Företaget bakom Coops kassahaveri anklagas för åratal av bristande säkerhet

Permalänk
Melding Plague

Företaget bakom Coops kassahaveri anklagas för åratal av bristande säkerhet

Tidigare anställda menar att företaget haft tid att åtgärda säkerhetsproblem, men ignorerat sårbarheter och säkerhetsprinciper i flera år.

Läs hela artikeln här

Permalänk
Medlem

Har lyssnat mycket på truesec och framför allt Marcus Murray när han föreläst. Skrämmande att sådana här attacker omsätter mer än världens droghandel nu.

Permalänk
Medlem
Citat:

De beskriver även hur det kändes som att fokus låg på försäljning istället för produktutveckling, vilket i sin tur fick flera anställda att säga upp sig i frustration över problem som aldrig åtgärdades.

Tror många som jobbat med IT inom den privata sektorn har liknande saker att säga om ex. arbetsplatser. I know I do. Med andra ord, jag är inte förvånad. Med det sagt, IT-avdelningar inom den publika sektorn slarvar också, men för andra anledningar än vinstgalna ägare.

Permalänk
Medlem
Skrivet av Nyhet:

Tidigare anställda menar att företaget haft tid att åtgärda säkerhetsproblem, men ignorerat sårbarheter och säkerhetsprinciper i flera år.
.
.
.
Kaseya har nyligen släppt en uppdatering som täpper till de säkerhetshål som nyttjades i attacken, tillsammans med en guide för hur användare ska uppdatera riskfritt.

Läs hela artikeln här

Hur mycket hade det kostat att betala folk för att jobba dygnet runt, ringa in under pågående semester för att få ut rättningen innan attacken?
Jag antar mer än förlusterna man fick till följd av attacken?
Om inte bör styrelse och "C-level" avgå omedelbart, de förstår sig inte på säkerhet, ekonomi eller pålitlighet
Tre saker som är ganska viktiga i säkerhetsbranchen

Permalänk
Medlem

Ledning måste ju ställa sina platser till förfogande.

Permalänk
Medlem

Typ som de flesta företag i världen.
Bra säkerhet kostar en del pengar som företag inte vill lägga tills något händer men då är det försent

Permalänk
Medlem
Skrivet av Auris:

Ledning måste ju ställa sina platser till förfogande.

Haha, ja du. Det kommer aldrig att hända. Kaseya kommer garanterat att förlora lite kunder dock.

Permalänk
Medlem
Citat:

Kaseya har nyligen släppt en uppdatering som täpper till de säkerhetshål som nyttjades i attacken

Hade ju varit ironiskt om det var en ny våg av ransomware

Permalänk
Medlem
Skrivet av ThomasLidstrom:

Hur mycket hade det kostat att betala folk för att jobba dygnet runt, ringa in under pågående semester för att få ut rättningen innan attacken?
Jag antar mer än förlusterna man fick till följd av attacken?
Om inte bör styrelse och "C-level" avgå omedelbart, de förstår sig inte på säkerhet, ekonomi eller pålitlighet
Tre saker som är ganska viktiga i säkerhetsbranchen

,
För att undvika facit i hand/eller högafflar så att styrelser slipper avgå höger och vänster, hur mycket hade varor och tjänster kostat och hade du varit villig att betala premium priset för den varan/tjänsten och gett upp din semester.

Permalänk
Chefredaktör 🕹
Skrivet av Spawnbadboy:

Typ som de flesta företag i världen.
Bra säkerhet kostar en del pengar som företag inte vill lägga tills något händer men då är det försent

Ja eller snarare så är det väl ofta kallt kalkylerande också.
Lite böter, kompensation och förlorat anseende är ett temporärt problem, men att konstant att högre omkostnader i verksamheten blir på sikt mer kostsamt.

Dvs även när det är för sent så gör man inget nämnvärt åt det.

