Månedsrapport Februar 2006 Norsk senter for informasjonssikring (NorSIS) er etablert på oppdrag fra Fornyingsog administrasjonsdepartementet (FAD). En av senterets oppgaver er å systematisk utveksle informasjon om sikkerhetstrusler. Denne månedsrapporten gir en oversikt over trusler og nyheter knyttet til informasjonssikkerhet i februar 2006. Trusler, sårbarheter og sikkerhetstiltak 1. Dataangrep 2. Virus og ormer 3. Sårbarheter i programvare 4. Risiko ved e-post 5. Risiko i det daglige Nyheter 1. NSMs risikovurdering for 2006 2. Detaljovervåking av mobilbruk av e-post 3. Windows Vista 4. En av fem mangler virusbeskyttelse og brannmur 5. Virusbeskyttelse for mobile enheter Nyttige lenker Nytt fra NorSIS 1. Referansegruppemøte er avholdt 2. Seminarer rettet mot kommuner 3. Foredragsvirksomhet Norsk senter for informasjonssikring (NorSIS), Postboks 104, N-2801 Gjøvik Tlf: (+47) 4000 5899 / Fax: (+47) 6117 0900/ E-post: post@norsis.no / Web:
Trusler, sårbarheter og sikkerhetstiltak 1. Dataangrep Uautoriserte endringer av hjemmesider Svært mange websteder i Danmark har vært utsatt for uautorisert endring av hjemmesider også i februar. Den siste uken har ca. 700 sider blitt endret av uvedkommende. Det synes å være en sammenheng mellom disse angrepene og konflikten rundt publisering av karikaturer av profeten Muhammed. I Norge er ca. 100 sider blitt endret av uvedkommende i februar. http://www.zone-h.org/en/defacements/filter/ Tiltak mot dataangrep For å redusere sannsynlighet og konsekvens av dataangrep anbefaler NorSIS: Oppdater programvare og operativsystem for å tette de kjente sikkerhetshull. Installer antivirusprogram og oppdater signaturfilene jevnlig for virusbeskyttelse. Aktiver en brannmur for å beskytte datamaskinen mot uønsket trafikk fra internett. Brannmur i Windows XP eller fra annen leverandør kan benyttes. 2. Ta regelmessig sikkerhetskopi av dine data for å unngå å miste viktig informasjon. 3. Virus og ormer Win32.Blackmal.e (CME-24) Mange varslet om faren ved at denne ormen skulle infisere maskiner og slette dokumenter fredag 3. februar. Heldigvis ble få maskiner infisert av CME-24. Årsaken er enten at infiseringsmetoden ikke var så effektiv som analytikere først trodde, eller at medieomtalen medførte at mange oppgraderte antivirusverktøyene i tide. http://isc.sans.org/diary.php?storyid=1067 Orm på Mac OS X OSX/Leap I februar kom den første ormen for Mac OS X. Den er avhengig av at brukere pakker ut en fil som utgir seg for å være en samling filer i et komprimert filarkiv. Ved utpakking av arkivet utnyttes en mulighet til å starte et program. Dette programmet installerer ormen på maskinen, som så prøver å spre seg via ichat til andre brukere. Selve ormen gjør ingen alvorlig skade og har en mindre effektiv spredningsmekanisme, men viser at også Mac OS X er sårbar for ormer og virus. http://www.digi.no/php/art.php?id=292204 Trojaner mot nettbank Russiske tyver skal ha stjålet rundt åtte millioner kroner fra franske bankkontoer ved hjelp av et virus i form av en trojaner som «sover» helt til brukeren går inn på nettbanken sin. Ifølge Guardian er flere blitt arrestert i Moskva og St. Petersburg. Det har også vært hendelser knyttet til nettbanker i Brasil. Ingen av de rammede PC-brukerne skal ha hatt oppdatert virusbeskyttelse. http://www.tu.no/nyheter/ikt/article47383.ece http://www.computerworld.no/index.cfm/fuseaction/artikkel/id/57868 Side 2 av 7
