IT sikkerhed: En historie fra den virkelig verden med

Det her er ikke et tænkt eksempel, det er fra den virkelig verden. Det er nogle år siden det er sket. Alle oplysninger der kan identificere virksomheden, medarbejdere, osv. er fjernet. Nogle detaljer har jeg udfyldt for at det kommer til at give mening at læse. Disse detaljer er basseret på de oplysninger jeg har kunne finde og metoder jeg selv ville bruge hvis jeg skulle gøre det samme. Det er lidt en gyser faktisk og det var så tæt på at gå galt som det overhoved kunne, det var held at det ikke gjorde.

Virksomheden kunne have mistet alt, men endte med ikke at miste noget. Og det der kunne have forhindret dette var noget så simpelt som et stærkt og unikt kodeord.

De fleste tænker ikke over det, men hvis du en dag får en mail hvor der står “Nulstilling af adgangskode for XXXXXXX” på et domæne du har haft på et tidspunkt. Ville du klikke på linket? De fleste ville.

For hvad er nu det. Det domæne har du jo ikke længere, hvorfor kommer der en mail om at nulstille din kode.

De fleste ville også uden at tøve nulstille deres kode på siden…

Her er en historie om hvordan det næsten var gået rigtig galt i en virksomhed, da de næsten gik i fælden…

En virksomhed jeg hjalp på et tidspunkt fik en mail med netop emnet “Nulstilling af adgangskode for XXXXXXX”, virksomheden var i en størrelse hvor den der læser mails ikke ved præcist hvad der foregår i hele virksomheden og efter at have modtage samme mail flere gange over nogle dage blev den sendt videre til en som vidste mere.

Personen der endte med at sidde med mailen var 100% sikker på at de havde slettet det domæne og gik derfor ind på domæne for at se om det ikke var væk.

Han blev mødt af en besked om “Maintenance mode” eller på dansk “vedligeholdelse tilstand” hvilket dels var frustrerende at han ikke kunne se siden, men samtidig også frustrerende at de åbenbart stadig havde det domæne som han ellers havde bedt en anden om at fjerne.

Koden blev nulstillet og siden viste sig at være tom og mere blev der ikke tænkt over det. Han sendte det nu videre i systemet at domænet skulle lukkes og der skete så ikke mere hos ham. Medarbejderen der skulle slette domænet kiggede på det og vendte tilbage og sagde det ikke var deres domæne længere. Sikkerhed var ikke første tanke her, forståeligt nok…

Her er hvad hackeren havde gjort

Det virksomheden ikke var klar over var at netop dette domæne var blevet købt af en hacker, hvis eneste mål var at få adgang til data på sidens nuværende hjemmeside og få adgang til interne oplysninger derfra og det var meget tæt på at lykkes. Uhyggelig tæt faktisk.

Hackeren havde fundet at domænet ledigt og ved at kigge på hvad der var på siden tidligere fandt personen ud af hvilke e-mail adresser der var blevet brugt på siden og derefter havde han oprettet disse mail konti og ventede på at der kom mails ind.

Imellem tiden blev der oprette en hjemmeside, som egentlig bare var en tom installation af et system og sat en side med “Maintenance mode” på forsiden, og det var ikke tilfældigt at det var sådan en besked der blev sat. Det eneste hackeren var ude efter var at få en til at nulstille deres kode, hvilket også skete.

Efter en ganske kort periode havde hackeren nok oplysninger til at kunne se at domæne havde været aktivt og der kom brugbare oplysninger ind og hackeren begyndte derfor at sende nulstillings e-mail til virksomhedens primære mail.

Medarbejderen loggede ind, som hackeren havde planlagt. Hos denne person forsvandt den kritiske tankegang med det samme da frustrationerne omkring det ikke slettede domæne og Maintenance mode beskeden kom, derfor blev der slækket på sikkerheden omkring valg af kode. Der blev indtastet et kodeord som denne person bruger på alt… Nu havde hackeren dette kodeord.

Kort tid efter forsvandt hjemmesiden igen og der blev ikke tænkt mere over det.

Helvedes weekend

Der var gået noget tid og alle havde glemt om dette domæne, det var blevet weekend og virksomheden opdagede at deres side var nede. Præcist hvordan de opdagede det er jeg aldrig rigtig blevet klar over, da der var en del forvirring, men nede var siden og i starten var der ingen som tænkte at der var mere galt end at den blot var nede. Siden var bare blank og de kontaktede dem der stod deres IT, men pga. weekend svarede de ikke med det samme.

Det er så her jeg kom ind i billedet, for jeg blev spurgt om jeg kunne hjælpe med at få siden til at virke igen inden IT folkene svarede.. og jeg kunne da forsøge, for det lignede jo at siden var blevet hacket, basseret på hvad jeg kunne se (eller ikke kunne se). Jeg fik login til serveren og alt det jeg skulle bruge og fik hurtigt siden op igen, da det eneste der var gjort var at en fil var ødelagt (tømt), hvilket ikke er normalt når man ser en hacket side.

Ud fra at der intet andet var galt så måtte jeg konstatere at det ikke alligevel lignede at den var hacket, men at det var mystisk at filen bare var tømt pludseligt, specielt i en weekend hvor de jo ikke arbejde på den. Så jeg gendannede filen som den burde se ud, ud fra en kopi og så måtte de lige se nærmere på det efter weekenden.

