EnergiCERT efter Solarwinds-hack: »Den selvfølgelige tillid til softwaregiganterne er rystet«

EnergiCERT efter Solarwinds-hack: »Den selvfølgelige tillid til softwaregiganterne er rystet«
Illustration: Nasa.
Den selvfølgelige tillid til de store techselskaber er væk, lyder det fra Søren Maigaard, hvis medlemmer i EnergiCERT i skrivende stund kæmper for at finde ud af, hvem der er ramt af det internationale hack og hvad det betyder.
Interview17. februar 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Danmark er langt fra gået fri af det verdensomspændende Solarwinds-hack, der kompromitterede it-sikkerheden hos mere end 18.000 selskaber, regeringsapparater og organisationer på verdensplan. Herunder giganter som Microsoft, it-sikkerhedsfirmaet Fire Eye og sågar amerikanske myndigheder.

I Danmark ved vi, at blandt andre Vestforbrændingen er ramt, og meget tyder på, at vi kun har set toppen af isbjerget.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
15
21. februar 2021 kl. 23:06

Og fokus på supply-chain er heller ikke supernyt

Fokus på supply-chain er nyt blandt almindelige mennersker. De fleste har ment at det var nogle andre der blev ramt. Det er ganske rigtigt at der har været folk der har forsøgt at råbe branchen op i årevis men resultatet har været skuffende. Vi har stadigvæk en setup der er uhyggeligt sårbart overfor supply-chain attacks. Jeg håber der kommer mere fokus på det nu. Men realistisk set er det først når det går rigtigt galt at branchen reagerer.

13
19. februar 2021 kl. 20:02

Prøvede at række ud til Søren for at høre til disse sensorer. Men fik ikke noget svar, er der andre der har hørt fra EnergiCERT?

12
18. februar 2021 kl. 13:44

Det bliver interessant at se hvor sikkerhedsteknologierne tager os hen og om de i tide kan følge med udfordringerne. Med den nu mere avancerede anatomi i angreb, er der ingen tvivl om at der skal detekteres langt mere effektivt omkring anomalier, men ikke kun på netværkstrafik, sågu også på endpoints, for der skal kun et rådent æble i kurven til, for at der kan ske en katastrofe, som meget vanskeligt opdages, hvis ikke intelligent software effektivt kan opsnappe og hindre uhensigtsmæssig/anormal adfærd på den enkelte enhed. Mon ikke også vi vil se at NAC løsninger får tilbragt mere intelligens i den sammenhæng.... Den vanskelige opgave, særligt til til SMV segmentet, ligger i at forklare nødvendigheden for at virksomhederne skal anvende mere, end blot Endpoint Protection og en firewall. Allerede nu er trusselsbilledet komplekst at forklare og mange virksomheder opfatter forklaringerne som "salgsgas". Der ligger efter min mening i virkeligheden en meget stor formidlingsopgave rent statsligt. Sikkerhedsindustrien kan og bør ikke mande det op alene.

11
18. februar 2021 kl. 11:52

Lad os nu bare indse det, den software der er kommet fra verdens største leverandør har været en sikkerhedsmæssig katastrofe fra dag 1, og hver gang der er kommet en ny version har den været markedsført med den-sikreste-version snakken, hvorefter ormene har væltet ud af dåsen.

Jeg går ud fra at det er Microsoft som du mener. Jeg mangler stadigvæk at forstå hvad Microsoft har med det her at gøre? Der var malware i den software som Solarwinds distribuerede … hvad har det med Microsoft at gøre?

Det er i øvrigt helt korrekt at Microsofts gamle produkter var sikkerhedsmæssigt katastrofale fra dag et. De var fra start ikke designet til at blive eksponeret i en verden hvor farer lurer i alle internettets hjørner.

Det samme kan man i øvrigt sige om den Unix verden som alle hiver frem. Jeg husker hvordan vi hackede Unix systemer i 80’erne for sjov. Det var for sjov for ingen var interesseret i at ødelægge noget eller vinde andet end akademiske udfordringer. Det var også nemt fordi det var systemer der var designet til at operere i en venlig verden.

Alt det ændrede sig da horder af almindelige mennesker dukkede op på internettet og da computere af vital interesse for virksomheder og myndigheder kom på internettet. Unix verdenen var hurtigere til at indse ændringen – Microsoft var håbløst langsomme. Men det var 20 år siden. Siden da har der ikke været nævneværdig forskel på sikkerheden på de to platforme.

Jeg stoler mere på den lille "obskure" software.

Held og lykke med det. Det lyder mere som religion end som noget der er faktabaseret. Der er bunker af små obskure software pakker som indeholder gigantiske sikkerhedshuller og kodefejl.

10
18. februar 2021 kl. 09:48

Der burde aldrig have været noget tillid - vi har lige siden 1980 set det ene efter det andet problem, som aldrig burde være opstået til at starte med, så det er fandme lang tid at have "selvfølgelig tillid" det er naivitet ud over al sund fornuft.

Og dette:

For det var ikke en eller anden lille, obskur software, der gav endnu ukendte gerningsmænd adgang til regeringsapparater, selskaber og organisationer i hele verden.

Lad os nu bare indse det, den software der er kommet fra verdens største leverandør har været en sikkerhedsmæssig katastrofe fra dag 1, og hver gang der er kommet en ny version har den været markedsført med den-sikreste-version snakken, hvorefter ormene har væltet ud af dåsen.

Rodproblemet kan placeres et sted, og det er det samme sted som de sidste godt 30 år.

Jeg stoler mere på den lille "obskure" software.

9
18. februar 2021 kl. 09:13

Meget kort omkring udfordringen med sikkerheden på sensorerne selv:

Det er en meget relevant diskussion og naturligvis kan der være sårbarheder i disse sensorer ligesom der kan i alle systemer. Vi har arbejdet meget med sikkerheden på dem og du må meget gerne tage fat i os hos EnergiCERT, hvis du vil høre mere om dette.

Men jeg kan kort nævne, at de sidder på en TAP således at selv en eventuel kompromittering af disse ikke vil give adgang til at sende data ind i virksomhedernes netværk.

8
18. februar 2021 kl. 09:09

Vi vil meget gerne fortælle mere om vores sensornetværk.

Tag meget gerne fat i mig eller en anden fra EnergiCERT direkte så du kan få en introduktion. Se kontaktinfo på energicert.dk.

7
17. februar 2021 kl. 13:06

Dårlig mavefornemmelse.
Jeg ved ikke hvorfor, det var bare en mavefornemmelse, jeg havde af en eller anden grund ikke tillid til Solarwinds, længe før dette problem blev kendt. Selv om de tilbød en software jeg gerne ville prøve, så havde jeg ikke "lyst" til at løbe risikoen.

Men set i lyset af at Solarwinds hacket gik mod deres byggesystemer - ikke direkte mod deres produkt - hvad havde du så at lægge din mavefornemmelse i? I mine øjne er dette hack et som kunne ramme rigtigt mange software producenter og open source projekter (i det skridt hvor source coden bliver til binære file).

I praksis har vi ikke særligt meget at lægge vores mavefornemmelser i. Du kan have et firma der har det fineste setup og så har en built master der har taget en enkelt dum beslutning. Alt ser fint ud men alligevel er der problemer. Vi er på herrens mark her ...

6
17. februar 2021 kl. 11:23

Jeg ved ikke hvorfor, det var bare en mavefornemmelse, jeg havde af en eller anden grund ikke tillid til Solarwinds, længe før dette problem blev kendt. Selv om de tilbød en software jeg gerne ville prøve, så havde jeg ikke "lyst" til at løbe risikoen.

5
17. februar 2021 kl. 11:03

https://threatpost.com/supply-chain-hack-paypal-microsoft-apple/163814/

https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

The attack, devised by security researcher Alex Birsan, injects malicious code into common tools for installing dependencies in developer projects which typically use public repositories from sites like GitHub. The malicious code then uses these dependencies to propagate malware through a targeted company’s internal applications and systems.

Gad vide om Alex var den første, der brugte den teknik?

3
17. februar 2021 kl. 09:32

»Angrebet er så svært at forsvare sig imod og rammer så bredt. Så vi tager det alvorligt med det samme, og da vi opdager, at der er danske selskaber og forsyningsselskaber iblandt, går det stærkt.«

Jeg er ganske enig i at det kan være meget svært at beskytte sig mod angreb på netop overvågningssoftware som typisk har rettigheder til at tilgå rigtigt mange systemer.

Men hvis vi lige ser bort fra det, så er måden at beskytte sig på defense in depth. Det nytter ikke noget at lulle sig ind i at firmaets store og stærke firewall holder alt ude. Hvad hvis firewallen er kompromitteret eller noget allerede er kommet ind?

Basalt set skal man micro-segmentere sit netværk, adgang skal kun gives eksplicit, man skal overvåge netværkstraffik for ting der er unormalt (præcist det som Solarwinds er godt til :-) ) og så skal man have en politik for at tage software og hardware ind i huset. Downloads af binaries (exe, jar, libs, etc.) bør gennemtænkes. Tillid mellem interne systemer og mennesker skal minimeres. Air gaps hvor det er nødvendigt. Virksomheder og myndigheder skal til at operere helt anderledes.

Der burde aldrig have været noget tillid - vi har lige siden 1980 set det ene efter det andet problem, som aldrig burde være opstået til at starte med, så det er fandme lang tid at have "selvfølgelig tillid" det er naivitet ud over al sund fornuft.

Hvis vi ikke havde haft tillid dengang i 1980'erne så var internettet aldrig kommet op og stå. Fejlen opstod da vi lukkede bunker af almindelige mennersker ind uden at ændre på systemerne. Og da internettet blev mission critical uden at ændre på systemerne.

2
17. februar 2021 kl. 08:38

Der burde aldrig have været noget tillid - vi har lige siden 1980 set det ene efter det andet problem, som aldrig burde være opstået til at starte med, så det er fandme lang tid at have "selvfølgelig tillid" det er naivitet ud over al sund fornuft.

1
17. februar 2021 kl. 07:05

Er det muligt at fremskaffe lidt mere konkret information om de sensorer der skal udrulles? Og ikke mindst: Hvad gør man for at sikre at disse sensorer i sig selv, ikke også er/bliver ramt af supply chain angreb?