Cybersäkerhetsöversikt

Transkript

1 Cybersäkerhetsöversikt 2/2014

2 Innehåll Inledning... 3 Informationssäkerhet ur statistisk synvinkel Autoreporter Skadliga program Finlands placering i världen Havaro Kontakter som behandlades av Cybersäkerhetscentret Fel och störningar i kommunikationsnät Anmälningar om fel och störningar i kommunikationsnät Inga förändringar i resultaten av den kvartalsvisa förfrågan jämfört med föregående perioder... 8 Aktuella fenomen inom informations-säkerheten Produktstödet för operativsystemet Windows XP upphörde OpenSSL-bibliotekets Heartbleed-sårbarhet skakade informationssäkerhets-världen Bakgrund Uppföljning av läget Observationer om Heartbleed i HAVARO Nätfiskekampanjen pågår fortfarande... 15

3 Inledning Denna delårsöversikt av Cybersäkerhetscentret vid Kommunikationsverket handlar om störningar i kommunikationsnät, informationssäkerhets-incidenter och händelser Cybersäkerhetsöversikten är indelad i två avsnitt: Informationssäkerhet ur statistisk synvinkel och aktuella fenomen inom informationssäkerheten. Avsnittet Informationssäkerhet ur statistisk synvinkel handlar om fel och störningar i kommunikationsnät, Autoreporter-statistik, HAVARO-statistik och de kontakter som behandlades av Cybersäkerhetscentret. Vi har valt följande tre viktiga fenomen inom informationssäkerheten under den aktuella tidsperioden: Upphörandet av produktstödet för operativsystemet Windows XP samt den tillhörande uppdaterade Windows XP-allmänhetsstatistiken, OpenSSL-bibliotekets Heartbleed-sårbarhet och en nätfiskekampanj under Tullens, Itellas, en inkassotjänsts och Matkahuoltos namn. 3

4 Informationssäkerhet ur statistisk synvinkel 1 Autoreporter Autoreporter är en tjänst som administreras av Cybersäkerhetscentret. Tjänsten samlar automatiskt in uppgifter om skadliga program och kränkningar mot informationssäkerhet i finländska nät och rapporterar dessa till nätadministratörerna. Autoreporter har varit i drift sedan Tjänsten omfattar alla finländska nätområden. Utifrån den insamlade statistiken är det bland annat möjligt att beräkna hur ofta skadliga program förekommer i finländska nät. 1.1 Skadliga program Enligt Autoreporter-statistiken (Bild 1) har det skadliga ZeroAccessprogrammets andel minskat betydligt från början av året till vecka 13. Händelserna i början av året påverkades troligen av de åtgärder som vidtogs för att bekämpa ZeroAccess i slutet av ZeroAccess blev emellertid åter aktivt i slutet av mars, varefter antalet observationer av programmet började öka på nytt (veckorna 14 18). Antalet observationer av andra program har minskat något jämfört med början av året. I fråga om variationer i antalet Autoreporter-observationer är det emellertid inte möjligt att dra några exakta slutsatser, eftersom variationerna mellan olika tidsperioder kan bero på exempelvis nya informationskällor eller de nya fingeravtryck för skadliga program som lagts till i informationskällorna. ZeroAccess Citadel Övriga Torpig Zeus Vecka Bild 1. Händelser som Autoreporter behandlade per vecka. Fördelningen av skadliga program mellan olika teleföretag är inte i balans (Bild 2). Skillnaderna mellan teleföretagen beror på olika antal kunder och företagens egen aktivitet att bekämpa skadliga program. Cybersäkerhetscentrets delårsöversikt 1/2014 rapporterade att ungefär 85 4

