NorCERT har fått nye moderne lokaler. Digitale løsepenger. Sikkerhetstruslene

Transkript

1 Kvartalsrapport for 2. kvartal 2012 Innhold Aktiviteter fremmover 2 NorCERT har fått nye moderne lokaler Nå som NorCERT er etablert i toppmoderne lokaler øker våre forutsetninger for å håndtere alvorlige dataangrep mot samfunnsviktig infrastruktur. Side 12 Digitale løsepenger Flere nettsteder har spredt skadevare som krever løsepenger. Og flere organisasjoner har vært nødt til å håndtere hendelser hvor ansattes filer har blitt kryptert. Side 18 Sammendrag av kvartalet 3 Nøkkeltall fra NorCERT 4 FIRSTs årskonferanse 8 Inntrengingstesting 10 NorCERT har flyttet 12 Et tilbakeblikk 16 Digitale løsepenger 18 Hacktivisme 21 Koordineringsgruppen 22 NorCERTs sikkerhetsforum 24 Sikkerhetstruslene Antivirus er lite effektivt mot dagens trusler, og mange norske bedrifter er ikke særlig godt forberedt på sikkerhetshendelser. Les vårt intervju med sikkerhetsbransjen. Side 28 Flame 26 Sikkerhetstruslene 28 De største truslene 30 Sikkerhetstilstanden Kvartalets skråblikk 35

2 2 NASJONAL SIKKERHETSMYNDIGHET NorCERT 3 Aktiviteter fremmover Kjernevirksomheten i NorCERT skjer i operasjonssentet i Tvetenveien 22. Vi er imidlertid også engasjert i endel aktiviteter ute i samfunnet. I kvartalet som kommer har vi blant annet planlagt aktivitetene som er listet nedenfor. Er du i nærheten av der vi er? Da oppfordrer vi deg til å ta kontakt! IT-sikkerhet er et nasjonalt lagspill, og alle vinner på å bli bedre kjent. Sammendrag av kvartalet Skadevare spredd gjennom reklame på norske nettsider er en betydelig utfordring. Banktrojanere fortsetter å være et problem for Norge, men de største bankene gjør en stor innsats. Tjenestenekt-angrep har rammet mange norske virksomheter, et løsepengevirus ble en oppvekker for mange bedrifter, og spionasjeoperasjoner oppdages løpende og er en del av vår digitale hverdag. Dette er oppsummeringen av siste kvartal i NorCERT. En ny epoke for organisasjonen vår I slutten av april flyttet NorCERT til nye lokaler, og startet dermed en ny epoke for organisasjonen vår. Norge har nå tatt et stort skritt fremover i å sikre seg på internett. De nye lokalene er moderne, og vi har plass til å vokse. Vi har også plass til å drive samhandling med andre - både søstertjenestene til Nasjonal sikkerhetsmyndighet (Etterretningstjenesten og Politiets sikkerhetstjeneste), men også andre offentlige og private virksomheter. Dette gjør også at vi med rette kan kalle oss Nasjonalt cybersenter, noe som ble understreket da justis- og beredskapsministeren og forsvarsministeren offisielt åpnet de nye lokalene i NorCERT 31. mai. Blanke øyne Flyttingen ble gjort uten et sekund nedetid, parallelt med at vi ferdigstilte forrige kvartalsrapport. Like etter var vi vertskap for et European Government CERT-møte (EGC) i Oslo, med påfølgende teknisk workshop i skadevare hvor vårt analyseteam delte av sin erfaring. EGC er en samling av de mest erfarne CERT-ene i Europa, og er et ekstremt viktig fora for deling av operative saker. Samtlige deltakere ble blanke i øynene da de så vårt nye operasjonssenter. Ønsker åpenhet Et vellykket NorCERT Forum ble avholdt i begynnelsen av juni med fokus på forensics. Vi arrangerte en teknisk workshop dagen etter for de NorCERT-medlemmer som virkelig ville dykke ned i materien, da godt assistert av spesialister fra Kripos og Microsoft. Vi skal være en CERT som både kan bevege seg inn i det hemmelige, men det er også essensielt at vi har stor åpenhet. Denne balansen har vi etter hvert fått god trening i, og vi skal fortsette å jobbe bevisst med dette. En spennende reise Når vi nå har kommet på plass i nye lokaler, vil vi i den neste tiden ta viktige strategiske valg på hvordan vi skal vokse inn i det nasjonale cybersenteret. Det blir en spennende reise, så her er det bare å brette opp ermene. Med vennlig hilsen Eldar Lillevik, sommersvikar Sjef NorCERT Internasjonal koordinering og bilateral dialog er ikke med i oversikten juli: Deltakelse på SANSFIRE i Washington DC juli: Deltakelse på Blackhat; verdens største IT-sikkerhetskonferanse i Las Vegas august: Samarbeidsmøte med ICS-CERT (USA s SCADA CERT) 23. august: NorCERT arrangerer teknisk møte i Stoltenbergforslaget (Nordisk sikkerhetssamarbeid) august: Deltakelse på NSM Tempestkurs september: Foredrag og stand på HØSTKONFERANSEN, Norsk Informasjonssikkerhetsforum (ISF) 19. september: Foredrag hos Norges Tekniske Vitenskapskademi 20. september: Foredrag for Forum for informasjonssikkerhet i Kraftforsyningen september: Deltakelse i Multi National Experiment 7 - øvelse Neste NorCERT Forum blir 21. november - Sett av datoen! Dette kvartalet har NorCERT håndtert et økende antall saker hvor skadevare har blitt spredd fra norske nettsider, blant annet fra en av de største avisene. Reklameannonser har blitt kompromittert og har blant annet spredd exploits (kode som utnytter sårbarheter til å bryte seg inn i systemer) som igjen har hentet ned banktrojanere som ICE IX 3 og Citadel. Løsepengeviruset Ransomcrypt/Trojan.Encoder.94 er en annen skadevare som ble spredd fra flere norske websider. Denne skapte nerver i mange styrerom i mai da den krypterte data på harddisker og filområder, og krevde penger for å låse opp filene. Gode backuprutiner gjorde at mange lett kunne rydde opp, og det kom etter hvert også måter å bryte den relativt enkle krypteringen på. Falske domener I den mest alvorlige delen av IKT-risikobildet ser vi omfattende målrettet spionasje mot norske virksomheter. Ytterligere en NGO (Non Governmental Organization) har opplevd et målrettet angrep. Nytt fra denne perioden er at et norsk firma opplevde at hackere registrerte et domene i deres navn, for så å bruke domenet som infrastruktur for målrettet spionasje. Dette skaper nye problemstillinger både rundt omdømme og juss, og saken er politianmeldt. Tjenestenektangrep Flere norske virksomheter, blant annet DNB, Norsk Tipping, Politiets sikkerhetstjeneste (PST), ITavisen, Dinside og Oslo Børs har opplevd tjenestenektangrep dette kvartalet. Skoleferie er tradisjonelt høysesong for mindre (men irriterende) tjenestenektangrep, men man skal vokte for bare å assosiere slike angrep med rampestreker fra ungdom. Tjenestenektangrep er et kraftig virkemiddel hvis noen ønsker å svekke omdømmet eller skape driftsproblemer for virksomheter. Vi ser at mange virksomheter er ekstra sårbare da de mangler robusthet i sine avtaler med hostingleverandørene. Nordmenn arrestert Kripos gikk dette kvartalet ut med at de har arrestert en 18-åring og en 19-åring for grovt skadeverk (strafferamme 6 år) knyttet til tjenestenektangrep. NRK fortalte også i juni at en 25 år gammel nordmann var pågrepet i en FBI-aksjon mot et hackermiljø som drev kjøp og salg av stjålne kredittkort. Det er en positiv trend at politi- og påtalemyndighet i økende grad pågriper nordmenn som knyttes til datakriminalitet. Dette kvartalet har NorCERT håndtert et økende antall saker hvor skadevare har blitt spredd fra norske nettsider, blant annet fra en av de største avisene LinkedIn og passord NorCERT skrev i forrige kvartalsrapport om frykten for at kundedata blir stjålet for så å bli publisert. Dette kvartalet ble det populære nettstedet LinkedIn kompromittert, og store mengder passord kom på avveie. Siden mange gjenbruker brukernavn og passord, var faren reell for at noen ville utnytte informasjonen til å stjele data fra e-postkontoer (osv). NorCERT var blant de første i verden til å se de stjålne dataene, takket være tips fra Per Thorsheim i Evry. Dette gjorde at vi raskt fikk varslet nasjonalt og internasjonalt. Samfunnet fikk også raskt informasjon gjennom vårt samarbeid med NorSIS. Internasjonalt har viruset kalt Flame (Flamer/Skywiper) vært dette kvartalets store internasjonale nyhet. Det blir ansett å være i samme gate som Stuxnet og Duqu og knyttes til mål i Midtøsten. Vi har ikke sett noen spredning i Norge. God skadebegrensning 9. juli var tidspunktet da DNS Changer offisielt ble stengt ned. Da dette bladet gikk i trykk i midten av juli, så det ut til at konsekvensene var små. Dette er trolig relatert til den skadebegrensning som norske ISP-er har gjort sammen med norske myndigheter, herunder har dialogen mellom Kripos og NorCERT vært god.

3 4 NASJONAL SIKKERHETSMYNDIGHET NorCERT 5 Nøkkeltall fra NorCERT NorCERT har det siste året observert en kraftig økning i antall kompromitterte norske nettsider som sprer banktrojanere og annen skadevare. Dette koster samfunnet store summer å rydde opp i. Vi skal dette kvartalet se nærmere på hvordan dette skjer, og hvordan det kan bekjempes. Vi skal også se at antall innrapporterte sikkerhetshendelser har hatt en svak nedgang fra forrige kvartal, selv om det fremdeles ligger på et høyt nivå. Vi skal også se litt fremover, og gjøre oss noen tanker omkring utviklingen knyttet til mobile enheter. Aktivitetsnivået NorCERT opplevde en svak nedgang i nye saker fra første til andre kvartal Nedgangen kom først og fremst i kategorien lavt prioriterte saker, som typisk er oppfølging av kompromitterte hjemmedatamaskiner. Mye av nedgangen skyldes trolig at det siste halvårets opprydning av trojaneren «dnschanger» har vært vellykket. Arbeidet med å bekjempe «dnschanger» ble beskrever i forrige kvartalsrapport. NorCERT er fornøyd med at aktivitetsnivået i alle fall midlertidig ser ut til å ha stabilisert seg, og håper at veksten i innrapporterte sikkerhetshendelser vi har vært vitne til de siste årene skal avta fremover. Samtidig må vi konstatere at den kraftige økningen i saksmengde fra tredje til fjerde kvartal 2011 ikke ser ut til å være av midlertidig karakter, men virker å ha tatt oss til et nytt normalnivå. Det er vanskelig å stipulere hvordan den videre utviklingen vil bli, men med tanke på at stadig flere enheter kobles på nett, og at skadevare på mobil er et sterkt voksende problem, er potensialet for videre vekst i kompromitterte enheter klart tilstede. Foreløpig er hovedproblemet med skadevare på mobil at kriminelle laster opp applikasjoner med skjult skadevare i de ulike nettbutikkene for smarttelefonapplikasjoner, men NorCERT forventer at mer tradisjonell spredning via «exploits» på nettsider og i epostvedlegg også vil komme til mobiltelefoner. Dette vil trolig være med på å drive antall sikkerhetshendelser videre oppover, også innen de mest alvorlige kategoriene. Skulle dette bli et alvorlig problem, vil det trolig forsterkes av at det er vanskeligere for brukere å fjerne skadevare fra mobile enheter. Enhetene gir ofte brukeren begrensede administrasjonsmuligheter, og det er finnes mindre tilgjengelig sik- Samtidig må vi konstatere at den kraftige økningen i saksmengde fra tredje til fjerde kvartal 2011 ikke ser ut til å være av midlertidig karakter kerhetsprogramvare brukeren kan bruke til å hjelpe seg. For å være i forkant av denne utviklingen har NorCERT i andre kvartal utlyst en forskerstilling innen mobil skadevare. Prioritert NorCERT har i perioden hatt 16 alvorlige saker til operativ håndtering. Ti av disse var nye for andre kvartal. Antall nye saker er likt som første kvartal, mens det totalt er en nedgang fra første kvartal. Tabell 1: Alvorlige saker: Prioritet Nye Totalt Høy Medium Lav Prioritet for nye og totalt antall behandlede saker for andre kvartal Dette er det første kvartalet siden Nor- CERT ble opprettet hvor det ikke har vært en økning i antall alvorlige hendelser under operativ håndtering. Behandlingstid Behandlingstiden steg noe fra første til andre kvartal. Noe av årsaken til dette kan trolig knyttes til flytteprosessen NorCERT har vært gjennom i løpet av kvartalet, samt at april og mai har en del ekstra fridager. Fridager påvirker ofte tiden det tar å løse en sikkerhetshendelse, da alle involverte parter gjerne går på redusert bemanning. I tillegg spiller også reduksjonen i antall lavt prioriterte saker inn. Disse sakene løses for NorCERTs del stort sett i løpet av én dag. Når færre saker er løst i løpet av én dag, øker snittet. Den gjennomsnittlige behandlingstiden steg både for saker som ble avsluttet innen fjorten dager, én måned og tre måneder, likevel er både respons- og behandlingstid fremdeles godt innenfor det NorCERT anser som akseptabelt. Kategorier Som man kan lese fra tabell to har varsler om kompromitterte systemer utgjort den klart største andelen av den totale saksmengden dette kvartalet med 83 %. Dette er en svak økning fra forrige kvartal. I kategorien for deling av informasjon med samarbeidspartnere er det en nedgang i antall saker på 40 % fra forrige kvartal. Hva dette skyldes er uvisst. I kategorien for sikkerhetsvarsler er det ingen endring fra forrige kvartal. Kompromitterte nettsider NorCERT har de siste tre kvartalene opplevd en betydelig økning i antall norske nettsider som rapporteres å spre skadevare. Noe av økningen skyldes trolig bedre samarbeid med norske og utenlandske samarbeidspartnere, noe som har medført økt rapportering. Samtidig er NorCERTs vurdering at det faktisk blir kompromittert flere norske nettsider enn før, og denne oppfatningen deles av flere. Tidligere var det ofte nettsider av mer lyssky karakter som spredde skadevare, men utviklingen de siste fem årene har vært at stadig flere legitime nettsteder blir kompromittert og misbrukt til å spre skadevare. Kompromitterte nettsider omtales på engelsk av og til som «infected website» og «web infections». NorCERT mener det er riktigere å bruke utrykket «kompromittert», da det tydeligere kommuniserer at kompromitteringen er resultatet av en villet handling, og ikke skadefølgen av en tilfeldig forbipasserende «smittekilde». Det er flere måter en nettside kan bli kompromittert på, men for tiden er SQLinnsprøytning den vanligste metoden. FIGUR 2: Behandlingstid for saker under operativ håndtering. SQL-innsprøytning Såkalt SQL-innsprøytning, eller «SQL injection» på engelsk, utnytter sårbare webapplikasjoner til å sprøyte uønsket innhold inn i en database via en sårbar nettside. Siden de aller fleste nettsider støtter seg på databaser for lagring av dynamisk innhold, er det svært mange nettsider som potensielt kan ha denne typen svakheter. I de fleste programmeringsspråk for utvikling av nettsider er det likevel enkelt å Nøkkeltall I hver kvartalsrapport vil NorCERT presentere statistikk basert på egne data eller på analyse av andres. Formålet er å formidle kunnskap om NorCERTs arbeid og om det generelle IKT-risikobildet. På sikt er det mulig artikkelserien vil stabilisere seg rundt utvalgte målepunkter, men i starten kommer vi til å eksperimentere en del både med format og innhold. Saksbehandling NorCERT behandler alle saker mot eksterne parter i vårt interne saksbehandlingssystem. Når vi rapporterer på antall saker vi håndterer, prøver vi samtidig å illustrere omfanget av de ulike sakene ved å rapportere antall oppdateringer vi har per sak. En oppdatering er enten innkommende eller utgående kommunikasjon, eller interne notater i saken. Vi rapporterer dessuten kun på operative saker tilknyttet operasjonssenteret vårt. De fleste saker vil derfor være knyttet til hendelser NorCERT er involvert i å håndtere. Antall saker og saksoppdateringer gir er relativt godt bilde av antall hendelser vi håndterer, men håndtering av hendelser mot eksterne parter er i utgangspunktet kun én av mange oppgaver NorCERT er satt til å løse. FIGUR 1: Antall håndterte saker fra første kvartal 2007 til andrekvartal Tabell 2: Saker per hovedkategori: Sakskategori Saksantall Per dag Andel Varsel om kompromitterte systemer til ISP eller hostingleverandør ,2 83,1 % Deling av informasjon med samarbeidspartnere, inkl. VDI-deltakere 161 1,8 9,0 % Varsler til deltakere i VDI og samfunnsviktig infrastruktur 68 0,8 3,8 % Annet 71 0,7 4,0 % Totalt antall saker ,5 100 %

