Kompan fik at vide datalæk var ‘usandsynligt’: »Den vurdering vil jeg gerne snakke med CSIS om«

30. september 2021 kl. 03:4518
Kompan fik at vide datalæk var ‘usandsynligt’: »Den vurdering vil jeg gerne snakke med CSIS om«
Illustration: Lasse Andersen | Bigstock.
Alt tydede på, at Kompans sikkerhedsrådgiver, CSIS, havde formået at desarmere hackernes nyeste våben i arsenalet, datalækket. Det var bare ikke tilfældet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Legepladsproducenten Kompan troede, at den var sluppet med skrækken efter det nylige ransomware-angreb mod selskabet. At det var overstået efter en gendannet backup.

Men i modsætning til den konkrete vurdering fra Kompans sikkerhedsrådgiver, CSIS, var der mere under opsejling. De kriminelle bag angrebet gik til Kompan med et relativt nyt våben i ærmet:

Nemlig et omfattende datatyveri efterfulgt af et skødesløst dump af data på det mørke net.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
18 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
3. oktober 2021 kl. 14:10

Tjaa ... disse angreb går sjældent mod en enkelt virksomhed ad gangen. Det foregår på industriel skala. Hvis man ansætter billige folk til at finde sårbarheder og så bruger sårbarhederne mod mange mål på en gang, så kan man komme udenom de fleste forsvar. Umiddelbart virker det som om en stabil gevinst der er 10 gange større end udgiften er mulig.

Men hvorfor skulle man hyre folk til at finde 0-days når det er så nemt at komme ind med velkendte exploits? Hvorfor skulle man brænde exploits der kan bruges til virkeligt lukrative targets, når ens mode of operation (som du selv skriver) er masseafpresning?

17
3. oktober 2021 kl. 10:55

Jeg tvivler på at de typiske ransomeware gangs benytter sig af den slags – det er ikke nødvendigt, og det for dyrt at brænde den slags teknikker af til dét formål.

Tjaa ... disse angreb går sjældent mod en enkelt virksomhed ad gangen. Det foregår på industriel skala. Hvis man ansætter billige folk til at finde sårbarheder og så bruger sårbarhederne mod mange mål på en gang, så kan man komme udenom de fleste forsvar. Umiddelbart virker det som om en stabil gevinst der er 10 gange større end udgiften er mulig.

Full disk encryption hjælper kun ifm. tyveri af en kold disk. Det hjælper ikke hvis det ligger på en netværksshare, hvorfra der er adgang fra en kompromiteret bruger konto. Det eneste der vil kunne sikre nogenlunde mod dette, er at gemme personfølsomme data, i et krypteret arkiv (der var engang noget der hed TrueCrypt). Det må så kun anvendes af ganske få personer, og kun låses op i kort tid af gangen. Det hjælper ikke hvis dette arkiv er permanent låst op, og mounted.

Det bliver bare meget nemt besværligt. For hvis man vil beskytte sig ordentligt så skal krypteringsnøglerne også væk. Det er ikke nok blot at have en password beskyttet "vault" til nøglerne.

16
1. oktober 2021 kl. 19:43

Re: Brug af foto
@Niels - Jeg kunne ikke være mere enig. Man må antage at eks Nemid er nok til at identificerer at det er den korrekte borger der sidder i den anden ende. Hvis det ikke er tilfældt, mener jeg at det system har spillet fallit.

Ja, men normalt skal du ikke bruge dit NemID hvis du går fysisk i banken. Så bruger du dit glatte ansigt som legimentation. Og det er nok den mest usikre legimentation der findes.

Fingeraftryk vil være mere sikker end billed identifikation. En fingeraftryks aftaster koster ikke mange penge, og hvis der var opbevaret fingeraftryk hos CPR, så kunne det bruges til en meget sikker verifikation af, at vi er den vi udgiver os for. Fingeraftryk er mest sikker, hvis det er ved en manuel identifikation, da automatik kan snydes ved at f.eks. bruge et stykke voks. Men, hvis man skal identificere hvem man er, f.eks. i banken, og sidder og fumler med et stykke voks, vil bankens ansatte nok få mistanke. Personer ligner ikke altid deres ID, og er en person sort, så plejer farven at være nok. Selv overfor politiet, går et "søskende pas" ofte meget nemt igennem. En af mine venner, havde intet problem med at identificere sig med sin søsters pas, da vedkommende havde glemt sit eget.

