TV4:s försök att visa myndigheternas dåliga datasäkerhet

Under oktober 2016 flertal allvarliga globala intrång och överbelastningsattacker skedde.
TV4 försökte att visa hur lätt det är att få möjlighet att infektera och manipulera datorer hos nio olika svenska  myndigheter. Detta skulle ske med dold skadlig kod genom att be om en utskrift av ett dokument på en USB sticka. Tydligen receptionisterna hos Polisen, Socialstyrelsen, Svenska kraftnät, Skolverket, FMV, och MSB nekat utskriften medan receptionisterna på Ekobrottsmyndigheten, Inspektionen för vård och omsorg samt Datainspektionen var tillmötesgående och snällt skrivit ut TV4 reporters CV genom att koppla USB-stickan i myndighetens dator och skrivit ut dokumentet.

Vad kunde hända?

  1. Dold skadligt program på USB sticka kunde smitta myndighetensdator och andra datorer och servrar i nätverket (t.ex. genom STUXnet kod) eller tillföra andra skador t.ex. s.k. Ransomware då datafiler krypteras med hemliga krypteringsnyckel.
  2. Säkerhetsskyddet i datorn upptäcker USB minnet och INTE tillåter att USB-stickan kan användas i datorn.
  3. Skadlig kod upptäcks av ”antivirus/antimalware” programmet och kopieringen INTE tillåts

 I TV4:s försök är det lätt att få intrycket att ”den mänskliga faktorn” eller möjligtvis myndighetens säkerhetsrutiner var den svaga länken. Lite djupare funderingar kan ge lite bättre insikt i detta fall.

Rutiner/föreskrifter/säkerhetsmedvetande
En av viktigare uppgifterna för IT-säkerhetsfunktionen i varje arbetsplats är STÄNDIG förbättrande av IT-säkerhetsmedvetande hos samtliga personalen.  Vanligtvis receptioner hos majoriteten av myndigheter är bemannade med personal från säkerhetsföretag och/eller bemanningsföretag. Dvs möjligtvis utbildning av “EXTERN” personal måste ständigt ses över så att även extern personal får adekvat ”utbildning och kunskap” .

 Teknisk skydd

  1. Att säkerhetsskyddet inte tillät anslutning av USB-stickan.
    Jag är övertygad att de flesta myndigheter har infört detta skydd i känsliga datorer. Speciellt med tanke på s.k. ”bad USB” där skadligkod finns inprogrammerad i hårdvaran svårt att upptäcka av antivirusskyddet.
  2. Att Antivirus programvaran i datorn skulle upptäcka skadligkod.
    I TV4 fallet USB-stickan innehöll ingen skadligkod.
     Vi vet dessutom inte vad receptionisten såg på sin datorskärm. Antivirusprogrammet skyddar normalt datorn genom att scanna nya filer på nya enheter (USB-stickan i detta fall) innan något annat program startas.

 Potentiell risk
Tyvärr det framgick inte i programmet om de största och katastrofala riskerna i TV4 scenarion nämligen risken att receptionisten med eventuella höga behörigheter till andra vanligtvis otillgängliga system t.ex. andra servrar, printerserver, inpasseringssystem, vatten, el, larm system, mm som skulle kunna vara en riktig rysare om den hackades med sofistikerade skadlig kod.

Råd för receptioner
Fortsätt att vara snäll och bemöta besökare med god service men servicen får ske från en ”tunndator” med endast lokalanslutenskrivare (ej nätverkskopplade). Till sist inte att glömma kontinuerlig genomgång av adekvat IT-säkerhet och rutin utbildningar.

Ransomware, better responsibilities for computer safety are required

In many years we did hear that users have to take their responsibilities and protect their PC, some recommendations are:

  1. Update the OS, SW,..
  2. Install antivirus, antimalware, …
  3. Avoid using same password in different places
  4. Choose password in a clever manner
  5. User are lazy, change password regularly
    (well, recently the recommendation is do not change password too often)
  6. Do not open files until you are sure about it is not suspicious
  7. Do not click on links you are not sure about
  8. Do not use public WiFi
  9. List of the recommendations goes on and on …

Ransomware has been a real pain since couple of years which caused a lot of damage and pain for the end users, companies, organizations. The following schematics shows possible scenarios that a pc and file system gets infected by Ransomware

  1. User gets an email with malicious and hidden link, when user opens the email and clicks on the link, a program downloaded to the PC and infects the PC with a virus.

RansomWare1

2-     User receives an email with a file (usually a zip or another executable, or photo file and when the user opens the file, either the malicious code infects the PC with a virus directly or fetches codes from another site and finally infects the PC.

RansomWare2

in my opinion some more attention must be paid from “the other side”. The OS-provider, anti- virus/malware, ISP:s, SW companies etc. Why?

Here are some obvious reasons that the involved “providers” should take more responsibilities

  1. ISP
    Everything goes through your ISP, Internet service provider. Serious ISP:s do have a lot of tools to detect suspicious network traffic. They monitor the network and automatically receive alarms about data packets with sender or receivers (the IP address) which are blacklisted or with suspicious reputations. This means that ISP:s have possibility to inform about possible virus
  2. The network (internal network for companies, organizations, etc) Most companies are using data communication equipment’s with lots of good utilities it is up to the decision makers to require good network security even on installed basis. Monitoring suspicious external activities is among the first steps to protect the investments, information, customers.
  3. Emails goes to your email server (provided by ISP, WEB hotels or other email provider like Microsoft Outlook, Google Gmail, Yahoo, Etc..). Usually emails scans to detect and discard malicious codes, unwanted email etc. They are also preventing receiving emails from the “black listed” IP addresses and even users. In another word the Email providers does have a huge possibility to prevent and inform about the possible malicious code/virus
  4. User has a big responsibility to prevent his/her PC getting infected and they hear almost every day that they are the weakest link so we do not need to go more in depth.
  5. The PC
    1. Operating system in my opinion it should be a built in prevention against malicious code like Ransomware.  What Ransomware usually does is to locate and systematically encrypt files like document, calculations, drawing, presentations etc. The encryption codes needs high use of the CPU power and must perform a lot of file access, in other word it is not hard to detect and provide a build in prevention in the operating system. This means that OS-providers must take a better responsibilities for their product.
    2. File Servers In some cases the malicious code also encrypted files on common file servers, this also means the company should always work on and detect “worst case” scenarios and handle common network disk area more carefully. Fast Backup and restore system could be complementary but preventive actions are crucial.
    3. Anti-virus and malware SW

If user has installed the anti- virus/malware then the SW should detect and prevent encryption of your hard drive/network files. If it doesn’t then you may need a better SW, change your SW.

Comments are most welcome!