Kvartalsrapport for 3. kvartal 2012 Regjeringen satser stort på NSM I statsbudsjettet for 2013, som ble offentliggjort 8. oktober, går regjeringen inn for en historisk satsing på forebyggende sikkerhet med 42,9 millioner kroner. SIDE 3 Aktører på Internett er opportunistiske En zeroday-sårbarhet i Java som ble kjent i slutten av august vil være det vi husker best fra dette kvartalet. Sårbarheten ble utnyttet av flere exploit kits på infiserte nettsider. SIDE 4 Abuse-håndtering Intervju med sikkerhetsspesialister hos tre store norske Internettleverandører. I denne sammenheng med spesielt fokus på skadevare og angrep som utføres av eller mot kundene til ISPen. SIDE 20
Innhold 6 Aktiviteter 3 Sammendrag av kvartalet 4 Nøkkeltall fra NorCERT 6 En farlig cocktail av Java og OpenX 10 Black Hat og DefCon 12 10 ISF Høstkonferanse 13 Hendelse hos Tieto i Sverige 14 Nye ansatte i NorCERT 15 Sikker i utlandet 16 Hvordan starte en CERT/ CSIRT 18 16 Abuse-håndtering 20 Hvordan få sikrere webhotell 22 DDOS mot svenske regjeringssider 24 Åpenhet om hendelser gir bedre sikkerhet 26 Vær bevisst på din risiko 28 26 Ett år med kvartalsrapporter 29 Kvartalets skråblikk 30 Vi trenger flere dyktige ansatte! 32 30
NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL 2012 3 Aktiviteter Kjernevirksomheten i NorCERT skjer i operasjonssentet i Tvetenveien 22. Vi er imidlertid også engasjert i endel aktiviteter ute i samfunnet. I kvartalet som kommer har vi blant annet planlagt aktivitetene som er listet nedenfor. Er du i nærheten av der vi er? Da oppfordrer vi deg til å ta kontakt! IT-sikkerhet er et nasjonalt lagspill, og alle vinner på å bli bedre kjent. Internasjonal koordinering og bilateral dialog er ikke med i oversikten. 4. okt: Deltakelse i Cyber Europe øvelse i regi av EU En historisk satsing Tredje kvartal 2012 vil skrive seg inn i historien som et veiskille for NorCERT. I statsbudsjettet for 2013, som ble offentliggjort 8. oktober, går regjeringen inn for en historisk satsing på forebyggende sikkerhet med 42,9 millioner kroner. Det betyr en økning på 30 prosent til Nasjonal sikkerhetsmyndighet. Det er svært gledelig. Døgnbemanning 32,6 millioner kroner skal brukes på å styrke NorCERT. For vår del betyr det en dobling av antall ansatte på svært kort tid. Helt konkret betyr det at vi får en reell døgnbemanning i operasjonssentret. Det betyr også at vi bedre kan håndtere den store arbeidsmengden og følge opp saker vi i dag ikke har ressurser til å prioritere. Norge får rett og slett mer penger til å styrke IKT-sikkerheten i samfunnet, både når det gjelder det å forebygge, men også i å oppdage, avverge og håndtere alvorlige IKTsikkerhetshendelser for samfunnskritiske funksjoner og virksomheter. Kvalitet og oppfølging Saksmengden i NorCERT har økt med over 30% hvert år de siste årene, og i 2012 har det vært lengre perioder hvor vi har hatt et sakspress så høyt at det har gått hardt ut over den kvalitet og oppfølging som vi føler må være et minimum. Det er da gledelig og tilfredsstillende at Regjeringen ser hva vi har gjort og vurderer det som viktig for samfunnet å styrke vår funksjon. En slik vekst vil ikke bare bli lett. Vi må nå kombinere en stor mengde høyt prioriterte saker veid mot det å utvikle NorCERT for morgendagen. Fordelen er at vi nå vet at det er ressurser som etterhvert kan avlaste en sliten besetning! Vi gleder oss til høsten og vinteren! Med vennlig hilsen Eiliv Ofigsbø, Sjef NorCERT 10. okt: Deltakelse i European Government CERT Group (EGC) møte i Wien 15. okt: Foredrag for Næringsforeningen i Trondheim 16-17. okt: Deltakelse på 7th CERT workshop i regi av ENISA, hvor CERT-Law Enforcement har fokus, Nederland 16. okt: Deltakelse på The grand conference IT-sikkerhets fokus, Nederland 17. okt: Deltakelse i 10års markeringen av NorSIS, Gjøvik 18. okt: Foredrag rundt sikkerhetsmessige utfordringer i kraftsektoren, Gardermoen 25. okt: Stand på Dagen@IFI på Universitetet i Oslo 29. okt - 2 nov: Deltakelse på øvelse i regi av Multi National Experiment (MNE) 7, England 9. nov: Foredrag på Høgskolen i Gjøvik 13. nov: Foredrag på Paranoia konferansen i Oslo 15. nov: Foredrag for kraftbransjen på Gardermoen 13-16 nov: Deltakelse i Cyber Coalition øvelse i regi av NATO 21. nov: NorCERT Forum for partnere og medlemmer med blant annet Brett Stone-Gross (Dell SecureWorks), Oslo 29. nov: Deltakelse i øvelsen Nisö 12, Sverige 4-7 des: Deltakelse på HackCon kurs i Oslo 6. des: Foredrag for Nordisk økonomisk samarbeidsforum, Oslo 7. des: Foredrag for Norsk logistikkforum, Oslo NorCERT sikkerhetsforum 21. november
4 KVARTALSRAPPORT FOR 3. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Sammendrag av kvartalet Norske nettsider spredte dette kvartalet mer skadevare enn noen gang før, kompromitterte reklameannonser på nettsidene førte til spredning av skadevare og virus til vanlige databrukere. Virus rettet mot norske nettbanker har hatt et stort oppsving, Norge var i slutten av september i Europatoppen på antall infiserte maskiner i forhold til antall brukere totalt sett. NorCERT har som vanlig håndtert en stor mengde alvorlige saker knyttet til spionasje mot norske høyteknologibedrifter. I dette kvartalet ble flere viktige sårbarheter det ikke finnes oppdatering for, såkalte Zeroday-sårbarheter, kjent og hyppig utnyttet. Sårbarhetene var knyttet til programvare som er mye brukt i Norge, som Java, Internet Explorer, Adobe Flash Player og så videre. NorCERT ser indikasjoner på at mange aktører på Internett er opportunistiske. Hvis de ser et offentlig kjent hull i en kjent programvare, utnytter de denne sårbarheten fremfor å bruke kostbare og egenutviklede angrepsmetoder. Dette er aktører som har ulike intensjoner, fra å bygge nettverk av kaprede datamaskiner gjennom såkalte botnett for søppelpost, til spionasje og tyveri av sensitiv informasjon. Økt trusselnivå Spesielt norske nettsider har blitt brukt til å spre kode som utnytter Zeroday-sårbarheter. I midten av september var omfanget av dette så stort at NorCERT valgte å øke NorCERT-pulsen, som forteller hvordan vi ser på trusselnivået for samfunnsviktig infrastruktur i Norge, til nivå 3 (1 er normal). Vurderingen baserte seg da på at Zeroday-sårbarhetene ble brukt i flere konkrete tilfeller, både i spionasje mot høyteknologibedrifter og spredning av nettbanktrojanere mot norske hjemmedatamaskiner. Varsling til norske leverandører av web-hotell I slike tilfeller ønsker NorCERT å være i forkant og varsle bredt om sårbarheter og tiltak. Denne høsten har vi vært spesielt aktive mot leverandører av webhotell for å avdekke, varsle og bistå i håndteringen når en norsk nettside sprer skadevare. I samarbeid med virksomhetene oppdaget vi at annonsesystemet OpenX hadde sårbarheter som ble misbrukt for å legge inn angrepskode på legitime nettsider. Fordi de samme sårbarhetene ble utnyttet flere steder, ønsket vi også å varsle bredt til de norske webhotell-leverandørene. En Zeroday-sårbarhet i Java som ble kjent i slutten av august vil være det vi husker best fra dette kvartalet. Sårbarheten ble utnyttet av flere exploit kits, samt også gjennom webinfections gjennom sårbarheter i OpenX. Java er aktivert hos mange norske brukere grunnet BankID, og vi så at angripere fikk god effekt av sårbarheten. Oracle kom med oppdatering 30. august, men denne sårbarheten viste i praksis at nordmenn er trege til å oppdatere sine systemer, selv etter svært mye mediafokus. Spredningen gjennom Open X er beskrevet nærmere i egen artikkel. «En Zeroday-sårbarhet i Java som ble kjent i slutten av august vil være det vi husker best fra dette kvartalet. Sårbarheten ble utnyttet av flere exploit kits, samt også gjennom webinfections gjennom sårbarheter i OpenX.» 