Kraftig økning i antall håndterte hendelser

Størrelse: px
Begynne med side:

Download "Kraftig økning i antall håndterte hendelser"

Transkript

1 Nasjonal sikkerhetsmyndighet Kvartalsrapport for 1. kvartal 2013 Kraftig økning i antall håndterte hendelser 113 % Det er økningen i antallet hånd terte saker fra første kvartal 2013 til samme periode i fjor. Men til tross for en voldsom økning i antall saker med kompromitterte nettsider, har antall varsler om kompromitterte datamaskiner gått ned Dødspakkene En pakke med et spesifikt innhold, og vips, så er det mulig å drepe Ethernet-kontrolleren. Oppdageren av de ondsinnede pakkene Kristian Kielhofner var mannen som gav dem navnet. Det er akkurat det de er, sier han. Hvem er hackeren? Forbryter med finlandshette, eller kvisete tenåring? Hvem står bak dataangrepene som stadig øker i omfang? Det du definitivt aldri bør gjøre er å forhandle med hackerne, sier virusanalytiker Snorre Fagerland i Norman.

2 Innhold Informasjonsikkerhet et felles ansvar 3 Aktiviteter 3 Sammendrag av kvartalet 4 Nøkkeltall fra NorCERT 6 Verdiene er ikke godt nok sikret 11 Cyberuvær og langtidsvarsel 12 Teknisk: Bit9-kompromittering 14 Teknisk: Dødspakkene 15 De fleste IT-angrepene kan stoppes! 17 Teknisk: ItaDuke og MiniDuke 18 Hvem er hackeren?? 20 Kodeknuserne i Bletchley Park 22 Serviettens betydning 23 NorCERT Norwegian Computer Emergency Response Team (NorCERT) er Norges nasjonale senter som koordinerer hendelseshåndtering i forbindelse med alvorlige IKT-sikkerhetshendelser. NorCERT er en funksjon som ivaretas av Operativ avdeling i Nasjonal sikkerhetsmyndighet (NSM). Varslingssystem for digital infrastruktur (VDI) er en del av NSM/NorCERT, og yter tjenester som skal gjøre samfunnsviktige offentlige og private virksomheter i bedre stand til å oppdage og håndtere alvorlige IKT-sikkerhets hendelser. Fra vårt operasjonssenter identifiserer vi og varsler om nye alvorlige angrep, trusler og sårbarheter. NorCERT kvartalsrapport gir en oppsummering av trender i IKT-risikobildet basert på hendelser og saker som vi har håndtert i løpet av forrige kvartal.

3 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL Aktiviteter Kjernevirksomheten i NSM/NorCERT skjer i operasjonssenteret i Tvetenveien 22. Vi er imidlertid også engasjert i en del andre aktiviteter. Under har vi listet noe av NSMs eksterne aktivitet i andre kvartal Er du i nærheten av der vi er? Da oppfordrer vi deg til å ta kontakt! IT-sikkerhet er et nasjonalt lagspill, og alle vinner på å bli bedre kjent. Informasjonsikkerhet et felles ansvar I denne kvartalsrapporten ser dere at antallet saker vi håndterer øker, samtidig som angriperne stadig finner nye metoder for å bryte seg inn eller lure oss brukere. Samtidig satses det kraftig i mange miljøer for å møte denne trusselen. Her i Nasjonal sikkerhetsmyndighet og NorCERT er vi i full gang med å rekruttere nye medarbeidere for å implementere regjeringens satsning. Dette skal blant annet gi oss bedre deteksjon av angrep, 24/7 operasjonssenter og tettere Nordisk samarbeid. Det er en krevende prosess å rekruttere og ta i mot så mange nye medarbeidere og i en periode kan dette gå noe utover vår leveranseevne. Vi ber om forståelse for dette. Tilsvarende bygges det opp responsmiljøer både i de enkelte sektorene og i offentlige og private virksomheter. Dette skaper stor etterspørsel etter ressurser med rett kompetanse. For å få en best mulig effekt av denne satsningen vil samarbeid og deling av informasjon være helt avgjørende. En virksomhet sitter kanskje med en bit av puslespillet, mens vi sitter på en annen, uten at noen av oss har oversikten. Denne oversikten kan vi bare få om vi offensivt deler informasjon. På den måten kan vi også stimulere til samarbeid og sikre oss at vi utnytter ressursene best mulig. For at dette skal lykkes må vi alle ta et ansvar for å få det til. Fra vår side her i NSM/Nor- CERT vil vi fokusere på å best mulig legge til rette for at vi kan videreutvikle samarbeid og bidra til at informasjon blir gjort tilgjengelig til dem som trenger den. I denne rapporten vil dere også se at vi skriver mye om hvordan web-sider kompromitteres og brukes i målrettede angrep. Dette er en økende trend, og noe vi vil vie betydelig oppmerksomhet i perioden som kommer. Med vennlig hilsen Eiliv Ofigsbø Avdelingsdirektør Operativ avdeling April april Deltakelse på HackCon # 8, Oslo 23. april Foredrag på Seminar om IKTsikkerhet i bore- og prosess kontroll, sikkerhets og støtte systemer fagseminar for oljesektoren, Stavanger Mai mai Foredrag på CARO, Bratislava mai Foredrag på Beredskapskonferansen, Stavanger Juni juni Deltakelse på SANS for 610, Kongsberg 11. juni Nasjonal sikkerhetsmyndighet 10 år! 12. juni NorCERT Sikkerhetsforum konferanse for NorCERTs samarbeidspartnere, Oslo juni Deltakelse på FIRST, Bangkok Juli 27. juli 1. august Black Hat, Las Vegas August august DefCon, Las Vegas Vi omorganiserer Nasjonal sikkerhetsmyndighet (NSM) omorganiserte 1. januar i år. Omorganiseringen skal gjøre oss enda bedre til å samhandle internt, gjøre leveransene mer synlige, og videreutvikle NSM som direktorat. NorCERT-funksjonen er nå en del av Operativ avdeling, ledet av Eiliv Ofigsbø. De andre avdelingene heter nå Teknologi, Sikkerhetsstyring, Kontroll, Plan og strategi, HR, Kommunikasjon og Informasjonsforvaltning.

4 4 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT Sammendrag av kvartalet Dette kvartalet har vært preget av hektisk aktivitet relatert til flere saker som også har vært slått opp stort i media. En rapport om målrettede angrep fra Kina fikk mye oppmerksomhet. Hos oss ble det straks satt i gang undersøkelser for å se om vi kunne knytte dette til tidligere håndterte saker. Det viste seg å være tilfelle. Telenor fikk mye medieoppmerksomhet da de valgte å stå frem med at de hadde blitt utsatt for industrispionasje hvor dokumenter og eposter hadde blitt stjålet fra datamaskinene til flere sjefer. Tjenestenektangrepet mot Spamhaus og Cloudflare demonstrerte hvordan svakheter i oppbyggingen av Internetts DNS-infrastruktur kan utnyttes til å generere store mengder uønsket datatrafikk. Vannhullsangrep, som vi advarte mot i forrige kvartalsrapport, ser ut til å være en økende trend, der tilsynelatende ufarlige nettsider utnyttes til å spre skadevare til utvalgte brukergrupper. I februar offentliggjorde det amerikanske sikkerhetsselskapet Mandiant en rapport om omfattende spionasjeoperasjoner via Internett mot vestlige land. USA var i følge rapporten hardest rammet, men også én operasjon mot Norge ble nevnt. I rapporten omtalte Mandiant gruppen som sto bak angrepene som APT1, og konkluderte med at dette mest sannsynlig er en gruppe assosiert med kinesiske myndigheter. Mandiant peker på tekniske spor som de mener knytter denne gruppen til en bestemt bygning i Shanghai. Samsvar meg egne funn NSM/NorCERT fokuserer på å avdekke og bistå til å håndtere hendelser knyttet til slike etterretningsoperasjoner, noe som medfører at vi også jobber med å knytte enkeltsaker sammen til større sakskomplekser. NSM har derimot ikke fokus på å avdekke hvilke aktører som står bak de ulike etterretningsoperasjonene. Dette er et ansvar som tilfaller Politiets sikkerhetstjeneste og Etterretningstjenesten. Mandiant-rapporten inneholder mange tekniske detaljer om fremgangsmåter og infrastruktur som har blitt brukt i angrepene. Dette samsvarer svært godt med funn gjort i en lang rekke saker NSM/NorCERT har håndtert i samarbeid med deltakere i det nasjonale sensornettverket VDI. Vi har gått gjennom tidligere målrettede angrep mot norske mål, og har funnet likhetstrekk med rundt 20 saker som vi har vært med på håndteringen av. Flere av disse sakene har vært rettet mot én og samme virksomhet. Allerede i 2011 gikk vi gjennom en artikkel i Aftenposten offentlig ut med at vi kjente til minst 10 alvorlige saker hvor vi hadde sterk mistanke om denne spesielle aktøren. Denne ene aktøren er kun én av flere NSM/NorCERT er kjent med at opererer aktivt i Norge. Som nevnt i forrige kvartalsrapport har vi registrert mer enn en dobling i antall alvorlige hendelser av denne typen fra 2011 til Saker av denne typen håndteres primært i samarbeid med virksomheter tilknyttet VDI, som kun utgjør et lite utsnitt av private og offentlige virksomheter med samfunnsviktige funksjoner. Vi må altså anta at mørketallene på området er store. Telenor utsatt for digital spionasje Telenor meldte i februar fra om at mistenkelig trafikk fra datamaskinene til flere Telenor-sjefer hadde blitt fanget opp av Telenors eget operasjonssenter (Telenor SOC). Det viste seg at sjefene hadde blitt utsatt for skreddersydde trojaniserte eposter som inneholdt spionprogramvare som hentet ut sensitiv informasjon fra sjefenes datamaskiner. Epostene var meget godt utformede og så ut til å komme fra kjente leverandører eller kolleger. Noen eposter inneholdt zip-filer med skadevare, andre inneholdt lenker til webadresser hvor skadevare ble lastet ned på maskinen. NSM/NorCERT bisto Telenor med blant annet skadevareanalyse og utarbeidet varsel om hendelsen med tekniske detaljer til vårt kontaktnett slik at andre kunne lete etter tegn til innbrudd. Gjennom våre samarbeidende CERT-er internasjonalt fikk vi dermed kjennskap til at lignende fremgangsmåte også var brukt mot et annet stort telekomselskap. Telenor har anmeldt saken og den er nå under etterforskning av Kripos. Gigantisk tjenestenektangrep Tidenes største tjenestenektangrep (DDoS) fikk mye oppmerksomhet i internasjonale medier i slutten av mars. Bakgrunnen for angrepet var at anti-spam organisasjonen Spamhaus hadde svartelistet den nederlandske virksomheten Cyberbunker på grunn av utsendelse av spam. Nettaktivister som støttet Cyberbunker satte Mandiant-rapporten inneholder mange tekniske detaljer om fremgangsmåter og infrastruktur som har blitt brukt i angrepene.

