Vi har et problem...

Version2's journalist har skrevet en historie under overskriften "Sådan gennemhullede ukendte hackere Danmarks it-sikkerhed med spredehagl".

"Spredehagl" findes ikke i virkeligheden, de er en metafor for hvad lidt for hvad beduggede jagtgæster fylder i geværet og landskabet.

Det også en glimrende metafor at bruge om hvad der ramte "Danmarks IT-sikkerhed": Den fulde skytte fyrer lige op i luften og nærmest begraves i bjerg af dødt fjerkræ.

Det siger sig selv at der er røde ører hele vejen rundt og bortforklaringerne er nærmest ikke til at sparke sig vej igennem.

Den mest latterlige er at der skulle have været "mere end 1000 mand bag angrebet".

Really ?

Hvornår har et IT projekt med 1000 mand nogensinde produceret noget så småt der faktisk virkede ?

Men det er klart, enhver kan forstå at når man står overfor en tusindtallig hær, så er det nuværende "cyber-budget" alt, alt, alt for lille!

Det er ikke mindre latterligt at alle mulige organisationer forsikrerer os om at de har hældt en masse penge i et "state-of-the-art" sikkerhedsprodukt - for derefter at placere det et sted i netværket hvor der absolut igen fare er.

Yeah, Right...

Påstande om at "det var praktikanten der gjorde det" er selvfølgelig et forsøg på blame-allocation, men det bliver faktisk bare endnu værre hvis vi tager den for pålydende:

Som i Pratchetts "Interesting Times", er det langt mindre imponerende at troldmanden går igennem vægge, når væggene er lavet af rispapir og vi må derfor spørge:

Hvordan kan en organisation som Statens IT overhovedet nogensinde finde på at bruge penge på, og installere noget som helst fra, en virksomhed hvor praktikanters arbejde ikke bliver gået efter i sømmene ?

Har produktet nogensinde produceret en værdi for danske brugere, som kommer i nærheden af kompensere prisen og risikoen ved at bruge det ?

Hvor mange andre utroværdige produkter er sluttet til højsensitive netværk i Danmark, alene på basis af en flot hjemmeiside, en flashy powerpoint og "alle andre bruger det" ?

Vi har allesammen en klar fornemmelse på hvad svaret er på de tre spørgsmål, men det kan vi ikke bruge til noget.

Indtil en IT-Havarikommission skriver en rapport med svarene, kommer der ikke en strukturel forbedring af IT sikkerheden i Danmark.

phk

Kommentarer (49)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Claus Bobjerg Juul

Jeg er overbevist om at en ITH ikke vil være uafhængigt. ITH vil blive bestykket af mennesker som tænker som dem som indsætter dem, dvs. der vil måske blive peget fingre af nogen, men vil aldrig komme frem til konklusioner som at "det var p.g.a. kulturen hos YYYY, der var skyld i at der blev begået alle de fejl".

Konklusionerne vil peger på eksterne og mindre grad interne forhold, som ingen kan klandres for.

  • 3
  • 2
#5 Finn Christensen

Jeg er overbevist om at en ITH ikke vil...

blive oprettet, at en ganske indlysende årsag.

Ingen af dem, som har magten, pengene og indflydelse, har den fjerneste interesse i endnu en "rigsrevision", "statsrevison" eller "ombudsmand" for it - tvært om.

Hvorfor ligefrem selv bede om at få alt sit eget snavsede vasketøj udstillet..

Alle med en smule magt og/eller viden ifm. it. bliver generelt 'holdt nede' ifm. hver eneste finanslov - check selv Datatilsynet, Digitaliseringsstyrelse m.fl., der alle er tandløse §- og papirkrigere.

Vi er i djøf'land, og billedligt - der sidder juristeri samt økonomi til højbords, modsat it; en rolling, der leger under bordene.

  • 13
  • 0
#7 Bjarne Nielsen

Schneier har skrevet om problemet:

https://www.schneier.com/blog/archives/2021/03/national-security-risks-o...