16. september ble det kjent at det lå angrepskode åpen for å utnytte en ukjent svakhet i Internet Explorer. Noen land, blant annet den tyske sikkerhetstjenesten vurderte denne sårbarheten som så kritisk at de gikk ut å anbefalte vanlige brukere å midlertidig bytte nettleser til sårbarheten ble oppdatert. Også vi i NSM anbefalte å vurdere bruk av andre nettlesere inntil situasjonen ble avklart. Oppdatering ble rullet ut 20. september. NorCERT observerte at sårbarheten raskt ble benyttet i målrettede angrep mot norske bedrifter, samt mot ikke-statlige organisasjoner (NGO-er). Angriperne gikk da enten direkte til verks i målrettede eposter (gjerne med link til en webside som serverte sårbarheten), eller ved såkalt Waterholing, ved at de kompromitterte en webside som man visste at mange i firmaet/bransjen ville besøke. Nettbanktrojanere Dette kvartalet har også spredning av nettbanktrojanere hatt et svært stort oppsving i Norge. Spesielt trojaneren Torpig spredde seg på kort tid til mange tusen hjemmedatamaskiner og i slutten av september var Norge i Europatoppen på antall infiserte maskiner målt mot antall Internett-abonnenter for denne trojaneren. Norske banker gjorde som tidligere en imponerende jobb for å håndtere angrepene. De alvorligste truslene - spionasje og sabotasje NorCERT har som vanlig håndtert en stor mengde alvorlige saker knyttet til spionasje mot norske høyteknologibedrifter. Dette er en konstant trussel mot Norge, og en kamp som vil pågå i overskuelig fremtid. En Zeroday i et svært utbredt rammeverk for styringssystemer (Tridium Nigara) ble kjent dette kvartalet. Systemet brukes i en rekke produkter, blant annet i adgangskontrollsystemer. Dette minner oss på at koblingen IKT og den fysiske verden kommer stadig nærmere, og at SCADA ikke bare er forbeholdt kraftverk og olje-gass installasjoner. Tjenestenektangrep Forrige kvartal hadde flere tjenestenektangrep mot kjente offentlige og private virksomheter. Dette kvartalet har vi imidlertid ikke sett noen omfattende tjeneste-
NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL 2012 5 nektangrep. Det har imidlertid blitt observert noen mindre angrep på studie-relaterte sider. At dette skjedde i skoleferien kan gi noen indikasjoner på intensjonen fra de som sto bak. Tjenestenektangrepet mot svenske myndighetssider i månedsskiftet september/oktober var i så måte betydelig større, og fikk da også en stor internasjonal pressedekning. NorCERT er kjent med at angrepene ikke var svært komplekse, og heller ikke av enorme proporsjoner. At ulike aktører protesterer, også på Internett, er en del av vår digitale hverdag, og noe alle må ta inn i sine beredskapsplaner (herunder å vurdere hvor bra sikkerhet man må ha på ulike tjenester som er eksponerte på Internett). Mer om denne saken er beskrevet i egen artikkel i denne kvartalsrapporten. Internasjonalt Internasjonalt vakte Kaspersky oppmerksomhet dette kvartalet ved å komme med en analyse av Gauss, en ny skadevare som de mener er koblet til Flamer platformen (Stuxnet/Duqu). En annen oppsiktsvekkende sak internasjonalt er den aktivismen som det tyrkiske utenriksdepartementet opplevde i sommer. Her ble en stor mengde persondata knyttet til diplomater og deres familier som jobber i Tyrkia stjålet. Videre opplevde departementet omfattende defacing av websidene sine.
6 KVARTALSRAPPORT FOR 3. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nøkkeltall fra NorCERT NorCERT har i dette kvartalet sett en kraftig økning i antall nye saker og i antall saksoppdateringer. Dette har medført en økt arbeidsbelastning på operasjonssenteret. Det har også vært en økning i antall alvorlige saker, men størsteparten av økningen har vært i antall infiserte maskiner. Fordi vi også har sett en økning i antall saker relatert til infiserte nettsider som sprer skadevare, er det grunn til å tro at dette kan ha en sammenheng med økningen i infiserte maskiner. Av de infiserte maskinene er de aller fleste infisert med en varianter av forskjellige banktrojanere som brukes til nettbanksvindel. Aktivitetsnivået I forrige kvartalsrapport, 2012 Q2, rapporterte vi at det var en liten nedgang i antall nye saker, sett opp mot de to forrige kvartalene. Vi nevnte forrige gang at vi håpet at aktivitetsnivået ville stabilisere seg, selv om dette var på et høyt nivå. I de tre forrige kvartalene har antall nye saker ligget på underkant av 2000, men dette har ikke vært tilfellet når vi ser på tall (figur 1) fra dette kvartalet (2012 Q3). Antall nye saker dette kvartalet har økt med 26%, fra 1817 til 2292. Økningen i antall nye saker kan være på grunn av økt fokus på sikkerhet hos norske virksomheter, som igjen kan ha ført til økt rapportering om hendelser inn til Nor- CERT fra virksomhetene eller fra det norske sikkerhetsmiljøet. Økningen kan også delvis være på grunn av bedre datagrunnlag, det vil si at vi har fått flere kilder som rapporterer om hendelser, men også at det generelt sett har vært flere sikkerhetshendelser. Vi har også hatt en økning i antall alvorlige hendelser, som digital spionasje-saker, men også økning i antall infiserte klientmaskiner og økning i antall norske nettsider som sprer skadevare. Vi har også håndtert flere saker som omhandler utnyttelse av sårbarheter i kritiske applikasjoner. Antall saksoppdateringer har vært på over 6000 i de tre forrige kvartalene. Dette betyr at det var i gjennomsnitt rundt tre saksoppdateringer per sak. I dette kvartalet har antall saksoppdateringer vært på over 7600 i motsetning til 6100 i forrige kvartal. Det er en økning på over 23% (fra 6164 til 7605). Siste gang vi hadde en så stor økning var overgangen til fjerde kvartal 2011, hvor økningen i saksoppdateringer var på nesten 26% (fra 5001 til 6301). En saksoppdatering vil typisk være at man sender ut en e-post, loggfører en telefonsamtale, legger inn analyseresultater, nye funn, kommentarer eller liknende. Det betyr at det bak mange av saksoppdateringene kan det være mye manuelt arbeid, mens enkelte oppdateringer kan være knyttet til delvis automatisert utsending av varsel, spesielt på infiserte klientmaskiner. Økning i antall saksoppdateringer henger sammen med et høyere antall nye saker, men det kan også bety mer arbeid med enkelte saker. Et stort antall saksoppdateringer betyr altså en økt arbeidsbelastning ved håndtering av saker på NorCERT operasjonssenter. Operasjonssenteret har merket arbeidspresset de siste par månedene i forhold til generelt flere saker og mer å gjøre i hver sak. «Vi har hatt en økning i antall alvorlige hendelser. Spesielt digital spionasje-saker.» Med forslaget til økning i statsbudsjettet vil vi bedre kunne håndtere den store arbeidsmengden og følge opp saker vi per i dag ikke har ressurser til å prioritere. Nor- CERT vil derfor fremover få mer midler til å jobbe for å styrke IKT-sikkerheten i samfunnet, både i forebyggende arbeid, men også i varsling og håndtering av hendelser. I tillegg vil vi fortsatt arbeide hardt for å oppdage, avverge og håndtere alvorlige IKT-sikkerhetshendelser for samfunnskritiske funksjoner og virksomheter. FIGUR 1 : Antall håndterte saker fra første kvartal 2007 til tredje kvartal 2012.
NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL 2012 7 Prioritet NorCERT har i dette kvartalet hatt 15 nye saker som vi har ansett som alvorlige. Totalt har vi håndtert 23 alvorlige saker. Dette er en økning fra 10 nye saker i forrige kvartal og 16 saker totalt. De alvorlige sakene omhandler i hovedsak digitale spionasjesaker mot norske virksomheter, men Java-sårbarheten i august og utnyttelse av denne ble også regnet som en av de alvorligste sakene som NorCERT har håndtert. Tabell 1: Alvorlige saker: Prioritet Nye Totalt Høy 15 23 Medium 202 227 Lav 2033 2043 Prioritet for nye og totalt antall behandlede saker for tredje kvartal 2012 Av saker med medium prioritet er saker som omhandler varsler om sårbarheter, mistenkelig trafikk mot VDI-deltagere, datalekkasjer, informasjon om nettbanktrojanere og distribuerte tjenestenektsangrep. Saker med medium prioritet har økt fra 151 nye saker i forrige kvartal (2012 Q2) til 202 i dette kvartalet. Av sakene med lav prioritet, er de som går på semi-automatiske varsler til ISP-er om infiserte klientmaskiner eller varsler til webhosting-leverandører om enkeltstående, infiserte nettsider. Her ser vi den kraftigste økningen fra 1617 nye saker i forrige kvartal, til 2033 nye saker dette kvartalet. Det gjenspeiles i grafen over infiserte klientmaskiner og grafen over infiserte nettsider, nevnt i avsnittet Infiserte klientmaskiner under. For NorCERT operasjonssenter har den generelle økningen i antall nye saker og saksoppdateringer også ført til at man ikke har hatt mulighet til å sette inn alle de ressurser man normalt set ville ha brukt på å håndtere de alvorligste sakene. Det har enkelte ganger vært en avveining om hvilke saker som må prioriteres over andre, for eksempel om vi bør varsle raskt om infiserte, store norske nettsider som sprer skadevare eller gjøre en grundig analyse av alvorlige dataangrep. Vi håper at vi skal få mulighet til å prioritere håndtering av flere alvorlige saker med de nye ressursene NorCERT får de neste årene. Vi ønsker fortsatt at norske virksomheter rapporterer inn alvorlige saker inn til Nor- CERT. NorCERT har kompetanse på håndtering av disse sakene og det er viktig at vi blir informert for at vi skal ha et oppdatert nasjonalt IKT-risikobilde, i tillegg til at vi bistår virksomhetene med håndteringen. I det forebyggende arbeidet er det viktig å analysere angrep for å kartlegge hvordan det skjedde og hvordan man kan hindre at «Det er viktig at vi blir informert om alvorlige hendelser. Dette for at vi skal ha et oppdatert nasjonalt IKTrisikobilde» det skjer igjen. Analyser som NorCERT har gjort på enkelte saker har gjort at vi har oppdaget nye tilfeller som har gått ubemer- Nøkkeltall I hver kvartalsrapport vil NorCERT presentere statistikk basert på egne data eller på analyse av andres. Formålet er å formidle kunnskap om NorCERTs arbeid og om det generelle IKT-risikobildet. På sikt er det mulig artikkelserien vil stabilisere seg rundt utvalgte målepunkter, men vi kommer til å eksperimentere en del både i form og innhold. Saksbehandling NorCERT behandler alle saker mot eksterne parter i vårt interne saksbehandlingssystem. Når vi rapporterer på antall saker vi håndterer, prøver vi samtidig å illustrere omfanget av de ulike sakene ved å rapportere antall oppdateringer vi har per sak. NorCERT rapporterer kun på operative saker tilknyttet operasjonssenteret vårt. De fleste saker vil derfor være knyttet til hendelser NorCERT er involvert i å håndtere. ket hen tidligere. Eksempelvis analyserer NorCERT data for å få "trigger"-informasjon for å oppdage nye tilfeller, enten i nettverkstrafikk eller på disk. Analyser er også essensielt for å kunne avgjøre alvorligheten av en hendelse. Oversikt over saker per hovedkategori Tabell 2: Saker per hovedkategori: NorCERT operasjonssenter Sakskategori Saksantall Per dag Andel Varsel om kompromitterte systemer til ISP eller hostingleverandør 1859 20,2 82,7% Deling av informasjon med samarbeidspartnere, inkl. VDI-deltakere 167 1,8 7,4 % Varsler til deltakere i VDI og samfunnsviktig infrastruktur 32 0,3 1,4% Annet 191 2,1 8,5% Totalt antall saker 2249 24,4 100 %
8 KVARTALSRAPPORT FOR 3. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Infiserte nettsider I forrige kvartal (2012 Q2) rapporterte vi om en økning i antall kompromitterte nettsider. Det vil si nettsider som er infisert og serverer skadevare til besøkende, men også nettsider som brukes til phishing-angrep. På grunn av sårbarheter i annonsenettverket på websider, eller på grunn av dårlig sikrede webapplikasjoner, har kriminelle på Internett fått injisert kode på legitime nettsider som har omdirigert besøkende til en ondsinnet webside med angrepskode. I dette kvartalet har vi sett en enda større økning i antall saker hvor vi har varslet om kompromitterte nettsider (figur 2). Vi har også sett at flere store, norske nettsider har vært rammet. Det vil si at store nettsider, som en vanlig bruker kanskje ville tro at var sikre, har servert angrepskode og infisert maskiner med «Det vil si at store nettsider, som en vanlig bruker kanskje ville tro at var sikre, har servert angrepskode og infisert maskiner med skadevare.» skadevare. En bruker vil ikke kunne oppdage dette selv, da angrepet skjer skjult for brukeren. Antivirus vil i mange tilfeller kun gi en falsk trygghet, da skadevare (og angrepskode) lett kan forandres for å unngå deteksjon. NorCERT har også sett en økning i antall infiserte klientmaskiner. Dette kan ha en sammenheng med antall infiserte nettsider. Det er grunn til å tro at det faktisk har vært en reell økning i antall infiserte nettsider. Det er kanskje på grunn av flere sårbarheter utnyttes, eller at det er flere kriminelle som opererer på Internett. Det kan også være fordi norske nettbrukere og virksomheter ikke er raske nok til å installere sikkerhetsoppdateringer og at sårbarheter lett kan utnyttes på websider. Noe av grunnen til vi har håndtert flere saker, er nok også på grunn av økt rapportering inn til NorCERT. Det norske sikkerhetsmiljøet, som NorCERT samarbeider tett med, informerer NorCERT om infiserte nettsider, og så varsler NorCERT den aktuelle ISP-en eller webhosting-leverandøren. Dette vil også bidra til den økte statistikken Infiserte klientmaskiner NorCERT har registrert en kraftig økning i antall infiserte klientmaskiner i dette kvartalet. Figuren viser det totale antall unike IP-adresser til infiserte klientmaskiner som vi varsler på to ganger i uken. I de to første månedene i dette kvartalet, juli og august, har banktrojaneren ZeuS vært den skadevaren som har stått for de FIGUR 2: Oversikt over saker som omhandler infiserte nettsider. Her har det vært en kraftig økning fra forrige kvartal. FIGUR 3 : Oversikt infiserte klientmaskiner som er rapportert til norske ISP-er dette kvartalet. Spesielt er det nettbanktrojanere som Torpig og ZeuS-varianter som det er registrert flest av.
NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL 2012 9 fleste av de innrapporterte infeksjonene. I begynnelse av september registrerte vi en økning i antall infeksjoner av banktrojaneren Torpig. Ved utgangen av september var økningen i antall Torpig-infeksjoner ekstremt stor. «Norske nettbrukere og virksomheter er ikke raske nok til å installere sikkerhetsoppdateringer» Bakgrunnen til økningen i Torpig er at det har vært flere phishing-kampanjer som har gått mot norske nettbanker, hvor brukerne har blitt lurt til å gå inn på en phishing-side. Der har det vært angrepskode som har utnyttet sårbarheter i Java og Adobe PDF for å installere banktrojaneren Torpig. NorCERT er også kjent med at mange av de infiserte nettsidene som NorCERT varsler om til norske webhotell og hostingleverandører serverer forskjellige varianter av banktrojanere, som ZeuS, SpyEye og Citadel. Spesielt var dette tilfellet med utnyttelse av Java-sårbarheten i august. Bankene selv rapporterer også om en økning i antall svindelforsøk med nettbanktrojanere.
10 KVARTALSRAPPORT FOR 3. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT En farlig cocktail av Java og OpenX Bare timer etter at en Zeroday-sårbarhet i Oracle Java 7 ble offentlig kjent søndag 26. august 2012 ble sårbarheten utnyttet mot besøkende på norske nettsteder. Angriperne hadde utnyttet en sårbarhet i annonsesystemet på nettstedene. Det var ikke første gang disse angriperne hadde holdt på i Norge. Oracle Java er et program som hovedsakelig brukes i nettlesere for å kjøre tilleggsprogrammer. BankID er et slikt tilleggsprogram. Det brukes for å autentisere seg i norske nettbanker. I følge Oracle finnes Java i ulike varianter på 3 milliarder enheter. Det er estimert 1 milliard maskiner var sårbare for denne sårbarheten. Dermed var det potensielt en svært alvorlig sak. Det oppdages kontinuerlig sårbarheter i de fleste programmer. I de fleste tilfeller blir sårbarheten rettet før detaljene blir offentlig kjent om de noen gang blir kjent. Siden mange bruker lang tid på å oppdatere, kan sårbarheter utnyttes selv om det finnes en oppdatering som retter sårbarheten. Javasårbarheter har de siste årene vært de mest effektive inngangsdørene for angripere. Kriminell gruppe bak angrepene En sårbarhet som det ikke finnes en sikkerhetsoppdatering til kalles gjerne en Zeroday-sårbarhet. Oracle kjente til sårbarheten fra før. De hadde blitt varslet om sårbarheten flere måneder tidligere, men det var ikke ventet en oppdatering før to måneder senere. Dette gjorde det spesielt alvorlig siden det ikke var mulig å beskytte seg. I samarbeid med nettstedene som ble utsatt for angrep ble det kartlagt hva som hadde skjedddet ble klart at angriperne hadde utnyttet en sårbarhet i annonsesystemet OpenX. Det er det samme annonsesystemet som ble brukt til å spre løsepengevirus tidligere i år. Tekniske spor tyder også på at det er samme kriminelle gruppe som sto bak dette angrepet. Gruppen har trolig angrepet andre utenlandske nettsider på samme måte. Skadebegrensning En hendelse som dette ble vurdert så alvorlig at NorCERT-pulsen ble økt til tre. I et forsøk på å begrense angrepet på norske nettsteder ble alle webhotell- og internettleverandører (ISP) i Norge varslet. Det ble også publisert en veiledning på NSMs nettsider for å hjelpe med å sikre nettsteder. Ved hjelp av sensornettverket til Nor- CERT ble situasjonen monitorert. Dette
NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL 2012 11 Bildet viser JavaScriptet som redirigerte besøkende til nettsider med skadevare. I dette tilfellet hxxp://zerosevenkey.dyndns.com gjorde at NorCERT kunne oppdage og varsle nettsteder som ble brukt til å spre skadevare. Ved hjelp av samarbeid med sikkerhetsmiljøet nasjonalt og internasjonalt fikk NorCERT en god oversikt over situasjonen. «Javasårbarheter har de siste årene vært de mest effektive inngangsdørene for angripere» Tidligere angrep I april 2012 varslet NorCERT om stor spredning av løsepengevirus (ransomware). Dette ble spredd via norske nettsteder som var kompromittert via deres OpenX annonsesystem. Logganalyse tyder på at det er samme gruppe som står bak dette. Også den gang ble en Java-sårbarhet benyttet (CVE-2012-0507) og en banktrojaner ble installert (IceIX). Trojaneren ble så trolig kommandert til å installere løspengeviruset. Hendelsen skapte store problemer for enkelte organisasjoner. Saken er beskrevet i NorCERTs kvartalsrapport for 2. kvartal 2012. I juni 2012 ble et studienettsted kompromittert via deres annonsesystem OpenX. Nettsiden ble benyttet til å spre banktrojaneren Citadel. Tekniske funn tyder på at samme gruppe står bak. Det ble benyttet samme nøkkel i skadevare, og lignende domenestruktur. NorCERT har også håndtert flere saker hvor mindre norske nettsteder sprer skadevare. Noen av disse har utnyttet den aktuelle java-sårbarheten, men er trolig ikke relatert til disse OpenX kompromitteringene. Kompromittering av OpenX Alle nettstedene som ble kompromittert i denne hendelsen har blitt kompromittert via sårbarheter i annonsesystemet OpenX. Analyser av logger fra kompromitterte nettsteder antyder at det er samme gruppe som står bak disse angrepene. Javascript På de kompromitterte nettstedene injiseres det program (script) i annonsene som gjør at besøkenes nettleser vil laste en fil fra en annen server. Scriptene inneholder en algoritme som gjør at tidspunktet avgjør hvilket domene som skal kontaktes. Scriptene er maskert for å gjøre det vanskeligere å oppdage og forstå hva som utføres av scriptet. Likheter i scriptene underbygger at det er samme gruppe som står bak. Sårbarheten Sårbarheten som benyttes for å kompromittere besøkende er den nye sårbarheten i Java 7 (CVE-2012-4681). For brukere som har Java 6 benyttes en annen sårbarhet (CVE-2012-1723). Denne sårbarheten ble det sluppet en oppdatering for i juni. Informasjon om trojaneren Trojaneren som har blitt observert i dette angrepet er en variant av ZeuS som kalles Citadel. Dette er en trojaner som blant annet kan brukes til nettbanksvindel. Den kan også brukes til å installere andre trojanere på maskinen etter angriperens ønske. NorCERT har foretatt en overflatisk analyse for å kunne varsle kompromitterte. Videre oppfølging Selv om det nå finnes en oppdatering som retter Java sårbarheten må man anta at det i lang tid fremover vil finnes norske brukere som fremdeles er sårbare. Nor- CERT varsler ukentlig internettleverandører om flere tusen norske maskiner som er kompromittert av diverse skadevare. Når det gjelder kompromitteringer av norske nettsider er dette et kontinuerlig arbeid som NorCERT gjør hver uke. Det er en trend at dette antallet øker.
