TV4:s försök att visa myndigheternas dåliga datasäkerhet

Under oktober 2016 flertal allvarliga globala intrång och överbelastningsattacker skedde.
TV4 försökte att visa hur lätt det är att få möjlighet att infektera och manipulera datorer hos nio olika svenska  myndigheter. Detta skulle ske med dold skadlig kod genom att be om en utskrift av ett dokument på en USB sticka. Tydligen receptionisterna hos Polisen, Socialstyrelsen, Svenska kraftnät, Skolverket, FMV, och MSB nekat utskriften medan receptionisterna på Ekobrottsmyndigheten, Inspektionen för vård och omsorg samt Datainspektionen var tillmötesgående och snällt skrivit ut TV4 reporters CV genom att koppla USB-stickan i myndighetens dator och skrivit ut dokumentet.

Vad kunde hända?

  1. Dold skadligt program på USB sticka kunde smitta myndighetensdator och andra datorer och servrar i nätverket (t.ex. genom STUXnet kod) eller tillföra andra skador t.ex. s.k. Ransomware då datafiler krypteras med hemliga krypteringsnyckel.
  2. Säkerhetsskyddet i datorn upptäcker USB minnet och INTE tillåter att USB-stickan kan användas i datorn.
  3. Skadlig kod upptäcks av ”antivirus/antimalware” programmet och kopieringen INTE tillåts

 I TV4:s försök är det lätt att få intrycket att ”den mänskliga faktorn” eller möjligtvis myndighetens säkerhetsrutiner var den svaga länken. Lite djupare funderingar kan ge lite bättre insikt i detta fall.

Rutiner/föreskrifter/säkerhetsmedvetande
En av viktigare uppgifterna för IT-säkerhetsfunktionen i varje arbetsplats är STÄNDIG förbättrande av IT-säkerhetsmedvetande hos samtliga personalen.  Vanligtvis receptioner hos majoriteten av myndigheter är bemannade med personal från säkerhetsföretag och/eller bemanningsföretag. Dvs möjligtvis utbildning av “EXTERN” personal måste ständigt ses över så att även extern personal får adekvat ”utbildning och kunskap” .

 Teknisk skydd

  1. Att säkerhetsskyddet inte tillät anslutning av USB-stickan.
    Jag är övertygad att de flesta myndigheter har infört detta skydd i känsliga datorer. Speciellt med tanke på s.k. ”bad USB” där skadligkod finns inprogrammerad i hårdvaran svårt att upptäcka av antivirusskyddet.
  2. Att Antivirus programvaran i datorn skulle upptäcka skadligkod.
    I TV4 fallet USB-stickan innehöll ingen skadligkod.
     Vi vet dessutom inte vad receptionisten såg på sin datorskärm. Antivirusprogrammet skyddar normalt datorn genom att scanna nya filer på nya enheter (USB-stickan i detta fall) innan något annat program startas.

 Potentiell risk
Tyvärr det framgick inte i programmet om de största och katastrofala riskerna i TV4 scenarion nämligen risken att receptionisten med eventuella höga behörigheter till andra vanligtvis otillgängliga system t.ex. andra servrar, printerserver, inpasseringssystem, vatten, el, larm system, mm som skulle kunna vara en riktig rysare om den hackades med sofistikerade skadlig kod.

Råd för receptioner
Fortsätt att vara snäll och bemöta besökare med god service men servicen får ske från en ”tunndator” med endast lokalanslutenskrivare (ej nätverkskopplade). Till sist inte att glömma kontinuerlig genomgång av adekvat IT-säkerhet och rutin utbildningar.

Advertisements

Ransomware, better responsibilities for computer safety are required

In many years we did hear that users have to take their responsibilities and protect their PC, some recommendations are:

  1. Update the OS, SW,..
  2. Install antivirus, antimalware, …
  3. Avoid using same password in different places
  4. Choose password in a clever manner
  5. User are lazy, change password regularly
    (well, recently the recommendation is do not change password too often)
  6. Do not open files until you are sure about it is not suspicious
  7. Do not click on links you are not sure about
  8. Do not use public WiFi
  9. List of the recommendations goes on and on …

Ransomware has been a real pain since couple of years which caused a lot of damage and pain for the end users, companies, organizations. The following schematics shows possible scenarios that a pc and file system gets infected by Ransomware

  1. User gets an email with malicious and hidden link, when user opens the email and clicks on the link, a program downloaded to the PC and infects the PC with a virus.

