Prosesskontrollsystem rammet av skadevare

Transkript

1 Kvartalsrapport for 3. kvartal 2011 Prosesskontrollsystem rammet av skadevare Dette kvartal ble det detektert skadevare på et prosesskontrollsystem (SCADA) i Norge. NorCERT bistod i håndtering, blant annet ved diskanalyse og analyse av skadevaren. En sort tulipan Utstedelse av falske digitale sertifikater fikk alvorlige konsekvenser for det nederlandske selskapet DigiNotar. Over 500 falske sertifikater skal være utstedt av angriperen i løpet av kompromitteringsperioden. Nøkkeltall fra NorCERT Økt saksmengde dette kvartalet. For å gi et innblikk i arbeids-hverdagen på NorCERTs operasjonssenter vil vi denne gangen presentere noen nøkkeltall knyttet til håndteringen. Innhold Sammendrag av kvartalet SIDE 2 Prosesskontrollsystem rammet av skadevare SIDE 3 Nettaktivisme Side 4 Nøkkeltall fra NorCERT Side 6 En sort tulipan Side 10 Mobile trusler Side 12 NorCERTs oppgaver Side 14 TEKNOLOGI: Passiv DNS Side 16

2 2 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Sammendrag av kvartalet Dette kvartalet ble tilsammen saker behandlet i NorCERTs operasjonssenter. Av disse var regnet som koordinering og håndtering av sikkerhetshendelser. Første kvartalsrapport Det er en glede å herved utgi den første kvartals rapport i NorCERTsin historie. Vår ambisjon er å erstatte våre månedsrapporter med et mer utfyllende og relevant produkt rundt IKT-sikkerhet og IKT risikobildet. NorCERT har nå over 10 års erfaring rundt deteksjon og håndtering av alvorlige IKT-hendelser. Dette kombinert med vårt stadig voksende nettverk av VDI-sensorer, samt internasjonale samarbeid, gjør at vi har betydelige forutsetninger til å vurdere situasjonen akkurat nå, og trender for fremtiden. Vi opplever samtidig stor interesse og engasjement fra virksomheter og etater når det gjelder beskyttelse av kritisk infrastruktur og hvordan NorCERT kan bidra i dette arbeidet. Et viktig arbeid som pågår akkurat nå er regjeringens initiativ for å styrke informasjonssikkerheten i Norge gjennom å revidere de nasjonale retningslinjene for informasjonssikkerhet. En arbeidsgruppe vil legge frem et forslag til endringer innen nyttår. Målet er å skape en felles forståelse for hvilke sikkerhetsutfordringer Norge som nasjon står overfor, samt å identifisere områder der det er behov for å gjøre en ekstra innsats for å styrke informasjonssikkerheten. Dette skal bunne ut i en helhetlig satsing på informasjonssikkerhet, og de reviderte retningslinjene skal dekke hele spekteret fra grunnleggende IKT-sikkerhet til beskyttelse av de mest samfunnskritiske informasjonssystemene. NSM og NorCERT vil naturlig nok ha stort fokus på å bidra i dette arbeidet. En mye brukt analogi er at NorCERT er hovedredningssentralen i Cyberspace for kritisk infrastruktur i Norge. Vi ønsker at dette skal gjenspeiles i innholdet i kvartalsrapporten ved at vi kan presentere informasjon som kan bidra til å sikre samfunnsverdiene i Norge. Vi håper du liker rapportene som nå vil utgis etter hvert kvartal, og at de blir nyttige for deg og din virksomhet. Vi vil nok eksperimentere noe i form og innhold fremover, slik at vi kan få et best mulig produkt. Blant disse hendelsene er funn av skadevare på et norsk SCADA-system den saken som skiller seg mest ut. I verste fall kan konsekvensene av påvirkning og endring av prosesskontrollsystemer påvirke fysiske prosesser, som igjen kan føre til fare for liv og helse. NorCERTs analyse avdekket imidlertid at skadevaren ikke var skreddersydd for manipulering av prosesskontrollsystemet. I perioden har vårt analyseteam jobbet med fire trojanerangrep som har vist betydelig kompleksitet (totalt ni hittil i år). Dette kan ofte dreie seg om spionasje og skadelig etterretningsvirksomhet. Slike angrepsforsøk er ofte meget vanskelig å detektere. Vi må derfor erkjenne at mørketallene for dennetype angrep er store. Informasjonen McAfee gav ut om «Shady RAT» dette kvartal treffer i så måte godt rundt denne type trusler. Rapporten viser til at store mengder informasjon er stjålet fra 70 firmaer. «Dette er saker som ofte kan dreie seg om spionasje og skadelig etterretningsvirksomhet» Ingen norske virksomheter ble nevnt, men NorCERT har håndtert flere lignende hendelser i Norge. Kvartalet ble ellers preget av terrorangrepet 22. juli. Store tragedier i nyhetsbildet blir ofte utnyttet til å spre skadevare og gjennomføre svindel på Internett. Dette så vi også i kjølvannet av 22. juli, blant annet ved flere forsøk på såkalt «click-jacking». Den største internasjonale IT-sikkerhetsnyheten dette kvartalet ble kjent i september. Den nederlandske sertifikatutstederen DigiNotar ble hacket. Vår søster- CERT i Nederland jobbet dag og natt for å støtte Digi- Notar, og gav ut gode og rettidige rapporter om hendelsen. Det første vellykkede teoretiske angrepet på kryptoalgoritmen AES ble også publisert dette kvartalet. AES er en av verdens mest implementerte algoritme for å sikre data, og har stått fjellstøtt siden Publikasjonen gir en god påminnelse om ordtaket «det er helt sikkert at ingenting er helt sikkert». Med vennlig hilsen Eiliv Ofigsbø

