Ekspert og professor revser Nationalbankens »beskæmmende og betænkelige« lukkethed

Jeg menes at huske at atomkraftværket på Three Mile Island skrev alle hændelser ud på en matrixprinter på papir i endeløse baner. På den måde har man en i praksis tamperproof log.

Man kan måske lave en tamperproof logserver, men det kræver, at den virkelig er beskyttet, og at beskyttelsen ikke er kompromitteret. Hvis det var Hollywood, så ville serveren stå i et særligt rum, som hackerne giver hedeslag ved at pille ved kølingen. Eller sætter i brand eller oversvømmer. Loggen er måske intakt, men hackerne har nu et stort forspring.

En anden mulighed, jeg lige kom på, er at drukne logserveren med skrammel-data. Når disken er fuld, logges der ikke så meget. Det vil tage timer, før nogen reagerer og aner rænkerne.

Jeg forventer royalties fra Hollywood.

Så Solarwinds Orion var slet ikke det eneste. Nu er Kaseya VSA ramt ... alle bør kigge grundigt på deres network management software.

Arghh.. Det er ikke rigtigt. FireEye har haft flere store sårbarheder igennem årene svjv. (og fordi den "kigger på trafikken på vej til dens mål" - har det været den slags hvor man angriber "mellemmanden"..

Ja ... jeg var upræcis. Uden på nogen måde at være expert så er det min oplevelse at FireEye udfylder en anden opgave end Solarwinds Orion. Jeg skulle have skrevet network management software.

Det interessante ved software som Orion er netop at værdien kommer af at man kan se (næsten) alle devices på netværket. At man kan interagere med dem. Hvis man har opdelt sit netværk i VLANs eller i øvrigt segmenteret det, så vil Orion have adgang til (næsten) alle VLANs (sikkert multihomed) og/eller der vil være firewall regler til tillader adgang til (næsten) alle devices.

Ofte kører der en probe på alle de overvågede computers som har mange rettigheder. Med andre ord: hvis man har fat i Orion så er der stor sandsynlighed for at man kan eksekvere egen kode på rigtigt mange maskiner på nettet med mange rettigheder.

Det er i mine øjne en anden opgave end den FireEye udfylder.

Jeg skal dog sige at jeg ingen erfaring har med Orion. Min erfaring kommer fra andre network management løsninger. Min forståelse er dog at principperne er de samme.

HVIS altså man følger de 2 simple regler netværksmæssig "principle of least priviledge" og overvåger for uventet trafik (ie. forventer et "tomt deny filter" - og reagerer og fikser det, når det ikke er tomt - så det bliver en overskuelig process at opdage sådanne hændelser.

Ja ... men der er rigtigt meget software hvor det ikke er nemt. Det ændrer ikke ved at jeg mener at det er den eneste vej frem.

<em>Her kommer anti-lognings mafiaen naturligvis på banen</em></p>
<p>Er det dem, der ønsker at loven overholdes, du kalder en mafia?

Næh, loven skal overholdes. Men loven er forkert og bør laves om. I dette tilfælde er "loven" EU domstolens fortolkning af EU charteret. Staten har en legitim grund til logning - dette er et godt eksempel på at udvidet logning vil være en fordel for borgerne. Men den slags logning skal under domstolskontrol sådan at vi ikke har en wild west situation som i dag.

Jeg forestiller mig at alle må logge men at man skal tage skridt til at det loggede ikke umiddelbart kan læses (fx. krypteres). Krypteringsnøgler opbevares hos 3. part og må først udleveres når der fremvises en dommerkendelse. Man kan fint lave en løsning der er sikker.

Når jeg taler om anti-lognings mafiaen så er det den gruppe som ingen logning ønsker overhovedet. De er med til at holde os i den wild west situation vi har i dag fordi de ikke er villige til nogen kompromisser.

Her kommer anti-lognings mafiaen naturligvis på banen

Det ændrer ikke ved at Solarwinds Orion løsning var et fantastisk angrebspunkt. Sjovt nok har ingen rigtigt nævnt netværksovervågningssoftware som angrebsvektor før det her skete. Gad vide hvor mange andre af den slags der ligger derude?

Arghh.. Det er ikke rigtigt. FireEye har haft flere store sårbarheder igennem årene svjv. (og fordi den "kigger på trafikken på vej til dens mål" - har det været den slags hvor man angriber "mellemmanden"..