Tiltak mot virus og ormer Det er viktig å sørge for oppdatert antivirusprogramvare på PC-er og servere. 4. Sårbarheter i programvare Mozilla Firefox 1.5 1. februar offentligjorde Mozilla åtte sårbarheter i Firefox 1.5. To av disse er kritiske og det finnes allerede verktøy som utnytter de. NorSIS anbefaler alle brukere av Firefox å oppdatere til versjon 1.5.0.1 eller nyere for å beskytte seg mot disse sårbarhetene. Nyeste versjon finnes på http://www.mozilla.com/firefox/ http://www.mozilla.org/security/announce/ Microsoft Microsoft rapporterte i februar om to kritiske og fem viktige oppdateringer. De kritiske sårbarhetene var knyttet til tolkning av WMF filer i Internet Explorer 5.0.1 på Windows 2000 og mulighet for å kjøre uautorisert kode i ulike versjoner av Media Player. Sårbarhetene fjernes ved oppdatering, se http://update.microsoft.com/. http://www.microsoft.com/technet/security/bulletin/ ms06-feb.mspx Java og Java Webstart Det er oppdaget svakheter i Java som bør oppdateres. Dette er et verktøy de mange bruker uten å være klar over det. Eksempler er Java applikasjoner på internett eller applikasjoner som bruker Java som underliggende plattform. Oppdateringer kan hentes fra: http://www.java.com/ http://sunsolve.sun.com/search/document.do?assetkey=1-26-102171-1 http://sunsolve.sun.com/search/document.do?assetkey=1-26-102170-1 Mac OS X - Safari Kort tid etter avsløringen av de to første ormene for Mac OS X er det publisert en alvorlig svakhet i nettleseren Safari til Mac. Svakheten går på håndtering av script i zip filer. Et sikkerhetshull i nettleseren Safari til Mac OS X kan ramme dersom man besøker et nettsted med sårbart innhold. I tillegg må funksjonen for å åpne sikre filer automatisk være slått på. Sårbarheten finnes i funksjonen «Open safe files after downloading», som er en innebygd funksjon i nettleseren. Funksjonen pakker opp og åpner filer automatisk når man klikker på en komprimert fil. https://www.cert.dk/nyheder/nyheder.shtml?06-02-21-10-50-52 http://www.sitic.se/rad_och_rekommendationer/sr06-030.html Tiltak mot sårbarheter i programvare Oppdater programvare og operativsystem for å tette de sist kjente sikkerhetshull. Ta regelmessig backup av dine data for å unngå å miste viktig informasjon. http:///details.php?type=veiledninger&id=257 5. Risiko ved e-post Phishing Vi ser fortsatt økning i mer målrettede phishingangrep mot enkeltpersoner eller enkeltbedrifter. Det er også en trend at angrepene gjøres over flere kanaler enn e-post. Side 3 av 7
Det har vært flere eksempler på at det brukes telefon eller IM systemer sammen med websider for å hente informasjon. Denne blandingen av ulike kanaler av sosial manipulering gjør angrepene mer troverdig. Les mer om hvordan du kan kjenne igjen og beskytte deg her: http:///details.php?type=veiledninger&id=365 Nigeriabrev Det kommer fortsatt «uimotståelige» tilbud på e-post. Historiene i brevene varierer noe, men hovedbudskapet er alltid det samme. Hvis du følger instruksene i brevet og ikke forteller det til noen, skal du bli rik. I februar ble tolv Nigerianere arrestert for svindel i Nederland. De arresterte var involvert i e-post svindel. De fleste som ble lurt var amerikanske statsborgere og til sammen to millioner dollar var utbyttet. NorSIS anbefaler Når du mottar slik e-post, er det greit å tenke at hvis det er for godt til å være sant, så er det nok heller ikke sant. Trusler via e-post E-post effektiviserer hverdagen for mange. Dessverre kan også negative hendelser som trusler mot personer utføres vha e-post. En journalist fra Klassekampen har opplevd trusler mot seg og sin familie pr e-post. Truslene er gitt i masseutsendte e- post til flere hundre mottakere og inneholder ulike personlige påstander. 