Dette er vores officielle respons på en pressemeddelelse frigivet af HoldSecurity under overskriften: "YOU HAVE BEEN HACKED!" hvor selskabet hævder at have indsamlet 1.2 milliarder e-mail adresser og tilhørende passwords fra en cyberkriminel ring, døbt "Cybervor". Pressemeddelelsen kan findes her: http://www.holdsecurity.com/news/cybervor-breach/
HoldSecurity beskriver hvordan en efterforskning af en russisk gruppe af cyberkriminelle har givet adgang til flere end 1.2 milliarder e-mail adresser og passwords. Pressemeddelsen lander på et tidspunkt hvor BlackHat og Defcon løber af stablen i USA, men også belejligt på samme tid, hvor Hold Secuirty lancerer en kommerciel datalækage service. Dette er vigtigt at have i baghovedet når man læser pressemeddelelsen og inden man går i panik, og får kaffen galt i halsen …
Det er astrononomiske tal som præsenteres i pressemeddelelsen. De kan være umulige at forholde sig til, men ikke desto mindre er der flere ting, man skal have med i betragtningen:
1) Hovedparten af alle Internet brugere har flere profiler/konti på Internettet som giver adgang til forskellige services. Der er således ikke tale om 1.2 millioner unikke brugere, men et betydeligt mindre antal.
2) Operationen og gruppen som Hold Security har døbt ”CyberVor” er ikke unik fra andre cyberkriminelle grupper som CSIS monitorerer i det daglige. De 1.2 milliarder kompromitterede e-mail adresser og passwords er ikke lækket eller kompromitteret over en nat men snarere over en længere periode hvor samme gruppe har købt sig til data hos andre cyberkriminelle hvorved de let har danne sig et fundament hvorfra de har kunnet indsamle den store mænge data.
3) IT-kriminelle har i årevis solgt brugernavne og passwords samt traffik til andre kriminelle. De høstede data anvendes til at tjene penge og er ikke et unikt fænomen. Det er uden tvivl en stor spirende undergrundsøkonomi men den er ikke opstået ud af det blå men udviklet sig over år.
100.000 inficerede maskiner i Danmark
I Danmark har CSIS dokumentation for at op imod 100.000 brugere er inficeret med malware/virus og koblet ind i et BOTnet. Hvis vi antager, at hver enkelt bruger anvender ca. 20 forskellige services på Internettet, så som Gmail, Hotmail, Twitter, Facebook osv. kan vi nå frem til et tal for Danmark der ligger på 2-3 millioner konti. Dertil skal ligges alle de websider som er usikre, og som uden at vide det, kan misbruges til at høste sensitive data, som slutbrugeren selv har oprettet, da de etablerede en konto/profil på den pågældende webside/service.
De mange lækkede data stammer fra primært to kilder. For det første fra websider som ikke er forsvarligt sikrede og som er sårbare overfor banale angreb der gør det muligt at udtrække data, og for det andet hos den almindelige slutbruger, som uden at vide det kan være del af et BOTnet fordi maskinen de anvender ikke er sikker og inficeret med virus/malware.
Løsningen på problemet skal deles op i to; dels skal webside ejerne have bedre styr på sikkerheden. Det kan de bl.a. opnå ved at gennemføre tekniske sårbarhedsscanninger og implementere to-faktor autentifikation (2FA). Og dels skal almindelige slutbrugere have bedre styr på deres software og malware beskyttelse. En stor andel af maskiner, som lækker data, er indrullet i et såkaldt BOTnet (en klynge af virusinficerede maskiner som er under kontrol af kriminelle). Årsagen til at man lander i et BOTnet er hyppigt, at man ikke har opdateret sin software på systemet (primært tredjepartsprogrammer) og usikker brugeradfærd. Heimdal, som er gratis til ikke kommerciel brug, kan automatisk sikre at maskinen løbende opdateres, ligesom Secure DNS kan beskytte mod datalækage. Heimdal kan downloades fra: https://heimdalsecurity.com
Webside ejere
Webside ejere bør sikre at deres webside(r) er forsvarligt beskyttede og ikke sårbare overfor eksempelvis klassiske SQLi angreb. Samtidig bør man overveje at implementere To-faktor-authentifikation (2FA) som flere store serviceudbydere allerede har gjort. 2FA kan medvirke til at beskytte kunder mod misbrug af de services som tilbydes via websiden.
Virksomheder
Danske virksomheder kan kontakte CSIS på kontakt@csis.dk eller på vores hovednummer: 88136030. Vi kan bl.a. hjælpe med at illustrere virksomhedens risikoprofil og gennemføre effektiv anti-datalækage tiltag.
↧
CSIS Nyheder: "CyberVor" og datalækage problematikken
↧