There are two problems to solve. The first is information asymmetry: buyers can’t adequately judge the security of software products or company practices. The second is a perverse incentive structure: the market encourages companies to make decisions in their private interest, even if that imperils the broader interests of society. Together these two problems result in companies that save money by taking on greater risk and then pass off that risk to the rest of us, as individuals and as a nation.

(min fremhævning)

Der er ikke kun to problemer - f.eks. er det også et problem, at mange af omkostningerne heller ikke bliver båret af køber, men af andre og samfundet som hele, så selv med perfekt information, så vil der ikke ske noget. Med et lidt lamt eksempel, så vil perfekt information hverken få flertallet af købere eller sælgere af dieselbiler til af sig selv pludseligt at efterspørge katalysatorer (tværtimod har vi set, hvordan selv store og respektable firmaer var mere end villige til at sætte ry og rygte på spil med det rene og skære snyd).

Rodårsagen til mange af de problemer vi har i dag, er at ortodoks markedskapitalisme har fået lov at herske og hærge i årtier til trods for at de åbenlyse og nødvendige forudsætninger for et velfungerende marked ikke er tilstede. Bliver man kørt over af andre, får man at vide, at det er man selv ude om - man bare kunne have ladet være med at gå i vejen.

Schneier fortsætter:

The only way to force companies to provide safety and security features for customers and users is with government intervention. Companies need to pay the true costs of their insecurities, through a combination of laws, regulations, and legal liability. Governments routinely legislate safety — pollution standards, automobile seat belts, lead-free gasoline, food service regulations. We need to do the same with cybersecurity: the federal government should set minimum security standards for software and software development.

In today’s underregulated markets, it’s just too easy for software companies like SolarWinds to save money by skimping on security and to hope for the best. That’s a rational decision in today’s free-market world, and the only way to change that is to change the economic incentives.

(min fremhævning)

...og må jeg her tilføje, at love, bestemmelser og erstatningsansvar kun giver mening, hvis det også bliver håndhævet; ser man aldrig en P-vagt eller en fædselsbetjent, så tager det ikke længe før anarkiet breder sig.

Vi mangler flere gode regler, og vi mangler i den grad at de få gode regler vi har, også bliver håndhævet effektivt.

  • 19
  • 3
#8 Magnus Jørgensen

Dette får mig til at tænke på Windows XP. MS udviklede Windows NT som fremtidens OS og gjorde et udemærket job ud af sikkerheden. Da de lancerede Windows XP, der var baseret på Windows NT, som også var ment til privat brug, fjernede de en del af de sikkerheds mekanismer some var i Windows NT for at Legacy apps fra Windows 95/98/Me stadig ville virke. Dette var i Microsofts interesse fordi de derfor nemt kunne sælge Windows XP til folk. Mange af de sikkerheds problemer som i de følgende år plagede Windows XP og dets brugere skyldtes denne beslutning.

  • 8
  • 0
#11 Martin Kofoed

Når crackerne går efter (og har succes med) at 0wne source code repos, så er det altså Game Over. Og når man så de sidste 10-15 år har set en udvikling, hvor al sourcekode lægges på GitHub og lignende, samtidig med at stort set alle projekter importerer hele verden (leftpad(), anyone?), så skal der ikke meget fantasi til at forestille sig katastrofer a la SolarWinds. Det er som om, man skalerer skjulte problemer og mulige angrebsvektorer minimum lineært med anvendelsen af smarte cloud-løsninger. Måske bliver det på et tidspunkt en salgsparameter, at man kan dokumentere, at man IKKE bruger den slags i sit produkt?

  • 7
  • 1
#14 Ivo Santos

En af ulemperne med sudo kommandoen i linux er at hvis en hacker får fat i ens kode, så kan den pågældende hacker installere alt fra rootkits til key logger på ens pc, hvilken er lidt skræmmende. Det er trods alt lidt sværere hvis en hacker kunne root koden for at benytte 'su' kommandoen.

  • 1
  • 14
#16 Magnus Jørgensen

Eh, kan du give link til noget konkret? Jeg kan ikke huske at der skulle være "fjernet sikkerhedsmekanismer" fra NT5/Windows 2000 til NT5.1/XP.

