INFORMATIONSSÄKERHETSÖVERSIKT 1/2011

Transkript

1 INFORMATIONSSÄKERHETSÖVERSIKT 1/

2 CERT-FI:s informationssäkerhetsöversikt 1/2011 Inledning Det amerikanska informationssäkerhetsbolaget RSA informerade i mitten av mars att det hade blivit offer för dataintrång. Dataintrånget kan påverka säkerheten i SecurID-produkter. Produkterna används i flera företag för att identifiera användare. Produkterna kan fortfarande på vissa villkor användas, men på grund av fallet ska användarna vara noggrannare än tidigare. Även informationssäkerhetsbolaget Comodos europeiska samarbetspartner drabbades av dataintrång. Datatjuven lyckades skapa nya SSL-certifikat för sju existerande webbtjänster, med hjälp av vilka det är möjligt att vilseleda användaren. Certifikaten har redan annullerats och de nyaste webbläsarversionerna godkänner inte dem. Anonymous sig in i företagets servrar och fick tag på bolagets filer och e- postmeddelanden som den publicerade på internet. När oroligheterna i Egypten eskalerade i slutet av januari stängde landets regering datakommunikationsförbindelserna från Egypten till utlandet för flera dagar. Enligt förändringen av strafflagen är det inte längre straffbart att använda ett oskyddat WLAN-nätverk. Den nya lagen trädde i kraft den 15 mars Det har hittats sårbarheter i webbutikers internetbetalningstjänster då programvaran inte har kontrollerat bekräftelsen av betalningen tillräckligt noggrant. Dessa sårbarheter har utnyttjats i bedrägerier som har orsakat ekonomiska förluster för vissa företag. I applikationsbutiken Android Market hade i mars lagts till versioner av applikationer som innehåller ett skadligt program. Med hjälp av det skadliga programmet var det möjligt att få huvudanvändarrättigheter (root) till telefonen och bland annat stjäla information från telefonanvändarna. I slutet av mars avlägsnades kommandoservrarna för botnätet Rustock från nätet som ett resultat av en gemensam operation mellan Microsoft och myndigheterna i Förenta Staterna och Holland. I samband med detta fick vi veta att också finländska användares datorer hade blivit en del av botnätet. I Europeiska kommissionens datasystem upptäcktes ett skadligt program i mars. Tillgången till kommissionens e- posttjänster och olika organs interna intranättjänster stängdes tillfälligt på grund av fallet. Det amerikanska informationssäkerhetsbolaget HBGary har försökt ta reda på Anonymous-gruppens nyckelpersoner och deras verksamhet. Som motåtgärd bröt 2