4 6 NASJONAL SIKKERHETSMYNDIGHET NorCERT 7 Kompromittering av websider Det er flere måter en webside kan bli kompromittert på, men de vanligste er: SQL-innsprøytning. Inkludering av eksterne kildefiler, såkalte «remote file inclusion»-angrep. Såkalt «brute force»-angrep på tjenester med skrivetilgang til webområdet. Stjålne brukernavn og passord. I tillegg er det i flere driftsmiljøer mulig å kompromittere flere websider når man først har klart å kompromittere én. Dette skjer ved at brukerne har tilgang til hverandres filområder på webserveren, og at filrettighetene ikke er satt rett. Selv om det finnes flere tekniske løsninger for å forhindre dette, er det likevel overraskende ofte at slike tiltak ikke er iverksatt. Utnyttelse En relativ harmløs utnyttelse av kompromitterte websider er online tagging, eller «defacement» som det kalles på engelsk. En annen mulighet er å utnytte tilgangen til å servere phishing-sider og skadevare. Dette er en ganske vanlig utnyttelse. Kompromitterte servere kan også benyttes som kontrollserver for andre kompromitterte maskiner, men dette ser vi ikke veldig ofte i Norge. Den vanligst måten å utnytte kompromitterte websider på i Norge er å bruke tilgangen til å kompromittere besøkende på websiden med skadevare. Dette gjøres ved hjelp av såkalte «exploit kits», som undersøker hvilket operativsystem og hvilken nettleser den besøkende bruker, og leverer et sett med «exploits» i et forsøk på å kompromittere den besøkende. Når den besøkendes datamaskin er kompromittert blir den som oftest del av et «botnet», styrt av personer med tilknytning til organisert kriminalitet. Disse bruker kontrollen over maskinen til å stjele informasjon eller penger, eller utføre andre former for misbruk eller svindel. Slike «botnet» styrt av kriminelle utgjør en betydelig risiko for samfunnet. FIGUR 3: Kraftig økning i kompromitterte nettsider siste tre kvartaler. unngå denne typen sårbarheter ved å bruke såkalte forhåndsdefinerte spørringer, eller «prepared statements» på engelsk. Dette er en godt tilgjengelig metode som lenge har vært etablert som anbefalt programmeringspraksis. Utnyttelse Når en angriper har kompromittert en nettside kan dette utnyttes på flere måter. Den vanligste utnyttelsen er å spre skadevare gjennom å utsette besøkende til siden for såkalte «exploit kits». Disse forsøker å installere skadevare på datamaskinen til den besøkende. Veldig ofte er det sårbarheter i Java, Adobe Reader eller Flash som gir størst suksess for angriper. Utnyttelse av sårbarheter i Oracle sin Java-plattform er for øyeblikket kilden til klart flest vellykkede kompromitteringer. Utfordringer NorCERT har sett kursmateriale i nettsideprogrammering for norske høgskoler sikkerhet må ivaretas i alle ledd, ellers finnes det ingen sikkerhet hvor alle eksemplene knyttet til databaseprogrammering for dynamiske nettsider har vært åpne for SQL-innsprøytingsangrep. Dette er beklagelig. Dersom webutviklere hadde tilegnet seg bedre kompetanse innen sikker utvikling fra starten av tror vi at mange av alle de millionene med årlige SQL-innsprøytningsangrep som foregår kunne vært stoppet. At dette ikke skjer anser NorCERT som et samfunnsproblem, da spredning av skadevare står for tap av store verdier hvert år. På samme måten som man har regulert utbygging av veier, boliger og annen infrastruktur for å plassere ansvar og sørge for at Spørsmålet er hvem som skal ha ansvaret når norske websider kompromitteres og sprer skadevare som koster samfunnet store summer et minimumsnivå av sikkerhet opprettholdes, bør man som innkjøper og bruker av digitale tjenester kreve at leverandører av digital infrastruktur også kan garantere for et visst nivå av sikkerhet. Det at selskapet er stort betyr ikke automatisk bedre sikkerhet. Det har den siste tidens datalekkasjer fra LinkedIn, Twitter, Yahoo, nvidia, HBGary, Stratfor og andre store nettsteder vist. Satt på spissen kan man si at sikkerhet må ivaretas i alle ledd, ellers finnes det ingen sikkerhet. Ansvar Det er ikke nødvendigvis vanskeligere eller mer tidkrevende å gjøre ting på en sikker måte når man setter opp webtjenester, men man skal inneha korrekt kompetanse og innstilling før man begynner. Etter flere år med kontakt med større og mindre internett- og hostingleverandører rundt denne problemstillingen er det NorCERTs oppfatning at leverandører som gjentatte ganger utsettes for vellykkede angrep ofte mangler sikkerhetsfokus, og kundene deres er ofte uten bestillerkompetanse på sikkerhet eller ukjent med sikkerhetsutfordringene knyttet til drift av websider. Spørsmålet er hvem som skal ha ansvaret når norske websider kompromitteres og sprer skadevare som koster samfunnet store summer, og hvilke virkemidler man skal ta i bruk for å forbedre situasjonen. NorCERT er av den oppfatningen at leverandører av webhosting må ta en større del av ansvaret. De er den gruppen med størst kompetanse som befinner seg nærmest problemstillingen, på samme måte som internettleverandører gjør det for kompromitterte kundedatamaskiner. En stor andel norske internettleverandører tar dette ansvaret alvorlig, og tar ansvar for å få ryddet opp i kompromitterte datamaskiner. Dette ble beskrevet i forrige kvartalsrapport. For hostingleverandører stiller det seg annerledes. Der er det noen store, seriøse aktører hvor samarbeidet fungerer godt, mens forholdet til en rekke mindre leverandører er mer utfordrende. Dette går ut over arbeidet med å få ryddet opp i kompromitterte servere og websider, noe som gjør at det i øyeblikket er en økende risiko knyttet til det å ferdes på norske websider. Som nasjonalt CERT og del av en forebyggende sikkerhetstjeneste er det vår oppgave å identifisere og iverksette tiltak for å bekjempe denne økningen i risiko. Vi tror det vil ha stor samfunnseffekt dersom hostingleverandører, internettleverandører, norske sikkerhetsselskaper og NorCERT kan jobbe godt sammen for å bekjempe denne risikoen i alle ledd. Dette går ut over arbeidet med å få ryddet opp i kompromitterte servere og websider, noe som gjør at det i øyeblikket er en økende risiko knyttet til det å ferdes på norske websider Internettleverandør En internettleverandør, ofte kalt ISP, etter det engelske uttrykket «internet service provider», leverer nettverksinfrastruktur til private og offentlige virksomheter, og til privatpersoner. De største ISP-ene leverer også nettverksinfrastruktur til mindre ISPer. For å rute trafikk fra ett sted på internett til et annet, er internettleverandørene avhengig av et komplekst teknisk og avtalemessig samarbeid som kalles «peering». En ISP er ofte avhengig av en lang rekke «peering-avtaler» for å kunne levere sine tjenester, og ISP-er er derfor ofte gjensidig avhengig av hverandre, selv om den ene ikke er direkte kunde av den andre. Når NorCERT får varsler om kompromitterte datamaskiner kontakter vi ISP-en som er ansvarlig for adressen til den kompromitterte maskinen, slik at de kan kontakte sine kunder og videreformidle varselet og i noen tilfeller også bistå kunden med å rydde opp. Dette gjør vi fordi NorCERT ikke har noen mulighet til å vite hvilken av ISP-ens kunder en adresse tilhører. Webhotell Et webhotell er en tjeneste som tilgjengeliggjør websider på internett. På engelsk brukes uttrykket «web hosting» om denne tjenesten, og selv på norsk brukes ofte uttrykket «hosting-leverandør» om tjenesteleverandører som tilbyr webhotell-tjenester. Et tjenesteleverandør som tilbyr webhotell er avhengig av nettverksinfrastruktur fra en internettleverandør for å kunne tilby sine tjenester. En «hosting-leverandør» er derfor alltid kunde av en internettleverandør, med mindre «hosting-leverandøren» også er en internettleverandør. Når NorCERT får varsler om kompromitterte websider kontakter vi tjenesteleverandøren for websiden, og ikke eieren av websiden. Årsaken til dette er at det som oftest er vesentlig raskere respons når man kontakter tjenesteleverandøren enn eieren, og fordi tjenesteleverandøren i de fleste tilfeller også er den eneste med tilstrekkelig tilgang til systemene som er kompromittert til å sikre nødvendige spor og rydde opp på en god måte.

5 8 NASJONAL SIKKERHETSMYNDIGHET NorCERT 9 FIRSTs årskonferanse Sertifikat-krisen i Nederland, jordskjelv i Japan og frykt for represalier ved varsling om dataangrep: Her får du noen høydepunkter fra FIRSTs årskonferanse i juni. Panoramabilde fra Malta juni ble FIRSTs årlige konferanse gjennomført. FIRST er en frivillig organisasjon som skal fremme informasjonsdeling og samarbeid innenfor IT-sikkerhet. Denne gang var Malta vertsnasjon, og over 600 deltakere deltok på konferansen. Norge var representert med delegater både fra privat næringsliv og offentlig forvaltning. Nor- CERT holdt også en presentasjon under konferansen. I avsnittene under vil du kunne lese noen betraktninger, stikkord og referanser til momenter som ble notert under konferansen. Nederlandsk sertifikat-krise I september 2011 ble det kjent at den hollandske sertifikatutstederen DigiNotar var hacket og hadde utstedt falske sertifikater signert med DigiNotars eget rotsertifikat. De falske sertifikatene ble benyttet i man-in-the-middle-angrep mot Googletjenester, og ble observert i bruk gjennom ISP-er i Iran. Etter at hendelsen ble kjent, ble rotsertifikatet til DigiNotar straks revokert fra de andre store CA-ene, og DigiNotar ble senere erklært konkurs. Store konsekvenser På konferansen fikk vi presentert denne historien fra det nederlandske National Cyber Security Center (NCSC - tidligere GovCERT.nl) som så hvilke nasjonale konsekvenser hendelsen førte med seg. Det viste seg at både CA-infrastrukturen og PKI-infrastrukturen for offentlige myndigheter i Holland var kompromittert. Dette betød at hele tillitskjeden (chain of trust) for en rekke offentlige identitetstjenester ble brutt og dermed stoppet opp, ofte med konsekvenser langt utover selve angrepet, herunder knyttet til omdømme. NCSC anbefaler å anse PKI som kritisk infrastruktur og behandle den deretter. Det innebærer å håndtere individuelle sertifikater som viktige verdier samt trene på alvorlige hendelser. Håndtering av data Abusehelper er et open-source rammeverk laget av CERT.EE, CERT.FI og ClarifiedNetworks. Målet er å laget et verktøy som kan hjelpe CERT-er og ISP-er i deres daglig arbeid med å følge og håndtere enorme informasjonsmengder. Eksempler er automatisk sortering, filtrering og utsending av data fra mange ulike kilder. Under konferansen var det overraskende mange som pekte på at dette var et viktig rammeverk for deres virksomhet, enten det var nasjonale CERT-er eller virksomheter som driver med betydelige mengder IT-sikkerhetsinformasjon. Les mer på CERT-en er bekymret da de ser at ITavdelinger ofte frykter å melde målrettede angrep til politiet, men også til sine egne ledere, i frykt for represalier. Jordskjelv og beredskap I Japan skjer et jordskjelv på 9 på Richters skala hvert 600. år. Da skjelvet inntraff 11. mars 2011 fikk dette store konsekvenser, selv i et land som hadde forberedt seg godt. Gjennom standarden BS25999 har man laget rammeverk for beredskapsplanlegging, herunder identifisere viktige prosesser, action plans etc. Det er da også viktig å trene og øve. Les mer på wikipedia.org/wiki/business_continuity_ planning Frykt for represalier EU har nå etablert en CERT for EUs etater og organer. 11 personer jobber så langt med informasjonsutveksling. De har bygd en portal hvor all informasjon utveksles, herunder automatisk sortering og utsending av data fra ulike kilder. På FIRST-konferansen kunne vi lære at de ser stor effekt av å drive opplysning mot brukere, blant annet med en egenprodusert videofilm som viser hva som skjer (wireshark) når man åpner trojaniserte vedlegg. CERT-en er bekymret da de ser at IT-avdelinger ofte frykter å melde målrettede angrep til politiet, men også til sine egne ledere, da i frykt for represalier. Les mer på Russisk undergrunnsmarked En sikkerhetsforsker fra USA med russisk opphav har fulgt øst-europeiske undergrunnsmiljøer, og kunne fortelle om ulike forum som driver handel i blant annet sårbarheter, tilgang til systemer og styring av botnets. Han antydet at 1 million søppeleposter i innboksen koster 200 USD. Et tjenestenektangrep koster mellom USD per dag, og et kredittkort (med garanti for at det virker) koster 5 USD. Trenger du flere får du kvantumsrabatt. Prisen på tilgang til en bankkonto gjennom en nettbanktrojaner ble solgt for 1-10% av balansen på kontoen. Gutteklubben grei John Kristoff fra Team Cymru poengterte at det er en stor mengde lukkede grupper i IT-sikkerhetsmiljøet, hvor du må bli invitert inn for å delta. Når man er inne kan man få tilgang til svært mye viktig informasjon for å sikre seg og sitt miljø. John foreslo mindre hemmelighold, mindre diskusjoner og mer deling, men poengterte samtidig at slike miljøer fortsatt vil være der, og at hvis man ønsker å komme inn bør man prøve å inneha en kombinasjon av teknisk dyktighet, sosiale egenskaper og fokus på å dele. FIRST (Forum of Incident Response and Security Teams), er en frivillig organisasjon som startet i Målet er å fremme informasjonsdeling og samarbeid innenfor IT-sikkerhet. Medlemsmassen har hatt en betydelig økning og teller i dag 262 CERT-er/CSIRT-er fordelt på 56 land. I Norge hadde vi våren 2012, 7 medlemmer: DNB IRT Mnemonic IRT NorCERT Statoil CSIRT Telenor CERT UiO CERT Uninett CERT Margrete Raaum fra Universitetet i Oslo sitter som medlem i styringskomiteen, noe som gjør at Norge har et viktig fotfeste i denne organisasjonen. NorCERT holdt flere presentasjoner på Malta- her et bilde fra møtet mellom alle nasjonale CERT-er som alltid holdes rett etter FIRST-konferansen.

6 10 NASJONAL SIKKERHETSMYNDIGHET NorCERT 11 Inntrengingstesting- Jon kommer, er du klar? Har du tilstrekkelig kontroll på dine verdier? På det spørsmålet vil de fleste svare, «ja». Eventuelt «tror det», eller «håper det». Det store spørsmålet er imidlertid hvorvidt dette virkelig stemmer for din virksomhet. Dette er ikke et enkelt spørsmål å svare på. Det fordrer blant annet at du har et avklart forhold til hva som faktisk har verdi for deg. I tillegg må du tenke gjennom hva som kan ha verdi for andre, være seg forretningsmessige konkurrenter, fremmede stater, eller andre interessenter. Når du vet hva du ønsker å beskytte og hvem du ønsker å beskytte det mot, er tiden kommet til å reflektere over hvordan en trusselaktør, la oss kalle ham Jon, vil forsøke å tilegne seg dine dypeste og mest verdifulle hemmeligheter. Siden det er vanskelig å vite med sikkerhet nøyaktig hvordan et angrep vil arte seg, tilstreber NSM en 360 graders tilnærming til sikkerhet. Det innebærer blant annet å etablere en god sikkerhetskultur, solide fysiske barrierer og et godt organisert sikkerhetsarbeid. I tillegg må du påse at dere er tilstrekkelig skjermet mot avlesing av elektromagnetisk stråling, avtitting, avlytting osv. Det er mye å huske på. Hvor passer så IKT-sikkerheten, eller cybersikkerheten som de mest motebevisste vil si, inn i dette bildet? Jon har blitt digital Basert på NSMs egne erfaringer ser vi at det kan være mange veier Jon kan ta for å komme til sitt bestemmelsessted. Uavhengig av om det er spionasje, sabotasje eller terror som er målet vet vi at Jon er lat av natur og redd for å bli oppdaget. Han vil altså velge den enkleste og tryggeste veien til målet. NSM vet at i mange tilfeller vil den digitale motorveien, Internett på folkemunne, være å foretrekke som arena for Jons destruktive aktivitet. Dette synet støttes også av både Etterretningstjenesten og Politiets sikkerhetstjeneste i deres åpne trusselvurderinger. Begge sier det samme, Jon kommer via nettet, og han er aktiv. E-tjenesten skriver blant annet i Fokus 2012 at «Avanserte statlige aktører står bak betydelig aktivitet for å innhente sensitiv informasjon om andre lands disposisjoner, teknologi, økonomi og forsvar. I en krisesituasjon har de evne til å manipulere andre staters beslutningsmekanismer og infrastruktur.» Barrikadene har falt Basert på NSMs erfaringer fra gjennomførte inntrengingstester (pentest) er det ingen grunn til begeistring. Jevnlig avdekkes svakheter i virksomhetenes digitale forsvarsverk som bør ødelegge nattesøvnen til selv den mest garvede datasikkerhetsleder. Spionasje er mulig. Påvirkning og endring av data er mulig. Angrep på prosesskontroll- og styringssystemer har vist at det er mulig å påvirke den fysiske verden vi lever i, utelukkende gjennom bruk av rene IKTbaserte cyberangrep. Det er tydelig at godt gammeldags forebyggende IKT-sikkerhetsarbeid ikke får tilstrekkelig oppmerksomhet. Uavhengig av om det er spionasje, sabotasje eller terror som er målet vet vi at Jon er lat av natur og redd for å bli oppdaget. Han vil altså velge den enkleste og tryggeste veien til målet. Kart og terreng Mest bekymringsfullt er imidlertid det faktum at den virkeligheten NSM avdekker gjennom pentest svært ofte avviker dramatisk fra det virksomheten selv antok var status, og da i negativ retning. Enkelte ting endrer seg imidlertid ikke. «Når du kjenner din fiende og deg selv, vil du etter hundre slag ikke ha tapt et eneste. Når du ikke kjenner din fiende, men kun deg selv, har du like sjanser for å NSM gjennomfører inntrengingstesting (Pentest) av informasjonssystemer som et forebyggende sikkerhetstiltak. Gjennom kontrollerte cyberangrep søker NSM å avdekke sikkerhetsmessige svakheter i systemene slik at disse kan utbedres. Testene gjennomføres i nært samarbeid med den enkelte virksomhet. vinne. Når du verken kjenner din fiende eller deg selv vil du tape.» 1 Som dere ser av sitatet over var man allerede i år 500 f.kr klar over betydningen av å kjenne seg selv; både sine sterke og svake sider. Gjennom blant annet TSU 2, emisjonssikkerhetsundersøkelser (TEMPEST) og pentest 3 kan NSM hjelpe deg med å finne dine sterke og svake sider. Pentest er således bare en av flere brikker i dette forebyggende sikkerhetsspillet, men det er definitivt en brikke som gir «bang-for-buck!». Hvordan foregår inntrengingstesting? Hva finnes i din virksomhet som har verdi for deg og Jon, og som trenger beskyttelse? Og hvor stor del av disse verdiene lever i «det digitale rom»? De åpenbare kandidatene er forretningshemmeligheter, sensitiv e-post, strategier, kundelister, saksbehandlingssystemer, prosesskontrollsystemer osv. Listen kan fort bli lang! Basert på det overnevnte utarbeides angrepsscenarier hvor NSM forsøker å avgjøre hvorvidt det er mulig å ramme dine verdier, din produksjonsevne eller ditt renommé gjennom kontrollerte cyberangrep som på forhånd er avtalt og godkjent av både objekteier og NSM. Metodiske og målrettede angrep Primært søker NSM gjennom Pentest å påvirke et systems konfidensialitet, integritet og tilgjengelighet. Dette skjer i all hovedsak gjennom rene digitale nettverksbaserte angrep, men i gitte situasjoner kan det også være aktuelt å benytte sosial manipulering (social engineering) som et ekstra virkemiddel. Siden Pentest er, som seg hør og bør, en kapabilitet i konstant utvikling, har det fra og med 2012 også vært mulig å anmode NSM om testing av styrings- og prosesskontrollsystemer, ofte litt løst omtalt 1 Fra Sun Tzu, the Art of War 2 Tekniske sikkerhetsundersøkelser 3 NSMs tekniske kontroll- og undersøkelseskapasitet inneholder blant annet TSU, TEMPEST og pentest. som SCADA 4 systemer. NSM ønsker å hjelpe, blant annet gjennom bevisstgjøring. Ved å påvise og utnytte faktiske svakheter får virksomheten et bedre og mer visuelt inntrykk av de tilstedeværende sårbarheter, og ikke minst økt forståelse for hva konsekvensene ved et cyberangrep kan være. Og ja, konsekvensene kan fra tid til annen være svært dramatiske. Langsiktig sikkerhetsarbeid En Pentest vil aldri kunne avdekke alle sårbarheter i et informasjonssystem. En viktig del av et hvert oppdrag vil derfor være en grundig analyse av de resultater og funn som er gjort. Hensikten med dette er å avdekke de bakenforliggende årsakene til at sikkerheten feilet. På denne måten vil en 4 Supervisory Control And Data Acquisition (SCADA) Pentest kunne bidra konstruktivt inn i det langsiktige og målrettede sikkerhetsarbeidet til virksomheten. NSM tror på langsiktig og målrettet arbeid, derfor forsøker vi å unngå den litt lettvinte «penetrate-and-patch» tilnærmingen som mange testere benytter seg av. Riktignok må også vi noen ganger be objekteier iverksette umiddelbare kompenserende tiltak. Det kan for eksempel være påkrevet når vi finner vidåpne og lett utnyttbare veier inn i et system. En god hjelper NSM/Pentest har kun ett mål for øyet, å hjelpe deg med å bedre IKT-sikkerheten! I den forbindelse har vi 1337 gode råd, de tre viktigste finner du her: Anmod om en Pentest av dine graderte og samfunnsviktige informasjonssystemer. Bruk gjerne pentest@nsm.stat.no for å nå oss på ugradert epost. Kjøp og les «The Art of War» av Sun Tzu. Jon har garantert lest den. Og til slutt; «Don t Panic» Jon kommer, er du klar?

