Kæmpe-hack vokser i Danmark: Seks energiselskaber ramt af Solarwinds

Jeg er enig. Men lige præcist med supply-chain attacks (som jeg mener SolarWinds lider af) kan selv et lukket netværk blive kompromiteret, da malwaren er en del af en opdatering som aktivt bliver hentet ind udefra.

Og hvis der nu er nogle der bestikker en udvikler i eksempelvis verdens 86. mest korrupte land til at installere en bagdør i Windows, hvordan sikrer vi os så mod det

De fleste virksomheder kræver review af kode der tjekkes ind. Ikke for at håndtere problemer som du beskriver men for at fjerne risikoen for fejl. Og så er det sjældent en god ide at lave kriminalitet hvor der findes cryptografisk sikkert bevis materiale der identificerer netop dig som den skyldige. Man kunne selvfølgeligt udtænke noget der kunne ligne en "fejl" men man skal være ganske dygtig for at lave noget man bagefter kan forsvare når man sidder i FBI's kælder med en arkitektlampe der lyser i øjnene og trusler om at ryge i fængsel på livstid.

Et angreb på byggesystemer ville være mere "fornuftigt", men også der er der typisk versionskontrol etc. I praksis indeholder både Linux, Windows og alle andre store software systemer tilstrækkeligt mange fejl til at man ikke behøver lave backdoors selv. Hvis man har råd til at sætte 1000 mand på at lede efter fejl i source koden så finder man nok nogen.

Alas, Windows eller Linux distribution er ikke de mest bekymrende angrebspunkter. Det er i højere grad Wifi drivers, ethernet drivers, router software etc. Hvis jeg kunne trigge en fejl i Intels wifi drivere ved at sende en "magisk" pakke så kunne jeg inficere computere som blot var tændt og i nærheden af en anden inficerer computer. En slags malware mesh. Og ved at gå efter netværks drivere ville jeg komme udenom alle beskyttelses systemer på computeren. Og fordi min malware spredte sig udenom internettet (ved at wifi enablede devices snakkede sammen direkte), så ville det være meget svært at opdage eller standse ...

Its a jungle out there ...

"Hacket" var en del af en softwareopdatering. Mange har placeret deres Solarwinds installation så den ikke kan nå Internet. Som jeg læser nogle af de dokumenter der har været været forbi mig, så er der minimum 2 indicator-of-compromise der skal ud fra teorierne skal være tilstede. Den ene er kommet med en opdatering, den anden er vist nok hentet ned af malwaren.

Men, det kan være at CfCS leder efter andre IoC end de initielt opdagede.

Og hvis der nu er nogle der bestikker en udvikler i eksempelvis verdens 86. mest korrupte land til at installere en bagdør i Windows, hvordan sikrer vi os så mod det ? Og hvor mange af de huller der patches i Windows er reelt bagdøre der reelt er lagt ind ? Vi står i en situation hvor software er så store projekter at det er umuligt at sikre sig.

Den eneste sikre måde at køre software på er på netværkssegmenter, gerne PVLAN, hvor der er egress filtering (kun adgang til godkendte IP adresser), og proxy server til godkendte navne for resten (det i cloud). Dog har man stadig risikoen at glemte subdomæner hos partnere, som eksempelvis Microsoft, kan bruges af 3die part. Det er set før at man har glemt at slette DNS records til gamle services. Eller Microsoft har lavet henvisninger til navne i deres public cloud DNS domæne.

Jeg tænker at det er lidt i familie med den mulige gavnlige effekt af det der engang hed ISO9000 (nummeret er vist ændret siden).

Det er ikke certificeringen eller logningen, der gør en forskel men reaktionerne på det man måtte se undervejs i processen (etableringen)

Det er lidt som at have en røgalarm - og et par øjne og ører (og næse) - du ser og lugter røg, du hører "beep beep" og så skal du selv gøre noget ved det. Sådan er det også med logning - hvis der var et krav til at den skulle være der, sikres det at du som minimum har et par øjne eller en næse.

Problemet er at "man" går ud fra at logning forebygger noget, det gør det ikke! Det tænder kun alarmlamper når hacket sker.

Det er som med tyverialarmer: de hyler meget men tyven er alligevel løbet med din Kogle.

Man kunne forestille sig en årvågen AI, der kunne gribe ind hurtigt, når der sker noget uventet. Men det er nok meget værre end ingenting. For så vil man risikere, at systemerne kobles af eller lukkes ned, hvis man opdaterer f.eks. Adobe Reader, og det ikke er noget, AI'en har set før.

Problemet er at statslige hackere har adgang til alle de samme værktøjer som dig. Så de kan teste deres metoder og finde netop den som slipper udenom dit forsvar ...

Jeg har meget svært ved at se hvordan logning havde stoppet det her. Jeg har også meget svært ved at se CFCS stoppe det her, med mindre de deltager meget deltaljeret i planlægning og udruldning af IT systemer og netværk. En række overordnede guidelines ville give mening og at der var en ansvarlig i hver organisation som havde ansvaret for audit på hvorvidt guidelines blev fulgt. Vedkommende skulle placeres sådan i organisationen at han ikke havde til opgave eller måtte at afveje det økonomiske aspekt af hans vurderinger.

Logning afslører vel kun noget, hvis den ukendte malware laver noget, som man holder øje med. Hvis den laver meget lidt, opdager man den nok først, når den er i gang med noget virkelig slemt. Og så er det nok ved at være for sent.