3 Uppgifter i RSA-informationssäkerhetsbolagets SecurIdprodukter har avslöjats vid ett dataintrång Det amerikanska informationssäkerhetsbolaget RSA informerade i mitten av mars att det hade drabbats av dataintrång. I samband med dataintrånget stals uppgifter som kan påverka säkerheten i RSA:s SecurId-produkter. RSA har gett mycket begränsad information om fallet. RSA SecurID är en verifikationslösning som är särskilt avsedd för företagsanvändare. Systemet grundar sig på en fysisk nyckeltalsgenerator som innehas av användaren och en verifikationsserver som innehas av företaget. För att logga in i en tjänst som använder SecurID behövs vanligen adressen till tjänsten, en användarkod, användarens eget lösenord och en engångskod som skapats av nyckeltalsgeneratorn och som gäller endast en begränsad tid. Verifikationsservern kontrollerar lösenordet som kopplats till användarkoden och koden som skapats av nyckeltalsgeneratorn. Enligt RSA använde man vid dataintrånget ett skadligt program som har skickats till dess anställda som bilaga till ett e- postmeddelande. Excel-filen som innehöll skadlig kod utnyttjade sårbarheten i applikationen Adobe Flash 1. Till RSA:s anställda hade skickats e- postmeddelanden med rubriken 2011 Recruitment Plan. Största delen av meddelandena hade filtrerats till skräppostmappar, men en del av de anställda hade öppnat bilagan och fått det skadliga programmet på sina datorer. Med hjälp av det skadliga programmet fick datatjuvarna tag på de anställdas användarkonton. De kapade flera konton, tills de hittade ett konto som hade tillgång till de filer som var målet för dataintrånget. Efter detta överförde tjuvarna filerna till en server som de hade kontroll över. RSA har inte berättat vilka uppgifter som har stulits. 1 CERT-FI sårbarhetsmeddelande 038/2011 RSA upptäckte dataintrånget på basis av nättrafiken. Det kunde dock inte skydda nätet tillräckligt snabbt och tjuvarna hann stjäla uppgifterna. Det rekommenderas att SecurID-systemet inte ska användas utan ett personligt lösenord som tillägg till den kod som skapas av nyckeltalsgeneratorn. Dessutom finns det skäl att ta i bruk låsning av koden och användarkontot efter ett antal fel gissningar. RSA har också direkt informerat sina kunder om dataintrånget. Kunderna bör följa med bolagets meddelanden. För tillfället rekommenderar RSA att man ska använda en personlig PIN-kod med 8 tecken och låsning av användarkontot efter tre misslyckade försök. Genom att kontrollera SecurID-serverns logguppgifter kan man upptäcka dataintrångsförsök. Eftersom det inte finns exakt information om effekterna av dataintrånget, ska användarna av SecurID fästa särskild uppmärksamhet vid säkerheten hos personliga lösenord eller PIN-koder. En kod ska endast användas i ett system. Om man misstänker att PIN-koden har hamnat i fel händer ska den omedelbart bytas. Man ska särskilt sörja för PIN-kodens säkerhet därför att sådana uppgifter med hjälp av vilka kortvariga engångsnyckeltal som skapats av SecurID-generatorn kan gissas, kan ha blivit föremål för dataintrång. Förfalskade certifikat till följd av dataintrång Informationssäkerhetsbolaget Comodos europeiska samarbetspartner drabbades av dataintrång. Dataintrånget gjordes genom att använda en stulen användarkod och ett stulet lösenord. Tjuven lyckades skapa nya SSL-cerfikat, som används i skyddade förbindelser (HTTPS), för sju existerande webbtjänster. Med hjälp av förfalskade SSL-certifikat kan attackeraren i princip stjäla användarnas koder och lösenord. Detta kan göras genom en s.k. man-in-the-middle-attack där attackeraren kapar nättrafiken mellan webbtjänsten och användaren, eller ge- 3

4 nom att styra namntjänstförfrågningar genom ett skadligt program av typ DNSChanger till attackerarens namnserver och på så sätt vilseleda användaren till en förfalskad webbplats. Comodo har annullerat de förfalskade certifikat som skapats av attackeraren. Flera programvaru- och operativsystemtillverkare har publicerat nya versioner av sina programvaror med en hårdkodad spärr för de felaktigt beviljade certifikaten. Webbläsarna kan även använda särskilda spärrlistor på certifikat. När användaren besöker en skyddad webbplats kontrollerar webbläsaren på nätet om det använda SSL-certifikatet är annullerat. Det är anmärkningsvärt att användningen av spärrlistor inte är en standardinställning i webbläsarna. Personen som sagt sig ligga bakom dataintrånget har i offentligheten berättat att han också har brutit sig in i två andra Comodos samarbetspartners nät. Comodo har bekräftat detta och berättat att inga flera förfalskade certifikat har gjorts till följd av dessa dataintrång. De tjänster för vilka de förfalskade certifikaten i samband med det första dataintrånget skapades var mail.google.com, login.yahoo.com, login.skype.com, adons.mozilla.org, login.live.com och "Global Trustee". Skadliga program i mobiltelefonoperativsystemet Androids programvarubutik I Googles Android-mobiloperativsystems applikationsbutik Android Market började i mars utdelas nya, avgiftsfria versioner av existerande avgiftsbelagda applikationer. De avgiftsfria versionerna innehöll ett skadligt program, med hjälp av vilket man kunde få huvudanvändarrättigheter till telefonen och stjäla uppgifter från telefonens användare. 4 Programmen hann delas ut i butiken endast i några dagar, men under denna tid laddades dessa program ner flera tiotusen gånger. Google avlägsnade möjligheten att ladda ner skadliga program från butiken och har också använt sitt applikationshanteringsprogram för att avlägsna de applikationer från användarnas telefoner som innehållit rootkit-egenskaper. Google har också meddelat i sin blogg att det ska öka skyddet i webbtjänsten för att hindra motsvarande fall. Skadliga program i mobiltelefoner blir så småningom vanligare Av de skadliga programmen ZeuS och SpyEye finns också versioner som fungerar i mobiltelefoner och som har använts utöver de skadliga program som installerar sig i datorer. Med hjälp av dem har man till exempel kunnat styra bankernas sms-verifikationer av bankgiron eller inloggningar vidare till attackeraren. Tillsvidare har mobilversioner av skadliga program inte använts mot finländska webbtjänster. Skadliga program av masktyp som sprider sig utan användarens egna åtgärder har inte påträffats i mobiltelefoner. Det förefaller dock som om skadliga program i mobiltelefoner håller på att bli vanligare. Detta kan bero på att mobiltelefoner redan nu används för annat än att ringa samtal eller skriva sms, till exempel för att surfa på internet och skicka e-post. Applikationer med vilka man kan göra små inköp kan öka intresset för mobiltelefoner hos skapare av skadliga program. Rustock- och SpyEye-smittor har rapporterats till finländska operatörer I slutet av mars avlägsnades kommandoservrarna för botnätet Rustock från nätet som ett resultat av en gemensam operation mellan Microsoft och myndigheterna i Förenta Staterna och Holland. Rustock är ett skadligt program som är särskilt avsett för att skicka skräppost. Enligt vissa uppskattningar har detta program smittat ner till och med en miljon datorer ute i världen. CERT-FI har fått information om finländska smittor av det skadliga programmet Rustock och informationen har vidareförmedlats till nätoperatörerna. Till de finländska

