Nøkkeltall fra NorCERT

Transkript

1 Kvartalsrapport for 4. kvartal 2011 Digital spionasje Digital spionasje er en alvorlig trussel som norsk næringsliv må ta på alvor. Ofte kan dette være vanskelig å oppdage og mange har ikke erfaring med hvordan de skal håndtere hendelsen. Nettbanksvindel I november 2011 ble for første gang i Norge en person dømt for nettbanksvindel ved bruk av nettbanktrojanere. Vi har intervjuet DNBs IRT-leder Anders Hardangen. Nøkkeltall fra NorCERT NorCERT opplevde en kraftig økning i antall saker i fjerde kvartal NorCERT har håndtert femten alvorlige saker i fjerde kvartal, hvorav syv var nye for kvartalet. Vi skal også se nærmere på omfanget av saker med ulik prioritering. Innhold Sammendrag av kvartalet SIDE 3 Nøkkeltall fra NorCERT SIDE 4 Digital spionasje Side 8 Cyber Kill Chain Side 12 Duqu Side 16 Exploit-kits og infeksjonsbestillinger Side 18 Nettbanksvindel Side 20 NorCERT sikkerhetsforum Side 24 Kvartalets skråblikk Side 27

2 2 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nordisk samarbeid Enighet om nordisk solidaritet ved digitale angrep, etter utenriksministermøte mellom de nordiske landene. November i fjor var en milepæl i Norge, da det for første gang ble dømt en person for internettkriminalitet mot nettbanker. Samtidig er det et betydelig omfang av industrispionasje mot Norge. Internettkriminaliteten øker, og IT-sikkerhetsarbeidet burde prioriteres høyere har vært litt av et år. Da jeg tok over som leder av NorCERT i fjor høst, var tempoet allerede høyt, men antall hendelser og saker bare økte utover høsten. Det har vært en bratt start, men samtidig er det utrolig gøy og meningsfullt å jobbe med. Som leder ser jeg da også at vi i høst har tøyd vår yteevne til det maksimale. Forrige kvartalsrapport ble godt mottatt av mange, og vi forsøker å holde koken, forhåpentligvis med relevante og nyttige artikler. Mye har skjedd de siste tre månedene og vi forsøker å oppsummere noe av det i denne rapporten. Både NSM og NorCERT har jobbet hardt de siste månedene og ukene for å produsere NSMs årlige rapport om sikkerhetstilstanden. Denne kommer ut i løpet av første halvdel av 2012 og vil fortelle om hvordan helsetilstanden på sikkerhetsarbeidet i landet er. Den baserer seg på et bredt spekter kilder, herunder hele NSM virksomhet som tilsyn, inspeksjoner, kontroller, pentester etc. For NorCERT sin del, oppsummerer vi 2011 med følgende tre hovedtrender: Vi ser betydelig industrispionasje mot Norge, og er bekymret siden det er vanskelig å få oversikt over omfanget. Vi ser at IT-sikkerhetsarbeidet burde prioriteres høyere i virksomhetene. Vi ser at internettkriminalitet øker, og at det er krevende å gi dette nok prioritet. Disse trendene er underbygget av de sakene vi har sett og håndtert i November 2011 var også en milepæl i Norge, da det for første gang ble dømt en person for bruk av nettbanktrojanere til å svindle nettbankkunder i Norge. Fra et NorCERT-ståsted er det svært positivt å se at de som bedriver slik aktivitet stilles til ansvar gjennom rettsvesenet. Dette er et viktig signal. Når det gjelder internasjonalt arbeid er det viktig for NorCERT med informasjonsutveksling og relasjonsbygging mot internasjonale samarbeidspartnere, også i denne rapporteringsperioden. Den kanskje viktigste nyheten var at de nordiske utenriksministrene ble enige om å etablere et nordisk samarbeid om digital sikkerhet. Dette innebærer at de nordiske landene, i første omgang, vil etablere et sikkert kommunikasjonsnettverk mellom de nasjonale myndighetsorganene som varsler og analyserer digitale angrep. Høsten har også vært preget av et betydelig fokus fra media mot NorCERT og problemstillinger rundt cybersikkerhet. Våre svar til pressen er i mange tilfeller lite spesifikke. Dette skyldes at norske firma kan tape viktige konkurransemessige og finansielle fortrinn hvis vi går ut og forteller at de er rammet av dataangrep. Samtidig er det viktig å kommunisere hva som faktisk foregår slik at vi skaper bevissthet og fokus på IT-sikkerhet i samfunssviktige norske etater og bedrifter. Vi vil fortsatt ha høyt fokus på å finne den rette balansen her. NorCERTs primærfokus er å varsle om angrep, bidra til gjenoppretting og hindre nye angrep. Å avdekke hvilken informasjon som er stjålet eller hvilken aktør som står bak er ikke vår hovedoppgave. Jeg håper dere finner artiklene nyttige, og vi vil som alltid gjerne ha tilbakemeldinger på hvordan vi kan gjøre denne rapporten enda bedre og mer nyttig! Ved nordisk utenriksministermøte 2. november 2011 ble det enighet om å etablere et felles nordisk samarbeid om digital sikkerhet. Dette samarbeidet er en følge av den nordiske solidaritetserklæringen som ble vedtatt i april og som er et resultat fra Torvald Stoltenbergs rapport fra Dette vil blant annet innebære solidariet fra alle nordiske land knyttet til digitale angrep. Solidaritetserklæringen spesifiserer at de «Dette vil blant annet innebære solidariet fra alle nordiske land knyttet til digitale angrep» andre landene i slike tilfeller vil bistå med midler om de blir bedt om det. Samarbeidet om digital sikkerhet må utvikles i praksis, og som første skritt vil det i løpet av 2012 etableres et sikkert kommunikasjonsnettverk mellom de nasjonale myndighetsorganene for varsel og analyser av digitale angrep. Med vennlig hilsen, Eiliv Ofigsbø

3 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL Sammendrag av kvartalet Fjerde kvartal 2011 er det mest hektiske NorCERT har opplevd. November måned hadde da også rekord i antall saker. Hendelsene som er håndterte faller inn under hele spekteret av trusler på Internett. Målrettede angrep Førstesiden på Aftenposten 16. november 2011 kunne fortelle at NorCERT hadde avdekket dataspionasje mot flere norske selskaper, og at disse hendelsene kunne knyttes sammen. Etter å ha satt flere målrettede angrep i sammenheng så NorCERT stadig tydeligere likheter teknisk og metodisk, noe som gjorde at vi med høy sikkerhet kunne si at samme aktør stod bak. Medie oppmerksomheten ble større enn forventet, også langt utover Norges grenser, noe som førte til en strøm av henvendelser til oss. Fjerde kvartal omfattet også flere andre målrettede angrep mot norsk industri. Det mest komplekse innbefatter et teknologifirma som tilfeldig oppdaget noen «ukjente» brukere på sentrale systemer (Active Directory). Etter omfattende undersøkelser viste det seg at angriper har hatt et stort fotfeste i bedriftens nettverk i over et år. Skadeomfanget, da spesielt kunnskap om hva som eventuelt er stjålet, er ukjent grunnet mangelfull logging. I dette kvartalen har NorCERT også hjulpet et firma i håndtering av skadevare som ble kjent i rapport fra eksternt antivirusfirma (Symantecs Nitro-attacks rapport). Rapporten omhandler kompromitteringer hos en rekke bedrifter innen kjemisk industri. Nettaktivisme NorCERT ser at tyveri og offentliggjøring av data er en økende trend. Motivet til hackerne kan variere fra politisk aktivisme til «rampestreker». Konsekvensene kan imidlertid bli alvorlige i form av identitetstyveri og ytterligere informasjonstyveri. Sistnevnte er et problem da mange gjenbruker sine passord på flere ulike tjenester. Norske medier meldte 14. desember om at 5 norske ungdommer fra et norsk hackermiljø var arrestert etter å ha hacket sosiale medier og eposttjenester. I romjula ble det amerikanske firmaet STRATFOR hacket og kundedatabasen (med navn, adresse, e-postadresse, usaltet MD5 av passord, kredittkortnummer, utløpsdato og CVV-kode etc.) ble lagt ut offentlig. Firmaet leverer sikkerhetspolitiske analyser, og viste seg å ha mange kunder også i Norge, da spesielt innen norsk offentlig forvaltning. NorCERT vars- let tidlig de mest sentrale som var berørte, NorSIS varslet de resterende. Det norske nettstedet hemmelig.com opplevde også lignende kompromittering rett før jul hvor brukerdatabasen ble offentlig gjort. Kompromitteringen fikk grunnet nettstedets profil (erotikk) en del medieoppmerksomhet. NorCERT har ikke håndtert hendelsen mot hemmelig.com. Kriminalitet med finansielle motiv Norske banker har hatt en hektisk høst. Nettbanktrojaneren SpyEye brukes fortsatt i forsøk på å hacke seg inn på nettbankkontoer og stjele penger. Dette kvartalet har det imidlertid blitt skrevet norsk rettshistorie: For første gang er en mann dømt for dette. Det har også vært flere forsøk på å lure norske bankkunder gjennom falske websider via såkalt phishing. Kundene blir ledet til falske websider, som enten fører til at brukernes PC-er blir infisert, eller at kundene legger igjen brukernavn og passord som bakmennene får full kontroll over. Sakene har fått bred medieoppmerksomhet dette kvartalet. I høst har NorCERT også håndtert flere forsøk på å manipulere eller omdirigere trafikken fra flere norske websider, blant annet via siden til et kjent norsk klesmerke. Noen sider har også fått injisert ondsinnede javascripts. Slike drive-byangrep hvor brukeren blir infisert ved å surfe på tilsynelatende ufarlige websider. Dette er en vanlig måte å spre skadevare på, som i neste skritt gjør det mulig å nå norske brukere med eksempelvis nettbanktrojanere eller falsk antivirus programvare. Vi har sett flere tilfeller av hacking av IP-telefoniservere. Hensikten er ofte å viderekoble IP-telefonnumre til dyre premium-rate telefonnumre for økonomisk vinning. Det er viktig å huske at når man først har hacket en slik server, er det relativt enkelt å også drive overvåking av telefonsamtaler. Industriprosesskontrollsystemer NorCERT har hatt et noe større fokus på industriprosesskontrollsystemer (SCADA) denne perioden. Gjennom samarbeidspartnere har vi fått varsel om flere norske SCADA-systemer som står åpne tilgjengelige på Internett, gjerne bare sikret med standardpassord. Vi har varslet de respektive internettleverandører (ISPer) om dette, og de har igjen kontaktet sine kunder. I mange tilfeller har systemene vært mindre kritiske, eksempelvis melkemaskiner og værstasjoner, men NorCERT er kjent med at også kraftselskaper har vært berørt. Siden slike varsler går gjennom ISPer er det viktig at de etablerer dialog med sine kunder slik at kunden kan iverksette nødvendige tiltak for å få sikret systemene sine. Mange ISPer er svært dyktige på dette, mens andre ikke følger opp i samme grad. Denne problemstillingen vil NorCERT søke å bedre i Sårbarheter I begynnelsen av desember avdekket Lockheed Martin et målrettet angrep mot sine nettverk, og fant infeksjonsvektoren i en sårbarhet (zeroday) i Adobe Reader. Sårbar heten ble senere brukt mot et norsk firma i et målrettet angrep. En oppdatering (patch) ble publisert noen dager etter at det norske firmaet ble angrepet. Duqu, en skadevare oppdaget i Ungarn, avdekket gjenbruk av metodikk fra Stuxnet, og fikk mye oppmerksomhet i høst. Knyttet til denne saken ble det oppdaget en sårbarhet (zeroday) som klarer å kjøre kode på Windows kjernenivå. DNS-changer FBI og estiske myndigheter har gjennom «Operation Ghost Click» foretatt arrestasjoner for å ta ned et botnett med millioner av maskiner som er infisert med med trojaneren DNSChanger. I forbindelse med denne operasjonen har NorCERT mottatt rapporter om norske infeksjoner som har blitt varslet videre til de norske internettleverandørene slik at sluttbrukere kan bli gjort oppmerksom på problemet. Annet Viruset Xpaj har blitt håndtert i et par norske firmaer dette kvartalet. Dette er et virus som bygger botnets for click-fraud. Slike gamle teknikker er ofte ikke så mye omtalt lengre, men mange har fått dyrekjøpt erfaring rundt virusutbrudd som ofte tar ned IT-systemene og er svært kostbare å rydde opp i. Conficker-utbruddet i politi-norge i 2009 står som et godt eksempel på dette.