Windows 2000 var ligesom Windows XP et forsøg på at gøre Windows NT parat til normale desktop brugere, men det blev aldrig lige så populært. Det største problem med Windows XP var at folks som default fik en administrator konto. Havde de ikke fået dette, var deres oplevelse med at installere de fleste programmer blevet enormt besværlig og i rigtigt mange tilfælde umuligt. Da det blev normalt at brugere var administratore blev meget software ikke omskrevet således at det ikke behøvede admin rettigheder. Jeg kan nævne en række Autodesk produkter som krævede admin rettigheder for at virke, så selv virksomheder var ramt af at deres ansatte skulle være lokale administratore på deres PC. Med Windows Vista gjorde de et forsøg på at rette denne fejl, men det blev utroligt upopulært af den årsag.

Ud over problemet med admin rettigheder fortsatte Microsoft også med deres ActiveX projekt, som var indbygget i Windows XP. Dette projekt led af alvorlige sikkerheds problemer. Der var absolut ingen sandboxing af ActiveX runtime, så enhver bug i et ActiveX component kunne potentielt give en hacker admin adgang til maskinen (fordi normale brugere som default var administratore). Microsoft havde brug for et konkurrerende produkt java applets, så det var i deres interesse at fortsætte ActiveX projektet selvom det i Windows 98/Me havde vist sig at bringe enorme sikkerheds problemer.

https://en.wikipedia.org/wiki/Criticism_of_Windows_XP https://en.wikipedia.org/wiki/ActiveX

  • 6
  • 0
#18 Magnus Jørgensen

Så er min pointe at de upopulære beslutninger havde været de rigtige beslutninger. På det tidspunkt i historien havde Microsoft ingen rigtige konkurrenter og kunne derfor nemt have taget dem. Apple var tæt på at kollapse og alle de andre computer platforme var reduceret til niche områder i IT industrien.

Microsoft skulle have været mindre fokuseret på at sikre deres markeds dominans og sikret deres brugere imod malware.

  • 3
  • 0
#20 Henning Wangerin
  • 1
  • 1
#22 Sune Marcher

Det største problem med Windows XP var at folks som default fik en administrator konto.

Jeg er fuldstændigt enig i at dette var et dårligt valg, og hvis Microsoft havde insisteret på non-admin havde det været en større pisk til at få 3.parts-udviklere til at skrive deres kode ordentligt.

Men jeg at ikke at "fjernede de en del af de sikkerheds mekanismer" er retvisende for dét valg - den sætning lyder mere i retning af at fjerne ACL'er eller kernel/user separation.

Desuden var der (allerede før Win2k, så vidt jeg husker) guidelines i MSDN dokumentationen for hvordan man skrev software kompatibelt med NT, jeg synes ikke du kan give Micrsoft den fulde skyld for at 3.parts-udviklere ignorerede dette.

Så længe det ikke var grundet copy protection (suk...) skulle der ofte ret kun små workarounds til at få 3.parts-software til at virke på non-admin accounts, så det drejede sig i stor stil om dovenskab og ligegyldighed 🙄

ActiveX er en can of worms, men at introducere buggy software er ikke det samme som at "fjerne sikkerheds mekanismer". Og nej, det var ikke sandboxed, men hvor mange kendte overhovedet til det begreb for 25 år siden? :)

  • 5
  • 1
#24 Magnus Jørgensen

Men jeg at ikke at "fjernede de en del af de sikkerheds mekanismer" er retvisende for dét valg -

ActiveX er en can of worms, men at introducere buggy software er ikke det samme som at "fjerne sikkerheds mekanismer".

okok. Det er forkert ordvalg. Hermed:

Microsoft valgte ikke at bruge de bruger privileger der var indbygget i Windows NT, for at legacy software ville virke og dermed sikre deres markeds dominans, med den konsekvens at brugerenes sikkerhed blev ofret. Desuden holdt de fast i ActiveX selvom de må have vidst at sikkerheden aldrig kunne blive god.... Bedre?

  • 3
  • 0
#26 Claus Bruun

Det er ikke et problem med sudo, men et problem med administratoren som ikke har configureret sudo. Ideen med sudo er jo at man netop kan give adgang til kun det der er behov for.