5 procent av alla skadliga program i trafiken härrörde från ett enskilt teleföretag i början av året. Kommunikationsverket har utrett ärendet med teleföretaget. Utifrån utredningen verkar det som om antalet observationer åtminstone delvis hänför sig till kompatibiliteten i Autoreportersystemet och teleföretagets nätgenomförande och teleföretagets förmåga och möjligheter att tillhandahålla tillräckligt exakta data. Läget kommer att korrigeras tack vare teleföretagets åtgärder, men korrigeringen ingår ännu inte i den statistik som finns i denna rapport. Under denna observationsperiod härrörde 77 procent av alla skadliga program som upptäcktes i trafiken från teleföretagets nät. 0 % 3 % 9 % 2 % 9 % 77 % Teleföretag 1 Teleföretag 2 Teleföretag 3 Teleföretag 4 Teleföretag 5 Övriga Bild 2. Fördelning av skadliga program mellan finländska företag Mer detaljerade uppgifter om störningar i enskilda teleföretag är oftast sekretessbelagd enligt lagen om offentlighet i myndigheternas verksamhet. 1.2 Finlands placering i världen I maj publicerade Microsoft rapporten Security Intelligence Report (SIR) Volume 16, som behandlar och jämför informationssäkerheten i informationsnät i olika länder 1. I rapporten var Finland tvåa, jämfört med första plats i föregående rapport. Den nu publicerade rapporten gäller tidsperioden mellan juli och december /2/B/72B5DE91-04F4-42F4-A587-9D08C55E0734/Microsoft_Security_Intellige nce_report_volume_16_english.pdf Finlands lägre placering i den senaste rapporten kan bero på att andra länder har gjort förbättringar och att teleföretagens förmåga har förbättrats vad gäller att reagera och informera kunderna om upptäckta skadliga program utifrån Autoreporteranmälningar. Eventuella korrigerande åtgärder ingår i Microsofts SIR-rapporter med ett visst dröjsmål. Till exempel de förbättringar som gjordes i våras ingår i SIRrapporten för det andra halvåret 2014, som troligen publiceras våren I Kommunikationsverkets Autoreporterstatistik ingår de korrigerande åtgärderna dock i realtid. 5

6 Observationer som ledde till fortsatta åtgärder Cybersäkerhetsöversikt [2/2014] 2 Havaro HAVARO är ett för försörjningsberedskapskritiska företag avsett system som upptäcker och varnar för kränkningar av informationssäkerheten. Systemet har genomförts i samarbete med Försörjningsberedskapscentralen. Syftet med HAVARO är att hjälpa till att skapa en noggrannare lägesbild av hoten mot informationssäkerheten i finländska nät. De röda informationssäkerhetsincidenter, det vill säga incidenter, som HAVARO upptäckte och som ledde till omedelbara fortsatta åtgärder finns samlade i den grafiska figuren nedan (Bild 3). I mars maj var det totala antalet röda observationer 514. Sedan ingången av 2014 har antalet observationer per vecka varit ungefär 47. Toppen vecka 15 berodde på det skadliga Gameover Zeus-programmet och Heartbleed-sårbarheten. Toppen vecka 21 berodde på observationer av allmänna skadliga program som används av brottslingar. Den grafiska figuren visar också en koncentration av observationer veckorna 6 10 under det första kvartalet. Dessa är också observationer av allmänna skadliga program som används av brottslingar Vecka Bild 3. Röda larm i HAVARO per vecka 3 Kontakter som behandlades av Cybersäkerhetscentret Cybersäkerhetscentret tog emot 8 informationssäkerhetsanmälningar enligt Kommunikationsverkets föreskrift 9 om skyldighet att anmäla kränkningar i informationssäkerheten i allmän televerksamhet. Under föregående period (december februari) var antalet anmälningar 4. Under det andra kvartalet gick en jourhavande expert på Cybersäkerhetscentret igenom i snitt 96 kontakter per vecka. Merparten av kontakterna rörde skadliga program (Bild 4), begäran om 6

7 råd och dataintrång är också vanliga orsaker till kontakt. Vid granskning av kontakter per vecka (Bild 5) är antalet anmälningar om skadliga program under vecka 19 större än i genomsnitt. Största delen av dessa anmälningar härrörde från en och samma informationskälla och anmälningarna rörde relativt gamla informationssäkerhetsproblem. Troligen var det fråga om att en del gamla anmälningar hade stoppats av informationskällans buffert och anmälningarna strömmade ut vecka 19. Anmälningarna rörde främst webbplatser som innehöll en skadlig JavaScript-kod. 2 % 2 % Skadligt program 6 % 4 % Rådgivning 6 % 37 % Dataintrång 8 % Social engineering 15 % Övriga informationssäkerhetsproble m Intervju 20 % Sårbarhet eller hot Bild 4. Kontakter som Cybersäkerhetscentret behandlade

