Kraftig økning i antall håndterte hendelser

Transkript

1 Nasjonal sikkerhetsmyndighet Kvartalsrapport for 1. kvartal 2013 Kraftig økning i antall håndterte hendelser 113 % Det er økningen i antallet hånd terte saker fra første kvartal 2013 til samme periode i fjor. Men til tross for en voldsom økning i antall saker med kompromitterte nettsider, har antall varsler om kompromitterte datamaskiner gått ned Dødspakkene En pakke med et spesifikt innhold, og vips, så er det mulig å drepe Ethernet-kontrolleren. Oppdageren av de ondsinnede pakkene Kristian Kielhofner var mannen som gav dem navnet. Det er akkurat det de er, sier han. Hvem er hackeren? Forbryter med finlandshette, eller kvisete tenåring? Hvem står bak dataangrepene som stadig øker i omfang? Det du definitivt aldri bør gjøre er å forhandle med hackerne, sier virusanalytiker Snorre Fagerland i Norman.

2 Innhold Informasjonsikkerhet et felles ansvar 3 Aktiviteter 3 Sammendrag av kvartalet 4 Nøkkeltall fra NorCERT 6 Verdiene er ikke godt nok sikret 11 Cyberuvær og langtidsvarsel 12 Teknisk: Bit9-kompromittering 14 Teknisk: Dødspakkene 15 De fleste IT-angrepene kan stoppes! 17 Teknisk: ItaDuke og MiniDuke 18 Hvem er hackeren?? 20 Kodeknuserne i Bletchley Park 22 Serviettens betydning 23 NorCERT Norwegian Computer Emergency Response Team (NorCERT) er Norges nasjonale senter som koordinerer hendelseshåndtering i forbindelse med alvorlige IKT-sikkerhetshendelser. NorCERT er en funksjon som ivaretas av Operativ avdeling i Nasjonal sikkerhetsmyndighet (NSM). Varslingssystem for digital infrastruktur (VDI) er en del av NSM/NorCERT, og yter tjenester som skal gjøre samfunnsviktige offentlige og private virksomheter i bedre stand til å oppdage og håndtere alvorlige IKT-sikkerhets hendelser. Fra vårt operasjonssenter identifiserer vi og varsler om nye alvorlige angrep, trusler og sårbarheter. NorCERT kvartalsrapport gir en oppsummering av trender i IKT-risikobildet basert på hendelser og saker som vi har håndtert i løpet av forrige kvartal.

3 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL Aktiviteter Kjernevirksomheten i NSM/NorCERT skjer i operasjonssenteret i Tvetenveien 22. Vi er imidlertid også engasjert i en del andre aktiviteter. Under har vi listet noe av NSMs eksterne aktivitet i andre kvartal Er du i nærheten av der vi er? Da oppfordrer vi deg til å ta kontakt! IT-sikkerhet er et nasjonalt lagspill, og alle vinner på å bli bedre kjent. Informasjonsikkerhet et felles ansvar I denne kvartalsrapporten ser dere at antallet saker vi håndterer øker, samtidig som angriperne stadig finner nye metoder for å bryte seg inn eller lure oss brukere. Samtidig satses det kraftig i mange miljøer for å møte denne trusselen. Her i Nasjonal sikkerhetsmyndighet og NorCERT er vi i full gang med å rekruttere nye medarbeidere for å implementere regjeringens satsning. Dette skal blant annet gi oss bedre deteksjon av angrep, 24/7 operasjonssenter og tettere Nordisk samarbeid. Det er en krevende prosess å rekruttere og ta i mot så mange nye medarbeidere og i en periode kan dette gå noe utover vår leveranseevne. Vi ber om forståelse for dette. Tilsvarende bygges det opp responsmiljøer både i de enkelte sektorene og i offentlige og private virksomheter. Dette skaper stor etterspørsel etter ressurser med rett kompetanse. For å få en best mulig effekt av denne satsningen vil samarbeid og deling av informasjon være helt avgjørende. En virksomhet sitter kanskje med en bit av puslespillet, mens vi sitter på en annen, uten at noen av oss har oversikten. Denne oversikten kan vi bare få om vi offensivt deler informasjon. På den måten kan vi også stimulere til samarbeid og sikre oss at vi utnytter ressursene best mulig. For at dette skal lykkes må vi alle ta et ansvar for å få det til. Fra vår side her i NSM/Nor- CERT vil vi fokusere på å best mulig legge til rette for at vi kan videreutvikle samarbeid og bidra til at informasjon blir gjort tilgjengelig til dem som trenger den. I denne rapporten vil dere også se at vi skriver mye om hvordan web-sider kompromitteres og brukes i målrettede angrep. Dette er en økende trend, og noe vi vil vie betydelig oppmerksomhet i perioden som kommer. Med vennlig hilsen Eiliv Ofigsbø Avdelingsdirektør Operativ avdeling April april Deltakelse på HackCon # 8, Oslo 23. april Foredrag på Seminar om IKTsikkerhet i bore- og prosess kontroll, sikkerhets og støtte systemer fagseminar for oljesektoren, Stavanger Mai mai Foredrag på CARO, Bratislava mai Foredrag på Beredskapskonferansen, Stavanger Juni juni Deltakelse på SANS for 610, Kongsberg 11. juni Nasjonal sikkerhetsmyndighet 10 år! 12. juni NorCERT Sikkerhetsforum konferanse for NorCERTs samarbeidspartnere, Oslo juni Deltakelse på FIRST, Bangkok Juli 27. juli 1. august Black Hat, Las Vegas August august DefCon, Las Vegas Vi omorganiserer Nasjonal sikkerhetsmyndighet (NSM) omorganiserte 1. januar i år. Omorganiseringen skal gjøre oss enda bedre til å samhandle internt, gjøre leveransene mer synlige, og videreutvikle NSM som direktorat. NorCERT-funksjonen er nå en del av Operativ avdeling, ledet av Eiliv Ofigsbø. De andre avdelingene heter nå Teknologi, Sikkerhetsstyring, Kontroll, Plan og strategi, HR, Kommunikasjon og Informasjonsforvaltning.