5 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL dermed i gang et stort tjenestenektangrep mot Spamhaus. For å håndtere dette benyttet Spamhaus selskapet Cloudflare sine produkter for DDoS-beskyttelse, noe Cloudflare skrev om i sin blogg. Dermed rettet aktivistene DDoS-angrepet mot Cloudflare, denne gangen med økende intensitet. De som sto bak angrepene utnyttet en lenge kjent sårbarhet i DNS (Domain Name System), som er en slags telefonkatalog for Internett som oversetter navn på nettsider til IP-adresser. Siden mange Internettleverandører ikke verifiserer at trafikken som går ut fra eget nett har satt riktig avsender-adresse er det mulig å utnytte DNS til å generere store mengder trafikk som kan utnyttes i et såkalt DNS amplification DDoS. Den uønskede trafikken ble også dirigert mot infrastrukturen til Internettleverandørene til Spamhaus og Cloudflare, noe som fikk ringvirkninger og førte til merkbar treghet på Internett for vanlige brukere enkelte steder. Økende trend med vannhullsangrep Såkalte vannhullsangrep, eller strategiske kompromitteringer av nettsteder, ser ut til å være en økende trend. NSM/NorCERT har i dette kvartalet kunnet observere to ulike hendelser hvor nettsidene til høyt profilerte og vel ansette analyseselskaper har blitt brukt av angriper for å få installert spionprogramvare på besøkendes datamaskiner. I den første kampanjen ble hjemmesidene til den EU-orienterte tenketanken Centre for European Policy Studies (CEPS. be) benyttet som spredningspunkt, dette ved utnyttelse av en nylig avdekket Java-sårbarhet. Dette ble oppdaget i VDI og varslet om via det belgiske CERTet. Den andre kampanjen gjaldt Information Handling Services (IHS.com/Jane s) som er et anerkjent analyseselskap med kunder i svært mange store selskaper, i statsadministrasjonen og forskningsmiljøer. Denne kampanjen virket å være så omfattende at det er sannsynlig at en rekke norske virksomheter kan ha blitt rammet. NSM/Nor- CERT ble tipset om denne saken via et VDI-medlem som oppdaget mulige kompromitteringer som kunne spores tilbake til dette nettstedet. Teknisk informasjon om begge disse hendelsene har blitt delt med det norske sikkerhetsmiljøet, dette for å kunne gi rammede virksomheter en mulighet til deteksjon og gjenoppretting. Tidenes største tjenestenektangrep (DDoS) fikk mye oppmerksomhet i internasjonale medier i slutten av mars.

6 6 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nøkkeltall fra NSM/NorCERT Økningen i antall saker fra første kvartal 2012 til første kvartal 2013 er på 113 prosent. Bare fra forrige kvartal er økningen på dramatiske 62 prosent. Det er spesielt saker knyttet til norske websider som sprer skadevare som driver økningen. Dette kvartalet har NSM/NorCERT også håndtert to saker hvor websidene til FN, analyseselskapet IHS og den europeiske tenketanken CEPS har blitt brukt til å spre spionprogramvare til besøkende. Til tross for en voldsom økning i antall saker med kompromitterte websider, har antall varsler om kompromitterte datamaskiner gått ned. Også dette kvartalet må NSM/NorCERT rapportere om en kraftig økning i antall saker som kommer inn til operasjonssenteret på Bryn i Oslo. Det største bidraget til økningen dette kvartalet er først og fremst en kraftig vekst i antall saker hvor det er mistanke om at norske websider bidrar til å spre skadevare. Saker i denne kategorien er mer enn femdoblet siden fjerde kvartal Samtidig har veksten i andre typer saker vært på 10 prosent i samme periode. Dette er også en markant økning. Antall saker under operativ håndtering har altså mer enn doblet seg siden samme kvartal i fjor. Summen gir en total økning i antall saker fra forrige kvartal på oppsiktsvekkende 62 prosent. Økningen fra første kvartal 2012 er på 113 prosent. Antall saker under operativ håndtering har altså mer enn doblet seg siden samme kvartal i fjor. en total økning i antall saker fra forrige kvartal på oppsiktsvekkende 62 prosent. Kapasitet Det å håndtere en slik økning er utfordrende. For øyeblikket har NSM/NorCERT begrenset kapasitet til å håndtere saker hvor det er mistanke om at norske websider bidrar til spredning av skadevare. Foreløpig må vi altså innse at en rekke norske websider sprer skadevare uten at vi har kapasitet til å følge dem opp og sørge for at det blir ryddet opp. Samtidig som vi opplever denne økningen står vi i en krevende oppbemanningsprosess hvor vi skal omlag doble antall ansatte tilknyttet NSM/NorCERT i løpet av året. Å bekjempe spredning av skadevare fra norske websider er et strategisk viktig satsingsområde for oss, og vi arbeider derfor med å etablere løsninger for å håndtere det. Vi håper å ha en foreløpig løsning på utfordringen over sommeren. Når oppbemanningen har kommet lenger, og våre nyansatte har fått den opplæringen de trenger, vil kapasiteten til å håndtere den voksende saksmengden bli bedre. Utvikling Utviklingen i antall saker under operativ behandling i NSM/NorCERTs operasjonssenter har de siste seks årene hatt en tilnærmet lineær vekst. Dette ser man tydelig i Figur 1: Antall saker under operativ håndtering figur 1, hvor antall saker per kvartal er plottet. Den blå heltrukne linjen er antall saker, men uten at saker med kompromitterte websider er talt med. Den tilhørende heltrukne grønne trendlinjen illustrerer hvor jevn økningen har vært over tid. Den stiplede grå linjen viser det totale antallet saker, inkludert kompromitterte websider. Grunnen til at den er skilt ut på denne måten er fordi vi i øyeblikket kun i begrenset omfang håndterer denne typen saker. Årsaken er som nevnt kapasitetsutfordringer. Det som likevel tydelig trer frem i grafen er at økningen i denne typen saker nærmest har eksplodert de siste kvartalene. I løpet av de siste par årene har det ved flere anledninger blitt nevnt at veksten i antall saker ikke kan fortsette «til evig tid». Nå tror vi kanskje dette er en vekst vi må leve med i overskuelig fremtid. Det er i alle fall ingen tegn til at veksten avtar. Med den økte innrapporteringen av kompromitterte websider skyter veksten tvert i mot kraftig i været. Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Grafen viser saker under operativ håndtering. På grunn av den markante økningen i saker knyttet til kompromitterte norske websider som enten sprer skadevare eller på annen måte misbrukes av kriminelle, er disse tallene splittet ut. Den heltrukne blå linja viser saker som ikke kan knyttes til kompromitterte websider. Den stipla grå linja er det totale antall saker.

7 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL Dette er bekymringsfullt. Samtidig er det en situasjon vi som arbeider med informasjonssikkerhet må ta inn over oss og håndtere. kanskje dette er en vekst vi må leve med i overskuelig fremtid. Websider som sprer skadevare Som det fremgår av grafen over antall saker under operativ håndtering (figur 1) har antall saker hvor det er mistanke om at norske, legitime websider bidrar til å spre skadevare økt kraftig det siste kvartalet. I kvartalsrapporten for fjerde kvartal 2012 gikk vi grundig gjennom farene ved at legitime, norske websider sprer skadevare til intetanende besøkende. En av farene er økt spredning av skadevare som tilrettelegger for økonomisk kriminalitet, som for eksempel «banktrojanere». En annen er at de kompromitterte serverne kan brukes til å gjennomføre kraftige tjenestenektangrep. En tredje fare at de kompromitterte serverne brukes i mer målrettede angrep mot utvalgte norske virksomheter. Som vi har nevnt tidligere er det heller ikke bare mindre og relativt sett lite besøkte eller obskure websider som blir kompromittert og brukt til å spre skadevare til sine besøkende. Også store, kjente websider og riksdekkende nettaviser blir rammet av dette. Så langt har NSM/NorCERT ikke grunnlag for å si at noen av disse websidene har blitt brukt i målrettede angrep, men vi har flere eksempler på at store og kjente websider i utlandet har blitt brukt til å spre skadevare knyttet til industrispionasje eller etterretning. Økningen i innrapportering av kompromitterte websider kommer blant annet av at vi får inn gode rapporter fra det norske sikkerhetsmiljøet, spesielt fra noen svært gode kilder. Strategiske webkompromitteringer Når en webside kompromitteres som ledd i en spionasjeoperasjon kalles det på engelsk gjerne for «strategic web compromise» eller «waterhole attack». Bakgrunnen for uttrykkene er at en aktør velger ut en eller flere websider å kompromittere, basert på hvilken besøksmasse de tiltrekker seg. Om du er ute etter informasjon du kan få fra kraftsektoren, kompromitterer du en webside som det er sannsynlig at først og fremst folk fra kraftsektoren besøker. Du kan for eksempel kompromittere en webside for en bransjeforening eller et bransjetidsskrift. Dersom du er ute etter å kompromittere strategiske analysemiljøer kan du for eksempel kompromittere en tenketank sine hjemmesider, eller hjemmesiden til et selskap som tilbyr analyser innen områder som passer profilen til den type mål du er ute etter å kompromittere. På norsk kaller vi denne typen angrep for strategisk webkompromittering. Denne måten å kompromittere virksomheter på er vesentlig mer krevende enn å sende ut såkalt «phishing»-epost. Det kreves mer struktur og infrastruktur av aktører som ønsker å gjennomføre en slik operasjon effektivt enn om man baserer seg på phishing. Årsaken er at man trenger kunnskap og mekanismer for å filtrere bort alle besøkende man ikke finner interessant for kompromittering, eller en prosess for å organisere en vesentlig større mengde kompromitterte klienter etter kompromitteringen. Dersom man er ute etter spesifikke personer og ikke bare etter fotfeste i et sett organisasjoner, må man i tillegg bruke tid på å identifisere alle man har kompromittert. I mer tradisjonell spear-phishing er denne identifiseringen gjort i forkant. Samtidig kan det være vesentlig vanskeligere å forsvare seg mot slike angrep enn å forsvare seg mot ondsinnede eposter. For det første finnes det en rekke sikkerhetsløsninger som er spesialisert til å oppdage mistenkelig epost, som for eksempel Nøkkeltall I hver kvartalsrapport vil Nor- CERT presentere statistikk basert på egne data eller på analyse av andres. Formålet er å formidle kunnskap om det generelle IKT-risikobildet og om Nor- CERTs arbeid. NorCERT rapporterer kun på saker som har vært til operative håndtering ved vårt operasjonssenter. Operativ håndtering NorCERT prioriterer å håndtere saker innen to hovedkategorier. Den første hovedkategorien er det vi forstår som «abuse»-håndtering. Dette innebærer å varsle internettilbydere om virusinfiserte kunder, og tjenesteleverandører om websider som sprer virus eller medvirker til svindel. Disse sakene står for størsteparten av volumet, og følges i liten grad opp når varsel er sendt. Grunnen til at NorCERT velger å bruke ressurser på dette arbeidsområdet er at det er viktig for å holde det norske «nærområdet» på Internett så trygt som mulig, altså så fri for virus og svindel som mulig. Dette gjelder i sær spredning av banktrojanere og annen skadevare som truer tilliten til den digitale økonomien. Den andre hovedkategorien er oppfølging av alvorlige hendelser hos kritiske og samfunnsviktige virksomheter, herunder deltakere i VDI-samarbeidet. De største og mest alvorligste sakene i denne kategorien kan ofte knyttes til mistanke om eller forsøk på spionasje. En annen viktig underkategori er saker hvor større norske websider er kompromittert og sprer virus til intetanende besøkende.

8 8 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT spear-phishing, og for det andre har årvåkne brukere en reell mulighet til å fatte mistanke til slike angrepsforsøk. I tillegg kan et slikt forsøk på kompromittering oppleves mindre målrettet, og dermed mindre farlig. Dette kan medføre at man ikke vurderer kompromitteringsforsøket som veldig alvorlig, og dermed heller ikke bruker tid og ressurser på håndtering og analyse. I første kvartal i år har NorCERT vært involvert i håndteringen av to saker hvor kompromitterte websider har blitt brukt i det som trolig har vært forsøk på spionasje. ansatte i flere departementer forsøkt rammet da de besøkte sidene til den europeiske tenketanken CEPS. CEPS I den første saken ble ansatte i flere departementer forsøkt rammet da de besøkte sidene til den europeiske tenketanken CEPS, Centre for European Policy Studies (www. ceps.be). Måten hendelsen ble avdekket på var at det gikk en alarm i NSMs sensorsystem VDI. Analyse av alarmen avdekket at besøkende til siden ble forsøkt kompromittert av skadevare via Java-sårbarheten CVE Vi vet ikke om alle besøkende ble forsøkt kompromittert, eller om kun utvalgte besøkende ble utsatt for kompromitteringsforsøk. I denne saken bistod vi departementene på norsk side med å håndtere hendelsen, og vi varslet det belgiske CERTet om at websiden til CEPS ble misbrukt til å spre spionprogramvare. Basert på tilbakemeldingene fra Belgia var vi først ute med å varsle om hendelsen. Da hadde websidene til CEPS trolig vært kompromittert i en dag eller to. IDS-regelen som trigget var skrevet av en av NorCERTs analytikere. Hendelsen er et godt eksempel på hvor viktig det er med et godt sensornettverk med gode regelsett for å avdekke denne typen angrep. store deler av analysemiljøet i en stor norsk virksomhet forsøkt rammet IHS og FN I den andre saken ble store deler av analysemiljøet i en stor norsk virksomhet forsøkt rammet da de besøkte sidene til det internasjonale analyseselskapet Information Handling Services Inc (IHS.com). Selskapet er godt kjent i analysemiljøer, men selskapet er for andre kanskje mest gjennom produkter som det militært rettede tidsskriftet Jane s Defense Weekly. I dette tilfellet ble det ikke benyttet en sårbarhet for å spre skadevare. Derimot ble en mekanisme i Java benyttet sammen med enkel sosial manipulering for å lure besøkende til å installere spionprogramvare på egen datamaskin når de besøkte IHS.com. Den norske virksomheten som ble rammet hadde sikkerhetsmekanismer på plass som gjorde at angrepsforsøket ble avverget. I ettertid har vi også blitt underrettet om at publikasjonssiden til FN (unp.un.org) også var kompromittert og brukt som ledd i samme kampanje. trolig først og fremst dreier seg om en økning i innrapportering og ikke en vesentlig økning i antall faktisk kompromitterte websider Kompromitterte datamaskiner I forrige kvartalsrapport gikk vi inn på den kraftige økningen som har vært i antall kompromitterte datamaskiner NorCERT varsler norske internettleverandører om. Vi gikk da også inn på den trolige sammenhengen mellom antall norske kompromitterte Tabell 1: Nye saker per hovedkategori: Sakskategori Antall Per dag Andel Varsel om kompromitterte systemer til ISP eller hostingleverandør ,83 86,00 Deling av informasjon med samarbeidspartnere, inkl. VDI-deltakere ,73 8,27 Varsler til deltakere i VDI og samfunnsviktig infrastruktur. 62 0,69 1,53 Alt annet ,90 4,21 Totalt antall saker ,16 100,00 NorCERT behandlet saker i første kvartal Av disse var nye for kvartalet. Tabellen viser hvilke hovedkategorier de nye sakene for første kvartal 2013 falt inn under. Tabell 2: Nye saker per prioritet: Prioritet Q Q Hele 2012 Hele 2011 Høy Medium Lav Total Antall saker vi kategoriserer som mindre viktige vokser kraftig, spesielt drevet av økende innrapportering om kompromitterte websider.

9 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL websider som bidrar til å spre skadevare, og antall kompromitterte datamaskiner vi varsler om. Dette kvartalet ser vi en nedgang i antall kompromitterte datamaskiner vi har varslet om, samtidig som vi har opplevd en formidabel økning i antall saker som dreier seg om kompromitterte websider. Dette forteller oss to ting. Det ene er at økningen i antall rapporterte kompromitterte websider trolig først og fremst dreier seg om en økning i innrapportering og ikke en vesentlig økning i antall faktisk kompromitterte websider. Det andre er at de store spam-bølgene med nettbanktrojanere mot norske nettbankkunder i fjor høst trolig var en signifikat driver for de svært høye tallene for kompromitterte datamaskiner i tredje og fjerde kvartal i fjor. Som alltid når vi omtaler vårt arbeid med varsling av kompromitterte datamaskiner, må vi påpeke at vi i disse tilfellene er helt avhengig av rapporter fra eksterne samarbeidspartnere som enten har tatt over kommando-og-kontroll-infrastrukturen til kriminelle nettverk, eller på annen måte har Figur 2: Antall håndterte alvorlige hendelser Figur 3: Antall kompromitterte datamaskiner klart å kartlegge hvem som er kompromittert. Det betyr at våre data på dette området er veldig sårbare for endringer i hva som rapporteres til oss. Det er altså ikke umiddelbart lett å si om det vi ser som økning eller fall i rapportering betyr reell økning eller fall i faktisk kompromitterte datamaskiner i Norge. Derimot gir det en indikasjon på nivået, all den tid vi vet at det vi får rapporter om trolig kun er en liten del av det totale bildet. Dette gjelder forøvrig både kompromitterte websider og kompromitterte datamaskiner. Kompromittering av websider Det er flere måter en webside kan bli kompromittert på. Vanlige angrepsmetoder er: ÄÄ SQL-innsprøytning. ÄÄ Inkludering av eksterne kildefiler («remote file inclusion»-angrep). ÄÄ Utnyttelse av andre sårbarheter i eksponerte tjenester. ÄÄ Stjålne brukernavn og passord. I tillegg er det i flere driftsmiljøer mulig å kompromittere flere websider når man først har klart å kompromittere én. Dette skjer ved at brukerne har tilgang til hverandres filområder på webserveren, og at filrettighetene ikke er satt i henhold til anbefalt praksis. Selv om det finnes flere tekniske løsninger for å forhindre dette, er det likevel overraskende ofte at slike tiltak ikke er iverksatt. Utnyttelse En relativ harmløs utnyttelse av kompromitterte websider er online tagging («defacement»). En annen mulighet er å utnytte tilgangen til å servere phishing-sider eller skadevare. Dette er en ganske vanlig utnyttelse. Kompromitterte servere kan også benyttes som kontrollserver for andre kompromitterte maskiner, men dette ser man ikke veldig ofte i Norge. Den vanligst måten å utnytte kompromitterte websider på i Norge er å bruke tilgangen til å infisere intetanende besøkende med skadevare. Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Varsel om kompromitterte datamaskiner. Blå er unike IP-adresser som er varslet på i kvartalet, mens rød er totalt antall rapporter sendt ut. Som det fremgår av grafen sender vi ut mellom tre og frem rapporter per unike kompromittert IP-adresse.