8 Kontakter som behandlades av Cybersäkerhetscentret Cybersäkerhetsöversikt [2/2014] Blockeringsattack Förberedning av en attack 200 Sårbarhet eller hot Intervju Övriga informationssäkerhetsproblem Social engineering 50 Dataintrång Vecka Rådgivning Skadligt program Bild 5. Kontakter som Cybersäkerhetscentret behandlade Fel och störningar i kommunikationsnät 4.1 Anmälningar om fel och störningar i kommunikationsnät I mars maj 2014 uppkom inga större störningar i kommunikationsnäten. Detta framgår av de anmälningar om fel och störningar som Kommunikationsverket lämnade till Cybersäkerhetscentret och som bygger på ämbetsverkets föreskrift 57. Under föregående period mellan december 2013 och februari 2014 var antalet anmälningar om betydande störningar i kommunikationsnäten 41. Nu var antalet 25. Av dessa klassificerades endast en anmälan som en allvarlig störning och den kunde åtgärdas snabbt inom en dryg timme efter att teleföretaget hade upptäckt störningen. Felen under den aktuella perioden berörde främst mobila tjänster (2G och 3G) och bredbandstjänster (xdsl). 4.2 Inga förändringar i resultaten av den kvartalsvisa förfrågan jämfört med föregående perioder Sedan början av 2013 har Kommunikationsverket följt upp funktionen av kommunikationsnäten och -tjänsterna genom kvartalsvisa förfrågningar i teleföretagen. Vilka tjänster påverkas av störningar? Hur lång tid tar det att åtgärda störningar? Vilka är orsakerna till störningarna? Syftet är att få svar på dessa frågor genom förfrågningar. Teleföretagen rapporterade om totalt cirka störningar som kunderna hade anmält till företagen under det första kvartalet 2014 (januari mars). Det finns inga större förändringar i anmälningarnas andelar per tjänst och 8

9 reparationstid jämfört med sammandragen för Problem med internetförbindelse utgjorde den klart största sammanlagda andelen av kundkontakterna (Bild 6): mer än hälften (59 %) berörde internetförbindelser via det fasta nätet och den fjärde vanligaste orsaken till kontakt (8 %) var internetförbindelser via mobilnätet, sammanlagt 66 %. Sett per tjänst var problem i kabel-tv (11 %) den näst vanligaste orsaken till kundernas kontakter. Den tredje vanligaste orsaken var problem på grund av avbrott i mobilnäten (11 %) eller försvagad täckning inklusive både samtals- och dataförbindelser. Av de anmälda problemen rörde 8 % telefoni i det fasta nätet. Antalet kontakter gällande problem i andra tjänster var litet. I regel åtgärdades de störningar som drabbade kunderna (Bild 7) i cirka 30 procent av fallen inom 6 timmar efter att störningen hade uppstått. Av störningarna åtgärdades ungefär 60 procent inom 2 dygn och drygt 90 procent inom en vecka. Antalet störningar som pågick längre än en vecka var litet. I allmänhet åtgärdades felen snabbast i de trådlösa näten, inbegripet både mobilnäten och de övriga trådlösa näten. Andelar störningar som anmäldes av kunderna 2 % 1 % 0 % 8 % 11 % 11 % 8 % 59 % Data (fasta) Kabel-tv Telefoni/data (mobila) Data (mobila) Telefoni (fasta) Tilläggstjänster (inkl. e-post) Övriga trådlösa VoIP Bild 6. Andelar störningar som anmäldes av kunderna 9

10 100 % 90 % 80 % 70 % 60 % 50 % 40 % 30 % 20 % 10 % 0 % Längder på de störningar som anmäldes av kunderna < 6 t 6 t - 2 dygn 2-7 dygn > 7 dygn Bild 7. Längder på de störningar som anmäldes av kunderna 10