3 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL Prosesskontrollsystem rammet av skadevare Dette kvartal ble det detektert skadevare på et prosesskontrollsystem (SCADA) i Norge. NorCERT bistod i håndtering, blant annet ved diskanalyse og analyse av skadevaren. Nytt angrep på AES Siden den standardiserte kryptoalgoritmen AES ble tatt i bruk i 2001 har det blitt publisert store mengder analyser av AES i internasjonale forskerfora. Analyse av skadevaren som ble funnet på et norsk prosesskontrollsystem avdekket at den trolig ikke kunne påvirke noen fysiske prosesser. Foto: illustrasjonsfoto. Konsekvenesene av påvirkning og endring av prosesskontrollsystemer vil kunne påvirke fysiske prosesser som kan føre til at liv eller store verdier går tapt. Mange husker nok også Stuxnet, som utvilsomt var den største nyheten innen IT-sikkerhet i Stuxnet viste hvordan man i praksis kunne sabotere prosesskontrollsystemer i Iran til å forsinke utviklingen i prosjektet for anriking av uran. Håndtering av den norske saken avdekket at skadevaren trolig kom fra en kontraktør som har koblet seg på systemet med eget IT-utstyr, og dermed infisert systemet. Analyse av skadevaren avdekket at trojaneren var i POPUREB-familien, og da ikke er spesifikt rettet mot funksjonaliteten til prosesskontrollsystemer. Prosesskontrollsystemer patches svært sjelden, med argument om at dette kan påvirke produksjonen («never touch a running system»). Det er også en trend at slike utstyr stadig oftere tilkobles eksterne nett, og i noen tilfeller også Internett direkte. NorCERT har siden 2004 advart mot risikoen for sabotasje gjennom hacking av prosesskontrollsystemer. Hendelsen dette kvartal viser nok en gang at eiere av slike systemer må vurdere sin sikkerhet nøye. Tidligere har ingen funnet svakheter av betydning ved algoritmen, derfor har raskeste måte å knekke AES-kryptering på vært et uttømmende nøkkelsøk. Det betyr at man forsøker å dekryptere en AES-kryptert melding ved å prøve alle mulige nøkler. På konferansen «Crypto 2011» ble det gitt en kort presentasjon av en artikkel skrevet av forskerene Bogdanov, Khovratovich og Rechberger. De har bevist at ved hjelp av nye matematiske analyser, kan AES knekkes mellom 3 og 5 ganger raskere enn et uttømmende nøkkelsøk. Konsekvensene av dette er av ren akademisk karakter, og får ingen praktiske konsekvenser for bruken av AES i dag. Men tiden vil vise om disse teknikkene leder til nye og enda mer effektive angrep på AES. Nasjonal sikkerhetsmyndighet har et eget fagmiljø som følger med på forskningsfronten innen kryptoanalyse. Les mer om AES-angrepet på NSMs egen sikkerhetsblogg:

4 4 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nettaktivisme Dette kvartalet fikk mange norske stortingsrepresentanter sitt personnummer publisert på Internett, som en politisk demonstrasjon gjort av en nettaktivist. Nettaktivismen synes stadig å øke i omfag. Både i Norge og utlandet ser vi at organisasjoner som er synlige i den generelle samfunnsdebatten er utsatt for aksjoner. Så hva innebærer egentlig nettaktivisme? Nettaktivisme har vist seg å være et vidt begrep, både i bruk og betydning. Nettaktivistene selv hevder at deres handlinger er «fredelige protester», mens andre mener deres handlinger fører med seg store økonomiske tap og er direkte ulovlige. Videre kan offentliggjøring av mengder av informasjon, slik hackergruppen LulzSec har gjort i år, gjøre kriminell aktivitet som for eksempel identitetstyveri lettere å utføre. Flere sikkerhetsspesialister sier at grensen mellom nettaktivistene og nettkriminaliteten blir stadig mer utydelig. Store lekkasjer av sensitiv informasjon kan ha konsekvenser utover det politiske eller idealistiske motivet som ofte fremheves av aksjonistene. Som et eksempel viser LulzSecs anti-sikkerhetskampanje, hvor de oppfordret sine tilhengere til massivt tyveri av konfidensiell statlig informasjon fra alle mulige kilder med påfølgende publisering, en utvikling av nettaktivismen som går langt utover legitime protester. Det er liten tvil om at nettaktivisme i dag må regnes med som en sentral del av det større IKT-risikobildet. Samtidig omfavner det vide begrepet langt flere, og ikke nødvendigvis kriminelle handlinger. Det har også en historisk kontekst som krever en kort introduksjon. Historisk kontekst Sommeren 1998 gikk kinesiske hackere sammen om å angripe indonesiske nettsider, som et tilsvar til det antikinesiske opprøret som hadde funnet sted under revolusjonen. I dag har dette fått tilnavnet «The First Patriotic Cyberwar». Videre fulgte en serie lignende angrep mot andre stater, blant annet Japan og USA. For de kinesiske nettaktivistene var trolig en sterk nasjonalisme den viktigste motivasjonsfaktoren. En lignende serie med angrep fant igjen sted i Disse involverte flere tusen individer fra både Kina og USA, og ble av The New York Times kalt «the First World Hacker War». Nettaktivisme syntes i sin begynnelse å komme som en del av en større konflikt. Slik vi ser det utvikles nettaktivismen til å være et begrep som favner mye mer enn tidligere. Over de siste ti årene har nettaktivismen utviklet seg fra å tidligere stort sett være en del av store konflikter. Vi ser nå alt fra legitime demonstrasjoner, til aktivitet som både ligger ved eller over grensen for kriminalitet. Et eksempel på den nye utviklingen kan være hvordan helt vanlige ungdommer i Norge det siste året har demonstrert for ytringsfrihet og brukt Internett som sitt middel. Man skal ikke undervurdere kapasiteten og standhaftigheten til slike grupper, til tross for at de ofte er uorganisert. LulzSec kan se ut til å være en mer organisert gruppering, og det er blitt spekulert i om denne gruppen bare består av 6-10 medlemmer, «Nettaktivisme må i dag regnes med som en sentral del av det større IKTrisikobildet.» kontra et stort ukjent antall personer som påberoper seg å være medlem i Anonymous-bevegelsen. Anonymous har en bred medlemsflate, med alt fra «scriptkiddies» til mer erfarne personer som påvirker retningen fra kulissene, da gjerne i chattekanaler og forum på Internett. Aktualisering I februar 2010 ble nettsidene til flere offentlige myndigheter, blant annet regjeringen.no og Nasjonal sikkerhetsmyndighet, utsatt for et distribuert tjenestenektsangrep (DDoS). Hensikten med slike angrep er å overbelaste nettsidene slik at de blir utilgjengelige for brukerne. Flere andre nettsteder har opplevd det samme i løpet av 2010 og Anonymous har i Norge profilert seg sterkt som motstander av EUs datalagringsdirektiv. Arbeiderpartiet og Høyre vedtok i 2011 å støtte dette direktivet. Dette med- førte aksjoner fra nettaktivistene. Den 6. april 2011 satte norske medlemmer og sympatisører av Anonymous i gang noe de kalte «Operation Quisling». Denne operasjonen gikk ut på å ta ned hjemmesider til politiske parti som støtter datalagringsdirektivet. Først ble regjeringen.no og arbeiderpartiet.no utsatt for et DDoS-angrep. Neste dag ble også hoyre.no utsatt for angrep. «Operation Norway» ble utført 24. mai 2011, også det på grunn av DLD. Aktivistene forsøkte igjen å ta ned arbeiderpartiet.no, men dette forsøket var ikke vellykket. 15. juni 2011 ble 30 nye nettsteder utsatt for tjenestenektangrep. Angrepet inkluderte en melding med trusler mot norske myndigheter, som ble lagt ut på kiwi. no. Angrepet innebar ingen form for datatyveri, og selv om Nasjonal sikkerhetsmyndighet fulgte angrepet, ble det ikke vurdert til å være en trussel som krevde høyere beredskap. I samme tidsperiode fikk NorCERT også fysisk besøk av personer i Guy Fawkes-masker, som tok bilder av seg selv ved dørskiltet vårt. Dette ble senere postet åpent på Internett. En del av disse truslene og angrepene virker ufarlige, og i flere tilfeller kan det anses for å være en legitim demonstrasjonsform i et moderne samfunn. Samtidig er det viktig å se det som en del av det store risikobildet, spesielt med tanke på muligheten for mer alvorlige angrep og sabotasje. Her kan vi nevne den varslede «Operation Tarmageddon», som skulle være en form for sabotasje av oljesandprosjektet i Canada. Dette varslede angrepet ble imidlertidig ikke gjennomført. En annen hendelse som befinner seg i «..grensen mellom nettaktivistene og nettkriminaliteten blir stadig mer utydelig»