Og igen - du kan udnytte en sårbarhed, hvis du kan få boksen til at læse det du sender til den.. MEN det er jo netop derfor man IKKE lader ens udstyr "snakke med fremmede" aka. internettet unødigt :) Bokse såsom FireEye der skal inspicere trafikken - vil selvf. kunne angribes via den trafik de kigger på, men hvis man begrænser hvad de kan lave af trafik selv - så burde man om ikke andet fange en angribers forsøg på at "komme videre efter angrebet" - og dermed opdage at noget er galt.

HVIS altså man følger de 2 simple regler netværksmæssig "principle of least priviledge" og overvåger for uventet trafik (ie. forventer et "tomt deny filter" - og reagerer og fikser det, når det ikke er tomt - så det bliver en overskuelig process at opdage sådanne hændelser.

Kunne man håbe på, at et folketingsmedlem ville stille V2's spørgsmål til den ansvarlige minister?

Er it-logning tilstrækkelig ? Eller er der lidt Frode Frejegod over det ? Det plejer at gå godt .....

Det er faktisk et rigtigt godt spørgsmål. Svaret handler om hvad man ønsker at bruge logning til. Hvis man ønsker at bruge logning til at følge brugeres handlinger i systemet, til at debugge issues, etc. så er simpel logning til en lokal fil godt nok (og ja, jeg ved godt der findes bedre løsninger).

Når det handler om at håndtere sikkerhedsincidents hvor selve systemet er frygtes kompromitteret, så er ovenstående naturligvis ikke nok. Filen kan ændres. Derfor bør logningen ske i et separat system hvor det loggede ikke kan ændres. Jeg menes at huske at atomkraftværket på Three Mile Island skrev alle hændelser ud på en matrixprinter på papir i endeløse baner. På den måde har man en i praksis tamperproof log. Det er det samme vi har brug for … bare i moderne udgave. Det findes derude men hele området er ikke et mange virksomheder har taget alvorligt.

Man kunne også forestille sig at Nationalbankens internet provider loggede alle connections til og fra banken. På den måde ville man have mulighed for at se lidt af ugerningerne. Her kommer anti-lognings mafiaen naturligvis på banen. Anyway, hvis man først har overtaget en eller flere servere på nettet, så er det relativt nemt at hive ondsindet data frem og tilbage i det skjulte. Hver gang vi laver en krypteret kanal så åbner vi potentielt også en kanal for ondsindede personer til at smugle data ind og ud af virksomheden.

Opdateringer får man så leveret på anden vis - og installerer direkte (eller peger på repo lokalt f.ex. som enheden så henter opdatering fra).

Ja der er mange muligheder for at styrke sikkerheden. Det ændrer dog ikke ved at det er svært at beskytte sig mod supply chain attacks. I princippet kunne det ligeså godt have været et angreb mod leverandøren af deres firewall, wifi drivere på laptops, etc.

Det ændrer ikke ved at Solarwinds Orion løsning var et fantastisk angrebspunkt. Sjovt nok har ingen rigtigt nævnt netværksovervågningssoftware som angrebsvektor før det her skete. Gad vide hvor mange andre af den slags der ligger derude?

Så tåbelig er Solarwinds dog ikke, den kører fint uden Internet adgang og patches installeres fra filer der downloades på anden vis.

Godt at høre. Hvorfor POKKER har nationalbanken så haft givet den udgående internet adgang? Uden den adgang - kunne den jo ikke have åbnet en "tunnel" ud til angriberen, eller ?

svjv. er fireeye en boks man kører "al trafik" igennem.. Så angrebet KUNNE godt være skrevet så man sendte "bestemt trafik" i mod noget der var BAGVED en fireeye - og så fangede fireeye det - og på den måde kunne man "bede den gøre noget/åbne en port".. ?

Var det bygget så smart (noget sværere at blokere) - eller var der bare åbent for udafgående forbindelser (tcp-syn) fra fireeye enheden?

Øjensynligt har de købt udstyr der KRÆVER åben internetadgang til "moderskibet"..

Så tåbelig er Solarwinds dog ikke, den kører fint uden Internet adgang og patches installeres fra filer der downloades på anden vis.

Der er desværre en panisk angst blandt - især offentlige - institutioner og virksomheder for at oplyse om cyberangreb. Jeg havde egentlig håbet at flere ville følge Mærsk's eksempel og være åbne om hvad der var sket, men det var åbenbart naivt.

