Attack mot Tietoevry. Filmstaden, Rusta, Granngården, Systembolaget drabbade [2024-01-20]

Är det inte teknikerna i Ostrava som sköter driften av Tietos servrar i Sverige, och en hel del kritiska nätverk? Så var det för en tid sen i alla fall.

Har inte den blekaste aning. Har jobbat åt ett annat stort konsultföretag och frågade några utländska kollegor varför de inte uppdaterade sina servrar. ”Vi vill och tycker det är rent av pinsamt att sitta med så gammal mjukvara men vi får inga resurser till att uppdatera.”

En del verkar ha sk teknisk skuld som affärsidé. Att hålla ordning på sin verksamhet kostar pengar, struntar man i det ser några siffror i bokföringen bättre ut vilket är bra t.ex. inför en försäljning av bolaget.

Behövs inte om man återställer mjukvara + databaserna mot ny ren vm/docker.
Alla generella intrång riktar sig mot os, varför man aldrig bara litar på miljö backuper

Detta existerade inte och kunde inte hända när det fanns ett enda betalningsmedel i form av kontanter.

Allt funkade prickfritt tamigfan överallt och IT problem existerande inte.

Så går det när man förlitar sig helt på en tredjeparts leverantör av IT-tjänster. När ska företag inse att bygga en egen IT-infrastruktur är billigare och säkrare i längden? Givetvis attackerar man de större aktörerna för att man får flera flugor i en smäll.

Alltid haft egen IT-infrastruktur vilket inte bara är säkrare (om man vet vad man gör), men också mycket billigare att underhålla. Aldrig varit offer av någon sådan typ av attack. Har gått igenom flertalet security audits från olika företag dessutom och de har aldrig hittat något kryphål. Aldrig haft ett enda intrång och då har mina webbplatser miljoner besökare i veckan.

Så hur kommer det sig att jag, en ensam individ, lyckats bygga större och säkrare IT-system än Rusta, Filmstaden, m.fl.? De är tvättäkta amatörer. Hoppas de lärt sig en läxa. Drivit onlineföretag (ehandel) i snart 10 år med omsättningar över en halv miljard på flera företag. Aldrig i mitt liv skulle jag använda någon annans tjänster för hela min backend-infra.

Räcker att en anställd (med behörighet) hos firman har en insider för att kunna knäcka skiten. Och du som kund (Filmstaden, Rusta, m.fl.) har ingen aning om vad som sker hos dem, och kan inte påverka något.



Stackars stackars Fredrik Björk. Vad menar han egentligen? De kan inte göra någonting. "Jobbar" innebär att de rullar tummarna och att de mailar en gång i timmen "Är det fixat? //Mvh, Anna-Karin på Kundtjänst". De är totalt körda för de har sin IT-infrastruktur hos tredjepart. Kan t.o.m. se det framför mig, nu springer mellancheferna runt som yra hönor (med en puls på 150) i kontoret hos Granngården m.fl. och säger åt deras kundtjänst att svara på kundmail så fort det går, och att maila Tieto varje halvtimma för statusrapport. De går runt där med sina skjortor som är 2 storlekar för små och bakåtslickat hår.

... Inse att de inte kan göra någonting. Allt hänger nu på Tieto. Och det kan dröja veckor innan de säkrat skiten. De kommer aldrig heller dela med sig av alla detaljer till de drabbade företagen. Kunderna kommer aldrig förstå omfattningen av attacken, förän hela deras kunddatabas ligger ute på darkweb för tusen kronor. Därför ska man aldrig förlita sin verksamhet på någon annans system. Gör man det ska man åtminstone ha en backup plan.

Har Tieto en enda infiltrerad ryss t.ex. så kan hela deras affärsverksamhet kollapsa, vilket innebär att alla deras kunder drabbas. Pinsamt att så stora företag använder tredjepartsleverantörer för deras IT-infrastruktur. Riktigt riktigt pinsamt. De har pengarna att anställa folk för att bygga det in-house. Men de har väl såpass dålig systemarkitektur att det inte går att göra om utan att paja hela skiten, så de kör med det gamla vanliga för att "funkar det så ändrar vi inget". Nackdelen är ju att det inte funkar bara Återigen, amatörer.

Byt ut ledningen hos samtliga bolag som förlitar sig på bl.a. Tieto för sin backend.

Om sisådär ett halvår kommer väl nyheten att alla kunduppgifter hos Rusta, Filmstaden, m.m. har läckt på darkweb. Hade inte förvånat mig det minsta.

Stackars stackars Fredrik Björk. Vad menar han egentligen? De kan inte göra någonting. "Jobbar" innebär att de rullar tummarna och att de mailar en gång i timmen "Är det fixat? //Mvh, Anna-Karin på Kundtjänst". De är totalt körda för de har sin IT-infrastruktur hos tredjepart.

...

... Inse att de inte kan göra någonting. Allt hänger nu på Tieto. Och det kan dröja veckor innan de säkrat skiten. De kommer aldrig heller dela med sig av alla detaljer till de drabbade företagen. Kunderna kommer aldrig förstå omfattningen av attacken, förän hela deras kunddatabas ligger ute på darkweb för tusen kronor. Därför ska man aldrig förlita sin verksamhet på någon annans system.

Detta existerade inte och kunde inte hända när det fanns ett enda betalningsmedel i form av kontanter.

Detta existerade inte och kunde inte hända när det fanns ett enda betalningsmedel i form av kontanter.

Allt funkade prickfritt tamigfan överallt och IT problem existerande inte.