RansomWare1

2-     User receives an email with a file (usually a zip or another executable, or photo file and when the user opens the file, either the malicious code infects the PC with a virus directly or fetches codes from another site and finally infects the PC.

RansomWare2

in my opinion some more attention must be paid from “the other side”. The OS-provider, anti- virus/malware, ISP:s, SW companies etc. Why?

Here are some obvious reasons that the involved “providers” should take more responsibilities

  1. ISP
    Everything goes through your ISP, Internet service provider. Serious ISP:s do have a lot of tools to detect suspicious network traffic. They monitor the network and automatically receive alarms about data packets with sender or receivers (the IP address) which are blacklisted or with suspicious reputations. This means that ISP:s have possibility to inform about possible virus
  2. The network (internal network for companies, organizations, etc) Most companies are using data communication equipment’s with lots of good utilities it is up to the decision makers to require good network security even on installed basis. Monitoring suspicious external activities is among the first steps to protect the investments, information, customers.
  3. Emails goes to your email server (provided by ISP, WEB hotels or other email provider like Microsoft Outlook, Google Gmail, Yahoo, Etc..). Usually emails scans to detect and discard malicious codes, unwanted email etc. They are also preventing receiving emails from the “black listed” IP addresses and even users. In another word the Email providers does have a huge possibility to prevent and inform about the possible malicious code/virus
  4. User has a big responsibility to prevent his/her PC getting infected and they hear almost every day that they are the weakest link so we do not need to go more in depth.
  5. The PC
    1. Operating system in my opinion it should be a built in prevention against malicious code like Ransomware.  What Ransomware usually does is to locate and systematically encrypt files like document, calculations, drawing, presentations etc. The encryption codes needs high use of the CPU power and must perform a lot of file access, in other word it is not hard to detect and provide a build in prevention in the operating system. This means that OS-providers must take a better responsibilities for their product.
    2. File Servers In some cases the malicious code also encrypted files on common file servers, this also means the company should always work on and detect “worst case” scenarios and handle common network disk area more carefully. Fast Backup and restore system could be complementary but preventive actions are crucial.
    3. Anti-virus and malware SW

If user has installed the anti- virus/malware then the SW should detect and prevent encryption of your hard drive/network files. If it doesn’t then you may need a better SW, change your SW.

Comments are most welcome!

 

 

Telenor, vi ändrar ditt abonnemang till dubbel så dyrt inom 16 dagar, del II

Respekt för kunderna

Telenors hemsida visar en bra bild som visar större respekt för sina befintliga och framtida kunder. Vilket är utmärkt

Telenor: Hos oss bestämmer kunderna
Telenor: Hos oss bestämmer kunderna

Bestämmer verkligen befintliga kunderna för sina abonnemang hos Telenor?

Tyvärr såg verkligheten något annorlunda ut för min vän som Telenor kund fick ett brev från Telenor ”När vi nu ser vi över våra abonnemang, kommer ditt abonnemang att försvinna. Dvs vi ändrar ditt abonnemang till 200% dyrare och inom 14 dagar. ”…Vi vill ge dig ett nytt abonnemang som vi tror passar dig bra…”. Brevet toppades med ”Du har även rätt att säga upp ditt abonnemang utan uppsägningstid”. Det brukar kallas för ”take it or leav it”. För detaljerad information e mitt tidigare inlägg

Min vän och jag letat och hittat en lämplig ersättning till Telenors abonnemang och idag var det bara att byta SIM-kortet. Då upptäckte jag att min väns hade Vodafone SIM-kortet i sin mobil. Det innebär en riktig trogen kund hos Telenor i över 10 år sedan Telenor köpte Vodafone i Sverige.