12 KVARTALSRAPPORT FOR 3. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Black Hat og DefCon Hvert år reiser hackere og sikkerhetsfolk fra hele verden til Las Vegas for å delta på Black Hat og DefCon. Sistnevnte konferanse feirer forøvrig 20 års jubileum. Begge konferansene inneholder tema som enten er av offensiv art Hva kan hackes og hvordan kan det gjøres. Eller den defensive delen Hvordan forhindre eller oppdage hacking. De to konferansene virker i utgangspunktet like. Det er mange av de samme menneskene som deltar, men innholdet er noe ulikt og til de grader ulike i form. I løpet av en hel uke tilbys det ulike workshops og ikke minst en rekke foredrag. Disse varierer i forhold til dype tekniske tema til rent juridiske og filosofiske problemstillinger relatert til informasjonssikkerhet. Black Hat Uttrykket Black Hat kommer fra hackerverden. Hackere som er Black hats er hackere med ondsinnede intensjoner, mens White hats hacker for å bedre sikkerheten. Derfor er det ironisk at Black hat er så dyrt og kommersielt at det hovedsaklig er for det kommersielle og statlige sikkerhetsmiljøet. I dagene før Black Hat tilbys et stort utvalg av sikkerhetsrelaterte kurs. Her kan man lære om de nyeste teknikkene som brukes av hackere i dag. Under konferansen går det til en hver tid flere presentasjoner. Her gjelder det å finne de som er mest nyttige for deg. Presentasjonene varierer fra mindre tekniske paneldebatter som Smashing the Future for Fun and Profit til dypt tekniske som Windows 8 Heap Intervals. Black hat deler også ut Pwnie Awards til de som har gjort seg mest bemerket innen fagområdet. En av prisene i år gikk til utviklerne bak Flame-viruset. Det var ingen i salen til å ta imot prisen. F5 fikk prisen for Epic Fail. DefCon DefCon er som sagt ganske forskjellig fra Black Hat. DefCon er praktisk talt gratis i forhold til Black Hat. Dermed tiltrekker den seg mange flere folk. Her er det nok flere Black hats enn det er på Black Hat. Også her er det konkurranser. Spot the Feds er godt kjent. Capture The Flag er en 48 timers hacke-konkurranse. Mange av de samme presentasjonene fra Black Hat er også på DefCon. DefCon er noe mer hardware rettet. Her kan man blant annet lære å lodde, dirke låser eller kjøpe gammel hardware. DefCon har også et rykte på seg å være på kanten av loven, men det er også flere gode initativ her. Mange deltagere klipper Mohawk hvor betalingen går til veldedighet. Organisasjoner som Electronic Frontiers Foundation og Hackers for Charity var også representert på konferansen. I år var det i tillegg en egen blodbank på DefCon. På DefCon satte en tidligere offiser ved US Cyber Command fingeren på en av de grunnleggende utfordringene for myndighetenes evne til å beskytte informasjon når han konstaterte følgende: Dere (hackerne) har vært i cyberspace mye lengre enn oss. Vi (myndighetene) forsøker fortsatt å finne ut hvordan vi skal gjøre dette og hvordan vi skal forsvare oss mot dere.
NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL 2012 13 ISF Høstkonferanse Norsk Informasjonssikkerhetsforum (ISF) er en ideell organisasjon som ivaretar sine medlemmers interesser innen informasjonssikkerhet. Den ble etablert i januar 1994. Medlemmene er både i private og offentlige virksomheter. ISF har medlemsmøter samt en høstkonferanse over to dager som er en verdifull arena for nettverksbygging. De lettlurte Er du godtroende, snakkesalig, og har lite orden i sysakene? Eller er du sikker og smart, men innadvendt og generelt skeptisk? Harald Eia åpnet høstkonferansen til Norsk Informasjonssikkerhetsforum. Her er Eias seks personlighetstrekk som kan påvirke sikkerheten, og som kan gjøre oss mer, eller mindre, utsatt for kriminelle og kjeltringer på nett. Nevrotisisme: Tilbøyelighet til å bli preget og stresset av vanskelige følelser. Homer Simpson og Sigbjørn Johnsen er eksempler på personer med liten grad av nevrotisisme. Jack Bauer og Morgan Kane og Liv Signe Navarsete er eksempler på personer med høyere grad av nevrotisisme, i følge Eia. Nevrotiske folk kan nok være litt slitsomme, men er gode til å oppdage sikkerhetstrusler. Ekstroversjon: Det er å være ekstrovert, utadvendt. Utadvendte skravlekopper kan helt klart være en sikkerhetsrisiko. Vær bevisst på disse, sa Eia. Åpenhet: Se opp for folk som er høye på åpenhet, som for eksempel alltid er ute etter nye nettsider, nye ideer og så videre. Vibeke Løkkeberg og Aslak Sira Myhre er høye på åpenhet, sier Eia. Men - nysgjerrige og åpne mennesker kan utgjøre en sikkerhetsrisiko Medmenneskelighet: Mette-Marit og Solveig Kloppen er eksempler på mennesker med høy medmenneskelighet. Jon Hustad, Hitler og James Bond er lave på medmenneskelighet (men Bond har jo en viss erotisk dragning som gjør ham medmenneskelig allikevel). Folk som er høye på medmenneskelighet kan utgjøre en sikkerhetsrisiko, i følge Eias analyse. Planmessighet: Guffen fra Donald og Charter-Svein er typiske eksempler på personer med lav planmessighet. Olav Thon er en person med høy planmessighet. IQ: Det å være dum er synonymt med å være lettlurt. Her trakk Eia frem eksemplene på e-poster fra snille folk, på engelsk, som gjerne vil gi deg flere millioner kroner, bare du utfører en liten tjeneste. Folk med lav IQ er utsatt for lureri, for IQ er en bullshit-detektor, sa han. Hvem i Norge er så lettest å lure? Else Kåss Furuseth!, slo Eia fast. Hun er lite nevrotisk, utadvendt, synes det er spennende med nye ting, og er ikke planmessig. Men hun er ikke dum! fastslår han. Hvem i Norge er vanskeligst å lure? Jonas Gahr Støre er definitivt en vanskelig mann å lure. Ellers: Kalde, lukkede, smarte typer er vanskelige å lure, altså slik som alle som satt i salen på høstkonferansen til Norsk Informasjonssikkerhetsforum, avsluttet Eia. På årets ISF høstkonferanse deltok NSM NorCERT med både stand og et foredrag om IKT-risikobildet hvor Marie Moe fra NorCERT snakket i tospann med Tore Orderløkken fra NorSIS. Ellers var det faglige programmet spennende med rundt 30 foredrag. Her kommer noen utdrag fra presentasjonene. Bjørn Erik Thon fra Datatilsynet snakket om datalagringsdirektivet, om bruk av skytjenester i det offentlige og om bruk av webanalyseverktøy som Google Analytics på offentlige nettsteder. Ole Tom Seierstad fra Microsoft, Hans- Petter Østrem fra Symantec og Christian Iverson i Verizon hadde hver sin vinkling på hva som er den største sikkerhetstrusselen for tiden. Microsoft mente botnet var den største trusselen, Symantec fokuserte på virus-problematikk og viste til statistikk der antallet tilgjengelige angreps-verktøysett har tredoblet seg på ett år og det blir opp- Harald Eia åpnet høstkonferansen daget 2189 nye infiserte nettsider hver dag. Et lyspunkt var at den norske virusraten på 1 av 1078 infiserte hjemmedatamaskiner er blant de beste i verden, vanligvis er rundt 1 av 300 datamaskiner infisert av virus. Mens Verizon mente at det største problemet idag er at vi ikke holder øye med på hva som skjer i bedriftsnettene, mange datainnbrudd blir ikke oppdaget, og når de blir det har man ofte et problem med å komme i bunns i saken på grunn av mangelfull logging. Margrethe Raaum fra UiO-CERT snakket om erfaringer fra konkrete hendelser i universitetssektoren og påpekte blant annet behovet for øvelser. Da en krise oppsto så oppdaget man at kriseorganisasjonen som var nedfelt i papir i beredskapsplanverket ikke fungerte som det skulle, noe som kunne vært avdekket med en øvelse. Hun påpekte at det ofte er vanskelig å få brukerne til å forstå at sikkerhetsarbeidet er for deres eget beste og mente at man kan ha mye å lære av luftfartens holdning til avviksrapportering. Olav Melteig fra Altinn snakket om hendelsen 20. mars i år hvor Altinn var nede en times tid i tillegg til at mange fikk tilgang til Kenneths meldingsinnboks som hang igjen i cache. Her hadde man på forhånd etablert beredskapsplan hvor bemanning allerede var avtalt og kriseledelsen var raskt på plass. Lærdommen etter denne krisen var at man kunne trengt tydeligere kriseplanverk, en tydeligere infostrategi, samt flere og konkrete beredskapsøvelser.