Men rigtig mange distributioner er sat op, så sudo kan alt - hvilket vel ikke er langt fra windows bruger som admin (hvis man bruger password login)

  • 3
  • 2
#27 Sune Marcher

okok. Det er forkert ordvalg. Hermed:

(Microsoft valgte ikke at bruge de bruger privileger der var indbygget i Windows NT, for at legacy software ville virke og dermed sikre deres markeds dominans, med den konsekvens at brugerenes sikkerhed blev ofret. Desuden holdt de fast i ActiveX selvom de må have vidst at sikkerheden aldrig kunne blive god....) Bedre?

Jeg synes stadig du vinkler det ret bevidst og negativt ladet.

I modsætning til Unix og dets spawns, der kom fra timesharing på dyre maskiner og dermed naturligt multi-user, kom Windows fra den Personlige Computer – hvorfor skulle man ikke være lokal admin på ens egen maskine?

Det er nemt at være bagklog og kritisere historiske valg, men verden så noget anderledes ud dengang. Med landskabet dengang og "every request starts at −100 points" har det i NT5 helt sikkert virket mere relevant for sikkerhed fx at fokusere på Kerberos auth end at privatmaskiner (der alligevel ikke rigtigt var forbundet i netværk) skulle være nonadmin. Og det er trods alt ikke direkte Microsoft skyld at 3.parts-udviklere ikke fulgte de guidelines til softwareudvikling der havde været tilgængelige i årevis.

ActiveX, Java, Flash, Silverlight, (...) i browseren var en fejltagelse, men da det for alvor gik op for folk var det for sent... Og sådan en supportbyrde er lidt svær at slippe af med, når man har en forpligtigelse overfor sine kunder.

Jeg er i øvrigt lidt bange for at vi kommer til at gentage successen med WebAssembly.

  • 3
  • 1
#28 Nis Schmidt

Jeg ved ikke om du husker VMS? ("Hvad er det?" XD)

Siden 1985 (mindst) har PCer været i net. Det bliver selvfølgelig først sikkert med NT og de afledte. Sikkerhed er der nok ikke mange, der har tænkt meget over i sidste årtusind. Ok, vi gjorde, men vi "er" ikke mere - selvom ... nostalgi er ikke hvad den været.

Jeg kender ikke andelen af firmalicenser for de senere versioner, men det er snart mange år siden en "workstation" var andet (og mere) end en PC med fx en Mipsco processor ("the RISC-CISC-wars").

  • 0
  • 1
#29 Sune Marcher

Jeg ved ikke om du husker VMS? ("Hvad er det?" XD)

Jeg har aldrig selv brugt VMS, men jeg kender udmærket til NTs ophav (hej, Dave Cutler!) – og VMS var vist ikke noget du fandt på særligt mange hjemme-PC'er? 😉

Siden 1985 (mindst) har PCer været i net.

Men ikke så mange af hjemme-PC'erne, og de har altid været et stort Microsoft-marked. Og med NT kom mulighederne for at administratorer kunne lave sikre (well...) konfigurationer på virksomhedsnetværk.

Men før internettet og det nuværende spraglede landskab vi har med smartphones, Internet of Trash, laptops osv. var det vist et fåtal af hjem der havde mere end én PC.

  • 1
  • 0
#30 Joe Sørensen

Men rigtig mange distributioner er sat op, så sudo kan alt - hvilket vel ikke er langt fra windows bruger som admin (hvis man bruger password login)

I rigtig mange distroer, er det ikke meningen, at den systembruger der kører din service skal være i sudo gruppen. Og den systembruger, skal ikke have en adgangskode, fordi den skal jo alligegvel ikke logge på systemet, eller skifte bruger. Men jeg mener ikke ovenstående er så stort et problem længere, fordi admins efterhånden har forstået det. Og det er let at gøre rigtigt. sudo kommandoen gør også, at root kontoen ikke behøver nogen kode. Dermed er der heller ikke nogen der logger ind med den.

