Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  31 4596
Så nettopp på nyhetene ang IT innbruddet. Er det noen som kan forklare litt mer rundt dette?
Er dette den moderne krigs føringen ? Hvem kan det evt være?
Nå har det ikke kommet ut hvordan de hacket Storinget, er mange måte de kan ha klart det. utnyttet en svakhet i sikkerheten, de kan ha fått tak i login, de kan ha utført phishing på epost mot politikere. Ingen ting har kommet frem om hva som er skjedd eller hvem dette er

NRK skriver det kan være politisk motivert, men dette er ren speulasjon enda.

https://www.nrk.no/norge/ekspertar-t...ert-1.15143639
Takk, venter i spenning.
Aller høyst sannsynlig phishing da dette er en relativt enkel og kjent måte å få innpass i systemer ved å utnytte det svakeste leddet, "lag 8" i OSI-modellen, brukeren selv. Spent på om de kommer til å gå ut med årsak eller bare holde tett.
NOOOOOOOOOOOOOOOOOO-
robhol's Avatar
Jeg likte godt overskriften i NRK her om dagen; "innbruddet på Stortinget kan være politisk motivert". Hardtslående journalistikk.
Sitat av Huztle Vis innlegg
Aller høyst sannsynlig phishing da dette er en relativt enkel og kjent måte å få innpass i systemer ved å utnytte det svakeste leddet, "lag 8" i OSI-modellen, brukeren selv. Spent på om de kommer til å gå ut med årsak eller bare holde tett.
Vis hele sitatet...
Vennligst utdyp hvordan phishing er mest sannsynlig når de har to-faktor aktivert som standard.
Limited edition
Moff's Avatar
Sitat av Rosander Vis innlegg
Vennligst utdyp hvordan phishing er mest sannsynlig når de har to-faktor aktivert som standard.
Vis hele sitatet...
Det er jo nøyaktig det phishing-metoder dreier seg om, å omgå alle former for sikkerhet. Du sender en e-post med virus som vedlegg, og når brukeren trykker på det, så kjøres viruset med alle de tilganger brukeren har.
Sitat av Moff Vis innlegg
Det er jo nøyaktig det phishing-metoder dreier seg om, å omgå alle former for sikkerhet. Du sender en e-post med virus som vedlegg, og når brukeren trykker på det, så kjøres viruset med alle de tilganger brukeren har.
Vis hele sitatet...
Det er jo absolutt ikke phishing. Det er et virus/trojaner angrep.

Phishing handler om å lure en bruker til å oppgi personinformasjon som feks brukernavn og passord. Altså, du fisker etter informasjon.
Men i systemet til Stortinget kommer du ikke langt med kun dette, spesielt ikke om du kobler deg til utenfra, da må du via en egen vpn i tillegg.

Hedemark ikt ble heller ikke utsatt for et phishing angrep, der ble det benyttet vedlegg som skulle angripe spesifikke sårbarheter som nettopp hadde blitt publisert.
Sist endret av random105675; 2. september 2020 kl. 18:12.
Limited edition
Moff's Avatar
Nå bruker jeg "virus som vedlegg" som en paraply for "noe ondskapsfullt", egentlig. Om det er et vedlegg eller om det er en link til en falsk nettside spiller ikke så fryktelig stor rolle for min del. Det er brukt e-post og målet er å hente ut informasjon fra de som jobber der. Din definisjon er teknisk korrekt (the best kind of correct), men det er i begge tilfeller en angrepsvinkel som krever at en ansatt gjør noe for å starte angrepet.

Glemte å nevne det viktigste: Poenget mitt står fortsatt, at phishing som angrep er designet nettopp for å forbigå sikkerhetstiltak.
Sist endret av Moff; 2. september 2020 kl. 18:28.
Sitat av Moff Vis innlegg
Nå bruker jeg "virus som vedlegg" som en paraply for "noe ondskapsfullt", egentlig. Om det er et vedlegg eller om det er en link til en falsk nettside spiller ikke så fryktelig stor rolle for min del. Det er brukt e-post og målet er å hente ut informasjon fra de som jobber der. Din definisjon er teknisk korrekt (the best kind of correct), men det er i begge tilfeller en angrepsvinkel som krever at en ansatt gjør noe for å starte angrepet.

Glemte å nevne det viktigste: Poenget mitt står fortsatt, at phishing som angrep er designet nettopp for å forbigå sikkerhetstiltak.
Vis hele sitatet...
De fleste angrep er designet for å omgå sikkerhetstiltak
Selv ikke rene phishing angrep behøver å være vellykkede, vi sperrer feks alle innlogginger som kommer fra utlandet så det holder ikke bare å kjenne til brukeropplysninger (du kan jo selvsagt bruke en vpn, men det stopper en del forsøk).