Permalänk
Medlem
Skrivet av Auris:

Coops ledning måste ju ställa sina platser till förfogande.

Fixade din kommentar.

Sen kanske det bör diskuteras på politiskt nivå hur sårbara samhället är när livsmedelsaffärerna lägger hela sitt betalsystem på utländska aktörer.

Permalänk
Medlem

Frågan är om det här kommer öppnat för stämningar? Har inte någon koll om det kanske händer ändå.

Skulle det visa sig att Volvo bilar hade felaktiga bromsar efter en rad olyckor skulle dom får så jävla mycket stämningar över sig.

Permalänk
Medlem
Skrivet av Cloudstone:

Tror många som jobbat med IT inom den privata sektorn har liknande saker att säga om ex. arbetsplatser. I know I do. Med andra ord, jag är inte förvånad. Med det sagt, IT-avdelningar inom den publika sektorn slarvar också, men för andra anledningar än vinstgalna ägare.

Jo, man har ju sett många exempel på dåligt säkerhetstänk genom åren, men då har det ju inte handlat om så kritiska system som det handlar om i det här fallet. Jag har levt med förhoppningen om att ju mer säkerhetskritiskt ett system är så ju mer läggs det på säkerheten, men blir lika förvånad varje gång det uppdagas att det inte är så.

Har dock jobbat för företag med litet bättre säkerhetstänk också, bör dock tilläggas. Där ledningen inte lägger allt ansvar för säkerheten på utvecklarna och tycker att det räcker.

Skrivet av lappen81:

För att undvika facit i hand/eller högafflar så att styrelser slipper avgå höger och vänster, hur mycket hade varor och tjänster kostat och hade du varit villig att betala premium priset för den varan/tjänsten och gett upp din semester.

Ju mindre förståelse det finns för något desto fler högafflar kommer det fram, och hur många på SweClockers tror du har någon insikt i hur IT-säkerhet fungerar i verkligheten? Det är inte många här som kommer i kontakt med systemutveckling på någon högre nivå, och ännu färre som vet vad IT-säkerhet ens innebär.

Permalänk
Lego Master
Skrivet av employed:

Sen kanske det bör diskuteras på politiskt nivå hur sårbara samhället är när livsmedelsaffärerna lägger hela sitt betalsystem på utländska aktörer.

Vi kan ju hoppas att MSB kikar på det redan nu, men fanns det inte nåt initiativ om "e-krona" för några år sen, vad hände med det? Eller det skulle vara baserat på typ AWS och det hela tystades ner fortare än fan själv?

Permalänk
Medlem
Skrivet av jehuty:

Frågan är om det här kommer öppnat för stämningar? Har inte någon koll om det kanske händer ändå.

Skulle det visa sig att Volvo bilar hade felaktiga bromsar efter en rad olyckor skulle dom får så jävla mycket stämningar över sig.

Coop kan säkert stämma sin underleverantör. Men det blir viss skillnad på att Volvo har riskerat sina kunders liv genom att fuska med bromsarna och att du, under några dagar inte kan betala med kort i en av massor matvarukedjor.

Skrivet av employed:

Fixade din kommentar.

Sen kanske det bör diskuteras på politiskt nivå hur sårbara samhället är när livsmedelsaffärerna lägger hela sitt betalsystem på utländska aktörer.

Skrivet av Shudnawz:

Vi kan ju hoppas att MSB kikar på det redan nu, men fanns det inte nåt initiativ om "e-krona" för några år sen, vad hände med det? Eller det skulle vara baserat på typ AWS och det hela tystades ner fortare än fan själv?

Om vi hade varit i en krissituation så hade vi helt enkelt börjat handla med kontanter eller något annat igen. Hade det krisat på riktigt i en nödsituation ser jag inte varför ett betalsystem skulle sätta några käppar i hjulet. Lite samma sak som att "snart är maten slut!!!", ja men då kan vi skippa lyxvaror så som chips och käka potatisen etc istället. "Desperate Times Call for Desperate Measures" osv.

