tisdag 20 november 2012

LinkedIn phishing

Nyss hemkommen från senaste OWASP Sweden kvällen. Kollar inkorgen. Massa mail. Bland annat ett mail från LinkedIn. Min vana trogen klickar jag inte på länken, utan går till LinkedIn och kollar. Ser där... att det INTE kommit något nytt meddelande eller någon ny invite.

För mailet jag fick var ett phishing mail, skickat till precis den adressen jag har registrerad hos LinkedIn. Ja, just det. LinkedIn hade ju intrång för ett tag sedan.

Now that is phishing as it should be! ;-) Precis med deras grafiska profil, till rätt låda. Lär bli en hög hitrate på den kampanjen.

onsdag 7 november 2012

Fyra buggar hos Coca-Cola, spela freestyle med SEC

Bloomberg har publicerat en lite längre artikel som tar avstamp i ett intrång hos Coca-Cola som skedde 2009. Tre dagar efter att inkräktarna hade laddat hem all information de kunde hitta om en pågående miljardaffär, sprack affären. Oj oj...

Kanske är sådant som amerikanska SEC avser skall rapporteras när de numera kräver att offentliga företag skall rapportera intrång? Det tyckte inte chefer på Coca-Cola, och inte på något annat företag heller, för enligt Bloomberg har INGET företag som lyder under SECs regelverk rapporterat intrång, trots att det handlar om miljardbelopp.

Och visst har de incitament för att inte tycka så. Det är ju ett misslyckande ifall de tappar miljardaffärer på grund av att de inte lyckats hålla informationen hemlig. Ett misslyckande som investerare (eller högre chefer) inte är så glada för. Så kan man komma undan med att inte säga något... kanske man inte säger något? SEC har ju dessutom aldrig delat ut några böter för den som inte följt det här, så vad skulle man egentligen riskera?

Finns gott om skäl att vara tyst om det, men hittills väldigt få skäl att basunera ut det till allmänheten, i synnerhet om chanserna att få fast din antagonist bedöms som mycket låg.



Artikeln tar dock upp ytterligare fall där intrång upptäckts men man har lagt locket på även inom företaget. Samma principer finns ju även där - det finns anledningar att hålla tyst om det. Men internt finns det också anledningar att prata om det. Jag är en stark anhängare till att lära sig av incidenter, och i fallet med att en incident har hänt på DITT företag är värdet så mycket högre.

Men... jag är ju insatt i just IT-säkerhetsfrågorna. Undrar just hur en investerare som sitter och rullar miljoner och miljarder tänker om det? Har de en susning om hur illa verkligheten ser ut? Att nästan vartenda företag är enkelt tillgängligt för den som är intresserad? Skulle det spela någon roll? Det är ju inte direkt att vi har något bra sätt att rapportera risk, och inte heller har vi något bra sätt att koppla ett intrång med 20 000 läckta dokument (eller källkod) till någon pengaklump.

Jag tror såna här frågor ÄR viktiga på hög nivå, men att man helt enkelt inte orkar sätta sig in i komplexitet. På högre nivå är informationssäkerhet bara en av många andra frågor, och ofta en lågprioriterad sådan. Som samhället har vi som säkerhetsfolk en rätt lång bit att gå. Vi måste bli mycket bättre på att kommunicera och sälja vad vi håller på med. Det skrev jag om även efter AppSec 2011, och touchade även ämnet då det uppdagades hur många känsliga videokonferenssystem som står trivialt åtkomliga på Internet.

Betydelsen av det blir bara större ju fler i det högre skiktet som nu får hårda smällar när konsekvenserna av ett undermåligt säkerhetsarbete börjar rulla in. Men det är en svår fråga, och vi lär få vänta många år till. Först när generationen som vuxit upp med hacking även tar över majoriteten av maktpositionerna tror jag på.