Poenget mitt var at Stortinget har en del mekanismer som skal forhindre rene phishing angrep og brukeropplysninger som er på avveie, så ren phishing er langt nede på listen over sannsynlige metoder, såfremt Huztle ikke sitter på informasjon som vi andre ikke gjør. Derfor ba jeg h*n om å utdype påstanden.

Nå skal jeg være litt pirkete men historien har vist at ondsinnede vedlegg ikke nødvendigvis behøver brukerinteraksjon. Og for alt vi vet kan det være snakk om 0-dagssårbarheter i epostklienter e.l.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Rosander Vis innlegg
Poenget mitt var at Stortinget har en del mekanismer som skal forhindre rene phishing angrep og brukeropplysninger som er på avveie, så ren phishing er langt nede på listen over sannsynlige metoder, såfremt Huztle ikke sitter på informasjon som vi andre ikke gjør. Derfor ba jeg h*n om å utdype påstanden.
Vis hele sitatet...
2FA av typen TOTP eller SMS motstår ikkje phishingangrep der angriper kan avsettje ressurser til å monitorere klienten sin oppførsel. Stortinget er den type mål Russland kan settje personer til å følge opp i nitid detalj.

Det som funker mot phishing av den typen er FIDO/Webauthn, som faktisk autentiserer nettsida for brukeren og omvendt.
Sitat av vidarlo Vis innlegg
2FA av typen TOTP eller SMS motstår ikkje phishingangrep der angriper kan avsettje ressurser til å monitorere klienten sin oppførsel. Stortinget er den type mål Russland kan settje personer til å følge opp i nitid detalj.

Det som funker mot phishing av den typen er FIDO/Webauthn, som faktisk autentiserer nettsida for brukeren og omvendt.
Vis hele sitatet...
Men igjen, da beveger du deg utenfor hva som betegnes som phishing. Dette er jo noe som har pågått over tid så det er ikke snakk om at de har snappet opp én enkelt kode fra feks en sms.

Phishing er når du forsøker å få en person til å selv oppgi informasjon som kan brukes til å koble seg på.
Feks at du utgir deg for å være banken og ber brukeren om å lese opp en kode fra kodebrikken sin.

I tillegg har rene phishing angrep stor sannsynlighet for å bli oppdaget (selv om overraskende mange går rett på) så det er jo en viss risiko for å bli oppdaget før angrepet i det hele tatt kan starte.
Og siden du nevner Russland så vil statsstøttede aktører derfra med stor sannsynlighet ha tilgang til verktøy som lar dem operere med lavere risiko enn hva phishing og socialengineering gjør.

Men det er liten vits i å diskutere definisjoner, jeg lurer bare på hva som gjør at det er størst sannsynlighet for at det er phishing og ikke ett ordinært hacker angrep eller spionasje/overvåking som var inngangsporten.
Sist endret av random105675; 2. september 2020 kl. 21:03. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Rosander Vis innlegg
Men igjen, da beveger du deg utenfor hva som betegnes som phishing. Dette er jo noe som har pågått over tid så det er ikke snakk om at de har snappet opp én enkelt kode fra feks en sms.

Phishing er når du forsøker å få en person til å selv oppgi informasjon som kan brukes til å koble seg på.
Feks at du utgir deg for å være banken og ber brukeren om å lese opp en kode fra kodebrikken sin.
Vis hele sitatet...
No er ikkje phishing ei eksakt teknisk term; ulike folk legg ulike ting i det, men det er ikkje spesielt kontroversielt å inkludere det å fiske ut 2FA-tokens, og bruke dei i sanntid, i begrepet phishing. Du får brukaren til å oppgi autentiseringsinformasjon, og nyttegjer deg av den.

Det som er skilnaden er at dei fleste autentiseringssystem beskytter godt mot automatiserte, tilfeldige angrep; det er relativt lett. Men har du ein angripar som aktivt går etter deg som mål, er ting jævla mykje verre - for då har du ein angriper som potensielt sender deg samme informasjon på e-post og sms samtidig, inkluderer personlege detaljer og alt mogeleg slikt. Og du har ein angripar som vel å følgje opp på eit heilt anna nivå, m.a. vere klar til å nyttegjere informasjonen svært kort tid etter at den er oppgitt...
Sitat av Moff Vis innlegg
Det er jo nøyaktig det phishing-metoder dreier seg om, å omgå alle former for sikkerhet. Du sender en e-post med virus som vedlegg, og når brukeren trykker på det, så kjøres viruset med alle de tilganger brukeren har.
Vis hele sitatet...
Du bruker phishing begrepet feil.. Ikke for å pirke men phishing er å opprette falsk nettside og fiske etter passord og login info. Trojaner og virus er et vedlegg som legger ved eller er innebygd i en fil som sendes og åpnes.
Hva er poenget med denne diskusjonen rundt definisjonen av phishing.

