Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring
Hvordan kan vi være til nytte?
Internett har endret oss
Trusselaktører / fienden Trusselaktører Mål Evne Fremmede stater Informasjon Høy Terrorister Frykt / Skade Lav økende Hacktivister Politisk motiverte ulovlige demonstrasjoner Middels Organisert kriminalitet Penger Høy
IKT-trusselbildet Mennesker Sosial manipulering Mål Fiende Angripere Kriminelle Terrorister Fremmede stater Sårbarheter Sikkerhetshull Teknologi
NSM sikkerhetsvarsel : Målrettede trojanere i Norge Ondsinnet programvare, laget for å stjele informasjon Vedlegg i e-post, vanskelig å oppdage. Brukes i angrep mot norsk kritisk infrastruktur. Vanlige mål er ledere og nøkkelpersoner i viktige private og offentlige bedrifter og organisasjoner. Konsekvenser (eksempler): Uautorisert tilgang til elektroniske kommunikasjonskanaler Sensitiv informasjon blir stjålet Avlytting av møterom Viktig informasjon forandres eller slettes 8
Conficker/downadup En dataorm som trolig har infisert millioner av datamaskiner (9 millioner?) Angriper datamaskiner på tre forskjellige måter: Utnytter en sårbarhet i Microsoft Windows (MS08-067) Skanner etter ADMIN$ shares og utnytter svake passord Kopierer seg selv til disker og spres via USB-pinner Skrur av sikkerhetsfunksjonalitet på infiserte maskiner Hindrer nye sikkerhetspatcher Hindrer oppdatering av antivirus Aggressiv spredning En stor potensiell trussel (botnet, DDoS, spionasje, etc.) 9
Tidstabell (Microsoft) 21.11.08 Conficker.A 29.12.08 Conficker.B 20.02.09 Conficker.C 04.03.09 Conficker.D 08.04.09 Conficker.E
Conficker - virkemåte
Målrettede trojanske hester Profesjonell målrettet ondsinnet kode Skreddersydd for spionasje Angrepsvektor Stadig mer målrettet Ofte i liten skala: 1-100 ofre Spres som e-post vedlegg eller indirekte som weblinker Utnytter ukjente sårbarheter (0-day sårbarheter) Detekteres ikke av antivirus programvare
Målrettede trojanske hester
Malvertising 6. desember 2007 Malware-ads-sak på Startsiden, trolig det første angrepet av denne typen i Norge, og kampanjen hadde nesten 400.000 treff før den ble stoppet BT.no VG.no Startsiden.no Dagbladet.no Bloc.no no.msn.com
www.msn.no
Tjenestenektsangrep (DDoS) Rettet mot Politiske partier i inn- og utland Finansinstitusjoner CERT-miljøer Myndigheter
Politisk motiverte angrep Nederland (2004) Politiske demonstrasjoner som følge av upopulære helsereformer Webservere under angrep, utilgjengelige tjenester i ca. 1 uke Jyllands-Posten Danmark (2006) I kjølvannet av Muhammed karrikaturene (2005) DDoS-angrep som slo ut web-avisen i flere uker i januar 2006 Sverige (2006) Pirate Bay raidet av svensk politi Massive protester mot myndighetene og politiet spesielt DDoS-angrep som lammet politiet og regjeringen.se Estland (April-mai 2007) Myndighetene fjernet et russisk krigsmonument Massive DDoS-angrep mot en rekke webservere og kritisk infrastruktur Georgia (2008) Militær konflikt med Russland om blant annet Sør-Ossetia Angrep på de georgiske myndighetenes nettsider Gaza (2009) Militær konflikt på Gaza-stripen Hacker-angrep mot israelske nettsider
falske aksesspunkt / WarSucking Gir en helt vanlig internettforbindelse til brukeren men er Man-in-the-Middle på en enkel & effektiv måte. Logger alt (passord, data, etc) Viser falske websteder for å kunne ta "sikre" tjenster som banker, e-handelssteder. Passordkalkulatorer blir en lett match og kan misbrukes i sanntid.
Løsning Bruk mobilen
Social engineering!?! cause there s no patch for human stupidity
Er det mulig å sikre seg? Gode rutiner: Sikkerhetsarbeidet må forankres hos ledelsen Gjennomfør risikovurdering/risikoanalyse Utarbeid policy og retningslinjer for informasjonssikkerheten Gjennomfør opplæring og bevisstgjøring av ansatte Lag og øv på en beredskapsplaner
Er det mulig å sikre seg? Tekniske tips: Ha rutiner for oppdatering av operativsystemer og programvare Bruk brannmur Bruk oppdatert antivirus Ta sikkerhetskopi og test at den virker Oppdater, oppdater, oppdater
Er det mulig å sikre seg? Sikkerhetshendelser må detekteres Logging Monitorering hendelseshåndtering Beskytt selve informasjonen Bruk kryptering Sikker sletting PC-er, servere Kopimaskiner, printere Minnepinner, mobiltelefoner, PDA-er Papir og dokumenter
Er det mulig å sikre seg? Vær kritisk til epost fra ukjente avsendere Ikke åpne vedlegg i dem Kontakt IT-avdelingen og meld fra når du opplever noe merkelig!
Kontaktinfo Telefon: (+47) 4000 5899 Telefax: (+47) 6117 0900 post@norsis.no www.norsis.no