6. Risiko i det daglige Risiko ved bærbare enheter Moderne mobiltelefoner, USB minnebrikker, digitale kameraer og IPod er verktøy som kan brukes for å ta med kritisk informasjon ut av virksomheten. Det er sett eksempler på stjålne data via mobile enheter, bl.a. i forbindelse med anbudssaker. USB minnebrikker brukes også av ansatte til å ta med dokumenter hjem eller andre steder til tjenstlig bruk. Slike enheter er lett å miste, noe som kan være kritisk dersom de inneholder sensitiv eller konfidensiell informasjon. Et program «Slurp» utviklet av Abe Usher kan aktivt lete etter dokumenter på et nettverk og kopierer det over på en ipod eller andre lagringsenheter, slik at uthenting av data blir enda mer effektivt. Prosessen har fått navnet «podslurping». http://computersweden.idg.se/articlepages/200602/22/20060222144255 CS781/20060222144255_CS781.dbp.asp NorSIS anbefaler tiltak Holdninger og bevissthet om risikoen med små bærbare enheter. Retningslinjer for bruk og sikring av bærbare enheter. Retningslinjer for klassifisering av informasjon. Regler for behandling av gjester og besøkende. http:///details.php?type=nyheter&id=669 Håndtering av informasjon Mange er ikke bevisst på å vurdere hvilken type informasjon som er åpen og kan legges ut på f. eks. virksomhetens intranett eller Internett. Nasjonal sikkerhetsmyndighet beskriver i sin risikovurdering en økt tilgangen på informasjon på Internett. De mener at norske bedrifter er for lite kritiske til hva som legges ut. Side 4 av 7
Eksempler på dette er at da Pakistans president Pervez Musharraf, som er et potensielt terrormål, besøkte Norge kunne en få en nøyaktig oversikt over hvor han skulle være til enhver tid på regjeringens internettsider. http://www.nrk.no/nyheter/innenriks/5496996.html http://www.hegnar.no/hegnar/newsdet.asp?id=208863&cat=126 Noen tiltak for å unngå at kritisk informasjon kommer på avveie er: Lag retningslinjer for håndtering av informasjon Utpek informasjonsansvarlig Klassifiser og grader informasjon Ha klart ansvar for hvem som kan legge informasjon ut på Internett Bevisstgjøring og opplæring Endret trusselbilde for MAC brukere Så langt har brukere av MAC vært forskånet for mange av truslene knyttet til sosial manipulering, og er heller ikke opplært i å være oppmerksom på faren for virus, ormer og annen «malware», på samme måte som PC brukere har vært i mange år. http://uk.news.yahoo.com/060221/152/g4gom.html http://www.niscc.gov.uk/niscc/docs/br-20060221-00150.html?lang=en Barn og ungdom I dag har 97 prosent av alle mellom 9 og 12 år tilgang på Internett, og gjennomsnittlig bruk ligger på fire timer i uka. Hvert år utsettes mange barn for overgrep i forbindelse med internettbruk. 40 prosent av de som chatter på Internett har opplevd at en fremmed har spurt om personlig møte. 26 prosent har blitt utsatt for at noen har snakket med dem om sex på Internett, uten eget ønske. Dette er hentet fra en undersøkelse utført av SAFT og MMI. Hele 17 prosent av dem som chatter sier at de har møtt noen fra chatterommene, og i 18 prosent av disse tilfellene viste vedkommende seg å være en voksen. http://www.saftonline.no/faktafrasaft/2746/ http://www.dagbladet.no/dinside/2006/02/15/457877.html Viktige tiltak Det er svært viktig å bevisstgjøre barn og foreldre på at det lurer stadig flere farer på Internett. Vær skeptisk til det andre sier på nettet. Foreldre bør lære seg sjargongen som brukes på nettet. Gode råd knyttet til barns bruk av Internett finner du på www.saftonline.no og www.nettvett.no. Nyheter 1. NSMs risikovurdering for 2006 Nasjonal sikkerhetsmyndighet (NSM) har publisert sin risikovurdering for 2006, og er ment å gi virksomheter et bilde av sikkerhetsutfordringer. Den skal bidra til en bedre forståelse av hvorfor forebyggende sikkerhetsarbeide er viktig. NorSIS anbefaler NSMs risikovurdering som et godt grunnlag for å få innsikt i trusler som kan ramme Side 5 av 7
bedrifter og for å kunne vurdere hvor tiltak skal settes inn. Tidligere risikovurderinger fra NSM finnes på www.nsm.stat.no. http:///details.php?type=nyheter&id=667 2. Detaljovervåking av mobilbruk og e-post EU parlamentet har vedtatt nytt europeisk rammeverk for lagring av tele- og Internettopplysninger for å bekjempe kriminalitet. Dataene omfatter trafikkdata hos teleoperatørene knyttet til samtaler, SMS og Internett. Navn og adresse på abonnenten skal også lagres. Det er teleoperatørene og Internettleverandørene som pålegges plikten til å lagre. Dataene skal lagres for etterforskning og rettsforfølging av alvorlig kriminalitet og lagringstiden er minimum 6 måneder og maksimum 2 år. http://www.datatilsynet.no/templates/page 1290.aspx http://www.europarl.eu.int/omk/sipade3?pubref=-//ep//text+ta+p6-ta- 2005-0512+0+DOC+XML+V0//EN&L=EN&LEVEL= 0&NAV=S&LSTDOC=Y&LSTDOC=N 3. Windows Vista Microsoft fokuserer på sikkerhet i sitt nye operativsystem, Windows Vista. Utviklerne har fått spesialtrening i sikker design, og grundig intern og ekstern testing blir foretatt. Det blir ikke noe antivirusprogram i Vista slik det har vært antydet før. Internet Explorer 7 (IE7) har innebygd spionvaredeteksjon og varsling mot farlige innstillinger. Nytt er også at aktivt innhold, som ActiveX, vil kreve brukerens godkjenning for å kjøre. En helt ny maskinvarebasert krypteringsmotor er også utviklet. Månedlige oppdateringer vil fortsatt komme. http://www.microsoft.com/technet/windowsvista/security/default.mspx 4. En av fem mangler virusbeskyttelse og brannmur En svensk undersøkelse om informasjonssikkerhet fra Telia viser at en av fem privatpersoner ikke beskytter PC-en med antivirusprogram og brannmur. Undersøkelsen omfatter 7 412 privatpersoner og 1 842 småbedrifter i Sverige. Bare fire prosent av småbedriftene har ikke antivirusprogramvare, og 14 % mangler brannmur. I tillegg svarer fem prosent at de ikke vet om de har brannmur eller ikke. http://www.privataaffarer.se/bors/showpress.asp?intpressid=68750 5. Virusbeskyttelse for mobile enheter Mobil virus blir av mobilindustrien sett på som en stor sikkerhetsrisiko. Mobile enheter blir stadig viktigere og konsekvensene av virus angrep øker. Et virusangrep kan bety at viktig informasjon eller programvare blir slettet, oppringninger kan bli foretatt og SMS kan bli sendt ut fra telefonen uten din viten, sensitiv informasjon kan bli tappet av andre eller ditt telefonabonnement kan bli benyttet av tredje part. Et nytt produkt for å sikre mobile enheter er presentert og skal kunne kjøpes hvor telefoner selges i løpet av første halvår 2006. Antivirusprogrammet skal kunne overføres direkte til telefonen via infrarød port. http://www.pressbox.no/default.asp?obj=arkiv&id=2086 Side 6 av 7
Nyttige lenker Norsk senter for informasjonssikring Datatilsynet Upresis markedsføring/ salg Post- og teletilsynet Forening for kommunal informasjonssikkerhet www.datatilsynet www.varslingslisten.no www.nettvett.no www.kins.no Nytt fra NorSIS 1. Referansegruppemøte Referansegruppen for NorSIS avholdt sitt første møte 15. februar. Referansegruppen er sammensatt av representanter fra ulike deler av Norsk næringsliv, offentlig forvaltning og NorSIS sine brukergrupper. I tillegg stiller Fornyings- og administrasjonsdepartementet med observatør. Fokus for møtet var å få en status på arbeidet i NorSIS, samt gi innspill til videre drift og utvikling av senteret. 2. Seminarer rettet mot kommuner Forening for kommunal informasjonssikkerhet (KInS), Datatilsynet og NorSIS arrangerer i samarbeid korte seminar i flere deler av landet for å gi offentlige ledere et grunnlag for å komme i gang med systematisk arbeid innen informasjonssikkerhet. Seminarene er planlagt i Trondheim 9. mars, Bergen 24. april, Oslo 26. april, Bodø 3. mai og Østlandet 15. mai. 3. Foredragsvirksomhet NorSIS vil holde følgende foredrag i mars og april: Foredrag for Teknas seminar «Risiko og sikkerhet i IKT-systemer» 14-15.mars Årlig konferanse for Foreningen Kommunal Informasjonssikkerhet 21-22.mars Datateam konferanse 15.mars «Experience is a hard teacher because she gives the test first, and the lesson afterwards» Vernon Sanders Law Informasjonen i NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon. Side 7 av 7