Problemet er, at en fejl i en lib i noget kode, kan give mulighed for at køre kode på serveren. Og man har normalt ikke engang brug for superbruger adgang for at skabe problemer. Tit er der kun en konto på DBen. Så kan du køre kode på en af deres servere, så kan du vælte dig rundt i al data. Serveren er også på indersiden af netværket. Og hvis virksomheden har satset på en perimeter firewall, så er du nu på den interessante side af både firewall og alle VPN forbindelser. Samtidig har du også mulighed for at ændre på den service. der kører på serveren. Hvis du mangler noget info, så retter du bare programmet til at spørge brugeren om det. Mangler du fx koden i klartekst, så ændre du programmet, så den skriver den ned for dig.

Min fornemmelse er, at mange bruger den version af et lib, som de brugte dengang de stødte på det lib for første gang. De er bange for at en opdatering af enhver lib vil kræve opdateringer af andre libs, som igen vil kræve ændringer i deres egen kode. Og det har vi jo ikke tid til. Det betaler kunden ikke for. Så hellere hente gamle versioner ned, når de skal bruge et nyt lib. Faktisk er min fornemmelse at det problem er stiende.

  • 1
  • 1
#31 Poul-Henning Kamp Blogger

Siden 1985 (mindst) har PCer været i net.

De kunne være i net men meget, meget få af dem var det.

Der var en grund til at IBM kaldte den en "Personlig Computer" og IBM selv så absolut ingen grund til at kanibalisere deres eget marked for "rigtige" computere.

Netværk startede som en tredjeparts ting og til IBM's store fortrydelse, og en væsentlig medårsag til OS/2, så Microsoft ikke på det på samme vis.

Det er først en imod 1990, hvilket var en evighed i denne specifikke sammehæng, at det var "normalt" at have PC'er i netværk og langt største delen af dem var bare forbundet i kontor-klynger uden forbindelse til noget udenfor bygningen.

Ingen "CIO" udenfor den akademiske verden kunne drømme om at koble netværk direkte sammen, dataudveksling foregik som explicitte "downloads" eller "uploads" - afhængig af hvilken direktør der havde den dyreste bil :-)

(Desuden var "3.parts traffik" stadig et statsmonopol.)

Microsofts rolle i dennne sammenhæng var NETBIOS/NETBEUI og den katastrofale "Server Message Block" protokol (deraf navnet "SaMBa"), senere omdøbt til "Lan Manager" - altsammen blottet for noget der blot mindede om kompetente sikkerhedsgrænser og facilteter.

  • 11
  • 0
#32 Magnus Jørgensen

Jeg synes stadig du vinkler det ret bevidst og negativt ladet.

Nu er det jo en kritik af Microsoft. Så det ligger i sagens natur at det er negativt ladet.

Og det er trods alt ikke direkte Microsoft skyld at 3.parts-udviklere ikke fulgte de guidelines til softwareudvikling der havde været tilgængelige i årevis.

Det er netop det der er min pointe. Jo. Microsoft havde udviklet den teknologi der skulle til, for en bedre sikring af folk imod malware. De skulle blot have taget den upopulære beslutning i Windows XP i stedet for at de ventede til Windows Vista. Konsekvensen ville have været at mange legacy programmer ikke ville virke og at installation af software ville være mere besværligt. Det kunne have skubbet nogle brugere væk fra platformen. Windows 95 kunne komme på nettet med netscape og Internet Explorer og Windows 98/Me havde browseren indbygget, så det er ikke fordi at computere i netværk var nyt da Windows XP udkom.

  • 2
  • 0
#33 Sune Marcher

Microsofts rolle i dennne sammenhæng var NETBIOS/NETBEUI og den katastrofale "Server Message Block" protokol (deraf navnet "SaMBa"), senere omdøbt til "Lan Manager" - altsammen blottet for noget der blot mindede om kompetente sikkerhedsgrænser og facilteter.

Til gengæld var det nemt at få til at virke! 😉

Men du har ret, der har godt nok været meget bøvl med SMB – helt grundlæggende protokolproblemer, implementeringsfejl der gav mulighed for RCE, og tåbelige valg relateret til sharing (administrative shares aktiveret som default, ugh).