10 10 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT

11 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL Verdiene er ikke godt nok sikret Sikkerhetstilstanden for 2012 var fremdeles ikke tilfredsstillende. Det er konklusjonen i Rapport om sikkerhetstilstanden fra Nasjonal sikkerhetsmyndighet, som ble lagt frem før i år. De norske verdiene er med andre ord fremdeles ikke godt nok sikret. Overordnet skyldes dette manglende risikoforståelse og manglende forankring av sikkerhetsarbeidet på alle nivåer i samfunnet. Virksomhetene, deres ledere og medarbeidere mangler ofte risikoforståelse og -erkjennelse. Arbeidet med sikkerhet er ikke utviklet tilstrekkelig nok i norske virksomheter til å møte et stadig mer komplekst risikobilde. Ulovlig etterretning I tillegg til generelle sårbarheter og sikkerhetsutfordringer, trekker NSM i sin rapport frem fire fokusområder hvor utviklingen innebærer særskilte utfordringer for det forebyggende sikkerhetsarbeidet. Disse er det digitale rom, industrisikkerhet, personellsikkerhet og regelverksutvikling. Norge har mange vitale verdier og interesser som må beskyttes, og norske interesser utsettes daglig for uønsket og ulovlig etterretning. Det har i 2012 vært en økning av avanserte spionasjeoperasjoner mot spesifikke mål av høy økonomisk eller samfunnsmessig verdi. Finanskriminalitet fra ikke-statlige aktører er også av vedvarende høyt omfang. Det registreres flere og mer avanserte former for IKT-kriminalitet, og nettaktivisme og digitalt hærverk er gjengående fenomener som vil fortsette. Akseptabel risiko Forebyggende sikkerhet skal bidra til å sikre de nasjonale verdiene. God sikring handler om å kjenne egne verdier, trusselen mot disse og sårbarheter som kan utnyttes, samt erkjenne samlet risiko. Risikobildet er dynamisk, noe som må gjenspeiles i de sikkerhetstiltak som velges. Man må alltid leve med en viss grad av risiko. Utfordringen er å finne ut hvilken risiko som er akseptabel. Styrking nødvendig For å komme på et akseptabelt risikonivå er sårbarhetsreduserende tiltak nødvendig. I 2012 ble det igangsatt prosesser for å oppnå nettopp dette. Samtidig er det mye som fortsatt må gjøres for å møte både dagens og fremtidige sikkerhetsutfordringer. NSM mener blant annet at det fremover er viktig å styrke kompetansen på forebyggende sikkerhet, styrke den nasjonale evnen til å håndtere alvorlige IKT-hendelser, og øke rapporteringen av sikkerhetstruende hendelser. Rapporten i sin helhet er tilgjengelig på NSM sine hjemmesider: https://www. nsm.stat.no/aktuelt/nytt-fra-nsm/ Noreg-ikkje-godt-nok-sikra/ Rapport om sikkerhets tilstanden 2012 God sikring handler om å kjenne egne verdier, trusselen mot disse og sårbarheter som kan utnyttes, samt erkjenne samlet risiko. Nasjonal sikkerhetsmyndighet Sikkerhets utfordringer som må følges nøye fremover: ÄÄ Spionasje og kriminalitet gjennom bruk av IKT ÄÄ Nettbankkriminalitet, informasjonstyveri og hærverk på nett ÄÄ Sikkerhetsoppdateringer på systemer ÄÄ Store datamengder og nye lagringsløsninger ÄÄ Økt bruk av private enheter i arbeidssammenheng ÄÄ Industrisikkerhet ÄÄ Psykisk helse, økonomiske forhold og tilknytning til fremmede stater i forbindelse med sikkerhetsklareringer

12 12 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT Cyberuvær og langtidsvarsel Verden etter Stuxnet har sett en dramatisk økning av skadevareangrep mot kritiske infrastrukturer, og media har vært fulle av overskrifter om cybertrusler og cyberkrig. I USA fant Department of Homeland Security at 52% av rapporterte hendelser rammet kraftsektoren i John Kerry, USAs utenriksminister, proklamerte at cybervåpen er vår tids masse-ødeleggelsesvåpen. I mars lanserte NATO sin nye doktrine for cyberkrig 2. Bedrifter og myndigheter har grepet de nye mulighetene den digitale utviklingen har skapt. Arbeidsoppgaver digitaliseres, informasjon lagres i databaser og i skytjenester, og prosesser styres over Internett. I staten digitaliseres gradvis forvaltningen. Kompetanse og organisering er tett knyttet til våre digitale verktøy, og å gå tilbake til en hverdag uten dem er nærmest utenkelig. Det er derfor et slikt scenario, hvor teknologien svikter for en kortere eller lengre periode som følge av et massivt cyberangrep, som skaper frykt. Økt avhengighet Et cyberangrep utført av en hær av avanserte hackere er ikke lenger et science fiction scenario fra underholdningsindustrien. Stater som har ressurser til det, bygger opp sin kapasitet for cyberkrig. Noen som et middel for maktutøvelse, noen for å avskrekke fra angrep. Den prøyssiske gene- ralen Carl von Clausewitz beskrev krig som en fortsettelse av de politiske forbindelsene iblandet andre midler. 3 Strøm- og kommunikasjonsnett er som nervesystemer i industriland, og i teknologisk høyt utviklede land er avhengigheten meget stor. Viktige samfunnssektorer som statsadministrasjon, bank og finans, olje og gassproduksjon, helsevesen og transport bruker digitaliserte systemer til sentrale funksjoner. Et bortfall av systemene vil kunne lamme dem i større eller mindre grad. Avhengigheten vil bare bli større med økt digitalisering. Sivile mål for cyberkrigere I Norge er det de store bedriftene som eier den kritiske infrastrukturen som er de mest sannsynlige mål for et cyberangrep i stor skala. Infrastrukturen er kritisk i betydningen av at samfunnet ikke kan fungere uten den, som for eksempel strømforsyning. Bedrifter vil i økende grad befinne seg i skuddlinjen for cyberangrep, og systemsikkerhet blir bare viktigere. Tradisjonelt har industrielle kontrollsystemer vært beskyttet ved ikke å være koblet til Internett. Skadevare og hackere har derfor ikke kunnet nå inn til systemene. Under slike forhold har det ikke vært noen grunn til å bruke ressurser på sikkerhet, og som et resultat av dette er denne typen systemer ofte veldig sårbare ved uautorisert tilgang. Enheter kan mangle eller ha svak passordbeskyttelse, eller på andre måter være sårbare for ondsinnet manipulasjon. Vanskelig samarbeid Forutsetningene industrikontrollsystemene og allmenne IKT-nettverk har blitt utviklet under har påvirket filosofi og mål i de ulike driftsmiljøer. Mål for IKT- sikkerhet er å beskytte data i systemet. For industrielle

13 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL I den populære oppfatningen er hackeren en kvisete tenåring, men dette bildet bør revideres snarest. systemer er det gjerne viktigere at systemet og prosessen ikke går ned eller blir utilgjengelig. Om noen har innsyn i systemene, er mindre viktig 4. De ulike prioriteringene har vanskeliggjort samarbeid på tvers av fagmiljøene og kan føre til en holdning hvor det enten fokuseres på tilgang eller sikkerhet. I miljøer med vegring mot IKT- sikkerhetsprinsipper kan problemstillingen avfeies med: Vi er ikke knyttet til Internett, så sikkerheten er ivaretatt av luftskillet eller Vi har ikke hatt problemer tidligere og det betyr at vårt system er sikkert. Dette er vanlige antakelser som kan være notorisk vanskelige å verifisere og som kan føre til at bedrifter står uten de nødvendige mottiltak ved en alvorlig hendelse hvis sikkerheten blir nedprioritert. Mange industrielle kontrollsystemer kan gå ned hvis de skannes med sikkerhetsverktøy som Nessus og terskelen for å bruke den er derfor naturlig nok høy i operative systemer 4. I tillegg kan usikkerhet rundt stabilitet og lav toleranse for nedetid føre til at systemer ikke patches og dermed beholder kjente sårbarheter i programvaren 5. En ny virkelighet Det er mange gode praktiske og økonomiske grunner til å integrere systemer, teknologi fra det ordinære forbrukermarkedet og knytte systemene til Internett. Det kan også være svært farlig. Det er naivt å tro at et system knyttet til Internett vil forbli uoppdaget og ignorert av angripere, og det er heller ikke rimelig å tro at hackere ikke forstår industrielle kontrollsystemer 6. I den populære oppfatningen er hackeren en kvisete tenåring, men dette bildet bør revideres snarest. Inntrengere i systemene vil snarere være en gruppe svært profesjonelle fagfolk med store ressurser som gjør dette på heltid. Hvis systemer gjøres mer tilgjengelige uten at de herdes med passende mottiltak, er det ikke et spørsmål om hvis men når inntrengere vil lykkes. En vellykket inntrengning vil heller ikke nødvendigvis bli oppdaget. Spionasje og tyveri av forretningshemmeligheter har blitt en konstant trussel for mange bedrifter og som regel tar det lang tid før det oppdages. Mandiant rapporterte sine observasjoner om Kinas APT1-gruppe, at de i snitt hadde tilgang til systemer i 356 dager etter inntrengning 7. Hvis hensikten er å bruke infrastruktur som militært mål for sabotasje vil det være mer naturlig for angriperen bare å kartlegge systemet og lage flere veier inn i påvente av et senere angrep. Kilder: 1) Monitor_Oct-Dec2012.pdf 2) john-kerry-hackers_n_ html northamerica/usa/ /us-at-risk-of-cyber- Pearl-Harbor-Leon-Panetta-warns.html 3) 4) 5) 6) https://media.blackhat.com/eu-13/briefings/wilhoit/bh-eu-13-whose-really-attacking-wilhoit-wp. pdf 7) Report.pdf