5 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL Hvem er nettaktivistene? Uløselig sammenknyttet med begrepet nettaktivisme er Anonymous. Dette er en løst sammensatt bevegelse med politiske motiver. De angriper som regel statlige institusjoner, sikkerhetsselskaper og store bedrifter med distribuerte tjenestenektsangrep (DDoS), som demonstrasjoner mot vedtak, handlinger eller holdninger. Det som kan sies å være hovedmotivet for personer som assosierer seg med Anonymous-bevegelsen, er ytringsfrihet. Som et eksempel på protesterer iverksatte de «Operation Malaysia» den 15. juni 2010, hvor de angrep 91 nettsider som tilhørte den malaysiske regjeringen. Dette skjedde etter at regjeringen blokkerte tilgangen til Piratebay og Wikileaks innad i landet. Anonymous mente dette var sensur av ytringsfriheten. To personer utenfor NorCERT sine lokaler, iført Guy Fawkes masker, ofte assosiert med Anonymous. Faksimile av bilde postet på Internett i sommer. Når det gjelder mål og virkemidler har Anonymous selv uttalt blant annet dette på sine nettsider: «I en verden der stemmene våre ignoreres føler vi at vi ikke har noe annet valg enn å aksjonere direkte. en gråsone i forhold til lovverket er den tidligere nevnte publiseringen av flere sentrale stortingsrepresentanters personnummer på Internett. Personen som har påtatt seg ansvaret for angrepet har i media sagt at motivasjonen for handlingen var å sette fokus på hvor lett folks personnumre kan genereres, og at det er uforsvarlig å bruke personnummer som identifikasjon i den grad det gjøres i Norge i dag. NorCERTs erfaring og vurdering NorCERT følger med på nettaktivisme, både i Norge og internasjonalt. Til nå har det ikke vært tilfeller av skadelige angrep mot kritisk infrastruktur, men vi ser aksjonsformen som viktig å sette fokus på. I tilfellet med tjenestenektangrepene mot Arbeiderpartiet og Høyre bistod NorCERT blant annet gjennom å identifisere verktøy brukt av nettaktivistene og ved å lage deteksjonsregler for varsling av dette. Vi har til nå sett at spesielt webservere har vært populære angrepsmål for Anomymous. Dette gjøres oftest med DDoS-verktøy, men også ved å kartlegge eventuelle sårbare web-applikasjoner som kan utnyttes. LulzSec benyttet seg i stor grad av sistnevnte metode for å få tilgang på webser- vere, og deretter tilgang til interessante databaser som web-applikasjonen benyttet seg av. Medlemmene av Anonymous benytter en rekke verktøy for å utføre angrepene sine. Disse inkluderer blant annet forskjellige versjoner av LOIC (Low Orbit Ion Cannon, i utgangspunktet et stresstestingsverktøy for webservere), automatiserte sårbarhetsscannere som Nessus, penetrasjonstestingsverktøy som Metasploit, samt verktøy for SQL-injisering som Havij og Pangolin. Nettaktivismens utvikling krever oppmerksomhet. Vi ser at samfunnet blir stadig mer bevisst dette temaet. NorCERT har ved flere tilfeller vært i dialog med IT-sikkerhetspersonell fra norsk kritisk infrastruktur om hvordan beskytte seg mot denne typen angrep. Dette anser vi for å være svært positivt, da godt forarbeid både reduserer risiko og gjør at man er bedre rustet til å håndtere et eventuelt angrep når det finner sted. Det som er klart er at nettaktivisme øker, både i metoder og omfang og videre hvem som tar del i den. Det er et vanskelig begrep å håndtere da det favner alt fra legitim demonstrering til sabotasje og kriminell aktivitet. Nettaktivismen er derfor en viktig del av dagens IKT-risikobilde. Flere store selskaper, deriblant norske Statoil, er en del av et kontroversielt prosjekt for utvinning av oljesand i Alberta, Canada. Prosjektet har fått mye kritikk, og vil i følge miljøforkjempere belaste de lokale skog og vannressurser så hardt at flere dyrearter er truet. Nettaktivistene ble her en del av miljøkampen gjennom den varslede «Operation Tarmageddon», Anonymous varslet et angrep mot flere av olje- og bankvirksomhetene som var involvert i dette prosjektet. LulzSec kom ut av intet den 6. mai, da de offentliggjorde informasjon og passord fra Fox.com, og en database med over X Factor-deltakere. Dette markerte starten på en lang rekke informasjonslekkasjer, «defacements» og tjenestenektangrep. Lulz- Sec har fremstått med en mer avslappet holding til sine handlinger enn andre grupperinger. De gjør det for moro skyld, med sikte på å provosere, eller som de selv kaller det «for the lulz» (lulz er et slanguttrykk for skadefryd). De har også uttalt at de aksjonerer for å bedre informasjonssikkerheten på Internett, gjennom slagordet «laughing at your security since 2011».