Permalänk
Medlem
Skrivet av employed:

Fixade din kommentar.

Sen kanske det bör diskuteras på politiskt nivå hur sårbara samhället är när livsmedelsaffärerna lägger hela sitt betalsystem på utländska aktörer.

Faktiskt inte. Coop har köpt en tjänst. Kaseya fallerar. Klart de måste ersätta Coops omsättning och förluster. Lite som när amerikanska konsumenterna blev blåsta av Volkswagen på dieselgate. Ska folk också avgå?

Permalänk
Medlem

Snälla, Coop själva ansvarar för att se till så att deras leverantörer sköter sig och lever upp till det som är avtalat.
Nu misstänker jag att Coops IT är gigantisk och svår att överblicka, svårt då också med deligering av ansvar osv.
Sen har vi det vanliga problemet med att patchhantering och säkerhet läggs åt sidan för mer annat, projekt, förändringsarbeten osv.

Coop använder Kaseyas produkter, men det är väl de som managerar kassasystemen (ej Coop själva?) som köpt in mjukvaran och licenserna (via t.ex. svenska Upstream) som inte levt upp?

Men som sagt, det är ju upp till Coop själva att se till att underleverantörerna inte slappar.

Sen är det en annan sak att Kaseya är en föråldrad gigant som sett sina glansdagar. Hoppas fler företag kliver över till MS Intune via Azure t.ex.

Permalänk
Medlem
Skrivet av Zyphoon:

Snälla, Coop själva ansvarar för att se till så att deras leverantörer sköter sig och lever upp till det som är avtalat.
Nu misstänker jag att Coops IT är gigantisk och svår att överblicka, svårt då också med deligering av ansvar osv.
Sen har vi det vanliga problemet med att patchhantering och säkerhet läggs åt sidan för mer annat, projekt, förändringsarbeten osv.

Coop använder Kaseyas produkter, men det är väl de som managerar kassasystemen (ej Coop själva?) som köpt in mjukvaran och licenserna (via t.ex. svenska Upstream) som inte levt upp?

Men som sagt, det är ju upp till Coop själva att se till att underleverantörerna inte slappar.

Sen är det en annan sak att Kaseya är en föråldrad gigant som sett sina glansdagar. Hoppas fler företag kliver över till MS Intune via Azure t.ex.

Om du köper en Volvo, är det då ditt egna ansvar att se till så att Volvo har utvecklat säkerhetssystemen korrekt?

Permalänk
Medlem
Skrivet av ultima:

Om du köper en Volvo, är det då ditt egna ansvar att se till så att Volvo har utvecklat säkerhetssystemen korrekt?

Sorry, mitt inlägg kanske vart lite grötigt.
Mitt avtal är med Volvo. Det är sedan Volvos jobb att se till att underleverantörer presterar vad som är avtalat - gör säkerhetsanalyser osv.

Jag fick för mig att Coop hade köpt in en kassa-tjänst av ett annat företag, som i sin tur körde Kaseya för managering av klienterna.
Coop måste ju dock följa upp.

Någon, rätta mig om jag har fel.

Permalänk
Medlem
Skrivet av employed:

Fixade din kommentar.

Sen kanske det bör diskuteras på politiskt nivå hur sårbara samhället är när livsmedelsaffärerna lägger hela sitt betalsystem på utländska aktörer.

Och vem skall kasta den stenen?

Svenskarna håller ju själva på med att lägga över en väldigt viktig del av vårt nationella betalsystem på utländska aktörer (visa, mastercard, osv)...

USA har ju tidigare stängt ner dessa att verka i vissa stater, tex Iran och Venezuela, som en del av sanktioner, men vad skulle hindra en något skogstokig president från att använda sig av det som påtryckningsmedel?

Hur mycket klarar egentligen Swish innan det brakar samman?

