ITsäkerhet

Kategori: Säkerhetstjänster

Säkerhetstjänster har en avgörande roll för att skydda nationella intressen och kritisk infrastruktur. Från cybertrupper som övervakar desinformation på sociala medier till sofistikerade underrättelseoperationer som avslöjar statssponsrade hackerattacker – säkerhetstjänsternas arbete är mer relevant än någonsin.

I denna sektion utforskar vi hur moderna säkerhetstjänster arbetar med cybersäkerhet, vilka metoder som används för att identifiera hot och hur olika länders säkerhetstjänster samarbetar för att möta gemensamma utmaningar. Vi granskar även hur säkerhetstjänster anpassar sig till nya hot som cyberkrigföring, påverkansoperationer och ekonomiskt spionage.

Särskilt fokus läggs på hur säkerhetstjänster hanterar den växande problematiken kring statssponsrade cyberattacker och informationskrigföring. Genom fördjupande artiklar och analyser ger vi dig insyn i en värld där teknologi, underrättelsearbete och nationell säkerhet möts.

Oavsett om du är säkerhetsanalytiker, beslutsfattare eller bara intresserad av hur moderna säkerhetstjänster fungerar, hittar du här relevant och aktuell information om denna fascinerande del av vår tids säkerhetsutmaningar.

  • Mariott hotell med 500 miljoner användare hackat – dataintrång av kinesiska hackare?

    Mariott hotell med 500 miljoner användare hackat – dataintrång av kinesiska hackare?

    Gigantisk cyberattack upp till 500 000 000 gäster exponeras
    Hotellkedjan Marriott International har erkänt att en ”obehörig part” dvs hackers har kopierat och krypterat information som tillhörde cirka 500 000 000 gäster från bokningssystemet. Hotellkedjan är en guldgruva med personlig information: kreditkort, adresser och passnummer. Cyberexperter misstänker att det kan vara en statlig aktör eftersom datan inte finns tillgänglig att köpa på darkwebb.

    Dataintrånget har spårats till kinesiska hackare som arbetar för ministeriet för statens säkerhet dvs landets civila spion byrå, enligt en artikel i New York Times.

    Enligt Bloombergs analytiker Tamlin Bason och Holly Froum har man kalkylerat att kostnaderna kan bli upp mot 1 miljard USD vilket inkluderar en eventuell bot på 450 USD (2% av företagets omsättning) under GDPR lagstifningen.

    Cyberattacken började så långt tillbaka som 2014  och är världens näst största cyberattack efter Yahoo som drabbade 3 miljarder användarkonton. Överträdelsen drabbade kunder som gjorde reservationer för de Marriott-ägda varumärken från 2014 till september 2018. Detta inkluderar Sheraton, Westin, W hotell, St. Regis, Four Points, Aloft, Le Méridien, hyllning, Design Hotels, Elements och The Luxury Collection.

    Marriott säger att det samarbetar med tillsynsmyndigheter och brottsbekämpande myndigheter för att utreda händelsen. Det verkar för närvarande att 170 miljoner Marriott kunder bara hade sina namn och grundläggande information som adress eller e-postadreser. Men merparten av offren dvs 327 miljoner gäster hade olika kombinationer av namn, adresser, telefonnummer, e-postadresser, födelsedatum, kön, reseinformation, bokningsinformation och  passnummer.

    Passnummer kan användas för att göra falska pass. Amerikanska tullen (US Customs and Border Protection). erbjuder en offentlig databas för att spåra din resehistorik. Någon med ditt passnummer kan köra frågorna och se din resestatistik.

    En del kreditkorts nummer var stulna men de hade ingen uppfattning hur många och dessa var dessutom krypterade med AES-128 algoritmen.

    Företaget erbjuder ett års gratis abonnemang till en tjänst som kallas Web Watcher för människor som bor i USA, Kanada och Storbritannien och som är en tjänst som håller ett öga på webbplatser där tjuvar byter och säljer personlig information och sedan varnar människor om någon säljer informationen.

    Hotellbranschen var den tredje mest målinriktade industrin enligt en rapport tidigare i år från informationssäkerhetsföretaget Trustwave Holdings. Det är vanligt att tjuvarna riktar in sina attacker mot kreditkortsläsare i Point-of-Sale attacker, liksom kampanjer som lurar receptionen att ladda ner skadlig programvara.

