Månedsrapport Mars 2005 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde for IKT-systemer i Norge. Denne månedsrapporten gir en oversikt over nye trusler og sikkerhetshendelser i mars 2005. Trusler og hendelser 1. Spredning av Cabir 2. Mobilvirus spres via MMS 3. Økning av antall ormer som benytter IM 4. Phishing-forsøk mot en norsk bank Sårbarheter og oppdateringer 1. Service Pack 2 til Windows XP ut til alle 2. Alvorlig sårbarhet i RealPlayer 3. Buffer overflow-sårbarhet i CA License Manager-programvare 4. Sårbarhet i Symantecs brannmurprodukter 5. Sårbarhet i McAfee Antivirus Library 6. Sårbarheter i Firefox/Mozilla/Thunderbird 7. Oppdatering fikser sårbarheter i OS X 8. Ingen security bulletin fra Microsoft Andre nyheter 1. Fra Norge - Nasjonal sikkerhetskonferanse i Trondheim - Anonym tysting på kolleger 2. Fra internasjonal presse - Arrestert for tjenestenektingsangrep 3. Nytt materiale fra SIS - nye veiledninger: - Risikostyring En veiledning for kommuner - IKT-sikkerhet på reise - Motiver for IT-kriminalitet Senter for informasjonssikring (SIS), S. P. Andersens vei 15, N-7465 Trondheim Tlf: (+47) 73 59 29 40 / Fax: (+47) 73 59 43 02/ E-post: post (a) norsis.no
Trusler og hendelser 1. Spredning av Cabir Ormen Cabir, som angriper mobiltelefoner med operativsystemet Symbian, ble kjent i juni 2004. Den var da ennå ikke observert i fri spredning, kun i kontrollerte former på testlaboratorier. I den siste måneden har Cabir dukket opp hos mobiltelefonbrukere i flere land, noe som altså betyr at den nå spres fritt og ikke lenger kun befinner seg innenfor testlaboratorier. Les mer: http://www.norsis.no/details.php?type=virus_ormer&id=480 2. Mobilvirus spres via MMS Et virus som har fått navnet Commwarrior spres via MMS og Bluetooth til mobiltelefoner som benytter operativsystemet Symbian Series 60. Viruset gjør ingen direkte skade på infiserte telefoner, men forsøker å sende ut MMS-meldinger til alle lagrede telefonnumre, og det kan fort bli en kostbar affære. For øyeblikket er to varianter kjent ( A og B ), og flere kan komme. Les mer: http://www.norsis.no/details.php?type=virus_ormer&id=482 3. Økning av antall ormer som benytter IM I den siste tiden har det vært en stor økning i antall ormer som spres gjennom blant annet MSN Messenger. Brukere av IM blir fristet av forlokkende lenker som ser ut som de kommer fra noen de kjenner, og mange har blitt infisert. De ormene som er mest aktive på IM-fronten nå, er Kelvir, Sumom og Bropia. Spesielt sistnevnte har kommet i mange ulike varianter på kort tid. Alle disse ormene installerer en trojaner på infiserte maskiner. Les mer: http://www.norsis.no/details.php?type=virus_ormer&id=485 4. Phishing-forsøk mot en norsk bank Mange kunder i DnB NOR har nylig mottatt en e-post der de ble bedt om å legge igjen innloggingsinformasjon og kortopplysninger på en falsk nettbankside. Siden har samme design som DnB NOR sine egne sider. Denne gangen var e-posten som ble sendt ut, skrevet på engelsk, noe som sikkert gjorde at svindelen hadde mindre effekt. Men det er all grunn til å tro at phishingforsøk som benytter norsk tekst, og dermed vil være mer troverdige, kommer i fremtiden. Les mer: http://www.norsis.no/details.php?type=nyheter&id=488 2
Sårbarheter og oppdateringer 1. Service Pack 2 til Windows XP ut til alle Da SP 2 ble utgitt i august 2004, la Microsoft inn en ekstra funksjonalitet i Windows Update slik at man ikke ble påtvunget denne oppdateringen. Bakgrunnen var et ønske fra ulike virksomheter, som ønsket noe tid til å teste ut hvordan SP 2 ville påvirke deres systemer. Men fra 12. april 2005 vil alle som benytter seg av automatisk Windows-oppdatering få Service Pack 2 til Windows XP enten de vil eller ikke. Les mer: http://www.norsis.no/details.php?type=nyheter&id=478 2. Alvorlig sårbarhet i RealPlayer En sårbarhet i flere versjoner av RealPlayer kan medføre kompromittering av et system ved avspilling av WAV- og SMIL-filer. Les mer: http://www.norsis.no/details.php?type=sarbarheter&id=474 3. Buffer overflow-sårbarhet i CA License Managementprogramvare Computer Associates har oppdaget, og publisert oppdatering for, flere sårbarheter i deres License Management-programvare. Vellykket utnyttelse av disse sårbarhetene vil kunne gi uvedkommende som sitter på utsiden av det sårbare systemet muligheten til å få kjørt vilkårlig kode på det. Les mer: http://www.norsis.no/details.php?type=sarbarheter&id=479 4. Sårbarhet i Symantec brannmurprodukter En sårbarhet i Symantec brannmurprodukter kan føre til at tekstlige internettadresser fører deg et annet sted enn du ønsker. Sårbarheten gjør det mulig å legge til falske ip-adresser (f.eks. 213.225.123.50) for tekstlige adresser (f.eks. www.norsis.no) i hurtiglageret på brannmuren eller portneren. Dette kalles for et DNS cache poisoning attack. Sårbarheten kan sannsynligvis utnyttes i forbindelse med Phishing og andre former for lureri. Les mer: http://www.norsis.no/details.php?type=sarbarheter&id=484 3
