SweKerhet - tråden om säkerhet

https://ileakage.com/

"We present iLeakage, a transient execution side channel targeting the Safari web browser present on Macs, iPads and iPhones. iLeakage shows that the Spectre attack is still relevant and exploitable, even after nearly 6 years of effort to mitigate it since its discovery. We show how an attacker can induce Safari to render an arbitrary webpage, subsequently recovering sensitive information present within it using speculative execution. In particular, we demonstrate how Safari allows a malicious webpage to recover secrets from popular high-value targets, such as Gmail inbox content. Finally, we demonstrate the recovery of passwords, in case these are autofilled by credential managers."

Microsoft gör satsning på att stärka cybersäkerheten...
https://omni.se/microsoft-gor-satsning-pa-att-starka-cybersak...

Kinas största bank: ICBC drabbad utav ransomware.

https://www.ft.com/content/8dd2446b-c8da-4854-9edc-bf841069cc...

Svenska kyrkan drabbad utav ransomware.

https://www.svt.se/nyheter/lokalt/dalarna/svenska-kyrkan-bekr...

Bra att de inte betalar ut. För det stora säkerhetsproblemet idag heter pengar att tjäna.
Det är lite därför man hör så sällan talas om bankrån idag..

Någon här som har erfarenhet av flera AV/EDR-lösningar på systemen? För mig har det alltid varit ett "big no no" att köra det, vilket t.ex. av-comparatives med tycker: https://www.av-comparatives.org/why-you-should-never-have-mul...

Det finns såklart flera aspekter i det, både när det gäller förmågan att döda processer/ta bort filer och prestandapåverkan. Anledningen till att ha flera är väl att öka skyddet, men personligen tror jag det är bättre att välja det man tror är bäst och köra på det.

Sen har vi frågan om traditionellt signaturbaserat skydd kontra "next gen", som helt jobbar med beteende. Generellt tycker jag att de tester som finns visar på att "next gen" har sämre skydd och fler false positives än traditionella skydd. Att i princip allt upptäcks vid exekvering ser jag som en rätt stor nackdel med .En kombination av dessa där båda delarna är bra verkar helt klart bäst, där ser t.ex. Kaspersky ha lyckats rätt bra. Man vill ju ha något som tar "simpla" cryptolockers såväl som avancerade attackkedjor.
Speciellt ni som suttit/sitter i en SOC, vad har ni för erfarenheter av detta? Vilka EDR (som jag gissar att många företag gått eller går över till) har ni bra erfarenheter av? Det ska ju inte loggas/varnas om för mycket irrelevant så att det som är på riktigt försvinner i mängden, men inte heller påverka systemen alltför mycket heller.

Hur det funkar vet jag redan, jag var ute efter erfarenheter/åsikter/diskussion om dem.

Kaspersky är pga Rysslandskopplingen inte aktuellt på många ställen, men oavsett det så verkar deras produkter vara bäst både i syntetiska tester och "riktiga" scenarios. Hur de är på management-sidan vet jag dock inte då jag aldrig har jobbat med deras enterprise-produkter.

Skulle det vara OK att vi pratar lite om tjänster och arbetsgivare?

Det börjar bli dags för mig att söka nytt och har börjat scanna av marknaden. Lite förenklat ser det ut som de roller som finns att söka är (på svenska eller engelska):
- (Cyber-/IT-/Information-) Security Specialist
- (Cyber-/IT-/Information-) Security Officer
- (Cyber/IT) Security Engineer
- (Cyber/Cloud/IT) Security Architect
- (Cyber/IT) Security Analyst
- DevSecOps Engineer
- Penetration Tester
- CISO/Informationssäkerhetsansvarig

... Och ibland prefixat av "lead" eller "senior" ....

I arbetsbeskrivningarna kan man så klart hitta mer detaljer och inriktningar, men håller ni med om att hela vårt område tycks rymmas inom detta urval titlar?

Spontant känns det som att du saknar mycket på röda sidan, men kanske inte är av intresse?
Även inte mycket inom forensik.

Några till titlar.
Cyber Threat Intelligence Officer.
(Cyber-/IT-/Information-)Incident Responder
IT Security and Risk Officer.
SOC Analyst
IT-Säkerhetsanalytiker.

Tack för er input!

Självklart finns det roller inom threat intelligence, incident response, risk och SOC som du skriver, @BergEr. Men vad jag reflekterade över i mitt inlägg var att dessa otaliga specialiseringar faller in under någon av de (i mitt tycke, ändå relativt få) titlar jag listade. Men du har nog rätt. Så klart finns det "forensiker", t ex.

Är det förresten någon som jobbar för ett företag som saknar kontor i Sverige som kan berätta hur det är? Det finns ganska många sådana tjänster att hitta, men för mig känns tanken väldigt abstrakt.

Man kan tycka att det ska göra det, men i praktiken är det olika titlar.