  • Politisk hacking – vad innebär politisk hacking och vilka metoder används

    Politisk hacking – vad innebär politisk hacking och vilka metoder används

    Att hacka politiska val är ett område som är känsligt. Med nya hacking metoder introduceras ett helt nytt område  till politiska kampanjer, eftersom de är tillgängliga för utomstående, vare sig dessa är utländska regeringar, tonåringar, aktivister eller egentligen vem som helst med tillräckliga tekniska kunskaper.

    Det kan vara mycket svårt att identifiera attackerna eftersom angreppet kan komma från andra datorer som blivit hackade eller utföras anonymt. Metoder som används är botnets, att skicka trafik över VPN eller över TOR-nätverket. Det har också avslöjats CIA-metoder som gör att den som attackerar kan lägga fingerprints så att attacken ser ut att komma från ett visst land.

    Rysk hacking

    Från rysk sida dementerar man de flesta påståenden men samtidigt publiceras artiklar i tidningen Wired som: ”Everything we know about Russia´s election hacking playbook”. Artikeln beskiver hur man mistänker att Moskvas pro-ryska hackare och GRU:s dataintrång har blivit mer aggresiva och tekniska över tiden.

    I Ryssland finns hackergrupper som Pawn Storm som är specialiserad på politisk hacking och varit involverade i nätfiske kampanjer mot tyska CDU som leds av Angela Merkel. Ofta kör de nätfiske mot ett fåtal personer. De har även kört nätfiske mot Turkiska regeringen och franska Emmanuel Macron kampanjen. Utöver politiska mål har de kört nätfiske mot liberal media som New York Times och Buzzfeed. De har läckt uppgifter genom CyberBerkut som är specialiserade på att läcka uppgifter från Ukraina.

    Putin nekar naturligtvis till all inblandning och säger att det kan vara nationella hackers.

    Bland metoderna som används vid politisk hacking finns

    • Fake news – dvs falska nyheter och sprida desinformation
    • Nätfiske attacker
    • DDOS -attacker – och att slå ut oppositionens hemsida på Internet vilket gjordes mot Garry Kasparov under hans kampanj för att bli President i Ryssland.
    • Ändrat Ukrainas valresultat på Ukrainas valkommission hemsida.

    Rapporter om de ryska aktiviteterna i det amerikanska valet 2016

    Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution. Ladda ner pdf-dokument

    Troops, Trolls and Troublemakers: A Global Inventory of Organized Social Media Manipulation. Ladda ner rapport

    En ny studie av mer än 10 000 000 tweets från 700 000 Twitter-konton som är kopplade till mer än 600 misinformation och Conspiracy News Outlets svarar på denna fråga. ”Disinformation, fake news and influence campaigns on Twitter” från Knight Foundation. Läs mer

  • Facebook säkerhetslucka påverkade 50 miljoner användare

    Facebook säkerhetslucka påverkade 50 miljoner användare

    På eftermiddagen tisdagen den 25 september upptäckte Facebooks ingenjörsteam ett säkerhetsproblem som påverkat nästan 50 miljoner Facebook-konton vilket de upptäckte efter att ha sett en ovanlig trafik peak som började den 16:e september. Samma dag Facebook meddelade att det hade utfört sin största utrensningen av amerikanska konton tog företaget i tysthet bort 66 konton, sidor och appar som var kopplade till ryska företag som bygger igenkänningsprogram för ansiktsbehandling åt den ryska regeringen. Facebook har tagit bort konton som är associerade med SocialDataHub och systerföretaget Fubutech.

    Facebooks skrev relativt tidigt en bloggpost om angreppet. Angriparna utnyttjade 3 olika sårbarheter och buggar. Den första buggen erbjöd felaktigt användare en video uppladdning alternativ inom vissa inlägg som gör det möjligt för människor att önska sina vänner ”Grattis på födelsedagen,” när den nås på ”Visa som ” sida. En av sårbarheterna i Facebooks kod påverkade ”Visa som”, en funktion som gör att användarna kan se hur deras egen profil ser ut för någon annan. Detta tillät dem att stjäla Facebook-åtkomsttoken som de sedan kan använda för att ta över folks konton.

    Den andra buggen var i video uploader som felaktigt genererade en åtkomsttoken som hade tillåtelse att logga in på Facebooks mobilapp, vilket annars inte är tillåtet.

    Den tredje buggen var att den genererade åtkomsttoken gav angripare en möjlighet att stjäla nycklarna för att få tillgång till ett konto av den person de simulerade. Åtkomsttoken är motsvarigheten till digitala nycklar som håller personer inloggade på Facebook så att de inte behöver ange sitt lösenord igen varje gång de använder appen. Hackarna kan dessutom ha fått tillgång till Instagram, Spotify och flera andra appar.

