Direktør om SolarWinds-hack: »Hatten af for dem, der har lavet det angreb«

17 kommentarer.  Hop til debatten
Direktør om SolarWinds-hack: »Hatten af for dem, der har lavet det angreb«
Illustration: Rasmus Meisler.
Selvom SolarWinds software havde nogle sikkerhedshuller, så var hackerangrebet så giftigt og velorkestreret, at det kan være svært for virksomheder at dæmme op for lignende situationer i fremtiden, fortæller direktør i it-sikkerhedsfirmaet Dubex.
23. december 2020 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Der har været et spotlight på softwareleverandøren SolarWinds, efter det i sidste uge kom frem, at amerikanske myndigheder og sikkerhedsfirmaet FireEye har været ramt af et hackerangreb. Man har nemlig internt brugt leverandørens netværksovervågningssoftware, som har haft en bagdør, formentlig placeret af den russiske efterretningstjeneste.

Også amerikanske it-virksomheder som Cisco og Intel har brugt software fra SolarWinds, og de er netop ved at undersøge, om de er ramt af hackerangrebet, skrev Version2 i går.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
17 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
18
4. februar 2021 kl. 15:20

Nærmest en solstorm

17
28. december 2020 kl. 14:12

Thornton-Trump, as well as a former SolarWinds software engineer who talked to Bloomberg News, said that given the cybersecurity risks at the company, they viewed a major breach as inevitable. Their concerns about SolarWinds are shared by several cybersecurity researchers, who discovered what they described as glaring security lapses at the company
... SolarWinds was an incredibly easy target to hack</p>
<p>...</p>
<p>The employee, who requested anonymity due to having signed a non-disclosure agreement, said it wasn’t uncommon for some of the company’s computer systems to be operating out-of-date web browsers and operating systems, which could make them more vulnerable to hackers.</p>
<p>...</p>
<p>Vinoth Kumar, said he notified SolarWinds in 2019 that the password to one of its servers had leaked online. The password, according to Kumar, was “solarwinds123.” SolarWinds told Kumar that the password had been visible due to a “misconfiguration,” and removed it.</p>
<p>In addition, until recently SolarWinds advised its customers on its website to disable virus scanning for Orion platform products so those products could run more efficiently, according to several cybersecurity researchers

https://www.bloomberg.com/news/articles/2020-12-21/solarwinds-adviser-warned-of-lax-security-years-before-hack

15
28. december 2020 kl. 12:43

Problemet er i høj grad også den monopolistiske kultur der er i IT verdenen.

IT branchen er altid været domineret af monokulture. Der hartil enhver tid altid været 2-4 CPU leverandører har siddet på flæsket. Det samme gælder grafikkort i de senere år. Det samme gælder wifi, operativsystemer, netværk, etc. Dette har intet at gøre med:

"Der er ikke nogen som er blevet fyret for at vælge .... (indsæt selv firma)".

Det handler om omkostninger ved udvikling og kompatibilitet mellem delkomponenter. Solarwinds er under alle omstændigheder et dårligt eksempel på dit påstulat. Der er et broget marked for software til netværksovervågning med en række forskellige leverandører.

Hvad er implikationen at MS siger at har haft SW med hacket installeret på deres netværk skal det betyde at man så ikke kan stole på software fra MS

Det betyder ikke noget for Microsofts kunders sikkerhed om Microsoft har haft malware på deres netværk. Det betyder noget hvorvidt der har været malware på deres build-servere. Build-servere skal beskyttes fordi det i praksis er meget svært at verificere outputtet.

14
28. december 2020 kl. 11:19

og ja mange anmelder med navn og meget mere, kig på ham fra Boeing

13
28. december 2020 kl. 11:18

var ikke klar over at anmeldelserne var så gode

"https://www.trustradius.com/products/solarwinds-network-performance-monitor/reviews?rk=swnpm20180&utm_campaign=tqw&utm_medium=widget&utm_source=www.solarwinds.com&trtid=3abf99e3-37df-40f5-bfcc-5ac467764218"

12
28. december 2020 kl. 10:24

Hvad er implikationen at MS siger at har haft SW med hacket installeret på deres netværk skal det betyde at man så ikke kan stole på software fra MS

11
27. december 2020 kl. 12:23

Løsningen er at købe software og hardware fra producenter man stoler på. Men selv de største/dygtigste laver fejl. Det er således ikke nok. "Defence in depth" er den eneste vej frem. Man skal gå ud fra at alle devices potentielt kan være inficeret og mindske skaden hvis det sker (fx. ved at alt traffik mellem computere skal gennem en firewall).

Problemet er i høj grad også den monopolistiske kultur der er i IT verdenen. Der er alt for meget: "Der er ikke nogen som er blevet fyret for at vælge .... (indsæt selv firma)". Det gør arbejdet nemmere at man ikke behøver at tænke selv. Det gør også arbejdet meget nemmere for de IT kriminelle når der kun skal findes huller i nogle få meget udbredte systemer.