4 4 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nøkkeltall fra NorCERT NorCERT opplevde en kraftig økning i antall saker i fjerde kvartal Mye av økningen kom i kjølvannet av «Operation Ghost Click». I tillegg har NorCERT håndtert seksten alvorlige saker i fjerde kvartal, hvorar syv var nye for kvartalet. Vi skal også se nærmere på omfanget av saker med ulik prioritering, og spesielt på hvor mye arbeid som blir lagt ned per sak i de ulike kategoriene. Kraftig økning Vi begynner med den kraftige økningen i antall saker. NorCERT opplevde en økning på 24% i antall saker fra forrige kvartal, og en total økning på 22% i antall saksoppdateringer, se figur 3 og faktaboks. Mye av økningen skyldes opprydningsarbeidet i kjølvannet av «Operation Ghost «NorCERT opplevde en økning på 24% i antall saker i fjerde kvartal » Click», hvor FBI og flere andre organisasjoner rullet opp datakrimgruppen bak skadevaren og svindeloperasjonen «DNSChanger». Opprydningsarbeidet har gått ut på å informere norske internettilbydere om kunder som har vært kompromittert med «DNSChanger», og i fjerde kvartal formidlet NorCERT informasjon om rundt IP-adresser som trolig var kompromittert. En effekt av dette er blant annet at kategorien «varsel om kompromitterte systemer til internettilbyder eller hostingleverandør» har gått noe opp fra forrige kvartal, se tabell 1. Forrige gang NorCERT opplevde en lignende økning i antall saker i løpet av ett kvartal var ved utbruddet av Conficker i 2008 og Ser vi ett år tilbake, er økningen fra fjerde kvartal 2010 til fjerde kvartal 2011 på 44% for antall saker og 42% for antall saksoppdateringer. Behandlingstid For behandlingstid ser vi også effekten av økningen i antall saker som følge av «Operation Ghost Click». Figur 1: Behandlingstid for saker i fjerde kvartal. De fleste varsler fra NorCERT til norske internettilbydere har kort behandlingstid. De fleste varslene knyttet til «DNSChanger» er behandlet i løpet av én dag, og i fjerde kvartal ble 1565 saker behandlet i løpet av én dag, mot 1272 i tredje kvartal. Samtidig ser vi at flere saker har gått over to dager i forhold til tredje kvartal. Dette er en naturlig konsekvens av at vi har hatt flere varselsaker, da en viss andel alltid medfører litt mer oppfølging enn resten. For saker med lengre behandlingstid er det også en viss økning, men det store flertallet saker er fremdeles avsluttet innen én til to uker. Når det gjelder de alvorligste sakene stiller det seg annerledes. Der er det riktignok stor variasjon i hvor lang tid en sak tar, men i snitt viser det seg at de alvorligste sakene tar godt over to måneder å håndtere. Prioritet på nye saker I forrige kvartalsrapport presenterte vi tall for prioritet på nye saker. Da rapporterte vi fem nye saker med høy prioritet. Basert på ny informasjon har vi i ettertid omprioritert to saker, slik at vi nå opererer med syv nye «... i fjerde kvartal formidlet NorCERT informasjon om rundt IP-adresser som var kompromittert med DNSChanger...» saker med høy prioritet for tredje kvartal. Også i fjerde kvartal opprettet vi syv nye saker med prioritet fire, se figur 2. Tallene for saker med prioritet tre er relativt like for tredje og fjerde kvartal. Derimot er det vesentlig flere saker med prioritet én og to i fjerde kvartal, mye på grunn av «Operation Ghost Click». Tabell 1: Saker per hovedkategori: Sakskategori Saksantall Per dag Andel Varsel om kompromitterte kundemaskiner til ISP eller hostingleverandør ,0 83,1% Deling av informasjon med samarbeidspartnere, inkludert VDI-deltakere 186 2,0 9,9% Varsler til deltakere i VDI 83 0,9 4,4% Annet 49 0,5 2,6% Totalt antall saker ,5 100%

5 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL Prioritet på behandlede saker Dersom man ikke kun ser på nye saker for fjerde kvartal, men ser på alle saker som har vært håndtert i perioden, ser bildet litt annerledes ut. For de mindre alvorlige sakene er ikke den prosentmessige forskjellen på nye og behandlede saker stor, men for de alvorligste sakene stiller det seg annerledes. NorCERT behandlet syv nye saker med høy prioritet forrige kvartal, men i tillegg arbeidet vi videre med ni alvorlige saker fra tidligere kvartal, totalt seksten, se figur 3. Dette er en naturlig konsekvens av at den gjennomsnittlige behandlingstiden på de alvorligste sakene er over to måneder. Disse tallene gir også et mer riktig bilde av arbeidet knyttet til alvorlige saker enn bare å se på nye saker. Alvorlige saker En alvorlig sak er dessuten ofte opphav til flere nye saker. For eksempel medførte en alvorlig hendelse i fjerde kvartal hele tolv relaterte saker, med rundt 300 saksoppdateringer. I tillegg kom vesentlig ressursbruk på analyse og annen bistand. NorCERT har brukt flere månedsverk bare Figur 2: Prioritering nye saker i fjerde kvartal. Figur 3: Prioritering behandlede saker i fjerde kvartal. «... medførte en alvorlig hendelse i fjerde kvartal hele tolv relaterte saker...» på dette ene sakskomplekset i fjerde kvartal. Dette er en trend vi har sett over tid. NorCERT bruker stadig mer ressurser på å håndtere de alvorligste sakene. Selv om antall saksoppdateringer per alvorlige sak varierer veldig, har gjennomsnittet per sak mer enn doblet seg de siste årene, se figur 5. Dette gjelder også for den analysejobben som gjøres i forbindelse med hver alvorlige sak. Vi ser også at det gjennomsnittlige antall saksoppdateringer for mellomprioriterte saker øker, mens vi klarer å holde arbeidsmengden per lavt prioriterte sak på et minimum. Nøkkeltall I hver kvartalsrapport vil NorCERT presentere statistikk basert på egne data eller på analyse av andres. Formålet er å formidle kunnskap om NorCERTs arbeid og om det generelle IKT-risikobildet. På sikt er det mulig artikkelserien vil stabilisere seg rundt utvalgte målepunkter, men i starten kommer vi til å eksperimentere en del både med format og innhold. Saksbehandling NorCERT behandler alle saker mot eksterne parter i vårt interne saksbehandlingssystem. Når vi rapporterer på antall saker vi håndterer, prøver vi samtidig å illustrere omfanget av de ulike sakene ved å rapportere antall oppdateringer vi har per sak. En oppdatering er enten innkommende eller utgående kommunikasjon, eller interne notater i saken. Vi rapporterer dessuten kun på operative saker tilknyttet operasjonssenteret vårt. De fleste saker vil derfor være knyttet til hendelser NorCERT er involvert i å håndtere. Antall saker og saksoppdateringer gir er relativt godt bilde av antall hendelser vi håndterer, men håndtering av hendelser mot eksterne parter er i utgangspunktet kun én av mange oppgaver NorCERT er satt til å løse. Abuse-håndtering Ordet «abuse» brukes av internettilbydere og sikkerhetsfolk for å beskrive misbruk av digitale tjenester, som for eksempel å sende ut spam eller angripe nettverk. I dag har de fleste internettilbydere en såkalt «abuse-avdeling» som håndterer denne typen saker opp mot kunder, og det er til disse menneskene eller avdelingene NorCERT sender sine varsel om virus og svindel og annen uønsket aktivitet. Tabell 2:Saker og saksoppdateringer i fjerde kvartal fordelt på prioritet Prioritet Saker Oppdateringer Lav 1741 (+25%) 4779 (+22%) Normal 134 (+2%) 1011 (+14%) Høy 7 (0%) 366 (+57%) Totalt 1882 (+24%) 6126 (+22%)

6 6 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Conficker «Conficker» er navnet på et virus som begynte å spre seg i 2008, og som spesielt slo kraftig ut i Da var flere norske virksomheter slått ut på grunn av massive utbrudd på sine intranett. Viruset har fortsatt å spre seg siden den gang, men ikke på langt nær så ukontrollert som i Figur 4: Antall saker og saksoppdateringer i vårt saksbehandlingssystem per kvartal. Utvikling Ser vi på utviklingen over tid går det klart frem at den typen saker som øker mest i omfang, er saker vi kategoriserer som lavt prioritert. Siden 2008 har den nesten femdoblet seg, se figut 6. Nedgangen i normalt prioriterte saker ser stor ut i overgangen fra 2009 til 2010, men den reelle veksten i antall lavt prioriterte saker i samme periode er faktisk større. I 2008 og 2009 endret vi kriteriene for hvilke saker vi anser for å ha normal prioritet. Dette medførte en tid et fall i den type saker. Etter omleggingen har kategorien likevel fortsatt å vokse, og omtrent doblet seg siden første kvartal «NorCERT bruker stadig mer ressurser på å håndtere alvorlige saker» DNSChanger «DNSChanger» er navnet på en familie av skadevare som har blitt brukt til svindel knyttet til annonsering på internett siden I følge FBI har den vært installert på rundt fire millioner datamaskiner i over hundre land, og gjengen bak botnettet har tjent minst fjorten millioner dollar på svindelen, noe som med dagens dollarkurs er over 80 millioner kroner. «DNSChanger» installerer seg på systemet på en måte som gjør den svært vanskelig å fjerne. Den har deretter endret innstillingene for oppslag av domenenavn på internett (DNS), som har blitt endret til å peke til servere styrt av gjengen bak «DNSChanger». Dette har gjort det mulig for gjengen å styre hvilke sider på internett kompromitterte maskiner har kontaktet, noe de har brukt til å gjennomføre annonsesvindelen. I tillegg har de hatt muligheten til å kapitalisere ytterligere på det enorme botnettet sitt ved å installere annen skadevare på de kompromitterte maskinene. Figur 5: Antall oppdateringer per sak per prioritet 4. kvartal 2011 (Merk: Logaritmisk y-akse.) Operation Ghost Click «Operation Ghost Click» er navnet på en internasjonalt koordinert aksjon, ledet av FBI, for å rulle opp den kriminelle gjengen bak datakrimnettverket «DNSChanger». Det foreløpige resultatet av operasjonen er at seks personer fra Estland er arrestert, og at servere kontrollert av dem er overtatt av FBI og Internet System Consortium (ISC). Dette har gjort ISC i stand til å identifisere kompromitterte klienter over hele verden, og det pågår nå en massiv innsats for å informere eierne av rundt fire millioner kompromitterte klienter. Navneserverne til «DNSChanger» vil bli skrudd av 8. mars. Kompromitterte brukere som ikke har fått fjernet viruset innen den tid vil ikke lenger få gjort domeneoppslag, og vil oppleve at de ikke får brukt internett. NorCERT videreformidlet informasjon om rundt IP-adresser til norske internettilbydere i november

7 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL Andelen høyt prioriterte saker varierer en del, men har i snitt økt. Samtidig har arbeidsmengden for hver alvorlige sak økt klart, se figur 5. Totalt sett vokser fremdeles saksmengden NorCERT håndterer jevnt over tid, se figur 4. «Totalt sett vokser fremdeles saksmengden NorCERT håndterer jevnt over tid» Det er flere grunner til at antall saker øker. Én viktig grunn er at VDI-samarbeidet stadig utvider seg, slik at NorCERT får flere deltakere i det nasjonale sensornettverket. I tillegg implementerer vi over tid også ny sensorteknologi, som gradvis blir rullet ut. Vi opplever samtidig at et stadig økende fokus internasjonalt på å bekjempe datakrim og ta ned store botnet, medfører at vi blir mer involvert i å varsle ISPer og brukere av kompromittert utstyr. Dette er en viktig jobb for å bekjempe misbruk, svindel og angrep på nettet. I tillegg til dette knytter vi dessuten stadig nye kontakter i det nasjonale og internasjonale sikkerhetsmiljøet, noe som bidrar til et økt informasjonstilfang som i mange tilfeller medfører at vi oppretter nye saker. Denne utviklingen tror vi fortsetter, og den gjør NorCERT i stand til å oppdage og starte håndteringen av stadig flere alvorlige hendelser hos samfunnsviktige og -kritiske virksomheter. «Denne utviklingen tror vi fortsetter, og den gjør NorCERT i stand til å oppdage og starte håndteringen av stadig flere alvorlige hendelser hos samfunnsviktige og -kritiske virksomheter» Prioritering NorCERT prioriterer saker på en skala fra én til fem, hvor fem er høyest. Denne prioriteringen avgjør hvor mye arbeid vi legger i sakene, og hvor raskt vi følger dem opp. I visse sammenhenger deler vi skalaen inn i tre, fra lav til høy. Da er prioritet én og to «lav», tre er «normal» og fire og fem er «høy». I tillegg til dette har vi en generell prioritet på hovedområder innenfor vårt virksomhetsområde, som sier hvilke typer saker vi overhode skal følge opp. Hendelser eller informasjon som faller utenfor prioriterte områder legges ofte bort uten at det blir opprettet en formell sak av det. Operativ håndtering NorCERT prioriterer å håndterer saker innen to hovedområder. Det første er det vi forstår som typisk CERT-arbeid, nemlig å sørge for varsling og i noen grad oppfølging av «abuse»-relaterte saker. Dette dreier seg typisk om å varsle internettilbydere om virusinfeksjoner, og om sider som sprer virus eller medvirker til svindel. Disse sakene står for størsteparten av volumet, og er som oftest lavt prioriterte. De følges også i liten grad opp når varsel er sendt. Grunnen til at vi velger å bruke ressurser på dette arbeidsområdet er at det er viktig for å holde den norske delen av internett så trygt som mulig, altså så fri for virus og svindel som mulig. Arbeidet er en dugnad med ISPen. Selv om hver enkelt sak er svært lavt prioritert, gjør det samlede volumet av slike saker det viktig å følge opp selve området. Uten denne dugnaden ville langt flere norske maskiner og brukere blitt og forblitt kompromittert, og dette hadde skapt store sikkerhetsutfordringer. Det andre hovedområde er oppfølging av alvorlige hendelser hos kritiske og samfunnsviktige virksomheter, herunder deltakere i VDI-samarbeidet. De største og mest alvorligste sakene i denne hovedkategorien dreier seg ofte om en eller annen form for digital spionasje. Det er dette området som legger beslag på mest ressurser hos NorCERT. Figur 6: Antall saker per prioritet. (Merk: Logaritmisk y-akse.)

8 8 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Digital spionasje Digital spionasje er en alvorlig trussel som norsk næringsliv må ta på alvor. Ofte kan dette være vanskelig å oppdage og mange har ikke erfaring med hvordan de skal håndtere hendelsen. NorCERT bistår mange av de virksomhetene som blir rammet med kartlegging av omfanget av hendelsen, ved analyse av kompromitterte maskiner og analyse av skadevaren som blir benyttet. I denne artikkelen ønsker vi å sette fokus på dataspionasje. Dataspionasje Målrettede operasjoner, målrettede trojanere, «Advanced Persistent Threat (APT)», «targeted attacks», informasjoninnhentingsoperasjoner, er alle navn for det samme: dataspionasje, utført mot det offentlige eller det private næringsliv for å stjele informasjon. Media nevner stadig saker relatert til «zero-day»-sårbarheter (sårbarheter det ikke finnes sikkerhetsoppdateringer til). Disse blir utnyttet sammen med trojanere og skadevare til industrispionasje og stjeling av sensitiv informasjon. NSM ga i 2008 ut en egen rapport om målrettede trojanere. Rapporten finnes tilgjengelig på NSM sine hjemmesider. «Dataspionasje er en alvorlig trussel som norsk næringsliv må ta på alvor» Angrepsmål Hvem er målet for dataspionasje? Store selskap som Google, Adobe, og RSA er noen av de som har innrømmet at de har vært offer for dette, men vi ser at også norske virksomheter rammes av det samme. Personer som er spesielt utsatt er toppledere eller nøkkelpersoner i bedriftene. NSM gikk ut til media i november og fortalte om 10 alvorlige tilfeller av dataspionasje mot norske bedrifter. I NSMs årsmelding for 2010 ble også flere av sakene som NorCERT har håndtert nevnt. På grunn av omstendigheten rundt hendelsene og de berørte partene, er sakene ofte svært sensitive. Detaljer rundt hvem som er målet og på hvilken måte operasjonene er utført, ønsker vi derfor ikke å gå ut med. Hvorfor angår dataspionasje deg og din virksomhet? Hovedmotivet for dataspionasje er på lik linje med annen spionasje, å innhente verdifull og ofte sensitiv informasjon. Det kan for eksempel være ønske om å hente informasjon om budsjett og økonomiske forhold som kan ha innvirkninger for børsnoteringer. Det kan også være innhenting av fortrolige personopplysninger, kartlegging av nøkkelpersoner, kundedatabasen eller finne virksomhetskritiske installasjoner. Konsekvensene av dataspionasje kan derfor være store for bedrifter. Hvis en bedrift er i kontraktsforhandlinger, kan lekket informasjon potensielt føre til tapte kontrakter eller mindre inntjening. Andre mål for en trusselaktør kan være å få kjennskap til informasjon omkring produktutvikling og patenter. Dette kan gjøre at bedriften mister konkurransefortrinn. En «Hovedmotivet for dataspionasje er, på lik linje med annen spionasje, å innhente verdifull og ofte sensitiv informasjon» ytterste konsekvens av datainnbrudd og spionasje kan være store økonomiske tap eller konkurs. Sertifikatutstederen Digi- Notar, som nevnt i forrige kvartalsrapport, er et eksempel på dette. DigiNotar gikk konkurs etter at de hadde datainnbrudd med påfølgende utstedelse av falske sertifikater. Etter at saken ble kjent, forsvant tilliten til deres kjerneprodukt og de mistet rettet til å utstede sertifikater. Dermed forsvant også kundene og DigiNotars livsgrunnlag. Metode Hvordan blir bedrifter og det offentlige utsatt for spionasjeangrep? En trend de siste årene er at sårbarheter i klientapplikasjoner eller sosial manipulering av sluttbrukere, er inngangsporten for kompromittering av datasystemer. Det er ikke nødvendigvis slik at de angrepene som benyttes trenger å være veldig sofistikerte. Ofte vil trusselaktøren kun benytte de metodene som er høyst nødvendige for å få tilgang. I mange av angrepstilfellene benyttes sosial manipulering for å få e-postmottakere til å åpne et vedlegg eller følge en lenke som er inkludert i e-posten. E-postene som sendes vil ofte være skreddersydd for mottakerne. Temaet eller avsender er ofte relevant for mottakeren, slik at sjansen for at vedlegg «Det er ikke nødvendigvis slik at de angrepene som benyttes trenger å være veldig sofistikerte» blir åpnet er større. Se illustrasjon 1 for et eksempel på hvordan en slik e-post kan se ut. I noen tilfeller er det sårbarheter i håndtering av dokumentformater utnyttes for å få tilgang, men like ofte kan det være kjørbare skadevarefiler forkledd som dokumenter. Skadevarefiler sørger som regel for å opprette et dokument på systemet, som så blir åpnet, slik at brukeren ikke skal bli mistenksom. Samtidig som dette skjer, vil en trojaner installeres på systemet. Vedleggene med skadevaren er ofte nøye sjekket på forhånd, slik at de ikke skal detekteres av antivirusløsninger. Skadevaren vil dneeretter gi angriperen full kontroll over systemet og kan for eksempel brukes til å hente ut dokumenter og annen informasjon som finnes på systemet. Har angriperen først fått kompromittert én maskin i en bedrift, så har de én fot innenfor. Det vil ofte være lettere å angripe andre maskiner i bedriften fra denne og dermed få et større fotfeste, som vil kunne gjøre det vanskeligere å fjerne inntrengeren. Deteksjon Målrettet dataspionasje kan være vanskelig å oppdage. Hvis trusselaktøren som står

9 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL NorCERTs rolle NorCERT er i en unik posisjon når det gjelder å detektere og håndtere hendelser relatert til dataspionasje Med VDI (Varslingssystem for Digital Infrastruktur) har NorCERT et sensornettverk som omfatter både det private næringsliv og offentlige myndigheter NorCERT samarbeider innenlands og utenlands med rekke ulike aktører innenfor IKT-sikkerhet Informasjonsutveksling nasjonalt og internasjonalt er essensielt for å kunne oppdage nye hendelser NorCERT har ikke fokus på hvilke aktører som står bak hendelsene, men bistår de to øvrige EOS-tjenestene i Norge med kompetanse og kartlegging Illustrasjon 1: Eksempel på spear-phishing. bak har ressurser og kunnskap, vil de kunne utføre angrep som omgår vanlige innbruddsdeteksjonssystemer (IDS) og antivirus programvare. Enkelte angrep blir derfor oppdaget enten ved oppmerksomme sluttbrukere, som reagerer på at noe er galt, eller ved tilfeldigheter. NorCERT har sett mange tilfeller der angrep først har blitt oppdaget flere «Hvis trusselaktøren som står bak har ressurser og kunnskap, vil de kunne utføre angrep som omgår vanlige innbruddsdeteksjonssystemer (IDS) og antivirusprogramvare» måneder eller år etter at datainnbruddet fant sted. Kanskje har antivirusprogramvare ikke deteksjon av skadevaren som benyttes før lenge etter hendelsen oppstod eller så har hendelsen på andre måter blitt oppdaget ved nærmere analyse i ettertid. Skadevare eller trojanere i spionasjeangrep vil ofte «snakke hjem» ved å regelmessig utføre oppslag mot et konfigurert eller hardkodet domene eller IPadresse. Analyse av nettverkstrafikk er derfor viktig for å oppdage hendelser, men det kan være vanskelig å finne noe mistenkelig hvis man ikke allerede er kjent med de domenene eller IP-adressene som benyttes. Har man informasjon om dette kan man for eksempel søke i Netflow-data eller i proxylogger for å finne kompromitterte maskiner. Det er også mulig å lage IDS-regler for å detektere mistenkelige trafikk basert på spesielle kjennetegn i nettverkstrafikken fra skadevaren. Denne informasjonen kan man få fra analyse av skadevaren eller fra samarbeidspartnere som har håndtert liknende hendelser. Anbefalinger En fullstendig beskyttelse mot dataspionasje kan virke umulig. Det er kanskje på tide å erkjenne at trusselen er reell og vanskelig å unnslippe. Man må i større grad innse at man alltid er sårbar og at man også må fokusere på å håndtere og begrense skadene når hendelsene oppstår. Det betyr ikke at man må glemme å sikre systemene, men man må ikke gå ut i fra at antivirusprogramvare, brannmurregler, oppdatert programvare og andre tiltak er godt nok. Det er derfor viktig at man har systemer og rutiner på plass når hendelsen først inntreffer. Det er også viktig å tenke på sikkerheten for gjestebrukere, innleide konsulenter, samarbeidspartnere og datterselskap med tilgang til bedriftens datasystemer og nettverk. Ingen er i slike tilfeller tjent med ansvarsfraskrivelse! Tiltak Brukeropplæring: Be de varsle ved noe mistenkelig Vær varsom med åpning av vedlegg eller lenker i e-post Sikkerhetsherding av datamaskiner Ikke tillate annet enn forhåndsgodkjente applikasjoner Begrens tilgangrettighetene til sluttbrukerne Ha oppdatert oppdatert programvare og antivirus Dedikert CSIRT sikkerhetsteam for håndtering av hendelser Fokus på sikkerhet må være forankret i ledelsen

10 10 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Hendelseshåndtering Hva gjør man når hendelsen inntreffer? Mange virksomheter har ikke gode nok rutiner eller erfaring med håndtering av IT-sikkerhetshendelser. NorCERT har en rekke partnere og medlemmer fra det offentlige og det private næringsliv som utgjør en samfunnskritisk funksjon. Avhengig av alvorlighet vil disse samarbeidspartnerne ofte bli prioritert når det er oppstår mange hendelser samtidig. NorCERT mottar gjerne informasjon og bistår om mulig øvrige organisasjoner og bedrifter også, men det primære fokusområdet er de med samfunnskritisk funksjon. NorCERT har dessverre ikke anledning til å håndtere alle hendelsene vi mottar informasjon om. Det er viktig med innsamling av mest mulig info om hendelsen, slik at man kan best mulig kartlegge hendelsesforløpet, finne kompromitterte maskiner og prøve å begrense skadeomfanget. Til slutt må man gjenopprette tilstanden og innføre tiltak for å prøve å motvirke at liknende hendelser inntreffer igjen. Spesielt viktig er det å gå igjennom det man har av logger, som for eksempel logger fra IDS og IPS, brannmurlogger, proxylogger, mail-logger, DHCP-logger eller antiviruslogger. Logging av «passiv DNS» eller andre DNS-logger er også nyttige for å finne ut hvilke domeneoppslag som er gjort og finne ut hvilke IP-adresser domenene har på forskjellige tidspunkt. Spesielt er det nyttig hvis all logging skjer sentralt, for å gjøre søking enklere. Man må også vurdere hvor lenge man skal ha logger tilgjengelig. NorCERT har erfart at enkelte kompromitteringer har vart i ett til to år før de har blitt oppdaget. I denne kvartalsrapporten har vi en egen artikkel som omhandler logging. Analyse av nettverkstrafikk er også en viktig del av hendelseshåndteringen. Omtrent all skadevare som brukes i dataspionasje rapporterer tilbake til trusselaktøren. Ofte vil det være slik at trusselaktøren ønsker å kontrollere de kompromitterte maskinene, for eksempel for å be de hente ned ny skadevare, innhente informasjon om den kompromitterte maskinen, eller hente ut den informasjonen og de data som trusselaktøren er interessert i hos bedriften. Denne kommunikasjon fra skadevaren eller for hjemsendelse av data vil skje over Internett og derfor er analyse av nettverkstrafikk essensielt for å avdekke hva som har skjedd og hvordan data har blitt hentet ut. Det vil kun være mulig å finne ut hvilke data som har blitt tapt, hvis man har full pakkedump av innholdet i nettverkstrafikken. Kombinert med analyse av nettverkstrafikk er det viktig med analyse av skadevarene som benyttes. Denne analysen vil kunne si noe om hva som sendes over nettverket og hvor det sendes. Dette er essensielt for å finne ut hvordan data tappes og hvordan angriperen kontrollerer de kompromitterte maskinene. Analysen vil avdekke hvilke IP-adresser, domener og nettverksprotokoller som benyttes i kommunikasjonen. Dette vil igjen benyttes i nettverksanalyse og til søk i logger for å finne andre kompromitterte maskiner og hvor lenge det har pågått. Denne informasjonen kan også benyttes til å lage IDSregler for å avdekke nye kompromittering. Analyse av skadevare er altså viktig for å finne ut dens funksjonalitet, kapasitet, kommando- og kontrollkanal, samt finne ut hva slags type skadevare det er og kanskje få indikasjoner på hva trusselaktøren er ute etter på systemet. I tillegg til analyse av nettverkstrafikk og skadevare er det vel så viktig å analysere harddisken og minnet til de kompromitterte maskinene. Analyse av disk og minne er ofte den eneste måten å finne ut hva som har skjedd ved en hendelse. På disk kan man avdekke hvor lenge et system har vært kompromittert, hvilke filer som har blitt opprettet og kanskje ha mulighet til å finne ut hva infeksjonsvektoren er, det vil si hvordan trusselaktøren opprinnelig fikk tilgang til maskinen. Analyse av minnet i maskinen vil kunne hjelpe til for å finne skadevare, da denne som regel vil kjøre på systemet. I minnet er det også informasjon som kun eksisterer når systemet kjører, og dette vil gå tapt når maskinen slås av. Når man finner kompromitterte maskiner, bør man derfor vurdere å ta en dump av minnet før maskinen slås av og sikres. Dessverre så er det slik for mange bedrifter at når de er klar over at de er kompromittert og at maskiner er infisert med skadevare, så ønsker de raskest mulig å gjenopprette situasjonen ved å re-installere maskinen. NorCERT anbefaler å vente med dette til hendelsen har blitt håndtert. Hvis man re-installerer maskinen vil man fjerne «bevis» og alle spor fra kompromitteringen. Hvorfor bør man ikke bare re-installere kompromitterte maskiner? Det er vanskelig å finne ut hvordan angriper kom inn i systemet, og derfor utfordrende både å rydde opp samt sikre mot fremtidige angrep. Man vil ikke få vite hva angriper har gjort på systemet, hvor lenge han har vært der, og kan ikke vurdere skadeomfanget. Det vanskeliggjør muligheten for å finne skadevaren som ble benyttet. Dette er viktig da angrepet også kan omfatte andre maskiner i nettverket. Man vil ikke finne brukerne av maskinen. Deres passord, e-post, eksterne lagringsenheter etc kan være kompromittert. Det kan være vanskelig å forstå trusselaktørens metodikk. Foto: illustrasjonsfoto. Colourbox