Men ingen kunne sige om der var nogen som arbejde på siden i weekenden med sikkerhed og medarbejderen kiggede det igennem og alt så ud som det skulle, ingen tegn på at noget andet var galt og mit arbejde var færdigt for nu og de ville vende tilbage uden efter når de havde fået svar fra deres IT afdeling omkring det.

Deres IT folk vendte tilbage og sagde alt så fint ud og de gik ud fra det var en system fejl som de ville se nærmere på senere. En system fejl var det bestemt også var, men nok den mest heldige systemfejl overhoved, for uden denne fejl ville de ikke have kigget nærmere.

Imens alt det her sker, så var hackeren i gang med noget der kunne nedlægge virksomheden helt. Men først, vil jeg lige fortælle hvorfor filen var tømt.

Hvad skete der med den ødelagte fil

Det der skete med den ødelagte fil var faktisk super heldigt, for hvis det ikke var sket så ville virksomheden ikke have opdaget dette angreb. På deres hjemmeside var der flere under domæner (altså flere servere man kunne tilgå via en intern portal) og udover disse under domæner var der en hjemmeside som kunderne kunne se. På deres side havde de et sikkerhed system og dette system var skyld i at filen blev ødelagt.

Normalt skulle dette sikkerhedssystem blokere for trafik udefra, altså hvis man besøgte sidens kontrolpanel fra et andet land eller man lavede noget mistænkeligt og så skulle den blokere for adgang for den IP adresse. Det der skete i stedet var når hackeren loggede ind på siden, så opdagede dette system at personen ikke var fra Danmark og derfor aktiverede systemet blokeringen af IP adressen.

I stedet for at tilføje hackerens IP adresse til filen, så skete der en fejl når den skulle gemme ændringen og filen blev derfor gemt tom / ødelagt.

Så derfor gik siden ned i stedet og hackerens adgang til hjemmesiden blev blokeret ved at filen ikke virkede længere.

Hvad lavede hackeren imens

Siden var gået ned, men hackeren havde adgang til virksomhedens portal, hvor en liste med deres subdomæner stod, herunder hvad der burde være der interne drev, men som var gjort tilgængeligt udefra, så folk kunne tilgå dem hjemmeside (ligesom man kan med cloud løsninger).

Hackeren havde koden fra medarbejderen og var derfor logget ind som medarbejderen og her var der ikke sikkerhed til at forhindre det.

Hackeren loggede ind i deres interne drev og havde fundet frem til dokumenter med flere koder til blandt andet e-mail og bruger systemet, så der blev oprettet en ny bruger til hackeren og der blev sat en forward op på alle mail konti så hackerens nye e-mail hos virksomheden nu fik en kopi.

Efter angrebet blev stoppet

Nu efter angrebet var stoppet ved jeg så at hackeren aldrig fik adgang til mere i virksomheden, fordi personen ventede på noget og derfor ikke lavede nogen skade nogen steder og ud fra log filer var det der heller ikke lavet kopier eller åbnet kritiske filer udover filen med koder til andre dele (som så blev skiftet).

Mail kontoen blev ikke tilgået efter den var oprettet og der blev derfor heller ikke sendt nogle mail videre til hackeren.

Fordi hackeren åbenbart ventede med at gøre mere og formentlig har ledt efter noget specifikt, så gav det IT folkene tid til at gennemgå log filerne. De fandt ud af, at den samme IP der var skyld i den ødelagte fil også loggede ind i deres portal og tilgik andre dele af systemerne. Hvorefter de så også opdagede at der var oprettet en mail konto og password filen var tilgået. De fik derfor hurtigt skiftet koder på alle konti, og tvunget alle til at logge ud og fik ændret deres procedure for passwords.

Hvad kunne der være sket

Nu ved vi ikke hvad hackeren faktisk ledte efter, men på grund af den virksomhed det var, så er min formodning at der blev ledt efter adgang til en af virksomhedens kunders data eller adgang til et andet kontrolpanel der ville give adgang til et større netværk af servere, men det er bare spekulationer, for jeg ved ikke hvor meget hackeren vidste om virksomheden, men angrebet var 100% målrettet dem på grund af måden det var udført på.

Hackeren kunne have slettet alle deres interne filer og backups, da der faktisk var adgang til det hvis der blev ledt lidt mere efter det og med nok tid kunne det give adgang til kontrolpanelet til deres større netværk med kunde data. Det ville have ruineret virksomheden hvis det skete.

Hvordan ved jeg at det var den falske hjemmeside der var skyld i det

Det ved jeg som sådan heller ikke med sikkerhed, men på grund af den tidsramme det her skete i og at det var denne specifikke medarbejders login der var blevet misbrugt, så har vi måtte konkludere at det var den falske side der blev brugt til at skaffe adgangen.

Hvad kunne forhindre det her

Hvis der var benyttet en password manager og unikke sikre adgangskoder til alle steder man logger ind, så ville dette aldrig være sket. Fordi denne medarbejder indtastede en usikker kode som var brugt rigtig mange steder, så gav det hackeren adgang til kritiske systemer der kunne være undgået hvis alle koder var unikke.

Min anbefaling er derfor at bruge noget som Bitwarden til at sikre dine koder.

GÅ IKKE GLIP AF NOGET

Vær blandt de første til at få besked, når vores seneste artikler bliver udgivet ved at tilmelde dig vores ugentlige nyhedsbrev!