IT sikkerhet i hverdagen

Introduksjon

Tirsdag er en vanlig, men hektisk dag for de fleste av oss. Det er ingen unntak denne uken. Denne tirsdagen fikk jeg samlet sett like under 50 eposter. 35 av de til kontoen jeg forteller om her. Ikke et ukjent antall for mange av oss.

Vi i Stolt IT er stolte av både navn, logo og selskapet vårt. Og vi irriterer oss kanskje litt ekstra over de som ikke klarer å skrive dette riktig. Stoltit for eksempel – ser ikke like bra ut som Stolt IT. Enig? Og kanskje på grunn av det siste, eller kanskje fordi vi ikke liker dersom det skulle være riktig at det var en faktura som ikke var betalt, hang vi oss opp i denne:

Mange vil påstå at den ser tilforlatelig normal ut? Andre vil med en gang se at her er det ugler i mosen.

Vi tilhørte akkurat nå, den siste grupperingen og åpnet Visual Studio som var det jeg hadde lettest tilgjengelig for å åpne filen som var vedlagt.

Som gamle utviklere ligger det fortsatt vårt hjerte nært å få åpne Visual Studio og late som vi fortsatt vet hva vi driver med på den fronten. En HTML fil, er uansett uvanlig å få med som vedlegg. Så vi kjører på.

Nerde-dykket

Tja… hva skal man si? Kryptisk for mange av oss vil jeg tro. Men dette er ganske simple <b>JavaScript</b> (brukt av nettsider til alt mellom himmel og jord) men med «kodet» tekst. Vi mener at vi kjenner igjen formatet og tar en sjans påBase64. Et raskt Google-søk senere har vi funnet en dekoder og pastet inn første streng:

Vi ser raskt at output fra dekoderen blir brått litt mer leselig (her limt inn i Visual Studio igjen):

Nerder som oss kan konkludere med at dette er et script for å sørge for at mange taster og tastekombinasjoner på tastaturet ikke gjør noe lenger. Rett og slett gjøre det umulig å trykke på I eller J tasten for eksempel.

OK. Hvorfor vil noen gjøre dette mot oss da tro? Og stopper det der?
La oss ta det siste først, for dette var jo bare første streng i den opprinnelige filen. Hva med den andre? La oss prøve samme dekoder.
Så da er det ca. dette som går inn i dekoderen:

Og dette som kommer ut:

Jaggu! En HTML side!
Så.. hva gjør den tro?

For sikkerhets skyld analyserer vi HTML-koden i Visual Studio som sist med JavaScriptet og finner flere referanser til «security key»,«password», «userName» osv, osv. Skeptiske og samtidig interesserte, er vel det vi tenker nå.

OK, vi sørger for at scriptet som hindrer oss fra å gjøreting ikke kjører og kjører siden «sandboxed» altså uten at den kan gjøre altfor mye skade på PC’ene våre. Videre lagrer vi HTML siden og starter den –Tada!

Ser det kjent ut?

Oppsummering

Så tilbake til spørsmål; hvorfor vil noen gjøre dette mot oss? Vel, svaret her er at dersom vi (som inkluderte domeneadministrator i Stolt IT) hadde logget inn her, med vår administrator bruker (eller med nokrettigheter til å gjøre ugagn) ville bedriften per definisjon vært hacket. Noen hadde fått vår administratorbruker inkludert domene, brukernavn og passord.

Herfra er det nok bare hackerens fantasi som setter grenser hvis man ikke har gjort jobben sin skikkelig med å sikre seg som bedrift.

Hackerne ville nå hatt full tilgang til blant annet alle våre epostkontoer, mulighet til å slette alle brukerne våre eller stenge oss ute. Alt er svært enkelt for de å gjøre nå. Lese alle dokumenter vi har på Sharepoint og laste ned disse, er en smal sak naturlig. Og det meste av dette ville nok mange bedrifter aldri merket.

Word of advice

Ta sikkerhet på alvor, sørg for god opplæring innad i bedriften på hva som er mistenkelige eposter og hvordan man kan unngå å gå i fella. Ta gjerne kontakt med oss i Stolt IT eller Stolt Security, dersom dere ønsker en dialog på opplæring eller tiltak som kan sette dere i stand til å merke slike angrep før de skjer.

‍