Permalänk
Medlem

En annan vinkling: Kaseya kan väl knappast själva göra en säkerhetsanalys på om de utsätter människor för livsfara? Då de inte har kontakt med slutkunden? De säljer sin tjänst till specialist-återförsäljare X o denna X hade kunna sälja tjänsten till kärnkraftverk och sjukhus.

Detta är tricky som sjutton - hade precis ett större konsultuppdrag där vi gjorde ett Proof of concept på "en grej" - om allt gick bra så ville man sedan köpa denna "grej" som en tjänst(Saas). Bara för att kunna göra en bra rekommendation så tog vi in olika PEN-testare som fick testa igenom tjänsten. De hittade alla möjliga hål - typ hela listan från OWASP samt en hel del brister i den hårdvara som levererades med tjänsten.

Kollar man/frågar leverantörerna så har de gjort egna säkerhetstester och uppfyller ISO än det ena o än det andra - men det visade sig mest vara ett luftslott

Känns ju smart att göra egna PEN-tester, men lite skevt att man som kund ska få betala företagens framtagande av tjänster som är säkra?!

Finns en del att göra inom detta område

// LZ

Permalänk
Medlem
Skrivet av ultima:

Om du köper en Volvo, är det då ditt egna ansvar att se till så att Volvo har utvecklat säkerhetssystemen korrekt?

Ja, exakt så fungerar det men i special fallet med enskilda personer så finns det en rad konsumentlagar som lägger ett extra lager av skydd eftersom samhället har kommit fram till att enskilda personer inte klarar av att hantera detta ansvar. Vilket jag personligen håller med om men det finns extrema libertarianer som inte gör det.
När det gäller företag och det allmänna så finns inga sådana skyddslagar och det är upp till köparen att verifiera inköpt produkt och tjänst. I detta fall är COOP skyldig att verifiera att inköpt tjänst håller god kvalitet och detta säkras normalt upp i inköpsavtal samt i fallet av uppdragsavtal (det som på engelska heter outsourcing) via kontrakt, extern revisionsrätt och i vissa fall säkerhetstester.
I detta fall har antagligen COOP som många andra snålat och gått på en billig tjänst/produkt vilket kan straffa sig.

Så har COOP ett ansvar för det som hände - Ja de ansvarar för sina inköp
Har Visma ett ansvar för det som hände - Ja, de ansvar för de tjänster de erbjuder
Har Kaseya ett ansvar för det som hände - Ja, de har det största ansvaret eftersom de byggde produkten som fallerade.

Självklart så är de största skurkarna i detta fall REvil men det är självklart att den som utnyttjar en sårbarhet för egen vinning alltid är skurk.

Permalänk
Medlem
Skrivet av employed:

Fixade din kommentar.

Sen kanske det bör diskuteras på politiskt nivå hur sårbara samhället är när livsmedelsaffärerna lägger hela sitt betalsystem på utländska aktörer.

Exakt så. Det finns så mycket som skulle kunnas stängas ner i sverige, vid en attack.
Och då menar jag mer om det blir krig, så skulle hela samhället kunna lamslås väldigt enkelt. Behöver ju knappt bomba oss.

Permalänk
Medlem
Skrivet av Tea42BBS:

Känns ju smart att göra egna PEN-tester, men lite skevt att man som kund ska få betala företagens framtagande av tjänster som är säkra?!

Hur menar du, är det OK att som kund betala för en tjänst som är osäker, men inte för en som är säker?

Permalänk
Medlem
Skrivet av Phod:

Ju mindre förståelse det finns för något desto fler högafflar kommer det fram, och hur många på SweClockers tror du har någon insikt i hur IT-säkerhet fungerar i verkligheten? Det är inte många här som kommer i kontakt med systemutveckling på någon högre nivå, och ännu färre som vet vad IT-säkerhet ens innebär.