5. Sårbarhet i McAfee Antivirus Library McAfee Antivirus Library er et bibliotek som benyttes av McAfee Antivirus programvaren for å sjekke om filene på et system inneholder uønsket kode. En sårbarhet i dette biblioteket kan føre til at en angriper får kjøre kode som systembruker på det sårbare systemet. Les mer: http://www.norsis.no/details.php?type=sarbarheter&id=487 6. Sårbarheter i Firefox/Mozilla/Thunderbird Produkter fra Mozilla Foundation er sårbare for bl.a. kompromittering ved visning av spesielt utformede GIF-bilder. Den alvorligste sårbarheten har sin bakgrunn i en etter hvert klassisk tolkningsfeil ved visning av bildefiler; denne gang GIF-bilder. Les mer: http://www.norsis.no/details.php?type=sarbarheter&id=489 7. Oppdatering fikser sårbarheter i OS X Siste sikkerhetsoppdatering fra Apple lapper flere hull i Mac OS X. Sårbarhetene spenner fra muligheter for tjenestenekting (kræsjing av applikasjoner) til den nå etter hvert berømte "IDN-svakheten", hvor det er mulig for Phiskere å lage domenenavn med spesielle Unicode tegn som er bare litt forskjellige fra f.eks. adressen til en nettbank. De spesielle tegnene "oversettes" til "vanlige" tegn i nettleseren, og dermed ser det ut som at man er på nettbanksiden når man egentlig bare er i Phiskedammen. Les mer: http://www.norsis.no/details.php?type=sarbarheter&id=490 8. Ingen security bulletin fra Microsoft Microsoft publiserer vanligvis en security bulletin andre tirsdag i måneden, men i mars var det ingen nye sårbarheter å berette om. Andre nyheter 1. Fra Norge Nasjonal sikkerhetskonferanse i Trondheim Den Norske Dataforening arrangerer den nasjonale konferansen Sikkerhet og sårbarhet i Trondheim 11. og 12. mai. Dette er tredje gang konferansen avholdes, og fokus i år er på kritisk IT-infrastruktur. Hvordan ser Internett ut i Norge? Hva skjer når kritiske datasystemer feiler? I hvor stor grad er vi avhengige av andres systemer? Dette og mer til står på agendaen når ITsikkerhetsfolk fra hele landet møtes i Trondheim i mai. Les mer: http://www.norsis.no/details.php?type=nyheter&id=486 4
Anonym tysting på kolleger Sarbanes-Oxley Act krever at virksomheter må etablere varslingslinjer som lar ansatte rapportere dersom de har mistanker om svindel eller andre økonomiske misligheter. Varslingsrutinene må sikre anonymitet til den som varsler. En rekke norske virksomheter må tilpasse seg Sarbanes-Oxley, og EDB-konsernet er sannsynligvis først i landet til å innføre slike varslingsrutiner. EDB-ansatte kan varsle advokat Frode Sulland, via e-post, telefon eller telefaks, dersom de mistenker en kollega for å bedrive ulovligheter. Les mer: http://www.digi.no/php/art.php?id=210638 2. Fra internasjonal presse Arrestert for tjenestenektingsangrep FBI har arrestert to personer for å ha stått bak et tjenestenektingsangrep mot nettstedet www.jersey-joe.com. Nettstedet er en forretningsmessig konkurrent til den ene av disse to personene, som da leide inn den andre for å utføre angrepet. Et botnet ble brukt for til gjennomføringen av angrepet. Innleieren kan få opptil fem års fengsel og en bot som er det dobbelte av tapet som ble lidd av jersey-joe.com. Les mer: http://www.freep.com/news/statewire/sw113188_20050318.htm 3. Nytt materiale fra SIS SIS har i løpet av mars publisert tre nye veiledninger. Risikostyring - En veiledning for kommuner For å kunne beskytte sine verdier på en hensiktsmessig måte er det viktig å ha et gjennomtenkt forhold til risiko. En vurdering av risiko bør være en naturlig del av alle beslutningsprosesser. I samarbeid med foreningen Kommunal Informasjonssikkerhet (KInS) har SIS laget en veiledning om risikostyring knyttet til bruk av IKT i kommuner. Les mer: http://www.norsis.no/details.php?type=veiledninger&id=473 IKT-sikkerhet på reise Virksomheten bør ha tydelige retningslinjer om hvordan medarbeiderne skal forholde seg i arbeidssituasjoner utenfor virksomhetens lokaler, og denne veiledningen trekker fram en del vesentlige momenter i den sammenhengen. Les mer: http://www.norsis.no/details.php?type=veiledninger&id=481 5
Motiver for IKT-kriminalitet I denne artikkelen omtales ulike former for IT-kriminalitet, hvilke motiver som kan ligge bak en kriminell handling knyttet til IT og en sammenligning opp imot tradisjonell kriminalitet. Les mer: http://www.norsis.no/details.php?type=veiledninger&id=492 "Do not underestimate the power of the dark side" - Yoda 6