14
1. oktober 2021 kl. 19:34

Problemet er at et foto af pas, kørekort, sygesikrings bevis tilægges nogen værdi.

Jeg har været udsat for, at der er blevet spurgt om foto-ID på grund af hvidvaskningsloven mv. og hvor at det har været nok at sende et indscannet ID uden de nogensinde ser personen. Hvis de ikke skal se personen, når de skal have billed-ID, så vil jeg bestemt giv dig ret - fotoet har ingen betydning.

Tjekkes vores foto så er et foto-ID mere sikkert, end et ID uden foto. Går vi i banken, og tjekker banken vores foto, så er det mere sikkert, end hvis de ikke tjekker det. Men, det vil være mere sikker, at de beder os logge ind med vores NemID, såfremt at vores NemID ikke er kompromiteret.

I stedet for at skulle vise foto-id, så tror jeg det bedste vil være, at CPR registret gemmer et foto af os, så de kan hente den på vores CPR nummer. De kan derved tjekke, at vi er den vi er, til det pågældende CPR nummer. Og vi kan til gengæld ulovliggøre, at der opbevares kopi af foto-ID's. Hvis nogen henter et foto af os, skal vi naturligvis kunne se det på log'en, på samme måde som hvis de henter CPR informationer.

13
1. oktober 2021 kl. 19:26

Sidder og tænker på om de bare har haft billeder / oplysninger af medarbejdere til at ligge på netværksdrev uden det er krypteret af nogen art:/

Full disk encryption hjælper kun ifm. tyveri af en kold disk. Det hjælper ikke hvis det ligger på en netværksshare, hvorfra der er adgang fra en kompromiteret bruger konto. Det eneste der vil kunne sikre nogenlunde mod dette, er at gemme personfølsomme data, i et krypteret arkiv (der var engang noget der hed TrueCrypt). Det må så kun anvendes af ganske få personer, og kun låses op i kort tid af gangen. Det hjælper ikke hvis dette arkiv er permanent låst op, og mounted.

12
1. oktober 2021 kl. 13:40

Bare fordi de har en backup betyder det ikke at deres Data kan blive stjålet og leaked efter et angreb

Mangler der en negation? For eksempel:

"Bare fordi de har en backup betyder det ikke at deres Data ikke kan blive stjålet og leaked efter et angreb."

11
1. oktober 2021 kl. 13:34

Sidder og tænker på om de bare har haft billeder / oplysninger af medarbejdere til at ligge på netværksdrev uden det er krypteret af nogen art:/

Det var dog en uhyggelig tanke, men nu var IT-sikkerhed næppe firmaets spidskompetance - de fremstiller (formentlig analogt) udstyr til legepladser for børn. Skal man ikke kunne gøre det uden at være IT-eksperter?

Om det var klogt at indsamle medarbejderes oplysninger og opbevare dem digitalt, skal jeg lade være usagt.

De havde dog en sikkerheds-forbindelse og kontaktede dem hurtigt. Hvad mere kunne og skulle de gøre?

10
1. oktober 2021 kl. 13:28

"Legepladsproducenten Kompan troede, at den var sluppet med skrækken efter det nylige ransomware-angreb mod selskabet. At det var overstået efter en gendannet backup."

Det noget mærkeligt noget at tro... Bare fordi de har en backup betyder det ikke at deres Data kan blive stjålet og leaked efter et angreb

9
1. oktober 2021 kl. 11:21

Sidder og tænker på om de bare har haft billeder / oplysninger af medarbejdere til at ligge på netværksdrev uden det er krypteret af nogen art:/

8
1. oktober 2021 kl. 10:29

Og hvordan skulle EU/globalisering have gjort nogen forskel her?

