt naturlig del av den løpende overvåkningen av infrastruktur som NSM har. Finner de for eks mye "trafikk av tvilsom karakter" fra spesifikke kilder varsler de nok fort de som styrer selve infrastrukturen i Norge. Men NSM (NorCERT) forteller ikke alt de gjør og kan gjøre.

 

Følge med er faktisk hovedoppgava til NSM (NorCERT). Kontinuerlig følge med på nettrafikk samt analyser data fra Varslingssystem for digital infrastruktur (VDI) - og gjennom det kunne hindre alvorlige hendelser. Altså fungere som en form for innbruddsalarm og varsle rette vedkommende når noe skjer. Oppdager de indikasjoner på at f.eks Telenor sin infrastruktur bli angrepet - så varsles Telenor slik at de kan handle. NSM sitter så vidt jeg vet ikke med kompetanse til dybdeanalyser av selve malvaren.

 

Du finner mer om NorCERT her, https://www.nsm.stat.no/norcert/. Men det har nesten ikke vært "hendelser" mot norske bedrifter/organisasjoner i dette tilfellet - så da blir det ikke mye data å analysere. Dog vet jeg ut fra annen informasjon at så fort NSM (NorCERT) visste positivt at WannaCry er selvspredene (orm) så startet de å scanne brannmurer i norsk infrastruktur for åpne porter som WannaCry bruker.

 

------

 

Generelt er realtime "overvåkning" (følge med) verktøy nummer 1 for å hindre uønsket virksomhet på nettet. Det gjelder i Telenor, Telia, Evry - dvs alle store på infrastruktur, NSM - andre land sine sikkerhetsmyndigheter. Det er jo ingen som varsler om DDoS, malvare, spam, spionangrep etc på forhånd - så overvåkning må til.

[Civilix]

Når det kommer til å følge med på trusselbildet er dette en kjekk lenke: http://map.norsecorp.com/#/?geo=eu

 

Sannsynligvis ikke like detaljert som sikkerhetsmyndigheter har tilgang til, men gir deg et bilde av hva som er der ute.

[nessuno]

 

 

 

De følger situasjonen tett... ja, ikke bare de. Men fra en nasjonal organ som NSM forventer i alle fall jeg at de gjør noe mer enn å følge med, og å komme med slike påstander post-factum betyr at de ikke gjorde noe som helst på forhånd.

Hva mer kan de gjøre! Stenge tilgangen til internett for alle i Norge. Det ville blitt ramaskrik og det er heller ikke et virkemiddel som NMS har.

 

Og hva kunne de gjort på forhånd, stengt tilgangen til internett for alle som ikke hadde oppdatert Windows eller brukte Windows XP eller Windows 8. Det ville faktisk krevd overvåkning - og det vil vi ikke ha.

 

Det var ingen som viste noe om hendelsen på forhånd, den kom faktisk som "lyn fra skyfri himmel" på alt av sikkerhetsaktører.

 

Du har nok også misforstått NSM sin rolle.

Jeg vet ikke... se hvor angrepet stammer fra, stenge "hovedkilden" av viruset som kommer til Norge hvis det er snakk om helt konkrete websider... finne ut hvem skal ha bitcoins for å "frigjøre" maskinene og for eksempel angripe utpresseren (for å hindre spredning) og gjennom angrep sikre bevismaterialer for senere anmelding/etterlysning via Interpol.

Jeg vet ikke, jeg er ikke noe IT-arbeider så jeg bare gjetter, men hvis en nasjonal sikkerhetsmyndighet bare "følger med" og hvis det eneste svaret man får er "hva mer kan de gjøre?" så synes jeg man bør for eksempel stryke de fra statsbusjetten. Hva pokkeren er vitsen med en "sikkerhets"myndighet som bare "følger med"? Masse katter bruker timehvis hver dag for å kikke ut vinduet og følge med ting, ingen av dem er derimot finansier av skattepengene.