  • 1
  • 0
#37 Sune Marcher

Java, Flash og Silverlight er rigtigt not fejltagelser, men de er ikke at sammenligne med ActiveX. Hvis føromtalte er noget fyrværkeri i postkassen er ActiveX en atombombe i centrum af New York. Føromtaltte techs havde alle et omfang af afskærmning fra OS imens ActiveX kunne tilgå alle COM componenter i OS direkte.

Jep, her er et punkt hvor vi er fuldstændigt enige – der er noget af en gradsforskel på (dårligt) sandboxede udvidelser og så at køre native kode direkte 😉

På implementeringstidspunktet havde man muligvis ikke forudset hvor hostile internettet ville blive, men man burde have vidst nok om brugeradfærd til at vide de fleste bare klikker "jaja, whatever" knappen når de bliver spurgt om noget sikkerhedsrelateret.

  • 2
  • 0
#38 Per Michael Jensen

Til gengæld var det nemt at få til at virke! 😉

Ja ved samme Windows-udgave. Men ikke mellem udgaverne. Husker at der blev brugt timer på at få forskellige Windows versioner (95, 89, ME, 2000) til at snakke sammen til netparites.

Det blev vist lettere senere, omkring XP, men da flyttede jeg over på Linux, og har været lykkelig der siden :-)

Og Netware (omkring 1993) virkede bare ud af boksen.

  • 3
  • 0
#40 Poul-Henning Kamp Blogger

På implementeringstidspunktet havde man muligvis ikke forudset hvor hostile internettet ville blive

Mere præcist:

På implementeringstidspunktet var strategien at MSN (= Microsoft Network[1]) via MicroSofts monopol og markedsmagt skulle møve internettet af banen og indføre en "pay per click" skat til Microsoft.

I store træk kan man sige at Microsoft med hvert ny familie af operativsystemer efter MSDOS havde udset sig et ny marked man ville møve sig ind på, med den hensigt at indføre "pay per ..." politik:

Win3.11 -> Apple Machintosh

Win95/98 -> Internettet/AOL

NT -> Sun/Unix Workstations

Bob -> Skolecomputere

2000/ME/XP -> Musikindustrien

Vista -> Film/TV-industrien

Win 7/8 -> Mobilmarkedet

Det bemærkelsesværdige er hvor meget de har været villige til at handicappe deres flag-produkt for at forfølge disse strategier.

Kan i f.eks huske hvordan Vista ikke ville sende noget ud til monitorer over en hvis størrelse, fordi det blev opfattet som et forsøg på "digital piratkopiering" af film, af hvilke der ingen var tilgængelige på platformen ?

[1] Den sidste rest af "MSN" er TV-netværket "MSNBC".

  • 3
  • 1
#43 Michael Cederberg

Den mest latterlige er at der skulle have været "mere end 1000 mand bag angrebet".

Det er overhovedet ikke latterligt. Hvis jeg fik til opgave at drive en IT efterretningstjeneste så ville jeg bl.a. lave grupper for følgende:

  • Infiltration – enten fysisk eller elektronisk - af virksomheder med henblik på at finde svagheder, source code, credentials, plante malware
  • Analyseenhed der kigger på source code (open source og stjålet closed source) med henblik på at finde fejl (0-day)
  • Udviklingsteams til at udnytte 0-days
  • Udviklingsteams til at lave hemmelige transport protocoller (til command and control, data hentning)
  • Udviklingsteams til at udvikle malware til ubeskyttede devices (fordi mange devices bag firewalls er ubeskyttet)
  • Test teams der tester udviklet malware
  • Analyse teams der undersøger virksomheder/myndigheder der er blevet hacket

Der er fint plads til mange tusinde. Den specifikke malware til Solarwinds kan sagtens være lavet af et ganske lille team der har udnyttet viden indsamlet af andre samt brugt kodebiblioteker som tjenesten måtte have udviklet. Når man så er kommet ind og set sig om, så har man kunne gå videre med at angribe devices i virksomheden. På den måde kan man fint nå til 1000 mennesker hvis indsats har været nødvendig for at angrebet kunne lykkes.

