Coop-butiker håller stängt efter IT-attack

Ta bara PGP som funnits i trettio år. Förutom matematiken bakom det hela är ju tanken inte superkomplicerad, men fortfarande har inte användarvänligheten hamnat på en nivå så att det är vida använt. Trots att behovet av och intresset för kryptering är större än någonsin.

Det där skämtet var briljant i all sin enkelhet!

Min närmaste COOP butik har öppnat idag tydligen har de fått kasta en hel del färskvaror idag också. Så förhoppningsvis är eländet över denna gången...

Precis som Anton skriver så har Gotland m.fl inte haft samma stora problem som övriga 650+ butikerna eftersom de inte kör med Visma's kassasystem. Vad jag förstått har de haft små störningar, men inte så de behövt stänga butikerna.

I början lät det som att det var servrarna, som körde kassasystemet som var infekterat. Men nu låter det som att det (även) är alla kassa-datorer.

Coop hävdade ju att det inte var dom som var hackade, och att det var leverantören. Men coop borde väll äga sina kassor?

https://omni.se/varje-dator-far-startas-om-bara-ett-satt-ata-...

Apotek Hjärtat är ju också påverkade, har de Coop kassadatorer?

Coops äger nog sina kassor, ja, som i princip är vanliga datorer utan RGB men med annan hårdvara. Coops leverantör av kassasystemet är Visma Esscom. De tillhandahåller själv mjukvaran och säkert hårdvaran som krävs. Visma använder sig av Kaseyas system för drift av klienter och servrar, så Kaseya är leverantör till Visma, vilket betyder att Kaseyas mjukvara är installerad på de datorer som Visma har sin programvara på. När Kaseya blev hackade så skickades det ut en uppdatering med malware, vilket ledde till att Coop blev infekterade. Huruvida både servrar och klienter är drabbade vet jag inte, men jag antar att det är både och.

För att återställa de drabbade datorerna måste man installera om dem för hand, för att undvika att det finns skadlig kod kvar på dem. När jag gjorde kassasystem var detta ingen komplicerad process, bara att blåsa datorerna, installera om OS och mjukvara och sedan återställa databaser från backup. Troligtvis är det samma för Coop. Men det är en tidskrävande process, varje dator måste besökas av någon som gör detta, och det tar ju en liten stund att installera om från början.

Nej, men frågan var ju även där skillnaden mellan servrar och klienter. När man som butik säger att man indirekt är påverkad. Då någon högre upp i kedjan är påverkad. Innan det kommit ut detaljer låg min gissning på typ någon betalningsgateway eller något, sedan kassa-servrarna som hostas av och hos leverantören. För att nu visa sig även inkludera kassorna i sig. Men det kan ju också vara en försiktighetsåtgärd att installera om kassorna.

Jag tolkar det som att Visma Esscom är teknikerna och att systemet numera heter extenda retail, från när visma retail och extenda går ihop. Enligt google.

Jo det är ju en större process med så många butiker och kassor. Och som du säger kanske man tar det säkra före det osäkra.

Vilken Coop var det?

Vissa Coop butiker öppnade redan igår med Scan&Pay appen som enda betalmöjlighet.
Vi öppnade kl7 imorse som vanligt med Scan&Pay, och hörde nu underkvällen att 2 kassor är igång och fungerande, senare ikväll alla kassor förutom de obemannade. De är sist kvar.

Jämfört med Norrland är nog även Stockholm ett litet ställe

Var skylten som informerade om stängningsdags möjligtvis på ryska?

Ingen RGB??? Inte undra på att dom blev hackade!

Eller så kopplas enheterna upp i väldefinierade butiksstora nätverk, ges globala IPv6-adresser och sedan så sättes en lämplig router/brandvägg där enheter på ett specifikt /64 subnät (kassor) endast ges möjlighet att kommunicera med förutbestämda /64-nätverk i andra delar av landet. Då skulle det vara möjligt att dra nytta av både en uppkopplad, central administrering och även nätverksisolation samtidigt. Då skulle Venis idé om säker överföring av uppdateringar mellan system vara möjligt ekonomiskt.

Rädslan för IPv6 och kärleken till IPv4-style NATets falska trygghet är antagligen största hindret varför detta inte gjorts ännu. IPv4-style NAT hade inte hindrat enheterna från att gå ut till en illasinnad aktör på Internet, men däremot skulle global IPv6 med nätverksisolation förhindra det. Så länge som "experter" förespråkar IPv4-style NAT som lösning för att "minska attackytan", då saknas förståelsen för varför ett system ens är uppkopplat till att börja med och vi kommer stå som tomtar och klia oss under luvan när något liknande händer igen.

Fanns ingen skylt alls. Däremot kom en tjej ut från som jobbar där. Kan inte ha blivit mycket sömn för den tjejen då dom stänger 23:00 och dagen efter så var hon där igen när dom öppnade 06:00. Skylle inte vilja ha ett sånt jobb när man får så lite sömn

De flesta organisationer kör väl redan idag med partitionerade nät? Men problemet här är inte en säker överföring av uppdateringar, vi har idag andra lösningar för det än air gap:ade nät som Veni föreslår. VPN och public key-crypto är ju vardagsmat idag.

I det här fallet var det ju fråga om en supply chain-attack, som gick genom en leverantör till Coops leverantör. Nu handlade det ju om ett företag som sköter driften av klienter och servrar, men det kunde lika gärna ha varit en leverantör av mjukvara. Då blir det ju litet svårare att skydda sig, och säkra överföringar av uppdateringar hjälper inte då uppdateringarna redan är infekterade.