14 KVARTALSRAPPORT FOR 3. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Hendelse hos Tieto i Sverige På ettermiddagen fredag 25. November 2011 opplevde IT-selskapet Tieto en teknisk feil i sine systemer i Sverige. Dette førte til at ca. 50 bedriftskunder både i privat og offentlig sektor ble rammet. Noen slapp lett fra det, mens andre mistet i praksis sine IT-tjenester i flere uker. Årsaken til feilen var at en sentral del av datalagringssystemet til Tieto i Stockholm gikk i emergency shutdown. På dette tidspunktet ville det være mulig å gå over på backupsystemet, men etter en kort tidsperiode gikk også dette systemet ned. Tieto har ikke offentliggjort ytterligere detaljer over hva som skjedde, men det er åpenbart at datalagring for mange servere gikk ned på svært kort tid. Å komme tilbake i normal drift tok to dager, men grunnet den rekke av hendelser som hadde skjedd, var gjennoppretting av data en kompleks og tidkrevende prosess. Konsekvensene ble blant annet at 350 apotek i Sverige mistet tilgang til sine ITsystemer og dermed ikke kunne levere ut medisiner på resept i henhold til normale rutiner. Dette ble rettet påfølgende mandags kveld. Det er ukjent om dette fikk helsemessige konsekvenser, men apotekene rapporterte at dette var en krevende situasjon. Et ikke navngitt stort logistikkfirma i Sverige ble også rammet, og valgte påfølgende mandag å varsle sine ansatte over SMS at deres infrastruktur (herunder intranett og epost) ikke virket. Systemene til firmaet var ikke tilbake før 11 dager etter hendelsen. Bilprovingen, Biltilsynet i Sverige, var en annen virksomhet som opplevde at alle systemer var offline. De fikk tilbake epost påfølgende tirsdag, men hadde ikke alle systemer på plass før påfølgende uke, noe som førte til at endel biler unødig fikk kjøreforbud og risikerte å bli avskiltet. Denne hendelsen var etter all sannsynlighet en serie uhell og ikke resultat av dataangrep. Uansett årsak minner det oss på at mange virksomheter kan ha en sterk avhengighet til driftsleverandører, og at beredskapsplaner kan være en lønnsom forsikring. Les hele rapporten på engelsk: https://www.msb.se/en/tools/news/ Reflections-on-civil-protection-and-emergency-preparedness-during-major-IT-incidents/ «Uansett årsak minner det oss på at mange virksomheter kan ha en sterk avhengighet til driftsleverandører, og at beredskapsplaner kan være en lønnsom forsikring.»
NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL 2012 15 Nye ansatte i NorCERT NorCERT har dette kvartalet blitt styrket med 6 nye ansatte. âoperatører â Operasjonssenteret har vi fått tre nye medarbeidere som skal gå inn som operatører. Samtlige har spennende og allsidig IT-teknisk kompetanse. âforskere â Forsvarsdepartementet har gitt NorCERT midler til å drive kapasitetsøkende forskning. Vi har derfor ansatt to svært kompetente og erfarne medarbeidere: SCADA-forsker som skal ta for seg norske industriprosesskontrollsystemer og se hvordan NorCERT best mulig kan sikre disse mot alvorlige angrep, samt hvordan håndtere hendelser som måtte komme. Skadevare på mobile enheter Forsker, som skal dykke ned i den økende mengden skadevare på mobile enheter og bedre NorCERTs kapasiteter innen dette feltet. Nevnte forsker vil også jobbe noe med å forbedre NorCERTs automatiske analysesystemer. âkoordinator â NorCERT får nå en etterlengtet koordinator som skal holde dialogen med våre partnere og medlemmer, og på denne måten strømlinjeforme samarbeidet. Oppgavene vil blant annet være å tilrettelegge for kurs og øvelser samt merkantil støtte rundt samarbeidsavtaler. «NorCERT trenger flere dyktige ansatte denne vinteren!» NorCERT trenger flere dyktige ansatte denne vinteren! Basert på den styrking NorCERT vil få i 2013 budsjettet vil vi lyse ut et betydelig antall stillinger i perioden som kommer. Blant annet vil vi søke etter flere operatører til operasjonssenteret. Følg med på: https://www.nsm.stat.no/karriere-i- NSM/
16 KVARTALSRAPPORT FOR 3. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Sikker i utlandet Tenk deg at du som bedriftsleder har fått i oppgave å effektivisere driften og kutte ned på lønnskostnadene. Utenlands lokker mange land med store mengder billig arbeidskraft, rimelige lokaler og vilkår. Utsiktene til å revolusjonere driften er forlokkende. Tør du? I denne artikkelen setter vi fokus på utenlandsinvesteringer og sikkerhet. Mange virksomheter har allerede erfart at slike investeringer kan gå på bekostning av sikkerheten. Vi spør derfor: Bør du? Som ett av våre ansvarsfelt, er NSM fagmyndighet når det gjelder sikkerhetsklarering av personell med tilknytning til fremmede stater. I forskrift om personellsikkerhet er NSM pålagt å utarbeide personellsikkerhetsmessige vurderinger av fremmede stater til bruk i sikkerhetsklareringer. For å gjøre dette er det nødvendig at NSM har meget god innsikt i ulike sikkerhetsmessige utfordringer knyttet til fremmede stater. Forlokkende fordeler Vår kunnskap kan være av relevans for mange ettersom globalisering av økonomi, teknologi og næringsliv for lengst har skyllet inn over norske virksomheter. Ikke bare har utlandet blitt mer tilgjengelig for oss, det byr også på forlokkende fordeler i form av billig arbeidskraft og kompetanse som det er vanskelig å matche i Norge. Å legge hele eller deler av virksomheten til utlandet, altså såkalt offshoring eller outsourcing, har for mange blitt en nødvendighet i et marked som forventer både gunstige priser, effektivitet og kvalitet. Trenden gjelder både statlige og private virksomheter. «Mens gevinstene kan være store, kan dessverre risikoen ved utenlandsetableringer være enda større.» Stor risiko Men mens gevinstene kan være store, kan dessverre risikoen ved utenlandsetableringer være enda større. Man kan bare tenke seg konsekvensene dersom kriminelle fikk tilgang til kundedatabasene i en større norsk bank, eller du på grunn av investeringer i et korrupt land mister milliarder av skattebetalernes midler. Finanstilsynet, for eksempel, ser med bekymring på bankenes outsourcing av IT-tjenester, blant annet fordi de frykter at jakten på lave kostnader skal føre til mindre sikre banksystemer. For virksomheter som ikke risikerer annet enn en eventuell konkurs eller tap av markedsandeler, er utflytting stort sett et spørsmål om kost-nytte. Men dersom utflytting av din