Gör om till egen lösning så tidigt som möjligt, det finns ingen specifik gräns. Det är billigast och enklast i det tidiga stadiet. Ju fler anställda/avdelningar man har desto svårare är det att bygga om. Man gör detta en gång och samma lösning kan du använda på oändligt antal framtida företag i framtiden om du väljer att driva fler. Kunskapen du får med dig är dessutom guldvärd.

Lägg inte hela din verksamhet hos en enda tredjeparts leverantör bara. Sprid ut skiten och gör backups dagligen på all viktig data. Du kan fortfarande använda SaaS, men se bara till att om något går fel så ska du kunna åtgärda det snabbt utan att behöva vänta på att dem ska fixa det. Föreställ dig att varje SaaS-leverantör du använder har fått ransomware i sina system just nu.

Några punkter:

• Minimera antalet endpoints på din publika webb
• Se till att inga portnummer är öppna om de inte behövs
• Aktivera en brandvägg
• Använd rate limiting och monitorera accessloggar och banna brute force attackerare, med t.ex. CrowdSec eller Fail2Ban
• Säkerställ att du har hög TLS standard. Du kan göra test på SSL Labs (bl.a.) för att göra benchmarks. Använder du t.ex. Cloudflare som domänregistrator bör du använda deras Origin Server Certificate. Skapa din egen Certificate Signing Request (CSR) fil med minst 2048 bits. Cloudflare erbjuder att skapa en åt dig, men för att vara helt säker bara du har private key:n, skapa en egen.
  
  Skapa en Diffie-Hellman key för att kryptera transaktionen av TLS certifieringen.
  
  Sätt upp en CAA DNS-record för att låsa TLS certifieringen till en specifik Certificate Authority (CA), så att det inte kan manipuleras.
• Använd en reverse proxy som ett extra skydd gentemot din backend. Med en reverse proxy kan du inte bara skydda backend genom att exempelvis blockera kända IP adresser som tillhör attackers, men också justera compression och caching för att förbättra sidladdningstider (prestanda). NGINX är väldigt vanligt för detta. Se till att dölja alla typer av identifierbara headers för NGINX och från din webserver.
• Byt SSH port, inaktivera root login, sätt upp SSH key pair på en non-root användare
• Alla services som kör på servern bör köras med en non-root användare som enbart har åtkomst till den specifika servicen
• Inkludera skydd mot CSRF, SSRF och XSS attacker på webbplatsen.
• Inkludera en strikt Content Security Policy (CSP) på webbplatsen. Försök att inte ha tredjeparts plugins/scripts/fonts av något slag på sidan. Minimera mängden CORS-requests så långt det går.
• Uppdatera mjukvara ofta. Först på din testserver för att säkerställa allt funkar efter uppdatering, innan du ändrar något i produktion.
• Automatisera backups av data och monitorering av prestanda m.m., allt som kan vara av värde att hålla koll på
• Spara så lite information om dina kunder som det går. Säkerställ att lösenord är hashade med Argon2id om du lagrar det.
• Använd en VM miljö på ett helt separat nät och enhet där du loggar in med kundtjänst eller vad det är för verktyg anställda behöver för att jobba med. Det ska hållas isolerat från allt som har med din produktionsserver att göra. Intern kommunikation bör göras i sin egen miljö, medan extern kommunikation på en annan. Håll det isolerat.
• Sätt upp SPF, DKIM och DMARC korrekt på din mail och följ även dessa nya regler som gäller fr.o.m. 1:a februari 2024 om man vill skicka massutskick med mail. Men det är inte endast för massutskick, utan även för att säkerställa att din mail endast används med autentisering på domännivå. Utan att ha konfigurerat mailen kan andra spoofa det, både externt mot kunder eller internt mot anställda: https://support.google.com/a/answer/81126
• Undvik alla typer av "dotfiles" och lagra istället miljövariabler (environment variables) där de ska vara, d.v.s. i serverns "Environment Variables" sektion. I Linuxmiljöer kan du göra detta genom att lägga till de i .bashrc filen. Anledningen till detta är att det finns exempel på attacker som lyckats komma åt ".env"-filen från klientsidan, vilket brukar innehålla alla API-nycklar m.m. hos miljoner Node.js-baserade webbplatser
• Använd två-faktor autentisering överallt där det går. Återanvänd inga kontouppgifter (användarnamn, email, lösenord, m.m.). Använd en lösenordshanterare. Ha sunt förnuft helt enkelt när det kommer till användarkonton.
• Träna dina anställda och öva varje år med olika typer av attacker för att se om det finns brister.
• Utför en security audit med en eller flera olika aktörer för att få det svart på vitt om dina metoder är säkra

Listan kan bli lång och du måste själv sätta dig in i varje enskild grej och lista ut vad det är ni behöver och inte behöver. Se bara till att inte snåla på vissa delar som verkar mindre viktiga. Det är oftast där det fallerar.

Nu vet jag inte vad för typ av företag det är. Är det ehandel? För mig personligen tog det runt två månader att sätta upp en rejält säker infrastruktur och då nördade jag mig in i allt möjligt skit. Sen har man under åren lagt till eller ändrat vissa grejer. Men nu är jag i det stadiet att jag har en såpass stabil infrastruktur att jag skulle bli riktigt imponerad om man lyckas utföra något dataintrång. Allt kan ju ske, och det är jag beredd på. Men efter 10 år har ingenting skett. Peppar peppar.

Är det stavfel någonstans så får det stå. Skrivet på mobil.