4 4 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT Sammendrag av kvartalet Dette kvartalet har vært preget av hektisk aktivitet relatert til flere saker som også har vært slått opp stort i media. En rapport om målrettede angrep fra Kina fikk mye oppmerksomhet. Hos oss ble det straks satt i gang undersøkelser for å se om vi kunne knytte dette til tidligere håndterte saker. Det viste seg å være tilfelle. Telenor fikk mye medieoppmerksomhet da de valgte å stå frem med at de hadde blitt utsatt for industrispionasje hvor dokumenter og eposter hadde blitt stjålet fra datamaskinene til flere sjefer. Tjenestenektangrepet mot Spamhaus og Cloudflare demonstrerte hvordan svakheter i oppbyggingen av Internetts DNS-infrastruktur kan utnyttes til å generere store mengder uønsket datatrafikk. Vannhullsangrep, som vi advarte mot i forrige kvartalsrapport, ser ut til å være en økende trend, der tilsynelatende ufarlige nettsider utnyttes til å spre skadevare til utvalgte brukergrupper. I februar offentliggjorde det amerikanske sikkerhetsselskapet Mandiant en rapport om omfattende spionasjeoperasjoner via Internett mot vestlige land. USA var i følge rapporten hardest rammet, men også én operasjon mot Norge ble nevnt. I rapporten omtalte Mandiant gruppen som sto bak angrepene som APT1, og konkluderte med at dette mest sannsynlig er en gruppe assosiert med kinesiske myndigheter. Mandiant peker på tekniske spor som de mener knytter denne gruppen til en bestemt bygning i Shanghai. Samsvar meg egne funn NSM/NorCERT fokuserer på å avdekke og bistå til å håndtere hendelser knyttet til slike etterretningsoperasjoner, noe som medfører at vi også jobber med å knytte enkeltsaker sammen til større sakskomplekser. NSM har derimot ikke fokus på å avdekke hvilke aktører som står bak de ulike etterretningsoperasjonene. Dette er et ansvar som tilfaller Politiets sikkerhetstjeneste og Etterretningstjenesten. Mandiant-rapporten inneholder mange tekniske detaljer om fremgangsmåter og infrastruktur som har blitt brukt i angrepene. Dette samsvarer svært godt med funn gjort i en lang rekke saker NSM/NorCERT har håndtert i samarbeid med deltakere i det nasjonale sensornettverket VDI. Vi har gått gjennom tidligere målrettede angrep mot norske mål, og har funnet likhetstrekk med rundt 20 saker som vi har vært med på håndteringen av. Flere av disse sakene har vært rettet mot én og samme virksomhet. Allerede i 2011 gikk vi gjennom en artikkel i Aftenposten offentlig ut med at vi kjente til minst 10 alvorlige saker hvor vi hadde sterk mistanke om denne spesielle aktøren. Denne ene aktøren er kun én av flere NSM/NorCERT er kjent med at opererer aktivt i Norge. Som nevnt i forrige kvartalsrapport har vi registrert mer enn en dobling i antall alvorlige hendelser av denne typen fra 2011 til Saker av denne typen håndteres primært i samarbeid med virksomheter tilknyttet VDI, som kun utgjør et lite utsnitt av private og offentlige virksomheter med samfunnsviktige funksjoner. Vi må altså anta at mørketallene på området er store. Telenor utsatt for digital spionasje Telenor meldte i februar fra om at mistenkelig trafikk fra datamaskinene til flere Telenor-sjefer hadde blitt fanget opp av Telenors eget operasjonssenter (Telenor SOC). Det viste seg at sjefene hadde blitt utsatt for skreddersydde trojaniserte eposter som inneholdt spionprogramvare som hentet ut sensitiv informasjon fra sjefenes datamaskiner. Epostene var meget godt utformede og så ut til å komme fra kjente leverandører eller kolleger. Noen eposter inneholdt zip-filer med skadevare, andre inneholdt lenker til webadresser hvor skadevare ble lastet ned på maskinen. NSM/NorCERT bisto Telenor med blant annet skadevareanalyse og utarbeidet varsel om hendelsen med tekniske detaljer til vårt kontaktnett slik at andre kunne lete etter tegn til innbrudd. Gjennom våre samarbeidende CERT-er internasjonalt fikk vi dermed kjennskap til at lignende fremgangsmåte også var brukt mot et annet stort telekomselskap. Telenor har anmeldt saken og den er nå under etterforskning av Kripos. Gigantisk tjenestenektangrep Tidenes største tjenestenektangrep (DDoS) fikk mye oppmerksomhet i internasjonale medier i slutten av mars. Bakgrunnen for angrepet var at anti-spam organisasjonen Spamhaus hadde svartelistet den nederlandske virksomheten Cyberbunker på grunn av utsendelse av spam. Nettaktivister som støttet Cyberbunker satte Mandiant-rapporten inneholder mange tekniske detaljer om fremgangsmåter og infrastruktur som har blitt brukt i angrepene.

5 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL dermed i gang et stort tjenestenektangrep mot Spamhaus. For å håndtere dette benyttet Spamhaus selskapet Cloudflare sine produkter for DDoS-beskyttelse, noe Cloudflare skrev om i sin blogg. Dermed rettet aktivistene DDoS-angrepet mot Cloudflare, denne gangen med økende intensitet. De som sto bak angrepene utnyttet en lenge kjent sårbarhet i DNS (Domain Name System), som er en slags telefonkatalog for Internett som oversetter navn på nettsider til IP-adresser. Siden mange Internettleverandører ikke verifiserer at trafikken som går ut fra eget nett har satt riktig avsender-adresse er det mulig å utnytte DNS til å generere store mengder trafikk som kan utnyttes i et såkalt DNS amplification DDoS. Den uønskede trafikken ble også dirigert mot infrastrukturen til Internettleverandørene til Spamhaus og Cloudflare, noe som fikk ringvirkninger og førte til merkbar treghet på Internett for vanlige brukere enkelte steder. Økende trend med vannhullsangrep Såkalte vannhullsangrep, eller strategiske kompromitteringer av nettsteder, ser ut til å være en økende trend. NSM/NorCERT har i dette kvartalet kunnet observere to ulike hendelser hvor nettsidene til høyt profilerte og vel ansette analyseselskaper har blitt brukt av angriper for å få installert spionprogramvare på besøkendes datamaskiner. I den første kampanjen ble hjemmesidene til den EU-orienterte tenketanken Centre for European Policy Studies (CEPS. be) benyttet som spredningspunkt, dette ved utnyttelse av en nylig avdekket Java-sårbarhet. Dette ble oppdaget i VDI og varslet om via det belgiske CERTet. Den andre kampanjen gjaldt Information Handling Services (IHS.com/Jane s) som er et anerkjent analyseselskap med kunder i svært mange store selskaper, i statsadministrasjonen og forskningsmiljøer. Denne kampanjen virket å være så omfattende at det er sannsynlig at en rekke norske virksomheter kan ha blitt rammet. NSM/Nor- CERT ble tipset om denne saken via et VDI-medlem som oppdaget mulige kompromitteringer som kunne spores tilbake til dette nettstedet. Teknisk informasjon om begge disse hendelsene har blitt delt med det norske sikkerhetsmiljøet, dette for å kunne gi rammede virksomheter en mulighet til deteksjon og gjenoppretting. Tidenes største tjenestenektangrep (DDoS) fikk mye oppmerksomhet i internasjonale medier i slutten av mars.