14 14 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT Teknisk: Bit9-kompromittering Vi som jobber i sikkerhetsmiljøet har begynt å bli vant til en jevn strøm med presseuttalelser om selskap som har blitt kompromittert, eventuelt informasjon om slike kompromitteringer gjennom tredjepart. Hva skjer når selskaper som skal beskytte deg mot slike kompromitteringer, blir grundig kompromittert selv? Den 8. februar 2013 informerte sikkerhetsselskapet Bit9 om en kompromittering som de hadde blitt utsatt for. Bit9 er et selskap som hovedsaklig leverer tjenester og produkter innenfor applikasjonsomdømme (Software Reputation), som gjerne tar sikte på å kunne stanse ukjente trusler. På nettsidene sine reklamerer de med at de har den eneste sikkerhetsløsningen som stopper trusselen Gauss, den informasjonsstjelende trojaneren som sies å være knyttet til Flame og Stuxnet. Illegitim kodesignering Undersøkelser viser at angrepet har gjort det lettere å utføre angrep mot tre av kun- dene deres. Angriper skaffet seg tilgang til kodesigneringssertifikatet som Bit9 bruker til å sette sitt godkjenningsstempel på programvare angriperen stoler på. Bit9 peker blant annet på at de ikke benyttet seg av sine egne anbefalinger angående å ha installert Bit9-plattformen på alle fysiske og virtuelle maskiner. Dette mener de kan ha vært avgjørende for at angriper kunne lykkes. Den initielle kompromitteringen foregikk sommeren 2012, hvor angriper fikk tilgang til webserveren til Bit9 gjennom utnyttelse av en SQL-sårbarhet. Tilgang til denne webserveren gjorde at angriper kunne forflytte seg videre til en virtuell server som ble benyttet til kodesignering. Ser- På en måte kan man si at det er et kvalitetsstempel at angriper har vurdert Bit9 sine sikkerhetsprodukter til å være så vanskelig å komme forbi at de må gå til kompromittering av kilden for å kunne stjele informasjon fra kundene deres. tifikat som ble brukt til denne illegitime kodesigneringen har blitt revokert i forbindelse med denne hendelsen og Bit9 skal ha lagt inn funksjonalitet i infrastrukturen for å oppdage slike forsøk på illegitim kodesignering i fremtiden. Nyttig informasjonsdeling På en måte kan man si at det er et kvalitetsstempel at angriper har vurdert Bit9 sine sikkerhetsprodukter til å være så vanskelig å komme forbi at de må gå til kompromittering av kilden for å kunne stjele informasjon fra kundene deres. På en annen side kan man ikke helt vite om hele omfanget av kompromitteringen er formidlet i det offentlige, og om kundenes tillit eventuelt er svekket til denne leverandøren siden man ikke vet hvor mange andre sikkerhetshull webserver eller annen infrastruktur inneholder. Det er i alle fall nyttig at informasjon om slike hendelser deles i det offentlige, slik at andre som opplever kompromitteringer kanskje føler det er en lavere terskel for selv å varsle om innbrudd som andre igjen kan lære av.

15 NorCERT NASJONAL SIKKERHETSMYNDIGHET Teknisk: Dødspakkene Angrepsformen hvor en pakke med spesifikt innhold dreper et system er ikke ny. Vi gir her en liten beskrivelse av kanskje det mest kjente angrepet i denne kategorien: døds-ping 2 (Ping of Death). Litt historie: Døds-ping Et dødsping er et angrep hvor man sender en (med hensikt) feilformet ping-pakke til en maskin. Denne kategorien angrep har tidligere vært relativt enkelt å utnytte; bare det å sende en ping-pakke på over bytes (maks-størrelsen for IPv4-pakker) ville krasje mange eldre systemer. Siden en slik pakke var større enn maks-størrelsen på IPv4-pakker, måtte en slik pakke fragmenteres. Når offer-maskinen mottok og forsøkte å gjenopprette den fragmenterte pakken, oppstod et buffer overflow som i verste fall kræsjet hele systemet. De fleste moderne systemer håndterer gjennoppretting av slike pakker uten risiko for et buffer overflow. Dødsping har således gått inn i informasjonssikkerhetsmuseet som et historisk angrep. Enkelt nok; om offset 0x47F i pakken inneholdt en spesifikk verdi ville det være en mulighet for at kontrolleren slo seg av. Ikke noe mer fiks-faks. Alt som måtte til var å sette denne byten til en bestemt verdi. Pakken ville ikke med 100 % sannsynlighet drepe kontrolleren, men sendte man flere pakker med denne byten satt ville kontrolleren til slutt dø. Hva var så den magiske verdien? Kielhofner testet ut flere verdier og fant noen underlige resultater. Her er utfallet av forskjellige verdier av byte 0x47F: Verdi i hex Verdi i ASCII Effekt 0x31 1 Ingen effekt 0x32 2 Kontrolleren døde 0x33 3 Kontrolleren døde Alle andre Kontrolleren ble vaksinert Fakta om dødspakkene Høsten 2012 ble det oppdaget en svært alvorlig feil i Intels Ethernet-kontroller 82574L 1. Denne feilen gjorde det mulig å drepe Ethernet-kontrolleren kun ved å sende en pakke med et spesifikt innhold. Den eneste måten man videre kunne gjenopplive kontrolleren på var å kjøre en full restart av systemet. Oppdageren av sårbarheten, Kristian Kielhofner, gav disse ondsinnede pakkene navnet dødspakker (Packets of Death) fordi, som han sier: Det er akkurat det de er. Intel 82574L og dens underlige nemesis Som nevnt kunne én enkelt pakke drepe Ethernet-kontrolleren. Hvordan så denne pakken ut? Pakken ville ikke med 100 prosent sannsynlighet drepe kontrolleren, men sendte man flere pakker med denne byten satt, ville kontrolleren til slutt dø.

16 16 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT Det underligste ved disse verdiene er uten tvil vaksinasjonen som skjer hvis kontrolleren først mottar en pakke hvis innhold i offset 0x47F er alt annet enn 0x31, 0x32 eller 0x33. Ble det først sendt en slik pakke ville ikke påfølgende dødspakker ha noen effekt. Hadde det derimot ikke blitt sendt noen pakker med en slik verdi i 0x47F først, ville verdien 0x32 eller 0x33 ha en mulighet for å drepe kontrolleren. Verdien 0x31 gjorde derimot ingenting; den verken drepte eller vaksinerte kontrolleren. Oppdagelsen Kristian Kielhofner beskriver hvordan han oppdaget sårbarheten meget grundig på sin blogg 3. I 2012 jobbet Kielhofner i Star2Star Communications 4 og var i prosess med å teste ut en ny hardware-enhet. Den nye enheten gjorde det meget bra på alle tester; den var mye raskere og svært stabil. Denne enheten hadde tilfeldigvis en Intel 82574L Ethernet-kontroller. Da Star2Star begynte å rulle ut enheten på forskjellige test-lokasjoner begynte problemer å vise seg. Kielhofner og Star- 2Star-teamet benyttet flere måneder på å fikse alle de små feilene de kunne finne informasjon om. Da de endelig trodde de var ferdige med feilsøking og -fiksing oppdaget de at på enkelte enheter slo nettverkskontrolleren seg av helt tilfeldig. De fant ingen informasjon om slike tilfeller med 82574L-kontrolleren. Kielhofner bestemte seg for å brette opp ermene for å komme til bunns i dette. Kielhofner fant ut at pakkene som drepte enhetenes nettverkskontroller var SDP-pakker 5. Han fant ut at det som var felles med pakkene var at de hadde en ptime-verdi på 2. De fleste SDP-pakkene som gikk til enheten hadde dog en ptime på 2, så Kielhofner feilsøkte videre og fant ut at dette skjedde kun når all dataen før hadde en viss lengde slik at ptime-verdien endte opp på samme sted. Hvor endte så ptime-verdien opp hen? På offset 0x47F så klart (se bilde fra Kielhofners blog nederst på siden). Kielhofner testet videre, ved hjelp av pakke-greneratoren Ostinato 6, forskjellige protokoller med samme resultat. Så lenge 0x47F var satt til 0x32 eller 0x33 ville nettverkskontrolleren til slutt dø hen. Implikasjoner Det å kunne slå av nettverkskontrolleren til en maskin ved å sende en enkel pakke er så klart svært kritisk. Siden denne feilen er uavhengig av protokoll kan man i grunn sende hvilken som helst pakke som maskinen og brannmurer skulle måtte forvente. For å kunne oppdage en dødspakke må man ha en brannmur eller et IDS/IPS som støtter dyp pakkeinspeksjon 7 slik at man kan sjekke hva verdien til 0x47F er. Et kanskje ikke fult så kritisk, men morsomt eksempel på utnyttelse av sårbarheten ville være å sette opp en HTTP-server til å returnere HTTP-responser med byte 0x47F satt til 2. Dette ville i praksis drepe nettverkskontrolleren til alle besøkende som skulle ha Du kan printe kun disse verdiene ved å benytte følgende kommando: # ethtool --eeprom-dump <interface> grep 0x00[136]0 Hvor <interface> er kontrolleren (e.g. eth0). Et feilprogrammert EEPROM-image vil da ha følgende utskrift: 0x0010: ff ff ff ff 6b d3 10 ff ff 5a c0 0x0030: c9 6c e 07 0b d f x0060: ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff Ifølge Kielhofner kan en videre fikse EEPROM-imaget med følgende patch: -0x0010: ff ff ff ff 6b d3 10 ff ff 5a c0 +0x0010: ff ff 6b 02 d3 10 d9 15 d3 10 ff ff x0030: c9 6c e 07 0b d f x0030: c9 6c e 07 0b d f x0060: ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff +0x0060: ff ff ff ff ff ff ff ff ff ff Advarsel: vi har ikke testet denne patchen og anbefaler å være svært forsiktig med å gjøre dette uten en grundig forståelse av EEPROM. (Eller kjør på, jeg er kun en advarsel.) TL;DR Intels 82574L-kontrollere har et potensielt feilprogrammert EEPROM-image som gjør det sårbart for en dødspakke. Dødspakken er en pakke med verdien 0x31 eller 0x32 i offset 0x47F. Dødspakken vil skru kontrolleren helt av slik at det kreves en full reboot en 82574L-kontroller (men det ville nok ikke økt populariteten av nettstedet ditt). Årsak og fiks Kielhofner varslet Intel, og de samarbeidet videre med å finne årsaken og en løsning på feilen. De klarte til slutt å finne ut at årsaken til feilen var at utvikleren av hovedkortet hadde feilprogrammert EEPROM-imaget 8 under produksjon. Feilen var altså ikke forårsaket av en feil i selve 82574L-kontrolleren. Det er heller ikke alle utgaver av kontrolleren som kjører dette sårbare EEPROM-imaget. Om du har en 82567L-kontroller og ønsker å sjekke hvorvidt ditt EEPROMimage er feilprogrammert kan du benytte Ethtool 9 med alternativet --eeprom-dump. De interessante verdiene er i offset 0x0010, 0x0030 og 0x0060. av systemet for å få kontrolleren funksjonabel igjen. Vi anbefaler dere å lese Kristian Kielhofners bloggpost 3 om oppdagelsen og feilsøkingen av denne sårbarheten. Kilder: 1) 2) 3) 4) 5) 6) 7) 8) 9)