11 1/2013 2/2013 3/2013 4/2013 5/2013 6/2013 7/2013 8/2013 9/ / / /2013 1/2014 2/2014 3/2014 4/2014 5/ ,47% 15,36% 13,79% 10,97% 9,33% 26,94% Cybersäkerhetsöversikt [2/2014] Aktuella fenomen inom informationssäkerheten 5 Produktstödet för operativsystemet Windows XP upphörde Den 8 april 2014 upphörde Microsofts produktstöd för operativsystemet Windows XP. I maj var Windows XPdatorernas andel 9,33 procent av alla datorer som använder Windows och som är anslutna till datanäten i Finland. (Bild). Antalet Windows XP-datorer har minskat i jämn takt redan under lång tid, men särskilt i mars maj minskade de snabbare i popularitet. Mellan januari och maj 2014 minskade XPdatorernas andel med 43,3 procent. Efter att produktstödet för Windows XP hade upphört erbjöd Microsoft, till skillnad från sina preliminära uppgifter, uppdatering av en kritisk Internet Explorer-sårbarhet (CVE ) även för Windows XP. De sårbarheter som har hittats i Windows XP efter detta har åtminstone hittills inte reparerats. I stället för uppdateringar uppmanar Microsoft användarna av Windows XP att använda programvaran EMET 4.x (Enhanced Mitigation Experience Toolkit) som kan skydda datorn mot skadliga program. 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% Windows 7 Windows XP Windows Vista Windows 8 och 8.1 Övriga 10,00% 0,00% Bild 8. Windows-operativsystem som har besökt finländska webbplatser. Den grafiska figuren visar procentandelarna för Windows XP. Källa: TNS Metrix 11

12 6 OpenSSL-bibliotekets Heartbleed-sårbarhet skakade informationssäkerhetsvärlden a/tietoturvanyt/2014/04/ttn html 6.2 Uppföljning av läget Bakgrund Den 7 april 2014 upptäcktes en allvarlig sårbarhet i det populära OpenSSLbiblioteket som används vid kryptering. Sårbarheten äventyrar krypterade dataförbindelser så att angriparen kan kopiera data som för tillfället finns lagrade i telefoner, till exempel användarnamn, lösenord, e-postmeddelanden, kritiska dokument och snabbmeddelanden. I offentligheten är sårbarheten känd som Heartbleed. Sedan sårbarheten hittades har Cybersäker-hetscentret vid Kommunikations-verket kartlagt antalet sårbara tjänster. Cybersäkerhetscentret har skickat ett meddelande om alla sårbara tjänster som hittats till administratörerna av tjänsterna. I meddelandet uppmanas administratörerna att uppdatera sina tjänster så fort som möjligt. Närmare bakgrundsinformation finns i rapporten om Heartbleed som Cybersäkerhetscentret har lagt ut på De viktigaste tjänsteleverantörerna har åtgärdat sårbarheten och till resten av administratörerna av tjänsterna har Cybersäkerhetscentret upprepade gånger skickat meddelanden om sårbarheten. Merparten av de återstående sårbara tjänsterna utgörs av NAS-enheter som är avsedda för enskilda hemmaanvändares fildelning. Det totala antalet sårbara tjänster har minskat till servrar, vilket motsvarar 0,25 procent av alla servrar som använder SSL-krypteringen. Av dessa servrar erbjuder 569 webbtjänster som använder kryptering (läget per 7.5). De grafiska figurerna nedan visar de sårbara tjänsternas proportionella andelar (Bild 9) och de sårbara tjänsternas utveckling som funktion av tiden (Bild 10). Ökningen i antalet sårbara tjänster den 11 april och den 24 april (se bild 11) beror på mer avancerade metoder för undersökning av sårbara tjänster. 12