Hvad har "globalisering" med sagen at gøre?

Nåh jo, hvis DK havde respekt for andet end "DK" så lod vi nok ikke "dem" samle vores data, når de f.eks. be'r om billedlegitimation eller vores "kreditoplysninger". De fik ikke mine! (Eller fandt ud af, at havde dem i forvejen?) De ville vide at den slags giver vi ikke fra os i EU!

6
30. september 2021 kl. 21:06

Teknofisering af samfundet???

Da jeg i 2011 fik udstedt et "kreditkort" kørekort, med "sort/hvid" billede var kvaliteten af dette (billedet) dårligere end billedet på mit "Carte De Séjour" fra 1987 (forrige årtusind!!!!) - der er over 24 år mellem udstedelserne!

I forkortelsen DK, står 'D' for: "dumt, dyrt og dårligt", mens 'K' betyder: "klamt, kaotisk og korrupt" ... (beklager hvis nogle har fået "røde ører").

men, men, men; så husker jeg at vi på 'Inge-ni-øren' er 'ingeniører' (=halvstuderede "'røv-ere"), så det er udenfor diskussion at nogle af "os" har svigtet virksomheden: Kompan. Det var ikke derfor jeg blev engineer i EU/USAansk virksomhed og siden dansk Bsc i Software Teknologi.

Vi må kunne gøre det bedre, men det vil tage tid og omstilling til virkeligheden og at vi erkender, at DK har mere brug for EU, end EU har for DK!

4
30. september 2021 kl. 15:14

@Niels - Jeg kunne ikke være mere enig. Man må antage at eks Nemid er nok til at identificerer at det er den korrekte borger der sidder i den anden ende. Hvis det ikke er tilfældt, mener jeg at det system har spillet fallit.

3
30. september 2021 kl. 14:41

Når nogen bad-guys har været inde på et netværk så skal man opfatte alle devices på netværket som inficeret og alt data som lækket. Med mindre der er opstillet barrierer mellem de forskellige dele af nettet.

Basalt set ved Kompan ikke om der er malware i BIOS på en gammel server i hjørnet, i printeren nede i kælderen, etc. Måske har disse hackere været snedige og inficeret firmwaren i nano-receiveren til de logitechs keyboards/mouse som findes rundt om på deres kontorer, i deres Aruba access points, etc. (firmanavne er blot eksempler på mulige angrebspunkter). Disse devices kan sove nu for så at vågne op om 6 måneder og så starter det hele forfra.

Når det er hacking på industriel skala som det her, så virker pattern matching malware scanning ikke. For så vil hackere samle et antal day zero exploits sammen og når de har nok så gå i gang med at bruge dem. Derfor kan man ikke sige om IT systemerne nu er clean. Og når bad-guys først har haft adgang til data så er det stjernedumt at tro at de ikke også har kopieret data. Uanset om man kan se spor efter det eller ej.

For et par millioner kroner om året kan man holde 20+ udviklere igang i Pakistan med at lede efter huller i open source kode og i kommercielle produkter. Hvis det er det eneste de laver så vil de finde noget fra tid til anden.

2
30. september 2021 kl. 13:36

Flere af fildelingstjensesterne har idag en funktion, så det der ligger i skyen replikeres under en eller anden form på brugerens PC. Denne replikering vil man nok ikke kalde "download" da det principielt er en anden proces. Så hvis man spørger fildelingstjenesten om data er downloadet kan deres "Nej" sådan set godt være korrekt - men det betyder ikke at data ikke kan være delt med andre. Og denne replikering kan gøres ensrettet, så selv om filerne slettes i skyen, så bevares de på brugerens PC. Så måske CSIS har stillet de forkerte spørgsmål.

1
30. september 2021 kl. 13:22

Problemet er at et foto af pas, kørekort, sygesikrings bevis tilægges nogen værdi. Jeg forstår ikke hvorfor man skal sende bileder af ovenstående ifm. bankernes 'know your customer' hvid vasknings krav. Hvis ovenstående billeder ikke må bruges som authentication, så er der ikke nogen grund til de ligger og roder på servere.