17 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL De fleste IT-angrepene kan stoppes! Vi leser stadig om vellykkede IT-angrep på forskjellig infrastruktur, både offentlige og private virksomheter rammes. Oftest er det brukerne som lures ved at 1: de besøker infiserte websider eller 2: mottar infiserte epost-vedlegg eller 3: bruker infiserte minnepinner. an- Faktum er at de fleste av disse grepene er relativt enkle å stoppe, teknisk sett. NSM har i flere tiår utviklet tekniske sikkerhetstiltak for beskyttelse av nasjonens graderte systemer. Ut i fra denne erfaringen ser vi at man lett kan stanse de mest vanlige angrepene (ca 80-90%) med fire tekniske tiltak. Da snakker vi ikke om å lime USB-porter eller å regulere vedlegg i epost. De fire tiltakene er: 1. Oppgrader programvaren. Nyere applikasjoner og operativsystemer har gjerne flere og bedre sikkerhets funksjoner enn det som er i eldre utgaver. 2. Vær rask med å installere sikkerhetsoppdateringer. Selv de beste produkter inneholder programmeringsfeil og sårbarheter som kan utnyttes av angripere. Virksomheten bør derfor etablere et sentralt styrt regime for sikkerhetsoppdatering av alle komponenter i systemet. 3. Ikke tildel sluttbrukere administratorrettigheter. Det er helt unødvendig å la brukerne (og angriperne) ha skriverettigheter til systemområder på brukerens datamaskin. Med et regime for sentralisert distribusjon av gyldig programvare til brukernes maskiner, skal ikke administratorrettigheter være påkrevd for å utføre ordinært kontorarbeid. 4. Blokker kjøring av ikke-autoriserte programmer. Dette går ut på å ha en «hvite-liste» av programmer som virksomheten har godkjent. Disse skal få lov å kjøre, mens ukjente programmer på minnepinner eller fra epost-vedlegg ikke kan kjøres av systemet. Dette kan gjøres til en enkel engangsoperasjon ved kun å liste opp de 2-3 filmapper som inneholder gyldig programvare. Funksjonen Applocker i Windows 7 gjør eksempelvis dette. Man kan lett stanse de mest vanlige angrepene med fire tekniske tiltak. Målinger viser at disse tiltakene stopper langt flere angrep enn populære tiltak som f eks antivirus, brannmur, epost/ web-filtrering, mm. Etter gjennomføringen av disse fire tiltakene kan ikke brukeren (og heller ikke angriperen) installere eller kjøre programmer som er ukjent for virksomheten, enten de er på minnepinner, fra tvilsomme epostvedlegg, eller fra infiserte websider. Brukeren kan likevel fortsatt bruke minnepinner til datatransport (.doc,.ppt,.pdf mm). Ordinære epost-vedlegg vil fremdeles gå fint. Nærmere beskrivelse av disse og andre tiltak finner du i dokumentet U-01 (google-søk: «U-01 NSM tiltak»). Merk at disse tiltakene stopper de mest vanlige angrepene, men gir ikke tilstrekkelig beskyttelse mot de teknisk sett mest avanserte angrepene.

TRUSLER, TRENDER OG FAKTISKE HENDELSER

TRUSLER, TRENDER OG FAKTISKE HENDELSER TRUSLER, TRENDER OG FAKTISKE HENDELSER Sikkerhet & Sårbarhet 05.05.2015, Marie Moe (NSM/SINTEF) SLIDE 1 AGENDA Trusler og trender: Hva ser vi? Faktiske hendelser: Hva skjer? Hendelseshåndtering: Hva kan

Detaljer

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? SLIDE 1 AGENDA! NSM NorCERT: Hvem er vi?! Trusler og trender: Hva ser vi?! Faktiske hendelser: Hva skjer?! Hendelseshåndtering: Hva gjør vi?! Tiltak:

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

Slik stoppes de fleste dataangrepene

Slik stoppes de fleste dataangrepene Slik stoppes de fleste dataangrepene Oktober 2014, Nasjonal sikkerhetsmåned John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet 1 Agenda 1. De mest populære sikkerhetstiltakene er lite effektive

Detaljer

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE NASJONAL SIKKERHETSMYNDIGHET Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE INNHOLD Hva er digital spionasje 2 Hvordan kommer de seg inn i systemet 3 Forebyggende tiltak

Detaljer

NorCERT IKT-risikobildet

NorCERT IKT-risikobildet 5/2/13 NorCERT IKT-risikobildet Aktuelle dataangrep som rammer norske virksomheter Torgeir Vidnes NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Torgeir.Vidnes@nsm.stat.no 1 Faksimile: www.aftenposten.no

Detaljer

Trusler, trender og tiltak 2009

Trusler, trender og tiltak 2009 Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne

Detaljer

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER TI TILTAK FOR BESKYTTELSE AV DATAMASKINER 2015-03 NSMs Sikkerhetskonferanse John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet SLIDE 1 NASJONAL SIKKERHETSMYNDIGHET TRUSLER OG VERDIER Tiltak:

Detaljer

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

FIRE EFFEKTIVE TILTAK MOT DATAANGREP FIRE EFFEKTIVE TILTAK MOT DATAANGREP Olav Ligaarden Nasjonal sikkerhetsmyndighet Offentlig seminar SINTEF, Oslo 2016-01-22 SLIDE 1 Innhold Motivasjon Fire effektive, enkle og viktige tiltak Tre andre enkle

Detaljer

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG 2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG 1 SAMMENDRAG INNLEDNING: GLOBAL THREAT INTELLIGENCE REPORT 2015 De siste årene har sikkerhetsbransjen med rette fokusert mye på Advanced Persistent Threats

Detaljer

orske virksomheter i det digitale rom

orske virksomheter i det digitale rom orske virksomheter i det digitale rom va er risikoen? Eiliv Ofigsbø Avdelingsdirektør, NorCERT, Nasjonal sikkerhetsmyndighet Mail: norcert@cert.no Telefon: 02497 1 NorCERT BAKGRUNN OG FØRINGER St. meld

Detaljer

Nøkkeltall fra NorCERT. Mobil usikkerhet. Superhelter finnes

Nøkkeltall fra NorCERT. Mobil usikkerhet. Superhelter finnes Nasjonal sikkerhetsmyndighet Kvartalsrapport for 4. kvartal 2012 Nøkkeltall fra NorCERT NSM/NorCERT har siden opprettelsen av kvartals rapporten stadig rapportert om sterk økning i antall håndterte hendelser.

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET 1 NASJONAL SIKKERHETSMYNDIGHET 2 Sammendrag Nasjonal sikkerhetsmyndighet Risiko 2015 gir en vurdering av sårbarheter i sam funnet, verdier som er verdt å beskytte og risiko for spionasje, sabotasje, terror

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET 1 NASJONAL SIKKERHETSMYNDIGHET 2 Sammendrag 3 Sammendrag_ Nasjonal sikkerhetsmyndighet Risiko 2015 gir en vurdering av sårbarheter i sam funnet, verdier som er verdt å beskytte og risiko for spionasje,

Detaljer

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv «Å tro at det ikke finnes virus på Mac er dessverre litt

Detaljer

HÅNDTERING AV NETTANGREP I FINANS

HÅNDTERING AV NETTANGREP I FINANS HÅNDTERING AV NETTANGREP I FINANS Sikkerhetssymposiet 31. oktober 2013 Morten Tandle Agenda Om FinansCERT Bakgrunn Status «Værmelding» / Trusselbilde Om hendelseshåndtering Hvorfor? Små og store hendelser

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET SLIDE 1 FORVENTNINGER TIL SIKKERHET I DEN DIGITALE VERDEN Oslo, 27. mai 2015 Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet 2 NSM NØKKELINFORMASJON 3 SIKRE SAMFUNNSVERDIER NSMS SAMFUNNSOPPDRAG Sikre samfunnsverdier

Detaljer

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede. Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv «Å tro at det ikke finnes virus på Mac er dessverre litt

Detaljer

en arena for krig og krim en arena for krig og krim?

en arena for krig og krim en arena for krig og krim? krig og krim Cyberspace Cyberspace en arena for krig og krim en arena for krig og krim? Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet, NSM Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet,

Detaljer

10.03.2011. Vår digitale hverdag Et risikobilde i endring

10.03.2011. Vår digitale hverdag Et risikobilde i endring Nasjonal sikkerhetsmyndighet Vår digitale hverdag Et risikobilde i endring Etablert 1. januar 2003 Historikk fra 1953 Et sivilt direktorat JD KOORD FD En sektorovergripende myndighet FD er styrende departement.

Detaljer

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling

Detaljer

NSM NorCERT og IKT risikobildet

NSM NorCERT og IKT risikobildet NSM NorCERT og IKT risikobildet NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda! Om NSM og NorCERT! Om samarbeidet mellom EOS-tjenestene! Om IKT-truslene!

