UiO IN2120 høst 2019

Incident Response and Forensics -Caseoppgave

Frode Lilledahl26.09.2019

Den gamle bilprodusenten Troll har startet bilproduksjon igjen, med

god økonomisk støtte fra Oljefondet

De satser på elbiler og har hatt forsiktig produksjon i et par år

Selskapet har fått internasjonal oppmerksomhet på grunn av flere

innovative løsninger i sine biler og i produksjonslinjen

Utvikling av selvkjørende biler er selskapets neste store

satsingsområde

Bakgrunn

• Troll har en IT-plattform med en kombinasjon av løsninger on-site og i skyen

• Klientplattformen er basert på Windows og Office365

• Fagsystemer, test- og utviklingsmiljø er for det meste on-site, men det brukes

også i noen grad Amazon Web Services

• Driften er outsourcet til et norsk driftsselskap

• Troll har to store IT utviklingsmiljø, ett på Notodden og ett i Katmandu

• Troll ser på seg selv som en gründerbedrift med flinke folk og gode idéer. De er

mindre opptatt av prosesser og formalia

Organisering av IT hos Troll

• Troll har aldri hatt en alvorlig sikkerhetshendelse, og har tidligere ikke sett

behov for planer eller rutiner for hendelseshåndtering

• Før nå…

• Direktøren i Troll er en god venn av IT-sjefen i Hydro. De spiser ofte lunsj

sammen når Troll direktøren har møter i Oslo. IT-sjefen i Hydro har snakket

mye om angrepet de ble utsatt for, og direktøren i Troll har blitt skremt

Erfaring med sikkerhetshendelser

• Direktøren i Troll har hyret inn dere som konsulenter og sikkerhetseksperter for

å få hjelp til å vurdere hvordan de kan bli bedre rustet til å motstå eventuelle

angrep. De har styremøte neste uke og direktøren ønsker at dere presenterer

svar på følgende spørsmål:

1. Hvilke trusler kan Troll være spesielt utsatt for og bør forberede seg mot?

2. Hva bør de konkret gjøre for å forberede seg på mulig uønskede

sikkerhetshendelser?

Oppdraget

• Styret i Troll blir så imponert over deres presentasjon, at Troll velger å kjøpe

Incident Response som en tjeneste fra deres selskap

• Tjenesten blir etablert, men er fremdeles ny og umoden når det plutselig

smeller…

Fase 2

• Dere blir tilkalt en mandag morgen fordi Troll er blitt utsatt for et løsepengevirus. Store

mengder data fra deres innovasjonsprosjekter er kryptert og utilgjengelig. Troll frykter både å

miste essensielle data, og at det vil ta lang før de kan gjenoppta det viktige utviklingsarbeidet.

Angriperen krever 100.000USD i kryptovaluta for å gi Troll nøkkel til dekryptering.

1. Hvilke aksjoner vil dere ta i triagefasen, og hvilke konklusjoner vil dere gjøre?

2. Vil dere anbefale å betale ut løsepenger?

3. Hvilke aksjoner vil dere ta i analysefasen?

4. Hvilke aksjoner vil dere ta i containment-fasen?

5. Hvilke aksjoner vil dere ta i eradictation-fasen?

6. Hvilke aksjoner vil dere ta i normaliseringsfasen?

Hendelse #1

• Troll gjør omfattende analyse av bilenes kjøremønster, hvor de kjører, hvor langt, til hvilket

tidspunkt kjørestil mv. De opplever så en større informasjonslekkasje av disse dataene. Det

viser seg at en feilkonfigurasjon har medført at hele deres database over kjøremønster har

ligget fritt tilgjengelig over internett i en lengre periode.

1. Representerer Trolls registrering av kjøremønster at de behandler personopplysninger?

2. Hvilke spørsmål er det essensielt å undersøke i analysefasen?

3. Hvilke tiltak kan gjennomføres for å begrense skade fra lekkasjen?

4. Hvilken rapportering er Troll pliktig til å gjøre?

Hendelse #2