11 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL Offentliggjøring av spionasjesaker I november 2011 valgte Nasjonal sikkerhetsmyndighet å gå ut til media for å fortelle om flere alvorlige datainnbrudd. Det var funnet likhetstrekk i hvordan mange av angrepene utføres, hvordan skadevarene er programmert og hvordan de kompromitterte maskinene blir kontrollert av angriper. Likhetstrekkene tyder på at det trolig er samme aktør som har utført en rekke datainnbrudd og spionasje mot store norske bedrifter og konsern. Publisering eller hemmelighold? For NSM var det en viktig problemstilling å vurdere om man skulle publisere informasjon, eller fortsatt ha hemmelighold. Norske bedrifter kan tape konkurransemessige og finansielle fortrinn hvis det blir kjent at de har hatt datainnbrudd. Hvis man avslører hvordan angrepene foregår i detalj, vil de som står bak også kunne endre sin angrepsmåte for å hindre å bli oppdaget neste gang. Spørsmålet NSM stilte seg er hva som har størst samfunnseffekt. NSM har som visjon å sikre samfunnsverdier og valgte derfor publisering som det mest riktige. Det viktigste var å få fokus på at spionasje mot norske bedrifter er et alvorlig problem. Publisering er viktig for å nå ut til toppledere, men også de øvrige ansatte. Topplederne er de som må prioritere sikkerhet i en stram ressurssituasjon. De ansatte må, sammen med ledelsen, være bevisste på hva de står ovenfor og hva risikoen er for deres bedrift. Spesielt gjelder dette rundt målrettede angrep via e-post, hvor sluttbrukernes oppmerksomhet er viktig for å oppdage slike angrep. Publiseringen førte til en storm med henvendelser fra offentlige og private virksomheter som ønsket mer informasjon. Dette gjorde at NorCERT også kom i dialog med virksomheter som vi tidligere ikke har vært i direkte kontakt med. Det var blant annet virksomheter, med hovedkontor og IT-sikkerhetsorganisasjon i utlandet. Enkelte av disse virksomhetene fikk noe mer informasjon enn det som ble publisert i media. Foto:Illustrasjonsfoto, faksimile fra Aftenposten 15. november 2011.

12 12 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Cyber Kill Chain Den 15. desember holdt NorCERT et forum for NorCERT-medlemmer og samarbeidspartnere. Her var det en rekke interessante foredrag som ble holdt, noen av foredragsholderne kom helt fra USA. Et tema som på grunn av tidsmangel ikke fikk en stor nok plass i programmet var «Cyber Kill Chain». Dette var et interessant tema som Nor- CERT i etterkant fikk diskutert nærmere med foredragsholderen. Rekognisering «Cyber Kill Chain» er en modell som Lockheed Martin s CIRT har adoptert fra tradisjonelt forsvar og tilpasset cyberdomenet. Modellen identifiserer syv steg som en angriper må gå igjennom for å lykkes med et angrep. Modellen er utviklet med tanke på avanserte angrep som gjerne betegnes som APT. I lys av NSM/NorCERTs offentliggjøring av informasjon om pågående dataspionasje kan det være flere som bør være interessert i dette. Navnet «Cyber Kill Chain» kommer av at det er en kjede med faser som angriper må fullføre for å lykkes. Dersom man bryter kjeden vil ikke angrepet være vellykket i denne omgang. Ved å bruke denne modellen, kan man raskt identifisere hvor langt angrepet har kommet og dermed styre hendelseshåndteringen etter dette. Sett at man avverger et angrep fordi man har en observant arbeidstaker som reagerer på en mistenkelig e-post. Da kan man gjerne tenke at «Da var det angrepet av verget. Det var veldig bra!». Angriperen vil høyst antagelig prøve igjen med en «Et av spørsmålene [...] er hvorvidt denne typen alvorlige hendelser også kan ramme norske bedrifter og internettbrukere» mindre mistenkelig e-post. Cyber Kill Chain beskriver hvordan man bør følge opp og lære av angrep, for å unngå at sofistikerte angrep går uoppdaget under radaren. For å kunne lære av observerte hendelser bør man simulere resten av kjeden for å sikre at man kan oppdage disse fasene ved neste angrep. På samme måte bør man spore angrepet bakover for å kunne se om man kunne avdekket/ av verget angrepet i en tidligere fase. Dette faller gjerne inn i den siste (og gjerne for- sømte) oppgaven i hendelseshåndtering. Modellen beskriver de forskjellige angrepsfasene som i de fleste tilfeller benyttes ved avanserte angrep: Fase 1 Rekognosering I denne fasen vil angriperen utføre rekognosering etter informasjon som kan benyttes i angrepet. Angriper vil forsøke å finne informasjon om teknologi, nøkkelpersoner og infrastruktur. Å beskytte seg helt mot dette kan man ikke, men man kan forsøke å gjøre det vanskeligere for angriperen. Man kan for eksempel vurdere å ikke publisere de ansattes e-post-adresser på bedriftens nettsider. I tillegg vil det være nyttig å fjerne metadata fra publiserte dokumenter slik at angriper ikke lett kan hamstre brukernavn, adresser til interne servere etc. Det man kan gjøre er å sørge for at man har sentralisert logging som kan hjelpe til å spore tilbake til hva en angriper har vært ute etter i denne fasen. Denne informasjonen kan man så bruke til å vurdere nye sikringstiltak. Fase 2 Bevæpning Dette er fasen hvor angriperen gjerne setter sammen en trojaner med angrepskode. Trenden de siste årene har vært at sårbare versjoner av klientprogrammer fra Adobe og Microsoft utnyttes. Siden denne fasen hovedsaklig utføres utenfor din perimeter er det ikke mye man kan gjøre for å påvirke denne fasen. Det betyr ikke at fasen bør glemmes, man kan nemlig bruke det til å karakterisere angriperens verktøy. Fase 3 Levering Leveringen av «våpenet» er selvfølgelig en viktig del, selv om det ikke nødvendigvis er avanserte metoder som benyttes. Den vanligste metoden er e-poster med informasjon som er hentet fra rekognoseringsfasen. For å kunne oppdage nye angrep i denne fasen bør man se etter IP-adresser knyttet til tidligere angrep. Man kan også bruke andre kjennetegn som e-post adresser, tekststrenger, URLer og lignende. Et annet naturlig tiltak vil være antivirus-skanning av Bevæpning Levering Utnyttelse Installering Kommando og kontroll Handlinger

13 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL vedlegg og URLer. Eventuelle trojaniserte vedlegg bør brukes for å simulere videre angrep, dette innebærer dermed å ta vare på de ondsinnede vedleggene slik at man kan for eksempel finne ut hvilke domener eller IP-adresser trojaneren kontakter. Hvis man da har god logging på plass kan man i flere tilfeller oppdage ukjente infeksjoner på maskiner som har samme trafikkmønster som trojaneren. Fase 4 Utnyttelse I denne fasen trigges sårbarheten som får angriperens kode fra fase to til å kjøre. Det kan være sårbarheter i programvare, men det svakeste leddet kan vel så gjerne være en person. Om man identifiserer at angripere stadig forsøker å utnytte sårbare versjoner av Adobe-progammer, bør man vurdere om man er god nok til å holde Adobe oppdatert. Er det derimot sosial manipulering som benyttes, kan brukeropplæring for å øke sikkerhetsbevisstheten være viktigere. Fase 5 Installering Etter vellykket utnyttelse av en sårbarhet så er neste fase å sikre tilgang til systemet. Derfor installerer trojaneren fra fase 2 seg slik at den starter sammen med systemet. For å holde seg skjult på systemet kan rootkit-funksjonalitet benyttes. Her kan man gjøre en del for å herde systemene. Det mest vanlige verktøyet for å beskytte seg mot denne fasen er antivirus-programmer. Man kan også sette begrensninger på hvilke programfiler som kan startes (whitelisting). NSM har gitt ut en veiledning for sikring av Windows 7 -«Grunnleggende tiltak for sikring av Windows 7» Fase 6 Kommando- og kontrollserver For å kunne kommunisere med og motta kommandoer fra angriperen vil trojaneren vanligvis ta kontakt med et domene eller en IP-adresse. Om man ikke vet hva man skal se etter vil det være umulig å skille denne trafikken fra den legitime trafikken. Første steg for å kunne oppdage denne trafikken er å logge nettverkstrafikk. Dette kan være så enkelt som proxy-logger, netflow eller komplett pakkedata. Denne informasjonen kan være uvurderlig når man skal nøste opp i hendelse, men om man ikke vet hva man skal se etter kan det være som å lete etter en «nål i høystakken». For å oppdage angrep i denne fasen kan man benytte seg av erfaringer fra andres angrep og kontrollere nettverkstrafikken med IPS/IDS. I NorCERT benyttes VDI-nettverket for å kunne oppdage angrep på tvers av sektorer i samfunnskritisk nasjonal infrastruktur. I forrige kvartalsrapport skrev vi om betydningen av å logge DNS oppslag med passiv DNS. Fase 7 Handlinger mot målet Dette er den siste fasen hvor angriperen fullfører angrepet. Om angriperen ikke får fullført sine mål er hele angrepet mislykket. For å hindre angriperen å lykkes i denne fasen bør man gjøre en verdivurdering av informasjonen i organisasjonen og gjøre ekstra tiltak for å beskytte informasjon av høy verdi. Om man oppdager angrepet i tide kan man infisere en maskin under kontrollerte forhold for å avdekke hva angriperen er ute etter. Hvis man først oppdager angrepet i ettertid kan man benytte logger fra systemet for å avdekke hva angriperen har aksessert. På den måten kan man vite hva man har mistet slik at man kan utføre analyser for å beregne eventuelle tap. Korrelering av angrep Modellen er nyttig for å kunne korrelere angrep. Om man ser samme Adobe-sårbarhet benyttes i to angrep så betyr ikke det at de nødvendigvis har samme opphav. Kan man i tillegg også se at kommando-ogkontroll-infrastrukturen har likheter kan det gi sterkere indikasjoner på at angrepene er korrelerte. Kill-Chain-modellen er utviklet for å bedre kunne håndtere og detektere sikkerhetstruende IKT-hendelser, og dataspionasje spesielt. For de fleste av fasene en trusselaktør må gå gjennom for å oppnå sitt mål, vil det finnes mulige mottiltak som vil gjøre forsvar mot slike angrep mer robust. Som alle modeller vil også denne ha noen svakheter. Hvis en angriper fullstendig forandrer måten å operere på vil man måtte bygge opp mye av kunnskapen på nytt. Det vil uansett være nyttig å være bevisst disse angrepsfasene og eventuelle mottiltak slik at man kan gjøre en vurdering av hvilke tiltak som gir høyest sikkerhetsmessig avkastning for sin organisasjon. Lockheed Martin Lockheed Martin er et amerikansk selskap som er en en stor aktør innen forsvarsindustrien, samt luft- og romfartsindustri. Selskapet er for eksempel det største innen statlige kontrakter i USA med 38 milliarder dollar (2009). Selskapet vil også levere de nye norske jagerflyene F-35 Lightning II. Lockheed Martin var også trolig et av hovedmålene for de som stod bak kompromitteringen av RSA. APT «Advanced Persistent Threat». Beskriver en bestemt type trusselaktør, og kan direkte oversettes til «avansert, vedvarende trussel». Når man omtaler en trussel som «APT», menes gjerne statlig eller statssponset spionasje eller industrispionasje. Aktøren kjennetegnes ved at den gjør det som må til for å få adgang til deler av målets nettverk, og sørger for å beholde den tilgangen for å hente ut informasjon over tid. Aktøren vil sjeldent stoppe sine forsøk selv om forsøkene blir oppdaget og avverget. Først brukt av US Navy for å beskrive digital spionasje. CIRT «Computer Incident Response Team». Organisasjon i en virksomhet som håndterer sikkerhetstruende IKT-hendelser». Foto: illustrasjonsfoto. Colourbox

14 14 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Loggkorrelering i sikkerhetsøyemed Vår påstand er at sammenstilling og analyse av loggdata er en essensiell del av IKT-sikkerhetsarbeidet. Denne prosessen bidrar til en bedre forståelse for egen infrastruktur, samt bedrer evnen til å håndtere sikkerhetstruende IKT-hendelser når de oppstår på en god måte. Skadeomfang ved en hendelse vil være svært vanskelig å identifisere uten god logging. Foto: illustrasjonsfoto. Colourbox Når man er syk drar man gjerne til legen hvor det kan bli tatt prøver av eksempelvis blod og urin. Undersøkelser av disse prøvene kan bidra til å finne ut hvorfor personen ble syk og hvilken behandling som trengs. På samme måte har man i dagens informasjonssamfunn behov for rask tilgang til gode loggdata ved IKTbaserte sikkerhetshendelser. En lege uten mulighet til å foreta blod- og urinprøver vil i mange tilfeller ha store problemer med å stille riktig diagnose. Når en hendelse inntreffer er undersøkelser og hendelsesdiagnose en viktig del av arbeidet for å komme tilbake til normaltilstand samt for å vite hvordan man skal prioritere hendelsen. I denne prosessen er det gjerne et mål å skaffe mest mulig in formasjon om det inntrufne og omfanget slik at man får utført nødvendige tiltak. Ved IKT-hendelser blir slik informasjon gjerne skaffet gjennom forskjellige typer loggdata. Korrelering av disse dataene kan i mange tilfeller være til stor hjelp ved hendelses håndtering, og kan i tillegg være en ressurs for å oppdage nye angrepsmønster basert på merkelige logginnslag. En investering i gode loggføringsløsninger kan virke som bortkastet om man ikke har opplevd sikkerhetshendelser, eller tror man ikke har hatt slike hendelser i organisasjonen. Som med mye sikkerhetsarbeid er det synd at man skal oppleve «En lege uten mulighet til å foreta blod- og urinprøver vil i mange tilfeller ha store problemer med å stille riktig diagnose...» hendelser før man merker nødvendigheten av investeringer som burde vært gjort i forkant. Som et nasjonalt CERT ser vi mye forskjellig prioritering rundt dette arbeidet, og ofte merker vi at god og rask logghåndtering gjenspeiler en veletablert sikkerhetsorganisasjon. Loggtypper Det finnes som sagt forskjellige kategorier loggdata. Som en grovinndeling kan man skille på logging fra sikkerhetssystemer, operativsystemer og applikasjoner. Dette er inndelingen som National Institute of «...ofte merker vi at god og rask logghåndtering gjenspeiler en veletablert sikkerhetsorganisasjon» Standards and Technology (NIST) bruker og omtaler mer detaljert i sin «Guide to Computer Security Log Management». Dette dokumentet dekker mye av arbeidet rundt bruk av logger som en del av sikkerhetsorganisasjonen. NIST har valgt å dele loggkategorier basert på sikkerhet, operativsystem- og applikasjonsnivå, mens

15 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL Australias «Defence Signals Directorate» (DSD) har valgt å dele dette inn i nettverksbaserte logger og klientbaserte logger. Av de nettverksbaserte loggene som trekkes frem som særdeles viktige av DSD er det spesielt DNS-logger og logging fra web-proxy som vil være gode verktøy for å oppdage og nøste opp i datainnbrudd. «Et enkeltstående merkelig logginnslag fra en klient vil kunne virke ubetydelig i seg selv, men om man sammenstiller med andre logger og finner flere logginnslag som virker merkelige bør man undersøke videre...» Håndtering av saker gjennom bruk av DNSdata har vi tidligere omtalt ved artikkel om teknologien Passiv DNS-replikering, se kvartalsrapport for tredje kvartal Når det gjelder logger fra web-proxy er disse svært nyttige for å verifisere infeksjoner ved å se etter trafikkmønster mot kommando og kontrolltjenere. DSD nevner også netflow-data som en nettverksbasert logg som er anbefalt å benytte seg av, dette er altså metadata om trafikken slik som protokolltype, avsender- og mottakeradresser og porter, størrelse og tidspunkt. Hvis man da ser en suspekt adresse i disse flow-dataene kan man gjøre videre undersøkelser ved oppslag i proxy-loggene for å se om dette samsvarer med trafikkmønsteret man har notert som mistenkelig. Klientbaserte logger omfatter en hel del forskjellige type logger. For det første har man de loggene som operativsystemet bidrar med. Disse varierer fra de for skjellige operativsystemene, men typisk har man logger som dokumenterer vellykkede og mislykkede innloggingsforsøk, brudd på rettigheter tildelt brukeren, aksessering av filområder, og andre hendelser på systemet. I tillegg vil man ha klientbaserte logger som stammer fra sikkerhetsprodukter som antivirus og «Host Intrusion Detection Systems». I tillegg til å ha god dekning på de forskjellige loggene innenfor disse kategoriene er det også essensielt at disse er tidssynkroniserte samt logges i en sentralisert løsning. Videre bør det eksistere en prosedyre for analysering av disse loggdataene slik at man kan oppdage avvik fra normalen. Korrelering av hendelser Med de forskjellige loggtypene og de mengdene som potensielt vil forekomme i større organisasjoner vil det være naturlig å sentralisere og standardisere disse loggene for forenklet prosessering og korrelering for logganalyse. Et enkeltstående merkelig logginnslag fra en klient vil kunne virke ubetydelig i seg selv, men om man sammen stiller med andre logger og finner flere logginnslag som virker merkelige bør man undersøke videre om man har med en hendelse å gjøre eller om klienten produserer falske positive. En rekke rammeverk finnes for å utføre denne sammenstillings- og analyseprosessen og mange av disse går under betegnelsen «Security Information and Event Manager» (SIEM), eller lignende. Det er dog ingen hemmelighet at disse produktene kan medføre store lisenskostnader, men det finnes også løsninger uten disse kostnadene, eksempelvis «Open Source Security Information Manager». Behovet for ulike løsninger vil variere fra organisasjon til organisasjon, men likheten mellom løsningene er i alle fall at det trengs analytikere som behandler informasjonen som blir sammenstilt. Foto: illustrasjonsfoto. Colourbox Hvordan sikre seg? Australske myndigheter har presentert en 35-punkt liste for hvordan sikre seg mot og håndtere målrettede angrep. Australske myndigheter, ved DSD, kom i sommer med en oppdatert liste over måter å håndtere målrettede angrep på. De har analysert en stor mengde angrep og utifra dette prioritert hvilke tiltak man bør gjøre, herunder også forsøkt å vurdere kosteffektivitet. Listen er på 35 punkter, men følger man de 4 første, vil man allerede stanse 85% av alle angrep i datagrunnlaget: De 4 viktigste tiltakene er: 1. Patche programvare (som PDF lesere, MS Office, Java, Flash og web-lesere) 2. Patche operativsystemet 3. Redusere antall brukere med administrator-tilgang 4. Gjennomføre whitelisting av programmer Som en digresjon er antivirusprogramvare satt som punkt 21 på listen, noe som bør være en klar påminnelse til alle om at oppdatert antivirus ikke er nok for å være sikker. Les mer på

16 16 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Duqu Den informasjonsstjelende trojaneren «Duqu» har mange likhetstrekk med ormen «Stuxnet», verdens første kjente skadevare skreddersydd for å ramme industrielle prosesskontrollsystemer. NorCERT var tidlig ute med å dele informasjon om trusselen med utsatte parter. Så langt tyder ingenting på at norske interesser har vært rammet av «Duqu». En analyse av skadevaren «Duqu» ble offentliggjort av den ungarske forskergruppen CrySys 14. oktober Rapporten pekte på likheter med «Stuxnet», noe som gjorde at denne saken fikk mye oppmerksomhet i media. Knyttet til denne saken ble det også oppdaget en zero-day sårbarhet i Windows TrueType font engine som kunne kjøre kode på kjernenivå. Denne sårbarheten ble ikke patchet av Microsoft før 13. desember. NorCERT har ikke foretatt en selvstendig analyse av «Duqu», men har fått tilgang til grundige analyserapporter gjennom internasjonale samarbeidspartnere. Gjennom vår deltagelse i EGC (European Government CERT Group) har vi et operativt samarbeid med CERT Hungary, som sendte oss et tidlig varsel og videre oppdateringer i saken. Analyserapporter viser at den in formasjonsstjelende trojaneren «Duqu» er utviklet og brukes av en trusselaktør med betydelig kompetanse. Alt tyder på at operasjonene hvor «Duqu» har vært benyttet er svært målrettede. NorCERT er ikke kjent med at norske interesser er angrepet. Vi utelukker likevel ikke at norske interesser kan være utsatt for denne type trusler. Det hevdes fra flere hold at «Duqu» er laget av samme aktør som laget «Stuxnet». «Stuxnet» regnes som den mest avanserte målrettede trojaneren verden har sett hittil. Den er skreddersydd for å angripe en spesiell modul av Siemens Simatic industrielle prosesskontrollsystem, som brukes for å styre rotasjonsfrekvensen til sentrifuger ved kjernefysiske atomanlegg. «Stuxnet» spredde seg høsten 2010 og påstås blant annet å ha infisert et iransk atomkraftanlegg. Dette skal da ha kraftig forsinket Irans program for uran-anriking. Media har spekulert i at aktøren bak «Stuxnet» kan være en myndighets-aktør som har brukt betydelige ressurser på å utvikle trojaneren som et «cyberwar»-våpen med formål å hindre Iran i å utvikle atomvåpen. Kaspersky Labs har basert på analyse av likheter i koden konkludert med at både «Duqu» og «Stuxnet» er utviklet på samme Foto: illustrasjonsfoto. Colourbox «Alt tyder på at operasjonene hvor «Duqu» har vært benyttet er svært målrettede» plattform. De har døpt denne plattformen «Tilded» siden utviklerene har en tendens til å bruke filnavn som starter med «~d». Andre likheter er at begge trojanerene har drivere signert med falske eller stjålne digitale sertifikat. Zero-day sårbarhetene benyttet i begge trojanerene er også innen samme kategori. En av tingene som trekkes frem i forbindelse med «Stuxnet»-sammenligningen, er potensiale for nye angrep på prosesskontrollsystemer. NorCERTs vurdering er at dette ikke er mer sannsynlig etter oppdagelsen av «Duqu» enn før. De komponentene i «Duqu» som minner om «Stuxnet» er komponenter som danner plattformen for angrepet, mens den delen av «Stuxnet» som angrep prosesskontrollsystemer var av svært målrettet karakter som ikke er funnet i «Duqu».

17 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL Hackingforsøk hos UNINETT UNINETT leverer nett og IKT-tjenester til norske universiteter, høgskoler og forskningsinstitusjoner. I denne artikkelen får vi lære hvordan god sikkerhetsovervåkning og rask håndtering trolig sparte UNI- NETT for betydelige telefonkostnader dette kvartalet. En angriper hadde klart å finne et hull i telefonserverens forsvarssystem og prøvde å utnytte dette som springbrett for å ringe en mengde forskjellige nummer i utlandet. «Dette er et typisk angrepsmønster vi har sett en økning av.», forteller Jardar Leira ved UNINETT. «Det begynner med scanning av nettverket etter porter brukt av SIP. Der det blir funnet, foretas det etter hvert et massivt bombardement av forsøk på registrering og oppringninger. Lykkes de, får serveren enten være i fred til en senere anledning eller umiddelbart forsøkt misbrukt.». UNINETT drifter mange SIPbaserte telefonirutere på vegne av medlemsinstitusjoner og følger godt med på hva som foregår. Denne angrepsbølgen hadde forsøkt seg på flere, men bare UNINETT sin egen telefoniruter var åpnet for denne sårbarheten i forbindelse med testing. Det tok imidlertid ikke lang tid før den åpningen ble funnet av hackerne. «Det er ingen tilfeldighet at vi har en svært aktiv overvåkning av våre systemer. Vi har sett dette skje før hos andre og det tar ikke lang tid før det blir snakk om veldig mye penger. Dersom det skjer noe utenom det normale, gir våre systemer raskt beskjed og vi kan automatisk eller manuelt stenge eller begrense», forklarer Leira. Misbruket ble oppdaget nesten umiddelbart, men fikk lov til å fortsette en liten stund slik at man kunne observere og lære av metodikken. Denne formen for misbruk skjer gjerne seint på kvelden og gjerne før helger og andre helligdager når sjansen er minst for at noen overvåker systemene og kan Foto: illustrasjonsfoto. Colourbox reagere. Motivasjonen er åpenbart økonomisk og det kan være mye penger å tjene på denne formen for aktivitet. Ikke usannsynlig er det en organisert aktivitet. Man finner sårbare servere og utnytter dem som har tilgjengelige «bylinjer» bak sitt eget telefonisystem, transparent for egne brukere. Med IP basert telefoni er det en smal sak å selge stjålne tellerskritt til ukritiske kunder. Mengden, frekvensen og de vidt forskjellige destinasjonene til disse samtalene viser tydelig at det ikke er enkeltpersoner som står bak. «En kan også se for seg en annen måte et slikt misbruk kan utnyttes med økonomisk motiv», forklarer Leira videre. «Sett at man kontrollerer det ekvivalente av et kjempedyrt 820-nummer i et annet land. Da er det bare å ringe det så mange ganger så lenge som mulig for så å kunne innkassere inntektene etterpå. Dersom dette skjer fra visse land, er det svært liten sjans for at noen blir tatt.» Til tross for farene er ikke UNINETT avskrekket fra å flytte telefonien over til Internett, men har stor tro på det som fremtidens løsning. De teknologiske og økonomiske fordelene er mange, men man må ha en bevisst tilnærming til sikkerheten. Mye kan gjøres både med sikring og overvåkning, men viktigst er at man er klar over at det er en kontinuerlig prosess og ikke lar aktive systemer støve ned og bli glemt. Man må heller ikke glemme de mange fastapparatene som i økende grad har blitt mini-datamaskiner. Sikkerhetshull kan like gjerne befinne seg i disse som i en server. «En bør alltid ha i bakhodet at man må prøve å tenke litt som en hacker selv. Hvordan ville du angrepet ditt eget system? Man kommer et stykke på sunn fornuft. Men IP-telefoni kan være et teknisk komplekst område. Det aller beste kan allikevel være å engasjere en profesjonell ekstern part til å gjøre penetrasjonstester og sikkerhetsrevisjon», avslutter Leira. Hacking av IP-telefoni: Hacking av IP-telefoni har vært omtalt i flere år, men det er vanskelig å finne tall som forteller om omfanget. Mange bedrifter i dag er avhengig av sin IPtelefoni løsning. IP-telefoner, servere osv. er ofte eksponert til Internett gjennom web-brukergrensesnitt. Disse kan finnes gjennom rekognosering. Deretter vil sårbarheter i grensesnittet eller dårlig konfigurerte bokser gjøre at kriminelle kan få kontroll over boksen for å ringe ut eller viderekoble trafikk. Noen av brukergrensesnittene har sågar mulighet for å kjøre pakkedump, noe som muliggjør avlytting.