Kollar man på stället jag jobbar så har vi nog omkring 30 olika titlar på personerna som jobbar inom cybersec.

En varning till andra, idag runt kl 0900 försökte någon logga in i mitt Tradera konto men blev stoppad av "ny enhet" och 2FA. Uppenbarligen en robot-inloggning, för sekunder efter försökte de logga in på Paypal kontot med samma mejl/lösen. Också stoppad av SMS verifiering. Paypal kontot är all data på raderad sedan länge men fortfarande.

Varken mejl eller lösenord är av en känd läcka och finns ej på haveibeenpwned. Inte heller är någon av mina enheter kompromissade. Det finns någon ny läcka, lösenordet var ett jag delade på flera sajter och slutade använda cirka 4-5 år sedan. Och har ej använt på skumma sidor.

Mjo, det finns ju alltid en ny läcka, känns det som.
(Det kan väl iofs inte 100% uteslutas att du fått in någon skit på någon enhet, även om det inte upptäckts... är ju lite samma sak ur det perspektivet, det är svårt att veta ända tills det är konstaterat.)

I min värld understryker detta främst varför man inte ska återanvända lösenord, samt då att 2FA är en bra grej.

@evil penguin
Om någon av mina enheter hade kompromissats hade väl mina nuvarande lösenord läckt snarare än ett till sajter jag inte loggat in på de senaste 4-5 åren? . Men det gav en en kick i röven att ändra lösen även på dessa gamla inaktiva konton. En del har väl personlig data om något.

Sannolikt (eller allt, eller ...).

https://www.openwall.com/lists/oss-security/2024/03/29/4 festlig grej:
"backdoor in upstream xz/liblzma leading to ssh server compromise"

Verkar ha fångats upp tillräckligt snabbt för att minimera skadan, men ändå...

Sedär, LockBitSupp identifierad och sanktionerad:

http://nationalcrimeagency.gov.uk/news/lockbit-leader-unmaske...

Det verkar inte finnas någon tråd om denna sårbarhet, så det kanske passar här.

Länkar
Pappret av Gollier och Vanhoef.

Video (rätt usel).

Jouni Malinens förslag till IEEE om åtgärd. Malinen är snubben som underhåller wpa-supplicant/hostapd på w1.fi. Förslaget är nummer 2 av det som Vanhoef et. al. föreslår, att göra en bakåtkompatibel förändring så att klienter som stödjer det kan verifiera SSID:t.

Min sammanfattning
Sårbarheten är en typ av MITM + downgrade-attack där man ser till att Wi-Fi-klienten (a.k.a supplicant, STA) kopplar upp till fel SSID/AP. Nyttan för den som utför attacken kan vara:

1) Att den felaktiga AP:n är mindre säker (har andra kända sårbarheter i Wi-Fi-protokollen)
2) Att klienten stänger av VPN automatiskt när den tror att den är uppkopplad mot en AP där VPN:et inte behövs.
3) Att AP:n ägs av någon helt annan än den organisation som äger den AP man tror man är uppkopplad mot, vilket gör att man kan kartlägga trafik och göra attacker med hjälp av 1 och 2.

En förutsättning för attacken är att användaren har samma "lösenord" (i vid bemärkelse) på flera SSID:n. Mannen i mitten kommer skicka visare all trafik som den är, förutom att SSID byts ut i meddelandena. Problemet är att klienten tror att den anslutit till SSID A och använt lösenord X, men den har egentligen blivit lurad att ansluta till SSID B med lösenord X.

Det är alltså inte en attack där den som utför attacken kan få tag i några lösenord/nycklar eller dekryptera krypterad trafik i Wi-Fi-gränssnittet. Så vitt jag förstår i alla fall.

802.11x (dvs Enterprise-Wi-Fi), inkluisive certifikatsbaserad ömsesisdig verifiering är sårbart under de flesta omständigheter. WEP (som ingen använder längre) är sårbart. WPA3 är sårbart i praktiken eftersom AP:er verkar tillåta både den sårbara och den icke sårbara varianten. WPA1/2 är inte sårbart, eftersom de alltid har SSID:t som del av krypteringsnyckeln. WPA1 är förstås komplett knäckt i övrigt. Se pappret för de lite mer ovanliga varianterna.

För den normala avändaren
Kan det vara lite intressant att veta att det finns en viss nackdel med att använda samma lösenord på flera olika SSID:n. Man kan inte vara säker på vilket av dem man egentligen är ansluten till, under alla omständigheter.

Så vitt jag förstår innebär Malinens förslag ändring i både AP och klient, vilket i praktiken betyder att man inte vill lösa problemet eftersom AP:er sällan blir uppdaterade. Hade jag varit klientimplementatör hade jag nog helt enkelt vägrat att koppla upp till den sårbara varianten av WPA3 och till 802.11x-AP:er som inte skickar verifierbart SSID.