6 6 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nøkkeltall fra NSM/NorCERT Økningen i antall saker fra første kvartal 2012 til første kvartal 2013 er på 113 prosent. Bare fra forrige kvartal er økningen på dramatiske 62 prosent. Det er spesielt saker knyttet til norske websider som sprer skadevare som driver økningen. Dette kvartalet har NSM/NorCERT også håndtert to saker hvor websidene til FN, analyseselskapet IHS og den europeiske tenketanken CEPS har blitt brukt til å spre spionprogramvare til besøkende. Til tross for en voldsom økning i antall saker med kompromitterte websider, har antall varsler om kompromitterte datamaskiner gått ned. Også dette kvartalet må NSM/NorCERT rapportere om en kraftig økning i antall saker som kommer inn til operasjonssenteret på Bryn i Oslo. Det største bidraget til økningen dette kvartalet er først og fremst en kraftig vekst i antall saker hvor det er mistanke om at norske websider bidrar til å spre skadevare. Saker i denne kategorien er mer enn femdoblet siden fjerde kvartal Samtidig har veksten i andre typer saker vært på 10 prosent i samme periode. Dette er også en markant økning. Antall saker under operativ håndtering har altså mer enn doblet seg siden samme kvartal i fjor. Summen gir en total økning i antall saker fra forrige kvartal på oppsiktsvekkende 62 prosent. Økningen fra første kvartal 2012 er på 113 prosent. Antall saker under operativ håndtering har altså mer enn doblet seg siden samme kvartal i fjor. en total økning i antall saker fra forrige kvartal på oppsiktsvekkende 62 prosent. Kapasitet Det å håndtere en slik økning er utfordrende. For øyeblikket har NSM/NorCERT begrenset kapasitet til å håndtere saker hvor det er mistanke om at norske websider bidrar til spredning av skadevare. Foreløpig må vi altså innse at en rekke norske websider sprer skadevare uten at vi har kapasitet til å følge dem opp og sørge for at det blir ryddet opp. Samtidig som vi opplever denne økningen står vi i en krevende oppbemanningsprosess hvor vi skal omlag doble antall ansatte tilknyttet NSM/NorCERT i løpet av året. Å bekjempe spredning av skadevare fra norske websider er et strategisk viktig satsingsområde for oss, og vi arbeider derfor med å etablere løsninger for å håndtere det. Vi håper å ha en foreløpig løsning på utfordringen over sommeren. Når oppbemanningen har kommet lenger, og våre nyansatte har fått den opplæringen de trenger, vil kapasiteten til å håndtere den voksende saksmengden bli bedre. Utvikling Utviklingen i antall saker under operativ behandling i NSM/NorCERTs operasjonssenter har de siste seks årene hatt en tilnærmet lineær vekst. Dette ser man tydelig i Figur 1: Antall saker under operativ håndtering figur 1, hvor antall saker per kvartal er plottet. Den blå heltrukne linjen er antall saker, men uten at saker med kompromitterte websider er talt med. Den tilhørende heltrukne grønne trendlinjen illustrerer hvor jevn økningen har vært over tid. Den stiplede grå linjen viser det totale antallet saker, inkludert kompromitterte websider. Grunnen til at den er skilt ut på denne måten er fordi vi i øyeblikket kun i begrenset omfang håndterer denne typen saker. Årsaken er som nevnt kapasitetsutfordringer. Det som likevel tydelig trer frem i grafen er at økningen i denne typen saker nærmest har eksplodert de siste kvartalene. I løpet av de siste par årene har det ved flere anledninger blitt nevnt at veksten i antall saker ikke kan fortsette «til evig tid». Nå tror vi kanskje dette er en vekst vi må leve med i overskuelig fremtid. Det er i alle fall ingen tegn til at veksten avtar. Med den økte innrapporteringen av kompromitterte websider skyter veksten tvert i mot kraftig i været. Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Grafen viser saker under operativ håndtering. På grunn av den markante økningen i saker knyttet til kompromitterte norske websider som enten sprer skadevare eller på annen måte misbrukes av kriminelle, er disse tallene splittet ut. Den heltrukne blå linja viser saker som ikke kan knyttes til kompromitterte websider. Den stipla grå linja er det totale antall saker.

7 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL Dette er bekymringsfullt. Samtidig er det en situasjon vi som arbeider med informasjonssikkerhet må ta inn over oss og håndtere. kanskje dette er en vekst vi må leve med i overskuelig fremtid. Websider som sprer skadevare Som det fremgår av grafen over antall saker under operativ håndtering (figur 1) har antall saker hvor det er mistanke om at norske, legitime websider bidrar til å spre skadevare økt kraftig det siste kvartalet. I kvartalsrapporten for fjerde kvartal 2012 gikk vi grundig gjennom farene ved at legitime, norske websider sprer skadevare til intetanende besøkende. En av farene er økt spredning av skadevare som tilrettelegger for økonomisk kriminalitet, som for eksempel «banktrojanere». En annen er at de kompromitterte serverne kan brukes til å gjennomføre kraftige tjenestenektangrep. En tredje fare at de kompromitterte serverne brukes i mer målrettede angrep mot utvalgte norske virksomheter. Som vi har nevnt tidligere er det heller ikke bare mindre og relativt sett lite besøkte eller obskure websider som blir kompromittert og brukt til å spre skadevare til sine besøkende. Også store, kjente websider og riksdekkende nettaviser blir rammet av dette. Så langt har NSM/NorCERT ikke grunnlag for å si at noen av disse websidene har blitt brukt i målrettede angrep, men vi har flere eksempler på at store og kjente websider i utlandet har blitt brukt til å spre skadevare knyttet til industrispionasje eller etterretning. Økningen i innrapportering av kompromitterte websider kommer blant annet av at vi får inn gode rapporter fra det norske sikkerhetsmiljøet, spesielt fra noen svært gode kilder. Strategiske webkompromitteringer Når en webside kompromitteres som ledd i en spionasjeoperasjon kalles det på engelsk gjerne for «strategic web compromise» eller «waterhole attack». Bakgrunnen for uttrykkene er at en aktør velger ut en eller flere websider å kompromittere, basert på hvilken besøksmasse de tiltrekker seg. Om du er ute etter informasjon du kan få fra kraftsektoren, kompromitterer du en webside som det er sannsynlig at først og fremst folk fra kraftsektoren besøker. Du kan for eksempel kompromittere en webside for en bransjeforening eller et bransjetidsskrift. Dersom du er ute etter å kompromittere strategiske analysemiljøer kan du for eksempel kompromittere en tenketank sine hjemmesider, eller hjemmesiden til et selskap som tilbyr analyser innen områder som passer profilen til den type mål du er ute etter å kompromittere. På norsk kaller vi denne typen angrep for strategisk webkompromittering. Denne måten å kompromittere virksomheter på er vesentlig mer krevende enn å sende ut såkalt «phishing»-epost. Det kreves mer struktur og infrastruktur av aktører som ønsker å gjennomføre en slik operasjon effektivt enn om man baserer seg på phishing. Årsaken er at man trenger kunnskap og mekanismer for å filtrere bort alle besøkende man ikke finner interessant for kompromittering, eller en prosess for å organisere en vesentlig større mengde kompromitterte klienter etter kompromitteringen. Dersom man er ute etter spesifikke personer og ikke bare etter fotfeste i et sett organisasjoner, må man i tillegg bruke tid på å identifisere alle man har kompromittert. I mer tradisjonell spear-phishing er denne identifiseringen gjort i forkant. Samtidig kan det være vesentlig vanskeligere å forsvare seg mot slike angrep enn å forsvare seg mot ondsinnede eposter. For det første finnes det en rekke sikkerhetsløsninger som er spesialisert til å oppdage mistenkelig epost, som for eksempel Nøkkeltall I hver kvartalsrapport vil Nor- CERT presentere statistikk basert på egne data eller på analyse av andres. Formålet er å formidle kunnskap om det generelle IKT-risikobildet og om Nor- CERTs arbeid. NorCERT rapporterer kun på saker som har vært til operative håndtering ved vårt operasjonssenter. Operativ håndtering NorCERT prioriterer å håndtere saker innen to hovedkategorier. Den første hovedkategorien er det vi forstår som «abuse»-håndtering. Dette innebærer å varsle internettilbydere om virusinfiserte kunder, og tjenesteleverandører om websider som sprer virus eller medvirker til svindel. Disse sakene står for størsteparten av volumet, og følges i liten grad opp når varsel er sendt. Grunnen til at NorCERT velger å bruke ressurser på dette arbeidsområdet er at det er viktig for å holde det norske «nærområdet» på Internett så trygt som mulig, altså så fri for virus og svindel som mulig. Dette gjelder i sær spredning av banktrojanere og annen skadevare som truer tilliten til den digitale økonomien. Den andre hovedkategorien er oppfølging av alvorlige hendelser hos kritiske og samfunnsviktige virksomheter, herunder deltakere i VDI-samarbeidet. De største og mest alvorligste sakene i denne kategorien kan ofte knyttes til mistanke om eller forsøk på spionasje. En annen viktig underkategori er saker hvor større norske websider er kompromittert og sprer virus til intetanende besøkende.