bedrift i verste tilfelle kan lamme sentral infrastruktur og gjøre en rekke mennesker skadelidende, må du tenke deg nøye om. Viktige spørsmål å stille Tør du for eksempel la utenlandske ansatte ta seg av reparasjoner på serveren der dataene oppbevares? Har du kontroll på overføring av datatrafikk? På hvilket grunnlag har du vurdert tilgangene utenlandske systemutviklere kan ha skaffet seg til viktige systemer i din virksomhet, og hvilke motivasjoner disse kan ha for å misbruke tilgangen? Tenk at du er produsent av et høyteknologisk produkt som, dersom det havner på avveie, kan benyttes som komponent i masseødeleggelsesvåpen. Har du kontroll på hvem som lytter til kontraktsforhandlingene, hvem som kan være interessert i produktet og til hvilke formål? Disse spørsmålene bør stilles av alle virksomheter med viktige samfunns- eller infrastrukturfunksjoner. Dette omfatter en rekke virksomheter med ansvar innen blant annet strømforsyning, elektronisk kommunikasjon, transport, olje og gass, forsvarsteknologi, satellittkommunikasjon, bankvesen og finans, matlagre, helse- og sosialtjenester, ordensmakten, nødhjelpsetaten og så videre. Listen er lang, kanskje lengre enn mange tror. Har din virksomhet informasjon, teknologi eller personell som kan utnyttes til ulovlige eller sikkerhetstruende formål? Har du tenkt gjennom konsekvensene til fulle, både når det gjelder sikkerhet og omdømme? Og ikke minst kjenner du risikobildet? Dette er betimelige spørsmål å stille. Å innlemme sikkerhetsmessige konsekvenser som en del av risiko- og sårbarhetsanalyser er en øvelse som krever kunnskaper både om hva som trenger å sikres, hvordan og hvorfor. Sikkerhetsmessige utfordringer Ansvaret for å vurdere hvorvidt outsourcing eller offshoring kan og bør la seg gjennomføre ligger hos den enkelte virksomhet. Det finnes flere hjelpemidler. For eksempel har Næringslivets sikkerhetsråd publisert veiledere om IT-outsourcing og vurdering av sikkerhetsrisiko ved etablering i utlandet. Som et organ for forebyggende sikkerhet kan også NSM bistå med hjelp til selvhjelp, for eksempel ved å påpeke mulige sårbarheter hos den enkelte virksomhet. Med sin dybdekunnskap, kan NSM videre peke på mulige risikofaktorer når det gjelder enkelte land. Dette gjelder for eksempel sikkerhetsmessige utfordringer med land der skillet mellom politikk og kriminalitet nærmest er utvisket eller land Norge har bilaterale interessekonflikter med. NSM vil også kunne påpeke utfordringer knyttet til korrupsjon i rettsvesenet, mangelfull lovgivning, store sosioøkonomiske utfordringer eller kulturelle forhold som gjør det vanskelig å avgjøre om du kan stole på inngåtte avtaler eller leveranseforpliktelser. Risikovurdering Flere virksomheter har de senere årene blitt overrumplet av plutselige søksmål og tvunget inn i tunge og kostbare - rettstvister i utlandet. Kunnskap om rettspraksis og hvilke konsekvenser eventuelle rettstvister kan få, dersom den enkelte virksomhet av ulike årsaker havner i rettsvesenet, vil også være viktig for å gjøre gode risikovurderinger. Det samme gjelder kunnskap om ulike myndigheters rettigheter til innsyn i, eller konfiskering av informasjon om, utenlandske selskapers virksomhet.
NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL 2012 17 Utenlandsinvesteringer kan gå på bekostning av sikkerheten Tør du? Bør du? I våre dager er verden rammen for næringslivet og mulighetene mange, men utfordringene står altså i kø. Så, tør du? Svaret kan godt være ja, det er opp til deg. Men i så fall er vår oppfordring at du nøye har vurdert bør du : På den ene siden må du vite hvilke forhold i det aktuelle landet som kan være utfordrende for din virksomhet. På den andre siden må du ha gjort opp en klar status over hvilke deler av virksomheten som må beskyttes særskilt. Målet må være å unngå at det får store samfunnsmessige konsekvenser dersom noe skulle gå galt. Spørsmålet om utflytting trenger ikke å være et sort-hvitt ja eller nei. Basert på gode risiko- og sårbarhetsanalyser kan virksomheten avgjøre om enkelte tjenester kan anskaffes fra eksterne tjenesteleverandører og hvilke oppgaver det er strategisk viktig for bedriften å beholde hjemme av sikkerhetsmessige årsaker. kontakt. Sikring av samfunnsverdier er en felles oppgave, og det er viktig at vi alle har samme forståelse av risiko- og sårbarhetsbildet. Slik kan nasjonal sikkerhet bli best mulig ivaretatt også i utlandet. Er du i tvil, ønsker vi gjerne at du tar
18 KVARTALSRAPPORT FOR 3. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Hvordan starte en CERT/ CSIRT I hele verden er det en stor oppblomstring av CERTer og CSIRTer. Store virksomheter etablerer egne (eks. Telenor CERT), sektorer bygger opp kapasiteter (eks. Justis CSIRT), myndigheter etablerer CERTer (som EU CERT) og nasjoner starter nasjonale CERTer (eks. CERT Romania). Hva er et CERT/CSIRT Felles for alle disse er at man i etableringsfasen spør seg: Hva er et CERT/CSIRT? Er man bare en digital brannstasjon, eller skal man også drive forebyggende arbeid og etterslukking? EUs organ for informasjonssikkerhet, ENISA (European Network and Information Security Agency), skal sørge for at alle land i Europa har opprettet et nasjonalt CERT i løpet av 2012. De har gjort endel arbeid for å hjelpe de nye på plass, og kan i så måte ha endel å lære bort. Nasjonale CERTer og plassering Mens Norge har hatt et nasjonalt CERT i mange år, er det oppsiktsvekkende å se at mange land ligger et stykke bak. I Europa er det ulike valg rundt hvor man skal legge sine nasjonale CERTer. Mange har valgt forsvarsdepartementet som eiere, andre har valgt post- og teletilsyn eller innenriksministerier. Trenger anerkjennelse I NorCERT ser vi samme problemstilling da vi jobber aktivt med å få de ulike sektorene i Norge til å etablere sektorvise responsmiljøer (sektor CSIRTer). Etter å ha diskutert dette med ulike store miljøer, er følgende faktorer tydelige: Du er et CERT/CSIRT når du har ansvaret for (kalt constituency på CERT-språket ) og anerkjenner deg som deres sentrale responsmiljø, når ditt constituency føler en stor grad av tillit, og når du på en troverdig måte kan håndtere informasjonsflyt under hendelser. Mye, litt, eller ingen ting og om Pol 3 og Blücher En gjengs problemstilling for alle som skal starte et responsmiljø er: -Hva skal til for å kalle