Noen som vil gjette hvorfor de går så fort ut med det? Gir ikke det angriperne mulighet til å slette spor eller endre taktikk?

Og hvorfor sier de at kun tre partier (Ap, Sp og Høyre) er berørt?
Kan noen fortelle meg hvilken skade noen kan gjøre mot stortinget 'landet' hvis noen hacker alt av info fra serverne? worst case scenario.
Worst case er vel at de utgir seg for å være viktige personer (feks Erna) og starter en krig hehe. Skulle bare en tlfsamtale til for å bombe Libya, holder sikkert med en email eller deepfake Zoommøte.

Ellers er det sikkert noe dritt å grave fram som kan svartmale eller blackmaile utvalgte partier og påvirke valget eller hvordan representantene stemmer.

(fantasi)
Cybersikkerhetsnerd
Faith5's Avatar
14 2
Det som gjør denne saken interessant er flere ting. Det er allerede kjent at det er flere tusen angrep mot statlige instanser hver dag, men at det "endelig" var noe som gikk igjennom de første sperringene og som gjorde at de kom seg inn i systemene tilsier selvfølgelig at ikke alt var på topp.
Så er spørsmålet om det var noe teknisk som sviktet, eller om det var hackeren beste venn: brukeren.
Neste spørsmål er da hvor sårbarheten er. Er det bare brukeren eller er det en kombinasjon av bruker og system?
Hva annet har de fått tilgang til enn eposter? Hva slags personer og grupper er eksponert?

Jeg ser frem til å lese rapporten av angrepet.
Hvorfor ikke holde top secret informasjon i papir form eller på hardisker som er koblet fra systemet? Ja, det høres kanskje j**** dumt ut å det er jo seff ikke så svart hvit. Hehe
De viktigste hemmelighetene BLIR lagret på papir. https://www.nrk.no/norge/slik-beskyt...ter-1.15144509
Sitat av fustercluck Vis innlegg
Noen som vil gjette hvorfor de går så fort ut med det? Gir ikke det angriperne mulighet til å slette spor eller endre taktikk?
Vis hele sitatet...
Stortingsdirektøren sa på pressekonferansen at de hadde oppdaget dette ca. en uke fra de ble offentliggjort. Hun sa også at de hadde gjort tiltak som hadde umiddelbar effekt. Det betyr nok at tiltaket kuttet inngangen(e) til angriper.
Jeg tviler meget strekt på at de ville gått ut med dette om de ikke mener at de nå har 100% kontroll over situasjonen.

Link til pressekonferansen: https://www.nrk.no/nyheter/pressekon...rep-1.15143520
Sist endret av Erlpil; 3. september 2020 kl. 23:31. Grunn: La med link
▼ ... over en måned senere ... ▼
https://www.regjeringen.no/no/aktuel...udd/id2770135/
Det foreligger nå en vurdering om at det er Russland som står bak. Interessant at de velger å gå ut med det, med tanke på diplomatiske forbindelser. Så er det også interessant hvorvidt dette er russiske hackere som jobber selvstendig, eller om dette er et angrep koordinert av myndighetene.
Det er også tema på Dagsnytt 18 i dag, for de som er interessert.
Sitat av Erlpil Vis innlegg
Vis hele sitatet...
Japp, disse sårbarhetene er alvorlige.
Både AtB og Avinor bekrefter funn av inntrenging.
Sårbarheten er alvorlig, rammer installasjoner med standardinnstillinger, og er lett å utnytte. For at den skal virke, må derimot serveren eksponere klienten Outlook Web App (OWA) ut mot et åpent nett. Veldig mange bedrifter gjør dette, så de kan få lest epost og synkronisert kalender på mobil. Men at Stortinget, som for bare måneder siden ble rammet av et angrep mot nettopp epost, har latt denne stå åpen mot omverdenen etterpå, synes jeg er veldig mystisk. Kostnadene for å etterforske eventuelle angrep må vel være større enn kostnaden ved å gi hver representant en sikker telefon med pre-installert VPN-klient, og så gjøre serveren utilgjengelig for omverdenen?
Sist endret av Dyret; 10. mars 2021 kl. 17:28.
BRAND ∞ STRONG
Ser på pressekonferansen nå.

De sier at de, i samarbeid med Nasjonale Sikkerhetsmyndigheter, har gjort
alt som er mulig å gjøre for å sikre seg. Er ikke det en innrømmelse av at
man er inkompetent og dårligere en "fienden"?