Trogen kund sedan Vadafone tiden
Trogen kund sedan Vadafone tiden, original SIM-kort

Vad säger PTS

Enligt PTS uppsägningstiden är MINST en månad medan gamla abonnemang kan ha längre uppsägningstid. I detta fall bryter Telenor med 16 dagars uppsägningstid. Jag är lite osäker på vilken myndighet skall bevaka så att operatören inte bryter bestämmelsen. Min vän valde att leta efter lösningen själv och utan att blanda in någon berörd myndighet, vilka det nu är PTS? Telekområdgivarna? Konsumentverket?

PTS om bestämmelsen om uppsägningstiden Minst en månad eller längre för äldre abonnemang
PTS om bestämmelsen om uppsägningstiden
Minst en månad eller längre för äldre abonnemang

”Hos oss bestämmer kunderna”

Sanningen borde vara att kunderna hos ALLA operatörer borde kunna bestämma men detta gäller för endast aktiva kunder. Och enbart då genom ständig bevakning av pris och service utvecklingen hos mobiloperatören. Hotet om eventuella missnöjesyttring som flytt av abonnemanget (“churn”) gör det möjligt att kanske kunden kan fortsätta att ”bestämma”. Det har min vän gjort och även jag bestämde att göra det samma tack vare min vän och Telenors brev (se mitt föregående inlägg).

Jag misstänker att tiden för att försöka behålla trogna kunderna är nu förbi och kanske ”Win back” verksamheten hos mobiloperatören är ett minne blått. Eller snarare borde vara tvärtom då tvångsförändring av abonnemang kanske genererar missnöje som i vissa fall kan leda till större belastning till ”win back” verksamheten. Att få vinna tillbaka missnöjda kunder som nyligen lämnat Telenor kräver troligtvis en del insatser.

Nätskummisars SMS : “Du är i final: Hämta 5000 kr på ..”

Nätbedragarna är i farten igen, denna gång avsändaren är mobilnumret 0762361701 eller +46762361701 som är en Tele2 kund och skickar SMS med följande text:
”Du är i final: Hämta 5000 kr på Statoil, SIBA eller Vero Moda. Klicka här: http://goo.gl/hNVDfW”
Även denna gång har bedragarna tydligen haft bråttom och inte tänkt färdigt , ”du är i final” och hämta ”5000 kronor” verkar inte vara genomtänkt.

Nätskummissar i Sverige
R19Y.com
Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701

Vart leder länken?
http://goo.gl/hNVDfW leder till http://www.r19y.com/quiz/. Det är intressant att se att r19y är upplagd den 7:e januari 2015 av GoDaddy (ett amerikansk företag som bland annat reserverar domäner till sina kunder). R19y.com har IP-adressen 190.97.165.233 och är registrerat i Panama. Även http://www.qu5t.com/ har samma IP-adress (190.97.165.233) som används av R19Y.com. En snabb analys av sidan visar att det utförs inte mycket mer än att visa en sida med ”opt out” och begäran att fylla i telefonnummer och efternamn. “Opt out” innebär att man i princip tackar nej till att ta emot marknadsmeddelanden, reklam och dylikt vilket i detta fall verkar vara helt meningslöst.  Att samla in namn och telefonnummer och spara i någon databas för kommande marknadsföring kan inte vara så bra affärsidé eftersom sådana databaser finns redan. Däremot kan tänkas att hemsidan och vid senare tillfälle är det tänkt att utföra vissa elaka aktiviteter hos användarens smart telefon, bärbara enheter eller PC. Hemsidan r19y.com är registrerat bara för en vecka sedan och driften sker i Panama. Två alternativ finns det till hands det ena är att de inte hunnit att installera de elaka programmen på hemsidan ännu det andra är att detta är genomtänkt verksamhet att utföra skumraskaffärer under kortare tid och sedan ”spårlöst” försvinna.

Server                 IP-nummer
R19y.com           190.97.165.233 qu5t.com            190.97.165.233
Internet service provider är Cyber Cast International, S.A. i Panama

I mina tidigare blogg ( Nätskummisar skickar SMS/MMS genom att använda kryphål och Nätskummisar är i farten nu igen   ) berörde jag nätskummisarna som använde sig av SMS för sina ännu ”okända” verksamhet.

Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701

Går det inte att stoppa dessa bedragare i Sverige innan bedragarna skapar större problem?

Mobilnumret 0762361701 är kund hos Tele2 och jag gjorde ett försök genom att kontakta supporten. Jag fick chatta med en god representant från Tele2 och berättade om problemet och om han och/eller Tele2 kunde stoppa denna bedragare. Jag fick tyvärr svaret ”vi kan inte göra något”. Jag har förståelse att kanske denna typ av frågor är inte vardagliga problem för kundsupport att lösa däremot tror jag att en företagspolicy borde reglera detta. Känner du möjligtvis till hur operatörer gör, borde göra eller enligt regelverket skall göra ?

Notera att med hänsyn till personlig integritet samtliga namn i Tele2 chatten har avsiktligt i tagits bort.

Nätbedragarna skickar SMS från mobilnumret 0762361701 (Tele2 kund)
Nätbedragarna skickar SMS från mobilnumret 0762361701 (Tele2 kund)
tele2-2
Nätbedragarna skickar SMS från mobilnumret 0762361701 (Tele2 kund)
tele2-30
Nätbedragarna skickar SMS från mobilnumret 0762361701 (Tele2 kund)

Home network during three minutes netwrok attacks, including attackers IP numbers and ….

An experimental scanning/Control of my home network in a very short period of about less than 3 Minutes during last week showed some scary information.

The collected information shows illegal/unauthorized network access to my home network (not any PC:s/computers). Some of these attacks were made very professionally with good network skills and advanced network attacks tools while others were performed by more simpl tools like port scanners.

Intensive attacks

Up to 12 attackers made measured attacks in row and with same IP-address, these attacks were performed from the US network provider, Network providers from Taiwan and UK. Even China Telecom belong to this group with 5 attacks in row. It seems that the attackers in this category are really ”result oriented”.

NetAttacksJan2015
Networks attacks to home network in only 3 Minutes sorted by country, January 2015


Networks attacks sorted by country

Unauthorized access from China Telecom users were the top performer with 71 attacks, I could notice that two attacks were made from China Mobile Telecom with a mobile device. Unfortunately I also found unauthorized access from Swedish ISP as number two in the attackers list which I never expected . The USA became number three with access from well-known operators like MCI/Versizon, Comcast, Time Warner, Etc. Another big surprise was unauthorized access from countries like France, England, Netherlands, Switzerland.

3MinutesNetAttackJan2015
Networks attacks to home network in only 3 minutes in January 2015 (sorted by top attackers in row)

The complete list of attackers

A complete list of IP-addresses listed below hopefully could be interesting for those of you who may want to digging into some details for finding more detailed information.