18 18 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Exploit-kits og infeksjonsbestillinger En del av sakene som NorCERT jobber med omhandler hendelser hvor målet til angriper er å infisere sluttbrukere for deretter å snappe opp informasjon som kan brukes videre til økonomisk svindel. Eksempler på dette er såkalte nettbanktrojanere som stjeler innloggingsinformasjon slik at angriper kan utføre transaksjoner på vegne av offeret. FAKTA En spesifikk sak av denne karakteren ble igangsatt av at vi mottok et tips fra en av våre samarbeidspartnere i informasjonssikkerhetsmiljøet. Tipset gikk ut på at det hadde blitt foretatt en bestilling av 5000 infiserte klienter i Norge på en undergrunns side på Internett. Siden har blitt brukt til kjøp og salg av redirigering til exploit-kit som forsøker å utnytte sårbarheter på maskinen/nettleseren til de som besøker siden. Basert på tidligere observasjoner var det stor grunn til å tro at det var snakk om SpyEye-infeksjoner som var det endelige målet for den som bestilte disse infeksjonene. «...det hadde blitt foretatt en bestilling av 5000 infiserte klienter i Norge på en undergrunnsside på Internett» Videre undersøkelser viste at de nyeste konfigurasjonsfilene til den informasjonsstjelende trojaneren SpyEye ikke inneholdt noen norske nettsider. Trolig ville norske sider først bli lagt til ved et visst infeksjonsnivå. Disse konfigurasjonsfilene vil typisk inneholde spesifikke URL-mønster som skal trigge injisering av egne versjoner av nettsider med informasjonsstjeling som formål. I de fleste tilfellene vi ser er dette snakk om nettbanksider og man blir forsøkt lurt til å oppgi fødselsdato og sikkerhetskoder som videresendes til angriper. For at angriper skal være sikker på at det er norske brukere som blir infisert, så er det et par forskjellige metoder som kan be nyttes. Den første metoden er å starte infeksjons-rekken på en ofte besøkt side. Måten dette gjøres på er gjerne å benytte seg av såkalt malvertising hvor reklameplass blir okkupert av ondsinnede. Brukeren blir gjerne redirigert til en side som finner ut hvor i verden brukeren befinner seg og kan infisere deretter. En annen metode er å infisere sider som høyst sannsynlig kun vil besøkes av personer fra det spesifikke landet som skal infiseres. Denne siste metoden ble observert i denne saken hvor flere norske nettsider hadde blitt kompromittert. Et av likhetstrekkene som ble observert for de kompromitterte sidene var at de gjerne kjørte en utdatert versjon av publiseringsverktøy på Internett (Joomla og Wordpress) i tillegg til å kjøre sårbare plugins for disse. For å skjule seg i kildekoden benyttet angriperne seg av obfuskert JavaScript for å skjule koden som re dirigerte brukerne til en ny infisert side. Brukeren blir gjerne redirigert gjennom mange ulike infiserte sider, og linkene skiftes stadig ut etter som infiserte sider blir stengt ned. På slutten av infiseringsrekken finner man exploitsiden som forsøker å utnytte sårbarheter på maskinen som kobler seg til. «I de fleste tilfellene vi ser er dette snakk om nettbanksider, og man blir forsøkt lurt til å oppgi fødselsdato og sikkerhetskoder som videresendes til angriper» Flere sårbarheter forsøkes, for eksempel en Help Center-sårbarhet i Windows, sårbarheter i Java blir også forsøkt utnyttet. Hvorfor skal så NorCERT bry seg om Exploitkit Exploitkit er en fellesbetegnelse for programvare som har som hensikt å utnytte sårbarheter i nettleseren eller på maskinen til ofre som blir lokket inn på infiserte websider. Ved vellykket utnyttelse av en sårbarhet vil angriper ha kontroll over den infiserte maskinen gjennom en rekke verktøy, ofte har angriper oversikt og kontroll via et enkelt webgrensesnitt. Malvertising Malvertising er en forkortelse for «malicious advertising», direkte oversatt til ondsinnet reklame. Begrepet omfatter spredning av ondsinnet programvare gjennom bruk av reklameplass på nettsider. slike saker? Dette er jo hverken spionasje eller sabotasje mot samfunnsviktig infrastruktur. I følge instruksen til NorCERT skal vi «bidra til å bedre den totale sikkerhets tilstanden blant annet ved å varsle om infiserte datasystemer». Dette er hva vi vil klassifisere som en klassisk CERToppgave som forenkles en hel del ved hjelp av observasjoner i sensorsystemet VDI. Vi kunne enkelt detektere infeksjonsforsøk hos VDI-deltakere basert på trafikkmønster vi hadde observert i forbindelse med ut nyttelse. Ut fra disse utnyttelsesforsøkene observerte vi hvilke norske sider som hadde blitt infisert og deretter kunne vi da varsle disse slik at de fikk fjernet det ondsinnede innholdet og oppgradert de sårbare versjonene av webapplikasjonene som gjorde infeksjonene mulig.

19 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL Hva koster internettkriminalitet? Internettkriminalitetens kostnader er vanskelig å beregne. Storbritannia har nylig gjort er forsøk, i en rapport antyder de at internettkriminalitet koster landet 27 milliarder pund per år. Foto: illustrasjonsfoto. Colourbox Norge er verdens femte største oljeeksportør. Verdens tredje største gasseksportør. Vi har verdens femte største handelsflåte målt i antall skip. Nordmenn er blant verdens mest aktive på Internett. NorCERT ser stadig mer kriminalitet rettet mot offentlige og private virksomheter. Næringslivets Sikkerhetsråd har sagt at 1/3 av virksomhetene som deltok i Mørketallsundersøkelsen i 2010 hadde opplevd datakriminalitet. Bare 1% av sakene ble anmeldt. Men, vi vet ikke hva internettkriminalitet koster Norge. Siden vi ikke vet kostnaden kan det være fristende å ta en titt på to utenlandske rapporter for å få et visst inntrykk av hva slags summer vi kanskje snakker om: Denne høsten kom «Norton Cyber Crime Report» som anslår den globale kostnaden for internettkriminalitet til over 2000 milliarder kroner (388 Milliarder USD). Dette sies da å være mer enn den globale omsetningen av marihuana, kokain og heroin. En annen rapport som søker å sette en prislapp på internettkriminalitet er «The Cost of Cyber Crime» som er av konsulenthuset Detica i samarbeid med «Office of Cyber Security and information assurance» i UK Cabinet Office. Rapporten sier at «NorCERT ser stadig mer kriminalitet rettet mot offentlige og private virksomheter» internettkriminalitet koster det britiske samfunnet 27 milliarder pund. Omgjort til norske forhold sier da denne rapporten at intenett-kriminalitet koster Norge ca. 20 milliarder kroner per år. Dette er ekstreme tall, og rapporten har fått betydelig kritikk. Undersøkelsen er likevel lagt inn som grunnlag i Storbritannias Cyberstrategi som kom fjerde kvartal Strategien er nært knyttet til Storbritannias satsning på Cyber: 650 millioner pund skal brukes de neste 4 årene.

20 20 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nettbanksvindel I november 2011 ble for første gang i Norge en person dømt for nettbansvindel ved bruk av nettbanktrojanere. Dommen lød på ubetinget fengsel i 1 år og 8 måneder, og i tillegg måtte personen betale en erstatning på nesten en million kroner til den rammede banken DNB. «Internasjonalt er dette et stort problem, og også i Norge har vi sett lignende tilfeller tidligere» Trusselen fra denne typen trojanere er ikke ny. Internasjonalt er dette et stort problem, og også i Norge har vi sett lignende tilfeller tidligere. NorCERT var involvert i håndteringen av en større sak allerede i 2006 /2007, hvor seks ulike norske banker ble rammet av angrep ved hjelp av nettbanktrojanere. Dette kvartalet har fokuset på trusler mot nettbankkunder økt. Både på grunn av nevnte dom, samt flere phishingforsøk mot norske nettbankkunder. Vi i NorCERT mener det er viktig å ha fokus på disse typer angrepsforsøk, både hos bankene og nettbankkundene. For en mer grundig forklaring av hvordan denne svindel aktiviteten fungerer i praksis har vi tatt kontakt med en ekspert på området. Anders Hardangen jobber som leder for Incident Response Team (IRT) hos DNB. Dette teamet er satt sammen som en beredskaps organisasjon med overordnet ansvar for koordinering av hendelser og trusler innen informasjonssikkerhet. Dette går på tvers av organisasjonen til DNB, men også mot finansnæringen generelt. I praksis betyr dette at de følger med på sikkerhetshendelser, hvilken teknologi som benyttes i angrep mot banknæringen og hva forskjellige kriminelle grupperinger driver med. I følge Anders er det i hovedsak to former for nettbanksvindler. Den ene er manuell, hvor svindlerne lurer kunden til å gi fra seg innloggingsinformasjon. De kriminelle sitter da i bakgrunnen og bruker informasjonen til å logge seg på kundens nettbank og tappe denne. Den andre typen, som ble benyttet i saken som endte med domfellelse i november, er mer avansert. Der starter trojaneren et program på kundens maskin når denne er logget på nettbanken, for så å automatisk overføre penger uten at kunden merker det. Ved begge metodene overføres pengene til kontoer som eies av det vi kaller muldyr. I praksis er dette personer som går til sin bank for å ta ut det stjålne beløpet, for så å sende mesteparten til de kriminelle via andre betalingstjenester. Dette gjøres for å bryte det elektroniske sporet og vanskeliggjøre sporing av pengene og hvem de kriminelle er. Ofte er disse muldyrene naive personer som har blitt rekruttert til noe de trodde var en legitim jobb, noe de oppdager det ikke er når politiet banker på døren. I mai fjor ble en 26 år gammel estisk mann arrestert og senere tiltalt og dømt for bl.a. å ha benyttet ondsinnet kode til å svindle kundene hos norske nettbanker. DNB IRT-team oppdaget først noen svindelforsøk og mistenkelig oppførsel i nettbanken, og startet så med å analysere hva dette kunne være. De fant en trojaner med angrepskode som var skreddersydd for å angripe kundene av DNBs nettbank. De laget derfor mekanismer for å følge med på om kundene var infisert av denne trojaneren når de var inne i nettbanken, og på den måten greide de å stoppe svindelforsøkene. Kundene ble også kontaktet og informert om at de var infisert av denne trojaneren. Anders og hans team oppdaget samtidig «I mai fjor ble en 26 år gammel estisk mann arrestert og senere tiltalt og dømt for bl.a. å ha benyttet ondsinnet kode til å svindle kundene hos norske nettbanker» at en kundekonto over lengre tid hadde hatt en oppførsel som samstemte med aktiviteten til trojaneren. En dypere analyse av denne kontoen viste tegn på at den hadde blitt benyttet til å teste og utvikle trojaneren. DNB har som prinsipp at alle svindelforsøk skal politianmeldes, og Anders trekker frem det gode samarbeidet banknæringen har med politiet. DNB har hatt ett veldig tett og godt samarbeid med Kripos under hele hendelsen. Tillit og en åpen og god dialog er alfa og omega ved håndteringen av denne typen hendelser. Det at DNB fant testkontoen, samt politiets grundige etterforskning, ledet til at den nå domfelte ble sporet opp og arrestert. Spor som ble funnet på personens «DNB har som prinsipp at alle svindelforsøk skal politianmeldes, og Anders trekker frem det gode samarbeidet banknæringen har med politiet» datamaskin linket ham direkte opp til saken. I tillegg ble det funnet tegn til at det også ble utviklet angrepskode mot andre norske banker, men fordi DNB var tidlig ute med håndteringen, rakk ikke angriper å aktivere denne. Dette viser viktigheten av å ha et godt fungerende team for håndtering av denne typen hendelser. Dessverre viser trenden at denne typen angrep blir mer og mer avanserte, samt at de nå beveger seg til land som tidligere ikke hadde så høy fokus. Anders nevner at «hyllevare-trojanere» som SpyEye og Zeus er under kontinuerlig utvikling, og kan

21 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL Hva er nettbanksvindel? Nettbanktrojaner er ondsinnet kode som installeres på datamaskiner ved hjelp av sårbarheter. Når disse datamaskinene kobler seg opp mot nettbanken, aktiveres trojaneren og kundene risikerer å bli frastjålet penger. Angrepet er nesten usynlig for kunden da trojaneren endrer dataene som sendes til, og mottas fra nettbanken. Man kan beskytte seg mot disse trojanerene på samme måte som man beskytter seg mot all annen ondsinnet kode; holde all programvare oppdatert og sørge for å ha antivirus installert. Foto: NorCERT. Anders Hardangen leder DNBs Incident Response Team kjøpes av kriminelle for bruk i nettbanksvindler eller for å stjele kredittkortnumre eller tilsvarende. Norge har de siste årene sett relativt lite av denne typen svindel, men Anders peker på at det nå er større konkurranse mellom de kriminelle aktørene. Dette gjør at de også beveger seg inn mot de mindre markedene, som f.eks. Norge. Tilsvarende er også observert i de andre nordiske landene. Selv om sikkerhetsløsningene som benyttes er gode, er det vanskelig å beskytte seg mot angrep hvor innloggingsinformasjonen stjeles. Han anbefaler kundene å alltid være årvåkne når de bruker nettbanken, samt sørge for at datamaskinen er godt sikret. I tillegg må de ikke nøle med å ta kontakt med bankenes kundeservice om de ser noe som de mistenker ikke er riktig med nettbanken. «Dessverre viser trenden at denne typen angrep blir mer og mer avanserte, samt at de nå beveger seg til land som tidligere ikke hadde så høy fokus» Nettbanksvindel kan også foregå gjennom phishing hvor sluttbrukeren blir lurt til å gi fra seg innloggingsdetaljer på en side som utgir seg for å være nettbanken til kunden. Denne typen svindel kan typisk starte med en phishing-e-post hvor sluttbrukeren blir oppfordret til å følge en lenke for å fylle inn sine detaljer som en verifisering av disse. I disse tilfellene er det sjelden snakk om infeksjoner på maskinen til sluttbrukeren.

22 22 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Informasjonslekkasje I desember 2011 så vi flere alvorlige tilfeller av nettaktivisme, etterfulgt av store informasjonslekkasjer. Den løst sammensatte gruppen av nettaktivister, Anonymous, har tatt på seg ansvaret. Angrepet som fikk størst internasjonal oppmerksomhet var hackingen av kundedatabasen til det anerkjente amerikanske analysebyrået Strategic Forecasting (STRATFOR). Dette er en tjeneste som blant annet leverer sikkerhetsanalyser basert på åpne kilder. Hackingen ble videre fulgt av en stor informasjonslekkasje. Brukernavn, passord, e-postadresser og kredittkortopplysninger ble lekket i etterkant. Tjenesten hadde flere norske brukere, både private og offentlige. NorCERT varslet en rekke norske bedrifter og offentlige «Hackingen ble videre fulgt av en stor informasjonslekkasje» myndig heter som hadde berørte ansatte. Vi spilte også over listen til NorSIS som varslet bredt i Norge. Lekkasje av informasjon som kredittkortopplysninger og passord kan brukes til økonomisk vinning, og i tilfellet med STRATFOR skal kredittkortdetaljer ha blitt misbrukt til å overføre penger til hjelpeorganisasjoner. Det er da denne aktiviteten går over grensen til å være nettkriminalitet. Antivirusleverandøren F-Secure har kommentert i et blogginnlegg at forsøket på veldedig handling gjennom donering med stjålne kredittkort fort kan slå tilbake. Pengene vil i de fleste tilfeller bli krevd tilbake, og noen ganger vil dette medføre ekstra utgifter for hjelpeorganisasjonene. Et annet problem er at mange bruker samme passord på flere ulike nettsider og datasystemer. Derfor kan lekkasjen av slik informasjon føre til at passord til sensitive eller viktige datasystemer også kommer på avveie. I forrige kvartalsrapport publiserte NorCERT en artikkel om nettaktivisme, og poengterte da hvordan dette har vist seg å være et vidt begrep, både i bruk og betydning. Nettaktivistene selv hevder at deres handlinger er «fredelige protester», men det er tydelig at deres handlinger i noen tilfeller kan føre til store konsekvenser og økonomiske tap. Lekkasjer av sensitiv infor- masjon kan ha konsekvenser utover det politiske eller idealistiske motivet som ofte fremheves av aksjonistene, og nettopp dette er STRATFOR-saken ett eksempel på. Kompromitteringen av STRATFORs kundedatabase føyer seg inn i rekken av flere lignende saker den siste tiden, og NorCERT anser denne utviklingen for å være alvorlig og nødvendig å ha fokus på. Anonymous postet 27. desember: «Continuing the weeklong celebration of wreaking utter havoc on global financial systems, militaries, and government, we are announcing our next target: the online piggy supply store SpecialForces.com» Bare dager etter hackingen av kontaktdatabasen til Stratfor kom ett nytt angrep. Denne gangen rettet mot nettsiden til firmaet Special Forces, en leverandør av utstyr til blant annet amerikanske myndigheter og millitære passord og 8000 kredittkortnumre ble lekket. I motsetning til STRATFOR-saken var kredittkortnumrene her kryptert, men hackerne klarte likevel å stjele krypteringsnøklene. Det er mye man kan lære av slike angrep, både rundt beskyttelse og håndtering. Tilfellet med STRARTFOR gjør det blant annet tydelig at passord bør beskyttes bedre enn kun bruk av ren MD5 når det lagres. MD5 er en enveis sjekksumalgoritme, som gjør at passordene ikke lagres i klartekst. Dette er likevel ikke ansett som god nok sikring av passord da enkle passord raskt kan knekkes, og det er god praksis på området å bruke såkalt salting som en del av sikkerhetstiltak for lagring. Det er også klart at kryptering av kredittkortdetaljer og annen sensitiv informasjon er viktig. Både under sending, og i tillegg når dette lagres. Denne saken frembragte en del diskusjon rundt åpenhet, og hvor åpne firmaer bør være når kundedatabasene blir kompromitterte. NorCERT mener åpenhet er viktig for å bekjempe denne typen kriminalitet og begrense skadeomfanget. Tidlig offentliggjøring vil gjøre det enklere for brukere å beskytte seg, for eksempel ved å få sperret kortene sine og endre passord på andre systemer. Saksbegreper MD5: MD5 er en vanlig form for hash-algoritme. Den ble utviklet av Professor Ronald (Ron) Rivest i 1991 En kryptografisk hash-algoritme som dette er er utviklet for å oppnå visse sikkerhetegenskaper, og er vanlig ved lagring av passord. For å ikke lagre dem i klartekst, omgjøres de først til en «hash». Lagring av et passord som hash vil gjøre det vanskelig å finne brukerens faktiske passordet. For å bekrefte passordet, er det først hashed, deretter sett i forhold til de lagrede hash i databasen. En god kryptografisk hash vil gjøre det vanskelig å finne to meldinger med samme hash, eller finne klartekst for en bestemt hash-verdi. Alle hash-algoritmer er sårbare for uttømmende søk. Klarer angriper få tak hashen, kan kan prøve forskjellige passord-hash og sjekke om de er like. Derfor innføres «salt» for herding av hashen. Salting Salting er en måte å gjøre passord sikrere. Det legges til en tilfeldig streng av tegn til passordene, før deres md5-hash blir beregnet. Dette gjør dem igjen vanskeligere å reversere. Salting sørger for at to brukere som tilfeldigvis bruker samme passord, ender opp med ulike hash.

23 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL Du snakker, hvem lytter? Regelmessige påminnelser om sikkerhet er viktig. Rune Mortensen er datasikkerhetsleder i Utenriksdepartementet. På UDs intranett publiserte han nettopp artikkelen nedenfor, og Nor- CERT har fått tillatelse til å publisere teksten. Er du en av de av oss som husker denne teksten fra forsiden på Forsvarets telefonbok? Kanskje du også var en av de som hadde teksten godt synlig på telefonrøret? Hva var det egentlig godt for? «Du snakker! Hvem lytter?» sto der som en påminnelse om at vi jobbet i en virksomhet som måtte vise aktsomhet når vi pratet i telefonen, for det var noen der ute som både hadde ønske og kapasitet til å avlytte samtalene våre. Snakket vi om noe som var gradert på telefonen var dette synonymt med at informasjonen var på avveie, og vi kunne ikke skylde på andre enn oss selv - advarselen sto jo allerede rett foran oss! Er dette like aktuelt i dag og for oss i Utenrikstjenesten, eller er dette kun paranoide minner fra en svunnen tid hvor den kalde krigen var på det kaldeste? La det ikke være noen tvil: Etterretningstrusselen er minst like stor i dag som noen gang tidligere! Dette har dessverre ikke noe med paranoia å gjøre heller, og det er bare å lese de siste åpne trusselvurderingene fra for eksempel PST og E-tjenesten for å få en indikasjon om hvordan trusselsituasjonen er. Utenrikstjenesten behandler og produserer informasjon som utenlandske etterretnings-tjenester og kriminelle gjerne betaler dyrt for å få tak i, og ikke tro at de ikke gjør det! Metodene som benyttes til slik etterretningsvirksomhet er både mange og sofistikerte, og telefon- og datanettverks avlytting er bare et liten knippe av dem. I tillegg kommer blant annet menneskebasert innhenting av etterretnings informasjon, og i de siste årene også innhenting gjennom datanettverksoperasjoner. Sistnevnte er operasjoner hvor datamaskinene våre blir benyttet som innsamlingsmedium fremfor den tradisjonelle telefonsamtalen. Tenk deg for en informasjons messig gullgruve det ville være for utenlandsk etterretning dersom alle dokumentene du har tilgang til, e-post du har sendt og mottatt, avtaler du har med interne og eksterne, osv kunne bli hentet ved et tastetrykk? Hørte jeg WikiLeaks? Nei... kanskje ikke WikiLeaks, for disse aktørene ville holdt informasjonen for seg selv! Har du forresten tenkt over hva konsekvensen ville vært om mikrofonen og webkameraet plutselig ble slått på og sendte lyd og bilde rett til noen som satt og fulgte med. Hva ville konsekvensen være dersom en samtidig pratet om noe gradert eller skjermingsverdig informasjon på dette kontoret? Ville denne datamaskinen, siden den i praksis ville være kommunikasjonsbærer på lik linje som en avansert telefon, være gradert? De fysiske, tradisjonelle barrierene mellom graderte og ugraderte systemer blir mer og mer utydelig. Bevisstheten rundt hva man sier, hva man skriver og hvor man gjør dette svekkes dessuten ofte proporsjonalt med mengden sensitiv informasjon man behandler og med tidspress. Dette er en velkjent, om dog en noe ubehagelig kjensgjerning en kjensgjerning som andre dessverre til stadighet forsøker å finne nye måter å utnytte. For å unngå dette bør vi alle bli flinkere til å verdivurdere all informasjon vi omgir oss med, og behandle denne informasjonen i tråd med denne vurderingen. Alle i Utenrikstjenesten skal være klar over hvilke lover og regler som gjelder for verdivurdering av informasjon, men i en travel hverdag er det dessverre lett å glemme alle detaljene. Det kan derfor være lurt å minne seg selv på dette fra tid til annen, og et godt råd er å stille seg selv følgende spørsmål før en skriver eller prater om noe som kan være skjermingsverdig: Er informasjonen gradert i henhold til Sikkerhetsloven? Kan informasjonen få konsekvenser for enkeltpersoner om det kommer på avveie? Vil det være problematisk om informasjonen havner på forsiden av landets aviser? Dersom svaret på noen av disse er «ja» bør du stoppe, og vurdere om du behandler informasjonen forsvarlig. Bør UDB eller strengere systemer benyttes? Bør en formidle dette over ukryptert telefoni, eller bør en tilstrebe å få overført informasjonen på en annen, sikrere måte? Kanskje en ikke bør benytte kontoret til å behandle denne informasjonen i det hele tatt, men heller et rom som er gradert på rett nivå? Alle har et ansvar for å gjøre selvstendige verdivurderinger, og å behandle informa sjonen i tråd med denne vurderingen. Det er imidlertid verd å være klar over at det ikke er tillatt å nedgradere noe som andre allerede har verdivurdert. Alle har dessuten et ansvar for å opplyse mottakeren om verdivurderingen gjennom å merke dokumentene og e-postene tydelig, eller å opplyse om dette ved samtaler. Avslutningsvis stiller jeg spørsmålet på nytt: Er teksten «Du prater! Hvem lytter?» like aktuell i dag som den var før, eller er forfatteren av dette innlegget uhelbredelig paranoid? Dessverre er det slik at budskapet er viktigere i dag enn noen gang tidligere, men om den kun burde stå på telefonen knytter det seg større usikkerhet rundt. Kanskje den burde stå på kontordøra i tillegg? Kanskje vi også burde klistre opp lapper på datamaskinene våre med teksten:«du skriver! Hvem leser?»?