7 12 NASJONAL SIKKERHETSMYNDIGHET NorCERT 13 NorCERT har flyttet inn i nye tidsriktige lokaler Etter mange år i trange kår på Akershus festning har NorCERT flyttet inn i nye tidsriktige lokaler. Åpningen av det nye nasjonale cybersenteret ble gjort digitalt av statsrådene Espen Barth Eide og Grete Faremo. Digital åpning av Tvetenveien 22 Den digitale nedtellingen er over; vi har flyttet. Fra trange, rustikke lokaler på Akershus festning, til et totalt renovert, moderne kontorbygg og mye større plass på Bryn. 31. mai var offisiell åpning av lokalene i Tvetenveien 22, med presse og statsrådene Espen Barth Eide og Grete Faremo til stede. Det ble selvfølgelig ikke noe saks og klipping av bånd. Det måtte gjøres digitalt. Latteren satt løst da det digitale båndet bød på tekniske utfordringer, men etter et par forsøk lyktes det for justisog beredskapsminister Grete Faremo og forsvarsminister Espen Barth Eide å klippe tråden. En moderne base Det vi prøver å gjøre her er å bygge en solid sikkerhetskultur- og arkitektur rundt det digitale rommet. Dette dreier seg om å holde nettene åpne når noen prøver å stenge dem, og om å hindre det som kanskje er enda mer alvorlig, nemlig manipulasjon av data. Altså at andre stater går inn og gjør om på informasjonen vi har for å forvirre oss eller hindre vår bruk av den i kritiske situasjoner, sa Barth Eide. - Ingen ting er bedre enn å ha en moderne og effektiv base, sa Barth Eide og Faremo, som gratulerte med nye lokaler. Hull må tettes Direktør i Nasjonal sikkerhetsmyndighet (NSM), Kjetil Nilsen, orienterte deretter om tilstanden i sikkerhetsarbeidet og hvilke trusler vi ser fremover. Det vi finner er en lav risikoforståelse. I foretakene er det manglende risikoforståelse, og vi ser det er svak kompetanse på mange områder når det gjelder sikkerhet. Virksomheter rapporterer i alt for liten grad om feil og sikkerhetsbrudd. Nasjonal sikkerhetsmyndighet er også i økende grad bekymret for spredning av virus på mobile enheter. Her har vi store hull å tette, sa Kjetil Nilsen. Justisministeren og Forsvarsministeren svarer pressen inne på NorCERTs nye møterom Marie Moe, Seksjonssjef OPS, forteller om mediaveggen inne i operasjonssentert Flytteprosessen Så tidlig som i mai 2009 startet planleggingen internt i NSM. Prosjekteringen startet i oktober. Detaljprosjektering av operasjonssenteret startet i juni Byggingen startet i oktober Sjef for Varslingssystem for Digital Infrastruktur (VDI) har vært prosjektleder for flytteprosjektet, og har gjort en formidabel innsats for å få lokalene og systemene til å bli det vi har i dag. Flyttingen av VDI-systemet alene var et prosjekt som foregikk over flere måneder, da det omfattet store mengder infrastruktur. Torsdag 26. april flyttet NorCERTs operasjonssenter fra Akershus festning til Tvetenveien 22 på Bryn. Flyttingen skjedde uten nedetid og var en kjærkommen milepæl etter mange år i lokaler preget av manglende plass og dårlige fysiske arbeidsforhold. Timevis med nøye planlegging er endelig over. Flytting og installering av infrastruktur og systemer er gjennomført og resultatet er vi veldig stolte av. De nye lokalene Nå som NorCERT er etablert i toppmoderne lokaler øker våre forutsetninger for å håndtere alvorlige dataangrep mot samfunnsviktig infrastruktur. Fibermatrise Inne på operasjonssenteret finner vi fem store arbeidsplasser som består av ergonomisk utformede pulter med hev/senkfunksjon og store justerbare stoler. Hver plass har tre skjermer, men det finnes ingen datamaskiner på rommet. Maskinene befinner seg på serverrommet, og kan hentes opp på ønsket arbeidsplass gjennom en såkalt fibermatrise. Ved noen trykk på et touchpanel ved arbeidsplassen får man tilordnet skjermbilde fra en av de ledige arbeidsmaskinene på serverrommet, og kan

8 14 NASJONAL SIKKERHETSMYNDIGHET NorCERT 15 kontrollere den gjennom utplassert tastatur og mus. Dersom man skulle ha behov for å bytte arbeidsplass kan man flytte seg fysisk og fortsatt hente opp den samme maskinen på den nye arbeidsplassen. Dette gjelder møterommene og kontorlandskapet ellers, så vel som andre plasser på operasjonssenteret. Man kan også koble TV-mottakere til fibermatrisen. Ettersom alle mottakerne støtter overføring av både lyd og bilde kan man dermed kringkaste aktuelle nyhetskanaler gjennom matrisen. I motsetning til datamaskiner som er koblet til matrisen vil disse senderne være konfigurert på en måte som gjør at signalene kan hentes opp på mer enn én plass. Dermed kan bildet vises både på TV-skjermer inne på operasjonssenteret og på en skjerm som er utplassert ved inngangspartiet til etasjen. Det mest iøynefallende på operasjonssenteret er den store mediaveggen med 2x6 skjermer. Disse kan konfigureres på flere måter. De brukes primært til å vise oversikten over forskjellige systemer som brukes av NorCERT, det være seg status på vårt eget sensornett, status på eksterne systemer, nyheter fra relevante nyhetskilder eller annen informasjon som er nyttig for det daglige arbeidet. I tillegg til å vise skjermbilder om statusinformasjon, kan man også vise skjermbilde fra en av arbeidsplassene på deler av mediaveggen. Dermed er det mulig for analytikerne å diskutere funn som en av dem har gjort, uten at alle trenger å henge over skuldrene på hverandre. Sikkerhet i høysete I bakkant av operasjonssenteret finner vi et stort møterom. Mellom disse rommene er det store vinduer med smartfilm. Vinduene er normalt frostet slik at man ikke kan se gjennom dem, men dersom ønskelig kan de gjøres gjennomsiktige. På den ene av veggene på operasjonssenteret er det også montert noen whiteboards. For at man skal slippe å viske ut informasjon som er tegnet opp her når det kommer besøk til bygget er det montert rullegardiner i forkant. Det er ikke lov å ta med bærbare maskiner inn i operasjonssenteret eller til møterommet. Trenger man egen PC på møterommet eller i operasjonssenteret kan den plasseres i gjesteracket utenfor møterommet og hentes opp via touchpanelet på pulten inne på møterommet. Mobiler er heller ikke tillatt i operasjonssenteret eller møterommet; disse må legges igjen i egne låsbare skap utenfor. Selve kontorlandskapet er inndelt i soner. I såkalte sikre soner der det er utstyr som behandler verdifull informasjon er det ikke Over: NorCERT Operasjonssenter Innfelt: touchpanel som finnes ved alle arbeidsplassene NorCERT Operasjonssenter tillatt med bl.a. mobiltelefon eller annet elektronisk utstyr med sender. Dette er et viktig tiltak for å redusere muligheten for at informasjon lekker, ettersom all elektronikk har en viss stråling. En ny epoke Det som er sikkert er at NorCERT er inne i ny epoke der vi er bedre rustet enn noen gang før til å møte de økte truslene. - Vi mener det er viktig å styrke NorCERTs evne til å få varslet stadig flere norske virksomheter som har blitt rammet eller står i fare for å bli rammet av dataangrep. Nye lokaler med høyteknologisk utstyr er et viktig bidrag i dette, sa forsvarsminister Espen Barth Eide under åpningen. Høyre: Ved et trykk varsles alle i lokalet at vi har besøk Nedenfor: Panelet som styrer mediaveggen Nederst: Operasjonssenteret sett igjennom vinduet i møterommmet

9 16 NASJONAL SIKKERHETSMYNDIGHET NorCERT 17 Et tilbakeblikk Det gamle Operasjonssenteret på Akershus festning etter at alt utstyret er flyttet NorCERTs gamle Operasjonssenter på Akershus festning med tidligere avdelingsdirektør Christophe Birkeland Her er noen småhistorier fra de gamle lokalene: Høsten 2000: Etter Sårbarhetsutvalget (som ble nedsatt av regjeringen 3. september 1999 under ledelse av Kåre Willoch) ble VDI initiert som et prøveprosjekt for å møte de nye truslene Internett representerte for samfunnskritisk infrastruktur. VDI er en forkortelse for Varslingssystem for digital infrastruktur. VDI begynte som et samarbeid mellom private og offentlige virksomheter og de tre hemmelige tjenestene: Forsvarets overkommando/etterretningsstaben (FO/E), Politiets overvåkningstjeneste (POT) og Forsvarets overkommando/sikkerhetsstaben (FO/S). Januar 2003: VDI etableres permanent som en del av NSMs virksomhet. Senere samme år presenterer Nor- CERT konseptet for politisk ledelse. NorCERT skal forberede Norge på alvorlige dataangrep (hendelseshåndtering). 2004: Prosjekt NorCERT etableres i NSM August 2005: Regjeringen offentliggjør permanent etablering av NorCERT i NSM 5. april 2006: NorCERT åpnes av Forsvarsministeren. Høsten 2010: VDI fyller 10 år. 31. mai 2012: NorCERTs nye lokaler åpnes av statsrådene Espen Barth Eide og Grete Faremo. VDI-samarbeidet Var nybrottsarbeid og unikt på mange måter. Her deltok privat næringsliv, offentlige virksomheter og de tre hemmelige tjenestene Politiets overvåkningstjeneste (POT), Forsvarets overkommando/ sikkerhetsstaben (FO/S) og Forsvarets overkommando/etterretningsstaben (FO/E) i et operativt samarbeid, basert på gjensidig tillit og behovet for å addressere datatrusler mot kritisk infrastruktur. Samarbeidet kunne også oppfattes som kontroversielt, kanskje spesielt i lys av Lund-kommisjonen som førte til klare og strenge føringer for samarbeid mellom disse tjenestene. Det var derfor helt nødvendig å forankre samarbeidet helt i toppen. Tidligere avdelingsdirektør NorCERT, Christophe Birkeland, husker spesielt at de tre sjefene for henholdsvis POT, FO/E og FO/S, deltok personlig på VDI-forum, som ble arrangert hvert kvartal. Også toppledelsen i departementene (Forsvarsdepartementet og Justisdepartementet) deltok av og til, også på statsrådsnivå. Selv om VDI var tungt forankret i både de hemmelige tjenestene og i departementene, hadde vi svært få ressurser å rutte med. Det første server-rommet som ble benyttet for å lagre trafikkdata og logger fra dataangrep mot kritisk infrastruktur var et helt enkelt bøttekott i toppetasjen i politihuset på Grønland der POT tidligere holdt til. Behovet for kjøling av bøttekottet var en stor utfordring fra første dag. I en lang periode var det installert den enkleste typen bærbare kjølemaskiner med utluftingsrør som ble ført gjennom en gang og et kontor og ut av vinduene i politihuset. Da VDI skulle flytte til Akershus festning ble flere alternativer vurdert. Det mest spennende alternativet var trolig bygget som huser inngangen til det gamle kloakkanlegget rett under Akershus festning, som nå vurderes gjenbrukt som ny kino eller badeland. Potensialet var enormt, men bygget var totalt uegnet uten betydelige investeringer. Derfor ble VDI og senere NorCERT i stedet huset i bygning 12, det gamle Halmlageret inne på Festningsområdet. NorCERTs gamle inngangsdør på Akershus festning Over: NorCERT Operasjonssenter på Akershus festning - en litt mindre skala enn dagens. Under: Bilde fra kopirommet / serverrommet Kaffebøtta: Før vi utvidet lokalene, hadde vi ikke noen kjøkken-fasiliteter. For å gjøre ting enklere når vi satte på kaffe, hadde vi ei bøtte stående ved trakteren. Der tømte vi alle restene, og det tok ofte en måned eller to før den ble tømt... da var det antydning til liv med egne politiske meninger nede i den bøtta. Doffen: Vi hadde en periode med en ganske ustabil database. Dette var samtidig som Rema 1000 hadde en kampanje hvor det enkleste er ofte det beste, som ble illustrert med bl.a. Doffen har daua -reklamen. Og vår doffen daua ganske ofte også. Men han som var databaseansvarlig var ikke særlig glad for navnet, og endret det til Odin i stedet. Musefella: I en periode var vi plaget med mus i lokalene, og satte opp noen musefeller. Geeks er jo opptatt av detaljer, så det ble en diskusjon om hva som ville fungere best som åte i fellene. Ett av forslagene var sjokolade, men det ble avvist av en av seksjonslederne. Han var redd en av våre ansatte, som var ekstremt glad i sjokolade, skulle bli sittende fast. Lagringsløsning: I dag samles det inn mer data hver måned enn hva NorCERT hadde som total lagringsplass når vi flyttet inn på festningen i 2003 (da var lagringsløsningen på nesten 1TB). Søknad på toalettpapir: En besøkende hos VDI skrev for moro skyld en jobbsøknad på toalettpapir og la den på tastaturet til daværende avdelingsdirektør. Den besøkende ble senere ansatt, og ble en viktig bidragsyter for opprettelsen av NorCERT.

10 18 NASJONAL SIKKERHETSMYNDIGHET NorCERT 19 Digitale løsepenger Flere nettsteder har spredt skadevare som krever løsepenger. Og flere organisasjoner har vært nødt til å håndtere hendelser hvor ansattes filer har blitt kryptert. Vi ser nærmere på historien til løsepengevirus og på hendelsen i Norge. I midten av april ble det oppdaget at flere norske nettsider spredde skadevare som krevde løsepenger for å dekryptere filer som skadevaren hadde kryptert. Infiseringen skjedde i hovedsak gjennom infiserte reklamebannere med redirigeringer til exploit-sider. Slike drive-by-angrep via infiserte nettsider har vi sett en stund her i Norge, men vi har heldigvis vært spart de store spredningene av løsepengevirus. Et gammelt triks Ransomware, eller løsepengevirus, er ikke noe nytt selv om det er registrert få tilfeller av dette i Norge de siste årene. Det første løsepengeviruset kan dateres helt tilbake til Dr. Joseph Popp skal da ha sendt ut syv tusen disketter med trojaneren i posten til forskjellige mottakere. Innholdet på disketten så ut til å være informasjon om AIDS, og 3000 av mottakerne var hentet fra en deltakerliste for WHO-konferansen om AIDS i Stockholm. Et av navnene til skadevaren har derfor blitt «AIDS-trojaneren», et annet navn er «Cyborg trojan» som er basert på firmanavnet disketter ble sendt ut til abonnenter av magasinet PC Business World. Presset for penger I tillegg til å inneholde informasjon om AIDS, overskrev trojaneren AUTOEXEC. BAT med en teller som økte for hver oppstart av maskinen. Etter 90 oppstarter vil brukerne få en melding fra trojaneren: se brevet øverst til høyre neste side. Etter dette krypterte trojaneren filnavn på maskinen og opprettet en fil som fylte opp harddisken. På denne måten ville ikke maskinen kunne brukes før man betalte lisensavgiften til programvaren. Trojaneren brukte enkel symmetrisk krypto og beskrev hvordan dekryptering kunne utføres. Hvis man leser lisensavtalen til programvaren ble det faktisk gitt en advarsel om hva som kunne skje om man brøt avtalen, og lot være å betale avgiften: «PC Cyborg Corporation reserves the right to take any legal action necessary to recover any outstanding debts payable to PC Cyborg Corporation and to use program mechanisms to ensure termination of your use of the programs.» Ransomware i Norge Tilbake til Norge og 2012: Sent på kvelden 10. april blir NorCERT kontaktet og forespurt om vi har sett en del tilfeller av løsepengevirus i Norge den siste tiden fra en samarbeidspartner i sikkerhetsmiljøet. Denne samarbeidspartneren hadde selv et tilfelle hvor en bruker hadde fått installert skadevare som krevde penger for å dekryptere filene. Vi måtte bare svare at dette har vi sett lite av i Norge, men morgenen etterpå viste det seg at dette ikke var snakk om et engangstilfelle. Til sammen ble det rapportert inn tilfeller fra over 10 store bedrifter og organisasjoner, og en av disse hadde fått til sammen filer kryptert. Vi varslet bredt om dette og brukte blandt annet samarbeidet med NorSIS for å spre informasjonen til sluttbrukere. Infisert reklame NorCERT mottok flere rapporter om brukere som ble infisert ved å besøke flere populære norske nettsteder. Vi varslet og bistod driftsansvarlige med å få fjernet infeksjonsvektor. Et fellestrekk var at flere av disse sidene benyttet seg av reklameplattformen OpenX. Blant annet rapporterte ITPro at de hadde observert injisert kode i databasen for deres reklamesystem som bidro til infisering av besøkende. Sikkerhetsbloggeren Brian Krebs kommenterte også problemer med en CSRFsårbarhet i dette reklamesystemet som har blitt aktivt utnyttet for å spre skadevare. Sårbarheten skal nå være fikset, men det er ikke verifisert at det er denne sårbarheten som har blitt benyttet i alle infiseringstilfeller. Ved mistanke om at en nettside sprer virus, så anbefales driftsansvarlig å ta en sjekk etter uautoriserte brukere og kode OpenX. Russisk dekryptering I motsetning til AIDS-trojaneren ble selve innholdet i filene kryptert og man fikk beskjed om å betale seg ut av uføret. Dr. Web, en russisk antivirusleverandør, var tidlig ute med dekrypteringsverktøy for denne trojaneren. De hadde tydelig kunnskap om denne trusselen fra før og hadde sett varianter av denne tilbake til tidlig 2011 i Russland. Ettersom det var flere varianter av trojaneren med forskjellige krypteringsnøkler, ble ofre oppfordret til å sende inn krypterte filer slik at Dr. Web kunne foreta analyser for å kunne dekryptere filen. Svak kryptering Det finnes ransomware som bruker kryptering som ikke kan knekkes og det finnes de som benytter enkel substitusjon. For eksempel at A skiftes ut med B, B med C og så videre. Noen rapporterte at det ikke var kryptering i det hele tatt mens andre mente det var en enkel XOR med nøkkelen 0x5BB3F227675A0E08. Når vi så nærmere på en kryptert fil var det tydelig at det var en svak kryptering. For noen fungerte Dr. Web sitt verktøy, men ikke for alle. Det var også vanskelig for oss å gå god for et verktøy fra et ukjent russisk antivirusfirma som ikke ønsket å fortelle hvordan programmet fungerte. Det var derfor flott at F-Secure kom med et åpent python-script som dekrypterte filene. For å forklare hvordan krypteringen fungerte bruker vi her scriptet til F-Secure som et utgangspunkt. Det viste seg at varianten som ble spredd i Norge brukte en symmetrisk krypteringsalgoritme som kalles Tiny Encryption Algorithm. Symmetrisk kryptering innebærer bruk av samme nøkkel for kryptering og dekryptering. Dermed er nøkkelen mest sannsynlig utledet av eller eksisterer i kildekoden. Utvikleren kunne ha valgt å bruke en asymmetrisk krypteringsalgoritme som RSA, da ville det vært tilnærmet umulig å dekryptere filene uten den private nøkkelen. Krypteringsprosessen i fire steg 1. Lokalisering av filer som skal krypteres Viruset krypterer kun utvalgte filer. Dette er typisk brukerens dokumenter, bilder og lignende. Grunnen til at ikke alle filer blir kryptert er at da ville ikke maskinen kunne startes og brukeren bare tro at maskinen hadde krasjet. 2. Nøkkel-generering Det genereres en egen nøkkel for hver fil. Utgangspunktet (BASE_KEY) i den typen vi så i Norge var følgende nøkkel: 0x46942E4A5B C89865A506C637F. Ut fra denne genereres en egen nøkkel basert på første bokstav i hver fils navn (first_ char). Hver byte i BASE_KEY blir XOR et med first_char. Og first_char blir for hver runde modifisert etter et gitt mønster. For filen Tekst.txt blir dermed nøkkelen: 0x123C7FE81E0F714AD821D7F815E67655 Resultatet av dette er at to filer som har filnavn som starter på samme bokstav vil få samme nøkkel. Dermed kan det se ut som om filen kun har blitt XORet med en 16 bytes nøkkel. Grunnen til at noen rapporterte at filene ikke ble kryptert i det hele tatt finner man i kodesnutten under. De første 71 bytes av filen forblir uberørt. Dermed vil små filer ikke bli endret. Store filer blir heller ikke fullstendig kryptert. Etter bytes vil resten av filene være ukryptert. Dette er trolig gjort for optimalisering. Fortsetter neste side >> Utpressingsbrev fra AIDS-trojaneren

11 20 NASJONAL SIKKERHETSMYNDIGHET NorCERT Kryptere filer med Tiny Encrytion Algorithm Tiny Encrytion Algorithm (TEA) er som navnet antyder en liten krypteringsalgoritme. Det er en symmetrisk blokksiffer som benytter Feistel struktur. Hver blokk er på 8 bytes som deles i to blokker på 4 bytes (y og z i koden under). De to blokkene kjøres igjennom 32 Feistel-runder. I illustrasjonen til høyre ser man to slike runder. Blokkene kommer inn øverst på hver sin side og bytter side for hver runde. Under ser man hele TEA implementert med kun 15 linjer Python. Hacktivisme Dette kvartalet har vi internasjonalt sett en stor publisering av LinkedIn passord samt påstått hacking av Twitter. Tyrksisk UD og Yahoo har også opplevd haktivisme. I Norge har flere virksomheter vært rammet av tjenestenektangrep. Hacktivisme har altså befestet seg som en viktig del av IKTrisikobildet. Illustrasjon: En cycle i TEA (kilde: Wikipedia) Det er funnet flere svakheter med TEA. Derfor har den kommet i bedre utgaver som XTEA og XXTEA. TEA ble blant annet benyttet i Microsoft sin Xbox, noe som bidro til crackingen av boksen i Legger til en ny filendelse.enciphered Når en fil har blitt kryptert, blir filen gitt en ny filendelse. For eksempel Tekst.txt. EnCiPhErEd. Denne filendelsen knyttes så til viruset som vil vise følgende melding til brukeren. Det vil ikke være noen garanti for at man mottar koden hvis man betaler, og når man først har vist villighet til å betale, så er det trolig fristende for bakmennene å forsøke å presse offeret ytterligere. Det enkleste man kan gjøre dersom man er rammet er å gjenopprette filene fra backup. Denne saken viser dermed viktigheten av å ha gode backuprutiner på plass. Feistel: Er en krypteringsteknikk hvor en gir klartekst input som en bitstreng, samt en nøkkel, og deretter deler opp bitstrengen i to deler som siden passerer gjennom n krypteringsrunder. Hver krypteringsrunde består av følgende steg: Kombinere en del av nøkkelen med den ene halvdelen av bitinnmatingen, for senere å kombinere denne med den andre halvdelen av bitinnmatingen via en xor operasjon. Deretter bytter halvdelene side, og sendes videre til neste krypteringsrunde. (Kilde: Wikipedia) Cross-Site-Request-Forgery (CSRF): Dette er angrep mot web-applikasjoner hvor angriper får utført kommandoer på vegne av en allerede innlogget bruker. Eksempelvis kan dette gjøres ved å lure brukeren til å besøke en webside hvor angriperen har fått plassert JavaScript. Dette fungerer ved at koden får brukerens nettleser til å utføre forespørsler mot den sårbare applikasjonen. Svakheten består i at en sårbar applikasjon ikke inkluderer mekanismer som vanskeliggjør automatiserte forespørsler. Ettersom det er brukerens nettleser som gjør forespørselen kan det være vanskelig å skille disse fra legitime forespørsler. Det fører også til at eventuelle cookies som brukeren har lagret for websiden angrepet utføres mot vil bli sendt med. Vanlige måter å bekjempe dette problemet på er å inkludere en unik token i websiden som det er forventet at brukeren normalt gjør forespørslene fra. Ved at dette tokenet er unikt per bruker (eller bedre: per forespørsel) vil ikke angriperen få tak på verdien av denne, ettersom siden må leses før forespørselen kan sendes. Dette er vanskelig å få til med f. eks. JavaScript, ettersom nettleser-utviklere har tatt steg for å forhindre dette på tvers av domener. Definisjonen av haktivisme Det kan være utfordrende å forklare motivasjonen for å utføre et tjenestenektangrep mot en virksomhet eller publisere stjålne data. Kanskje er det ønsket om å bli sett og hørt av kompiser, ønsket om å bli omtalt i media, en brennende trang til å formidle et politisk budskap eller et en målrettet kampanje for å svekke en konkurrents omdømme. Haktivisme blir da ofte brukt som et samlebegrep, men kan altså strekke seg fra hærverk og pøbelstreker til sabotasje. Twitter I slutten av juni 2012 opplevde Twitter store driftsproblemer på sine servere. Dette rammet mange tusen kunder, og en haktivistgruppe som kaller seg UGNazi gikk ut å fortalte at driftsproblemene skyltes deres hacking. Twitter har i ettertid benektet at driftsproblemene skyldes hacking. LinkedIn I begynnelsen av juni 2012 dukket en fil inneholdende 6,5 millioner passordhasher opp på en russisk forumside. Mange av disse hashene ble etterhvert knekt og publisert, og det ble tydelig at listen tilhørte LinkedIn. LinkedIn gikk etterhvert ut med og fortalte at de hadde blitt kompromittert. NorCERT vurderte at en stor del, om ikke alle brukernavn og passord hos LinkedIn var kompromitterte av ukjente gjerningsmenn og varslet derfor bredt, blant annet gjennom NorSIS. Gjenbruk av brukernavn og passord på ulike webtjenester er noe mange gjør, som øker alvorlighetsgraden i slike kompromitteringer. Det er ikke klart hvem som står bak kompromitteringen av LinkedIn, men det er noen indikasjoner på at publiseringen av passordhashene ble gjort i et uhell. Tyrkisk UD Hackergruppen Redhack har fått mye oppmerksomhet rundt sine metoder for å kritisere den tyrkiske regjering. Den siste perioden har de blant annet stått for omfattende digital tagging ved å bryte seg inn og deretter publisere svært kritiske bilder på det tyrkiske utenriksdepartement sine hjemmesider. De har også publisert informasjon (bilde, navn, fødselsnummer etc.) på flere hundre utenlandske diplomater og deres familier, da de har stjålet informasjon om hvem som har fått utstett tyrkiske diplomat ID-kort. Yahoo Rett før dette bladet gikk i trykken i midten av juli 2012 kom nok et eksempel på haktivisme. En hackergruppe som kaller seg D33Ds Company hadde stjålet brukernavn og klartekst passord fra Yahoo! Voices og publiserte disse på Internett. Motivasjonen ser ut til å være å påpeke hvor usikker tjenesten var. Tjenestenektangrep i Norge Våren 2012 var også preget av flere tjenestenektangrep mot ulike norske virksomheter. Hackergruppen DotNetFuckers er antydet å stå bak noen av angrepene, men det er ukjent om deres motivasjon er rampestreker eller mer politisk orientert. Knyttet til noen av disse angrepene har to personer blitt pågrepet av Kripos. Nettaktivisme og hacktivisme er nye begreper i Norge. Uten å ha definert disse endelig tenker vi i NorCERT at ordene har følgende definisjoner: Nettaktivisme: er handlinger på internett som har et mer eller mindre definert politisk motiv, dette kan strekke seg fra å twittre til å begå skadeverk som tjenestenektangrep. Hacktivisme: er hacking utført med den intensjon å skape oppmerksomhet og publisitet rundt noe. Metoder kan være datainnbrudd med påfølgende publisering, tjenestenektangrep eller digital tagging (hærverk) av nettsider. NorCERT fortalte i Q at tyveri og offentliggjøring av data er en økende trend, og at politisk motiverte nettaktivister ofte kan stå bak. I Q så vi da også eksempler på publisering av stjålne data i Norge, hvor blant annet Narkoman.no og battlefield. no ble rammet

12 22 NASJONAL SIKKERHETSMYNDIGHET NorCERT 23 Koordineringsgruppen for IKT-Risikobildet I denne artikkelen vil vi se litt nærmere på det operative samarbeidet innen IKT-sikkerhet som foregår mellom Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet. Historie Koordineringsgruppen for IKT-risikobildet ble politisk initiert i 2007 i Stortingsmelding 22 av samme år. Dette gjorde at E- tjenesten, PST og NSM etablerte et tett samarbeid for å bygge et omforent risikobilde innen IKT. Samarbeid mellom disse tjenestene (også kalt Etterretnings og sikkerhetstjenestene, eller EOS-tjenestene) var imidlertid ikke nytt på området. Varslingssystem for digital infrastruktur (VDI) ble opprettet av de samme tjenestene som et samarbeidsprosjekt allerede i år I 1996 kom Lund-rapporten. Den skapte en omfattende offentlig oppmerksomhet og politisk debatt rundt virksomheten til EOS-tjenestene. Det ble da opprettet et eget Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjenestene - EOS-utvalget. Dette utvalget har siden da inspisert EOS-tjenestene regelmessig. Utvalget har spesielt fokus på personvern, og at virksomhetene blir drevet innenfor riktig mandat og regelverk. Samarbeidet i gruppen er i så måte en naturlig inspeksjonsvektor. NorCERT inspiseres av EOS-utvalget hver høst. Hvorfor samarbeid Stadig oftere oppdages det at norske offentlige og private virksomheter har blitt utsatt for avansert spionasje over Internett. Både for berørte virksomheter og norske myndigheter er det sentralt å få stanset angrepene, forhindre at det skjer igjen (og med andre), forstå skadeomfanget, men ofte også å finne ut hvem som står bak. Siden mange av disse angrepene er sponset eller utført av fremmede stater, og de som er rammet er samfunnsviktige, er det EOStjenestenes oppgave å ta tak i sakene og samarbeide. I flere saker har vi sett at dette samarbeidet har gitt betydelig effekt. En typisk hendelse starter ved at NorCERT og virksomheten oppretter en sak basert på deteksjon (ofte fra VDI, oppmerksomme brukere, sikkerhetsforskere eller andre myndigheter). Etter noen undersøkelser kan man ha indikasjoner om at dette er et alvorlig angrep, og NorCERT vil anbefale virksomheten å anmelde forholdet. Vi løfter da samtidig elementer av saken inn i IKT-risikobildegruppen for å skaffe ytterligere informasjon. I noen tilfeller vil dette føre til at PST oppretter en etterforskningssak. E-tjenesten spiller hele tiden inn ytterligere informasjon som gjør at man får et større bilde av saken. Alle EOS-tjenestene jobber tett med ulike internasjonale samarbeidspartnere. Disse partnerne har i økende grad prioritert spionasje på Internett, og er viktige for å få ytterligere informasjon om saker. I Norge har vi også flere eksempler på at utenlandske EOS-tjenester har varslet norske EOS-tjenester om infiserte maskiner hos norske bedrifter, noe som igjen har ført til at vi har kunnet varslet den berørte virksomheten og forhindret ytterligere tyveri av data. Samarbeidet fortsetter Etter at NorCERT har flyttet til nye lokaler i Tvetenveien 22 er det nå enda bedre tilrettelagt for samarbeid mellom EOS-tjenestene. Det er samtidig viktig å si at det nasjonale cybersenteret også skal kunne romme andre aktører innen IKT-sikkerhet i Norge. EOS tjenestene i Norge, og hva de sier om seg selv på hjemmesidene sine E-tjenestens oppdrag: Etterretningstjenestens viktigste oppgave er å skaffe informasjon om forhold utenfor Norges grenser. Det betyr å innhente, bearbeide og analysere opplysninger om andre lands politiske og samfunnsmessige utvikling, militære styrke og intensjoner som kan utgjøre en risiko for Norge. I fredstid framskaffer Etterretningstjenesten informasjonsgrunnlaget som nasjonale myndigheter trenger for å forebygge og håndtere kriser og krig. E-tjenesten gir ut en åpen trusselvurdering som blant annet nevner digitale trusler: Sider/fokus2012.aspx PSTs oppdrag: PSTs primære ansvar er å forebygge og etterforske straffbare handlinger mot rikets sikkerhet. Dette gjør tjenesten gjennom ulike metoder og arbeidsmåter. Sentralt står innsamling av informasjon om personer og grupper som kan utgjøre en trussel, utarbeidelse av ulike analyser og trusselvurderinger, etterforskning og andre operative tiltak og rådgivning. PST gir også ut en åpen trusselvurdering som peker på spionasje over Internett: NSMs oppdrag: NSM skal beskytte informasjon og objekter mot spionasje, sabotasje og terrorhandlinger gjennom å føre tilsyn og utøve myndighet, varsle og håndtere alvorlige dataangrep, utvikle sikkerhetstiltak og gi råd og veiledning. Direktoratet skal være en pådriver for bedring av sikkerhetstilstanden, og gi råd om utviklingen av sikkerhetsarbeidet i samfunnet. NSM håndterer også alvorlige dataangrep mot samfunnsviktig infrastruktur gjennom sin avdeling Nor- CERT. NSM gir ut årlig rapport om sikkerhetstilstanden: risikovurderinger/ I Stortingsmelding 29 av Samfunnssikkerhet -punkt står det: I 2008 ble det etablert en koordineringsgruppe mellom Etterretningstjenesten, PST og NSM (EOS-tjenestene). Koordineringsgruppen for IKT risikobildet er opprettet for å gjøre EOS-tjenestene bedre i stand til å håndtere IKT-hendelser, og for å bidra til en mer helhetlig forståelse og vurdering av IKT-risikobildet. Koordineringsgruppen har etablert et betydelig samarbeid. NSM leder gruppen, og har ansvaret for å forebygge defensivt mot spionasje, sabotasje og terror, og koordinere håndteringen av alvorlige dataangrep. Etterretningstjenesten har ansvaret for vurderingen av trusselen mot Norge og norske interesser fra fremmede stater, organisasjoner og individer. PST skal forebygge og etterforske de hendelsene der det er mistanke om at fremmede stater står bak. I tillegg skal PST vurdere trusselen mot Norge og norske interesser.

13 24 NASJONAL SIKKERHETSMYNDIGHET NorCERT 25 NorCERTs sikkerhetsforum - en arena for informasjonsutveksling og nettverksbygging NorCERTs partnere, medlemmer og andre viktige samarbeidspartnere møtes flere ganger i året på NorCERTs sikkerhetsforum. Der informerer vi om håndterte hendelser og stiller med kjente nasjonale og internasjonale foredragsholdere. Dette er en viktig arena for informasjonsutveksling og nettverksbygging. Vi i Nasjonal sikkerhetsmyndighet (NSM) og NorCERT søker å bidra til at det generelle sikkerhetsnivået på Internett i Norge er høyt, og inviterer derfor jevnlig våre samarbeidspartnere på ulike arrangementer. Troy Larson Principal Forensic Investigator i Microsoft 5. og 6. juni arrangerte NorCERT årets første sikkerhetsforum. Denne gangen ble forumet delt opp i to dager, en dag med presentasjoner, og en dag med teknisk workshop. Trekkplasteret denne gangen var Troy Larson, som er Principal Forensic Investigator i Microsoft. I tillegg var det spennende innlegg fra Kripos, Høgskolen i Gjøvik og fra andre avdelinger i NSM. Nor- CERT presenterte som alltid et oppdatert IKT-risikobilde og nøkkeltall for siste halvår. DEL 1 Første halvdel av NorCERTs sikkerhetsforum er forbeholdt de som har et formelt samarbeid med oss i form av å være partnere eller medlemmer. Dette er samarbeidspartnere innen samfunnskritiske virksomheter som har en VDI-sensor og som leverer data til NorCERT. Innholdet i noen av disse presentasjonene er derfor av sensitiv art og kan derfor ikke publiseres. Færre botnett En av NorCERTs hovedoppgave er å ha en oppdatert oversikt over dagens IKT-risikobilde. Gjennom sin presentasjon gikk Mike Andersen gjennom trendene sett igjennom de siste seks månedene, og gav i tillegg en oversikt over saker som har blitt håndtert av NorCERTs operasjonssenter. Dette inkluderte saker rundt botnet/drones, phising, tjenestenektangrep, VDI-alarmer og målrettede angrep. Det viser seg å ha vært en nedgang i botnettaktivitet, noe som muligens kommer som følge av en nedgang i antall maskiner infisert med DNS Changer og Conficker. Det er en økende trend der det publiseres stjålne data av sensitiv karakter. Her ble Stratfor-saken brukt som eksempel. WikiLeaks offentliggjorde over fem millioner e-poster fra det amerikanske sikkerhetsselskapet. Ifølge WikiLeaks viser e-postene blant annet at Stratfor har overvåket dyrevernsalliansen Peta på vegne av Coca-Cola og aktivister som kjemper for erstatning etter Bhopal-tragedien i India i Spor i den digitale verden Kripos holdt en meget spennende innføring i hvordan de utfører databeslag, deres sikringsmetoder og datatekniske undersøkelser av elektroniske spor. Dette inkluderte blant annet en video om hvordan Kripos jobber, etterfulgt av spennende eksempler på konkrete saker. Vi fikk presentert hvordan elektroniske spor finnes over alt og at Kripos ser en økende mengde databeslag i kriminalsaker. Datakriminalitet: defineres gjerne som straffbare handlinger som begås ved utnyttelse av informasjonsteknologi. Typiske former for datakriminalitet er: datainnbrudd databedrageri informasjonsheleri skadeverk dokumentfalsk piratkopiering beskyttelsesbrudd (TV- og radiosignaler) (Kilde: datakriminalitet/) IKT-trusler og EOS-tjenestenes samarbeid Å være en nasjonalt CERT handler i svært stor grad om bredt samarbeid, sier seksjonssjef for Analyse og informasjonsdeling (AI), Eldar Lillevik. Nasjonal sikkerhetsmyndighet (NSM) har derfor et tett samarbeid med de to andre EOS-tjenestene, Etterretningstjenesten (E-tjenesten) og Politiets sikkerhetstjeneste (PST). Dette blir grundigere omtalt i en egen artikkel om Koordineringsgruppen for IKT-risikobildet i denne kvartalsrapporten. DEL 2 Hvordan etablere et nasjonalt kompetansesenter i informasjonssikkerhet (CSET) All the world is made of faith, and trust, and pixie dust - Peter Pan. Dekan Morten Irgens, Høgskolen i Gjøvik (HiG) stilte spørsmålet Er samfunnet forberedt på de teknologiske utfordringene? Vi ser en nedgang i antall studenter innen realfag og informatikk. Hvordan kan vi endre denne trenden? Høgskolen i Gjøvik sitter på mye kompetanse og har utenlandske nettverk, men samtidig er det alt for lite samarbeid innad i Norge. HiG ønsker derfor en endring i hvordan utdanning foregår, og nyere universiteter og høyskoler som er mer profesjonsrettet. Irgens jobber nå med å etablere et norsk Centre for Security Economics and Technology (CSET) og har fått mange viktige aktører på lag. Les mer på: Sikkerhetstilstanden i Norge I dag er det vedvarende og vesentlige mangler i det forebyggende sikkerhetsarbeidet. Dette medfører en situasjon med økende sikkerhetsmessig risiko, som får negative konsekvenser for sikkerhetstilstanden. For å jobbe med sikkerhet er det viktig at man har en grunnleggende risikoforståelse. De som er ansvarlige for sikkerheten må få et så korrekt risikobilde som mulig, gjennom jevnlige risikovurderinger. Vi lever i et nettverkssamfunn hvor to eller flere samfunnsfunksjoner ofte er avhengige av hverandre. En skade eller et angrep mot en enkelt samfunnsfunksjon kan få konsekvenser som rekker langt ut over den direkte funksjonen. Det er stort skadepotensiale ved cyberangrep mot samfunnsviktige tjenester og samfunnskritisk infrastruktur. IKT brukes over alt, og ny teknologi taes i bruk i høyt tempo (Altinn, e-journal, Buypass etc.) Samfunnet har blitt mer sårbart, blant annet på grunn av teknisk kompleksitet og tettere sammmenkoplinger. En ny utfordring er sentralisering av datalagring. Flere store datasentre er under utvikling og prosjektering. Flere av disse vil komme til å lagre data av betydning for rikets sikkerhet. Hvem har tilgang? Hvem styrer alt? Trusselaktørene - hvem er de? fremmede stater militære motstandere organisert kriminalitet hacktivister terrorister Vi ser at cyberkriminalitet er økende, og grupperinger som Anonymous vokser frem. Kriminell aktivitet på Internett er betydelig høyere enn de sakene som anmeldes. Etterretningsaktiviteten mot Norge og norske interesser vurderes av Politiets sikkerhetstjeneste (PST) som vedvarende høy. Etterretning ved hjelp av IKT og Internett øker. Det søkes først og fremst etter informasjon som kan fremme landets politiske og økonomiske interesser. Samfunnet baserer seg i økende grad på digitale løsninger. Uønsket aktivitet over Internett utgjør risiko for stor skade mot Norge og norske interesser. Windows forensics Troy Larson, Principal Forensic Investigator i Microsoft, presenterte med humor og glimt i øyet Forensics for Computer Security Investigations. Han viste både konvensjonelle og ukonvensjonelle måter å dissekere Windows 7 for å lete etter spesielt innhold eller aktivitet. Målet er ofte å avdekke aspekter som skadevare, svindel, kompromitering, og inntrenging. Troy presiserte at dette kan gjøres gjennom et bredt spekter av muligheter. Over: NSM snakket om sikkerhetstilstanden Under: Mike Andersen fra NorCERT la frem hendelser håndtert av NorCERT.

14 26 NASJONAL SIKKERHETSMYNDIGHET NorCERT 27 Flame I slutten mai i år ble det kjent at en ny type skadevare, kalt Flame, hadde kompromittert datamaskiner i Iran. Skadevaren fikk mye medieoppmerksomhet, og det ble raskt trukket paralleller til skadevarene Stuxnet og Duqu som også rammet mål i Iran og Midtøsten. Felles for disse skadevarene er at de alle er avanserte og komplekse, noe som indikerer at aktører med betydelige kapasiteter og ressurser står bak. Av analysene som er gjort av Flame virker skadevaren mer å ha informasjonsinnsamling og spionasje som formål, enn sabotasje slik Stuxnet var laget for. Den 28. mai meldte det iranske CERT-et, MAHER, om at de i løpet av de siste månedene hadde jobbet med håndtering av en ny type skadevare. Skadevaren ble kalt Flame etter navnet på en av komponentene den består av. Flame har også blitt omtalt som Flamer og SkyWiper av forskjellige antivirusleverandører. Noe av det som skiller Flame fra annen type skadevare er størrelsen og kompleksiteten. Flame er over 20 ganger større enn skadevarefilene brukt av Stuxnet. Kompleks skadevare Størrelsen til Flame er i hovedsak på grunn av alle modulene og biblioteksfunksjonene som er inkludert. Flame har mye funksjonalitet som kan brukes til informasjonsinnsamling og spionasje. Flame har mulighet for å ta regelmessig skjermdump av det som vises på skjermbildet når bestemte programmer kjører, som for eksempel lynmeldingsprogrammer, men også mulighet til å avlytte den innebygde mikrofonen som finnes i mange datamaskiner. Skadevaren sprer seg via flyttbare lagringsmedia på samme måte som Stuxnet, men skal også kunne spre seg via lokalnettet. Flame har mulighet for å sniffe nettverkstrafikk og passord. Det er også funksjonalitet for å skanne harddisker etter utvalgte filer eller spesielt innhold. Flame bruker også flere metoder for å unngå deteksjon av antivirusprogrammer. En av modulene til Flame har også mulighet for å oppdage Bluetooth-enheter som er i nærheten av kompromitterte maskiner. En annen interessant del av Flame er bruken av skriptspråket, Lua, som gjør det mulig med tilpasset angrepskode. Microsoft oppdaget at enkelte komponenter i Flame er signert på en måte som gjør at de ser ut til å komme fra Microsoft. De som har designet Flame, har brukt svakheter ved en eldre krypteringsalgoritme i Windows og funnet en ny måte å utnytte dette til å forfalske digitale sertifikater. En av Flame sine komponenter gjør det mulig å forfalske Microsoft sikkerhetsoppdateringer, som normalt er signert av Microsoft, for å infisere maskiner på lokalnettet. Begrenset omfang I følge flere sikkerhetsselskap som har analysert Flame, er det kun et lite antall infeksjoner lokalisert i et begrenset geografisk område rundt Midtøsten. Hovedvekten av de kompromitterte maskinene er i Iran, men det er også tilfeller i Egypt, de palestinske områdene, Libanon, Saudi Arabia, Sudan og Syria. På grunn av det begrensede omfanget av kompromitteringer kan det virke som Flame har blitt brukt veldig målrettet mot bestemte mål, på samme måte som skadevarene Stuxnet og Duqu. Det er lite sannsynlig at datamaskiner i Norge er spesielt utsatt for Flame, men skadevare som har flere ulike spredningsmekanismer gjør at det kan være collateral damage (utilsiktede infeksjoner). Det er ikke utenkelig at virksomheter som har ansatte over hele verden, innleide konsulenter eller ansatte på tjenestereise, kan få infiserte datamaskiner hvis de har blitt brukt på lokasjoner som har hatt infiserte maskiner. Ny æra for digitale angrep I media kan vi lese at mange nasjoner nå satser på utvikle kapasiteter for digital krigføring og spionasje. En uttalt frykt er da at man da er i starten av en ny digital æra med digitale angrep og sabotasje. Mange mener eksempelvis at Stuxnet kan bli brukt for å legitimere bruk av skadevare som digitale våpen for å ramme fiendtlige mål. Digitale angrep har fordeler i forhold til tradisjonell spionasje og sabotasje da det er vanskelig å finne ut hvem som egentlig står bak og de er relativt enkle å utføre. Problemstillinger knyttet til dette vil være en spennende debatt å følge i årene som kommer, både i lukkede og åpne fora. Stuxnet Avansert skadevare først oppdaget i juni 2010 Utnyttet zero-day sårbarheter i Microsoft Windows, for å spre seg via USB-lagringsenheter Brukt stjålne digitale sertifikater for å kjøre kode på Windows-kjernenivå Skreddersydd for å angripe en spesiell modul av Siemens Simatic industrielle prosesskontrollsystem Skadevaren angrep Siemens PLC-modulene som brukes for å styre rotasjonsfrekvensen til sentrifuger ved kjernefysiske atomanlegg Infeksjoner først og fremst oppdaget i Iran Media har spekulert i at dette var et «cyberwar»-våpen med formål å hindre Iran i å utvikle atomvåpen Duqu Skadevare først rapportert i Ungarn i oktober 2011 Analyse av skadevare gjorde at mange antivirusselskap pekte på likheter med «Stuxnet» Det ble oppdaget en ny zero-day sårbarhet i Windows som gjorde det mulig kjøre kode på kjernenivå I likhet med Stuxnet var skadevaren blitt signert med falske eller stjålne digitale sertifikat I motsetning til Stuxnet så er Duqu verken utviklet for å angripe SCADA-systemer eller for å replikere seg selv Trolig verktøy for informasjonsinnhenting og fjerntilgang Flest infeksjoner i Iran Det er også rapporterte infeksjoner i Sudan, India, Vietnam, Ukraina, Frankrike, Nederland, Østerrike, Indonesia og Storbritannia Flame Først rapportert av CERT-et i Iran i mai 2012 Veldig stor og kompleks skadevare bestående av mange moduler, trolig del av et større rammeverk Skadevaren først og fremst laget for informasjoninnhenting og spionasje Utnyttet de samme sårbarhetene i Windows som Stuxnet for å spre seg via USB-lagringsenheter Deler av skadevaren har blitt digitalt signert slik at de ser ut som de kommer fra Microsoft Microsoft oppdaget svakheter i en kryptografisk algoritme som kunne bli utnyttet til å forfalske signaturer fra Microsoft Flest antall infeksjoner i Iran, men også andre land i Midtøsten er rammet

15 28 NASJONAL SIKKERHETSMYNDIGHET NorCERT 29 Sikkerhetstruslene - intervju med sikkerhetsbransjen Antivirus er lite effektivt mot dagens trusler, og mange norske bedrifter er ikke særlig godt forberedt på sikkerhetshendelser. Allikevel finnes det mange suksesshistorier, og trening hjelper! Vi spurte tre av de mest sentrale leverandørene av IT-sikkerhet om hva som er de største truslene akkurat nå. Rett før deadline tikket svarene inn på e-post fra samvittighetsfulle sikkerhetseksperter i Telenor Security Operations Center (TSOC), Mnemonic og Secode, alle selskaper som leverer IT-sikkerhetstjenester til norske bedrifter. En gjennomgangstone hos alle er vanlige PC-er som blir infisert. Mange er mangelfullt oppdatert, og blir enkle ofre for skadevare som er lurt inn på norske og utenlandske nettsider, og som blir kjørt i nettleseren og sjekker sårbarheter i ulike programmer. Vi spurte tre av de mest sentrale leverandørene av IT-sikkerhet om hva som er de største truslene akkurat nå. Rett før deadline tikket svarene inn på e-post fra samvittighetsfulle sikkerhetseksperter i Telenor Security Operations Center (TSOC), mnemonic og Secode, alle selskaper som leverer IT-sikkerhetstjenester til norske bedrifter. En gjennomgangstone hos alle er vanlige PC-er som blir infisert. Mange er mangelfullt oppdatert. De blir enkle ofre for kode som er lurt inn på norske og utenlandske nettsider, og som blir kjørt i nettleseren for å sjekke sårbarheter i ulike programmer. Falsk antivirus - I de fleste tilfeller ser vi at det er Java som blir utnyttet, sier Jan-Roger Wilkens i Telenor Security Operations Center. Dersom datamaskinen har sårbarheter lastes det ned skadevare som for eksempel stjeler brukernavn og passord, kredittkortopplysninger, eller som lurer brukeren til å overføre penger fra nettbanken. Mange blir også fremdeles lurt til å laste ned falsk antivirus, sier Wilkens. Mer tjenestenektangrep - Og generelt ser vi at anti-virus er lite effektivt mot dagens trusler. Vi oppdager som oftest fiendtlig kode ved å kjøre mistenkelig programvare i virtuelle miljøer eller sandkasser, sier Jan-Roger Wilkens. Han sier også antallet tjenestenektangrep mot norske bedrifter er gått opp. - Tidligere var det sjelden større aktører ble utsatt for denne typen angrep, men dette har endret seg. Vi har hjulpet flere kunder med denne typen angrep i det siste. Veksten i antall sikkerhetshendelser har vært formidabel så langt i år, sier Erik Alexander Løkken i mnemonic. Rekord i antall saker - Juni måned ble nesten ny rekord for mnemonic, hvor kun måneder fra tidligere år knyttet til Conficker-aktivitet overgår antall saker, sier han. Han bekrefter også tendensen med vanlige nettsider som infiserer intetanende besøkende. - Den største trusselutfordringen akkurat nå er tilsynelatende legitime nettsider som man stoler på og som er blitt kompromittert, sier Løkken. Også han ser mye utnyttelse av sårbarheter i Java. Når det gjelder angrep mot servere, er det en del vellykkede rene «brut force»-angrep med knekking av brukernavn og passord. Målrettede dataangrep Tore Terjesen i Secode merker seg også en mangelfull oppdatering av programmer, som gjør det mulig for angripere å bryte seg inn i datasystemene. Hos Secode merker de også at økning av målrettede dataangrep. - Vi merker en økning i antall målrettede angrep via epost. Det siste halve året har vi også sett en økning i antall kunder som blir utsatt for tjenestenektangrep. Generelt sett så blir alle typer angrep mer avanserte, som igjen krever mer manuell analyse. Ikke særlig forberedt Norske bedrifter er nok ikke særlig godt forberedt på IKT-sikkerhetshendelser, sier Erik Alexander Løkken i Mnemonic, og der får han støtte fra Tore Terjesen i Secode, selv om deres kunder ofte har formalisert sikkerhetsarbeidet. Flertallet har liten trening i eller erfaring med å håndtere alvorlige sikkerhetshendelser. Det kan gå ut over både muligheten til å få kontroll, og til å samle eventuelle bevis. Til å begynne med reagerer de fleste allikevel veldig profesjonelt, og fokuserer på å løse hendelsen. Men ikke alle er like gode til oppfølging i ettertid, til å utbedre feil og lære av hendelsen. En feil som ofte går igjen er at det brennes for mye krutt internt i starten av en sikkerhetshendelse. - Dette påvirker tiden det tar å håndtere hendelsen om den strekker ut i tid. Og det er ikke uvanlig at hendelser strekker seg over flere uker, sier Løkken. Norske bedrifter er nok ikke særlig godt forberedt på IKTsikkerhetshendelser, sier Erik Alexander Løkken i mnemonic Forstår ikke alvoret - Hva gjør bedrifter ofte feil når de håndterer sikkerhetshendelser? - Et problem kan være at kunden ikke forstår hvor alvorlig hendelsen er og dermed nedprioriterer håndteringen. Generelt sett så håndteres hendelser som påvirker kundens produksjon raskt, mens hendelser som i utgangspunktet bare påvirker en enkelt ansattmaskin tar lenger tid. Det de fleste ikke tenker på er at den sistnevnte hendelsen kan potensielt medføre store tap for bedriften om f.eks tegninger kommer på avveie, sier Tore Terjesen i Secode. Trening hjelper Allikevel er det er mange suksesshistorier om hvordan IKT-hendelser blir håndtert, sier Erik Alexander Løkken i mnemonic. - Erfaringen vår er at kunder som trener på å håndtere sikkerhetshendelser eller ofte håndterer hendelser blir bedre og bedre for hver hendelse de håndterer. Vi har noen veldig gode erfaringer hos kunder som har etablert IRT (Incident Response Team) og gode praktiske rutiner eller prosedyrer rundt håndtering av sikkerhetshendelser. Vi har ofte sett at de også benytter samme rutiner for å håndtere større driftshendelser med hell. Må bli bedre på informasjonsdeling Samarbeidet i det norske sikkerhetsmiljøet er ganske bra. Men det er alltid ønskelig med større åpenhet. Og også NorCERT i NSM kan bli bedre, sier Løkken i mnemonic. - Vi ønsker at NorCERT blir flinkere på å dele relevant informasjon raskt. Vi opplever stadig at informasjon raskere blir tilgjengelig gjennom andre nettverk og forum. Dette er et problem, som også har en negativ innvirkning på arbeid vi utfører på vegne av våre kunder. - Vi har gode erfaringer med hendelser hvor kunden har et etablert forhold til Nor- CERT og hvor kunden, NorCERT og Secode jobber sammen med håndtering av en hendelse, sier Tore Terjesen i Secode. - Men fra vårt perspektiv hadde det vært fint om NorCERT kunne delt mer av den informasjonen de får via kontaktnettet deres. Det er informasjon som vi kan bruke direkte til å beskytte norske virksomheter gjennom å oppdatere sikkerhetsutstyr som IPS og IDS. Når det er sagt, så forstår vi også at mye av informasjonen dere får er gradert og at det vanskeliggjør deling av informasjon, sier Tore Terjesen i Secode.

16 30 NASJONAL SIKKERHETSMYNDIGHET NorCERT 31 De største truslene intervju med sikkerhetsbransjen fortsetter... Erik Alexander Løkken, mnemonic Jan-Roger Wilkens, Telenor Norge /TSOC Tore Terjesen, Secode - Hvordan har utviklingen vært når det gjelder sikkerhetshendelser? Det er ikke noen store endringer i år. Det er fortsatt vekt på klienter og klientapplikasjoner. Vi ser at andelen dette utgjør av varslede sikkerhetshendelser stadig er økende. Utviklingen i år viser at det har vært en formidabel vekst fra måned til måned i antall sikkerhetshendelser vi har håndtert. Når det gjelder infiserte klienter/sluttbrukermaskiner ser vi fortsatt en jevn stigning i antall hendelser. Infiserte servere/backendsystemer holder seg jevnt lavt. Den største endringen i det siste er økningen i antall store DDoS-angrep mot større norske aktører. Tidligere var det hovedsaklig mindre angrep mot privatpersoner, men dette har endret seg vesentlig. - Hva skulle dere ønske virksomheter gjorde mer av for å forhindre slike hendelser? Vi merker en økning i antall målrettede angrep via epost. Det siste halve året har vi også sett en økning i antall kunder som blir utsatt for tjenestenektangrep. Generelt sett så blir alle typer angrep mer avanserte, som igjen krever mer manuell analyse. mnemonic leverer tjenester og produkter innen de fleste områder innen informasjonssikkerhet, og har rundt 100 ansatte Om kundene mnemonic fokuserer i all hovedsak på sentral forvaltning innen det offentlige, større konsern og bedrifter med særskilte behov for sikring av informasjonsverdier. Telenor Norge ved TSOC leverer sikkerhetstjenester i bedriftsmarkedet i og utenfor Norge. Tjenestene er 24/7/365. Telenor Norge har mange og forskjellige typer kunder. Mange av dem har det til felles at Internett er en sentral del av deres forretning, og at de er avhengig av å holde sine tjenester oppe til enhver tid. Secode er et nordisk selskap med 100 ansatte som jobber innen områdene sikkerhetsrådgiving, sikkerhetstesting, sikkerhetsovervåking og SIEM. Hovedtyngden av kunder er innen det offentlige og store konsern, hvorav store deler av det vi beskytter kan karakteriseres som kritisk infrastruktur. I løpet av de siste fem årene ser vi at de fleste har blitt veldig gode på å håndtere sårbarheter i Microsoft-produkter, mye takket være produsenten selv som har vært flink til å tilrettelegge for dette. Derimot er håndteringen av applikasjoner/løsninger som faller utenfor dette regimet liten grad blitt bedre. Vår erfaring er at kunder som benytter tredjepartsløsninger for patch management og systemdrift (f.eks. Secunia, Big- Fix, GFI) ofte opplever færre sikkerhetshendelser på klientplattformen sin. Vi skulle også gjerne sett at alle kunder hadde grunnleggende beskyttelse mot «web-trusler», som gode proxy-løsninger og oppdaterte applikasjoner som eksponeres for disse truslene. Etter at dette er på plass, så bør det også etableres større grad av sporbarhet. Hovedutfordringen (i mengde arbeid) når man faktisk identifiserer en infisert klient er i 9 av 10 tilfeller å prøve å identifisere klienten. - Innføre automatisk/sentralisert patching av tredjepartsprogramvare på klientmaskiner. - Eventuelt kan en i større grad ta i bruk terminal-servere. En blir da mindre sårbar dersom sluttbrukerens maskin er infisert. - Innføre et strengt skille mellom klientmaskiner og andre typer systemer i bedriften som tjenere/servere. - Innføre white-listing/sentralisert styring av programmer. Med et slik regime kan kun forhåndsgodkjente programmer installeres på sluttbrukernes maskiner. - Generelt fjerne tilgang til å bruke klientmaskiner som administrator. - Tenke gjennom konsekvenser og mulig handlingsrom dersom en blir utsatt for et DDoS-angrep. Vi oppfatter det generelle sikkerhetsnivået hos våre kunder som bra, men det kan bli bedre. Først og fremst må bedrifter bli bedre på patching av alle typer maskiner. Økt bevissthet om sikkerhet blant ansatte er også viktig. - Hva slags hendelser oppdager og håndterer dere mest av? - Hva er de største truslene og sikkerhetsutfordringene for norske virksomheter for tiden? Av mindre type hendelser, er det for det mest kompromitterte klienter. De større hendelsene varierer fra alt fra utnyttelse av eksternt tilgjengelig applikasjoner til miljøer og systemer på innsiden som er kompromittert. I forbindelse med vellykkede angrep mot klienter, så er utnyttelse av sårbarheter i Java det vi ser klart mest av Ved vellykkede angrep mot servere eksponert på offentlige nettverk er «SQL Injection» noe av det vi ser mest av Hvis vi ser angrep mot tjenere under ett (uavhengig av type tjeneste og om det er internt/eksternt), så ser vi også en del vellykkede angrep hvor det gjøres «bruteforce» av brukernavn/passord Som oftest er det infiserte klienter, altså sluttbrukermaskiner, vi håndterer i forbindelse med hendelser. Dessverre er mange av disse maskinene mangelfullt patchet og blir dermed enkle ofre for såkalt drive-by infeksjon. Vi ser også fortsatt at mange blir lurt til å laste ned og selv infisere PCen med falsk anti-virus. I de siste månedene har vi også sett at flere og flere vanlige norske nettsteder infiserer klientmaskiner. Den største sårbarheten som har blitt brukt til å infisere disse nettsidene virker å være en svakhet i annonsesystemet OpenX. I de siste månedene har vi sett et oppsving i antall DDoS-angrep mot norske bedrifter. Vi har hjulpet flere kunder med denne typen angrep i det siste. Det er todelt bilde med hendelser knyttet til både servere og klienter. Alt fra driveby -angrep på ansatt- maskiner til servere eksponert på Internett. Fellesnevner for denne type hendelser er manglende patching. Helt generelt så ser vi at det er vanskelig å oppdage kompromitterte maskiner. Vi vil derfor at kunder fokuserer på å oppdage selve angrepet og raskest mulig håndtere dette. Den største trusselutfordringen akkurat nå er tilsynelatende legitime nettsider, som man stoler på, som er blitt kompromittert. Det gjelder også norske nettsider. Når disse legitime sidene blir kompromittert, blir angrepene mer uforutsigbare. Akkurat nå er det infiserte klienter og DDoS-angrep. Foreløpig blir fortsatt infiserte klienter først og fremst brukt til å høste informasjon fra den spesifikke maskinen. Men slike maskiner kan dessverre benyttes som brohoder for videre angrep innover i bedriftens nettverk. Dette er noe en trolig vil se mer og mer av framover. Foreløpig benyttes dette først og fremst ved svært målrettede angrep. Det er flere ting, men målrettede angrep mot ansatte - da gjerne mot ansatte på gulvet øker. En annen problemstilling er at ansatte bruker e-postadressen og passordet på jobben til å logge seg på tjenester av privat art. Når disse tjenestene kompromitteres har vi ved flere anledninger sett at denne informasjonen offentliggjøres. Denne informasjonen kan igjen misbrukes til å bryte seg inn hos arbeidsgiver.

17 32 NASJONAL SIKKERHETSMYNDIGHET NorCERT 33 Rapport om sikkerhetstilstanden store sikkerhetsutfordringer Sikkerhetstilstanden blir fortsatt svekket i Norge. Risikoforståelsen knyttet til spionasje, sabotasje og terror er fortsatt for lav, og viktige tiltak som risikovurderinger, kompetanseheving, rapportering og sikkerhetsrevisjoner blir ikke gjennomført Brasiliansk nerdekunst Cert.br, altså CERTen i Brazil har leid inn en grafiker til å lage kule tolkninger relatert til IT-sikkerhet. Noen av bildene er gjengitt under, etter tillatelse. Nasjonal sikkerhetsmyndighets Rapport om sikkerhetstilstanden for 2011 gir grunn til bekymring angående den generelle sikkerhetstilstanden i Norge i dag. Nasjonal sikkerhetsmyndighet gir årlig ut sin Rapport om sikkerhetstilstanden. Dette er en vurdering av det forebyggende sikkerhetsarbeidet og sikkerhetstilstanden generelt. Rapporten kan og bør sees i sammenheng med andre vurderinger, blant annet Politiets sikkerhetstjeneste, Etterretningstjenesten, Kripos og Næringslivets sikkerhetsråd sine årlige rapporter. Rapport om sikkerhetstilstanden kommer både i en gradert og en ugradert versjon. Årets ugraderte rapport vil snart publiseres, og vi oppfordrer alle som leser kvartalsrapporten å ta en titt på dette produktet. Årets rapport påpeker vesentlige svakheter og mangler med det forebyggende sikkerhetsarbeidet. Hovedutfordringen er det utilfredsstillende nivået på den generelle risikoforståelsen. Dette gjelder på alle samfunnsnivåer. Selv om det utføres mye arbeid og iverksettes mange tiltak, øker truslene i et mye høyere tempo. NSM vurderer derfor at vi nå har fått en situasjon med en økende sikkerhetsmessig risiko i samfunnet. Manglene og svakhetene som påpekes i rapporten kan utnyttes av trusselaktører med stadig økende kapabiliteter og kapasiteter. En økende risiko: Verdiene vi ønsker å beskytte øker i volum og betydning. Truslene mot gradert og annen skjermingsverdig informasjon øker Nye sårbarheter som kan utnyttes oppdages stadig Tiltak for å redusere sårbarhetene utvikles ikke i samme takt som truslene Det er et tydelig gap mellom trussel og sikkerhetstiltak. Dette er noe som har vært påpekt i flere av rapportene fra tidligere år. Trenden er at dette gapet stadig øker. NSMs rapport konkluderer derfor med at 2011 var et år hvor sikkerhetstilstanden i Norge ble ytterligere svekket. Det er snakk om mange sikkerhetsutfordringer. Blant annet har vår avhengighet av IKT og internett blitt en strategisk sikkerhetsutfordring. Som nettverkssamfunn har Norge stor gjensidig avhengighet mellom flere samfunnskritiske tjenester og funksjoner. Samfunnet har blitt mer sårbart. Trender det anbefales å holde øye med fremover: En fortsatt økning i alvorlige IKThendelser Mer profesjonell utvikling av ondsinnet programvare Målrettede angrep mot lukkede nett Forsøk på å infiltrere prosesskontrollsystemer Spredning av skadevare på mobile enheter Misbruk og infisering av smartkort og smartkortlesere Sårbarheter i leverandørkjeden av IKTutstyr Økt forespørsel etter klarering av personell med tilknytning til andre stater Beskytt verdiene Balanserte og målrettede sikkerhetstiltak krever en god sikkerhetsforståelse. Verdiene må beskyttes med en helhetlig tilnærming. Risikobilde er dynamisk, og sammensatt av en vurdering av verdier som må beskyttes, trusselbildet, samt hvilke sårbarheter som kan utnyttes for å ramme verdiene. NSM understreker at de som er ansvarlige for sikkerheten må ha et så korrekt risikobilde som mulig, for å vurdere og beskytte sikkerhetstilstanden i egen virksomhet.

18 34 NASJONAL SIKKERHETSMYNDIGHET NorCERT 35 Takk Mike! Mike startet i VDI i juni 2003, altså i pre-historisk tid i NorCERT sammenheng. Siden den gang har han vært med på de fleste store milepælene i NorCERTs historie. Nå 9 år senere har han valgt å gå over til Dell SecureWorks, hvor han skal jobbe som Client Service Manager for den største kunden de har i Norge. Kvartalets skråblikk: Knivseggen mellom hemmelighold og åpenhet Hvorfor må informasjon rundt dataangrep holdes hemmelig? Vi i Nasjonal sikkerhetsmyndighet og NorCERT har fått høre at vi er blitt flinkere til å gå på knivseggen mellom hemmelighold og åpenhet, men vi skal fortsette å utfordre tradisjonelle tankesett. Vi ønsker Mike lykke til videre. I Norge har vi tre hemmelige tjenester: Etterretningstjenesten (E-tjenesten), Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM). Samtlige av disse kontrolleres av Stortingets kontrollutvalg for etterretnings-og sikkerhetstjenestene, det såkalte EOS-utvalget. Det er hevet over enhver tvil at det foregår betydelig spionasje på Internett, og at norske virksomheter utsettes for dette. Det er da også politikernes føring at EOS-tjenestene skal samarbeide på området, og dette gjør NorCERT til en aktiv bidragsyter. Et dilemma Dilemmaet med EOS-tjenestene er at de i sin natur må ha en betydelig grad av hemmelighold for ikke å fortelle angriper at han eller hun er oppdaget. Skulle eksempelvis en fremmed etterretningstjeneste, som stjeler norske teknologitegninger for å gi sin lokale industri fortrinn, vite at den er oppdaget, vil de naturligvis endre metodikk, noe som gjør at vi mister den fra radaren. daget saken fra en annen kant. Dette er et eksempel på at informasjonsteknologien utfordrer måten vi gjør ting på. Det er sunt, men krevende. Utfordrer tankesett Det er gledelig å se at andre går i samme retning. Flere og flere EOS-tjenester lager nå høyt graderte rapporter, men med såkalte tear-lines. Dette betyr at man får en rapport som er hemmeligstemplet, men med informasjon under tear-line-en som er ugradert, og som kan gis til eksempelvis dem som er rammet av spionasje. Vi i NorCERT merker selv, og har da også fått tilbakemelding på, at vi har blitt flinkere å gå på knivseggen mellom hemmelighold og åpenhet. Vi skal imidlertid fortsette å utfordre tradisjonelle tankesett, samtidig som vi skal verne norske samfunnsverdier. Åpenhet skaper bevisste brukere og ledere, noe som er helt essensielt for å oppdage og hindre nye angrep. Et ønske om åpenhet Det offentlige Norge ønsker samtidig mest mulig åpenhet, da dette er en essensiell pilar i vårt demokrati. Åpenhet skaper også bevisste brukere og ledere, noe som er helt essensielt for å oppdage og hindre nye angrep. Sunt, og krevende Et annet moment er at ting går så fryktelig fort i cyberspace. Saker som sikkerhetsgraderes fordi informasjon om saken kan skade Norge og norske interesser, blir ofte offentliggjort noen måneder etterpå. Ikke av norske myndigheter, men av sikkerhetsfirmaer og sikkerhetsforskere som har opp-

19 NSM-NorCERT Tvetenveien 22 N-0661 Oslo Telefon: E-post: Design: NSM Foto: NSM, Colorbox,