Dator på vift – en stor säkerhetsrisk

Informationssäkerhet , Nyhet , Systematiskt säkerhetsarbete , Verksamhetsskydd
måndag 4 juli 2022

Vi på Basalt kontaktades av en kund som ville ta reda på hur illa det kunde gå om en av företagets datorer blev stulen eller borttappad. Vår kund var osäker på vilka skyddsmekanismer som var installerade och om de faktiskt skulle fungera ifall en företagsdator hamnade i orätta händer.

Det visade sig att Basalt inte bara lyckades få tillgång till informationen i själva datorn, utan även full kontroll av alla anslutna företagsdatorer i hela nätverket och dess mest känsliga system. Affärs- och ekonomisystem, mejl, inloggningsuppgifter, personuppgifter och HR-dokument är bara exempel på vad vi fick tillgång till i detta uppdrag.

När lösenord inte räcker till

Enligt kunden var ju datorn nerlåst med lösenord. Hur kunde en stulen, borttappad eller glömd dator leda till detta?

Det absolut viktigaste som kunden hade glömt i detta fall var att kryptera hårddiskarna på företagsdatorn. När diskkryptering saknas finns det inget skydd mot att en angripare kan läsa eller ändra innehåll på datorn trots att du har ett lösenord aktiverat i Windows. Denna typ av attack går att göra på många olika sätt, allt från att enkelt ta ut den fysiska hårddisken till att använda en USB-sticka

När Basalt hade fått åtkomst till företagsdatorn kunde vi i klartext läsa känslig information från sparade filer, men också få tillgång användarens lösenord. Med hjälp av de funna lösenorden kunde vi via företagsdatorn få access till företagsnätverket genom att låtsas vara personen som ägde datorn och därmed ansluta till de olika tjänsterna som personen hade åtkomst till.

Så kommer en angripare åt din information

När en angripare har fått fotfäste i en kunds miljö, denna gång via en stulen dator, så är det vanligt att man söker sig vidare efter mer intressanta system på kontorsnätverket. Vanligtvis så väljer en angripare sitt nästa system efter hur intressant eller hur sårbart systemet är, denna process försöker även vi att återskapa i vår test-metodik.

Basalt använder alltid en adaptiv metodik, det vill säga att vi i varje kunduppdrag agerar som verkliga angripare och letar därför efter den enklaste vägen in i ett nätverk. Vägen dit kan se olika ut, men vanligtvis kartlägger den som gör det riktiga intrånget följande svagheter:

Har användaren administratörsrättigheter på andra datorer i nätverket?
Har användaren åtkomst till känsliga filer med fler lösenord på nätverket?
Har användaren åtkomster eller rättigheter som kan missbrukas på nätverket?
Kan användaren komma åt äldre maskiner på nätverket som inte har fått säkerhetsuppdateringar på länge och som kan exploateras? (Teknikskuld är en klassisk fälla där gammal teknik kan innebära större sårbarhet)
Och så vidare…

I detta fall visade det sig att kunden inte bara hade glömt att kryptera diskarna på sina företagsdatorer, utan även hade fuskat med uppdateringar på äldre maskiner i nätverket som blev den svaga länken och vår väg in.

När man inte uppdaterar sin it-miljö så öppnar man sig inte bara upp för att en angripare enkelt kan navigera sig vidare i nätverket men det ökar även risken för att virus och ransomeware sprider sig snabbt och får enkelt fotfäste i nätverket med hjälp av kända sårbarheter, vilket kan leda till låsta datorer och en utpressare som börjar kräva pengar.

Hur hade kunden kunnat undvika detta?

När en angripare väl har fått ett fotfäste i en företagsmiljö, via en laptop eller genom att en användare har klickat på ett illasinnat mejl från nätfiske, så brukar det gå väldigt fort att hitta en väg framåt. Men det finns sätt att undvika detta. Efter ett avslutat arbete med Basalt så hjälper vi alltid kunden framåt med konkreta åtgärder eller rekommendationer till åtgärder kunden kan ta till att förbättra sin it-miljö.

Vi ser att många företag glömmer att skydda sina klientdatorer så vi vill gärna gå ut följande råd för att hjälpa fler att öka säkerheten, både i företagsdatorer och sin it-miljö.

Basalt rekommenderar

Om du vill undvika de vanligaste attackerna mot stulna eller glömda företagsdatorer rekommenderar vi följande åtgärder.

För dina datorer:

Kryptera hårddisken
För att undvika att någon kommer åt informationen när datorn är avstängd.
Använd BIOS- och UEFI-lösenord
För att inte obehöriga skall kunna ändra bootmedium eller inställningar på datorn.
Aktivera secure boot
För att förhindra rootkit eller annan skadlig kod ersätter din startladdare eller manipulerar den, tillåter UEFI inte operativsystemet att starta.
Aktivera pre-boot PIN
En PIN-kod före start förhindrar att krypteringsnyckeln automatiskt laddas in i systemminnet under startprocessen, vilket skyddar mot direkt minnesåtkomst (DMA).
Avaktivera viloläge
Se till datorn transporteras samt lämnas i avstängt läge för att undvika att känslig information lagras i minnet. (Krypteringsnycklar till hårddiskar kan angripas med DMA attacker på datorer i viloläge med verktyg som exempel PCILeech.)

För din it-miljö:

Se till att de senaste säkerhetsuppdateringarna tillämpas.
Se till att säkerhetsövervakning och logghantering samt backup av viktiga system finns på plats om olyckan är framme.
Se till att företaget använder en stark lösenordspolicy och ställer krav på komplexa lösenord på alla viktiga system och användarkonton.
Genomför regelbundna nätverksrevisioner och regelbundna penetrationstester för att identifiera era svaga länkar i nätverket.

Det finns alltid utrymme för förbättringar, både när det gäller att säkra företagets datorer, it-miljön eller att utbilda personalen. Att arbeta systematiskt med sitt säkerhetsarbete är en av de största faktorerna till att sårbarheter kan upptäckas i god tid. Om du regelbundet genomför granskningar ligger du steget före.

Författare

Fredrik Sandström
Senior it-säkerhetskonsult

Vi på Basalt finns självklart tillgängliga för att hjälpa ditt företag med alla dessa ansträngningar. Vi ser till att kontrollera om samtliga säkerhetsrekommendationer finns på plats, så att er information ska skyddas om en dator olyckligtvis hamnar på vift. Om du har några frågor eller vill veta mer om hur vi kan hjälpa just dig så kan du kontakta oss direkt.

Kontakta oss

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning