Bergsäker november

säkerhetskonsult

Omvärlden

Ute i den stora världen har det skett en hel del under oktober när det gäller IT-säkerhet. Krypteringstekniker som har visat sig sårbara genom attacker/sårbarheter med namn som DUCK, ROCA och SSHS. Ransomware-attacker av Bad Rabbit, Double Locker, Cerber, Magniber, Anubi, Crytpomix, Payday BTCware, Locky, Matrix, Lokibot. Namnen är lika fantasifulla som de är farliga. Tänkte stanna lite vid den sårbarhet som hittades i WPA2 med ett hack döpt till ”KRACK” som publicerades med buller och bång i mitten av oktober. Man har lyckats få inblandade parter (klienten och basstationen) att nollställa en del i detta strömningskrypto och återanvända delar av den redan förbrukade nyckelströmmen. Detta är den stora buggen då detta är en svaghet med strömningskrypton som WPA2, man ska aldrig återanvända nyckelströmmen. Man återsänder sedan känd data och ser ur den krypteras och kan sedan börja gissa nyckeln. Det finns inga kända verktyg som automatiserar dessa gissningar ännu, men det kanske kommer framöver. Värt att tillägga är att det finns lite olika krypteringsmekanismer inom WPA2. Det finns TKIP samt CCMP. TKIP anses sedan några år tillbaka vara gammalmodigt och för osäkert, då man lyckats hitta hål i denna kryptering. CCMP är den kryptering som nu anses hackad med ”KRACK”. Kolla upp din utrustning samt dina klienter om din tillverkare har släppt uppdateringar för detta.

Slutligen lite om det hot som IoT-enheter utgör idag. Det har upptäckts ett bot-nät som består av många gånger fler enheter än de som ingick i Mirai-botnätet förra hösten. Mirai lyckades släcka ner DYN (en stor DNS-provider) och gjorde därmed stor skada för ett antal företag. Några av de webbsidor som drabbades var GitHub, Twitter, Reddit, Netflix samt Airbnb. Detta nyupptäckta Botnät kallas Reaper eller IoTroop och har än så länge inte gjort något, bara förökat sig. De som har tittat närmare på detta hot är imponerade. Det är det mest kompetenta Botnät vi har sett hittills. Några saker som kännetecknar Reaper:

  • Förökar sig med kända sårbarheter. Utnyttjar väldigt nya sårbarheter som många tillverkare ännu inte skyddat sig mot.
  • Reaper kan uppdatera sig själv

Reaper infekterar kameror som är uppkopplade samt routers. Senaste gissningen är att det kan vara hundratusentals, kanske en miljon enheter som är infekterade. Återstår att se vad Botnätets ägare avser att göra med denna superkraft.

Säkerhetsarbete från grunden

Vad ska man göra inom sin organisation för att företagets egna IT-arkitektur ska bli lite mer motståndskraftigt mot alla dessa hot? Vart ska man börja för att bedriva ett systematiskt arbete kring sin IT-säkerhet? Ett grundläggande säkerhetsarbete börjar med det som ALLA borde gjort från början. IT-säkerhetens ABC. Smör och bröd! En organisation som inte har gjort denna hemläxan har tyvärr så dålig grundläggande IT-säkerhet att det är svårt att bygga vidare på det. Enligt många undersökningar av bland annat Gartner, men även egen erfarenhet, så avvärjer du en väldigt stor del av alla hot med dessa grundläggande steg.

1.    Perimeterskydd

En uppdaterad, modern brandvägg med en motståndskraftig konfiguration som förhindrar att din information nås av obehöriga. Detta är första linjens skydd mot exponering av din data/dina tjänster mot resten av internet.

2.    Säker samt känd konfiguration

Alla system måste ha en säker konfiguration. Produkter är idag väldigt komplexa och har man egen drift av dessa så måste de härdas enligt ”Best Practise”-dokumentation från tillverkaren eller enligt bransch-praxis. Att kunna verifiera att konfigurationen ser ut som väntat är ett annat viktigt moment.

3.    Accesskontroll / Identitetshantering

Vi måste kunna vara säkra på att rätt användare kommer åt rätt resurser. Och att det är användaren själv som sitter bakom inloggningen och ingen som har tagit över kontot.

4.    Uppdateringar

All mjukvara och utrustning måste vara uppdaterad. Detta för att täppa till kända säkerhetshål. Väldigt många av de företag som blivit hackade har blivit det genom gamla, kända buggar där det in många fall funnits uppdateringar ute för dessa buggar i många år.

5.    Skydd mot skadlig kod

Malware-skydd i brandvägg, på servrar samt på klienter. En regelbunden uppföljning av dessa loggar för att se att produkterna fungerar som de ska samt för att organisationen ska hålla sig uppdaterad när det gäller hotbilden mot företaget.

Detta är grunden. Det är inte svårt, men det kräver bara noggrannhet, disciplin och rutiner. Det är inte ett arbete som går att utföra manuellt, det måste automatiseras för att fungera effektivt. Det finns väldigt bra verktyg och lösningar för att göra detta. Men det är också BARA grunden. Du kommer att behöva en hel del mera arbete. Och det kommer vara ännu mer tidskrävande och omfattande. Och bygger till stor del på att grunden är lagd. Nästa månad ska jag berätta mer om hur man kan fortsätta sitt strukturerade säkerhetsarbete.

På återseende /Jens

jens_myretyr-108x142

Skribent

Jens Mazzanti-Myretyr
IT-ansvarig

0702 – 88 60 02
jens.mazzanti-myretyr@basalt.se

Jens är IT-ansvarig på Basalt. Han är en senior tekniker som har arbetat inom såväl privat som offentlig sektor, både som anställd och som konsult. Han har en gedigen kompetens och erfarenhet inom IT-säkerhet, drift och förvaltning.