Möller Insights - ”Gentlemannatjuven från Iowa”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om en kupp för att vinna på lotto

Gentlemannatjuven från Iowa
Jag skriver ofta om nya hot, intrång och andra säkerhetsrelaterade saker i min blogg och jag tänkte idag flytta fokus från externa hot till interna. Jag läste i veckan om en något spektakulär, om än dåligt genomförd kupp i USA. Detta handlar om Eddie Raymond Tipton som arbetade som säkerhetsdirektör för den icke-vinstdrivande lottoorganisationen Multi-State Lottery Association (MUSL) som bland annat arrangerar det populära spelet Mega Millions. Eddie beslutade sig en dag att rigga lotteriet och ställa in spelet att dra just hans nummer.

Det här var inte en enkel sak men Eddie hade planerat det hela relativt väl. Datorn som drar vinnarnummer är placerad i ett rum av glas, saknar uppkoppling mot något nät och videoövervakas ständigt – med andra ord relativt svår att manipulera utan några spår.

För att lyckas utvecklade han ett rootkit som skulle manipulera datorn för att dra ett nummer som Eddie själv hade valt och sedan radera sig själv från datorn. Utmaningen kvarstod att få detta program till datorn utan att upptäckas.

Även om man inte vet exakt hur han lyckades så misstänker man att Eddie, som säkerhetsdirektör, nyttjade sin position för att ändra inställningarna i övervakningskameran så att den bara skulle fånga en sekund av video varje minut. Man misstänker att det skulle gett honom tillräckligt mycket tid för att ta sig fram till datorn, stoppa in ett USB-minne med rootkittet och sedan lämna rummet.

Allt detta är rätt så Oceans Eleven för en säkerhetsdirektör som arbetar inom offentlig sektor. Men det var efter den galanta kuppen som han gjorde en riktig tankevurpa. Han har fångats på bild i en butik där han köper en lott med just det nummer som sedan drogs. Eddie försökte förvisso aldrig hämta ut vinsten, som förövrigt var på 14,3 miljoner dollar, men han är trots det huvudmisstänkt till dådet då han i enlighet med verksamhetens riktlinjer inte får spela på lotto som arrangeras av MUSL. Det är svårt att förstå hur Eddie resonerade i slutskedet av sin plan när allt annat var så elegant planerat.

Det här är ju en spännande historia med inslag som vi vanligtvis bara får se på film, men anledningen till att jag väljer att skriva om det idag är egentligen en annan. När vi gör en riskanalys på ett företag så måste man ibland även se till de anställda, tyvärr. Vi beräknar ofta hur troligt det är att en extern attack mot företaget kommer att utföras, hur mycket företagsdata är värt och hur ett driftstopp skulle påverka verksamheten. Därefter sätter man upp ett kompetent skydd som ska försvara mot olika varianter av hot och attacker.

Utmaningen är ju de anställda som det aldrig går att helt säkra sig mot, de kan onekligen få en idé att stjäla eller manipulera material. Det finns dock andra sätt att säkra den här typen av situationer. Om vi återigen tar MUSL-exemplet så hade en vanlig kodlåsdörr till datorrummet som identifierar och loggar de som har tillgång till rummet kunnat göra stor skillnad. Här kan avvikande beteende och liknande snabbt flaggas i systemet. Sen är det ju en helt annan sak när självaste säkerhetsdirektören begår brottet, samma person som kanske skulle få en flagga i sitt system.

Jag tror att vi ibland måste kunna förlita oss på anställda eller så får vi hoppas att de är lika klantiga som Eddie från Iowa.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter:@MollerFredrik