Perspektivet - September 2024

Bare å beklage at det ikke ble noe nyhetsbrev forrige måned, jeg var syk rundt månedskiftet og når jeg kom ajour med livet var vi i midten av september.

Uansett var august en spennende måned. Jeg fikk endelig deltatt på Arendalsuken og fikk med meg mange interessante paneler. Jeg må innrømme at det mest interessante var panelene som ikke handlet om cybersikkerhet, hvor samtalen ofte dreide seg om hvordan små og mellomstore bedrifter kan beskytte seg. Men jeg var på noen veldig interessante paneler om Kina og hvordan domstolene skal forholde seg til syntetiske bevis (deep fake, etc.).

Det var gledelig å kunne delta på årets Sikkerhetsfestival, og jeg hadde også gleden av å være foredragsholder. Som alltid var det flere interessante foredrag enn jeg hadde tid til å se. Men Vetle Hjelle (a.k.a. bordplate) sitt foredrag 'Modding multiplayer into a 20 year old game' var utrolig interessant. Synd at han ikke fikk bedre tid til å presentere, men han la ut hele foredraget på YouTube.

Telegram

Telegram, meldingsapplikasjonen som inntil nylig skrøt av at de ikke fjernet ulovlig materiale, har vært mye i nyhetene i det siste. Franske myndigheter ble lei av at Telegram ikke utleverte informasjon ved forespørsler, for eksempel i overgrepssaker. Derfor arresterte de Durov (CEO) [1], og etter en kort stund i fransk fengsel har tonen endret seg [2].

Mange har reagert på taktikken som Frankrike benyttet seg av. Samtidig er det viktig å huske at Telegram tidligere har samarbeidet med russiske myndigheter, så de er ikke ukjente med konseptet. Men Telegram har vært en moralsk sump i lang tid [3], hvor til og med overgrepsmateriale har blitt delt åpent. For eksempel deler Signal, ved legitime forespørsler fra myndighetene, det de har av informasjon, selv om det ikke er mye. Men Telegram har aldri vært en sikker meldingsapplikasjon (med unntak av Secret chats) slik som Signal, og Telegram hadde mye informasjon om brukerne og hva de holdt på med. Å behandle denne typen forespørsler krever imidlertid administrasjon og ansatte som kan håndtere forespørslene. Dette er kostnader som Durov ikke har ønsket å bære (han er verdt ca. 15,5 milliarder USD).
Utrolig nok benyttes Telegram i stor skala i Ukraina, og også av ukrainske myndigheter og militæret. Heldigvis ble det nå satt en stopper for [4].

[1] Telegram CEO's arrest sparks flurry of questions over motivation, privacy impact | The Record
[2] Telegram says it will share phone numbers and IP addresses of ‘bad actors’ to authorities | The Record
[3] Russiske Telegram-kanaler: Over 40 nordmenn navngitt og hånet | Faktisk.no
[4] Ukraine bans Telegram on state and military devices | The Record

Trusselaktører og AI

AI (eller KI om du vil) har inntatt fagfeltet vårt, og de fleste sikkerhetsprodukter i dag reklamerer for AI i en eller annen form. Spesielt etter lanseringen av ChatGPT og de påfølgende åpne modellene var det bare et tidsspørsmål før trusselaktørene tok teknologien i bruk.

I mars publiserte Deloitte en rapport [1] om hvordan trusselaktører (TA) benytter AI, og i hovedsak bruker TA AI på samme måte som oss – for å effektivisere arbeidsflytene.

Derfor var overraskelsen stor da Technet uttalte i Digi [2] at TA hadde benyttet AI under angrepet som rammet dem. De hevdet at det gikk så kort tid fra sårbarheten ble kjent til den ble utnyttet at TA måtte ha brukt AI for å gjennomføre angrepet. Daglig leder hos Technet mente de var raskt ute med sikkerhetsoppdatering, men at angrepet var spesielt fordi det brukte vanlige driftsverktøy og ikke et ‘virus".

I etterkant har Medusa, en ransomware-trusselaktør, publisert at de hadde kompromittert flere norske organisasjoner, hvor flere var tilknyttet Technet.
Nasjonalt sikkerhetsmyndighet har ingen informasjon som bekrefter bruken av AI i denne saken.