6 6 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nøkkeltall fra NorCERT I denne kvartalsrapporten skal vi se nærmere på to ting vi ofte får spørsmål om. Det første er hva slags saker vi håndterer i operasjonssenteret, hvor vi skal vi se på økning i antall, sakskategorier, behandlingstid og prioritet. Det andre er nettblokkanalyse, som kan brukes for å vurdere om en nettblokk har et dårlig omdømme i forhold til spredning av skadevare og lignende. Hver måned håndterer NorCERT et økende antall saker. I våre tidligere månedsrapporter har vi ikke gått i detalj på hvilke type saker vi håndterer, hvor alvorlige de er eller hvor lang tid vi vanligvis bruker på å håndtere dem. For å gi et innblikk i arbeidshverdagen på NorCERTs operasjonssenter vil vi denne gangen presentere noen nøkkeltall knyttet til dette. Økt saksmengde I tredje kvartal i år har NorCERTs operasjonssenter håndtert saker. Av disse ble definert som «hendelser». I løpet av de siste fire årene har antall saker NorCERT håndterer tredoblet seg. Fra 162 saker i snitt per måned i 2007, har saksmengden økt til 501 saker per måned så langt i 2011 (se figur 1). Dette er en gjen- nomsnittlig årlig økning på 33%. Dette er eksponensiell vekst, og skulle denne veksten fortsette vil NorCERT håndtere over saker i året om fire nye år. Kategorier NorCERT kategoriserer saker i en lang rekke kategorier. Dersom vi forenkler kategoriseringen, kan vi dele dem inn som vist i Tabell 1. Der ser man at hovedvekten av saker håndtert i tredje kvartal har dreid seg om å formidle informasjon om kompromitterte klienter eller servere til internettilbydere og hostingleverandører. Dette er i hovedsak saker hvor vi henter eller får informasjon fra eksterne kilder, og videreformilder denne informasjonen som ledd i den kontinuerlige, internasjonale dugnaden for å rydde Internett for kompromitterte «Dette er en gjennomsnittlig årlig økning på 33%.» maskiner. En annen annen stor kategori er informasjonsdeling. Dette kan være å dele informasjon om hvordan man oppdager skadevaren, basert på informasjon fra åpne kilder eller fra analyser NorCERT selv har utarbeidet, eller fått anledning til å dele med utvalgte samarbeidspartnere. Varsler til VDI-deltakere er en mindre, men viktig kategori. I tredje kvartal varslet NorCERT Figur 1: Antall saker per måned fra januar 2007 til september Tabell 1: Saker per hovedkategori: Sakskategori Saksantall Per dag Andel Varsel om kompromitterte kundemaskiner til ISP eller hostingleverandør ,6 81,0% Deling av informasjon med samarbeidspartnere, inkludert VDI-deltakere 131 1,4 8,7% Varsler til deltakere i VDI 101 1,1 6,7% Annet 53 0,6 3,5% Totalt antall saker ,3 100%

7 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL Figur 2: Antall saker (Y-aksen) med behandlingstid over en dag (X-aksen). X-aksen er logaritmisk. VDI-deltakere 101 ganger om hendelser NorCERT mente det var viktig at deltakernes sikkerhetsorganisasjon fulgte opp. Behandlingstid I tredje kvartal i år har NorCERT håndtert saker. Dette tilsvarer rundt 0,7 nye saker i timen per person i operasjonssenteret. I tredje kvartal ble 86% av alle saker avsluttet samme dag de ble opprettet. De resterende 14% ble i snitt avsluttet i løpet av ni dager (se figur 2). Noe som bidrar til å forlenge behandlingstiden er saker hvor NorCERT involveres i håndteringen av alvorlige hendelser hos VDI-deltakere. Slike saker tar gjerne tid, da de ofte involverer bistand til analyse av disk, skadevare og logger. «Slike saker tar gjerne tid, da de ofte involverer bistand til analyse av disk, skadevare og logger.» Prioritet Det er stor forskjell på den interne prioriteringen av saker NorCERT håndterer. Det største volumet saker NorCERT håndterer er knyttet til varsling av internettilbydere og hostingleverandører om kompromitterte maskiner. Disse utgjør også en stor del av Figur 3: Antall saker per prioritet. Aksen for antall saker er logaritmisk (En er lavest, fem er høyest). sakene som avsluttes i løpet av én dag. De har også laveste prioritet, og behandles fortløpende, uten noen planlagt oppfølging fra NorCERTs side. Dersom operasjon- «Dette tilsvarer rundt 0,7 nye saker i timen per person i operasjonssenteret.» ssenteret mener et varsel om kompromittering trenger å følges opp, får den nest laveste prioritet. Saker som vurderes å være innenfor NorCERTs prioriterte virksomhetsområde får prioritet normal eller høyere, basert på alvorlighet. I tredje kvartal utgjorde denne typen saker 8,7% av det totale antall håndterte saker. For at en sak skal klassifiseres med høy viktighet må det som regel dreie seg om et målrettet angrep rettet mot kritisk infrastruktur. I tredje kvartal har NorCERT håndtert fem saker som har fått denne klassifiseringen (se figur 3). Men også utenfor operasjonssenteret arbeides det med mye forskjellig. En av tingene NorCERT arbeider med er å samle og vurdere IP-relatert informasjon, enten det kommer fra VDI-systemene eller fra andre kilder. Ett av områdene vi arbeider med er nettblokkanalyse knyttet til skadevare. Nøkkeltall I hver kvartalsrapport vil NorCERT presentere statistikk basert på egne data eller på analyse av andres. Formålet er å formidle kunnskap om NorCERTs arbeid og om det generelle IKT-risikobildet. På sikt er det mulig artikkelserien vil stabilisere seg rundt et utvalg av målepunkter, men i starten kommer vi til å eksperimentere en del både med format og innhold. Beregning av en karakter for omdømme (eng: reputation) for en nettblokk er en vanlig måte å forsøke å finne kandidater for IP-adresser man ønsker å blokkere. Det gjøres ved å lagre data om kjente kompromitteringer i den aktuelle nettblokken, og beregne en omdømmekarakter basert på utviklingen over tid. NorCERT utvikler sitt eget, interne verktøy for å lagre historiske data om IP-adresser, nettblokker og ASnummer, kalt IPKnowledge. Data fra åpne kilder i denne artikkelen er blant annet hentet fra: abuse.ch malware.com.br malwaredomainlist.com malwaredomains.com shadowserver.org

