Attack mot Tietoevry. Filmstaden, Rusta, Granngården, Systembolaget drabbade [2024-01-20]

https://www.svt.se/nyheter/inrikes/efter-hackerattacken-oklart-nar-losning-kommer

Jag skulle beskriva vår säkerhet som hög; säger hon😂😂😂
Hon borde åka hem låsa in sig på toaletten och gråta, efter det uttalandet. Hon behöver nog inte ställa väckarklockan imorgon..

Problemet är inte själva betalningsmetoden då man som du säger snabbt ändra från bank A till bank B som sköter betalningarna.

Problemet är att man inte kommer åt affärssystemet med priser och lagersaldo. Man vet inte hur mycket varorna kostar och det fungerar inte att scanna så varje kund tar minst tio gånger så lång tid om man ska räkna manuellt. Skulle man lyckas sälja något så minskas inte lagersaldot i butiken vilket medför att man inte får automatiskt beställning av nya varor. En vanlig livsmedelsbutik har runt 25 000 artiklar och Rusta/Granngården har givetvis något liknande vilket medför att det vore mycket problematiskt att inte veta lagersaldot i butiken.

Centrallagret med sina hundra tusen pallar vet inte vad man har i lager och vart varorna är så man kan inte fylla på butikerna. Affärssystemet är kritisk för att ett företag ska kunna fungera.

Att ta betalt för varorna är det minsta bekymret...

Hon kommer säkert belönas med löneförhöjning och bonus framåt årsslutet, för att ha "hanterat situationen bra". Om Tietoevry finns kvar som företag vid årsslutet dvs. I annat fall får hon väl något slags fallskärm, det brukar ju alla corporate-byxdressar och huvudkontors-slipsar ha sett till att ordna för sig...

Hur läser du egentligen? Ingen, absolut ingen, i denna tråd har pratat om att kunderna är separerade. Det står klart och tydligt att miljön där bl.a. kundtjänst arbetar och deras mail ligger helt isolerat från deras betalsystem och business critical system.

Tietoevry lär finnas kvar - däremot ska ju Tietoevry Tech Services säljas antar jag, nyss knoppats av från övriga verksamheten. Det här lär ju inte öka värdet på den affären i alla fall.

Gör om till egen lösning så tidigt som möjligt, det finns ingen specifik gräns. Det är billigast och enklast i det tidiga stadiet. Ju fler anställda/avdelningar man har desto svårare är det att bygga om. Man gör detta en gång och samma lösning kan du använda på oändligt antal framtida företag i framtiden om du väljer att driva fler. Kunskapen du får med dig är dessutom guldvärd.

Lägg inte hela din verksamhet hos en enda tredjeparts leverantör bara. Sprid ut skiten och gör backups dagligen på all viktig data. Du kan fortfarande använda SaaS, men se bara till att om något går fel så ska du kunna åtgärda det snabbt utan att behöva vänta på att dem ska fixa det. Föreställ dig att varje SaaS-leverantör du använder har fått ransomware i sina system just nu.

Några punkter:

• Minimera antalet endpoints på din publika webb
• Se till att inga portnummer är öppna om de inte behövs
• Aktivera en brandvägg
• Använd rate limiting och monitorera accessloggar och banna brute force attackerare, med t.ex. CrowdSec eller Fail2Ban
• Säkerställ att du har hög TLS standard. Du kan göra test på SSL Labs (bl.a.) för att göra benchmarks. Använder du t.ex. Cloudflare som domänregistrator bör du använda deras Origin Server Certificate. Skapa din egen Certificate Signing Request (CSR) fil med minst 2048 bits. Cloudflare erbjuder att skapa en åt dig, men för att vara helt säker bara du har private key:n, skapa en egen.
  
  Citat:

  sudo openssl req -newkey rsa:2048 -keyout <domän>.key -out <domän>.csr
  Skapa en Diffie-Hellman key för att kryptera transaktionen av TLS certifieringen.
  
  Citat:

  sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
  Sätt upp en CAA DNS-record för att låsa TLS certifieringen till en specifik Certificate Authority (CA), så att det inte kan manipuleras.
• Använd en reverse proxy som ett extra skydd gentemot din backend. Med en reverse proxy kan du inte bara skydda backend genom att exempelvis blockera kända IP adresser som tillhör attackers, men också justera compression och caching för att förbättra sidladdningstider (prestanda). NGINX är väldigt vanligt för detta. Se till att dölja alla typer av identifierbara headers för NGINX och från din webserver.
• Byt SSH port, inaktivera root login, sätt upp SSH key pair på en non-root användare
• Alla services som kör på servern bör köras med en non-root användare som enbart har åtkomst till den specifika servicen
• Inkludera skydd mot CSRF, SSRF och XSS attacker på webbplatsen.
• Inkludera en strikt Content Security Policy (CSP) på webbplatsen. Försök att inte ha tredjeparts plugins/scripts/fonts av något slag på sidan. Minimera mängden CORS-requests så långt det går.
• Uppdatera mjukvara ofta. Först på din testserver för att säkerställa allt funkar efter uppdatering, innan du ändrar något i produktion.
• Automatisera backups av data och monitorering av prestanda m.m., allt som kan vara av värde att hålla koll på
• Spara så lite information om dina kunder som det går. Säkerställ att lösenord är hashade med Argon2id om du lagrar det.
• Använd en VM miljö på ett helt separat nät och enhet där du loggar in med kundtjänst eller vad det är för verktyg anställda behöver för att jobba med. Det ska hållas isolerat från allt som har med din produktionsserver att göra. Intern kommunikation bör göras i sin egen miljö, medan extern kommunikation på en annan. Håll det isolerat.
• Sätt upp SPF, DKIM och DMARC korrekt på din mail och följ även dessa nya regler som gäller fr.o.m. 1:a februari 2024 om man vill skicka massutskick med mail. Men det är inte endast för massutskick, utan även för att säkerställa att din mail endast används med autentisering på domännivå. Utan att ha konfigurerat mailen kan andra spoofa det, både externt mot kunder eller internt mot anställda: https://support.google.com/a/answer/81126
• Undvik alla typer av "dotfiles" och lagra istället miljövariabler (environment variables) där de ska vara, d.v.s. i serverns "Environment Variables" sektion. I Linuxmiljöer kan du göra detta genom att lägga till de i .bashrc filen. Anledningen till detta är att det finns exempel på attacker som lyckats komma åt ".env"-filen från klientsidan, vilket brukar innehålla alla API-nycklar m.m. hos miljoner Node.js-baserade webbplatser
• Använd två-faktor autentisering överallt där det går. Återanvänd inga kontouppgifter (användarnamn, email, lösenord, m.m.). Använd en lösenordshanterare. Ha sunt förnuft helt enkelt när det kommer till användarkonton.
• Träna dina anställda och öva varje år med olika typer av attacker för att se om det finns brister.
• Utför en security audit med en eller flera olika aktörer för att få det svart på vitt om dina metoder är säkra