Här håller jag med. För min egna del så är det min hobby att pyssla med och försöka lära sig mer.
För att förhoppningsvis kunna få jobb framöver / ta en ordentlig utbildning men ha en bra grund innan jag läser.

Men trots det så har jag ändå bra erfarenhet hur dåligt skyddade majoriteten är. Oftast privatpersoner då dock.
Har lekt i många labbar. Men det blir ju svårt att få riktig erfarenhet utan att ha tillstånd först. Så håller mig till att leka med labbar.
Och för det kan jag gott rekommendera parrotOS över kali (y)

Permalänk
Medlem

Exakt det här jag menar, precis som jag svara i FZ-nyhet om nya autoaim-fusk: spelutvecklarna/IT-personalen vill självfallet förbättra situationen. Men de som betalar deras löner skiter i det för de ser det som "onödiga extrakostnader".

I fallet med fusk i spel blir det extra påtagligt: miljarder dras in så varför ens bry sig en skvätt om att motverka fusk när spelen ändå fungerar som "MTX storefronts" än faktiska fulländade spel?

I detta IT-fall kan det vara att företaget tänker, "Ah, men lämna oss då. Vilka med samma liknande resursnivå ska ni välja då?" Troligen har de ett visst monopol på det hela så denna ohälsosamma kundrelation kan fortsätta.

Människan vill ha mer. Människan vill ha snabbt. Människan vill ha enkelt.

Mycket (snabba) pengar är det ultimata testet att se sanningen hos en individs självutveckling.

Permalänk
Medlem

"De beskriver även hur det kändes som att fokus låg på försäljning istället för produktutveckling"

Verkar vara väldigt vanligt. Vedervärdigt, vanskligt, vansinnigt.

Permalänk
Medlem
Skrivet av Zyphoon:

Sorry, mitt inlägg kanske vart lite grötigt.
Mitt avtal är med Volvo. Det är sedan Volvos jobb att se till att underleverantörer presterar vad som är avtalat - gör säkerhetsanalyser osv.

Jag fick för mig att Coop hade köpt in en kassa-tjänst av ett annat företag, som i sin tur körde Kaseya för managering av klienterna.
Coop måste ju dock följa upp.

Någon, rätta mig om jag har fel.

Det finns en artikel från 2009 om att Konsumentföreningen i Bohuslän/Älvsborg införskaffat Kaseya, så det verkar som de från början införskaffat det själva, förmodligen via en tjänsteleverantör här i Sverige dock.
https://resources.mynewsdesk.com/image/upload/fl_attachment/q... (man måste ladda hem pdf för att få hela artikeln)

Läser man den artikeln så verkar det också som varje konsumentförening själva väljer vilket kassasystem de vill köpa in (även om de flesta konsumentföreningar, i alla fall sedan 2009 tycks ha satsat på samma lösning). Från artikeln så kan man också utläsa att de olika butikerna är konfigurerade som olika domäner eller workgroups snarare än som en gemensam domän för hela Coop, så antagligen inte så bra anpassat för ex. MS Intune.

Jag tror heller inte att det är en kassa-tjänst man köpt in, utan det är troligen en kassa-mjukvara i kombination med support och anpassning av denna (den här typen av mjukvaror behöver i regel kundanpassas). Troligen lokala installationer av klienter och servrar för denna mjukvara i varje butik, där man använder Kaseya för att hålla koll på vad som körs på vilken dator samt patchning/uppdatering. Det kan också vara så att man själva köper in hårdvaran som detta körs på (vanliga pc samt anpassad utrustning som ex. kvittoskrivare, streckkodsläsare osv.), vilket kanske är något som köps av varje butik för sig eller varje konsumentförening. Kortbetalningsterminaler hyr man ofta av en separat leverantör och de ansluts vanligen till kassadatorn med ex. USB eller ethernet.