8 8 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nettblokkanalyse Innsamling og vekting av kunnskap om uønsket aktivitet i en nettblokk kan benyttes til å beregne omdømme for nettblokken. Bruk av slik kunnskap er en form for omdømmebasert sikring. Ofte søker en kunnskap om hvor infrastruktur for skadevare befinner seg, men man kan også være interessert i hvor det er en opphopning av infiserte klienter. Nettblokker hvor slik infrastruktur eller slike klienter får operere lenge uten å bli tatt ned, anser man som høyrisikoområder å besøke. Med tiden får disse en dårlig omdømmevurdering. Det finnes mange indikatorer både på infrastruktur og klienter knyttet til botnett og skadevare. En typisk indikator for infrastruktur vil være adresser og domener man finner i skadevare, eller det at slike domener peker inn i nye nettblokker. Infiserte klienter kan man finne dersom man får overtatt domener brukt av skadevare, og peker det til et «sinkhole», et sluk, som logger alle infiserte klienter som oppretter kontakt. Dette er ikke en virksomhet NorCERT bedriver, men flere internasjonale CERTer og sikkerhetselskaper gjør dette på jevnlig basis, og deler informasjonen de samler inn om kompromitterte klienter. En annen typisk metode er å identifisere maskiner som sender ut spam, eller medvirker i DDoS-angrep. Dersom man er villig til å gjøre en antagelse om at kompromitterte maskiner ofte brukes til kartlegging, kan man også monitorere kartleggingsaktivitet. Dessuten er massiv kartlegging i seg selv ansett som uønsket aktivitet. «Nettblokker hvor slik infrastruktur eller slike klienter får operere lenge uten å bli tatt ned, anser man som høyrisikoområder [ ]» månedsrapporter publisert kartleggingsstatistikk fra VDI. Det vi skal gjøre denne gangen er å korrelere denne informasjonen med informasjon fra åpne kilder, for å se om kan trekke noen konklusjoner i forhold til omdømme basert på dette. Tabell 2 viser kartleggingsstatistikk observert i VDI for tredje kvartal i år. Som vist tidligere i månedsrapportene våre, kommer USA, Russland og Kina høyt på listen, sammen med Brasil og Taiwan. Som man ser utmerker USA seg tydelig. Basert på aggregerte data om ulik kommando- og kontrollinfrastruktur for botnett fra flere åpne kilder, er det tydelig i Tabell 3 at USA er det primære opprinnelsesstedet. Tabell 3: Andel 39,2% Tabell 2: Andel Landskode 12,85% US 8,26% RU 6,64% CN 6,63% NO 6,63% BR 6,10% TW 2,83% IT 2,40% DE 2,25% JP 2,19% PL NorCERT har gjennom sine tidligere Landskode US 7,74% DE 6,99% RU 6,26% KR 4,29% CN 3,62% FR 2,70% NL 2,55% GB 2,41% CA 2,29% UA Her er det representasjoner av to ulike datasett som får USA til å komme ut på topp. Betyr det at USA er det farligste farvannet på nett? Realiteten er vesentlig

9 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL mer nyansert enn disse tallene skulle tilsi. Forstår man hvordan IP-adresser, nettblokker, AS-nummer og land henger sammen, kan man finne andre tilnæringsmåter til datasettene. Man kan for eksempel kalkulere kompromitteringsgraden som funksjon av kompromitterte maskiner over samlet adresserom for nettblokker man har informasjon om uønsket aktivitet fra. Om det for et spesifikt land finnes informasjon om X antall IP-er med mistenkelig oppførsel i flere forskjellige nettblokker med samlet adresserom Y, blir kompromitteringsgraden X/Y. På det samme datasettet hvor USA stod for 39% av de kompromitterte maskinene, ser man nå at USA ikke er nær toppen, se tabell 4. Derimot skiller Bosnia seg vesentlig ut. Et godt stykke bak følger Latvia, Ukraina og Russland, og vesentlig lenger bak følger land «Da kan omdømme gjenspeile sikkerhetsregimet til den eller de som har hånd om det aktuelle adresserommet [ ]» som Tyskland og USA, som i de foregående representasjonene skilte seg ut i andre enden av skalaen. Denne måten å gjøre beregningene på kan selvsagt også diskuteres. For land med få kompromitterte klienter i datasettet, kan noen få IP-er i en liten nettblokk gjøre at landet får et helt unaturlig utslag. Derfor burde disse dataene vært normalisert over det totale adresserommet som kan knyttes til hvert land. For å kompensere for dette i det aktuelle tallmaterialet, er land med mindre enn 50 IP-er i datasettet filtrert bort. Bosnia, som troner på toppen av lista har 100 IP-er i datasettet, men disse er fordelt på mindre enn et halvt B-nett. Derfor er det mulig å tenke seg at Bosnia her har fått et unaturlig stort utslag som følge av for lite grunnlagsdata. Tabell 4: Andel Landskode 3,76% BA 0,45% LV 0,41% UA 0,33% RU 0,26% CA 0,24% TR 0,14% CZ 0,11% NL 0,10% BR 0,07% EU 0,06% DE 0,06% FR 0,06% IT 0,05% ES 0,05% US Og slik er det stort sett når man skal forsøke å lage landbasert statistikk. Har du nok grunnlagsdata for alle land? Er knytningen fra nettblokk og AS til land korrekt? Er grunnlagsdataene dine representative for hele verden, eller bare en viss region? Derfor er det å lage god landbasert statistikk vanskelig, og det er begrenset hvor stor nytteverdi slike data har. Derimot kan omdømme med fordel benyttes på nettblokker, og særlig relativt små nettblokker. Da kan omdømme gjenspeile sikkerhetsregimet til den eller de som har hånd om det aktuelle adresserommet, og man kan bruke kunnskapen man bygger til å varsle eller blokkere om det går trafikk mot en høyrisikonettblokk. «[...] man kan bruke kunnskapen man bygger til å varsle eller blokkere om det går trafikk mot en høyrisikonettblokk.» VDI-fakta VDI er en forkortelse for Varslingssystem for digital infrastruktur. Det er et nasjonalt sensorsystem for deteksjon av alvorlige hendelser mot kritisk digital infrastruktur i Norge. Disse sensorene er typisk plassert på utsiden av brannmuren ute hos offentlige og private samarbeidspartnere. VDI ble opprettet høsten Formålet med VDI er å detektere og varsle om målrettede og koordinerte angrep mot samfunnskritisk IKT-infrastruktur. VDI er også et verktøy for å kvalitetssikre varsler, rapporter og innmeldte trender fra andre miljøer, og brukes som grunnlag for IKT-trusselbildet som utarbeides i et samarbeid med Etterretningstjenesten og Politiets sikkerhetstjeneste. Sensorsystemet skal ikke samle inn, eller benytte, informasjon til andre formål enn det som er definert i instruksen for NorCERT. Av personvernmessige hensyn skal heller ikke denne informasjonen kunne knyttes til enkeltpersoner. Det er strenge rutiner på plass for å sikre at dette ikke skjer. Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget) utfører årlig inspeksjon av NorCERT, hvor de blant annet undersøker nettopp dette. EOS-utvalget kommenterte i sin rapport for 2010: «Utvalget har i 2010 gjennomført fire inspeksjoner i NSM, herunder en inspeksjon av avdeling NorCERT, som er Norges nasjonale senter for håndtering av dataangrep mot samfunnskritisk infrastruktur og informasjon. Inspeksjonen viste at avdelingen er oppmerksom på personvernrelaterte problemstillinger». Deltagelse i VDI er frivillig, og det inngås avtaler med alle som deltar hvor partenes rettigheter og plikter reguleres. Detaljert informasjon om teknologien, deteksjonsmekanismer og deteksjonsevne i VDI er unntatt offentlighet. Navn på virksomheter som deltar er i utgangspunktet også unntatt offentlighet, men den enkelte virksomhet kan selv bestemme om sin egen deltagelse kan offentliggjøres.