seg en operativ CERT/CSIRT? Hva slags kvalitet kreves? Hvor mange personer må man være? Hvilke kapasiteter må være på plass? Skal man jobbe mye med forebygging, kurs og øvelser? Trenger man sensorer, honningfeller eller kanskje kompetanse på skadevareanalyse? Er det nødvendig med et stort team for å rykke ut, eller et lite som bare videresender informasjon. En god metafor er nok dette: Skal vi bare være en brannstasjon som rykker ut ved branner, eller skal vi også drive forebyggende arbeid, som tross alt forhindrer nye branner. Skal vi ha et stort branntårn som oppdager branner, og trenger vi røykdykkere, eller tåler vi litt svinn? Svarene blir raskt ja takk begge deler, men når ressursdialogen starter kan også svaret ofte bli litt er utrolig mye bedre enn ingenting. Vi må huske at Blücher (682 fot) ble oppdaget ytterst i Oslofjorden 8. april av den gamle hvalfangerskuta Pol III (111 fot) som var omgjort til vaktbåt. Litt var da bedre enn ingenting... Pionerarbeid og struktur Utarbeidelse av krav og standarder skjer nå i stor fart ved blant annet forskningsinstitusjonen Carnegie Mellon i USA. Det blir spennende å følge den kommende debatten og utviklingen. CERT/CSIRT-arbeid har på mange måter vært pionervirksomhet og man ser nå at man sakte modnes til å komme i mer driftsmessig struktur. Mens vi fortsatt går rundt å undrer oss om hvordan en best skal starte en CERT/ CSIRT, kan det være smart å lære litt av av ENISA og det arbeidet de (og deres innleide konsulenter) har gjort for å kunne besvare hvordan starte en CERT/CSIRT : http://www.enisa.europa.eu/activities/ cert NorCERT har laget en brosjyre om sektor-csirt. Den kan bestilles på post@cert.no dersom du ønsker en kopi CERT= Computer Emergency Response Team. Et varemerket begrep som kun kan brukes etter godkjenning fra Carnegie Mellon University. CSIRT= Computer Security Incident Response Team Et fritt begrep som omfatter samme oppgaver som en CERT. Et Computer Emergency Response Team (CERT og eller CSIRT) er et sentralt verktøy for å beskytte viktig infrastruktur. Hvert land, sektor eller bedrift må ha evne til å håndtere og respondere på informasjon om sikkerhetshendelser. Et CERT/ CSIRT må likevel gjøre mye mer! De må også være sikkerhetsspesialister for IT-avdelinger og politikere, og de må skape bevissthet og fungere som undervisere.
NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL 2012 19 Åpning av Justis-CSIRT 17. oktober startet justissektoren sitt nye responsmiljø eller Computer Security Incident Response Team, kalt Justis- CSIRT. Justis-CSIRT ble initisert av Justis og Beredskapsdepartementet i 2011. Politiets materiell og data tjeneste (PDMT) fikk koordineringsansvaret. Løsningen er en distribuert modell basert på at de ulike IT-avdelingene i justissektoren har dedikert personell som ivaretar dialog med en koordinator i PDMT. Dette vil øke sektorens evne til å varsle og håndtere alvorlige IKT-hendelser uten betydelig økt ressursbruk. Justis-CSIRT føyer seg i rekken av andre norske sektorvise responsmiljøer blant annet senter for beskyttelse av kritisk infrastruktur (BKI) i Cyberforsvaret, Helse CSIRT i helsesektoren og Uninett CERT i universitetssektoren. NorCERT er kjent med at andre viktige sektorer nå jobber med å etablere slike sektor-cert s/csirt s, et arbeid vi støtter med kurs, øvelser og nært operativt samarbeid.
20 KVARTALSRAPPORT FOR 3. KVARTAL 2012 NASJONAL SIKKERHETSMYNDIGHET NorCERT Abuse-håndtering Intervju med tre sikkerhetsspesialister De aller fleste Internettleverandører, også kalt Internett Service Providers (ISPer) har personell som håndterer abuse. Abuse kan i grovt sies å være alle uønskede hendelser på nettverket, men i denne sammenheng med spesielt fokus på skadevare og angrep som utføres av eller mot kundene til ISPen. Under kan du lese hva tre spesialister innen Abuse sier. Abuse-håndtering Ordet «abuse» brukes av internettilbydere og sikkerhetsfolk for å beskrive misbruk av digitale tjenester, som for eksempel å sende ut spam eller angripe nettverk. I dag har de fleste internettleverandører en såkalt «abuseavdeling» som håndterer denne typen saker opp mot kunder, og det er til disse NorCERT sender sine varsel om virus og svindel og annen uønsket aktivitet Helge Aksdal Telenor Andreas Lorentzen TeliaSonera Øystein Snekkerlien Broadnet Kan du kort beskrive firmaet du jobber i? Jeg jobber i Telenor Norge, Norges største leverandør av telekomtjenester. Vi har alle typer kunder, fra Norges største bedrifter, til privatkunder. Vi har medandre ord et bredt spekter med kunder, noe som også gjenspeiles i produktporteføljen vår. Vi leverer alt fra mobile tjenester, xdsl-internettsamband, avanserte VPN-nettverk over hele Norden, til avanserte 24/7 sikkerhetstjenester. Hva slags saker håndterer dere mest? Den store massen dreier seg mest om infiserte bedrifts- og privatkunder, som gjerne ikke vet at de er infiserte, men som har ulike typer malware installert på datamaskinene sine. Disse maskinene blir for eksempel benyttet til utsendelse av spam eller deltakelse i DDoS-angrep. Det siste halvannet året har vi også fokusert mye på phishing, kundene våre blir i stadig større grad utsatt for at kriminelle forsøker å tilegne seg kundens brukernavn og passord til deres Telenor-tjenester. Dette er en trend som alle større Internettilbydere i Europa ser. Jeg jobber i TeliaSonera, for begge de norske datterselskapene NextGenTel og Telia- Sonera Norge (NetCom og Chess). TeliaSonera leverer nettaksess og teletjenester som hjelper privatpersoner og bedrifter til å kommunisere på en enklere, mer effektiv og miljøvennlig måte. Vi håndterer flest saker som omhandler utsending av spam fra infiserte datamaskiner og datamaskiner som er en del av et botnet. Fra tid til annen håndterer vi også phishingangrep. Disse kommer og går hele tiden. Broadnet er leverandør av datakommunikasjon til bedrifter, operatører og virksomheter i offentlig sektor. Vårt nett består av 250.000 kilometer med fibertråder som knytter sammen over 80 norske byer fra nord til sør. Hovedtyngden av saksmengden er fremdeles automatiserte spam-klager, men den siste tiden har mer og mer av tid gått med til å håndtere henvendelser som er relatert til utnyttelse av svakheter i webpubliseringsløsninger og effekten av denne. (D)DoS-angrep tar også stadig mer av kapasiteten.