    Facebook har återställt åtkomsttoken på nästan 50 000 000 konton som de vet påverkades för att skydda deras säkerhet. De vidtar också försiktighetsåtgärder för att återställa åtkomsttoken för en annan 40 000 000 konton som har varit föremål för en ”Visa som”-look under det senaste året. Ungefär 90 000 000 människor tvingades nu på fredagen, fyra dagar efter säckerhetsluckan upptäcktes, att logga in igen på Facebook, eller någon av deras apps som använder Facebook-inloggning. Efter att de har loggat in igen kommer folk att få en avisering överst i nyhetsflödet som förklarar vad som hände.

    Facebook sa enligt en artikel i New York Times sagt att det inte vet attackens ursprung eller identiteten av angriparna, de har inte heller fullständigt bedömt omfattningen av attacken.

    Mer information
    https://newsroom.fb.com/news/2018/09/security-update/

  • Cyberstrategin i USA, Danmark och Sverige

    Cyberstrategin i USA, Danmark och Sverige

    USA:s har publicerat sin nya cyberstrategi och den globala standarden för Internet. Det är ett 40-sidigt dokument som beskriver hur de kan stävja globala aktörer som Kina, Iran, Nordkorea och Ryssland. Strategin bygger på fem olika pelare där administrationen beskriver hur de vill:

    • Försvara kritisk infrastruktur
    • Disrupt threat actors
    • Forma marknadskrater för att driva säkerhet och resilience
    • Investera i en resilient framtid
    • Internationella partnerskap som har delade mål

    Ladda ner dokument 2023

    Tidigare strategi från 2018

    Den amerikanska administrationen kommer att agera för att ytterligare stärka Department of Homeland Security (DHS) och säkra de federala myndigheterna och agency nätverk med undantag för nationella säkerhetssystem och Department of Defense (DoD) och Intelligence Community (IC) system.

    stater där de tänker utveckla skräddarsydda strategier för att se till att motståndarna förstår följderna av ett skadligt cyberbeteende.

    Danmarks nationella cyberstrategi

    Det nordiska land som var först med att skriva en national cyber strategi var Danmark där fokus varit kring offentlig sektor.  I Danmarks första nationella strategi för Cyber-och informationssäkerhet 2015-2016 var målet att höja nivån på statens IT-och informations säkerhetsarbete och att skapa mer kunskap om IT-och informationssäkerhet bland medborgare och företag. Strategin innehöll krav på genomförande av den internationella säkerhetsstandarden ISO 27001 och krävde systematisk och professionell övervakning av informationssäkerheten i staten.

    Liknande den amerikanska vilar den Danska cyberstrategin på 3 pelare  för utvecklingen mot ett starkare och säkrare digitalt Danmark under de kommande fyra åren.

    • Ett tryggt vardagsliv för medborgare och företag
    • Bättre kompetenser – medborgare, företag och myndigheter ska få tillgång till nödvändig kunskap och förutsättningar inom IT-säkerhet
    • Gemensam riskbaserad säkerhetsstyrning som är en integrerad del av styrningen av staten och av socialt kritiska sektorer.

    CFCS har publicerat hotbedömningar för den finansiella sektorn i synnerhet till de myndigheter och organisationer som deltar i genomförandet av den nationella strategin för IT-och informationssäkerhet.
    Läs mer på CFCS.

    Sveriges nationella cyberstrategi?

    När kommer vi få en svensk nationell cyberstrategi? Det börjar bli dags. Det finns ett stort behov av att utveckla samhällets informations- och cybersäkerhet. Regeringen har under 2023 inlett arbetet med att ta fram en ny informations- och cybersäkerhetsstrategi.

  • Microsoft har tagit ner sajter kopplade till ryska hackare

    Microsoft har tagit ner sajter kopplade till ryska hackare

    Microsoft har publicerat att de tagit ner sajter kopplade till ryska hackers som kopplas till den ryska regeringen. Det är mycket ovanligt att privata företag är såpass offentliga kring den typen av åtgärder. Tekniken är också intressant sinkholes ett sätt att omdirigera nätverkstrafik från dess planerade mål till en annan server. 

    Microsoft tog förra veckan kontroll av sex domäner som kontrolleras av den ryska Hacking gruppen Fancy Bear, även känd som APT28. Hackarna hade använt webbplatser för att rigga dem med valrelaterade phishing-kampanjer, liknande de som Fancy Bear lanserade i USA under 2016 års presidentval, med det uppenbara målet att hacka in i datorer av människorna som lurades till att besöka sajterna.