Jeg vet ikke hvem de mener står bak, men i følge bla. PST så er det Kina og Russland
som oftest forsøker.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av vindaloo Vis innlegg
De sier at de, i samarbeid med Nasjonale Sikkerhetsmyndigheter, har gjort
alt som er mulig å gjøre for å sikre seg. Er ikke det en innrømmelse av at
man er inkompetent og dårligere en "fienden"?
Vis hele sitatet...
Nei - fordi det er ikkje balansert kamp. Som angriper kan du undersøke målet - og i dette tilfellet er målet hyllevare. Du kan kjøpe ein kopi, sette opp, og undersøke det i ro og mak - og når du har funne eit problem kan du angripe det. Og det er nok med eit sikkerhetsproblem. Du treng ikkje kaste bort tid på alt som er sikra mot.

Den som skal beskytte en ressurs må derimot dekke 100% av alle sårbarheter. Ein feil er nok.

Det sagt så bør jo spesielt NSA få kritiske spørsmål. NOBUS er policy om å hoarde sikkerhetsproblemer for å bruke dei mot andre. Det gjer at det er mange sikkerhetshol som ikkje blir fiksa.
Sitat av vindaloo Vis innlegg
Ser på pressekonferansen nå.

De sier at de, i samarbeid med Nasjonale Sikkerhetsmyndigheter, har gjort
alt som er mulig å gjøre for å sikre seg. Er ikke det en innrømmelse av at
man er inkompetent og dårligere en "fienden"?

Jeg vet ikke hvem de mener står bak, men i følge bla. PST så er det Kina og Russland
som oftest forsøker.
Vis hele sitatet...
I denne saken er det snakk om såkalte 0-dags sårbarheter, disse utnyttes før sikkerhetsfikser er tilgjengelig, det er tegn til at disse sårbarhetene har vært utnyttet siden januar hos andre bedrifter.
Men angrepene var ikke umulige å oppdage og flere sikkerhetsselskaper har meldt inn angrep til Microsoft som utnytter de nevnte sårbarhetene før de ble offentlig kjent.

Vidarlo sikter mot NSA, jeg stiller inn siktet mitt mot Microsoft i denne saken, det virker som at sårbarhetene ikke har blitt ansett som veldig alvorlige helt til siste innspurt og fiksen ble faktisk sluppet tidligere enn planlagt.
BRAND ∞ STRONG
Vi får håpe systemet deres (Stortingets) er slik innrettet at virkelig
sensitive data ikke er mulig å nå utenfra uansett (ikke på nett) og at
hvis noe er lekket så er det mindre alvorlig informasjon.

Selv om alle innbrudd mot stortinget er alvorlige.
<?php echo 'VIF'; ?>
datagutten's Avatar
I en artikkel på NRK står det at Stortinget oppdaterte exchange 3 mars, men likevel fikk de varsel om uvanlig trafikk 5. mars. Hvis de samtidig med oppdateringen hadde sett etter og fjernet etablerte bakdører burde de ikke bli angrepet ettter det. Jeg ser for meg at de bare har installert patchen uten å se etter bakdører.
Sitat av datagutten Vis innlegg
I en artikkel på NRK står det at Stortinget oppdaterte exchange 3 mars, men likevel fikk de varsel om uvanlig trafikk 5. mars. Hvis de samtidig med oppdateringen hadde sett etter og fjernet etablerte bakdører burde de ikke bli angrepet ettter det. Jeg ser for meg at de bare har installert patchen uten å se etter bakdører.
Vis hele sitatet...
Det er flere forskjellige APTer involvert, og de har forskjellige metoder. Om Stortinget har blitt angrepet av hafnium gruppen så er det en gruppe som hovedsakelig driver med spionasje og er gruppen som utnyttet exploiten før den ble kjent, det er stor grunn til å tro at denne gruppen har gjort større innsats for å skjule seg i systemene. De første angrepene bærer også preg av å være manuelle og målrettede i følge Microsoft.

Oppførselen til APTene som kom til etter at sårbarheten ble kjent tyder på at de ble tatt litt på sengen og begynte masse-skanning og utnyttelse av sårbarhetene, normalt så sjekker APTer at serveren de angriper ikke er i bruk av en annen APT men det er flere eksempler hvor flere grupper har angrepet de samme serverene.

Min teori er nok at de første angrepene før sårbarheten ble kjent er mye bedre planlagt og motivet er statligspionasje/industrispionasje, de andre gruppene forsøker bare å kapre så mange servere som mulig for å kjøre utpressing i ettertid, enten via ransomware eller datatyveri.

Det blir spennende å se hvordan dette utvikler seg og hvilke data som er på avveie i de berørte organisasjonene.

Her er det en del god informasjon om proxylogon angrepene https://blog.truesec.com/2021/03/07/...n-and-hafnium/
Sist endret av random105675; 10. mars 2021 kl. 21:55. Grunn: Automatisk sammenslåing med etterfølgende innlegg.