Detaljer

Månedsrapport februar 2014

Månedsrapport februar 2014 Månedsrapport februar 2014 Side 1 av 10 Innhold Bakgrunn Om NorSIS Slettmeg.no februar 2014 Trender og aktuelle problemstillinger Ny Nettside Kontakt Side 2 av 10 Bakgrunn Dette er en kort oppsummering

Detaljer

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM Nasjonal sikkerhetsmåned 2014 Stavanger, 2. oktober 2014 Fagdirektør Roar Thon Nasjonal sikkerhetsmyndighet 1 SLIDE 2 VIDEOKLIPP FRA NRK.NO «Det er en utfordring

Detaljer

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Delrapport 1 fra personvernundersøkelsen 2013/2014 Februar 2014 Innhold Innledning og hovedkonklusjoner...

Detaljer

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen 1 Agenda Security Awareness Har du slått på den sosiale brannmuren? Demonstrasjoner Manipulert SMS Telefon / rom avlytting

Detaljer

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger? Delrapport fra personvernundersøkelsen november 2013 Februar 2014 Innhold Hva er du bekymret for?...

Detaljer

Månedsrapport Mars 2005

Månedsrapport Mars 2005 Månedsrapport Mars 2005 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Hva er trusselen og hvordan påvirker den oss? Niklas Vilhelm Forsker Nasjonal Sikkerhetsmyndighet Niklas.vilhelm@nsm.stat.no

Hva er trusselen og hvordan påvirker den oss? Niklas Vilhelm Forsker Nasjonal Sikkerhetsmyndighet Niklas.vilhelm@nsm.stat.no Hva er trusselen og hvordan påvirker den oss? Niklas Vilhelm Forsker Nasjonal Sikkerhetsmyndighet Niklas.vilhelm@nsm.stat.no Litt om meg Forsker i Nasjonal Sikkerhetsmyndighet IT utdannelse ved UiO Bakgrunn

Detaljer

Det digitale trusselbildet Sårbarheter og tiltak

Det digitale trusselbildet Sårbarheter og tiltak H a f s l u n d M u l i g h e t s W o r k s h o p TORE LARSEN ORDERLØKKEN Det digitale trusselbildet Sårbarheter og tiltak Agenda Sikkerhetsparadokset Trusler og trender Tall og hendelser Hvordan sikrer

Detaljer

15. mai 2014. Månedsrapport. april 2014. Statusrapport Slettmeg.no april 2014. Side 1 av 9

15. mai 2014. Månedsrapport. april 2014. Statusrapport Slettmeg.no april 2014. Side 1 av 9 Månedsrapport april 2014 Side 1 av 9 Innhold Om NorSIS Slettmeg.no april 2014 Aktuelle problemstillinger Side 2 av 9 Bakgrunn Dette er en kort oppsummering av hva vi har sett i løpet av april 2014. For

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

«Dataverdens Trygg Trafikk»

«Dataverdens Trygg Trafikk» Det moderne bankran NOKAS metoden har blitt gammeldags Christian Meyer Seniorrådgiver Norsk senter for informasjonssikring Bevisstgjør om trusler Opplyser om tiltak Påvirker til gode holdninger «Dataverdens

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet 1 Sikkerhetstilstanden 2014 Nasjonal sikkerhetsmyndighet Sikkerhetstilstanden 2014 2 Rapport om sikkerhetstilstanden 2014 Innledning 3 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er Norges

Detaljer

Sikkerhet og informasjonssystemer

Sikkerhet og informasjonssystemer Sikkerhet og informasjonssystemer IFEA 19.10.2011 Datasikkerhet i industri og offentlig infrastruktur. Helge Rager Furuseth seniorrådgiver, siv.ing. Avdeling for sikkerhetsforvaltning Nasjonal sikkerhetsmyndighet

Detaljer

Testing av intern IT-sikkerhet

Testing av intern IT-sikkerhet Advisory Testing av intern IT-sikkerhet Siv. ing. Eivind Dees Tellefsen eivind.tellefsen@no.ey.com Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til

Detaljer

Trusselbildet og krav til sikkerhet mot tilsiktede handlinger

Trusselbildet og krav til sikkerhet mot tilsiktede handlinger UGRADERT Trusselbildet og krav til sikkerhet mot tilsiktede handlinger Foredrag for Brannforum 2009 Stavanger, 3 februar 2009 Anders Bjønnes Underdirektør NSM, Stab Strategi og Policy Nasjonal sikkerhetsmyndighet

Detaljer

KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER

KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER i SAMMENDRAG Det er gjort få undersøkelser i Norge som viser hva slags sikringstiltak som er gjennomført i norske virksomheter. Internasjonale undersøkelser

Detaljer

Månedsrapport september 2004

Månedsrapport september 2004 Månedsrapport september 2004 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Rapport om sikkerhetstilstanden 2009

Rapport om sikkerhetstilstanden 2009 Nasjonal sikkerhetsmyndighet Rapport om sikkerhetstilstanden 2009 Ugradert versjon I denne rapporten redegjør Nasjonal sikkerhetsmyndighet (NSM) for etterlevelsen av sikkerhetsloven med forskrifter samt

Detaljer

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn VEIEN MOT 2017 Innledning Kursen for de neste årene er satt. Strategien er et verktøy for å kommunisere retning og prioriteringer internt og eksternt. Strategien er et viktig styringsdokument, og skal

Detaljer

Rapportering av sikkerhetstruende hendelser til NSM

Rapportering av sikkerhetstruende hendelser til NSM (NSM) Rundskriv 1/11 Rapportering av sikkerhetstruende hendelser til NSM 1 Bakgrunn og hensikt Dette rundskrivet omhandler sikkerhetstruende hendelser som virksomheter underlagt sikkerhetsloven plikter

Detaljer

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien SonicWALL UTM NSA serien TZ serien NSA E-Class serien Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur Nettverksikkerhet for SMB - Minimumskrav Brannmur(UTM) Et brannmur er førstelinjeforsvar

Detaljer

Nøkkeltall fra NorCERT

Nøkkeltall fra NorCERT Kvartalsrapport for 4. kvartal 2011 Digital spionasje Digital spionasje er en alvorlig trussel som norsk næringsliv må ta på alvor. Ofte kan dette være vanskelig å oppdage og mange har ikke erfaring med

Detaljer

Sikkerhetsmessig verdivurdering

Sikkerhetsmessig verdivurdering For DECRIS 12 juni 2008 Sikkerhetsmessig verdivurdering Stein Henriksen Stab Navn Navnesen stein.henriksen@nsm.stat.no Avdeling www.nsm.stat.no navn.navnesen@nsm.stat.no www.nsm.stat.no 1 Nasjonal sikkerhetsmyndighet

Detaljer

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Innhold F-Secure Anti-Virus for Mac 2015 Innhold Kapitel 1: Komme i gang...3 1.1 Administrer abonnement...4 1.2 Hvordan kan jeg være sikker på at datamaskinen er beskyttet...4

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av IKT og betalingstjenester Seksjonssjef Frank Robert Berg Finanstilsynet Risikobildet

Detaljer

Kapitel 1: Komme i gang...3

Kapitel 1: Komme i gang...3 F-Secure Anti-Virus for Mac 2014 Innhold 2 Innhold Kapitel 1: Komme i gang...3 1.1 Hva må gjøres etter installering...4 1.1.1 Administrer abonnement...4 1.1.2 Åpne produktet...4 1.2 Hvordan kan jeg være

Detaljer

Brukerdokumentasjon Trend Antivirus for KAT A klienter InnsIKT 2.0 Versjon 1.0

Brukerdokumentasjon Trend Antivirus for KAT A klienter InnsIKT 2.0 Versjon 1.0 Logica AS Tlf: +47 22 57 70 00 Brukerdokumentasjon Trend Antivirus for KAT A klienter InnsIKT 2.0 Godkjennelse Forfatter: Logica Date Leder: Date Innholdsfortegnelse Innholdsfortegnelse... 2

Detaljer

Månedsrapport oktober 2004

Månedsrapport oktober 2004 Månedsrapport oktober 2004 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Månedsrapport Juni, juli, august 2014

Månedsrapport Juni, juli, august 2014 Månedsrapport Juni, juli, august 2014 Innhold Bakgrunn... 3 Om NorSIS... 3 Slettmeg.no Sommer 2014... 4 Uønskede oppføringer... 6 Krenkelser... 7 Brukerstøtte... 9 De mest vanlige henvendelsene... 10 Trender

Detaljer

Cyberforsvaret. - Forsvarets nye «våpengren» Cybertrusselen Nye sikkerhetsutfordringer i cyberspace. Gunnar Salberg

Cyberforsvaret. - Forsvarets nye «våpengren» Cybertrusselen Nye sikkerhetsutfordringer i cyberspace. Gunnar Salberg Cyberforsvaret - Forsvarets nye «våpengren» Cybertrusselen Nye sikkerhetsutfordringer i cyberspace Gunnar Salberg Oberstløytnant Sjef Avdeling for beskyttelse av kritisk infrastruktur (BKI) Cyberforsvaret,

Detaljer

NorCERT og NorSIS hvem er vi? IKT trusselbildet Tiltak og holdningsskapende arbeid. Hva er NorCERT?

NorCERT og NorSIS hvem er vi? IKT trusselbildet Tiltak og holdningsskapende arbeid. Hva er NorCERT? NorCERT og NorSIS hvem er vi? IKT trusselbildet Tiltak og holdningsskapende arbeid Leder for NorSIS Avd.direktør NorCERT Tore Larsen Orderløkken Christophe Birkeland Hva er NorCERT? 1 NorCERT forbereder

Detaljer

HR-STRATEGI FOR FORSVARSSEKTOREN

HR-STRATEGI FOR FORSVARSSEKTOREN HR-STRATEGI FOR FORSVARSSEKTOREN Vårt samfunnsoppdrag Eksempler Forsvarssektoren har ansvar for å skape sikkerhet for staten, befolkningen og samfunnet. Endringer i våre sikkerhetspolitiske omgivelser

Detaljer

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

STYRKEN I ENKELHET. Business Suite

STYRKEN I ENKELHET. Business Suite STYRKEN I ENKELHET Business Suite TRUSSELEN ER REEL Nettbaserte trusler mot virksomheten din er reele uansett hva du driver med. Hvis du har data eller penger, er du et mål. Antall sikkerhetshendelser

Detaljer

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Erlend Dyrnes NextGenTel AS Tekna 30.03.2011 Mobilt bredbånd - LTE - WiMAX 1 Om presentasjonen Introduksjon

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET.