Det här är ett aktuellt problem idag, och det är inte helt trivialt att lösa. Ska man skicka ut tredjepartsleverantörerna och skriva all mjukvara själv? Hur många tjänster ska man dra in på insidan av sitt skyddade nät? Det ska bli spännande att se vad som händer på det här området i framtiden.

Rejält partitionerade nät är sällsynt.

Attacken skulle försvåras av att klienterna inte kan nå ut på Internet. Då skulle de på stor skala behöva agera autonomt från varandra och då ökar sannolikheten att de skulle avslöja sig innan de ställt till med rejäl skada. Dessutom skulle hackers inte kunna få reda på den verkliga effekten det haft.

Spännande tror jag också det kommer bli. Vi kommer behöva lösa problem relaterat till uppströms förråd och supply chain-attacker. Kommer nog många intressanta lösningar på detta tids nog.

Jag fick både mail och SMS om att mitt lokala Coop har öppnat. Det är en ovanligt dyr Coop (vissa varor kostar 20-40% mer än andra Coop) men de har jättebra öppettider. De har mycket kunder (runt 10-11 miljoner per år i omsättning).

Oj det var dyrt. Trodde Coop:s prissättningarna var mer centralt styrda jämfört med ICA där varje handlare sätter priserna själva då dom äger butiken så att säga.

Ja, märkliga påslag. Stora Coop tar 37 kr kg för ett kilo jordnötter (deras egna, budgetvarianten men Willys och Lidl tar 32 kr kg, dessutom har Lidl det i 500g-förpackningar!) medan mitt Coop tog över 50 kr vill jag minnas... de sänkte priset litegrann senare (kanske någon som sagt till) men jag tror Coop-butiken vid centralen jag var på idag har de billigare. Sen letade jag efter ekologiska sesamfrön, Coop/Änglamark. 22 kr på Stora Coop, tror mitt Coop tog 28-30 kr. Ungefär så på en del varor. Jag har aldrig sett en Coop-butik med såna påslag.

Jag handlar nästan bara kampanjvaror på den Coop-butiken. Jag bor så centralt och har nära till många butiker och olika kedjor, finns ingen speciell anledning för mig att göra mina stora inköp där. Sen är det ju en ganska liten butik så de har ju inte ett fullsortiment. Fantastiska öppettider har de dock och de slår till med fina kampanjvaror då och då. Prismedveten kund är jag faktiskt, haha. Samtidigt lägger jag för mycket pengar på mat.

Det är självklart att kostnaderna ökar om man skall öka säkerheten. Som sagt, det fungerade förr i tiden, varför skulle det inte fungera idag? Ett tips är att sänka styrelsens/VD arvode/ersättningar/bonusar när kostnaderna ökar p.g.a. man vill ha en robust och solid säkerhet. Dock är inget system intrångssäkert, men det första man kan börja med gällande Coop är att man kan undvika att tillåta att systemen kan hämta uppdateringar automatiskt och likaså att tillverkarna kan tvinga ut uppdateringar. I detta specifika fall så hade inte Coop blivit drabbat om deras leverantörer hade förhindrat denna typ av uppkoppling så att tillverkare direkt/indirekt kan skicka ut uppdateringar. Man vet ju inte om tillverkarens uppdatering är något att ha förrän man haft den i karantän ett bra tag.

Vad fungerade förr i tiden? Totalt isolerade nät? Utvecklingen har gått förbi det stadiet. Mekaniska kassaapparater? Lagen förhindrar det.

Och vem ska driva igenom det? Det brukar inte fungera så i företag. Men nu när sådana här attacker kommer nog många företag att få annan inställning till säkerhet, och göra mer för att förbättra den. Men det kommer nog inte att komma från styrelsens eller VDs fickor, tyvärr är det ganska ovanligt att sådant sker, och det är ju litet så systemet fungerar. Företag är liksom tvungna att betala en VD ganska bra för att få någon som är kompetent, och det finns inte många kompetenta VDs som konkurrerar med lägre ersättning.

Hela idén med att Visma använder sig av Kaseya är dock att de senare ska komma åt systemen. De har outsource:at driften p.g.a. att de tror att ett externt företag sköter det bättre. Enligt min syn på Visma är det helt korrekt gjort. Senast jag hade något att göra med deras system kunde de inte ens designa en databas...

En vanlig föreställning som du delar med många här på forumet är att säkerhet är antingen på eller av. Om Coop bara hade skärpt sig så hade detta aldrig skett, och nu måste de slå på säkerheten. IT-säkerhet handlar mycket om avvägningar, vilken nivå av säkerhet är praktiskt försvarbar. Handlar det om rikets säkerhet så faller det sig ganska naturligt med en hög säkerhetsnivå, men annars kanske det är lämpligare med en annan nivå av säkerhet.

Det som dock saknas i det här fallet verkar vara en plan för hur man installerar om hela skiten. Personligen tycker jag det är trevligt med system som är lätta att installera och återställa, men tyvärr brukar det oftast finnas någon slags syn på att driftsätter gör man bara ett enda stort jobb, och sedan några mindre jobb väldigt sällan. I det här fallet hade det varit nice med installationsmedia ute i butikerna som någon i personalen hade kunnat använda för att dra igång kassorna från scratch, vilket brukade vara en vanlig lösning på problem på min tid, men det finns väl inget serviceföretag som vill släppa ifrån sig ett sådant jobb. De tjänar mer på att skicka ut någon som gör det.

Det är bara att inse att sånt här händer, och att höja säkerheten till max är inte lösningen. Det som händer nu är att de inblandade företagen tar och ser på vad de kan göra för att sådant här inte ska hända igen. I en perfekt värld kommer de med en bra lösning på problemet med supply chain-attacker, men det räcker bara med att kolla på hur ett vanligt enterprise-system är uppbyggt idag för att inse att vi kanske inte riktigt är där än.