Man kunne forestille sig en årvågen AI, der kunne gribe ind hurtigt, når der sker noget uventet. Men det er nok meget værre end ingenting. For så vil man risikere, at systemerne kobles af eller lukkes ned, hvis man opdaterer f.eks. Adobe Reader, og det ikke er noget, AI'en har set før.

Jeg har meget svært ved at se hvordan logning havde stoppet det her. Jeg har også meget svært ved at se CFCS stoppe det her, med mindre de deltager meget deltaljeret i planlægning og udruldning af IT systemer og netværk. En række overordnede guidelines ville give mening og at der var en ansvarlig i hver organisation som havde ansvaret for audit på hvorvidt guidelines blev fulgt. Vedkommende skulle placeres sådan i organisationen at han ikke havde til opgave eller måtte at afveje det økonomiske aspekt af hans vurderinger.

Ledelsen i organisationen ville så have til opgave at afveje de risici der forelå og være ansvarlig for denne afvejning. For naturligvis har man ikke råd til 100% sikkerhed. Kompromisser skal bare ske på et informeret grundlag. Alas, det offentlige system synes designet til at fortynde ansvar indtil ingen har det.

CFCS har helt klart en rolle i at hjælpe med "gerningsstedsundersøgelse" når der er sket noget. Der har de ekspertise i et omfang som man ikke kan forvente styrelser, ministerier og virksomheder har.

I den konkrete sag er det klart at energistyrelsen ikke ved hvad har ramt dem. Naturligvis vil det give mening at russiske hackere har placeret malware i energiselskabernes systemer. Malware hvis fineste opgave lige nu er at sove og intet gøre der kan trigge alarmer. Malware som ikke kan findes af antivirus scannere fordi den netop vil være designet specifikt til formålet og således ikke findes i milliarder af eksemplarer på alle mulige computere. Når så alle har glemt det her, så kan malwaren vågne op, fortælle om den verden den oplever og så ligge klar til at lukke de danske energisystmer ned samtidigt med at Putin invaderer Ukraine, Georgien, Estland, Letland, Litauen og/eller Finland eller hvad Putin nu måtte synes skulle ødelægges om onsdagen ...

#2 Maciej Szeliga 13. april 2021 - 09:32

Du spurgte ud i plenum: ...hvordan "logning" ville have forhindret hacket ?

Det er lidt som at have en røgalarm - og et par øjne og ører (og næse) - du ser og lugter røg, du hører "beep beep" og så skal du selv gøre noget ved det. Sådan er det også med logning - hvis der var et krav til at den skulle være der, sikres det at du som minimum har et par øjne eller en næse. 

Det er ikke sikkert du ser det alligevel, men hvis SIEM-systemet opsamler loggen, analyserer den, og finder anormaliteter i den; så kan det være at systemet automatisk sender en alarmDet kunne være når statssponsorerede hackere exfiltrerer Tbytes data ud af dit netværk, eller når de laver RDP-sessioner lateralt mellem to servere i forskellige segmenter etc..  ..En ting er at sende en alarm, en anden er så om nogen ser den og reagerer. Pointen her, er at hvis bruddet opdages i de tidlige stadier, vil det være muligt at stoppe hacket inden noget reel skade er sket.   I dag har mange firmaer også tilknyttet en eller anden form for menneskelig gennemgang af logfilerne ( SAC/SOC/CDC/NOC - de kan have mange navne) Og måske er disse mennesker kvikkere end SIEM og gennemskuer noget systemet ikke automatisk gennemskuer. (Det kommer alt sammen an på hvor skarpe de analytikere der kigger på logs er, og .. ja om der er nogen der kigger i det hele taget.)

Dem der har fyldt huset med juledekorationer og ikke har investeret i brandalarmer, og brandslutningsanlæg og for den sags skyld også sikrer sig de har opmærksomme mennesker i nærheden, har en tendens til at få brændt hele huset ned mere frekvent end dem der har sikret sig ( som så slipper med lugten af gran..)

Jeg er mest tilbøjelig til at tro det første, selv om man - desværre, ser det ud til - ser tiltag til at samle al IT-drift, inklusive produktion, under en fælles administration. Det kan gøre mig en smule bekymret ...

...hvordan "logning" ville have forhindret hacket ?

Nu har man mørklagt så meget, så det ikke fremgår, hvorvidt det var backoffice- (fakturering, kundeadministration m.m.m.) eller SCADA-systemer (produktionen) der var kompromitterede. Jeg er mest tilbøjelig til at tro det første, selv om man - desværre, ser det ud til - ser tiltag til at samle al IT-drift, inklusive produktion, under en fælles administration. Det kan gøre mig en smule bekymret ...

...hvordan "logning" ville have forhindret hacket ?

Det ville have afsløret det men hvis det her var et helt reelt målrettet angreb ville man opdage det lang tid efter vi var uden strøm, vand og gas.

Jeg håber med tiden at kontrolsystemer til kritiske samfundsfunktioner som f.eks. el og vandforsyning kommer på lukkede netværk som bare ikke kan tilgås fra internettet – VPN eller ej.

Fakta er stort set alle hacks kommer ind via internettet og den sikkerhed der ligger i fysisk separering ikke kan overvurderes.

I realiteten ved man jo ikke om man allerede er blevet hacket via Solarwind – for der kan på netværket ligge noget malware som bare ikke er aktiv lige nu.

Selvfølgelig kan man stadig opfører sig dumt og f.eks. tilslutte en USB fundet ude på parkeringspladsen, men det er nu en gang sværere at lege hacker, hvis ikke man kan gøre det hele remote.