10 10 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT En sort tulipan Utstedelse av falske digitale sertifikater fikk alvorlige konsekvenser for det nederlandske selskapet DigiNotar. Hendelsen med tilnavnet «Operation Black Tulip» har vært en del av nyhetsbildet for informasjonssikkerhetsmiljøet den siste tiden. Den nederlandske sertifikatutstederen DigiNotar har vært i sentrum for denne hendelsen, hvor flere falske sertifikater har blitt utstedt. Kompromitteringen av en slik tiltrodd tredjepart har medført at angriper eller dens samarbeidspartnere har hatt mulighet til å avlytte internettkommunikasjon gjennom mellommannsangrep. Over 500 falske sertifikater skal være utstedt av angriperen i løpet av kompromitteringsperioden. Utstedelse av de falske sertifikatene startet allerede i begynnelsen av juli, men det skulle gå over to måneder før saken ble offentlig kjent. En grundig uavhengig gransking av hendelsen ble satt i gang i slutten av august. Hendelsen ble oppdaget av en «Over 500 falske sertifikater skal være utstedt» iransk bruker som meldte fra til Google at han fikk en feilmelding ved innlogging på e-posttjenesten Gmail. Det gikk kort tid fra saken ble offentlig kjent til nettleserne trakk tilliten til sertifikatutstederen. Dette resulterte i at alle brukere som besøkte nettsteder med sertifikat fra DigiNotar ble møtt med en sikkerhetsadvarsel. Personen som påtok seg ansvaret for datainnbruddet, gikk tydelig ut og viste sin støtte til de iranske myndighetene. Dette skjedde både gjennom å dele de falske sertifikatene slik at de hadde mulighet til å utføre avlyttingsangrep mot sine egne innbyggere, samtidig som han direkte uttalte sin støtte til dem gjennom pressemeldingene utgitt på nettsiden Pastebin. Denne personen opererer på Internett under samme kallenavn som personen(e) som hevder å stå bak angrepet mot sertifikatutstederen Comodo, som ble kompromittert i mars At angrepet var spesielt rettet mot iranske brukere ble også tydelig når data fra OCSP-logger ble offentliggjort. Det viste seg at de aller fleste forespørsler om verifisering av falske DigiNotar-sertifikat kom fra iranske IP-adresser. Hendelsen har belyst problemer med sikkerhetsmodellen for sertifikater, da tiltrodde tredjeparter ikke alltid kan stoles på. Selv om man ikke helt kan vite hva som skjedde i den to måneder lange perioden mellom første falske utstedelse og til hendelsen var offentlig kjent, bør det settes spørsmålstegn om hendelseshåndteringen har foregått på en ryddig måte fra sertifikatutsteders side. Resultatet av hendelsen ble også dramatisk for DigiNotar da de mistet bevilgningen til å utstede flere sertifikater som igjen betydde kroken på døra for selskapet. Opptil flere forbedringstiltak har blitt foreslått til den nåværende sikkerhetsmodellen. Som foreslått i Sikkerhetsbloggen til NSM tidligere i år vil en mulighet være å redusere antall sertifikatutstedere som operativsystemet og nettlesere skal stole på ved å fjerne unødvendige rotsertifikater. Andre initiativ som kan nevnes er prosjektene Perspectives og etterfølgeren Convergence som har en mer desentralisert modell hvor flere «notary»-tjenere kontaktes for å verifisere et nettsteds sertifikat. Et av spørsmålene som vi må stille oss som et nasjonalt CERT er hvorvidt denne typen alvorlige hendelser også kan ramme norske bedrifter og internettbrukere. I Norge finnes det ingen sentral liste over utstedere av SSL-sertifikater. Trolig ville en slik liste være sammenfallende med listen over utstedere av kvalifiserte sertifikater som er publisert på nettsidene til Post- og Teletilsynet i henhold til selvdeklareringsordningen. Ut fra den listen er det kun to aktører som utsteder SSL-sertifikater i Norge. Disse har vi også hatt kontakt med i forbindelse med DigiNotar-kompromitteringen. Denne kontakten ble opprettet hovedsaklig for å kunne dele informasjon om angrepsvektorer og hvordan man kunne foreta ekstra tiltak for å sikre seg mot slike angrep. «Et av spørsmålene [...] er hvorvidt denne typen alvorlige hendelser også kan ramme norske bedrifter og internettbrukere.» Saksbegreper Mellommannsangrep Fra det engelske uttrykket «Man-in-The- Middle attack». Omhandler angrep hvor trusselaktør har mulighet til å observere og modifisere trafikk fra/til offeret. Kryptering og autentisering av forbindelsen med TLS/SSL er et eksempel på mottiltak mot slike typer angrep, et annet tiltak kan være å benytte krypterte Virtuelle Private Nettverk (VPN) med eksempelvis IPSec. Sertifikatutsteder (CA) Fra det engelske begrepet «Certificate Authority». Med unntak av selvsignerte sertifikater er man avhengig av en tiltrodd tredjepart for utstedelse av digitale sertifikater. Sertifikatutstederen signerer det digitale sertifikatet med sin hemmelige nøkkel tilhørende sitt offisielle rotsertifikat og går dermed god for identiteten til sertifikateieren. Sikkerhetsmodellen Nettleseren har en liste over rotsertifikat fra anerkjente sertifikatutstedere og vil kunne automatisk akseptere sertifikat signert av rotsertifikat på denne listen. Man kan i tillegg kontakte sertifikatutstederen og få verifisert ektheten av et digitalt sertifikat i forhold til revokeringsstatus. Online Certificate Status Protocol (OCSP) er en Internettprotokoll (RFC 2560) som brukes av enkelte nettlesere til dette formålet.