[1] Threat Report: How threat actors are leveraging Artificial Intelligence (AI) technology to conduct sophisticated attacks | Deloitte
[2] Norsk IT-leverandør hacket: – Ser ut til at de har brukt KI-verktøy - Digi * paywall

Anbefalt nyhetsbrev

Ingen denne måneden

Anbefalte bøker

Dark Wire - The Incredible True Story of the Largest Sting Operation Ever | Joseph Cox

Joseph Cox fra 404Media har skrevet bok om den gangen FBI ble en venturekapitalist for en «kryptert» telefon for kriminelle. Boken er spennende og forteller en historie om en operasjon som mange fikk med seg, men som få vet mye om. Anbefales!

The Art of Intelligence: Lessons from a Life in the Cia's Clandestine Service - Henry A. Crumpton

Boken gir en fin innsikt i bruken av etterretning i det som var starten på Afghanistan-krigen, hvordan forfatteren så for seg at krigen skulle utvikle seg, og hans syn på samspillet mellom policy og etterretning. Dessverre føler jeg at forfatterens patriotisme gjør at han ikke reflekterer så godt som han kunne ha gjort over enkelte emner og hendelser (f.eks. bruken av tortur). Tonen kan være litt «'murika!» til tider, men hvis du klarer å overse det, kan boken anbefales.

Anbefalt podcast

Sudden Russian Death Syndrome | Whale hunting

Noen ganger faller en russisk direktør fra en balkong, og det er et uhell. Andre ganger kan det være et tegn på 'Sudden Russian Death Syndrome'. Artig podcast som diskuterer hvorfor så mange russiske direktører lider av dette syndromet.

No Such Podcast - NSA

Hvem skulle tro vi levde i en verden der NSA faktisk hadde sin egen podcast?

Anbefalt lesing

Researcher sued for sharing data stolen by ransomware with media | Bleepingcomputer

I mine øyne er denne saken todelt. Den ene siden av saken er en by og en advokat som ikke helt forstår hvor tilgjengelig denne informasjonen egentlig er. Ordføreren påsto også at informasjonen som ble stjålet, var kryptert, og at det ikke var noen fare. Mye av informasjonen var svært sensitiv, og en del stammet fra politiet og påtalemyndigheten. Samtidig burde ikke David Leroy Ross på eget initiativ ha dratt til tv-stasjonen for å vise frem sine funn. Journalisten vet lite om saken og prøver å vinkle det som om det han gjør, er ulovlig. Det er viktig å kunne stole på de journalistene vi som fagpersoner snakker med, da en uerfaren journalist fort kan misforstå sammenhengen.

A new model for understanding extortion groups | Accenture

Nye modeller kommer støtt og stadig, men denne fra Accenture er spennende. Den vurderer stabiliteten (stability) og kredibiliteten (credibility) til ransomware-trusselaktører.

Staying a Step Ahead: Mitigating the DPRK IT Worker Threat | Google Mandiant

Nord-Korea (DPRK) finner alltid nye måter å tiltrekke seg hard valuta på. Nå har de startet konsulentvirksomhet. Det har vært flere tilfeller der fjernarbeidere har vist seg å være falske og faktisk jobber for DPRK. Mandiant har nå skrevet en rapport om sine observasjoner.

Millions of Vehicles Could Be Hacked and Tracked Thanks to a Simple Website Bug | Wired

Kia har lenge vært et yndet mål for tyver i USA, spesielt Kia Soul, grunnet manglende sikkerhetstiltak som gjorde bilene veldig enkle å stjele. Søk gjerne etter 'Kia Boyz' for eksempler. Sårbarheten som omtales i denne artikkelen, ligger i en portal som gjør det mulig for angriperen å overta bilen kun ved å kjenne til registreringsnummeret.

Enhance your Cyber Threat Intelligence with the Admiralty System - Freddy Murstad

Freddy Murstad (NFCERT) har skrevet en artikkel om hvordan man kan benytte admiralitetssystemet (Admiralty System) i trusseletterretning. Les den!

NIST proposes barring some of the most nonsensical password rules - Ars Technica

Det er ingen overraskelser i NIST sin SP 800-63-4; mye av dette er standardpraksis i mange organisasjoner. Men kanskje enkelte organisasjoner vil nå gå vekk fra å bytte passord hver 90. dag.

The Cloud Threat Hunting Field Manual: Azure | Charles Garrett

Fantastisk ressurs for deg som skal jobbe med Azure og Sentinel.