10
26. december 2020 kl. 19:55

... at der ikke er nogen måde at detektere ordentlig malware der er embedded i store software pakker. Malware kan ligge i dvale i årevis og blot vente på en trigger. I praksis kan ingen virksomheder eller myndigheder sikre sig at software i kompileret form eller hardware ikke indeholder bagdøre. Designet af store softwarepakker eller hardware systemer er ganske enkelt for komplekst til at man kan vurdere om der embedded malware i det endelige resultat uden at kende "source koden".

Læg så oveni at virksomheder, private hjem og myndigheder i dag har netværk der er som åbne banegårde. De fleste computere kan kommunikere med enhver server på internette uden at nogen ved det og uden at nogen kender formålet.I dag regner de fleste virksomheder med kunne holde deres netværk rent ved at have et par mand i en sikkerhedsafdeling. Det er utopi.

Løsningen er at købe software og hardware fra producenter man stoler på. Men selv de største/dygtigste laver fejl. Det er således ikke nok. "Defence in depth" er den eneste vej frem. Man skal gå ud fra at alle devices potentielt kan være inficeret og mindske skaden hvis det sker (fx. ved at alt traffik mellem computere skal gennem en firewall).

Man skal kende trafikken mellem computere sådan at kun eksplicit tilladt traffik er muligt. Default setup for en server bør være at den ikke kan tilgå noget og at eneste access til serveren er management adgang. Alt derudover skal være eksplicit tilvalg. Dette kræver at vi forstår alt den kommunikation der sker til og fra servere.

Og så skal virksomheder fjerne brugeres adgang til internettet fra deres lokale computere. I det tilfælde at brugere har behov for at browse internettet, så kan det enten skal på andre devices (fx. mobil telefoner) eller vha. remote browsing hvor browseren kører på en server udenfor virksomhedens netværk.

Der er ingen silver bullet. Når det gælder sikkerhed, så er der 8 mia. udenfor lokalnettet og et par stykker indenfor som potentielt kunne være bad guys. Og Putin har en hel flok bad guys der hele tiden er aktive.

8
25. december 2020 kl. 19:44

Hackers -1 SolarWinds - 0

6
25. december 2020 kl. 09:42

SolarWinds var beskyttet af Duo MFA, men principielt var det ligegyldigt hvilken MFA de havde brugt. Hackerne brugte deres netværksadgang til at stjæle en "master key" til Duo fra en Outlook Web App server, hvor den var installeret. Den brugte de så til at udstede en underskrevet cookie til sig selv, og undgik derved MFA challenge.

https://arstechnica.com/information-technology/2020/12/solarwinds-hackers-have-a-clever-way-to-bypass-multi-factor-authentication/

5
24. december 2020 kl. 11:16

De ting der nævnes i ovenstående artikkel er vel ret elementære for den slags bagdøre. Men der nævnes heller ikke hvordan den oprindelige bagdør er plantet. Der nævnes at passwords ikke har været optimale, men jeg går ud fra at der i det mindste har været 2-faktor authentication på deres fjern adgangs systemer som Citrix osv. Der må da også have været noget social engineering involveret.

3
23. december 2020 kl. 12:58

Egentlig ikke. Bare tænk på danske bank der blev ramt af en fejl som havde været i systemet siden 1989... så hvorfor skulle ondsindet kode ikke kunne gemme sig lige så længe

1
23. december 2020 kl. 12:16

Mange af de gentagne kommentarer i artiklen virker som om de stammer fra en kilde, der aldrig har læst en spion-roman eller en faktuel historie om virkelige spioner.

Mange, næsten alle, af de virkelige og slemme spioner har været "sleepers" - dvs. personer som for år tilbage er "kommet på plads", og som meget senere aktiveres.

Når artiklen derfor taler om 10-14 dage, så er det ren og skær, simpel og naiv, spekulation. Der er INGEN grund til, at sådanne bagdøre ikke er trojanere, som kan være på plads i årevis. Fordi den vestlige verden er forjaget, og altid har kort horisont (10-14 dage - her må grines), så udelukker det ikke andres tålmodighed i årevis. Blandt kandidaterne til sådanne angreb er lande med 100 eller 1.000 års historie - som måske tålmodigt venter i den forvisning at de har forberedt sig .....

Jeg kan let forestille mig kandidater til kilde for trojanere i vores verden, som næsten på ethvert plan styres af programmerbar elektronik. Der er vikelig plads til forfattere med god fantasi, som vil skrive bøger. Og den virkelige verden vil måske overgå fantasien.

Læs, som eksempel, om centrifugerne i Iran - og gys ved implikationen.