13 Cybersäkerhetsöversikt [2/2014] Att skapa session (SIP over TLS, 5061) Port 4443 Port 4433 Port 8000 Port 8080 E-post (POP3S, 995) Dataöverföring (FTPS, 990) E-post (IMAPS, 993) Katalogtjänst (LDAPS, 636) E-post (SMTP over SSL, 465) E-post (SMTP, 587) Krypterad Internettrafik (HTTPS, 443) E-post (SMTP, 25) Bild 9. Tjänstetyper som är utsatta för Heartbleed-sårbarheten (portalen för tjänsten inom parentes), läget Sårbara servrar totalt Krypterad Internettrafik (HTTPS, 443) Övriga sårbara tjänster Bild 10. Servrar som är sårbara för Heartbleed, som funktion av tiden 13

14 6.3 Observationer om Heartbleed i HAVARO Heartbleed-sårbarheten upptäcktes på ett tydligt sätt även av HAVAROsystemet av Cybersäkerhetscentret vid Kommunikationsverket. Identifieringsuppgifterna om Heartbleed fördes in i HAVARO den 8 april då de första försöken att utnyttja sårbarheten också upptäcktes. Den grafiska figuren nedan (Bild 11) visar att antalet försök att utnyttja sårbarheten ännu var relativt litet den 8 april, men de lyckade försökens andel (den gröna linjen) var över 40 procent. Orsaken var att en del av servrar inte hade uppdaterats. Under de därpå följande dagarna minskade procentandelen tack vare administratörernas uppdateringar av servrar. Antalet försök att utnyttja Heartbleed, som upptäcktes av HAVARO, var störst den 11 april. Till dags dato har man hunnit uppdatera största delen av servrarna eftersom antalet stora svarspaket som gavs av servrarna sjönk, trots ett ökat antal försök att utnyttja sårbarheten Observationer om Heartbleed i HAVARO 45,0 % 40,0 % 35,0 % 30,0 % 25,0 % 20,0 % 15,0 % 10,0 % 5,0 % 0,0 % Observerade försök att utnyttja Heartbleed-sårbarheten Paket med svar på Heartbleed-begäran, som kunde innehålla känsliga uppgifter (Large response) Förhållandet mellan försök till utnyttjande och svarspaket (%) Bild 11. Observationer om Heartbleed i HAVARO Största delen av de Heartbleedmeddelanden som upptäcktes av HAVARO kom från kinesiska och ryska internetadresser. Den grafiska figuren 14

15 nedan (Bild 12) visar de allmännaste källadresserna för meddelandena. Utifrån en internetadress är det emellertid inte direkt möjligt att gissa vem som är angriparen eftersom den server som har gjort angreppet kan styras från vilket som helst land. En del av de meddelanden som registrerats av HAVARO härrör troligen från de kartläggningar av Heartbleedsårbarheten som har gjorts av informationssäkerhetsmyndigheter, universitet och informationssäkerhetsföretag. I statistiken ingår inte de kartläggningar av sårbara tjänster som har gjorts av Kommunikationsverket. Källadress för försök att utnyttja Heartbleed CN RU US FI DE NL RO FR Övriga Bild 12. Källadresser för Heartbleed-meddelanden 7 Nätfiskekampanjen pågår fortfarande Nätfiske i syfte att få tag på bankuppgifter via falska e- postmeddelanden, www-sidor och SMS pågår fortfarande. Cybersäkerhetscentret vid Kommunikationsverket tog emot de första observationerna om nätfisket i mars. Nätfisket inleddes under Tullens namn och sedan fortsatte kampanjen under Itellas, en inkassotjänsts och Matkahuoltos namn. Enligt polisen hade kampanjen avkastat snabblån för totalt över euro fram till den 21 maj Fram till början av juni hade Cybersäkerhetscentret rapporterat om sammanlagt 32 nätfiskewebbplatser som hade samband med kampanjen till administratörerna av webbplatserna. Administratörerna har i stort sett reagerat bra på meddelandena och spärrat webbplatserna fort. När en webbplats har kopplats bort, har cyberbrottslingarna i praktiken skapat en ny webbplats under en ny adress och fortsatt nätfisket. Genom 15

16 bortkoppling har man emellertid lyckats minimera omfattningen och konsekvenserna av nätfiskekampanjen. 16

17 Kontaktuppgifter Kommunikationsverket PB 313 Östersjögatan 3 A Helsingfors Tfn (växel) cybersäkerhetscentret.fi kommunikationsverket.fi