 

 

Å finne ut hvem som skal ha bitcoins er i realiten nesten umulig. Bitcoin legger ikke igjen spor i tradisjonell forstand - dvs alle transaksjoner blir "arkivert" i bitcoins blockchain - men bare som adresser, ikke hvem de tilhører. En slik sporing kan først gjøres i ettertid - dvs etter betaling er gjort. Nå er nok disse som står bak såpass dyktig at de skjuler sin spor her også. Men bitcoin vil bli brukt i etterforskningen av hendelsene. Å bruke motangrep som virkemiddel har vi i Norge så vidt jeg vet bevisst sagt at vi ikke skal gjøre og NSM er ikke tillatt å gjøre dette. Skulle man bruke motangrep mot hendelser/angrep så ville man fort fått en fullstendig kyberkrig og et internett som kollapset. Det er så vidt jeg vet internasjonal enighet at om ikke å bruke motangrep - f.eks DDoS - mot IP-adresser. I dette tilfellet - der det etterhvert viser seg at malvaren WannaCry sprer seg som en orm - så ville det heller ikke vært mulig.

 

Å finne ut hvor angrep (hendelser) kommer fra er en helt naturlig del av den løpende overvåkningen av infrastruktur som NSM har. Finner de for eks mye "trafikk av tvilsom karakter" fra spesifikke kilder varsler de nok fort de som styrer selve infrastrukturen i Norge. Men NSM (NorCERT) forteller ikke alt de gjør og kan gjøre.

 

Følge med er faktisk hovedoppgava til NSM (NorCERT). Kontinuerlig følge med på nettrafikk samt analyser data fra Varslingssystem for digital infrastruktur (VDI) - og gjennom det kunne hindre alvorlige hendelser. Altså fungere som en form for innbruddsalarm og varsle rette vedkommende når noe skjer. Oppdager de indikasjoner på at f.eks Telenor sin infrastruktur bli angrepet - så varsles Telenor slik at de kan handle. NSM sitter så vidt jeg vet ikke med kompetanse til dybdeanalyser av selve malvaren.

 

Du finner mer om NorCERT her, https://www.nsm.stat.no/norcert/. Men det har nesten ikke vært "hendelser" mot norske bedrifter/organisasjoner i dette tilfellet - så da blir det ikke mye data å analysere. Dog vet jeg ut fra annen informasjon at så fort NSM (NorCERT) visste positivt at WannaCry er selvspredene (orm) så startet de å scanne brannmurer i norsk infrastruktur for åpne porter som WannaCry bruker.

 

------

 

Generelt er realtime "overvåkning" (følge med) verktøy nummer 1 for å hindre uønsket virksomhet på nettet. Det gjelder i Telenor, Telia, Evry - dvs alle store på infrastruktur, NSM - andre land sine sikkerhetsmyndigheter. Det er jo ingen som varsler om DDoS, malvare, spam, spionangrep etc på forhånd - så overvåkning må til.

Nå vet til og med jeg at danskene klarte å spore bitcoin-transaksjoner. Men som sagt er jeg hverken så veldig opplyst på disse detaljene og ikke har jeg kompetanse i feltet, jeg bare fatter ikke at man har denne "følger tett med post-factum" attituden. Ikke rart at det er da FBI norsk politi får tips fra om bla.a. pedofile på nett hvis statlige organer er i såpass dyp dvale og apati her i landet.

[MegaMann2]

Hvor lang tid tar det å kryptere innholdet på en HDD/SSD?

Hvor langt er et tau?

 

edit:

Det betyr altså at svaret kommer ann på.

Mange variabler her.

Størrelsen på harddisken og hvor rask den er er de største faktorene.

CPU og RAM på maskinen kan også ha noe og si.

 

Disse cryptolockerene varsler først brukeren om at de har fått viruset etter at alt er ferdig kryptert. Så hvor lang tid det tar er ikke veldig viktig så lenge det ikke er snakk om at det tar fler dager og brukeren får høre om et potensielt angrep gjennom medier.

Endret 15. mai 2017 av MegaMann2

[Gjest Slettet-376f9]

Takk Megamann2. Jeg var upresis i formuleringen min, men det jeg var ute etter, var hvordan krypteringen skjer. Hvis jeg har lest rett mellom linjene, så er dette en prosess der fil for fil leses, krypteres og så skrives.

[MegaMann2]

Takk Megamann2. Jeg var upresis i formuleringen min, men det jeg var ute etter, var hvordan krypteringen skjer. Hvis jeg har lest rett mellom linjene, så er dette en prosess der fil for fil leses, krypteres og så skrives.

Ja, filen må leses, så prosseseres filen gjennom en krypteringsalogrime (WannaCry brukte AES) også skrives den tilbake på disk.