Lær det nu: Alle bliver udsat for angreb, det er ikke noget man behøver skamme sig over. Man skal kun skamme sig hvis man ikke lærer noget af sine fejltagelser - og helst også af andres fejltagelser, men det er der ikke mulighed for når den generelle holdning er "ingen kommentarer".

Men det var en fejl som den ikke kunne have garderet sig imod.

Øjensynligt har de købt udstyr der KRÆVER åben internetadgang til "moderskibet".. Lige opskriften for supply-chain attacks - og noget man BURDE have fanget da man evaluerede produktet (fordi man altid sikrer at udstyr IKKE har internet adgang OVERHOVEDET) - så JO det ER noget de kunne have garderet sig imod - ved at tage supply chain attacks alvorligt og IKKE have så åbne ladedøre..

Opdateringer får man så leveret på anden vis - og installerer direkte (eller peger på repo lokalt f.ex. som enheden så henter opdatering fra). På den måde ville den bagdør slet ikke have kunnet åbne nogen forbindelse udadtil - og de VILLE have set når den forsøgte noget den ikke plejede - lige efter en systemopdatering - og kunne have været dem der opdagede problemet og meldte det til Solarwinds.

Simple regler ALLE bør følge.

1. Ingen internetadgang - OVERHOVEDET.. undtagelser er farlige og bør være unødvendige, da de også betyder at hvis det eksterne site er nede så er din service ofte nede.

2. OVERVÅG dine logs for enheder der forsøger trafik der bliver afvist - og hav en procedure for at identificere årsagen til denne trafik.

Et eksempel. Engang for mange år siden satte vi et windows website produkt op og undrede os over, at når man brugte søgningsfunktionen på websitet - så tog det længere tid for hvert nyt søgeresultat.. Det viste sig at website koden på serverne forsøgte at nå en ADSL server på en udviklers hjemmekontor i norge - og da det blev blokeret - ventede den på timeout - for hvert søge resultat (den slog ugenr. op :)

Beviset for IOC er øjensynligt vanskeligt eller endog umuligt.

Kunne sådanne produkter ikke bygges sådan, at der i endnu højere grad blev logget / registreret ? Een ting er forebyggelse, en anden ting er registrering med hemblik på senere diagnose. Ja, produkterne bliver måske 50% dyrere, og ja, hackere vil også angribe logningen (som tyveknægte der benytter hansker for at forhindre fingeraftryk eller klipper alarmen).

Andre steder, luftfart og skibsfart, har indført logning i form af både teknisk logning (position, kurs, fart, højde, drejehastigheg osv) OG i form af stemmeoptagelse i cockpit eller på kommandobroen. Så andre har taget konsekvensen af havarikommissionernes behov.

Er it-logning tilstrækkelig ? Eller er der lidt Frode Frejegod over det ? Det plejer at gå godt .....

Ministerier og centrale myndigheder synes at operere med en nul-fejls kultur. Man er basalt set ude af stand til at indrømme når man laver fejl. Blot man ignorerer problemet, taler det ned, spreder ansvaret ud til mange, etc. så vil offentligheden blot glemme sagen og gå videre. Det plejer også at ske.

I dette tilfælde begik Nationalbanken en fejl da den valgte Solarwinds. Men det var en fejl som den ikke kunne have garderet sig imod. Havde man valgt noget andet kunne det være gået lige så skidt. Man synes også at have reageret hurtigt med at få lukket hullet så der er heller ikke noget at komme efter.

Men at bruge "nothing to see here, move along folks" kommunikation når man skal beskrive impact af angrebet er kontraproduktivt fordi meget allerede er kendt omkring denne malware. Med med mindre Nationalbanken har kun har kørt Solarwinds på en lille del af netværket (og det ville lidt ødelægge formålet med løsningen), så har Solarwinds installationen haft adgang til næsten alt på deres netværk. Og dermed kan næsten alt være blevet ramt.

Nationalbankens leverandør af det kompromitterede program, Solarwinds Orion, vurderer det derfor som en ‘umulig opgave at bevise udeblivelsen af IOC’er (Indications of Compromise, red.)’, skriver leverandøren i en intern mail til Nationalbanken.

Det er således umuligt at bevise at malware hullet ikke er blevet udnyttet. Derfor er Nationalbankens skråsikre udtalelse rent "nothing to see here, move along folks" ....