8 8 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT spear-phishing, og for det andre har årvåkne brukere en reell mulighet til å fatte mistanke til slike angrepsforsøk. I tillegg kan et slikt forsøk på kompromittering oppleves mindre målrettet, og dermed mindre farlig. Dette kan medføre at man ikke vurderer kompromitteringsforsøket som veldig alvorlig, og dermed heller ikke bruker tid og ressurser på håndtering og analyse. I første kvartal i år har NorCERT vært involvert i håndteringen av to saker hvor kompromitterte websider har blitt brukt i det som trolig har vært forsøk på spionasje. ansatte i flere departementer forsøkt rammet da de besøkte sidene til den europeiske tenketanken CEPS. CEPS I den første saken ble ansatte i flere departementer forsøkt rammet da de besøkte sidene til den europeiske tenketanken CEPS, Centre for European Policy Studies (www. ceps.be). Måten hendelsen ble avdekket på var at det gikk en alarm i NSMs sensorsystem VDI. Analyse av alarmen avdekket at besøkende til siden ble forsøkt kompromittert av skadevare via Java-sårbarheten CVE Vi vet ikke om alle besøkende ble forsøkt kompromittert, eller om kun utvalgte besøkende ble utsatt for kompromitteringsforsøk. I denne saken bistod vi departementene på norsk side med å håndtere hendelsen, og vi varslet det belgiske CERTet om at websiden til CEPS ble misbrukt til å spre spionprogramvare. Basert på tilbakemeldingene fra Belgia var vi først ute med å varsle om hendelsen. Da hadde websidene til CEPS trolig vært kompromittert i en dag eller to. IDS-regelen som trigget var skrevet av en av NorCERTs analytikere. Hendelsen er et godt eksempel på hvor viktig det er med et godt sensornettverk med gode regelsett for å avdekke denne typen angrep. store deler av analysemiljøet i en stor norsk virksomhet forsøkt rammet IHS og FN I den andre saken ble store deler av analysemiljøet i en stor norsk virksomhet forsøkt rammet da de besøkte sidene til det internasjonale analyseselskapet Information Handling Services Inc (IHS.com). Selskapet er godt kjent i analysemiljøer, men selskapet er for andre kanskje mest gjennom produkter som det militært rettede tidsskriftet Jane s Defense Weekly. I dette tilfellet ble det ikke benyttet en sårbarhet for å spre skadevare. Derimot ble en mekanisme i Java benyttet sammen med enkel sosial manipulering for å lure besøkende til å installere spionprogramvare på egen datamaskin når de besøkte IHS.com. Den norske virksomheten som ble rammet hadde sikkerhetsmekanismer på plass som gjorde at angrepsforsøket ble avverget. I ettertid har vi også blitt underrettet om at publikasjonssiden til FN (unp.un.org) også var kompromittert og brukt som ledd i samme kampanje. trolig først og fremst dreier seg om en økning i innrapportering og ikke en vesentlig økning i antall faktisk kompromitterte websider Kompromitterte datamaskiner I forrige kvartalsrapport gikk vi inn på den kraftige økningen som har vært i antall kompromitterte datamaskiner NorCERT varsler norske internettleverandører om. Vi gikk da også inn på den trolige sammenhengen mellom antall norske kompromitterte Tabell 1: Nye saker per hovedkategori: Sakskategori Antall Per dag Andel Varsel om kompromitterte systemer til ISP eller hostingleverandør ,83 86,00 Deling av informasjon med samarbeidspartnere, inkl. VDI-deltakere ,73 8,27 Varsler til deltakere i VDI og samfunnsviktig infrastruktur. 62 0,69 1,53 Alt annet ,90 4,21 Totalt antall saker ,16 100,00 NorCERT behandlet saker i første kvartal Av disse var nye for kvartalet. Tabellen viser hvilke hovedkategorier de nye sakene for første kvartal 2013 falt inn under. Tabell 2: Nye saker per prioritet: Prioritet Q Q Hele 2012 Hele 2011 Høy Medium Lav Total Antall saker vi kategoriserer som mindre viktige vokser kraftig, spesielt drevet av økende innrapportering om kompromitterte websider.