11 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL Manglende beskyttelse hos vannverket 9. september 2011 omtalte flere norske medier en rapport om Oslo kommunes vannbehandlingsanlegg. VG var først ute ved å si de hadde fått tak i den «hemmeligstemplede» rapporten som omhandlet vannbehandlingsanleggenes sikkerhet. Essensen i saken var at det skulle ha vært mulig å få tilgang til vannverkene ved hjelp av Bluetooth og koden Bluetooth er en teknologi for trådløs overføring av data. Over korte avstander kan man knytte sammen mobiltelefoner, datamaskiner og annet utstyr uten bruk av kabler. Bluetooth-teknologi via mobiltelefoner skal i følge Vann- og avløpsetaten ha vært avgjørende for både å gi ansatte i etaten tilgang til å styre vann- og avløpssystemet og adgang til viktige bygninger. Det ville altså være mulig, kun ved bruk av mobil å gjette det svært enkle passordet, og dermed overta kontrollen av vannforsyningen. Vannet til mennesker kunne i verste fall blitt sabotert på ulike måter. Vann- og avløpsetaten konkluderte med at de ikke hadde hatt tilstrekkelig fokus på informasjonssikkerhet, og at etaten heller ikke har hatt en formalisert tilnærming i sin håndtering av systemet. De rapporterte i etterkant at de nå ville styrke sin IKT-seksjon. Nasjonal sikkerhetsmyndighet har det siste året hatt fokus på sikkerheten rundt ITbaserte styringssystemer i Norge, som for eksempel brukes til å kontrollere produksjonsområder som drikkevann, vannmagasiner og oljeforsyningen i Nordsjøen. Daværende avdelingsdirektør for NorCERT, Christophe Birkeland, advarte blant annet i et intervju med Aftenposten i 2010 om at vi ser trojanere som er spesiallaget for å ta styring på prosess- og kontrollsystemer. I tilfellet med Oslos vannbehandlingsanlegg ble sikkerheten vurdert til å være langt under akseptabel. «Vannforsyningen i Norge er å anse som en kritisk samfunnsfunksjon. Det er viktig både med en fysisk beskyttelse av vannforsyningen, men også en beskyttelse av informasjonssikkerheten», uttalte underdirektør i Nasjonal Sikkerhetsmyndighet Dagfinn Buset til VG i forbindelse med saken. Foto:Illustrasjonsfoto

12 12 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Mobile trusler Mobiltelefonen er uunnværlig for de fleste, og brukes både i privat- og jobb-sammenheng. Utviklingen fra et viktig kommunikasjonsmiddel til å inkludere mange flere bruksområder, gjør det svært viktig for brukere å være bevisst på trusler og utnyttelsesforsøk fra uvedkommende. Mobile trusler utvikler i 2011 seg til å bli en stadig større del av internettkriminaliteten. Nyere mobiltelefoner har nå blitt små datamaskiner, og salget er stadig økende. Blant annet rapporterte NetCom i mars at nærmere 90 % av mobilene solgt gjennom deres salgskanaler er en smarttelefon. De brukes som alt fra telefon- og meldingstjenester til nettleser, betalingstjenester, dokumentbehandling, lagringsenhet og kamera. I tillegg blir det stadig mer populært å laste ned ekstra programvare på mobilen. På dagens smarttelefoner kan man lagre samme type informasjon som på en PC. Alt fra mail og adressebok til personlige bilder blir tatt med over alt. Samtidig tenker ikke alle på telefonen som et like attraktivt mål som en PC, og unnlater derfor å beskytte den i like stor grad. En smarttelefon kan dermed være mer sårbar, men samtidig ett minst like attraktivt mål som en PC. Hvilke trusler? Truslene varierer fra helt enkel til avansert skadevare. Som bruker av smarttelefoner er det viktig å være bevisst på dens sårbarheter. En smarttelefon kan infiseres av virus og trojanere, på samme måte som en vanlig «På dagens smarttelefoner kan man lagre samme type informasjon som på en PC» datamaskin. En angriper vil ved å utnytte en sårbarhet kunne få kontroll over og tilgang til hele telefonen, inkludert alt av meldinger, bilder, kontakter, avtaler, surfe-historikk og lokasjon. Med et overvåkningsprogram kan samtaler avlyttes og filmes, og bevegelsesmønstre kan kartlegges. Det trenger ikke være mindre risikabelt å blindt klikke på lenker, vedlegg osv. på en mobiltelefon enn på en datamaskin. Mobile nettlesere, på lik linje med desktop-nettlesere, kjører også Javascript-tolkere og har støtte for tredjepartstillegg. «Drive-by exploits» hvor man blir infisert uten å klikke på noe som helst er veldig utbredt på datamaskiner, men forholdsvis nytt for smarttelefoner. De fleste typer skadevare på mobiltelefoner som man leser om i media har vist seg å komme fra ondsinnede mobilapplikasjoner. Manglende kvalitetssikring i Android-markedet har vært et hett tema som har medført en del kritikk mot Google. Flere av de tilgjengelige applikasjonene muliggjør angrep som tidligere kun var mulig fra datamaskiner. Annet som er verdt å merke seg er rettighetene en applikasjon ønsker ved installasjon. Det bør ikke gis tilgang til applikasjoner det ikke stoles 100 prosent på, og det må også tas høyde for at det finnes forfalskninger på markedet. Vi ser at det blir stadig mer vanlig for brukere av smarttelefoner å utføre «jailbreaking/rooting» av telefonen, og det er nå blitt en enkel operasjon å gjennomføre for de fleste. Dette gir brukeren frie tøyler til å gjøre det man vil på mobilen sin, men det er også noe som skadevare kan nyte godt av. En jailbreaket telefon kan være mer sårbar for kompromittering. En av grunnene til å utføre jailbreaking er for mange muligheten til fjerninnlogging, for eksempel med programmer som SSH. Et problem her kan for eksempel være at root-passordet på SSH-tjenesten for iphone er standard og åpent kjent. Dersom man ikke endrer dette, vil telefonen være helt åpen for alle. Med root-tilgang kan en uvedkommen gjøre nærmest hva den vil med systemet. Et annet aspekt rundt disse nye truslene er at det kan utgjøre en kilde til stadig økende datatap for bedrifter og organisasjoner. Spesielt ser vi dette med tanke på bruk av e-post. Ansatte tar de små datam- «Vi ser at det blir stadig mer vanlig for brukere av smarttelefoner å utføre jailbreaking/rooting av telefonen.» askinene i bruk på jobben, og skillelinjene mellom privat og forretningsmessig bruk blir mer og mer utydelige. Sikkerhetsutfordringene får enda en ny dimensjon ved at det nå er veldig enkelt å ta med seg data ut av jobblokalene. Dette kan føre til store hull i den virtuelle sikkerhetsstrukturen. I Mørketallsundersøkelsen 2010, gjort av Næringslivets Sikkerhetsråd, kommer det frem at 64% av virksomhetene som deltok har tilgang til e-post gjennom mobilen. Tallet er enda høyere blant de «Sikkerhetsutfordringene får enda en ny dimensjon ved at det nå er veldig enkelt å ta med seg data ut av jobblokalene.» største virksomhetene, hvor hele 78 % har tatt i bruk e-post på mobil. Samtidig er det kun 39 % som viser til fastsatte krav og retningslinjer for denne typen bruk. Hvordan sårbarhetene utnyttes For å kunne utnytte en mobiltelefon trengs en angrepsoverflate. Grensesnittene som finnes på de fleste moderne mobiltelefoner er Bluetooth, USB og WLAN. I tillegg består angrepsoverflaten av applikasjoner, herunder API (programmeringsgrensesnitt) og installerte programmer. Sikkerhetsrapporter fra hele verden viser en stadig økning av trusler i form av farlige mobilapplikasjoner. Dette dreier seg ofte om populære applikasjoner som spill- eller musikk-apper maskert som legitime applikasjoner, og de har som mål å samle og videresende personlig informasjon som kredittkortinfo og innloggingsdetaljer. Utfordringer og anbefalinger Bruken av smarttelefoner og andre mobile enheter øker. Med dette øker avhengigheten til denne typen teknologi i både offentlig og privat sektor, også innen kritisk