Listan kan bli lång och du måste själv sätta dig in i varje enskild grej och lista ut vad det är ni behöver och inte behöver. Se bara till att inte snåla på vissa delar som verkar mindre viktiga. Det är oftast där det fallerar.

Nu vet jag inte vad för typ av företag det är. Är det ehandel? För mig personligen tog det runt två månader att sätta upp en rejält säker infrastruktur och då nördade jag mig in i allt möjligt skit. Sen har man under åren lagt till eller ändrat vissa grejer. Men nu är jag i det stadiet att jag har en såpass stabil infrastruktur att jag skulle bli riktigt imponerad om man lyckas utföra något dataintrång. Allt kan ju ske, och det är jag beredd på. Men efter 10 år har ingenting skett. Peppar peppar.

Är det stavfel någonstans så får det stå. Skrivet på mobil.

vad fint att du delar med dig av din erfarenhet och kompetens. vad bra att du klarat dig i över 10år utan incidenter. du verkar påläst och verkar ha hittat något som fungerar för dig. dina råd och tankar kring IT säkerhet verkar väldigt inriktade på yttre faktorer. hur resonerar du till vad man skulle kunna utföra med dina användarkonton i respektive bolag där du är engagerad i?

Inte särskilt mycket. Det finns endast ett användarkonto som har fulla rättigheter på servern. Resten är begränsade till ett read-only gränssnitt för att t.ex. kunna hämta ut orderinformation för att hantera kundtjänstärenden, eller så har de endast åtkomst till en specifik mapp. Ska något nytt deployas till produktion [större ändringar] så görs detta först noggrant i en testmiljö och sedan sätts en temporär användare upp på produktionsservern för att kunna föra över filerna. Användaren har endast åtkomst till den mapp den behöver ha åtkomst till. När filerna deployats tas användarkontot bort. Det är inte ofta något ändras på servern. Vanligaste ändringen som görs på webbplatserna är exempelvis nya produktbilder, men det sker endast några enstaka gånger per månad.

Det mesta vi jobbar med är marknadsföring via email och sociala medier. Där görs det största arbetet idag. Webbplatsen i sig undviker vi att röra om det inte behövs. Just använder vi MailChimp, SendGrid och AWS SES för mailutskick. Det varierar mellan företagen. Då behövs det ingen åtkomst till server ö.h.t., eftersom dessa är isolerade.

När det gäller email använder samtliga anställda Thunderbird som emailklient. Vissa föredrar att logga in via webb. Vi använder för tillfället Microsoft Exchange Online (Plan 1) för det, inte Microsoft 365, utan endast Exchange Online. Vi använder heller inte Windows på jobbdatorerna, utan det är Debian 12 som gäller eftersom det är gratis, lätt att använda, stabilt, säkert och det funkar för oss. Det mesta jobbet görs via webbgränssnittet som vi sattit upp (read only), så det finns ingen anledning att köra Windows. Ingen har haft problem med att lära sig Debian 12 heller. I princip startar de datorn och använder webportalen bara. Har några Windowsdatorer men de är inte kopplade till någonting, utan används för bild- och videoredigering (marknadsföring) och lite andra grejer. I princip så ser det ut hos oss och det funkar bra. För intern kommunikation använder vi email eller Signal. Sparsamt med anställda. Hellre kvalitet före kvantitet. Pengar håller vi hårt om.

Detta är rysstrollen. Skojar bara. Troligen faktiskt ryssar. Min mobil.kunde inte ta emot data eller vice versa. Inte ens från Play Stores uppdateringar eller Youtube. Vi lever i ett tufft samhälle. När jag var ung så var bara Fantomen, X9 eller MAD. Som tur är går jag bort inom något år. Hoppas jag.

Vet inte om jag håller med se bara vad sim hände med okta...

Ja, jag googlade och ser nu att det har ökat kraftigt de senaste åren.

https://blog.checkpoint.com/security/comparative-study-results-on-linux-and-windows-ransomware-attacks-exploring-notable-trends-and-surge -in-attacks-on-linux-systems/

Jag kan säga att de som jobbar hos Tietoevrys med känslig information att de ha en hel säkerhets intervjuar och bakgrunds kontroller att gå genom innan de får komma in i deras system.

Samt jobbar Tietoevrys (deras ERP system) rätt så nära tillsammans med ett stor och känt Svensk företag. Ett företag som har sina affärsområden inom Aeronautics, Dynamics, Surveillance, Support and Services och Industrial Products and Services. Så insider eller outsider jobb, de kan vara bara ett steg närmare till någon annan ….