[Bolson]

Nå vet til og med jeg at danskene klarte å spore bitcoin-transaksjoner. Men som sagt er jeg hverken så veldig opplyst på disse detaljene og ikke har jeg kompetanse i feltet, jeg bare fatter ikke at man har denne "følger tett med post-factum" attituden. Ikke rart at det er da FBI norsk politi får tips fra om bla.a. pedofile på nett hvis statlige organer er i såpass dyp dvale og apati her i landet.

Ja, du kan spore bitcoin transaksjoner i ettertid. Men det gir ingenting i dette tilfellet - den sporingen er alt gjort av mange. Du kommer til gitt IP-adresser og så vet man ikke mer. Men sporingen tilhører etterforskningsdelen - noe som ikke er NSM sin oppgave.

 

Og man har ingen "følger tett med post-factum" attitude, følger med (dvs trafikkovervåkning) er som jeg har gjentatt flere ganger verktøy nr 1 i denne sammenheng. Overvåkning og real-time analyse av dataene. Nå var f.eks angrepet ekstremt lite omfattende i Norge, så de fikk lite data. Men det er på den måten man f.eks finner ut om malvaren sender data til spesifikke adresser. Da ofte lenge før man har klart å analyser koden.

 

Og normalt vi NorCERT når de oppdager noe foruroligende varsle aktuelle aktører slik at de kan sette inn tiltak. Tiltak kan nemlig sjelden settes inn av NorCERT, det må drifter av infrastruktur gjøre. Så ser NorCERT gjennom sin "følge med" at det er på gang et innbruddsforsøk mot f.eks Statoil sitt datanettverk varsles rette instans i Statoil slik at de kan ta affære. I tillegg har jo NorCERT logget det som er nødvendig for eventuell senere etterforskning.

 

Og som tidligere skrevet aktive tiltak som motangrep er ikke akseptert fremgangsmåte. Svartlisting av IP-adresser brukes, men det kan heller ikke NorCERT gjør, de kan bare si til driftere av infrastruktur at disse bør svartelistes.

 

Det er i alle fall slik jeg har oppfattet systemet.

 

--

 

At norsk politi får tips fra FBI er da ikke rart. FBI har tross alt nærmere 40 000 ansatte, og det er trolig flere som arbeider med overgrepssaker i FBI en antall rene etterforskere totalt i norsk politi. Når det gjelder pedofili er det svært omfattende deling av informasjon internasjonalt - og gjennom Dark Room har nok norsk politi gitt mange tips til andre land. Pedofilietterforskning er ofte internasjonalt koordinert.

[nessuno]

 

Nå vet til og med jeg at danskene klarte å spore bitcoin-transaksjoner. Men som sagt er jeg hverken så veldig opplyst på disse detaljene og ikke har jeg kompetanse i feltet, jeg bare fatter ikke at man har denne "følger tett med post-factum" attituden. Ikke rart at det er da FBI norsk politi får tips fra om bla.a. pedofile på nett hvis statlige organer er i såpass dyp dvale og apati her i landet.

Ja, du kan spore bitcoin transaksjoner i ettertid. Men det gir ingenting i dette tilfellet - den sporingen er alt gjort av mange. Du kommer til gitt IP-adresser og så vet man ikke mer. Men sporingen tilhører etterforskningsdelen - noe som ikke er NSM sin oppgave.

 

Og man har ingen "følger tett med post-factum" attitude, følger med (dvs trafikkovervåkning) er som jeg har gjentatt flere ganger verktøy nr 1 i denne sammenheng. Overvåkning og real-time analyse av dataene. Nå var f.eks angrepet ekstremt lite omfattende i Norge, så de fikk lite data. Men det er på den måten man f.eks finner ut om malvaren sender data til spesifikke adresser. Da ofte lenge før man har klart å analyser koden.

 

Og normalt vi NorCERT når de oppdager noe foruroligende varsle aktuelle aktører slik at de kan sette inn tiltak. Tiltak kan nemlig sjelden settes inn av NorCERT, det må drifter av infrastruktur gjøre. Så ser NorCERT gjennom sin "følge med" at det er på gang et innbruddsforsøk mot f.eks Statoil sitt datanettverk varsles rette instans i Statoil slik at de kan ta affære. I tillegg har jo NorCERT logget det som er nødvendig for eventuell senere etterforskning.

 

Og som tidligere skrevet aktive tiltak som motangrep er ikke akseptert fremgangsmåte. Svartlisting av IP-adresser brukes, men det kan heller ikke NorCERT gjør, de kan bare si til driftere av infrastruktur at disse bør svartelistes.