9 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL websider som bidrar til å spre skadevare, og antall kompromitterte datamaskiner vi varsler om. Dette kvartalet ser vi en nedgang i antall kompromitterte datamaskiner vi har varslet om, samtidig som vi har opplevd en formidabel økning i antall saker som dreier seg om kompromitterte websider. Dette forteller oss to ting. Det ene er at økningen i antall rapporterte kompromitterte websider trolig først og fremst dreier seg om en økning i innrapportering og ikke en vesentlig økning i antall faktisk kompromitterte websider. Det andre er at de store spam-bølgene med nettbanktrojanere mot norske nettbankkunder i fjor høst trolig var en signifikat driver for de svært høye tallene for kompromitterte datamaskiner i tredje og fjerde kvartal i fjor. Som alltid når vi omtaler vårt arbeid med varsling av kompromitterte datamaskiner, må vi påpeke at vi i disse tilfellene er helt avhengig av rapporter fra eksterne samarbeidspartnere som enten har tatt over kommando-og-kontroll-infrastrukturen til kriminelle nettverk, eller på annen måte har Figur 2: Antall håndterte alvorlige hendelser Figur 3: Antall kompromitterte datamaskiner klart å kartlegge hvem som er kompromittert. Det betyr at våre data på dette området er veldig sårbare for endringer i hva som rapporteres til oss. Det er altså ikke umiddelbart lett å si om det vi ser som økning eller fall i rapportering betyr reell økning eller fall i faktisk kompromitterte datamaskiner i Norge. Derimot gir det en indikasjon på nivået, all den tid vi vet at det vi får rapporter om trolig kun er en liten del av det totale bildet. Dette gjelder forøvrig både kompromitterte websider og kompromitterte datamaskiner. Kompromittering av websider Det er flere måter en webside kan bli kompromittert på. Vanlige angrepsmetoder er: ÄÄ SQL-innsprøytning. ÄÄ Inkludering av eksterne kildefiler («remote file inclusion»-angrep). ÄÄ Utnyttelse av andre sårbarheter i eksponerte tjenester. ÄÄ Stjålne brukernavn og passord. I tillegg er det i flere driftsmiljøer mulig å kompromittere flere websider når man først har klart å kompromittere én. Dette skjer ved at brukerne har tilgang til hverandres filområder på webserveren, og at filrettighetene ikke er satt i henhold til anbefalt praksis. Selv om det finnes flere tekniske løsninger for å forhindre dette, er det likevel overraskende ofte at slike tiltak ikke er iverksatt. Utnyttelse En relativ harmløs utnyttelse av kompromitterte websider er online tagging («defacement»). En annen mulighet er å utnytte tilgangen til å servere phishing-sider eller skadevare. Dette er en ganske vanlig utnyttelse. Kompromitterte servere kan også benyttes som kontrollserver for andre kompromitterte maskiner, men dette ser man ikke veldig ofte i Norge. Den vanligst måten å utnytte kompromitterte websider på i Norge er å bruke tilgangen til å infisere intetanende besøkende med skadevare. Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Q Varsel om kompromitterte datamaskiner. Blå er unike IP-adresser som er varslet på i kvartalet, mens rød er totalt antall rapporter sendt ut. Som det fremgår av grafen sender vi ut mellom tre og frem rapporter per unike kompromittert IP-adresse.

10 10 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT

11 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL Verdiene er ikke godt nok sikret Sikkerhetstilstanden for 2012 var fremdeles ikke tilfredsstillende. Det er konklusjonen i Rapport om sikkerhetstilstanden fra Nasjonal sikkerhetsmyndighet, som ble lagt frem før i år. De norske verdiene er med andre ord fremdeles ikke godt nok sikret. Overordnet skyldes dette manglende risikoforståelse og manglende forankring av sikkerhetsarbeidet på alle nivåer i samfunnet. Virksomhetene, deres ledere og medarbeidere mangler ofte risikoforståelse og -erkjennelse. Arbeidet med sikkerhet er ikke utviklet tilstrekkelig nok i norske virksomheter til å møte et stadig mer komplekst risikobilde. Ulovlig etterretning I tillegg til generelle sårbarheter og sikkerhetsutfordringer, trekker NSM i sin rapport frem fire fokusområder hvor utviklingen innebærer særskilte utfordringer for det forebyggende sikkerhetsarbeidet. Disse er det digitale rom, industrisikkerhet, personellsikkerhet og regelverksutvikling. Norge har mange vitale verdier og interesser som må beskyttes, og norske interesser utsettes daglig for uønsket og ulovlig etterretning. Det har i 2012 vært en økning av avanserte spionasjeoperasjoner mot spesifikke mål av høy økonomisk eller samfunnsmessig verdi. Finanskriminalitet fra ikke-statlige aktører er også av vedvarende høyt omfang. Det registreres flere og mer avanserte former for IKT-kriminalitet, og nettaktivisme og digitalt hærverk er gjengående fenomener som vil fortsette. Akseptabel risiko Forebyggende sikkerhet skal bidra til å sikre de nasjonale verdiene. God sikring handler om å kjenne egne verdier, trusselen mot disse og sårbarheter som kan utnyttes, samt erkjenne samlet risiko. Risikobildet er dynamisk, noe som må gjenspeiles i de sikkerhetstiltak som velges. Man må alltid leve med en viss grad av risiko. Utfordringen er å finne ut hvilken risiko som er akseptabel. Styrking nødvendig For å komme på et akseptabelt risikonivå er sårbarhetsreduserende tiltak nødvendig. I 2012 ble det igangsatt prosesser for å oppnå nettopp dette. Samtidig er det mye som fortsatt må gjøres for å møte både dagens og fremtidige sikkerhetsutfordringer. NSM mener blant annet at det fremover er viktig å styrke kompetansen på forebyggende sikkerhet, styrke den nasjonale evnen til å håndtere alvorlige IKT-hendelser, og øke rapporteringen av sikkerhetstruende hendelser. Rapporten i sin helhet er tilgjengelig på NSM sine hjemmesider: nsm.stat.no/aktuelt/nytt-fra-nsm/ Noreg-ikkje-godt-nok-sikra/ Rapport om sikkerhets tilstanden 2012 God sikring handler om å kjenne egne verdier, trusselen mot disse og sårbarheter som kan utnyttes, samt erkjenne samlet risiko. Nasjonal sikkerhetsmyndighet Sikkerhets utfordringer som må følges nøye fremover: ÄÄ Spionasje og kriminalitet gjennom bruk av IKT ÄÄ Nettbankkriminalitet, informasjonstyveri og hærverk på nett ÄÄ Sikkerhetsoppdateringer på systemer ÄÄ Store datamengder og nye lagringsløsninger ÄÄ Økt bruk av private enheter i arbeidssammenheng ÄÄ Industrisikkerhet ÄÄ Psykisk helse, økonomiske forhold og tilknytning til fremmede stater i forbindelse med sikkerhetsklareringer

12 12 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT Cyberuvær og langtidsvarsel Verden etter Stuxnet har sett en dramatisk økning av skadevareangrep mot kritiske infrastrukturer, og media har vært fulle av overskrifter om cybertrusler og cyberkrig. I USA fant Department of Homeland Security at 52% av rapporterte hendelser rammet kraftsektoren i John Kerry, USAs utenriksminister, proklamerte at cybervåpen er vår tids masse-ødeleggelsesvåpen. I mars lanserte NATO sin nye doktrine for cyberkrig 2. Bedrifter og myndigheter har grepet de nye mulighetene den digitale utviklingen har skapt. Arbeidsoppgaver digitaliseres, informasjon lagres i databaser og i skytjenester, og prosesser styres over Internett. I staten digitaliseres gradvis forvaltningen. Kompetanse og organisering er tett knyttet til våre digitale verktøy, og å gå tilbake til en hverdag uten dem er nærmest utenkelig. Det er derfor et slikt scenario, hvor teknologien svikter for en kortere eller lengre periode som følge av et massivt cyberangrep, som skaper frykt. Økt avhengighet Et cyberangrep utført av en hær av avanserte hackere er ikke lenger et science fiction scenario fra underholdningsindustrien. Stater som har ressurser til det, bygger opp sin kapasitet for cyberkrig. Noen som et middel for maktutøvelse, noen for å avskrekke fra angrep. Den prøyssiske gene- ralen Carl von Clausewitz beskrev krig som en fortsettelse av de politiske forbindelsene iblandet andre midler. 3 Strøm- og kommunikasjonsnett er som nervesystemer i industriland, og i teknologisk høyt utviklede land er avhengigheten meget stor. Viktige samfunnssektorer som statsadministrasjon, bank og finans, olje og gassproduksjon, helsevesen og transport bruker digitaliserte systemer til sentrale funksjoner. Et bortfall av systemene vil kunne lamme dem i større eller mindre grad. Avhengigheten vil bare bli større med økt digitalisering. Sivile mål for cyberkrigere I Norge er det de store bedriftene som eier den kritiske infrastrukturen som er de mest sannsynlige mål for et cyberangrep i stor skala. Infrastrukturen er kritisk i betydningen av at samfunnet ikke kan fungere uten den, som for eksempel strømforsyning. Bedrifter vil i økende grad befinne seg i skuddlinjen for cyberangrep, og systemsikkerhet blir bare viktigere. Tradisjonelt har industrielle kontrollsystemer vært beskyttet ved ikke å være koblet til Internett. Skadevare og hackere har derfor ikke kunnet nå inn til systemene. Under slike forhold har det ikke vært noen grunn til å bruke ressurser på sikkerhet, og som et resultat av dette er denne typen systemer ofte veldig sårbare ved uautorisert tilgang. Enheter kan mangle eller ha svak passordbeskyttelse, eller på andre måter være sårbare for ondsinnet manipulasjon. Vanskelig samarbeid Forutsetningene industrikontrollsystemene og allmenne IKT-nettverk har blitt utviklet under har påvirket filosofi og mål i de ulike driftsmiljøer. Mål for IKT- sikkerhet er å beskytte data i systemet. For industrielle

13 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL I den populære oppfatningen er hackeren en kvisete tenåring, men dette bildet bør revideres snarest. systemer er det gjerne viktigere at systemet og prosessen ikke går ned eller blir utilgjengelig. Om noen har innsyn i systemene, er mindre viktig 4. De ulike prioriteringene har vanskeliggjort samarbeid på tvers av fagmiljøene og kan føre til en holdning hvor det enten fokuseres på tilgang eller sikkerhet. I miljøer med vegring mot IKT- sikkerhetsprinsipper kan problemstillingen avfeies med: Vi er ikke knyttet til Internett, så sikkerheten er ivaretatt av luftskillet eller Vi har ikke hatt problemer tidligere og det betyr at vårt system er sikkert. Dette er vanlige antakelser som kan være notorisk vanskelige å verifisere og som kan føre til at bedrifter står uten de nødvendige mottiltak ved en alvorlig hendelse hvis sikkerheten blir nedprioritert. Mange industrielle kontrollsystemer kan gå ned hvis de skannes med sikkerhetsverktøy som Nessus og terskelen for å bruke den er derfor naturlig nok høy i operative systemer 4. I tillegg kan usikkerhet rundt stabilitet og lav toleranse for nedetid føre til at systemer ikke patches og dermed beholder kjente sårbarheter i programvaren 5. En ny virkelighet Det er mange gode praktiske og økonomiske grunner til å integrere systemer, teknologi fra det ordinære forbrukermarkedet og knytte systemene til Internett. Det kan også være svært farlig. Det er naivt å tro at et system knyttet til Internett vil forbli uoppdaget og ignorert av angripere, og det er heller ikke rimelig å tro at hackere ikke forstår industrielle kontrollsystemer 6. I den populære oppfatningen er hackeren en kvisete tenåring, men dette bildet bør revideres snarest. Inntrengere i systemene vil snarere være en gruppe svært profesjonelle fagfolk med store ressurser som gjør dette på heltid. Hvis systemer gjøres mer tilgjengelige uten at de herdes med passende mottiltak, er det ikke et spørsmål om hvis men når inntrengere vil lykkes. En vellykket inntrengning vil heller ikke nødvendigvis bli oppdaget. Spionasje og tyveri av forretningshemmeligheter har blitt en konstant trussel for mange bedrifter og som regel tar det lang tid før det oppdages. Mandiant rapporterte sine observasjoner om Kinas APT1-gruppe, at de i snitt hadde tilgang til systemer i 356 dager etter inntrengning 7. Hvis hensikten er å bruke infrastruktur som militært mål for sabotasje vil det være mer naturlig for angriperen bare å kartlegge systemet og lage flere veier inn i påvente av et senere angrep. Kilder: 1) Monitor_Oct-Dec2012.pdf 2) john-kerry-hackers_n_ html northamerica/usa/ /us-at-risk-of-cyber- Pearl-Harbor-Leon-Panetta-warns.html 3) 4) 5) 6) pdf 7) Report.pdf

14 14 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT Teknisk: Bit9-kompromittering Vi som jobber i sikkerhetsmiljøet har begynt å bli vant til en jevn strøm med presseuttalelser om selskap som har blitt kompromittert, eventuelt informasjon om slike kompromitteringer gjennom tredjepart. Hva skjer når selskaper som skal beskytte deg mot slike kompromitteringer, blir grundig kompromittert selv? Den 8. februar 2013 informerte sikkerhetsselskapet Bit9 om en kompromittering som de hadde blitt utsatt for. Bit9 er et selskap som hovedsaklig leverer tjenester og produkter innenfor applikasjonsomdømme (Software Reputation), som gjerne tar sikte på å kunne stanse ukjente trusler. På nettsidene sine reklamerer de med at de har den eneste sikkerhetsløsningen som stopper trusselen Gauss, den informasjonsstjelende trojaneren som sies å være knyttet til Flame og Stuxnet. Illegitim kodesignering Undersøkelser viser at angrepet har gjort det lettere å utføre angrep mot tre av kun- dene deres. Angriper skaffet seg tilgang til kodesigneringssertifikatet som Bit9 bruker til å sette sitt godkjenningsstempel på programvare angriperen stoler på. Bit9 peker blant annet på at de ikke benyttet seg av sine egne anbefalinger angående å ha installert Bit9-plattformen på alle fysiske og virtuelle maskiner. Dette mener de kan ha vært avgjørende for at angriper kunne lykkes. Den initielle kompromitteringen foregikk sommeren 2012, hvor angriper fikk tilgang til webserveren til Bit9 gjennom utnyttelse av en SQL-sårbarhet. Tilgang til denne webserveren gjorde at angriper kunne forflytte seg videre til en virtuell server som ble benyttet til kodesignering. Ser- På en måte kan man si at det er et kvalitetsstempel at angriper har vurdert Bit9 sine sikkerhetsprodukter til å være så vanskelig å komme forbi at de må gå til kompromittering av kilden for å kunne stjele informasjon fra kundene deres. tifikat som ble brukt til denne illegitime kodesigneringen har blitt revokert i forbindelse med denne hendelsen og Bit9 skal ha lagt inn funksjonalitet i infrastrukturen for å oppdage slike forsøk på illegitim kodesignering i fremtiden. Nyttig informasjonsdeling På en måte kan man si at det er et kvalitetsstempel at angriper har vurdert Bit9 sine sikkerhetsprodukter til å være så vanskelig å komme forbi at de må gå til kompromittering av kilden for å kunne stjele informasjon fra kundene deres. På en annen side kan man ikke helt vite om hele omfanget av kompromitteringen er formidlet i det offentlige, og om kundenes tillit eventuelt er svekket til denne leverandøren siden man ikke vet hvor mange andre sikkerhetshull webserver eller annen infrastruktur inneholder. Det er i alle fall nyttig at informasjon om slike hendelser deles i det offentlige, slik at andre som opplever kompromitteringer kanskje føler det er en lavere terskel for selv å varsle om innbrudd som andre igjen kan lære av.

15 NorCERT NASJONAL SIKKERHETSMYNDIGHET Teknisk: Dødspakkene Angrepsformen hvor en pakke med spesifikt innhold dreper et system er ikke ny. Vi gir her en liten beskrivelse av kanskje det mest kjente angrepet i denne kategorien: døds-ping 2 (Ping of Death). Litt historie: Døds-ping Et dødsping er et angrep hvor man sender en (med hensikt) feilformet ping-pakke til en maskin. Denne kategorien angrep har tidligere vært relativt enkelt å utnytte; bare det å sende en ping-pakke på over bytes (maks-størrelsen for IPv4-pakker) ville krasje mange eldre systemer. Siden en slik pakke var større enn maks-størrelsen på IPv4-pakker, måtte en slik pakke fragmenteres. Når offer-maskinen mottok og forsøkte å gjenopprette den fragmenterte pakken, oppstod et buffer overflow som i verste fall kræsjet hele systemet. De fleste moderne systemer håndterer gjennoppretting av slike pakker uten risiko for et buffer overflow. Dødsping har således gått inn i informasjonssikkerhetsmuseet som et historisk angrep. Enkelt nok; om offset 0x47F i pakken inneholdt en spesifikk verdi ville det være en mulighet for at kontrolleren slo seg av. Ikke noe mer fiks-faks. Alt som måtte til var å sette denne byten til en bestemt verdi. Pakken ville ikke med 100 % sannsynlighet drepe kontrolleren, men sendte man flere pakker med denne byten satt ville kontrolleren til slutt dø. Hva var så den magiske verdien? Kielhofner testet ut flere verdier og fant noen underlige resultater. Her er utfallet av forskjellige verdier av byte 0x47F: Verdi i hex Verdi i ASCII Effekt 0x31 1 Ingen effekt 0x32 2 Kontrolleren døde 0x33 3 Kontrolleren døde Alle andre Kontrolleren ble vaksinert Fakta om dødspakkene Høsten 2012 ble det oppdaget en svært alvorlig feil i Intels Ethernet-kontroller 82574L 1. Denne feilen gjorde det mulig å drepe Ethernet-kontrolleren kun ved å sende en pakke med et spesifikt innhold. Den eneste måten man videre kunne gjenopplive kontrolleren på var å kjøre en full restart av systemet. Oppdageren av sårbarheten, Kristian Kielhofner, gav disse ondsinnede pakkene navnet dødspakker (Packets of Death) fordi, som han sier: Det er akkurat det de er. Intel 82574L og dens underlige nemesis Som nevnt kunne én enkelt pakke drepe Ethernet-kontrolleren. Hvordan så denne pakken ut? Pakken ville ikke med 100 prosent sannsynlighet drepe kontrolleren, men sendte man flere pakker med denne byten satt, ville kontrolleren til slutt dø.

16 16 RAPPORT FOR 1. KVARTAL 2013 NASJONAL SIKKERHETSMYNDIGHET NorCERT Det underligste ved disse verdiene er uten tvil vaksinasjonen som skjer hvis kontrolleren først mottar en pakke hvis innhold i offset 0x47F er alt annet enn 0x31, 0x32 eller 0x33. Ble det først sendt en slik pakke ville ikke påfølgende dødspakker ha noen effekt. Hadde det derimot ikke blitt sendt noen pakker med en slik verdi i 0x47F først, ville verdien 0x32 eller 0x33 ha en mulighet for å drepe kontrolleren. Verdien 0x31 gjorde derimot ingenting; den verken drepte eller vaksinerte kontrolleren. Oppdagelsen Kristian Kielhofner beskriver hvordan han oppdaget sårbarheten meget grundig på sin blogg 3. I 2012 jobbet Kielhofner i Star2Star Communications 4 og var i prosess med å teste ut en ny hardware-enhet. Den nye enheten gjorde det meget bra på alle tester; den var mye raskere og svært stabil. Denne enheten hadde tilfeldigvis en Intel 82574L Ethernet-kontroller. Da Star2Star begynte å rulle ut enheten på forskjellige test-lokasjoner begynte problemer å vise seg. Kielhofner og Star- 2Star-teamet benyttet flere måneder på å fikse alle de små feilene de kunne finne informasjon om. Da de endelig trodde de var ferdige med feilsøking og -fiksing oppdaget de at på enkelte enheter slo nettverkskontrolleren seg av helt tilfeldig. De fant ingen informasjon om slike tilfeller med 82574L-kontrolleren. Kielhofner bestemte seg for å brette opp ermene for å komme til bunns i dette. Kielhofner fant ut at pakkene som drepte enhetenes nettverkskontroller var SDP-pakker 5. Han fant ut at det som var felles med pakkene var at de hadde en ptime-verdi på 2. De fleste SDP-pakkene som gikk til enheten hadde dog en ptime på 2, så Kielhofner feilsøkte videre og fant ut at dette skjedde kun når all dataen før hadde en viss lengde slik at ptime-verdien endte opp på samme sted. Hvor endte så ptime-verdien opp hen? På offset 0x47F så klart (se bilde fra Kielhofners blog nederst på siden). Kielhofner testet videre, ved hjelp av pakke-greneratoren Ostinato 6, forskjellige protokoller med samme resultat. Så lenge 0x47F var satt til 0x32 eller 0x33 ville nettverkskontrolleren til slutt dø hen. Implikasjoner Det å kunne slå av nettverkskontrolleren til en maskin ved å sende en enkel pakke er så klart svært kritisk. Siden denne feilen er uavhengig av protokoll kan man i grunn sende hvilken som helst pakke som maskinen og brannmurer skulle måtte forvente. For å kunne oppdage en dødspakke må man ha en brannmur eller et IDS/IPS som støtter dyp pakkeinspeksjon 7 slik at man kan sjekke hva verdien til 0x47F er. Et kanskje ikke fult så kritisk, men morsomt eksempel på utnyttelse av sårbarheten ville være å sette opp en HTTP-server til å returnere HTTP-responser med byte 0x47F satt til 2. Dette ville i praksis drepe nettverkskontrolleren til alle besøkende som skulle ha Du kan printe kun disse verdiene ved å benytte følgende kommando: # ethtool --eeprom-dump <interface> grep 0x00[136]0 Hvor <interface> er kontrolleren (e.g. eth0). Et feilprogrammert EEPROM-image vil da ha følgende utskrift: 0x0010: ff ff ff ff 6b d3 10 ff ff 5a c0 0x0030: c9 6c e 07 0b d f x0060: ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff Ifølge Kielhofner kan en videre fikse EEPROM-imaget med følgende patch: -0x0010: ff ff ff ff 6b d3 10 ff ff 5a c0 +0x0010: ff ff 6b 02 d3 10 d9 15 d3 10 ff ff x0030: c9 6c e 07 0b d f x0030: c9 6c e 07 0b d f x0060: ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff +0x0060: ff ff ff ff ff ff ff ff ff ff Advarsel: vi har ikke testet denne patchen og anbefaler å være svært forsiktig med å gjøre dette uten en grundig forståelse av EEPROM. (Eller kjør på, jeg er kun en advarsel.) TL;DR Intels 82574L-kontrollere har et potensielt feilprogrammert EEPROM-image som gjør det sårbart for en dødspakke. Dødspakken er en pakke med verdien 0x31 eller 0x32 i offset 0x47F. Dødspakken vil skru kontrolleren helt av slik at det kreves en full reboot en 82574L-kontroller (men det ville nok ikke økt populariteten av nettstedet ditt). Årsak og fiks Kielhofner varslet Intel, og de samarbeidet videre med å finne årsaken og en løsning på feilen. De klarte til slutt å finne ut at årsaken til feilen var at utvikleren av hovedkortet hadde feilprogrammert EEPROM-imaget 8 under produksjon. Feilen var altså ikke forårsaket av en feil i selve 82574L-kontrolleren. Det er heller ikke alle utgaver av kontrolleren som kjører dette sårbare EEPROM-imaget. Om du har en 82567L-kontroller og ønsker å sjekke hvorvidt ditt EEPROMimage er feilprogrammert kan du benytte Ethtool 9 med alternativet --eeprom-dump. De interessante verdiene er i offset 0x0010, 0x0030 og 0x0060. av systemet for å få kontrolleren funksjonabel igjen. Vi anbefaler dere å lese Kristian Kielhofners bloggpost 3 om oppdagelsen og feilsøkingen av denne sårbarheten. Kilder: 1) 2) 3) 4) 5) 6) 7) 8) 9)

17 NorCERT NASJONAL SIKKERHETSMYNDIGHET RAPPORT FOR 1. KVARTAL De fleste IT-angrepene kan stoppes! Vi leser stadig om vellykkede IT-angrep på forskjellig infrastruktur, både offentlige og private virksomheter rammes. Oftest er det brukerne som lures ved at 1: de besøker infiserte websider eller 2: mottar infiserte epost-vedlegg eller 3: bruker infiserte minnepinner. an- Faktum er at de fleste av disse grepene er relativt enkle å stoppe, teknisk sett. NSM har i flere tiår utviklet tekniske sikkerhetstiltak for beskyttelse av nasjonens graderte systemer. Ut i fra denne erfaringen ser vi at man lett kan stanse de mest vanlige angrepene (ca 80-90%) med fire tekniske tiltak. Da snakker vi ikke om å lime USB-porter eller å regulere vedlegg i epost. De fire tiltakene er: 1. Oppgrader programvaren. Nyere applikasjoner og operativsystemer har gjerne flere og bedre sikkerhets funksjoner enn det som er i eldre utgaver. 2. Vær rask med å installere sikkerhetsoppdateringer. Selv de beste produkter inneholder programmeringsfeil og sårbarheter som kan utnyttes av angripere. Virksomheten bør derfor etablere et sentralt styrt regime for sikkerhetsoppdatering av alle komponenter i systemet. 3. Ikke tildel sluttbrukere administratorrettigheter. Det er helt unødvendig å la brukerne (og angriperne) ha skriverettigheter til systemområder på brukerens datamaskin. Med et regime for sentralisert distribusjon av gyldig programvare til brukernes maskiner, skal ikke administratorrettigheter være påkrevd for å utføre ordinært kontorarbeid. 4. Blokker kjøring av ikke-autoriserte programmer. Dette går ut på å ha en «hvite-liste» av programmer som virksomheten har godkjent. Disse skal få lov å kjøre, mens ukjente programmer på minnepinner eller fra epost-vedlegg ikke kan kjøres av systemet. Dette kan gjøres til en enkel engangsoperasjon ved kun å liste opp de 2-3 filmapper som inneholder gyldig programvare. Funksjonen Applocker i Windows 7 gjør eksempelvis dette. Man kan lett stanse de mest vanlige angrepene med fire tekniske tiltak. Målinger viser at disse tiltakene stopper langt flere angrep enn populære tiltak som f eks antivirus, brannmur, epost/ web-filtrering, mm. Etter gjennomføringen av disse fire tiltakene kan ikke brukeren (og heller ikke angriperen) installere eller kjøre programmer som er ukjent for virksomheten, enten de er på minnepinner, fra tvilsomme epostvedlegg, eller fra infiserte websider. Brukeren kan likevel fortsatt bruke minnepinner til datatransport (.doc,.ppt,.pdf mm). Ordinære epost-vedlegg vil fremdeles gå fint. Nærmere beskrivelse av disse og andre tiltak finner du i dokumentet U-01 (google-søk: «U-01 NSM tiltak»). Merk at disse tiltakene stopper de mest vanlige angrepene, men gir ikke tilstrekkelig beskyttelse mot de teknisk sett mest avanserte angrepene.