Der har tidligere været estimater på at der var ca. 300 om at udvikle Stuxnet. Selve kompleksiteten har Stuxnet var høj, men man havde ganske få mål og derfor var mængden af analyser og målrettet kode nok meget mindre.

Microsofts rolle i dennne sammenhæng var NETBIOS/NETBEUI og den katastrofale "Server Message Block" protokol (deraf navnet "SaMBa"), senere omdøbt til "Lan Manager" - altsammen blottet for noget der blot mindede om kompetente sikkerhedsgrænser og facilteter.

Eller ftp, nfs, X11, etc. ... verden var en anden. Unix var også fyldt med usikre protocoller i gamle dage.

  • 1
  • 0
#44 Poul-Henning Kamp Blogger

Der er fint plads til mange tusinde.

Sagtens.

Men du kan ikke have 1000 personer på det et IT-projekt der resulterer i et angreb som dette, der vil gå både Parkinssions lov og Peter Princippet i det.

Det kan sagtens være at de 10-50 personer der har været involveret arbejder i en stor organisation, men det er ikke det der bliver påstået.

  • 1
  • 1
#45 Poul-Henning Kamp Blogger

Der har tidligere været estimater på at der var ca. 300 om at udvikle Stuxnet. Selve kompleksiteten har Stuxnet var høj

Stuxnet var i en helt anden klasse af komplexitet, både med hensyn til politik, mål og hvor svært det var at få den infiltreret.

300 lyder ikke usandsynligt til den opgave, ikke mindst fordi der efter alt at dømme var mindst 3 efterretningstjenester involveret.

  • 1
  • 1
#47 Michael Cederberg

Men du kan ikke have 1000 personer på det et IT-projekt der resulterer i et angreb som dette, der vil gå både Parkinssions lov og Peter Princippet i det.

Lige nu er der 4 separate navngivne malwares relateret til Solarwinds. Mere end 300 virksomheder er blevet inficeret med custom malware. En række netværks devices er inficeret. Det er således ikke bare et spørgsmål om at inficere auto-update processen hos Solarwinds.

Men i øvrigt kan man godt have rigtigt mange på et IT projekt hvis modul afgrænsninger allerede er kendt sådan at enkelte teams kan arbejde relativt autonomt. En Linux distribution involverer mange tusinde moduler/programmer og involverer kode fra endnu flere mennesker. Det er muligt fordi interfaces er (relativt) veldefinerede.

Husk på at russerne havde NotPetya angrebet som var bygget over samme læst omend det syntes at have været samme malware der kørte hos alle inficerede og der syntes ikke at have været forsøg på at hive information ud af de inficerede systemer/virksomheder.

Stuxnet var i en helt anden klasse af komplexitet, både med hensyn til politik, mål og hvor svært det var at få den infiltreret.

300 lyder ikke usandsynligt til den opgave, ikke mindst fordi der efter alt at dømme var mindst 3 efterretningstjenester involveret.

Helt enig mht. til kompleksitet. Men omfanget her er meget større. Som jeg forstår det er malwaren spredt til rigtigt mange Solarwinds kunder. Malwaren ringede hjem og fortalte om virksomheden. "Ejeren" af malwaren valgte så at gå videre med ydeligere inficering af udvalgte virksomheder (mere end 300). I den forbindelse blev malwaren tilrettet den enkelte virksomhed.

  • 1
  • 0
#49 Michael Cederberg

Jeg taler om at gennemføre angrebet, ikke om at "exploite" udbyttet.

Som jeg læser Brad Smiths udtalelser, så anser Microsoft det som et samlet angreb. Det er det samlede angreb de har estimeret ressourcer på. Dvs. hvis man først er kommet ind og så deployer en custom udviklet malware firmware til en printer, switch, Siemens PLC monitoring PC, etc. så tæller det med i det samlede angreb. Ellers er jeg enig i at 1000 er 995 kokke for mange.

Grunden til at se det som et samlet angreb er at det bruges til at sige at det kun kan være statshacking og at den pågældne stat (dvs. russerne) har brugt mange penge på det.

  • 1
  • 0
Log ind eller Opret konto for at kommentere