IT-säkerhetsexpert: "Coop inte sista butiken att stänga på grund av IT-attack"

Jo, det läggs nog mycket tid på att hitta brister hos dessa leverantörer. Men hur föreslår du att det skulle gå till? Här är jag litet pessimistisk och tror att det är nog någonting som lätt försvinner när smorda säljare och köpare utan teknisk kompetens snackar.

Om man har installerat 3e-partsgrejerna på sin egna servrar eller servrar som står i deras nät är det få saker som kan hindra dig från att testa dem så mycket man vill. Vi regelbundet gör både automatiska och manuella granskningar i mitt team på 99-100% av vårt nät med 10.000+ tjänster/servrar. Tjänster däremot man köper i molnet (som ligger utanför ens egna nät) är det viktigt att ha med sådant i avtalet när man köper tjänsten.

I detta fall är det ju ett system som ligger installerat på coops nät på eller annat vis. Annars skulle accessen inte finnas där.
Om det är så att de haft en port öppen på en publik IP-adress borde de definitivt testat att angripa dessa portar/apier regelbundet.Det borde alla organisationer göra som finns tillgängliga på internet.

Det är inte själva POS systemet som är plomberat, det är en bara en vanliga dator med kassaregister. Det är Skatteverkets "svarta låda" som är plomberad och det är en fristående enhet.

Om du syftar på attacken mot Coop så var det en sk supply-chain attack.

Nja. Det har kommit fram mer data om att VSA-serven var åtkomlig från internet. Så inte säkert att attacken var så sofistikerat som det initialt verkade.

https://csirt.divd.nl/2021/07/03/Kaseya-Case-Update/

During the last 48 hours, the number of Kaseya VSA instances that are reachable from the internet has dropped from over 2.200 to less than 140 in our last scan today. And, by working closely with our trusted partners and national CERTs, the number of servers in The Netherlands has dropped to zero. A good demonstration of how a cooperative network of security-minded organizations can be very effective during a nasty crisis.

Edit: I detta fall vet jag inte om det är en server visma har flera kunder. Eller om det är en dedikerad för Coop. Men verkar ju som om VSA-serven exponerats på internet och därav kunnat ta kontroll över allt. Och enligt andra nyheter om Coop på Gotland var de skyddade genom att de hade confat en FW bättre.

Så någon har ju exponerat en sårbar management-server på internet.

Det är väl hela synen på det här med centraliserade outsourceade tjänster. Det är bekvämt och kostar till synes inte så värst mycket. Säkerheten blir inte bättre än den såsigaste medarbetaren hos tredje part.

Tänkte mer på hur Coop komprometterades. Självklart måste källan bli smittad först. Jag missförstod dig.

Kaseya VSA är ju en MSP produkt som är till för att just hantera flera kunder så det är väl inte helt orimligt att anta att fler av Visma EssComs kunder kan ha blivit drabbade...

Ja...? Transaktioner lagras fortfarande inte i dessa POS-systemen så det finns det inget hindar en återläsning. Övrig certifierad och ansluten utrustning är ju redan på plats.

Här kan du se alla transaktion och alla konton som någonsin skickat och tagit emot Bitcoin någonsin.
https://www.blockchain.com/explorer

Kan du göra det på Swedbank också? Kanske har USAs riksbank en sådan sida?

Det är svårare än man kan tro att trolla om stora mängder intjuvade BTC/krypto till vita pengar än man kan tro.

Samtidigt, om någon får betalt för ett ransomware så kan man se vilken address som får dessa BTC, man kan sen se var detta konto skickar sina BTC osv osv osv vilket man med lite finess om de inte lyckas snurra bort en, kan se historiken för just denna BTC från dess skapelse, till idag. Knappast mindre spårbart än fysiska kontanter.

Men precis som med kontanter går det såklart att snurra bort systemet, bo i ett land där ingen kommer åt en osv osv..

Istället för att skylla på demokratiska kryptovalutor kanske vi ska fokusera på att inte ha värdelösa IT-system. Det och att ALDRIG betala lösensumman. Varför betalar inte Sverige lösensumma till terrorister som kidnappat svenskar exempelvis? Det hade lett till att svenskar inte kunnat vistas utomlands.

Det är dessa två saker och INGET annat som möjliggör denna typ av attack.

Kanske, men det övertygar inte så värst. HA-HA vi kan minsann stänga ner ert kassasystem i en av 10 matvarukedjor och en av 15 bensinmackar! Nu kommer ni dö den farliga döden. Skulle det ha varit kris/slut på mat/krig på riktigt hade man såklart börjat ta kontanter eller andra medel på Coop för länge sen. För att hindra det hade man behövt slå ut alla banker och bankomater också.

Jag är inte helt övertygad att som många är inne på ha mer intelligens på det lokala systemet i butikerna. Ju mer centraliserat och mindre intelligens på de lokala enheterna det finns desto lättare är det att återställa dessa vid ett haveri. Tänk vilken mardröm det hade varit att ha mer decentraliserat med lokala databaser vid ett stort haveri. Deras centrala server verkar de fått upp fort om den ens låg nere med tanke på att det gått att betala med en app.

Själva kassorna har gått från att vara specialtillverkad hårdvara till standard PCs p.g.a. storskalighetsfördelar, så det kommer nog inte ändras i första taget. Det är lättare att få service, lättare att bara plocka bort en PC och ställa dit en ny, det blir billigare o.s.v. Sedan vill man att kassan ska klara sig utan servern ett tag, och det är inte rocket science att göra ett sådant system. En slags information går ut till kassan; priser, artiklar o.s.v., och upp till servern går data om försäljningen. Så en kassa kan köra utan servern ett tag, och när servern blir tillgänglig igen synkas informationen.

Så det finns sådana fördelar med att ha viss intelligens i kassorna att jag har svårt att se att de skulle kunna vara dumma terminaler. Däremot borde det vara tämligen lätt att återinstallera en kassa. Starta Windows-installation, vänta, installera kassamjukvara (om den redan inte är med i Windows-installation, vad vet jag?), och göra litet config, typ kassa-ID. Så det mesta av datan finns säkert både ute i kassorna, på butikens server och säkert på en central server någonstans.

Jag skulle gissa på att det som tar tid vid en total återinstallation är ett någon eller några måste åka ut till en butik, stänga av allt, köra igång installationerna och verifiera att allt gått bra. Speciellt efter en sådan här attack så är man nog extra noggrann med att allt går i rätt ordning och med verifieringen. Om servern gått ner innan kassorna kan det bli litet mer jobb för att inte tappa data om den försäljning som skett efter det att servern gick ner.