Politikk, religion og samfunn Globalt hackerangrep

[Espen R]

Det siste er at Universitetet i Tromsø er hacket, før det er Hurtigruten, flere departementer i USA, og mange andre bedrifter og institusjoner i verden.

Det som er ekstra skummelt er at sentrale IT-leverandører og sikkerhetsfirmaer er infisert av virus, som så sender viruset videre til kundene, som Fireeye.

Det jeg undrer meg på, er når finansdepartementet og handelsdepartementet i USA er hacket, kan ikke like gjerne forsvarsdepartementet bli hacket? Du sier kanskje at sikkerheten der er høyere? Men hvis sikkerheten der er bedre, hvorfor er ikke da alle departementer da underlagt den samme sikkerheten?

Hvor bekymret bør vi være?

 

[weld77]

Men hvis sikkerheten der er bedre, hvorfor er ikke da alle departementer da underlagt den samme sikkerheten?

Høy grad av sikkerhet kommer typisk med en betydelig mengde hassle. Det gjøres normalt en avveiing mellom hvor kritisk noe er og hvilket sikkerhetsnivå som er akseptabelt.

 

[Asbjørn]

Det ser vel ut til å være den vanlige historien:

A security expert reportedly warned SolarWinds in 2019 that anyone could access the company's update server with the password 'solarwinds123'

A security researcher warned the firm, which suffered a massive hack, last year that its "solarwinds123" password could make it vulnerable.

www.businessinsider.com

SolarWinds Hack Could Affect 18K Customers – Krebs on Security

SolarWinds Supply Chain Attack Uses SUNBURST Backdoor | Google Cloud Blog

A highly evasive attacker leverages a supply chain attack trojanizing SolarWinds Orion business software updates in order to distribute SUNBURST malware.

www.fireeye.com

https://www.washingtonpost.com/technology/2020/12/15/solarwinds-russia-breach-stock-trades/

Top investors in SolarWinds, the Texas-based company whose software was breached in a major Russian cyberattack, sold millions of dollars in stock in the days before the intrusion was revealed.
The timing of the trades raises questions about whether the investors used inside information to avoid major losses related to the attack. SolarWinds’s share price has plunged roughly 22 percent since the company disclosed its role in the breach Sunday night.

 

[Espen R]

Høy grad av sikkerhet kommer typisk med en betydelig mengde hassle. Det gjøres normalt en avveiing mellom hvor kritisk noe er og hvilket sikkerhetsnivå som er akseptabelt.

Joda, det er nok en avveining mellom hvor kritisk institusjonen er og hassle.
Ser man fremover med utviklingen av kunstig intelligens, er det en potensiell megastor trussel for ondsinnet virksomhet. Det vil bli et evig kappløp mellom sikkerhet og inntrengere som banker på døra di hvert eneste sekund, døgnet rundt.

Påfallende ofte leser jeg om jeg har beredskap, og er forberedt for en mulig krise. Har du nok vann i huset? brensel? mat for ei uke? litt kontanter, osv. Det må være hackerangrep mot kritiske samfunnsstrukturer som myndighetene først og fremst ser som en reell mulighet. Vi vet jo at vannet ikke kommer ut i springen hvis ikke It-systemene virker.

 

[Asbjørn]

Men å bruke passord "solarwinds123" for noe som gir aksess til å installere programvare da...

Det er nesten som da DEC sendte sine VAX ut i verden konfigurert med brukernavn "field" og passord "service" for root.

 

[weld77]

Men å bruke passord "solarwinds123" for noe som gir aksess til å installere programvare da...

Det er vel stort sett alltid brukerene som er det svakeste punktet i ethvert sikkerhetsoppsett. Som sagt så medfører sikkerhet hassle og jo mer hassle jo mer fristende blir det å finne noen snarveier som gjør hverdagen litt enklere.

Husker da MS Windows begynte å få et visst begrep om sikkerhet på versjonene til hjemmebruk. Folk synes det var jævlig plagsomt å måtte bekrefte at de faktisk ønsket ditt og datt osv.

 

[Asbjørn]

Yup, overivrig IT-avdeling som krever passord på minst 17 tegn med både store og små bokstaver, tall og spesialtegn, og at de må byttes hver måned er en stor sikkerhetsrisiko. Du vil finne en PostIt-note med gyldig passord under hvert tastatur.

 

[na_X]

Det er en grunn til at sikkerhetsloven fra NSM kom for noen år siden, som gjelder alle offentlige nett.

Om denne veilederen - Nasjonal sikkerhetsmyndighet

nsm.no

Nasjonal sikkerhetsmyndighet - Forsiden

nsm.no

 

[Espen R]

Alltid pekes det mot Russland og cosy bear, eller hva dem nå kaller seg.
Syns den vestlige verden skulle slå seg sammen og jobbet mot et megastort og koordinert angrep mot russiske institusjoner. Så fikk man se hvem som har overtaket på hvem

 

[bambi]

Jeg syns bank-id er jævlig, og skulle ønske det fantes en trygg og enklere løsning. Og hos DnB må man ikke bare logge inn med den, man må bekrefte hver eneste betaling også. Har vurdert å ta ut sparepengene i gull, og få fakturaer levert med brevdue isteden.

 

[LMC]

hvorfor er det så jævlig?...du burde bare være glad...

 

[Espen R]

Jeg syns bank-id er jævlig, og skulle ønske det fantes en trygg og enklere løsning. Og hos DnB må man ikke bare logge inn med den, man må bekrefte hver eneste betaling også. Har vurdert å ta ut sparepengene i gull, og få fakturaer levert med brevdue isteden.

Tror nok det meste i fremtiden blir å gå mot Bank-id og 2-trinns eller sågar 3-trinns verifisering. Tendensen er helt tydelig på hvilken vei vi går.
Fikk nettopp melding om at alle kjøp via et kredittkort jeg har blir endret fra nyttår, mer sikkerhet.

 

[bambi]

hvorfor er det så jævlig?...du burde bare være glad...

Fordi det er stress og knotete, og man må bruke det nesten overalt, ikke bare i nettbanken. Til og med når jeg får oppdateringer og månedsbrev fra barnehagen må jeg logge inn med bank-id. Pest eller kolera? Bank-id er jatakk, begge deler.

 

[bambi]

Tror nok det meste i fremtiden blir å gå mot Bank-id og 2-trinns eller sågar 3-trinns verifisering. Tendensen er helt tydelig på hvilken vei vi går.
Fikk nettopp melding om at alle kjøp via et kredittkort jeg har blir endret fra nyttår, mer sikkerhet.

Kan hende du har rett, men for min del er er det isåfall en digital forjævlisering og komplisering av hverdagen.

 

[PeriodeLytter]

Arbeidskolega med sprittusj på matt laptopskjerm sitt passord han skrev
i den hvite ruten hvor passord skal inn.
Le oss skakk vi gjorde når forbi hans arbeidsplass gå forbi,
undrende hva gjør han så gjør når han med tvang passord må bytte.

 

[erato]

Som sikkerhetssjefen i en internasjonal bank jeg hadde en del samarbeid med, hadde i sin mailsignatur:

"Absolutely secure systems do not exist.

To halve your vulnerability, you have to double your expenditure.

Cryptography is typically bypassed, not penetrated."

 

[OMF]

. Du vil finne en PostIt-note med gyldig passord under hvert tastatur.

Men da har du vel i grunn sikret deg mot 99% av truslene mot datainnbrudd.

 

[cruiser]

Er vel ikke noe som er særlig mye enklere enn bankid på mobil?

 

[weld77]

Er vel ikke noe som er særlig mye enklere enn bankid på mobil?

Prøv å fortelle noen utlendinger at du i Norge - med en enkelt login-metode kan levere selvangivelsen, bli kunde åpne bankkonto i en hvilkensomhelst bank, søke boliglån, autentisere online-betalinger uansett bank eller kredittkort brukt, handle fond, ordne forsikring, melde adressendring hos posten, sjekke hvor mye du kan regne med å få i pensjon og et lass med andre ting.

Jeg personlig kan ikke forestille meg noe enklere.

 

[palmaris]

Prøv å fortelle noen utlendinger at du i Norge - med en enkelt login-metode kan levere selvangivelsen, bli kunde åpne bankkonto i en hvilkensomhelst bank, søke boliglån, autentisere online-betalinger uansett bank eller kredittkort brukt, handle fond, ordne forsikring, melde adressendring hos posten, sjekke hvor mye du kan regne med å få i pensjon og et lass med andre ting.

Jeg personlig kan ikke forestille meg noe enklere.

Det er vel slik som med de meste, har ein lyst til at ting skal vera vanskeleg vert det ofte det.

 

[WayAhead]

En jeg kjenner drev et datasikkerhetsfirma hvor de kjørte rundt med en van med sofistikert antenneutstyr. For å demonstrere for kunder og andre hvor lett det var å lese passord mv rettet de antennen mot spesifikke kontor(er). Når passord og brukernavn ble skrevet av vedkommende bruker kom de frem i klartekst på "spionutrustningen". Det er kun på skjermen at de fremstår som "dots".

I tillegg finnes/fantes spionprogramvare som kunne installeres på harddisker og de var ikke synlige eller sporbare. I tillegg til at passord kom frem i klartekst tok de også et screenshots i svart hvitt. Det hele ble sendt til oppdragsgiver usporbart på bestemte tidspunkt. Dette er noen år siden nå så det har vel skjedd en del siden - på begge sider.

 

[bambi]

Det er vel slik som med de meste, har ein lyst til at ting skal vera vanskeleg vert det ofte det.

Og det er vel også sånn at hvis man vil problematisere at andre ikke liker noe, så er ikke det så veldig vanskelig heller.

Hvorfor ikke bare godta at ikke alle elsker å bruke bank-id hele tiden? Burde ikke være så vanskelig det heller.

 

[PeriodeLytter]

Det er vel slik som med de meste, har ein lyst til at ting skal vera vanskeleg vert det ofte det.

Vanskelig er levebrød for mange. Masse bakstreverks i verden som kun er slik fordi noen tjener mer på det slik det er.

 

[cruiser]

En jeg kjenner drev et datasikkerhetsfirma hvor de kjørte rundt med en van med sofistikert antenneutstyr. For å demonstrere for kunder og andre hvor lett det var å lese passord mv rettet de antennen mot spesifikke kontor(er). Når passord og brukernavn ble skrevet av vedkommende bruker kom de frem i klartekst på "spionutrustningen". Det er kun på skjermen at de fremstår som "dots".

I tillegg finnes/fantes spionprogramvare som kunne installeres på harddisker og de var ikke synlige eller sporbare. I tillegg til at passord kom frem i klartekst tok de også et screenshots i svart hvitt. Det hele ble sendt til oppdragsgiver usporbart på bestemte tidspunkt. Dette er noen år siden nå så det har vel skjedd en del siden - på begge sider.

Før enigma dette eller? Kryptering er ikke akkurat noen ny oppfinnelse

 

[WayAhead]

2000 - 2010 mener jeg å huske. Tastaturinnslag er ikke krypterte.

 

[weld77]

Før enigma dette eller? Kryptering er ikke akkurat noen ny oppfinnelse

Det var i sin tid en del kjente svakheter i selve wifi-routeren også for wpa/wpa2 med bra passord - særlig om wifi enabled setup var på. Å sniffe WEP wifi er latterlig enkelt.

Wi-Fi Protected Setup - Wikipedia

en.m.wikipedia.org

 

[skinnyboy]

Prøv å fortelle noen utlendinger at du i Norge - med en enkelt login-metode kan levere selvangivelsen, bli kunde åpne bankkonto i en hvilkensomhelst bank, søke boliglån, autentisere online-betalinger uansett bank eller kredittkort brukt, handle fond, ordne forsikring, melde adressendring hos posten, sjekke hvor mye du kan regne med å få i pensjon og et lass med andre ting.

Jeg personlig kan ikke forestille meg noe enklere.

Er av samme oppfatning som deg, det kan ikke bli enklere når en først har begynt å bruke det, spesielt bank-id på mobil.
Ingen passord, kun mobilnummer, fødselsdato og en pin-kode.
Min kone, som er utenlandsk, har også skjønt hvor enkelt det er med bank-id, nesten alle innlogginger på «viktige

Bambi er nok i mindretall når det gjelder sin holdning til bank-id.
Jeg tror ikke mange ville vært glad for forskjellig innlogging til dagligbank, huslånbank, fond og pensjonssparing, i tillegges til alt det andre vi kan bruke den til.

 

[bambi]

Kan godt hende jeg er i mindretall. Og det er ikke sånn at jeg ikke syns det er fint med alle de tingene man kan ordne online. Det jeg har fått opp i halsen er hvor mye som må autentiseres absolutt hele tiden.

At noen syns det er kjempegøy med bank-id er jo fint for dem.

 

[Asbjørn]

Litt mer om hva som skjedde:

The SolarWinds Breach: Why Your Work Computers Are Down Today

A quick guide to the news of a major cyber intrusion by the Russian government.

www.lawfareblog.com

Dette var ikke nybegynnere.

 

[cruiser]

2000 - 2010 mener jeg å huske. Tastaturinnslag er ikke krypterte.

Mitt trådløse logitech tastatur har aes 128 bit encryption

 

[WayAhead]

Det man gjør er å snappe ASCII kodene direkte fra tastaturet. Hvordan det overføres til maskinen er ikke avgjørende men som nevnt er dette en stund siden nå.så det har vel eller burde vel ha skjedd litt på sikkerhetssiden etterhvert.

 

[bambadoo]

Litt av hvert har skjedd ja.
Vi forbød Logitech trådløse produkter en stund foresten. Svakhet som gjorde at de var lette å hacke.
For over 20000 ansatte så ble det ei ganske stor greie. Siden jeg har ansvaret for bl.a. den operative digitale sikkerheten i organisasjonen så har vi hatt litt av hvert å henge fingrene de siste årene.
Ja truslene er svært så reelle. Vi har vært skånt til nå men det er spørsmål om tid før noen "banker" på døra. Bare håper vi merker at de banker på døra....

Måtte flytte på hybel en periode for endel år siden (ca 2010). Ville ikke tegne nytt "internett" abb. Da ble det innkjøp av en USB Wireless dongle som var kraftig. Lete opp noen SSID og starte jobben. Brukte ikke mange minutter så hadde jeg "gratis" internet for den perioden.
Er mer sofistikerte sikkerhetsløsninger nå.

 

[Asbjørn]

Litt mer her:

How suspected Russian hackers outed their massive cyberattack

A cybersecurity firm says a suspicious log-in prompted it to investigate what turned out to be a gaping security hole for the U.S. government and many large companies.

www.politico.com

 

[WayAhead]

Egentlig litt trist lesing, en får et innblikk i "tip of the iceberg" hvor massive krefter fra et antall "bandittstater" mfl. forsøker å hacke alt og alle, på høyere nivå.

 

[bambadoo]

Vi kan jo spekulere når den første reelle cyberkrigen starter...

Kanskje Trump benåder Assange og/eller Snowden nå på tampen?

 

[BritFi]

Noen her som har opplevet trøkk mtp spam på f.eks Gmail de siste 2 dager? Her tikker det inn nå.
Mye som unnslipper spam filteret.

 

[WayAhead]

Har du kjøpt noe på nettet nylig hvor e-postadressen din er registrert? Mange, særlig utenlandske, kanskje asiatiske merchandises selger og distribuerer epostadresser vilt og en kan da få et resultat som det du beskriver.

For min del bruker jeg aldri Google tjenester når det kan unngås (aldri mail) men derimot online.no for det meste på e-post. De har et veldig bra spamfilter + et konfigurerbart for 25kr i måneden. Veldig effektivt.

 

[weld77]

Spamfilteret til Google er da (selvsagt) helt suverent. Ingen har bedre forutsetninger for å lage et spamfilter enn Google heller så det er som forventet.

 

[WayAhead]

Google er noe drit uansett. Stay away.

 

[PeriodeLytter]

Vipps følger etter. Når skal de tilby innloggingstjeneste virker det som. De tar vel mål av seg å bli the next amazon.