Personligen så tror jag detta hade varit enklare att hålla koll på om alla datorer körde i en gemensam domän mot AzureAD och kassaregistret kördes centralt som en redundant tjänst hos en molnleverantör för alla butiker. Då hade man sluppit hanteringen av server-installationer i de olika butikerna. Varje klient skulle dessutom kunna ha en offline-kopia av artikelregistret tillgängligt för att genomföra köp även om man tillfälligt tappar internetuppkopplingen.

Permalänk
Medlem
Skrivet av backfeed:

"De beskriver även hur det kändes som att fokus låg på försäljning istället för produktutveckling"

Verkar vara väldigt vanligt. Vedervärdigt, vanskligt, vansinnigt.

Så är det ju alltid... Har arbetat på konsultbolag och det är samma sak där, det ska smöras, bjudas gratisluncher. När kunden väl är över så går tempot genast ner, man levererar men till minsta möjliga konstad. Fokus därefter är sedan hur man ska dra in nya kunder/mer cash... Gärna lura på befintliga kunder ytterligare tjänster till ockerpriser.

Permalänk
Medlem
Skrivet av Cad_edis:

Det finns en artikel från 2009 om att Konsumentföreningen i Bohuslän/Älvsborg införskaffat Kaseya, så det verkar som de från början införskaffat det själva, förmodligen via en tjänsteleverantör här i Sverige dock.
https://resources.mynewsdesk.com/image/upload/fl_attachment/q... (man måste ladda hem pdf för att få hela artikeln)

Läser man den artikeln så verkar det också som varje konsumentförening själva väljer vilket kassasystem de vill köpa in (även om de flesta konsumentföreningar, i alla fall sedan 2009 tycks ha satsat på samma lösning). Från artikeln så kan man också utläsa att de olika butikerna är konfigurerade som olika domäner eller workgroups snarare än som en gemensam domän för hela Coop, så antagligen inte så bra anpassat för ex. MS Intune.

Jag tror heller inte att det är en kassa-tjänst man köpt in, utan det är troligen en kassa-mjukvara i kombination med support och anpassning av denna (den här typen av mjukvaror behöver i regel kundanpassas). Troligen lokala installationer av klienter och servrar för denna mjukvara i varje butik, där man använder Kaseya för att hålla koll på vad som körs på vilken dator samt patchning/uppdatering. Det kan också vara så att man själva köper in hårdvaran som detta körs på (vanliga pc samt anpassad utrustning som ex. kvittoskrivare, streckkodsläsare osv.), vilket kanske är något som köps av varje butik för sig eller varje konsumentförening. Kortbetalningsterminaler hyr man ofta av en separat leverantör och de ansluts vanligen till kassadatorn med ex. USB eller ethernet.

Personligen så tror jag detta hade varit enklare att hålla koll på om alla datorer körde i en gemensam domän mot AzureAD och kassaregistret kördes centralt som en redundant tjänst hos en molnleverantör för alla butiker. Då hade man sluppit hanteringen av server-installationer i de olika butikerna. Varje klient skulle dessutom kunna ha en offline-kopia av artikelregistret tillgängligt för att genomföra köp även om man tillfälligt tappar internetuppkopplingen.

Hej!
Tack för att du tog dig tiden att skriva ett så utförligt svar!
Yes yes...

Ja alltså vad gäller Intune så går nog det mesta att mecka till för att få en fungerande kund-serviceprovider lösning.
Om konsultföretaget äger klienterna så kan de ha burkarna i sin Azure subscription.
Om inte, så kör Coop egen subscription och deligerar access till konsultbolaget tänker jag? Detta är ju optimalt om man kickar ut/byter de man valt göra affärer med. Coops data ligger ju då också på ett ställe som de äger.

Som sagt, tror Kaseyas tid är över. Likaså liknande lösningar från Solarwinds och Nable, allt va de heter...
Gäller bara att tid ges till förändringsarbetet att onboarda burkarna till Intune osv... Vid nästa upphandling kanske det sker.