13 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL Hvordan beskytte seg? «De fleste typer skadevare på mobiltelefoner som man leser om i media har vist seg å komme fra ondsinnede mobilapplikasjoner.» infrastruktur. Denne utviklingen gjør det nødvendig med strengere krav til sikkerhetsfokus blant både virksomheter og enkeltbrukere. Næringslivets Sikkerhetsråd vurderte i 2010 at hos minst 61% av virksomhetene i deres undersøkelse var mobilbruk og e-post en sikkerhetsrisiko. Den siste tiden har NorCERT fått flere henvendelser om mulig infiserte smarttelefoner. NorCERTs erfaring har vært at bevissheten blant virksomheter rundt dette problemet begynner å øke. En bekymring hos mang en ledelse er blant annet at ansatte nå har klare forventninger om å kunne bruke mobile enheter og den tilgjengeligheten dette fører med seg. Det mest grunnleggende i håndteringen av dette, vil være å gjennomføre risikovurderinger samt utarbeide klare retningslinjer og opplæring for bruk. Lås ned telefonen - PIN-kode (med mer enn 4 siffer)/passordbeskyttelse og låsing av telefonen eller automatisk sletting av data ved for mange feilinntastede passord. Installer sikkerhetsprogramvare Flere antivirusselskaper tilbyr nå mobilversjoner av sine produkter. Vær forsiktig med installasjon av mobilapplikasjoner - Vær kritisk til hva du laster ned. Vurder å innføre en policy der kun forhåndsgodkjente applikasjoner kan innstalleres. Oppdater telefonen - På lik linje med datamaskinen din vil det komme programvareoppdateringer til telefonen også. Ta backup! Vær forsiktig med hvilke sider du klikker på! Unngå jailbreaking! Sist, men ikke minst, ikke mist telefonen!

14 14 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT NorCERTs oppgaver Populært sagt er NorCERT «hovedredningssentral for Internett i Norge». Hovedoppgaven vår er å koordinere hendelseshåndtering ved alvorlige sikkerhetstruende hendelser. Dette blir fort litt høytsvevende beskrivelser, og vi skal derfor se litt på hva dette konkret kan innebære. «Grunnen til at vi også jobber med dette er for å bygge kompetanse og kontaktnettverk samt holde det generelle sikkerhetsnivået på Internett i Norge så høyt som mulig.» NorCERT håndterer ca 501 (månedlig gjennomsnitt hittil i 2011) saker per måned. Basert på dette skjønner man raskt at ikke alle sakene er like alvorlige. Flesteparten faller i utgangspunktet utenfor definisjonen av hvilke oppgaver NorCERT ble opprettet for å håndtere, nemlig angrep mot kritisk infrastruktur. Grunnen til at vi også jobber med saker utenfor kjernevirksomheten, er for å bygge kompetanse og kontaktnettverk samt holde det generelle sikkerhetsnivået på Internett i Norge så høyt som mulig. Alvorlighetsgraden spenner fra for eksempel å varsle norske internettleverandører om kompromitterte kunder i deres nettverk, til å håndtere alvorlige dataangrep og spionasjesaker mot interesser i Norge. La oss starte med en sak i den minst alvorlige enden av skalaen. NorCERT mottar daglig rapporter om kompromitterte klienter og websider i Norge. Denne informasjonen mottar vi fra ulike eksterne kilder. For eksempel mottar vi informasjon fra sikkerhetsforskere som drifter såkalte sinkholes. Når en PC blir kompromittert av skadevare vil den etablere kontakt med en server (kjent som «Command & Control server») for å sende ut informasjon og motta kommandoer om hva den skal gjøre. Sikkerhetsmiljøer (f.eks. antivirusselskaper) samarbeider med internettleverandører om å ta over adressene til disse serverne, og sender så informasjon til nasjonale CERTer om maskiner som prøver å koble seg opp mot disse. NorCERT mottar denne informasjonen, og sender den videre til de respektive internettleverandørene, og disse tar igjen kontakt med kundene sine. Samtidig drifter NorCERT sitt eget sensorsystem som heter Varslingssystem for digital infrastruktur (VDI). Dette er et system som består av sensorer som er utplassert hos virksomheter som er kritiske for det norske samfunnet. Deltagelse i VDI er frivillig, og teknologien er lagt opp slik at NorCERT ikke har anledning til å identifisere nettverkstrafikk fra enkeltpersoner. Målet med VDI er å oppdage alvorlige IKTangrep mot kritisk infrastruktur i Norge. I media har arkivbilder fra NorCERTs operasjonssenter flere ganger blitt brukt i sammenheng med blant annet saker om bekjempelse av piratkopiering og datalagringsdirektivet, og det er svært viktig for oss å understreke at dette er saker som ikke er relevante for NorCERT, og VDI brukes ikke til disse formålene. Hittil i år har NorCERT håndtert ni saker som vi definerer som alvorlige. Dette er saker som ofte kan dreie seg om industrispionasje og skadelig etterretningsvirksomhet mot norske interesser. Denne typen saker kan innledes for eksempel ved at en alarm går i VDI, og vi starter undersøkelser basert på dette, eller at en virksomhet kontakter oss basert på mistanke om datainnbrudd. Vår håndtering av saken vil da i hovedsak bestå av koordinering og analyser. Første prioritet i en slik sak er som regel å stoppe eventuelle lekkasjer av data, samt å kartlegge omfanget av kompromitterte maskiner hos virksomheten. For å kunne gjøre dette bistår NorCERT med å analysere skadevare, slik at man kan hente ut såkalt triggerinformasjon. Basert på det vi finner er det opp til virksomheten selv å implementere nødvendige tiltak for å stoppe videre spredning og eksfiltrasjon. En slik hendelse kan du lese om på neste side Samtidig vil vi bistå med å koordinere opp mot andre aktører i Norge. Det kan være de øvrige EOS-tjenestene, Politiet eller andre virksomheter som kan tenkes å være i målgruppen for angrepet. NorCERT gjennomfører ikke etterforskning til hensikt å avdekke aktører, og vi lagrer heller ikke bedrift- eller personsensitive opplysninger i VDI-systemet.