    Domäner som släcktes ner

    • Hudsonorg-my-sharepoint.com
    • My-iri.org
    • Senate.group
    • Adfs-senate.services
    • Adfs-senate.email
    • Office365-onedrive.com

    Den här gången var flera av webbplatserna personifierade Think tanks och några senats sidor som bestod av republikanska grupper som kritiserat president Donald Trumps förhållande till Rysslands president Vladimir Putin.

    Hudson Institute är en konservativ Washington tankesmedja som är aktiv i utredningar av korruption i Ryssland, Internationella republikanska Institutet (IRI) som är en ideell grupp som främjar demokrati i hela världen. Tre andra falska webbplatser var tillverkade för att ge sken att de var anknutna till senaten, och den sista skulle ge sken att vare en cloudlösning från Microsoft.

    Microsoft kommenterade att webbplatserna skapades under de senaste månaderna och att företaget kunde fånga dem tidigt eftersom sajterna höll på att sättas upp.

    Källor:
    Wired
    Microsoft

  • Tysklands underrättelsetjänst pekar ut Ryssland i attack mot energibolag

    Tysklands underrättelsetjänst pekar ut Ryssland i attack mot energibolag

    Ryssland låg förmodligen bakom en utbredd IT-attack på tyska energileverantörer avslöjade i förra veckan, ordföranden för Bundesamtes für Verfassungsschutz – BfV Tysklands inhemska underrättelsetjänst för den tyska tidningskedjan RND.

    Hans-Georg Maassen berättade för tidningen att det fanns flera skäl att tro Ryssland var inblandade baserat på hur Cyber attacken utfördes.”Modus operandi är i själva verket en av flera indikationer som pekar på rysk kontroll av cyberattacken,” enligt Maassen. Han tillade att Ryssland har upprepade gånger förnekat att de försökt hacka sig in i andra länders infrastruktur. På förfrågan att kommentera Maassen anklagelser sa Kremlin talesperson Dmitry Peskov: ”Vi vet inte vad han talade om.”

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) avslöjade att Cyber attacken och gruppen kallas Berserk Bear (bärsärkagångs björnen) med hänvisning till försöken att penetrera datornätverk hos tyska energi-och elleverantörer.

  • Malware har infekterat 500 000 routers – troligtvis ryska APT28

    Malware har infekterat 500 000 routers – troligtvis ryska APT28

    APT28 och den globala malwarekampanjen

    Malware har infekterat en halvmiljon hemrouters från 54 länder som är enkla att infektera och kan bli utsatta för digitala attacker. Nu varnar säkerhetsforskare för en grupp av sofistikerade hackare som har samlat flera malware-infekterade routrar som gemensamt kan användas vid massiva cyberattacker över Internet, eller för att attackera nätverk över hela världen.

    Storbritanniens fd spion chef för GCHQ Robert Hannigan har varnat för att nation state hacking hotar företagsnätverk och uppkomsten av marknadsplatser för dataintrång gjort problemet ännu större. Den tidigare Cyber spion chefen sa att problemet som orsakas av statliga angripare hade ökat under de senaste fem åren och blivit en fråga för företag och regeringar. Attacker som tillskrivs Ryssland har blivit mer sofistikerade, fräcka och till och med lite vårdslösa. Ryssland verkar pröva live-testning angrepp som planteringen av VPNFilter och bakdörrar på routrar.

    Analys av malwarens effekt på routrar

    Ciscos Talos Security Division varnade för en ny typ av malware som kallas VPNFilter, som har smittat minst en halv miljon hem och små företag routrar, inklusive vanliga routrar som säljs av Netgear, TP-Link, Linksys, MicroTik och QNAP Network Lagringsenheter. Talos anser att koden är utformad att fungera som en Multipurpose spion verktyg, och att ett nätverk av kapade routrar kan fungera som VPN och potentiellt gömma angriparens ursprung och utföra skadliga aktiviteter. Det innebär att de kan stjäla website uppgifter och data och gå mot nätverk som är svåra att försvara.

    Hur VPNFilter infekterar sina mål är ännu inte klart. Men enkla hemroutrar har ofta sårbarheter som gör det enkelt för hackare att ta över dem och det görs sällan programuppdateringar. Cisco säger att det är den ryska regeringen och APT28 som troligtvis står bakom kampanjen och enligt Talos blogg så har kampanjen slagit kraftigt mot Ukrainska devices.