 

Det er i alle fall slik jeg har oppfattet systemet.

 

--

 

At norsk politi får tips fra FBI er da ikke rart. FBI har tross alt nærmere 40 000 ansatte, og det er trolig flere som arbeider med overgrepssaker i FBI en antall rene etterforskere totalt i norsk politi. Når det gjelder pedofili er det svært omfattende deling av informasjon internasjonalt - og gjennom Dark Room har nok norsk politi gitt mange tips til andre land. Pedofilietterforskning er ofte internasjonalt koordinert.

vet du hva... jeg vil faktisk tippe de "følger med" via at andre, strørre aktører følger med. Gjennom hele saken har jeg ikke hørt om hverken noe preventive tiltak og heller ikke noen mer eller mindre konrete resultater av overvåkningen som burde egentlig til slutt peke mot gjerningsmannen/organisasjonen. Men igjen dette er bare IMHO.

[Bolson]

vet du hva... jeg vil faktisk tippe de "følger med" via at andre, strørre aktører følger med. Gjennom hele saken har jeg ikke hørt om hverken noe preventive tiltak og heller ikke noen mer eller mindre konrete resultater av overvåkningen som burde egentlig til slutt peke mot gjerningsmannen/organisasjonen. Men igjen dette er bare IMHO.

Selvsagt gjør de det, det er et meget godt samarbeid mellom de ulike sikkerhetsorganisasjonen i Europa - men det betyr ikke at de ikke gjør noe selv. Det er trolig gjort en lang rekke med preventive tiltak, som vi ikke har hørt noe om, fordi man ikke forteller slikt av helt logiske grunner. Men de har gått ut med informasjon om hva folks skal gjøre, de har så vidt jeg vet varslet organisasjoner som har XP i nettet om sikring og de har skannet for åpne porter i deler av viktig norsk infrastruktur. Preventive tiltak i dette tilfellet er faktisk å be folk oppdatere - fordi man da stopper malvaren. Å stenge porter som er angrepspunkt - noe kun drifter av det gjelde nettverk kan gjøre er et annet preventivt virkemiddel. Og den skanninga starter NorCERT med.

 

Og som alt nevnt - NorCERT har ikke så mange preventive tiltak de kan - tiltak må gjøres av de som drifter infrastrukturen på ulike nivå.

 

Men som realiteten er at det knapt har vært angrep mot norske organisasjoner/bedrifter - trolig fordi vi har lite XP igjen, og de som finnes er nok bra sikret. Nen vi kan kanskje også si at det at vi ikke har blitt særlig angrepet (Sverige har et helt annet omfang), faktisk viser at NSM og NorCERT gjør jobben sin. En del av dette er nemlig å varsle infrastruktureiere om svakheter i oppsettet og bistå å gjøre infrastruktur sikrere. Jeg har faktisk fått epost fra NSM/NorCERT med anbefaling om å stramme til noen tilgangsrettigheter på servere jeg driftet.

 

Jeg har ikke sett noen som har kommet med info som peker mot gjerningsmenn. Og jeg har heller ikke forventet det. Av to grunner, den første at de som har gjort dette er svært kompetente. De har koblet en meget intelligent miks av kode, og burde således være kompetente til å skjule sine spor. Den andre grunnen er at selv om Europol etc skulle være på sporet - så vi de holde på den informasjonen fram til arrestasjon kan gjøres. NorCERT sin oppgave er heller ikke å lete etter gjerningsmenn - det er det andre som gjør.

 

---

PS!

 

Et lite hjertesukk tilslutt. IT-sikkerhet er ikke NSM og NSM NorCERT sitt ansvar. Det er hver enkelt person/organisasjon/bedrift sitt ansvar. NSM NorCERT kan ikke sikre noe for deg, de kan gjennom sin overvåkning hjelpe, varsle og bistå. Men du må gjøre jobben. Gjør ikke du jobben, så hjelper ikke NorCERT og andre sikkerhetsorganisasjoner heller. Gjør du jobben (hver enkelt av oss) - så virker det faktisk omtrent som vaksine - det verner oss andre også, og gjøre det lite attraktivt å være kriminell.

Endret 15. mai 2017 av Bolson

[Gjest Slettet+9817324]

Skremmern  : Likte dåkk hækkinga mi.....man må jo følge med i tida , he he