IP-number Number of attacks
in row
Country
104.238.194.202 1 USA
104.238.194.202 1 USA
109.228.146.13 1 Sweden
109.228.146.13 1 Sweden
109.228.146.13 1 Sweden
109.228.146.13 1 Sweden
109.228.146.13 1 Sweden
109.228.148.171 1 Sweden
109.228.148.171 1 Sweden
109.228.148.171 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Turkey
109.228.161.84 1 Turkey
109.228.161.84 1 Turkey
109.228.161.84 1 Turkey
109.228.161.84 1 China
109.228.161.84 1 China
109.228.161.84 1 China
109.228.254.49 1 China
109.228.254.49 1 China
109.228.254.49 1 China
109.228.254.49 1 China
109.9.43.31 1 China
110.52.223.105 1 China
111.123.180.44 1 China
111.123.180.44 1 Taiwan
111.123.180.44 1 Taiwan
111.123.180.44 1 Taiwan
111.207.253.193 1 China
111.207.253.193 1 China
111.67.203.41 1 China
111.67.203.41 1 China
113.108.21.16 1 China
113.140.217.54 1 China
113.140.217.54 1 China
114.37.63.223 1 China
114.37.63.223 1 China
114.37.63.223 1 China
115.231.218.23 1 China
122.225.103.74 1 China
122.225.109.112 1 China
122.225.109.117 1 China
122.225.109.213 1 Switzerland
122.225.97.67 1 Russia
122.225.97.87 1 France
122.225.97.99 1 USA
123.151.42.61 1 USA
123.249.26.221 1 China
123.249.26.221 1 China
123.249.26.221 1 USA
123.249.26.221 1 Switzerland
123.249.26.221 1 Taiwan
123.249.26.221 1 USA
125.64.35.67 1 AUSTRIA
141.255.164.162 1 AUSTRIA
146.185.239.104 1 England
164.177.26.6 1 Switzerland
168.184.14.77 1 Russia
168.184.14.77 1 Russia
180.153.162.150 1 Ukrain
182.18.9.144 1 USA
183.252.52.179 1 USA
184.105.247.200 1 Italy
185.35.62.79 1 China
190.27.199.123 1 China
190.27.199.123 1 China
190.27.199.123 1 China
190.27.199.123 1 China
190.27.199.123 1 Taiwan
192.3.99.18 1 China
194.118.126.18 1 China
194.118.126.18 1 USA
194.28.157.140 1 USA
195.141.222.170 1 Switzerland
195.191.64.199 1 France
195.191.64.199 1 France
195.211.154.180 1 France
199.83.94.72 1 Serbia
199.83.94.78 1 Netherlands
207.182.140.122 1 Thailand
217.112.97.187 1 China
218.2.0.126 1 China
218.77.79.38 1 China
218.77.79.38 1 China
218.77.79.43 1 China
218.77.79.55 1 China
220.136.174.214 1 China
220.136.174.214 1 China
222.186.21.202 1 China
223.10.131.69 1 China
223.10.131.69 1 China
24.149.193.70 1 China
24.149.193.70 1 China
24.149.193.70 1 China
31.7.57.198 1
37.59.138.101 1 China
46.105.54.158 1 China
46.105.54.158 1 China
5.172.36.245 1 China
5.79.77.194 1 Switzerland
5.79.77.194 1 France
5.79.77.194 1 Fance
5.79.77.194 1 France
58.97.74.88 1 France
60.169.78.70 1
60.173.10.171 1 USA
60.173.26.55 1 China
60.173.9.250 1
60.190.216.36 1
61.147.70.101 1 USA
61.160.213.108 1 USA
61.160.213.108 1 USA
61.160.213.38 1 USA
61.160.213.38 1 USA
61.160.213.38 1 Sweden
61.160.213.38 1 Sweden
61.160.213.38 1 England
61.160.213.54 1 England
61.160.224.128 1 France
61.160.224.129 1 Russia
61.160.224.130 2 Sweden
61.174.51.207 2 Sweden
61.240.144.65 2 Sweden
61.240.144.67 2 Sweden
62.202.16.135 2 Sweden
62.210.146.81 2 Sweden
62.210.189.195 2 France
62.210.246.220 2 China
62.210.83.136 2 China
65.209.36.34 2 Taiwan
65.209.36.34 2 China
65.209.36.34 2 China
65.209.36.34 2
66.240.192.138 2
68.143.130.150 2 Norway
68.43.40.234 2 England
68.43.40.234 2 France
68.43.40.234 2 Netherlands
68.43.40.234 3 China
68.67.73.20 3 China
69.63.4.107 3 Taiwan
70.195.1.100 3 Taiwan
70.89.75.65 3 Taiwan
71.61.253.169 3 Netherlands
71.61.253.169 3 Netherlands
72.179.133.197 3 Netherlands
72.179.133.197 3
74.120.148.142 3 USA
74.134.234.1 3 England
74.134.234.1 3 AUSTRIA
79.160.45.88 4 China
81.170.140.243 4 USA
81.170.140.243 4
85.255.235.61 5 England
89.26.117.5 6
90.204.176.105 7
90.204.176.105 8 Taiwan
90.204.176.105 12
90.204.176.105 1 Sweden
90.6.194.148 1
90.6.194.148 1
92.222.20.123 1 USA
93.170.92.198 1
93.180.5.26 1 France