  • Ryska hackare försöker komma åt routers

    Ryska hackare försöker komma åt routers

    Ryska hackers på uppdrg av den ryska regeringen försöker komma åt routrar, switchar och nätverksenheter i bostäder, företag och myndighetersinfrastruktur. De stjäl lösenord och gör klart vägen för framtida attacker varnar tjänstemän från US Department of Homeland Security och FBI och Storbritanniens nationella Cyber Security Center.

    Ryska hackare försöker få tillgång till kommersiellt tillgängliga routerar som styr flödet av Internettrafik, varnade USA och Storbritannien måndag i en gemensam varning riktad till organisationer och individer över hela världen.

    Varningen fortsatte med att varna för att många nätverksenheter är dåligt säkrade mot fjärranslutna intrång. Gamla produkter som använder protokoll som saknar kryptering, kör firmware som inte längre  kan uppdateras med säkerhetskorrigeringar.

    ”När du äger routern, äger du trafiken som trafikerar routern, ” sa Jeanette Manfra  Chief Homeland Security Cyber som också kallade det för en ”ganska bred kampanj ” som inte är inriktade på någon särskild sektor.
    ”Det är ett enormt vapen i händerna på en motståndare, ” ekade FBI: s Howard Marshall, biträdande biträdande direktör för Cyber division.

    Det var första gången som USA och Storbritanniens regeringar kommit med en gemensam varning. Varningen säger att de ryska hackare har riktat in sig på nätverks infrastruktur enheter  och den typen av enheter som den mesta  Internettrafiken går igenom sedan 2015.

  • Trumps cyber strategi

    Trumps cyber strategi

    Trumps nya säkerhetspolicy har fått stor publicitet inte minst i Ryssland och Kina som han pekar på som konkurrenter och deras svar är att säkerhetspolicyn är imperalistisk och offensiv. Cyberspace ingår i den nationella säkerhetsstrategin under kapitlet ”Preserve peace through strength”.

    America’s response to the challenges and opportunities
    of the cyber era will determine our future prosperity and security

    Tjänstemännen som leder Trump ’ s Cyber policy är Tom Bossert och Rob Joyce från Vita huset och Jeanette Manfra från Homeland Security Department. Deras prioriteringar är okontroversiella och sträcker sig tillbaka till Obama administration eller ännu tidigare. Homeland Security har förbjudit ryska anti-virus program som gjorts av Kaspersky Lab från statliga system. Tom Bossert håller också på att se på kryptovalutor.

    Strategin fastställs med direktiv som kan vidtas för att hålla USA säkert från cyberhot och några av punkterna är

    • Förbättra och identifiera och prioritera risker och man kommer investera i resurser för att stödja
      och förbättra förmågan till angrepp för att möjliggöra snabb respons.
    • Förbättra IT-verktyg och expertis och bygga upp försvara myndigheters nätverk och den amerikanska infrastrukturen
    • Amerikanska departement och byråer kommer att rekrytera, utbilda och
      hålla en arbetsstyrka som arbetar med cybersäkerhet
    • Motverka och störa skadliga cyber-aktörer och cyber operationer mot motståndare ska kunna utföras efter behov
    • Förbättra informationsutbytet och övervakningen
    • Utveckla ett försvar med olika försvarslager

    I dokumentet beskrivs också områden där ökad kapacitet kan bidra till ”fred genom styrka”. Andra delar inkluderar ansvarhet och respons, förbättra IT-verktyg och expertkunnande samt förbättra integrationen och agilitet (smidighet) .

    Det finns även FN: s grupp av statliga experter inom cybersäkerhet som omfattar en grupp av 20 nationer.

    Läs mer
    http://www.defenseone.com/technology/2017/11/promise-and-peril-trumps-cyber-strategy/144187/
    Ladda ner National Security Strategy från vita huset

  • Weeping Angel CIA verktyg som avlyssnar SmartTV apparater

    Weeping Angel CIA verktyg som avlyssnar SmartTV apparater

    Vad är Weeping Angel?

    CIA kan använda smart-TV för att lyssna på konversationer som händer runt omkring dem.
    Weeping Angel (svenska: gråtande ängel) ett spionverktyg som används av CIA för att spionera på SmartTV apparater och lyssna av platser via TV:n.

    Weeping Angel gör det möjligt för underrättelsetjänster att installera särskild programvara som gör att TV:n förvandlas till avlyssningsutrustning – så att även när den verkar vara avstängd fortfarande är på. Programvaran har dokumenterats av Wikileaks och är en av många tekniker som används för inbäddade enheter.