Detecting and Mitigating Active Directory Compromises - Australian Signals Directorate

Guiden er et samarbeid mellom flere nasjonale sikkerhetsbyråer og gir en omfattende veiledning i de 17 mest brukte teknikkene som trusselaktører benytter for å angripe Active Directory. Guiden gir også anbefalinger om sikkerhetskontroller for å motvirke disse teknikkene.

Stolen iPhone. I Survived | David G.W. Birch

Jeg måtte selv sjekke om jeg hadde aktivert "Stolen device protection" på min iPhone. Min telefon har blitt min personlige datamaskin, bankkort og bilnøkkel. Jeg tror alle bør ha en plan for hva de må gjøre hvis telefonen blir stjålet.

Why do people believe true things? | Conspicuous Cognition

Hvorfor tror folk på sannheten? Av og til er det viktig å spørre seg hvorfor ting ikke går galt oftere.

Paralyzed Man Unable to Walk After Maker of His Powered Exoskeleton Tells Him It's Now Obsolete | Futurism

Fremtiden bringer både fantastisk ny teknologi og horribel support. Her har selskapet sluttet å supportere utstyret som gjør at Michael Straight kan gå etter en ulykke. Grunnen? Det er for gammelt. Et exoskjelett har gjort det mulig for Michael å gå de siste ti årene, men da det oppsto en liten feil i hans 100 000 USD exoskjelett, kunne ikke selskapet hjelpe.

Verktøy

Ingen denne måneden

AI genererte oppsummeringer

Denne uken har jeg eksperimentert med NotebookLM (Google). Jeg har funnet frem til enkelte lengre (vitenskapelige)artikler som virket interessante, men som jeg ikke hadde tid til å komme gjennom.

Advanced Persistent Threat Attack Detection Systems: A Review of Approaches, Challenges, and Trends - Digital Threats: Research and Practice

Nyere forskning på deteksjonssystemer for avanserte vedvarende trusler (APT) fokuserer i økende grad på grafbaserte tilnærminger, spesielt grafnevrale nettverk (GNN). Disse metodene viser lovende resultater når det gjelder å identifisere APTs unike egenskaper, for eksempel deres evne til å operere over lengre tid og på tvers av forskjellige systemer. Til tross for fremskritt er det fortsatt utfordringer knyttet til tilgjengeligheten av omfattende datasett for evaluering, håndtering av store datamengder og integrering med eksisterende sikkerhetssystemer. Ytterligere forskning på disse områdene er nødvendig for å forbedre den praktiske anvendeligheten av APT-deteksjonssystemer.

Exposed by Default: A Security Analysis of Home Router Default Settings

Rapporten "Exposed by Default: A Security . nalysis of Home Router Default Settings" undersøker sikkerhetsrisikoer knyttet til standardkonfigurasjoner i hjemmerutere. Forfatterne testet 40 rutere fra populære merker, og fant et bekymringsverdig antall sikkerhetsproblemer. Mange rutere mangler grunnleggende sikkerhetstiltak for IPv6, "plug-and-play"-rutere har ofte usikre standardinnstillinger, og støtte for WPS PIN-autentisering er fortsatt utbredt til tross for kjente svakheter. Forfatterne oppfordrer produsenter til å prioritere sikkerhet i standardinnstillingene og anbefaler brukere å ta proaktive grep for å sikre hjemmenettverkene sine.

FakeX: A Framework for Detecting Fake Reviews of Browser Extensions

Artikkelen introduserer et nytt system for å identifisere falske anmeldelser i nettleserutvidelsesbutikker. Forskerne identifiserer fire nøkkelmetoder som brukes for å manipulere anmeldelser: falske kontoer, spredning av falske anmeldelser på tvers av utvidelser, spamming av et stort antall anmeldelser på kort tid, og fokus på å skrive anmeldelser i stedet for enkle vurderinger. FakeX bruker tidsstempler og brukerdata, i stedet for anmeldelsesinnhold, for å oppdage disse metodene. Deres analyse av over 1,7 millioner anmeldelser i Chrome Web Store avdekket hundrevis av kampanjer med falske anmeldelser. Forfatterne fant en sterk sammenheng mellom utvidelser med falske anmeldelser og ondsinnede utvidelser. De identifiserte 86 ondsinnede utvidelser, noen med millioner av nedlastinger, som brukte falske anmeldelser for å forbedre sin rangering og lure brukere. Forskningen fremhever viktigheten av å oppdage falske anmeldelser for å forbedre brukersikkerhet og tillit til nettleserutvidelsesbutikker.

Subscribe to Perspektivet

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe