Det store våpenkappløpet

Transkript

1 Kvartalsrapport for 1. kvartal 2012 Det store våpenkappløpet RDP-sårbarhet har skapt massiv oppmerksomhet i store deler av sikkerhetsmiljøet dette kvartalet. Side 8 Spionasje mot humanitære organisasjoner Humanitære aktører utsettes for spionasje. Dette kvartalet ble også en norsk organisasjon rammet. Side 12 Publisering av stjålne data Nettaktivistenes publisering av stjålne data fortsetter. NorCERT frykter at norske virksomheter vil få offentliggjort stjålne kundetata i økende grad. Side 10 Innhold Sammendrag av kvartalet SIDE 3 Nøkkeltall fra NorCERT SIDE 4 Fakta om Finland SIDE 11 Sikkerhetsstyring - en god investering SIDE 14 Sosial manipulering SIDE 16 Digital spionasje - en trussel for verdiskapingen SIDE 18 Kommunikasjonssjekk mot norske internett- og tjenesteleverandører SIDE 26

2 2 KVARTALSRAPPORT FOR 1. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Aktivitet i perioden som kommer Første kvartal 2012 fortsatte i samme heseblesende tempo som i slutten av Antall saker har holdt seg høyt hele vinteren, og det er gledelig å se at mange virksomheter er fornøyde med vår støtte. Det er likevel utfordrende å nå over alt. Vi har i denne perioden hatt høyt fokus på tiltak for å forebygge spionasje mot samfunnsviktig infrastruktur. Som CERT forsøker vi også å drive kriminalitetsforebyggende arbeid. For eksempel ved å holde den norske delen av internett rent, ved å varsle om infiserte hjemmedatamaskiner og infiserte nettsider som sprer skadevare. Det er igangsatt en rekke aktiviteter og utredningsarbeider som vil påvirke oss i fremtiden. Nye nasjonale retningslinjer for IKT-sikkerhet er under utarbeidelse og forventes publisert snarlig. Forslaget til Cyberstrategi som ble utarbeidet for et par år siden inngikk som et bidrag til dette arbeidet. Regjeringen la 23. mars frem en ny langtidsplan for Forsvaret. I langtidsplanen er det lagt til grunn en styrking av NSM, inkludert NorCERT. Dette er svært positivt og vil blant annet gi seg utslag i økt operativitet for NSM NorCERT. Videre er også retningslinjer for cyber i forsvarssektoren under arbeid. I kvartalet som kommer har vi blant annet planlagt akvitetene som er listet nedenfor. Er du i nærheten av der vi er? Da oppfordrer vi til at du tar kontakt med oss! IT-sikkerhet er et nasjonalt lagspill, og alle vinner på å bli bedre kjent. Internasjonal koordinering og bilateral dialog er ikke med i oversikten. Foredrag Telecruise (17-19 april) NorCERT holder foredrag på Sikkerhet og sårbarhet konferanse Trondheim (8-9 mai) NorCERT arrangerer European Goverment CERTs (EGC) møte (15-16 mai) NorCERT Forum (5 juni) TF CSIRT møte (16-17 juni) Deltakelse FIRST Malta (18-22 juni) Foredrag FIRST Malta (20 juni) CERT CC møte (23-24 juni) Dette er den siste kvartalsrapport som blir produsert i Bygg 12 på Akershus festning. I mai etablerer vi NSM NorCERT i nye lokaler på Bryn i Oslo. Vi har det siste året lagt ned mye innsats på å få de nye fasilitetene slik vi vil ha dem for å arbeide mest mulig effektivt. Vi har gått skritt for skritt og gradvis overført infrastruktur til det nye bygget. Målet har hele tiden vært å forbli fullt ut operative gjennom hele prosessen. Vi gleder oss til å ta i bruk nye moderne lokaler. Forhåpentligvis skal det merkes for dere også. Med vennlig hilsen Eiliv Ofigsbø

3 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 1. KVARTAL Sammendrag av kvartalet Første kvartal 2012 hadde i stor grad samme hektiske preg som slutten av Svært kort kan man si at spionasje mot samfunnsviktig infrastruktur fortsetter, og at nettaktivisme er en stadig økende trussel mot både offentlige og private virksomheter. Dette kvartalet ble en norsk NGO (Non governmental organisation - en samlebetegnelse for menneskerettighet- og hjelpeorganisasjoner) utsatt for datainnbrudd. Slike organisasjoner besitter ofte betydelig informasjon om politiske og geografiske forhold som kan være svært følsomme, og er da et naturlig mål for mange aktører. Det er heller ingen overraskelse at NorCERT også dette kvartalet har sett flere forsøk på spionasje mot norske høyteknologibedrifter. Analyse av disse trojanerne opptar betydelige ressurser, men gir da også et godt bilde av hendelsesforløp og intensjon, og gir oss mulighet til å lage gode signaturer for deteksjon i våre sensorsystemer. Et norsk firma opplevde denne perioden å få sin kontaktinfo brukt i registrering av et.org domene. Domenet ble deretter brukt som infrastruktur til datainnbrudd, ved at stjålne data fra andre firma ble sendt til.org domenet. Firmaet anmeldte saken til Politiet. Universitetsmiljøer i Norge har dette kvartalet også opplevd datainnbrudd, men angriper har ikke kommet seg langt nok inn til å nå kritiske systemer som foreksempel tungregnemaskiner. En av de mer oppsiktsvekkende hendelsene i Norge dette kvartalet var da hacker-gruppen N0rSec stjal databasene til flere kundesider hos en norsk hostingleverandør. Blant annet ble kundedata fra narkoman.no (nettsted for pårørende til narkomane) dumpet med epostadresser, passord-hash osv. Kundedata ble også slettet. NorCERT er kjent med at saken ble anmeldt og er nå under etterforskning av politiet. Se forøvrig egen artikkel i denne kvartalsrapporten. Trenden av at sensitiv informasjon blir stjålet for så å bli publisert på internett er økende. Intensjonen er ofte både hærverk men også politisk aktivisme. I Norge har vi foreløpig bare sett noen eksempler som narkoman.no og hemmelig.com, men det er naturlig å advare mot at mer «vanlige» komersielle aktører også vil bli utsatt for tyveri av kundedatabaser i framtiden. Konsekvensen for et firma kan være svært ødelggende hvis kundenes brukernavn, epost, passord-hash, kredittkortnumre blir offentliggjort. Et omfattende datainnbrudd på en Nederlandsk ISP fikk også stort fokus dette kvartalet. Angripere klarte å komme seg på innsiden av ISPens infrastruktur. Kundedata ble offentliggjort. Anonymous annonserte at de skulle «ta ned internett» 31. mars. Gjennom å angripe 13 sentrale DNS Rot-servere skulle man oppnå at DNS oppslag ikke kunne gjøres. Et angrep som forøvrig må sies å være svært ambisiøst. (Red. anm.: Da denne rapporten gikk i trykken i slutten av april, var det fortsatt ingenting som tydet på at Anonymous hadde forsøkt å utføre nevnte angrep.) Datainnbruddet og den påfølgende lekkasjen av informasjon fra nettstedet Stratfor har fortsatt dette kvartalet. Stratfor er et firma som selger sikkerhetspolitiske analyser. De har mange kunder også i Norge, da spesielt innen norsk offentlig forvaltning. I denne perioden har blant annet e-postkommunikasjon og annen sensitiv informasjon om firmaets «informanter» blitt gjort tilgjengelig. Rett før påske ble det oppdaget en ny banktrojaner ICE IX, som ble brukt i en kampanje mot flere norske banker. Metodikk og teknologi tyder på at bakmennene besitter betydelige ressurser og er profesjonelle. Spredningen av skadevaren ser ut til å ha blitt gjort gjennom reklamebannere på web-sider, og exploiten som ble benyttet var Java-sårbarhet (CVE ). Flere banker har også opplevd at det har blitt satt opp phisingsider (falske sider som ber om sensitiv informasjon fra kunden) dette kvartalet. Sidene er ofte registrert på domenenavn som ligner på bankens (typosquatting), slik at en kunde som skriver feil i nettleseren, blir sendt til en forfalsket side av banken. Banknæringen har det siste året oppleved betydelig omfang av banktrojanere og an- nen uønsket kriminalitet. Godt håndtverk av sikkerhetsorganisasjonene til de største bankene, og deres samarbeid innad i bransjen gjør imidlertid at de kriminelle sliter med å lykkes. Det er også bra å se det samarbeidet som skjer internt mellom bankene for å håndtere denne samfunnsutfordringen. Hacking av sentraler for IP-telefoni og videokonferanse inntreffer regelmessig. I dette kvartalet er NorCERT kjent med at en telefonisentral knyttet til offentlig forvaltning trolig ble utnyttet av kriminelle til å ringe dyre telefonnumre i utlandet. NorCERT meldte i sist kvartalsrapport at DNSChanger -botnettet skulle tas ned dette kvartalet. Takedown er imidlertid utsatt da FBI fikk godkjenning til å fortsette sin operasjon fra amerikanske rettsinstanser. NorCERT mottar kontinuerlig rapporter om norske infeksjoner og varsler dette videre til de norske internettleverandørene.

4 4 KVARTALSRAPPORT FOR 1. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nøkkeltall fra NorCERT Den norske delen av internett er relativt trygt sammenlignet med mange andre land. Trenden er likevel at antall sikkerhetshendelser øker, og NorCERT har sett en økning i antall hendelser på rundt 25% det siste året. Vi skal dette kvartalet se nærmere på hvilke roller norske ISP-er, norske banker og NSM NorCERT spiller i arbeidet med å holde vårt «digitale hus» rent, og se at mye tyder på et travelt IKT-sikkerhetsår. Aktivitetsnivå I de foregående kvartalsrapportene har NorCERT vist til en jevn økning i antall operative saker som håndteres av vårt operasjonssenter. I forrige kvartal var økningen dramatisk, og det var lenge et spørsmål om dette var en midlertidig økning, eller om økningen representerte et nytt nivå. Selv om NorCERT tidligere har opplevd at aktiviteten har gått ned etter korte, hektiske perioder, har vi ikke hatt vesentlig nedgang dersom den høye aktiviteten har strukket seg over flere kvartaler. Tallene for de to siste kvartalene tyder på at saksmengden har økt til et generelt høyere aktivitetsnivå, og som figur 1 viser, har dette skjedd en rekke ganger siden Noe av årsaken til at vi opplever slike sprang i aktivitetsnivå er trolig at veksten blant annet drives frem av nye deltakere i VDI-samarbeidet, nytt informasjonstilfang som følge av nasjonalt og internasjonalt samarbeid, samt interne effekter knyttet til videreutvikling av deteksjonskapasiteten i VDI. Et annet aspekt er mer trusseldrevet. Det har for eksempel vært en økning i antall kompromitterte websider som sprer skadevare. Både nasjonalt og internasjonalt så man en tiltagning av slik aktivitet i fjor høst. Denne utviklingen har fortsatt i I tillegg har det vært et oppsving i «hacktivisme» det siste året, og dette har i perioder også ført til økt saksmengde. Fra første kvartal 2011 til første kvartal 2012 økte den totale saksmengden med ca. 25%. Det at saksmengden for første kvartal 2012 holder seg på nivå med det rekordhøye fjerde kvartal 2011 anser NorCERT som en klar indikasjon på at 2012 kommer til å bli et hektisk år for alle som arbeider med IKT-sikkerhet. «... at saksmengden for første kvartal 2012 holder seg på nivå med det rekordhøye fjerde kvartal 2011 anser NorCERT som en klar indikasjon på at 2012 kommer til å bli et hektisk år for alle som arbeider med IKTsikkerhet..» Figur 1: Håndterte saker fra første kvartal 2007 til første kvartal 2012.

5 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 1. KVARTAL Håndteringstid Den gjennomsnittlige behandlingstiden for saker som håndteres aktivt og operativt i NorCERTs operasjonssenter har steget sakte de siste årene. «Fra første kvartal 2011 til første kvartal 2012 økte den totale saksmengden med ca. 25%.» NorCERT definerer en sak som under aktiv operativ oppfølging dersom den tar mer enn én dag og mindre enn tre måneder å avslutte. Bakgrunnen for denne definisjonen er at saker som tar mindre enn én dag å avslutte erfaringsmessig er varsler eller lignende, som sendes ut uten noen videre oppfølging, mens saker som tar mer enn tre måneder for det meste har lange perioder uten aktivitet knyttet til seg. Tilbake i 2007 var gjennomsnittlig håndteringstid for saker under aktiv operativ oppfølging drøye seks dager. To år senere var den knappe sju. I 2009 passerte den åtte dager, og i 2011 var den nesten oppe i ti. I løpet av 2011 var den i perioder over tretten dager, men ut over høsten og vinteren ble den presset ned under ti dager, Figur 2: Grafen viser gjennomsnittlig håndteringstid for saker med behandlingstid mellom to og nitti dager. og det er fasit også for første kvartal Økningen i håndteringstid over tid kan trolig best forklares med at NorCERT håndterer stadig flere alvorlige saker. Årsaken til nedgangen i håndteringstid de to siste kvartalene er trolig knyttet til den store økningen i saksmengde i samme periode. Kort håndteringstid er ikke nødvendigvis bra når det kommer til hendelseshåndtering. Spesielt gjelder dette alvorlige saker, som målrettede angrep. På grunn av økningen i saksmengde har NorCERT de siste to til tre kvartalene sett seg nødt til å prioritere ned, og avslutte, håndteringen av stadig flere hendelser på et tidligere stadium enn før. Dette ser vi klart effekten av i figur 2. Som man ser i figur 3 er de fleste hendelser håndtert ferdig i løpet av én måned. Av alle saker under aktiv operativ oppfølging gjøres hele 90% ferdig i løpet av tre uker. Figur 3: Grafen viser saker som tar mer enn én dag. Saker som tar mer enn 90 dager er akkumulert som 90+. Nøkkeltall I hver kvartalsrapport vil NorCERT presentere statistikk basert på egne data eller på analyse av andres. Formålet er å formidle kunnskap om NorCERTs arbeid og om det generelle IKT-risikobildet. På sikt er det mulig artikkelserien vil stabilisere seg rundt utvalgte målepunkter, men i starten kommer vi til å eksperimentere en del både med format og innhold. Saksbehandling NorCERT behandler alle saker mot eksterne parter i vårt interne saksbehandlingssystem. Når vi rapporterer på antall saker vi håndterer, prøver vi samtidig å illustrere omfanget av de ulike sakene ved å rapportere antall oppdateringer vi har per sak. En oppdatering er enten innkommende eller utgående kommunikasjon, eller interne notater i saken. Vi rapporterer dessuten kun på operative saker tilknyttet operasjonssenteret vårt. De fleste saker vil derfor være knyttet til hendelser NorCERT er involvert i å håndtere. Antall saker og saksoppdateringer gir er relativt godt bilde av antall hendelser vi håndterer, men håndtering av hendelser mot eksterne parter er i utgangspunktet kun én av mange oppgaver NorCERT er satt til å løse. Abuse-håndtering Ordet «abuse» brukes av internettilbydere og sikkerhetsfolk for å beskrive misbruk av digitale tjenester, som for eksempel å sende ut spam eller angripe nettverk. I dag har de fleste internettilbydere en såkalt «abuse-avdeling» som håndterer denne typen saker opp mot kunder, og det er til disse menneskene eller avdelingene Nor- CERT sender sine varsel om virus og svindel og annen uønsket aktivitet. Tabell 1: Saker per hovedkategori: Sakskategori Saksantall Per dag Andel Varsel om kompromitterte kundemaskiner ,4 79,6 % Deling av informasjon med samarbeidspartnere 272 3,0 14,5 % Varsler til deltakere i VDI 68 0,7 3,6 % Annet 43 0,5 2,3 % Totalt antall saker ,5 100 %

6 6 KVARTALSRAPPORT FOR 1. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Prioritet NorCERT har tidligere presentert statistikk for prioritet på både nyopprettede og totalt antall håndterte saker per kvartal. Studerer vi hvordan saksmengden har utviklet seg over tid, ser vi at den prosentvise økningen er størst for alvorlige saker. Figur 4: Saker med høy prioritet. Det ble startet åtte nye alvorlige saker i første kvartal 2012, mens det i samme tidsrom ble behandlet hele nitten. Dette er en økning på henholdsvis 167% og 172% fra første kvartal Figur 5: Saker med normal prioritet. Det er en klar økning også for saker med såkalt normal prioritet, mens antall lavt prioriterte saker vokser saktere. Antall håndterte saker med normal prioritet økte med 89% fra første kvartal 2011 til første kvartal 2012, mens antall håndterte lavt prioriterte saker kun økte med 22% i samme periode. Figur 6: Saker med lav prioritet. Fra figur 4, 5 og 6 ser man også klart at det er stor forskjell i hvor store de ulike kategoriene er, og i første kvartal gikk det ti normalt og hundre lavt prioriterte saker per alvorlige sak. Kompromitterte maskiner Som nevnt i tidligere kvartalsrapporter er en av NorCERTs oppgaver å distribuere informasjon om kompromitterte datamaskiner på en slik måte at eieren av maskinen får beskjed og kan få ordnet opp. NorCERT gjør dette ved å formidle varsler til norske ISP-er, som deretter kontakter sine kunder. Informasjonen om de kompromitterte maskinene får NorCERT i stor grad fra nasjonale og internasjonale samarbeidspartnere. Det varierer imidlertid hvor samvittighetsfullt ISP-ene tar oppgaven med å varsle sine kunder, men de fleste norske ISP-er gjør en god innsats på området. Det at ISPene og NorCERT spiller på lag med internasjonale samarbeidspartnere for å «rydde internett» gjør at Norge har vesentlig mindre problemer med kompromitterte datamaskiner enn mange andre land. Hver uke sender NorCERT ut varsel til norske ISP-er om tusenvis av kompromitterte datamaskiner. I første kvartal 2012 varslet NorCERT om over unike IP-adresser hvor det var mistanke om kompromittering. NorCERT sender ut slike rapporter to ganger i uka, og så lenge vi får inn nye rapporter som tilsier at en datamaskin bak en gitt IP-adresse er kompromittert, fortsetter vi å sende ut varsler. I snitt sender vi nesten ni rapporter per unike IP-adresse. Det er flere faktorer som spiller inn når man skal vurdere hva dette sier om tiden det tar fra første varsel til skadevaren er fjernet fra det kompromitterte systemet. Uten å kommentere alle faktorene, kan vi likevel si at det i snitt tar over én måned fra første varsel til eieren av «... gjør at Norge har vesentlig mindre problemer med kompromitterte datamaskiner enn mange andre land...» systemet har fått ryddet opp. Av de store ISP-ene skiller Broadnet/ Ventelo, Telenor, Powertech og UNINETT seg ut positivt i vårt tallmateriale. Dette positive inntrykket styrkes av den daglige kontakten vi har med «abuse»-kontaktene i virksomhetene. For disse ISP-ene tar det i snitt omkring to uker fra første varsel til kunden har ryddet opp i sine systemer. NorCERT anser dette som svært godt, da det for mange - spesielt privatpersoner - er tidkrevende og vanskelig å bli kvitt skadevare på sine systemer. Enkelte ISP-er mottar godt over femti rapporter per IP. Dette tyder på at de ikke håndterer «abuse» på en god måte, og at mange av deres kunder også har flere ulike typer skadevare på sine systemer samtidig. Dette er uheldig for kundene deres, og til skade for den felles norske «ryddedugnaden» på internett. For første kvartal har den ISP-en NorCERT totalt sett vurderer som dårligst på håndtering av «abuse» mottatt over rapporter på litt under unike IP-adresser, altså 55 rapporter per IP-adresse. Til sammenligning har fire av de ISP-ene NorCERT vurderer som dyktigst på hånd- «På grunn av økningen i saksmengde har NorCERT de siste to til tre kvartalene sett seg nødt til å prioritere ned - og avslutte - håndteringen av stadig flere hendelser på et tidligere stadium enn før.» Tabell 2: Statistikk på rapporter NorCERT har sendt til ISP-er og hostingleverandører. Antall mottakere 25 Antall unike IP-er Totalt antall rapporter Gjennomsnittlig antall rapporter per IP 8,81 Gjennomsnittlig antall rapporter per mottaker 7 276,64 Gjennomsnittlig antall unike IP-er per mottaker 826,32

7 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 1. KVARTAL tering av «abuse» samlet mottatt drøyt rapporter på knappe unike IP-adresser, altså knappe fem rapporter per IP-adresse. Skadevare «Abuse»-rapportene NorCERT formidler til norske ISP-er inneholder som oftest en indikator på hvilken skadevare det varsles om. De siste månedene har den absolutt mest rapporterte skadevare vært «DN- SChanger». Årsaken til dette er at kommando- og kontrollinfrastrukturen til hele «DNSChanger»-botnettet er overtatt av FBI, og de samarbeider med flere aktører om å varsle eiere av kompromitterte datamaskiner. Dette gjør de blant annet ved å formidle informasjon til nasjonale CERT rundt omkring i verden. Ved å kontrollere «DNSChanger»-botnettet sørger FBI også for at det ikke benyttes til skadelig aktivitet, samtidig som det arbeides med å varsle og rydde opp. Det var meningen at FBI skulle deaktivere infrastrukturen som holder «DNSChanger» oppe 8. mars. Effekten av deaktiveringen er at brukere av kompromitterte maskiner vil oppleve å ikke ha tilgang til internett. Dette ble omtalt i forrige kvartalsrapport. Siden opprydningsarbeidet har tatt lenger tid enn «De siste månedene har den absolutt mest rapporterte skadevare vært DNSChanger» forventet er nedstengningen nå utsatt til 9. juli. Brukere som ønsker å undersøke om de er kompromittert kan besøke den offentlig støttede websiden «dns-changer.eu». «Heldigvis er norske banker langt fremme når det gjelder bekjempelse av banktrojanere.» Nettverksadministratorer som ønsker å undersøke om det finnes maskiner i lokalnettet som er kompromittert, kan se etter trafikk til navneserverne «DNSChanger» er satt opp til å bruke. Den nest mest rapporterte skadevaren er «Conficker». Årsaken til tilfanget av informasjon om kompromitterte klienter er mye det samme som for «DNSChanger». En sammensetning av private og offentlige virksomheter fra flere land dannet i 2009 gruppen «Conficker Working Group» for å bekjempe spredningen. Gruppen har overtatt store deler av kommandoinfrastrukturen til botnettet, og arbeider aktivt med å varsle kompromitterte brukere. At Conficker fremdeles sprer seg etter over tre år med aktive forsøk på å begrense den illustrerer hvor vanskelig det kan være å få kontroll på skadevare med agressiv og effektiv spredning. De siste to familiene malware NorCERT varsler en del om er «Torpig» og «SpyEye». Begge to er informasjonsstjelende trojanere, mye brukt i angrep på nettbanker. Noe som fremstår tydelig fra denne statistikken er at det er store mørketall knyttet til banktrojanere, for NorCERT er kjent med at det jevnlig kjøres kampanjer mot norske banker ved bruk av trojanere som «ZeuS», «Ice9» og «Gspy». Disse brukes i mange, men mindre kampanjer i relativt sett små botnett, noe som gjør at det å finne og overta kommando- og kontrollinfrastrukturen for å finne og varsle kompromitterte brukere er svært tidkrevende. Heldigvis er norske banker langt fremme når det gjelder bekjempelse av banktrojanere. Flere banker arbeider aktivt med å oppdage og stoppe transaksjoner som blir forsøkt utført av kriminelle fra kompromitterte maskiner tilhørende norske bankkunder. Deler av dette arbeidet ble omtalt i forrige kvartalsrapport. Kombinasjonen med ISP-er som aktivt håndterer «abuse» og banker som aktivt arbeider for å stoppe kriminelles forsøk på nettbanktyveri gjør at bruken av nettbank i Norge er mye tryggere enn i mange andre land. Trenden er likevel klar, norske banker og brukere utsettes i stadig større grad for angrep fra banktrojanere, så det gode arbeidet må fortsette om vsituasjonen ikke skal forverres. «... norske banker og brukere utsettes i stadig større grad for angrep fra banktrojanere...» Tabell 3: Typer skadevare. Type Unike IP-er Antall rapporter dnschanger % % conficker % % sality % % torpig % % spyeye % % andre % %

8 8 KVARTALSRAPPORT FOR 1. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Det store våpenkappløpet 15 mars uttalte en av NorCERTs ingeniører: «De siste dagene har føltes som et våpenkappløp om et logisk stridshode med store deler av sikkerhetsmiljøet som deltakere og observatører. Informasjon og data underlagt taushetsplikt har lekket og spekulasjoner har flydd over en lav sko. Hvem i sikkerhetsmiljøet er ikke lenger til å stole på? Hvor lang tid har en eventuell angriper hatt på seg til å utvikle stabil utnyttelseskode? Er arvtakeren til Conficker her?» Årsak til bekymringen var publiseringen av Microsofts tredje sikkerhetsoppdateringsrunde for året. Saken gjaldt en sårbarhet for alle støttede versjoner av Windows som kjører Remote Desktop Protocol (RDP). Denne sårbarheten ble patchet gjennom Microsofts månedlige sikkerhetsoppdatering den 13. mars. Det var flere elementer ved sårbarheten som gjorde den spesielt fryktet. For det første kunne et eventuelt angrep mot sårbare systemer skje over Internett eller andre nettverk. Dernest trengte ikke angriper å autentisere seg ovenfor den sårbare tjeneren. Konsekvensen kunne da bli ukontrollert spredning av ondsinnet kode mot sårbare maskiner i samme nettverk. «... dagene har føltes som et våpenkappløp om et logisk stridshode...» Hvem i all verden er så dum at de kjører RDP direkte på Internett? Dette spørsmålet ble stilt av flere i informasjonssikkerhetsmiljøet i dagene etter at patchen ble publisert. Sikkerhetsforskeren Dan Kaminsky så seg lei all synsingen så han startet like greit en kartleggingsjobb for å finne ut hvor mange det var snakk om. Etter å ha skannet rundt 8,3 % av Internett var det totale antallet tilgjengelige RDP-tjenere rundt 5 millioner. I tospann med metoder for sosial manipulering vil en slik sårbarhet få betydelig effekt. Ved eksempelvis å få et offer til å åpne et vedlegg med slik skadevare kan sårbare tjenere kartlegges, selv om de ikke er direkte på Internett. Alvorligheten øker da vi vet at mange virksomhetskritiske tjenere er åpne for fjerntilgang slik at administratorer lett kan nå disse. NorCERT sendte ut et oppdatert varsel den «Alvorligheten øker da vi vet at mange virksomhetskritiske tjenere er åpne for fjerntilgang slik at administratorer lett kan nå disse.» 16. mars hvor vi poengterte at det jobbes iherdig med å utvikle stabil utnyttelseskode, og at det var et spørsmål om tid før dette ville skje. På den ene siden jobbet mange i sikkerhetsmiljøet med dette i hensikt å sikre sine egne systemer på en best mulig måte, og på den andre siden var potensielle angripere som vil benytte utnyttelseskoden raskest mulig før systemene blir patchet. Gun.io, en nettside hvor man kan annonsere utviklingsprosjekt, annonserte med et prosjekt for denne sårbarheten. Nærmere bestemt en Metasploit-modul. Det ble raskt ble samlet inn over 1500$ i finansering for å utvikle modulen. Videre ble det observert en større ansamling sikkerhetsforskere på IRC-kanalen #ms på IRC-nettverket Freenode. Diskusjonene rundt hvordan kodekjøring kunne oppnås pågikk til langt på natt etter offentliggjøring av sårbarheten. Rundt to dager etter at patchen ble gjort tilgjengelig fra Microsoft, begynte den første konseptkoden for utnyttelse av sårbarheten å dukke opp. Den første offentliggjorte koden viste seg å være falsk, nyttelasten utnyttet en eldre sårbarhet i Apache. En bjelle burde uansett ringe ved gjennomlesing av koden, forfatteren skulle angivelig være sabu@fbi.gov. Sabu, LulzSec-hacktiv- isten som fungerte som informant for FBI, hadde trolig annet å henge fingrene i på dette tidspunktet. Like etter publiseringen av denne falske koden ble det oppdaget et prekompilert kommandolinjeverktøy for Windows kalt «rdpclient.exe» på en kinesisk nettside som klarte å fremprovosere blåskjerm på systemer som kjørte RDP. Flere og flere kunne bekrefte at man fikk utilgjengeliggjort RDP-tjenere med dette verktøyet. En av de som testet «rdpclient.exe» syntes det var noe kjent med nettverkstrafikken som verktøyet produserte. «Flere og flere kunne bekrefte at man fikk utilgjengeliggjort RDP-tjenere med dette verktøyet.» Luigi Auriemma som rapporterte sårbarheten til Microsoft og Zero Day Initative (ZDI) gikk offentlig ut med sin sikkerhetsadvarsel om sårbarheten, samt utnyttelseskoden som demonstrerer sårbarheten. Grunnen til denne offentliggjøringen knyttes til den kompilerte RDP-klientens likhet til det Luigi leverte til ZDI. Det er mye rykter rundt hva som har forårsaket dette, og Luigi har selv sett for seg flere scenarier for kompromittering av hans kode. Det kan se ut til at det er via Microsoft lekkasjen har forekommet, dette basert på en observert streng i den kompilerte koden med henvisning til Microsoft Security Responce Center: «E:\Work\MSRC11678\fuzzer\rdpclient\Release\rdpclient.pdb»

9 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 1. KVARTAL Denne koden sendes til Microsofts MAPPpartnere slik at antivirus og andre sikkerhetsleverandører kan forberede deteksjon før patch er utgitt. Det er da også mulig at lekkasjen stammer fra en av disse partnerne. En talsperson fra ZDI kom raskt på banen for å konstatere at lekkasjen ikke stammet fra deres organisasjon: «We are 100% confident that the leaked info regarding MS did not come from the ZDI. For further information, please query Microsoft.» «We are 100% confident that the leaked info regarding MS did not come from the ZDI.» Kort tid etter uttalte Microsoft seg og langt på vei bekreftetet at koden må ha lekket fra en av MAPP-partnerne. Microsoft kommenterte at saken undersøkes og at dette er et tydelig brudd på avtalen som partnerene har skrevet under på, hvor de lover å ikke spre info eller data som de mottar i forbindelse med nye sårbarheter. 18 mars var det fortsatt ikke blitt utviklet (offentlig tilgjengelig) stabil utnyttelseskode. Nevnte dato ble det oppdaget en twittermelding som refererte til sårbarheten i en trojanerdeteksjon fra en kjent «18 mars var det fortsatt ikke blitt utviklet (offentlig tilgjengelig) stabil utnyttelseskode.» antivirusleverandør (Sophos). Den suspekte virusdefinisjonen Troj~MS (md5: de9fd3d82e3c53a4b4a44f c9ac0) viste seg å være et RAR-arkiv med tidligere omtalte «rdpclient.exe» og «repro.cap» som mistenkes å ha blitt lekket fra MAPP-programmet til Microsoft. I perioden dukket det opp en rekke kodesnutter som hevdet å være det logiske stridshodet som alle var på leting etter. Noen med ufarlig nyttelast, mens andre hadde potensiale for å skade nysgjerrige folk i sikkerhetsmiljøet. Blant annet ble det observert nyttelastkode som kunne fjerne noen essensielle elementer på maskinen: import ( os ).system( del /s /q /f C:\\ windows\\system32\\* > NUL 2>&1 ) if Win in import ( platform ).system() else import ( os ).system( rm -rf /* > /dev/null 2>&1 ) Det kommer da kanskje ikke som et sjokk at vi anbefaler å alltid kjøre slik kode i en sandbox eller virtuell maskin for å minske skadene eventuell ondsinnet kode kan utføre. Saken blir fulgt videre av NorCERT, og skulle en utnyttelseskode blir kjent vil NorCERTs varselmottakere raskt få melding.

10 10 KVARTALSRAPPORT FOR 1. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Publisering av stjålne data NorCERT har tidligere skrevet mye om nettaktivisme, og utviklingen på dette området. En trend som har bemerket seg det siste året er tilfeller der sensitiv informasjon blir stjålet, og videre lagt ut på internett. Nettaktivisme Brukes gjerne om bruk av digitale hjelpemidler til å fremme politiske mål på Internett. Begrepet er ofte knyttet til datainnbrudd, tjenestenektsangrep eller digitalt tagging (hærverk) av nettsider. Mål for nettaktivistene har som regel vært statlige institusjoner, sikkerhetsselskaper og store bedrifter, gjort som demonstrasjoner mot vedtak, handlinger eller holdninger. Foto: Skjermbilde fra narkoman.no En norsk tilfelle av publisering av stjålne data skjedde allerede i 2011, da mange stortingsrepresentanter fikk sitt personnummer publisert på Internett. Dette ble sagt å skulle demonstrere hvor uforsvarlig det er å bruke personnummer som identifikasjon i den grad det gjøres i Norge i dag. I forrige kvartalsrapport skrev vi om hackingen av kundedatabasen til det anerkjente amerikanske analysebyrået Strategic Forecasting (Stratfor). Hackingen ble videre fulgt av en stor informasjonslekkasje. Denne typen informasjonslekkasjer kan utnyttes av kriminelle til økonomisk vinning, og i tilfellet med Stratfor var det både brukernavn, passord og kredittkortdetaljer som ble lekket. Fortsettelsen på Stratfor historien kom dette kvartalet, da 5 millioner e-poster fra Stratfor-kunder ble publisert av Wikileaks på et nettsted døpt Global Intelligence Files. En av dem som fikk e-postene sine publisert i klartekst var blant annet USAs tidligere utenriksminister Henry Kissinger. Publiseringen skapte stor medieoppmerksomhet og mye debatt. Både på grunn av kompromitteringen, men også på grunn av innholdet i e-postene som indikerte at Stratfor hadde brukt noe tvilsomme metoder i sin innsamling av informasjon. «En trend som har bemerket seg det siste året er tilfeller der sensitiv informasjon blir stjålet, og videre lagt ut på internett.» E-postene viser for eksempel Stratfors nettverk av informanter og utbetalingsstruktur, og Wikileaks hevder å avsløre hvordan Stratfor rekrutterte et globalt informantnettverk som fikk betaling gjennom sveitsiske bankkonto og forhåndsinnbetalte kredittkort. Selv om noen former for nettaktivisme ansees for å være en legitim demonstrasjonsform i et moderne samfunn, gjør den nye utviklingen det til en del av det store trusselbildet. I mars ble det kjent at N0rSec, en norsk hackergruppe, trolig stod bak hacking av en server hos en stor norsk hostingleverandør. Hackerne stjal og deretter slettet en rekke brukeredatabaser. Senere offentliggjorde hackerne brukerdatabasene med brukernavn og passord-hash på Internett. For noen av brukerdatabasene som ble lekket på nett ble det også gjennomført passordknekking og resultatene publisert på nett. Blant brukerdatabasene som ble lekket var Battlefield.no og narkoman.no. Nettstedet narkoman.no er et nettsted og forum tilhørende organisasjonen Narkomanes Pårørende, mens Battlefield er en nettside og for spillinteresserte. Aksjonen mot disse nettstedene minner mer om digitalt hærverk, men viser at også norske nettsider blir rammet av datalekkasjer. Hacking av nettsidene er anmeldt av de berørte partene til Politiet. Denne utviklingen synes å være økende, noe som kan føre til at norske virksomheter vil kunne få offentliggjort stjålne kundetata i større grad i tiden fremover.

11 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 1. KVARTAL Fakta om Finland Erka Koivunen er sjef for CERT Finland (CERT-FI). Vi har spurt han litt om hvordan det arter seg i landet som er av mange er uttalt å ha et av de reneste delene av internettet i verden. At vi har så rent Internett i Finland er egentlig en tilfeldighet, sier Erka. Han forteller om en av de ansatte ved CERT-FI som ble lei av den store mengden varsleom infiserte maskiner med finsk IPadresse som kom inn. Han lagde da et automatisk håndteringssystem, CERT-FI Autoreporter. Dette gav store resultater med lite ressurser, og gjorde at man raskt oppnådde effekt. I fjor rapporterte Autoreporter om ca detekterte infeksjoner fordelt på ca IP-adresser. Dette gir en indikasjon om omfang, selv om det er viktig å differensiere på alvorlighet og at det kan være en del «dobbeltrapportering». Det som er tilfredsstillende, er da å se at finske ISP-er gjør tiltak når de får inforamasjon fra CERT-FI Autoreporter. Dette kan spenne fra varsling til sperring av internettforbindelsen til kunden. CERT-FI ligger under FICORA, (Svensk- Finsk navn: Kommunikationsverket) som er finnenes post- og teletilsyn. De har altså mandat til å pålegge de ulike teleselskapene (ISP-ene) å ha en plan når de får melding om infiserte maskiner fra CERT-FI. 25 prosent av finansieringen fra CERT-FI kommer fra teleselskapene i form av en egen skatt som de må betale. Resten av beløpet kommer fra «National Emergency Supply Agency», som er en egen organisasjon under Arbeids- og økonomidepartementet. Abuse-håndtering har altså vært en suksess i Finland. Betyr det at Finland er et foregangsland over det hele innen sikkerhet? Vi har gjort mye riktig innen internettsikkerhet, men vi har fortsatt en vei å gå for å håndtere de mer alvorlige truslene. Vi tar derfor lærdom av Norge og etablerer i disse dager HAVARO, som er et finsk akronym for deteksjon- og tidlig varslingssystem for informasjonssikkerhetshendelser. Dette er et sensorsystem som på mange måter er inspirert av VDI-systemet i Norge og er designet for også å kunne utveksle signaturer med VDI. I første omgang ruller vi dette ut til private virksomheter i kritisk infrastruktur. På sikt håper vi også å kunne dekke offentlige myndigheter. Foto: Erka Koivunen, sjef for CERT-FI «Vi har gjort mye riktig innen internettsikkerhet, men vi har fortsatt en vei å gå...» Det er altså interessant å se at NorCERT og CERT-FI har startet i to forskjellige ender. CERT-FI startet med Abuse, NorCERT startet med VDI-sensorer. Gode CERT-er er imidlertid ikke nok. Vi må også bli bedre på gradert side, sier Erka. Flere tiltak er startet. Blant de viktigste er etableringen av «National Communications Security Authority» (NCSA-FI), som er en nasjonal sikkerhetsmyndighet som skal bedre sikkerheten for det sivile samfunn. Vi skriver også nå på den første nasjonale cyberstrategi, forteller sjefen for det finske CERT-et. Denne skal bli klar i slutten av 2012, og implementeres i En av de identifiserte største utfordringene der er silo-oppdelingen i sektorene. Ansvarsavklaring blir derfor en sentral oppgave. Jeg tror kommunikasjonsmyndigheten og forsvarsmyndigheten er de som har kommet lengst. Eksempelvis er Forsvaret flinke til å stille krav til seg selv og underleverandørene, mens FICORA har noen krav til teleleverandørene innen robusthet og hendelseshåndtering. Det som gjenstår nå er å få med resten av det finske samfunnet! sier Erka Koivunen.

12 12 KVARTALSRAPPORT FOR 1. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Spionasje mot humanitære organisasjoner Humanitære organisasjoner har den siste tiden vist seg å være et spesielt utsatt mål for dataangrep. Blant annet har Amnesty International vært åpne med at deres nettsider har vært kompromittert i et utnyttelsesforsøk. NorCERT har sett flere tilfeller hvor NGOer, organisasjoner som arbeider parallelt med statlige organer uten å være underlagt en statlig myndighet, har blitt rammet av dataangrep, også norske organisasjoner. Dette kan indikere at denne typen organisasjoner er særlig utsatt for slike angrep. NorCERT vil derfor poengtere at det er viktig å ha fokus på angrep mot norske NGOer. Dette må ses på som en trend i dagens IKT-risikobildet. Angrep mot NGO er ikke et nytt fenomen, men noe som har pågått lenge. Her kan vi spesielt fremheve to tilfeller som er blitt undersøkt nøye og publisert offentlig. I 2007 ble det publisert en mye omtalt rapport med navnet Crouching Powerpoint Hidden Trojan av sikkerhetsforskeren Horenbeeck. Her blir det fortalt om et angrep rettet mot en religiøs bevegelse. I 2009 kom rapporten Tracking Ghost- Net: Investigating a Cyber Espionage Network som ble trykket i Information Warfare Monitor Denne omtaler et datainnbrudd mot en annen NGO. «Humanitære organisasjoner har den siste tiden vist seg å være et attraktivt mål for dataangrep.» Den 22. desember 2011 ble kjent i media at Amnesty Internationals hjemmeside i Storbritannia var kompromittert og serverte skadevare til besøkende, ved såkalt «drive-by-exploit». Den kompromitterte nettsiden var blitt modifisert av en angriper slik at hvis en bruker besøkte nettsiden med en sårbar versjon av nettleserkomponenten Java, så ville brukerens datamaskin bli infisert med skadevare. Det er ikke første gang Amnesty Internationals sine hjemmesider har blitt kom- «Den 22. desember 2011 ble det kjent i media at Amnesty Internationals hjemmeside i Storbritannia var kompromittert og serverte skadevare til besøkende...» promittert og satt opp til å servere utnyttelseskode (exploits) og skadevare. Amnesty sine nettsider i Hong Kong ble i november 2010 kompromittert og serverte besøkende kode for å utnytte flere ulike sårbarheter slik at maskinene ble infisert. Infiserte nettsider som omdirigerer brukere til nettsider med kode som utnytter sårbarheter i tilleggskomponenter i nettleseren eller i selve nettleseren for å installere skadevare, er ikke noe nytt. Som oftest vil spredning av slik skadevare være drevet frem av økonomiske motiver, ved at skadevaren for eksempel er av typen som benyttes til nettbanksvindel eller falsk antivirusprogramvare. Analyse gjort av skadevaren som ble benyttet i forbindelse med Amnesty International kompromitteringen indikerer også at dette trolig er en skadevare som gir angriperen generell tilgang (bakdør) til infiserte maskiner. I januar 2012 informerte NorCERT en norsk NGO om at en maskin hos dem var kompromittert og at de trolig var offer for et spionasjeforsøk. Tekniske funn viste at maskinen var kompromittert med skadevare. Den var blitt infisert gjennom en java-sårbarhet da brukeren surfet på en infisert nettside relatert til sitt arbeid. «Tekniske funn viste at maskinen var kompromittert med skadevare» Skadevaren som ble installert på systemet var en såkalt bakdør. Med en bakdør menes en metode for å komme seg inn på datamaskiner som omgår sikkerhetsmekanismene i systemet. Denne bakdøren gav angriper full kontroll over systemet. Trusselaktøren bak dette angrepet er ikke kjent, men det finnes likhetstrekk mellom denne hendelsen og flere andre spionasjeangrep mot humanitære- og menneskerettighetsorganisasjoner. Et eksempel på det er blant annet den nevnte kompromitteringen av Amnesty Internationals hjemmeside. At kriminelle på internett kompromitterer websider og serverer exploits til besøkende, slik som blant annet i Amnestysaken, er ikke uvanlig, de nye aspektene går på hvilke motiver som ligger bak disse handlingene.

13 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 1. KVARTAL Foto: Illustrasjon av en angrepsforsøk, lik det som ble gjennomført på Amnesty Internationals hjemmeside «Trusselaktøren bak dette angrepet er ikke kjent, men det finnes likhetstrekk mellom denne hendelsen og flere andre spionasjeangrep mot humanitære- og menneskerettighetsorganisasjoner.» Ved kompromittering av nettsider til NGOer som Amnesty International, er det flere som har spekulert i om motivet ikke er av økonomisk karakter, men drevet fram av trusselaktører som ønsker å kartlegge menneskerettighetsaktivister. Det er da naturlig å tenke seg personer som jobber innenfor området og støttespillere vil besøke nettsidene med jevne mellomrom og derfor vil kunne være målet for angriperen. I tilfellet med Amnesty International tydet tekniske funn på at at skadevaren var spesifikt rettet mot Amnesty og de som besøker deres side. Videre var skadevaren en trojaner/bakdør hvor trusselaktøren trolig brukte en menneskelig operatør for å kontrollere maskinene. De tekniske funnene tyder på at aktørene som stod bak hadde betydelige ressurser. PST sier i sin åpne trusselvurdering at enkelte stater arbeider kontinuerlig for å hente informasjon om myndigheter og selvstendige hjelpeorganisasjoners arbeid for menneskerettigheter. NorCERT har sett flere tilfeller av dataangrep mot norske humanitære organisasjoner. Dette indikerer at nettopp disse organisasjonene er spesielt utsatt for slike angrep. Det er også slik at humanitære organisasjoner ofte har betydelig informasjon om politiske og geografiske forhold. Dette kan være svært følsom informasjon, og dermed gjøre NGOene til et naturlig mål for mange aktører. NorCERT vurderer derfor at det er viktig å ha fokus denne type angrep, og at det må ansees som en trend i dagens IKTrisikobilde.

14 14 KVARTALSRAPPORT FOR 1. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Sikkerhetsstyring en god investering NorCERTs forrige kvartalsrapport tok opp flere tilfeller av at norsk industri har blitt utsatt for digital spionasje gjennom målrettede angrep fra trusselaktører med avanserte kapabiliteter. Dette samsvarer med trusselvurderingen fra Politiets sikkerhetstjeneste (PST) som forteller at etterretningstrusselen mot høyteknologivirksomheter er høy. I denne artikkelen forteller seksjonssjef i NSM, Helge Furuseth, om viktigheten av sikkerhetsstyring. «...etterretningstrusselen mot høyteknologivirksomheter er høy» Mest utsatt er bedrifter som produserer verdensledende teknologi, særlig energirelatert teknologi og teknologi som kan tenkes å ha en militær anvendelse. Næringslivets sikkerhetsråds Mørketallsundersøkelse fra 2010 forteller oss at virksomheter med forskning- og utviklingsaktivitet (FoU) er mer utsatt for datakriminalitet. Undersøkelsen viste at av virksomheter som hadde FoU-aktiviteter hadde 30,5 % blitt frastjålet datautstyr, mot virksomheter uten FoU-aktiviteter hvorav bare 15,3 % hadde blitt utsatt for tyveri av slikt utstyr. Vi tør anta at denne forskjellen ikke bare skyldes at distré forskere er mer trolige til å glemme å låse døren. Sosial manipulering, som også kan være innledningen til et dataangrep, er også en utbredt metode for å innhente informasjon. PST forteller til DN Magasinet 10. mars i år at minst 19 land driver etterretning i Norge, og mange av disse landenes etterretningstjenester jobber for å hjelpe næringslivet. Virksomhetsledere har mye å frykte. Vi kan bare spekulere i hva angriperne er ute etter, men virksomheter kan sitte på mye informasjon som kan være av verdi for andre. Dette kan være informasjon om produkter under utvikling, markedsstrategier eller forhandlingsposisjoner - informasjon som kan ha verdi for konkurrenter, kunder eller investorer og medføre tap for virksomheten om dette blir kjent. Det er ikke en gang sikkert at man oppdager at kompromitteringen har skjedd. Var det fordi konkurrenten satt på informasjon om hvor langt virksomheten var villige til å gå at de vant forhandlingene, eller var motparten simpelthen dyktige forhandlere? Og var det en tilfeldighet at et utenlandsk firma utviklet et nesten identisk produkt til det man selv hadde utviklet og trodde man skulle vinne markedsandeler med? Mange virksomheter glemmer å regne informasjonen de forvalter som verdier det er lettere å måle i kroner og øre når «Vi kan bare spekulere i hva angriperne er ute etter, men virksomheter kan sitte på mye informasjon som kan være av verdi for andre» utstyr blir stjålet eller ødelagt. Men informasjon på avveie kan være penger tapt. Og kan en virksomhet overleve lenge uten tilgang til informasjon om sine kunder eller produkter? Angrepene avdekket av NorCERT har vært rettet mot ugraderte nettverk. Men mange norske virksomheter er leverandører til både forsvaret og forvaltningen i Norge og utlandet gjennom såkalte «sikkerhetsgraderte anskaffelser». Dette er anskaffelser hvor leverandøren får tilgang til sikkerhetsgradert informasjon i forbindelse med anskaffelsen, eller hvor det som produseres blir sikkerhetsgradert i

15 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 1. KVARTAL seg selv. Der hvor norsk industri er leverandører til utlandet, må det være inngått sikkerhetsavtaler mellom myndighetene i de respektive land om beskyttelse av gradert informasjon. Disse avtalene er som regel folkerettslig bindende og innebærer at landene gjensidig har gått igjennom motpartens sikkerhetsregelverk og hvordan dette følges opp av sikkerhetsmyndighetene, og gått god for at dette er godt nok til å beskytte deres egen sikkerhetsgraderte informasjon. Delen av norsk industri som leverer forsvars- og sikkerhetsrelaterte produkter og tjenester er helt avhengig av slike avtaler. Skulle utenlandsk gradert informasjon som er overlevert til en norsk leverandør i forbindelse med en anskaffelse plutselig dukke opp i uvedkommendes hender, eller sågar på internett, vil det kunne svekke tillitten til hvordan gradert informasjon skjermes i Norge. Det kan gi konsekvenser for norsk industris konkurranseevne i utlandet. Når en leverandør behandler gradert informasjon, norsk eller utenlandsk, trer kravene i lov om forebyggende sikkerhet inn for hvordan informasjonen skal behandles. Disse kravene er utviklet for å forhindre at sikkerhetstrusler mot ugraderte sider av en virksomhet kan medføre kompromittering av gradert informasjon. Det viktigste tiltaket er god «Denne typen informasjonslekkasjer kan utnyttes av kriminelle tiløkonomisk vinning» sikkerhetsstyring. God sikkerhetsstyring dreier seg kort sagt om å vite hva man gjør. Hvilken verdifull informasjon har virksomheten? Hvor befinner den seg, hvilke trusler er de utsatt for, og hvor gode er sikkerhetstiltakene? Dette er spørsmål en hver virksomhetsleder bør kunne svare på. I henhold til krav i og i medhold av sikkerhetsloven skal en virksomhet ha oversikt over hvor i virksomheten sikkerhetsgradert informasjon kan behandles, på hvilke informasjonssystemer og hvem i virksomheten som til en hver tid er klarert og autorisert for gradert informasjon. Autoriseringen skal medføre at personellet kjenner til sine sikkerhetsmessige plikter og vet hvordan gradert informasjon skal håndteres. Risiko skal vurderes kontinuerlig med bakgrunn i et oppdatert trusselbilde. Kan det være at virksomheter involvert i verdensledende høyteknologi står ovenfor andre trusler enn andre virksomheter? Da må sikkerhetstiltakene være deretter. Sikkerhetsrevisjon skal regelmessig gjennomføres for å sikre at tiltak virker og er hensiktsmessige og tilstrekkelige. Gjennom evaluering, minimum årlig, av den generelle sikkerhetstilstanden skal «Det kan gi konsekvenser for norsk industris konkurranseevne i utlandet» ledelsen være godt informert om hvilken risiko virksomheten står ovenfor på området. Når det gjelder digital behandling av gradert informasjon, skal det utelukkende gjøres på systemer godkjent for dette. Det er kun NSM som kan godkjenne sammenkoblinger mellom systemer på forskjellige graderingsnivå og sammenkobling mot ugraderte systemer. Lagringsmedier skal være behørig merket med høyeste graderingsnivå, og virksomheten skal ha et register over disse slik at man til en hver tid vet hvor de er og kan kontrollere at ingen er på avveie. Dette er tiltak som, om de følges, gjør det lite sannsynlig at angrep mot ugraderte systemer vil medføre kompromittering av den graderte informasjonen virksomheten forvalter. Virksomheten bør bruke den samme tilnærmingen til å beskytte sine immaterielle verdier og andre forretningshemmeligheter. Kravene til styring av sikkerhet i virksomheter underlagt sikkerhetsloven henger godt sammen med anbefalinger i etablerte standarder som f eks ISO/IEC 27001, og det vil være effektivt for virksomheten å integrere styringen av all sikkerhet i virksomheten, både på graderte og ugraderte område. Manglende sikkerhet kan fort bli dyrt. Sikkerhetsstyring bør der- for være i en hver virksomhetsleders interesse. God informasjonssikkerhet fordrer at både forebyggende og reaktive tiltak er «Når det gjelder digital behandling av gradert informasjon, skal det utelukkende gjøres på systemer godkjent for dette» gjenstand for styring og oppfølging fra ledelsen. Ledelsen bør ha god grunn til å engasjere seg i arbeidet, da dette ikke bare dreier seg om lovpålagte krav og byråkrati, men også om beskyttelse av informasjon som har verdi, i kroner og ører, for virksomheten. NSM anbefaler alle virksomheter å etablere god sikkerhetsstyring og virksomhetsledere å engasjere seg i arbeidet. Er grunnsikringen på plass i virksomheten og angrep mot ugraderte systemer blir tilstrekkelig forebygget eller håndtert, vil etterlevelse av lovpålagte krav for skjerming av gradert informasjon også bli enklere. Det vil gagne både virksomhetenes og rikets sikkerhet.

16 16 KVARTALSRAPPORT FOR 1. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Sosial manipulering Kombinasjonen av sosial manipulering og teknologiske sårbarheter blir i større grad benyttet i det vi definerer som målrettede angrep mot enkeltansatte i virksomheter og bedrifter. Angrepene trenger ikke engang å være teknisk sofistikerte når man får ansatte ubevisst til å implementere angrepet mot sin egen arbeidsgiver. I denne artikkelen har vi fått hjelp av Roar Thon, seniorrådgiver i NSMs seksjon for personellsikkerhet, til å sette fokus på hva sosial manipulering er og hvilke spørsmål den enkelte bør stille seg for å redusere muligheten for å ubevisst hjelpe trusselaktørenes til å lykkes med sine forsøk på å infiltrere datasystemer. Sosial manipulering er ikke noe nytt. Mennesker har lurt hverandre siden tidenes morgen og det finnes like mange variasjoner av sosial manipulering som det finnes løgner. Sosial manipulering er ikke annet enn løgner og illusjoner satt i system av en eller flere mennesker som benytter dette som et verktøy for å nå sine mål. «Mennesker har lurt hverandre siden tidenes morgen» Sosial manipulering kan f.eks. være å bruke reell informasjon til å skape en situasjon eller benytte forfalsket eller ikke-reell informasjon til å skape den samme situasjonen. Situasjonene som oppstår har ofte til hensikt å skape følelsesmessige reaksjoner hos mottaker som f.eks. å skape tillit gjennom utseende, språk og budskap for deretter å få til en bestemt reaksjon/handling hos mottaker. Situasjonen som skapes kan være av fysisk eller elektronisk art med den felles hensikt å skape en reaksjon/handling som gjør det mulig å skaffe seg f.eks. informasjon. Informasjonen kan enten føre direkte til målet eller fremskaffe mer informasjon på veien mot et mål. Målet kan være mangeartet, men økonomiske motiver er ofte en dominerende faktor. Verdifull og sensitiv informasjon kan ha en høy økonomisk verdi når informasjonen havner i de «urette» hender. For NorCERT er sosial manipulasjon noe vi i økende grad ser benyttet i målrettede dataangrep med den hensikt å skaffe tilgang til sensitiv informasjon. Informasjon har en varierende verdi avhengig av hvem som trenger den og til hvilket formål. Informasjon som vi anser å være triviell kan være viktig for en som bedriver sosial manipulasjon. Det betyr ikke at vi skal beskytte vår trivielle informasjon bedre, men vi må forsøke å øke for- ståelsen for at ikke alt bestandig er hva det utgir seg for å være. Dersom vi hadde vært i stand til å leve etter ordtaket om at «du skal ikke tro på noe av det du hører og bare halvparten av det du ser» ville vi ha gjort det veldig vanskelig for trusselaktørene å bedrive sosial manipulasjon. Hvordan fungerer så sosial manipulering? For å nevne noen av kategoriene vi kan plassere sosial manipulasjon inn i, kan det være alt fra brev, reklame, websider, telefonsamtaler, tekstmeldinger, e-post, til det fysiske møtet med en eller flere personer. Med andre ord kan sosial manipulasjon være alt fra e-posten fra en forretningsmann i Nigeria med tilbud om å gjøre deg rik i en fei, brevet fra et advokatkontor i Hong Kong som forteller at du har arvet en onkel du aldri har hørt om, eller telefonen fra Microsoft som forteller at du har problemer med datamaskinen din. Dette er eksempler som er av global karakter og som i realiteten retter seg mot enhver som ikke forstår at de blir utsatt for sosial manipulasjon i den hensikt å loppe dem for penger. Når vi kaller dette eksempler av global karakter er det fordi mennesker over hele kloden utsettes for denne type manipulering 24/7 med en viss variasjon av budskap og presentasjon. At trusselaktørene benytter denne type metodikk kan ikke forklares med noe annet enn at de tjener nok på metodikken til at det lønner seg rent økonomisk. Forhåpentligvis har du og din bedrift blitt i stand til å indentifisere og motstå denne type manipulasjon. Videre i denne artikkelen tar vi utgangspunkt i litt mer avansert sosial manipulasjon gjennom e-post som et leveringsmiddel til et målrettet dataangrep. Den sosiale manipulasjon som benyttes i målrettede dataangrep har som regel en helt annen grad av individualitet og karakter. Budskap og presentasjon er ofte bearbeidet på en slik måte at den bare passer en enkelt person, eller en mindre gruppe nøkkelansatte i bedriften. Selv om en trusselaktør sannsynligvis må bruke noe mer ressurser på å planlegge et målrettet angrep mot en ansatt i en bedrift er det grunn til å anta at dette også lønner seg. Et godt målrettet angrep er vanskelig å motstå fordi det som oftest tar utgangspunkt i enkeltindividets hverdag, personlige interesser og har et mer subtilt budskap enn tilbudet fra den nigerianske forretningsmannen. Vi i NorCERT ser hvordan denne metoden de siste årene er blitt benyttet i flere alvorlige saker som defineres som dataspionasje. I 2010 produserte NorCERT en demo på hvordan en trusselaktør ville gå frem for å planlegge/gjennomføre et målrettet dataangrep ved bruk av sosial manipulasjon/ondsinnet kode. Målet var å stjele informasjon fra en bedrift uten at bedriften «At trusselaktørene benytter denne type metodikk kan ikke forklares med noe annet enn at de tjener nok på metodikken til at det lønner seg rent økonomisk» var klar over at dette skjedde. En reel norsk bedrift fikk i utgangspunktet rollen som det fiktive målet (angrepet ble aldri gjennomført) Etter informasjonsinnhenting fra offentlige tilgjengelige kilder ble angrepsmålet klart. En forskningssjef som på fritiden var lagleder for datterens håndballag. Forskningssjefen stod som lagleder oppført med en kontakt e-post adresse tilhørende dennes arbeidsgiver. Håndballaget skulle delta på en turnering med overnatting og håndballturneringen hadde på sine websider dokumenter med informasjon om turneringen. Hvorfor ikke sende disse dokumentene til forskningssjefen? En e-post ble utformet slik at den så ut til å komme fra håndballturneringens admin-

17 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 1. KVARTAL Vurderinger du bør gjøre: istrasjon. Et av vedleggene med korrekt innhold fra turneringen ble infisert med en ondsinnet kode som kunne brukes til å stjele informasjonsbærende filer fra arbeidsgivers nettverk. Så ville det bare ha vært å sende e-posten til vår intetanende forskningssjef som for alt vi vet, ville blitt glad over å motta viktig informasjon fra håndballturneringen. Etter vår erfaring er det stor grunn til å forvente at en slik angrepsmetode vil lykkes i den form at det er høy grad av sannsynlighet for at e-post mottakeren ukritisk vil åpne både e-post og vedlegg. Hva som skjer etterpå er et spørsmål om hvor teknologisk avansert angrepsmetoden er kontra hvor robust forsvarsteknologi angrepsmålet har. NorCERT har flere eksempler på hvor «NorCERT har flere eksempler på hvor slike angrep har lykkes og hvor angrepet er blitt oppdaget flere måneder eller år etter at angrepet fant sted.» slike angrep har lykkes og hvor angrepet er blitt oppdaget flere måneder eller år etter at angrepet fant sted. I forrige kvartalsrapport kommenterte NorCERT behovet for økt fokus på analyse av nettverkstrafikk og hendelseshåndtering. Samtidig påpekte vi behovet for å erkjenne at trusselen vi står ovenfor er reell og vanskelig å unnslippe. Det er ikke mulig å fjerne all risiko for sosial manipulasjon. Vi må akseptere at vi som mennesker har mange svakheter som kan utnyttes. Enkeltindiver kan både være en sikkerhetsrisiko og en sikkerhetsressurs. Målet må være å redusere risiko og øke evnen hos den enkelte til å være en ressurs. Tenk deg at du mottar 35 e-post daglig. En av disse e-postene er et målrettet dataangrep på deg og din bedrift. Når e-posten ikke avviker fra de andre 34 s innhold, utseende og troverdighet, hvordan skal du da kunne identifisere og unnlate å åpne vedlegg eller følge linker som er vedlagt akkurat den e-posten? Dette er ikke lett for den enkelte og det medfører også store utfordringer for de som skal forsøke å skape mottiltak mot denne type angrep. Moderne bedrifter benytter i dag e-post til utstrakt ekstern og intern kommunikasjon. Det er ingen løsning å slutte med e-post, så hvordan bør vi redusere risiko ift sosial manipulasjon? Vi er avhengige av å ha tillit til det vi mottar pr e-post, samtidig er denne tilliten vår største fiende og den utnyttes av trusselaktørene. Jo dyktigere vi blir til å forsvare oss rent teknisk jo mer vil trusselen rettes mot de ansatte. Ingen bør tro at vi løser denne utfordringen kun ved hjelp av teknologiske hjelpemidler. Risikoen er at vi lar de ansatte bli utsatt for situasjoner de aldri har hatt forutsetninger for å løse riktig. Erkjenne at bedriften/virksomheten behandler sensitiv informasjon som kan være av interesse for andre. Forstå at alle kan være et mål for sosial manipulasjon og målrettede angrep. Erkjenne at du selv har informasjon som kan hjelpe en trusselaktør mot det endelige målet. Ting som er for gode til å være sant er som regel det! Vær generelt skeptisk til e-post Vær kritisk til vedlegg og linker som du får tilsendt. Spør deg selv hvorfor du mottar e-post fra avsender? Ventet du en slik e-post? Er det logisk at akkurat du mottar denne e-posten? Er avsender noen bedriften har samarbeid med fra før? Hvem andre er den sendt til? Har noen andre du kjenner mottatt e-posten? Er det noen logisk grunn til at de mottar denne e-posten? Har du mulighet til å verifisere at e-posten er reell (f.eks. ved å ringe) Gjør det! Dette er tryggere å gjøre ift avsendere du kjenner (f.eks. kollega) enn å ringe mennesker du aldri har møtt

18 18 KVARTALSRAPPORT FOR 1. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Digital spionasje En trussel for verdiskapingen Denne artikkelen er skrevet av NorCERT. Den ble også publisert i Praktisk økonomi & finans utgitt av Universitetsforlaget våren 2012: Hver dag stjeles viktig informasjon fra norske bedrifters datanettverk, og bedriftshemmeligheter kan finne veien til utlandet. Ingen vet omfanget, og det er meget utfordrende å beregne kostnadene dette medfører for det norske samfunnet. Nasjonal sikkerhetsmyndighet (NSM) ved avdeling NorCERT har observert en sterk økning i antall dataangrep, og ser med bekymring på denne trusselen mot verdiskapningen i Norge. Hovedmotivet for digital spionasje er på lik linje med annen spionasje, å innhente verdifull og sensitiv informasjon. Det kan for eksempel være økonomiske data, fortrolige personopplysninger, kartlegging av nøkkelpersoner, strategiske planer, kundedatabaser, produktbeskrivelser eller virksomhetskritiske installasjoner. Digital etterretning og spionasje er en alvorlig trussel for verdiskapingen i privat sektor og for sikkerheten til sensitiv og gradert informasjon i offentlig sektor. Dette kan man slå fast på bakgrunn av NSMs ugraderte rapport om sikkerhetstilstanden, samt de åpne trusselvurderingene fra Politiets sikkerhetstjeneste 2 og Etterretningstjenesten 3. NorCERT 4 i Nasjonal sikkerhetsmyndighet (NSM) er Norges nasjonale enhet for deteksjon, håndtering og analyse av avanserte dataangrep mot samfunnsviktig infrastruktur. Med VDI (Varslingssystem for Digital Infrastruktur) har NorCERT et sensornettverk som omfatter både det private næringsliv og offentlige myndigheter i Norge. NSM og NorCERT samarbeider «Digital etterretning og spionasje er en alvorlig trussel for verdiskapingen i privat sektor og for sikkerheten til sensitiv og gradert informasjon i offentlig sektor.» nært med Etterretningstjenesten og Politiets sikkerhetstjeneste (PST), samt en rekke ulike aktører innenlands og utenlands innenfor IKT-sikkerhet, og er dermed i en unik posisjon når det gjelder å detektere og håndtere hendelser relatert til spionasje via internett. NorCERT håndterer hendelser knyttet til et bredt antall virksomheter i Norge. Olje og energibransjen, forsvarsindustrien og statlige departementer er særlig utsatt og utsettes jevnlig for dataangrep. NorCERT har da også spesielt nær dialog med virksomheter i disse sektorene. Denne artikkelen starter med å introdusere trusselbildet relatert til digital spionasje mot norske interesser, deretter blir kostnadene dette påfører det norske samfunnet diskutert, til slutt presenteres noen anbefalte tiltak. Spionasje Spionasje kalles verdens nest eldste yrke. Som bibelverset antyder, har i alle tider enkeltindivider, grupper, bedrifter og statsmakter søkt å få vite om andres hemmeligheter. Motivene har strakt seg fra å finne ut om utroskap til innhenting av viktig økonomisk og militær informasjon. Politiets sikkerhetstjeneste sier i sin åpne trusselvurdering 5 at Norge og norske interesser utsettes daglig for uønsket og ulovlig etterretning fra andre stater. Videre sier PST at det er grunn til å tro at de etterretningstjenestene som er mest aktive mot norske interesser særlig styrker sin evne og kapasitet til data- og internettbasert etterretning. Det er en kjensgjerning at mange lands etterretningstjenester hjelper sitt lokale næringsliv for å oppnå nasjonal sikkerhet og økonomisk fremgang. Dette kommer tydelig fram i uttalelser trykket i en rapport til den amerikanske kongressen, utarbeidet av USAs «Office of the National Counterintelligence Executive» (ONCIX) 6. Her siteres blant annet en offentlig uttalelse gjort i 2010 fra lederen for en utenlandsk etterretningstjeneste: «Intelligence... aims at support the process of modernization of our country and creating the optimal conditions for the development of its science and technology.» Nye idéer, skapt av forskning og utvikling er altså spesielt interessant for fremmed etterretning. Det neste naturlige spørsmål blir da å spørre om Norge har informasjon som fremmede bedrifter og land har interesse av? Norge er verdens sjette største oljeeksportør og verdens nest største gasseksportør. Norsk leverandørindustri er internasjonalt ledende når det gjelder utvikling av ny undervannsteknologi 7. Vi har en av verdens største handelsflåter målt i antall skip. Vi har også en potent forsvarsindustri og en stor strategisk «Politiets sikkerhetstjeneste sier i sin åpne trusselvurdering at Norge og norske interesser utsettes daglig for uønsket og ulovlig etterretning fra andre stater.» interesse blant annet i nordområdene. Sett i dette perspektivet er det åpenbart at norske offentlige og private virksomheter har verdifull informasjon som andre vil ha tak i. Digital spionasje, hva er det? Målrettede operasjoner, målrettede trojanere, målrettede angrep, «Advanced Persistent Threat (APT)», «Cyber Network Exploitation (CNE)» og informasjonsinnhentings-operasjoner er andre navn som brukes om digital spionasje. Med begrepet digital spionasje mener vi spionasje muliggjort ved at trusselaktører har fått uautorisert tilgang til informasjon via datanettverk, som for eksempel internett. Ofte bruker angriperen skreddersydd, avansert programvare i form av en såkalt «trojaner» som blir installert i skjul på offerets datamaskin, til å oppnå tilgang til sensitiv informasjon. En «målrettet» trojaner skiller seg fra vanlige datavirus ved at den er skreddersydd for å kunne infisere et utvalgt informasjonssys-

19 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 1. KVARTAL tem eller en bestemt bruker eller gruppe av brukere. Tradisjonelle datavirus er konstruert for å infisere flest mulig systemer og vil som regel kunne fanges opp av oppdaterte antivirusprogram, mens målrettede trojanere har en meget begrenset spredningsflate og vil i mange tilfeller kunne passere ubemerket forbi tradisjonelle datasikkerhetsmekanismer som brannmur, inntrengingsdeteksjonssystem (IDS) og antivirusprogram. «Med begrepet digital spionasje mener vi spionasje muliggjort ved at trusselaktører har fått uautorisert tilgang til informasjon via datanettverk, som for eksempel internett.» Inngangsporten til offerets datasystemer viser seg ofte å være en kombinasjon av trojaneren i form av skreddersydd programvare som utnytter sårbarheter i populære applikasjoner og sosial manipulering som lurer brukeren til å installere trojaneren. Dette kan for eksempel være en epost sendt til offeret, som ser ut til å være fra sjefen og som inneholder et vedlegg i form av en pdf-fil. Eposten inneholder tekst som refererer til interne forhold i bedriften. Dermed blir mottakeren lurt til å tro at dette virkelig er en epost fra sjefen med viktig informasjon i vedlegget, som bør klikkes på og leses straks. Vedlegget ser ut som et legitimt dokument når offeret åpner det. Men egentlig inneholder det en kjørbar fil som utnytter en sårbarhet i Adobe Reader. Filen installerer et skjult program som åpner en bakdør inn i datamaskinen for angriperen. Angriperen kan nå ubemerket logge seg inn på offerets datamaskin for å lese og laste ned alle dokumenter av interesse. Hvis datamaskinen er koblet til bedriftens interne nett, er det en mulighet for at angriper kan trenge seg videre inn i andre maskiner knyttet til dette datanettverket. Har angriperen først fått kompromittert én maskin i en bedrift, så har de én fot innenfor. Det vil ofte være lettere å angripe andre maskiner i bedriften fra denne og dermed få et større fotfeste, som vil kunne gjøre det vanskeligere å fjerne inntrengeren. Nasjonal sikkerhetsmyndighet ga i 2008 ut en rapport 8 om målrettede trojanere. Trusselen har eksistert i lang tid, men har blitt mer reell med den økende avhengigheten av informasjonssystemer og det faktum at flere og flere systemer nå er tilknyttet internett. Internettets beskaffenhet er da også som skreddersydd for å skjule seg, slik spioner naturligvis vil. Angriper skjuler som regel sine spor ved å bruke datamaskiner i andre land som mellomstasjoner, såkalte «proxyer». Det betyr at det kan se ut som angrepet kommer fra land A, mens landet i virkeligheten egentlig bare er en mellomstasjon. Man kan i lysets hastighet forsere landegrenser, bevege seg i komplekse veier som vanskeliggjør sporing, og risikoen for å bli tatt er lav. Digital spionasje er kort og godt kosteffektivt og innebærer lav risiko for motparten. Kostnadene for samfunnet For å kunne si noe om hva digital spionasje koster samfunnet må vi først prøve å få en oversikt over omfanget. Deretter må vi forsøke å estimere tapene assosiert med datainnbrudd og kompromittering av sensitiv informasjon, noe som viser seg å være svært utfordrende. «Hvis datamaskinen er koblet til bedriftens interne nett, er det en mulighet for at angriper kan trenge seg videre inn i andre maskiner knyttet til dette datanettverket.» Omfanget I Norge er det NorCERT i Nasjonal sikkerhetsmyndighet som ofte er første kontaktpunkt når norske virksomheter opplever spionasje på internett. Men, NorCERT ser i sitt sensorsystem bare en liten del av det norske internettet, og vår saksmengde er hovedsakelig generert fra det lille vi ser. Dette gir grunn til å antyde store mørketall. Basert på VDI-sensornettverket som private og offentlige virksomheter frivillig har satt opp på sine internett-linjer, får NorCERT et utsnitt av hva som skjer på det norske internettet. Sensornettverket kan sammenlignes med en digital innbruddsalarm for AS Norge, og varsler om dataangrep mot kritisk infrastruktur. Oppvakte brukere og IT-personell i norske virksomheter kontakter også NorCERT når de ser noe mistenkelig. Det er en kjensgjerning at IDS-sensorer, brannmurer og antivirus bare gir begrenset sikkerhet. En metafor er å tenke seg slike sikkerhetsmekanismer som en skuddsikker vest. Det er viktig beskyttelse, men sikter motstanderen litt ekstra (og det krever ikke veldig mye innsats), så treffer han deg i en kroppsdel som ikke er beskyttet. Fra NorCERTs begrensede utkikkstårn ser man ukentlig alvorlige hendelser. De siste årene har NorCERT registrert en økning i antall saker på 33 % hvert år 9. Et tjuetalls alvorlige hendelser ble håndtert i 2011, og NorCERT bruker stadig mer ressurser på å håndtere de alvorligste sakene. Hvem står bak disse dataangrepene? I Norge er det en politi- og etterforskningsoppgave å finne aktørene bak datakrimi-

20 20 KVARTALSRAPPORT FOR 1. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT helt normalt å være infisert i mange måneder, eller år, før det eventuelt oppdages. Og oppdages det, så er det enten ved slump eller at myndighetene varsler om det. Både Uri Rivner ved RSA og Allan Paller ved SANS Institute bruker ordet «dwell time» for å beskrive tiden mellom det tidspunktet angriper kommer inn på nettverket inntil angrepet blir oppdaget. Hos organisasjoner med store IT-sikkerhetskapasiteter er «dwell time» ofte noen uker. De som snubler over angriper gjør det som regel innen 6-12 måneder. Den største andelen oppdager imidlertid aldri at de har blitt angrepet. En siste kategori er de virksomheter som blir varslet av myndighetene. De fleste virksomheter som blir utsatt for avansert industrispionasje vil altså aldri oppdage at de er rammet. NorCERT har håndtert flere hendelser der virksomheten, etter å ha blitt oppmerksomme på et angrep, har avdekket at de har vært kompromittert i lang tid før oppdagelsen. I fjerde kvartal 2011 bisto NorCERT et teknologifirma som tilfeldig hadde oppdaget noen ukjente brukere på sentrale systemer. Etter omfattende undersøkelser, viste det seg at angriper har hatt et stort fotfeste i virksomhetens nettverk i over ett år. Skadeomfanget, da spesielt kunnskap om hva som eventuelt er stjålet av informasjon, er ukjent grunnet mangelfull logging 15, men det er naturlig å anta at angriper har fått tilgang til store mengder data. Mørketallene er altså så store på dette området at en estimering av omfanget vil ha en så stor usikkerhet at tallene gir begrenset verdi. Næringslivets sikkerhetsråd (NSR) utgir en årlig rapport som forsøker å kartlegge omfanget av datakriminalitet og IT-sikkerhetshendelser i Norge, basert på en spørreundersøkelse utført blant norske virksomheter 16. Her fremheves det at manglende overvåkning og gjennomgang av logger medfører manglende oversikt og rapportering av sikkerhetshendelser til ledelsen. En tredjedel av virksomhetene har vært utsatt for datakriminalitet, men bare 1 % av tilfellene ble i 2010 anmeldt til politiet. 18 % av virksomhetene sier at de har mistet IT-utstyr, mens kun 1 % mener at de har opplevd tap av opplysninger underlagt personopplysningsloven. Dette kan vitne om en naivitet i forhold til hvilken informasjon som faktisk kan være lagret på IT-utstyr som ansatte ofte bærer med seg, slik som smarttelefoner og bærbare datamaskiner. Underrapporteringen ser altså ut til å være nalitet. Å identifisere hvem som står bak er ofte vanskelig. En rapport som ble utgitt i november 2011 av USAs Office of the National Counterintelligence Executive (ONCIX) 10 har fått stor oppmerksomhet internasjonalt, blant annet på grunn av at USA her går åpent ut og peker på enkelte land som er særlig aktive innen spionasje på internett. I 2010 ble det også sagt i Pentagons cyberstrategi at svært mange etterretningstjenester har kapasiteter og intensjon: «Right now, more than 100 foreign intelligence organizations are trying to hack into the digital networks that undergird U.S. military operations» 11. En rapport som ble utgitt i november 2011 av USAs Office of the National Counterintelligence Executive (ONCIX) har fått stor oppmerksomhet internasjonalt da den beskriver omfattende digital spionasje mot USA 12. Basert på overnevnte, er det sannsynlig at det er flere norske virksomheter, spesielt innen høyteknologi, som er rammet. Disse vet det imidlertid ikke selv, og erfaring tilsier at de heller aldri vil oppdage det. Fremtredende forskere på området sier at det er «...er det sannsynlig at det er flere norske virksomheter, spesielt innen høyteknologi, som er rammet.» stor på alle nivåer, også når det gjelder annen datakriminalitet enn digital spionasje. Hvordan beregne kostnadene Å beregne kostnader på grunn av spionasje er vanskelig. Som nevnt oppdager de fleste aldri at de er rammet, mens andre oppdager dette flere måneder eller år etter at angrepet ble gjennomført. De tilfellene som oppdages blir som regel ikke anmeldt eller rapportert til norske myndigheter. Dette kan skyldes at omdømmet til en virksomhet kan bli svært skadelidende hvis det blir kjent at den har blitt offer for spionasje.