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET. VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET. VILKÅR FOR BRUK AV NETTSTED Disse vilkårene for bruk (sammen med dokumentene som er referert til her) forteller deg betingelsene

Detaljer

Sikkerhetslov og kommuner

Sikkerhetslov og kommuner Sikkerhetslov og kommuner Krav, problem og mulige løsninger Odd Morten Taagvold 12. Juni 2013 Innhold 1. Trusselbilde sett fra nasjonale myndigheter 2. Hva er «Lov om forebyggende sikkerhet» (sikkerhetsloven)?

Detaljer

Mørketallsundersøkelsen 2006

Mørketallsundersøkelsen 2006 Mørketallsundersøkelsen 2006 Øyvind Davidsen Leder av Datakrimutvalget Sikkerhetskonferansen 2006 27-28 September 1 Mørketallsundersøkelsen Dette er den 5. mørketallsrapporten som utarbeides av Datakrimutvalget

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN INNLEDNING Finans Norge utvikler årlig rapport om trusler og sikkerhetsutfordringer som finansnæringen står overfor.

Detaljer

Sikkerhet innen kraftforsyningen

Sikkerhet innen kraftforsyningen Sikkerhet innen kraftforsyningen Dataforeningen, 12.11.2014 Arthur Gjengstø, NVE Strømmen fram til «stikkontakten» Færrest mulig avbrudd Raskest mulig gjenoppretting Verdien av strøm før og under strømbrudd

Detaljer

DET DIGITALE TRUSSEL- OG RISIKOBILDET

DET DIGITALE TRUSSEL- OG RISIKOBILDET DET DIGITALE TRUSSEL- OG RISIKOBILDET SIKKERHETSKONFERANSEN DIGIN Kristiansand, 22. september 2015 Roar Thon Fagdirektør sikkerhetskultur Nasjonal sikkerhetsmyndighet 1 Illustrasjon: colourbox.com Trussel-

Detaljer

Vår digitale sårbarhet teknologi og åpne spørsmål

Vår digitale sårbarhet teknologi og åpne spørsmål Lysneutvalget 2014-2015 Vår digitale sårbarhet teknologi og åpne spørsmål Janne Hagen utvalgsmedlem i Digitalt Sårbarhetsutvalg 1 Før i tida 2 Nå. Telefonen er datamaskin Apper Wearables Intelligente «dingser»

Detaljer

Installere JBuilder Foundation i Mandrake Linux 10.0

Installere JBuilder Foundation i Mandrake Linux 10.0 Installere JBuilder Foundation i Mandrake Linux 10.0 Installasjon av JBuilder Foundation på Linux (dekker her spesifikt fremgangen ved bruk av Mandrake Linux 10.0, men distribusjon vil gjøre liten eller

Detaljer

TRUSSELVURDERING 2008

TRUSSELVURDERING 2008 Politiets sikkerhetstjenestes (PST) årlige trusselvurdering er en analyse av den forventede utvikling innenfor PSTs hovedansvarsområder, med fokus på forhold som kan påvirke norsk sikkerhet og skade nasjonale

Detaljer

Kan du holde på en hemmelighet?

Kan du holde på en hemmelighet? Kan du holde på en hemmelighet? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Hvis vi ser på Norge som en eiendom passer NSM på gjerdene, E-tjenesten følger med på dem som er utenfor gjerdet, og PST

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679 2013 Bergvall Marine OPPGAVE 3 Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679 Innhold Oppgave 1.... 2 Oppgave 2.... 7 Oppgave 3.... 9 Oppgave 4.... 10 Kilder:...

Detaljer

Installere JBuilder Foundation i Windows XP

Installere JBuilder Foundation i Windows XP Installere JBuilder Foundation i Windows XP Installasjon av JBuilder Foundation på Windows (dekker her spesifikt fremgangen ved bruk av Microsoft Windows XP Professional, men det vil mest trolig ikke være

Detaljer

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Stoler du på denne mannen? 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 2 Jepp Derfor fant du i januar

Detaljer

Månedsrapport januar 2014

Månedsrapport januar 2014 Månedsrapport januar 2014 Side 1 av 8 Innhold Bakgrunn Om NorSIS Slettmeg.no august 2013 Trender og aktuelle problemstillinger Kontakt Side 2 av 8 Bakgrunn Dette er en kort oppsummering av hva vi har sett

Detaljer

Rapport om sikkerhetstilstanden 2012

Rapport om sikkerhetstilstanden 2012 Rapport om sikkerhetstilstanden 2012 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet (NSM) er det sentrale direktorat for beskyttelse av informasjon og infrastruktur av betydning for samfunnskritiske

Detaljer

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett SpareBank 1 Finanshus Forvaltning 805 mrd. Bank, forsikring, eiendomsmegling, inkasso, etc. ca 6500 ansatte

Detaljer

Personvern hos Klarna AB

Personvern hos Klarna AB Personvern hos Klarna AB Klarna AB ("Klarna"), org.nr 556737-0431, behandler personopplysninger med største omsorg. Behandling av personopplysninger gjøres innenfor rammen av tilbudet og utførelsen av

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Om EthicsPoint. Om EthicsPoint Rapportering Generelt Rapporteringssikkerhet og konfidensialitet Tips og beste praksis

Om EthicsPoint. Om EthicsPoint Rapportering Generelt Rapporteringssikkerhet og konfidensialitet Tips og beste praksis Om EthicsPoint Rapportering Generelt Rapporteringssikkerhet og konfidensialitet Tips og beste praksis Om EthicsPoint Hva er EthicsPoint? EthicsPoint er en omfattende og konfidensiell rapporteringsverktøy

Detaljer

Månedsrapport for november 2007

Månedsrapport for november 2007 Månedsrapport for november 2007 Tone oppsummerer november Denne rapporten oppsummerer nyhetsbildet og truslene knyttet til informasjonssikkerhet, som NorSIS mener er aktuelle. I slutten av november fikk

Detaljer

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Revidert 05.02.09 PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Til foresatte og elever som har fått vedtak om pc som hjelpemiddel Når dere nå skal velge en pc

Detaljer

F-Secure Mobile Security for Windows Mobile

F-Secure Mobile Security for Windows Mobile F-Secure Mobile Security for Windows Mobile 1. Installasjon og aktivering Tidligere versjon Installasjon Aktivering Starte produktet Hvis du har en tidligere versjon av F-Secure Mobile Security installert,

Detaljer

Nettvett Danvik skole. 4. Trinn 2011

Nettvett Danvik skole. 4. Trinn 2011 Nettvett Danvik skole 4. Trinn 2011 Målet med å vise nettvett Mindre erting og mobbing Trygghet for voksne og barn Alle tar ansvar og sier i fra Personvern kildekritikk Digital mobbing Er e så nøye, a?

Detaljer

KRAVSPESIFIKASJON FOR SOSIORAMA

KRAVSPESIFIKASJON FOR SOSIORAMA KRAVSPESIFIKASJON FOR SOSIORAMA Innhold 1. Forord... 2 2. Definisjoner... 3 3. Innledning... 4 3.1 Bakgrunn og formål... 4 3.2 Målsetting og avgrensninger... 4 4. Detaljert beskrivelse... 8 4.1 Funksjonelle

Detaljer

Sikkerhet i BankID 2.0 (Web-klient) Frode B. Nilsen Drifts- og utviklingssjef, BankID Norge

Sikkerhet i BankID 2.0 (Web-klient) Frode B. Nilsen Drifts- og utviklingssjef, BankID Norge Sikkerhet i BankID 2.0 (Web-klient) Frode B. Nilsen Drifts- og utviklingssjef, BankID Norge Kort status utrulling De første brukerstedene er nå i produksjon Besøk gjerne h6ps://tools.bankid.no hvis du

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Endepunktsikkerhet Dato: 24.11.2008 Versjon 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets sluttpunktsikkerhet Antivirus

Detaljer

Digitalt førstevalg. Risikosport for virksomheten? Sikkerhet & Sårbarhet 7. Mai 2013. Rune Schumann og Morten Tandle

Digitalt førstevalg. Risikosport for virksomheten? Sikkerhet & Sårbarhet 7. Mai 2013. Rune Schumann og Morten Tandle Digitalt førstevalg Risikosport for virksomheten? Sikkerhet & Sårbarhet 7. Mai 2013 Rune Schumann og Morten Tandle Digitalt førstevalg «Å gjere elektronisk kommunikasjon til den primære kanalen for dialog

Detaljer

Fullstendig ytelsesbehandling

Fullstendig ytelsesbehandling Fullstendig ytelsesbehandling Fungerer også med Windows XP og Windows Vista 2013 Oppgrader og ta ansvar for datamaskinens ytelse med et kraftig og raskt program. Nedlasting og installasjon av Powersuite

Detaljer

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING 1 1 1 KOBLE TIL HJEMMESENTRAL S 3 2 OPPSETT AV TRÅDLØS RUTER OG BRANNMUR I HJEMMESENTRALEN S 4 3 OPPKOBLING AV PC TIL INTERNETT MED WINDOWS 8 S 8 4 OPPKOBLING

Detaljer

Om EthicsPoint. Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis

Om EthicsPoint. Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis Om EthicsPoint Hva er EthicsPoint? EthicsPoint er et omfattende og konfidensielt rapporteringsverktøy

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Jeg skal

Detaljer

Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25

Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25 VEFSN KOMMUNE Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25 NETTVETT Nettvettregler for e-post Slett mistenkelig e-post Ikke svar på eller følg oppfordringer i spam

Detaljer