24 24 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT NorCERTs sikkerhetsforum To ganger i året holder NorCERTs sikkerhetsforum, som er et lukket forum for våre medlemer, samarbeidspartnere og spesielt inviterte i bransjen. Vi vil i denne kvartalsrapporten gi en liten smakebit på hva som presenteres der. «Grunnen til at vi også jobber med dette er for å bygge kompetanse og kontaktnettverk samt holde det generelle sikkerhetsnivået på Internett i Norge så høyt som mulig» Foto: NorCERT NorCERTs sikkerhetsforum 15 november ble åpnet av Eiliv Ofigsbø, NorCERTs nye avdelingsdirektør. Han introuduserte noen av NorCERTs viktigste prioriteringer fremover. Dette inkluderer blant annet reetablering i nye lokaler, videreutvikling av vår nye kvartalsrapport, presentere et oppdatert og helhetlig IKT-trusselbilde og gjennomføre øvelser for og med NorCERT medlemmer og partnere. NorCERT presenterte statistikk fra håndterte saker i vårt saksbehandlingssystem og NorCERT-pulsen for perioden. NorCERT pulsen ble økt til nivå 3 den 4. november på grunn av den kritiske zeroday sårbarheten i «Windows TrueType Font Parsing Engine»(CVE ) som ble utnyttet i Duqu-angrepet. På patchetirsdag for oktober ble det også kjent at det var mulig å utnytte og få tilgang til Windows-system bare ved hjelp av en spesielt utformet UDP-pakke. NorCERT har håndtert en rekke saker det siste halvåret som er relatert til målrettede operasjoner. Dette var også et gjennomgående tema på dette sikkerhetsforumet. Blant annet var to av våre foredragsholdere amerikanske eksperter på området. I det første eksterne foredraget fikk vi blant annet presentert at ved en hendelse er det viktig å ha pakkedump. Data fra reelle hendelser viste hvordan kompromitterte maskiner kommuniserte med kommando- og kontrolltjeneren XORobfuskert. I det ene tilfellet, fordi han hadde pcap-data og hadde riktig XORnøkkel, kunne han se at det egentlig var et «NorCERT presenterte statistikk fra håndterte saker i vårt saksbehandlingssystem» reverse-shell som tillot angriperen å kjøre kommandoer på den kompromitterte maskinen. I presentasjonen ble det også fortalt om hendelser hvor gigabytes og terrabytes med data hadde blitt eksfiltrert. Dette kan bety at det er et stort apparat i bakkant hos trusselaktøren for å kunne håndtere de store datamengdene som samles inn fra bedrifter som er utsatt for disse angrepene. Han nevnte også om hendelser hos bedrifter i kontraktsforhandlinger, hvor den tapende parten hadde infeksjon i sin bedrift. Foredragsholderen fortalte også om hvordan det i de alvorligste tilfellene var bedrifter som hadde fått mailserveren og domenekontrollerne sine kompromittert. Trusselaktøren har ofte også flere bakdører på systemet i tilfelle antivirus oppdager noen av de så vil de fortsatt ha kontroll over maskinen. Mange ganger er ikke bedriftene klar over at de er infisert før over ett år etter. Ofte vil det da være umulig å vite hva som har blitt stjålet av data. Det ble også nevnt nytten av å ha tilgang til passive DNS data. Det neste foredraget fokuserte på det samme temaet som det foregående. I tillegg ble det holdt en kort introduksjon til «the kill chain», som vi har laget en egen sak om i denne kvartalsrapporten. Suhail Mushtaq fra HelseCSIRT holdt en presentasjon om etableringen av CSIRT i helsesektoren. Ondsinnede inntrengningsforsøk eller ulovlig bruk av helsesektorens sentrale IKT-infrastruktur må avverges raskest mulig for å redusere eventuelle skadevirkninger. Et av tiltakene har vært å etablere CSIRT (Computer Security Incdent

25 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL IRT-kurs NorCERT har i desember holdt et kurs i hendelseshåndtering for ansatte fra Statoil. Statoil har opprettet et eget «Computer Security Incident response team» (CSIRT) som tar seg av håndteringen av ITsikkerhetshendelser i konsernet. Foto: NorCERT «Foredragsholderen fortalte også om hvordan det i de alvorligste tilfellene var bedrifter som hadde fått mailserveren og domenekontrollerne sine kompromittert» Response Team) som skal utvikles til å bli helse- og omsorgssektorens samlede ressurssenter i arbeidet for å forebygge og avhjelpe sikkerhetsavvik og uønskede hendelser, samt sørge for rasjonell og koordinert innsats dersom hendelser oppstår. Ole Tom Seierstad fra Microsoft Norge presenterte trusler på Internett slik som Microsoft ser det. Microsoft utgir hvert halvår sin Security Intelligence Report. Denne rapporten inneholder tall fra Windows-baserte datamaskiner verden over, og gjør det mulig for Microsoft å si noe om trusselbildet for exploit, sårbarheter og malware. Microsoft har verktøyet Malicious Software Removal Tool (MSRT) som de sender ut sammen med Windowsoppdateringer. Dette verktøyet fjerner kjente skadevare fra brukernes datamaskiner og rapporterer tall tilbake til Microsoft. Ole Tom presenterte også noen av de sakene hvor Microsoft har gått rettens vei for å få stengt ned botnett. Det siste foredraget på dette sikkerhetsforumet var ved Politiets Sikkerhetstjeneste (PST). PST er den nasjonale sikkerhetstjenesten, med fokus på beskyttelse og forebyggende arbeid mot trusler, terror og ulovlig etterretningsvirksomhet fra fremmede stater. NorCERT samarbeider med PST i en rekke saker i forhold til dataspionasje og alvorlige datainnbrudd. PST sin presentasjon på NorCERT sikkerhetsforum var også ment for å gjøre deltagerne oppmerksom på at PST kan bistå ved alvorlige hendelser. Kurset fokuserte på prosesser og metoder i hendelseshåndteringen, kommunikasjon mellom NorCERT og Statoil CSIRT, samt verktøy og prosedyrer for å sikre data for analyse ved mistanke om datainnbrudd. Kurs i hendelseshåndtering er en tjeneste NorCERT tilbyr sine samarbeidspartnere, slik at vi kan bli enda bedre på kommunikasjon og samhandling ved store IT-sikkerhetshendelser. Foto: NorCERT Foto: NorCERT

26 26 KVARTALSRAPPORT FOR 4. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Vellykket NATO-øvelse NorCERT var hovedspiller for Norge i årets NATO Cyber Coalition øvelse. 23 NATO land og seks partnernasjoner deltok. Aktivitet fremover Kjernevirksomheten i NorCERT skjer i operasjonssentet på Akershus festning, men vi er også engasjert i endel aktiviteter ute i samfunnet. I kvartalet som kommer har vi blant annet planlagt akvitetene som er listet nedenfor. IT-sikkerhet er et nasjonalt lagspill, og alle vinner på å bli bedre kjent. Internasjonal koordinering og bilateral dialog er ikke med i oversikten. Foredrag Teleforum NTNU(5.-6. januar) Security divas, Gjøvik ( januar) Foredrag på Trondheim International Rotary Club leder- og nettverkskonferanse (23. januar) Samarbeidsmøte med NorSIS i Gjøvik ( januar) Karrieredagene, Høgskolen i Gjøvik ( februar) European Goverment CERTs (EGC) møte (9-10. februar) Deltakelse i Beredskaps- og øvingskonferansen holdt av DSB ( februar) Foredrag på NUF-Mobil Agenda seminar (21. februar) Deltakelse i ISF sitt medlemsmøte (29. februar) Seminar om informasjonssikkerhet for departementer, direktorater og tilsyn (NorSIS og NorCERT arrangement) (20. mars) SANS Orlando ( mars) HackCon ( mars) Listen er noe kortere enn normalt grunnet høyt fokus på interne prosesser det kommende kvartalet. Spesielt flytting til nye lokaler vil ha prioritet. I perioden desember gjennomførte NATO «Cyber Coalition 2011». Dette er en årlig øvelse hvor NATO trener operativ Cyber Network Defence (CND). Dette årets øvelse omhandlet en fiktiv krise, hvor samtlige nasjoner måtte håndtere simulerte dataangrep. Hendelseshåndtering, informasjonsdeling, skadevareanalyse og samarbeid var sentrale treningsmål. Totalt deltok 23 NATO land samt seks partner nasjoner. I Norge er NorCERT nasjonalt kontaktpunkt for CND mot NATO og har løpende dialog med Nato Computer Incident Response Cabability (NCIRC). Under øvelsen spilte NorCERT det nasjonale kontakt punkt og håndterte dialogen med de ulike nasjonene. Daglig ble det også Telefonsvindel Flere ser forsøk på svindel over vanlig telefon. Er dette fordi datamaskinene er blitt for sikre? Dette kvartalet oppdaget en norsk bank at det ble gjennomført svindelforsøk over telefon. Svindlerne ringte en av bankens kunder og utga seg (på engelsk) for å være fra Microsoft og fortalte kunden at vedkommende hadde virus på sin pc. Det ble lagt stort press på kunden om at han så måtte kjøpe spesiell programvare for å løse problemet. Det er ukjent om programvaren som da ble installert er skadevare, men dette undersøkes. Svindlerne lyktes med å lure 325 EUR fra kunden. NorCERT er kjent med at norske banker tar slike hendelser alvorlig, og jobber målrettet med å detektere slike transaksjoner for å beskytte sine kunder. gjennomført spill med nasjonale samarbeidspartnere i Forsvaret og Politiet. Øvelser er viktige, spesielt for å trene samspill med aktører vi ikke snakker daglig med. Dette ble tydelig i denne øvelsen, og vi må i så måte si at det viktigste øvingsmålet ble nådd. NATO har satt Cyber Defence høyt på prioriteringslisten, og en betydelig større øvelse planlegges allerede for Det er ventet at samspillet mellom militære og sivile stadig vil få større fokus. Årsaken til dette er at militære systemer ofte har store avhengigheter til sivil infrastruktur som strøm og telekommunikasjon.

27 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 4. KVARTAL Kvartalets skråblikk Når man tenker på IT-sikkerhet er det ofte den forebyggende delen som er i fokus, den delen hvor man bruker mye ressurser på å forhindre at noen skal kunne kompromittere systemene. Man følger etablerte krav og standarder som har vist seg å være gode. Det som ofte ser ut til å bli glemt er at sikkerhet er mer enn bare det forebyggende elementet; man må også være i stand til å oppdage og håndtere brudd på sikkerheten. Dette er ikke noe nytt. Dr. James Lewis poengterte nettopp dette i en senatshøring i 2009: Vi kan følge gjeldende sikkerhetsstandarder til punkt og prikke, og fremdeles være totalt usikker. I NorCERT har vi observert at selv godt sikrede nettverk, som til og med har vært fysisk adskilt fra Internet, har blitt utsatt for alvorlige angrep. Angrepsvektoren har da vært via minnepinner og brukernes ukritiske og noe naive bruk av disse. Dette viser at vi må komme mer ut fra regelmodusen og bli mer på hugget for å oppdage, håndtere og beskytte oss mot de stadig nye truslene og metodene som benyttes til å angripe våre systemer. Jeg vil spisse dette poenget: «Min tillit til ditt system, er lik din evne til å oppdage hendelser som kompromitterer systemets sikkerhet». Jeg kan med andre ord ikke stole på ditt system med mindre du også legger inn ressurser på å oppdage sikkerhetsbrudd. For å detektere og stoppe innbrudd på IT-systemene er det mange som hopper rett på de tekniske løsningene (som IDS/IPS). Her synes jeg man i stedet bør starte med å se på de ressursene man allerede har i organisasjonen. Mitt argument er at det beste deteksjonssystemet man har, er egne ansatte. Kommer de over dokumenter som krasjer når de åpner de, eller oppdager at maskinen de jobber på oppfører seg litt uvanlig i forhold til hva de er vant til, så bør de ha ett sted å rapportere dette. De som mottar rapportene må da ha to ting på plass (i prioritert rekkefølge): En holdning ovenfor brukerne som gjør at de føler seg velkomne, og ikke slutter å rapportere Rutiner og verktøy for å kunne foreta en teknisk undersøkelse av problemet For å få til gode sikkerhetsløsninger er man også avhengig av at ledelsen i organisasjonen har fokus på dette. «Lederforankring» er et uttrykk som ofte brukes, men ingen forteller hvordan man i praksis kan oppnå dette. Hvordan skal ledelsen bli informert og involvert i problemstillinger relatert til IT-sikkerhet? Jeg tror en måte er å se på hvordan de som jobber med sikkerhet er plassert på organisasjonskartet (med tanke på rapporteringsvei). Veldig ofte er IT-sikkerhet organisert som en del av IT-organisasjonen. Dette fører til at all informasjon kanaliseres oppover via samme rapporteringsvei. Eksisterer det meningsforskjeller mellom f.eks. drift og sikkerhet, er det en leder i ledergruppa som mottar rapportene fra begge. Hvor ofte legges dette frem for ledergruppen? Hvor mye vet ledergruppen? Hvor mye er de involvert i problemstillingene? Personlig mener jeg at IT-sikkerhet bør ha en annen rapporteringsvei enn resten av IT organisasjonen - selv om de fysisk er lokalisert på samme sted og jobber veldig tett sammen (noe som er en fordel). Dette kan føre til at flere av de alvorlige problemstillingene kan bli løftet inn i ledergruppa, og på den måten oppnå en mer bevisst holdning til at sikkerhet også er en variabel som må taes med i beregningen. En annen ting er at IT-sikkerhet blir sett på som noe man gjør for å beskytte datamaskinene. Dette fremkommer veldig tydelig i mørketallsundersøkelsen for 2010, hvor 18% oppga at de hadde mistet eller blitt frastjålet maskinvare. Kun 2% oppga at de hadde mistet eller blitt frastjålet informasjon. I realiteten er datamaskinene kun in formasjonsbærere. Informasjon kan også opptre i andre former, som f.eks. på papir eller som tale. Dette gjør at man også må sikre områdene omkring der denne informasjon befinner seg, det være seg datamaskiner, fysiske rom eller forskjellige transportmetoder for informasjon. Informasjonssikkerhet er sikring av informasjon og konteksten denne til enhver tid befinner seg i. - Mike Andersen Lunch Børge Lund, distr:

28 NSM-NorCERT Akershus festning, Bygg 12 N-0015 Oslo Telefon: Hendelser: E-post: Illustrasjonsfoto hentet fra colourbox.com og NorCERTs arkiver