5 operatörerna rapporterades sammanlagt 2246 Rustock-smittofall som var fördelade på 47 olika nätområden (Autonomous System). Enligt Spamcop, som för statistik över mängden skräppost, sjönk mängden skräppost med cirka en tredjedel till följd av nedstängningen av botnätet. Senast såg vi en likadan nedgång i slutet av år 2008 när den amerikanska webbtjänstleverantören McColo avstängdes från internet. I McColos serverutrymmen fanns kommandoservrar för flera olika botnät, såsom Srizbin, Mega-D och Rustock. Brottslingarna lyckades då överföra sina kommandoservrar till nya serverhotell och mängden skräppost ökade snabbt till den tidigare nivån. Utöver adresser i Rustock-botnätet rapporterade CERT-FI i mars över 200 smittor av det skadliga programmet SpyEye till inhemska operatörer. SpyEye är ett skadligt program med hjälp av vilket man kan stjäla användarkoder och lösenord. Skadliga program i Europeiska kommissionens system I Europeiska kommissionens och dess External Action Service-organs datasystem upptäcktes ett skadligt program i mars. Det har inte publicerats information om spridaren av programmet eller karaktären av eller mängden information som eventuellt hamnat i utomståendes händer. Tillgången till kommissionens e- posttjänster och olika organs interna intranättjänster stängdes tillfälligt på grund av smittan. Användarnas lösenord har också bytts. Fortsatta blockeringsattacker och nätaktivism Blockeringsattacker som anknytits till Anonymous-gruppen och andra informationssäkerhetskränkningar fick publicitet också i början av året. Det amerikanska informationssäkerhetsbolaget HBGary har försökt ta reda på Anonymous-gruppens nyckelpersoner och deras verksamhet. Bolagets vd Aaron Barr avsåg att publicera en rapport om temat i RSA-informationssäkerhetskonferensen som hölls i San Francisco. Barr återkallade dock sitt framträdande. Senare kom det fram att Anonymous hade lyckats bryta sig in i företagets servrar och fått tag på företagets dokument och e-postmeddelanden. Tjuvarna publicerade företagets cirka e- postmeddelanden på internet. Genom att använda HBGarys e-postserver som de hade fått kontroll över fick tjuvarna också tag på huvudanvändarens lösenord till servern för rootkit.comwebbplatsen som upprätthålls av bolagets ägare Greg Hoglund. Senare publicerades användardatabasen för webbplatsen på internet. Blockeringsattacker riktas också mot Finland Till CERT-FI:s kännedom kommer också regelbundet blockeringsattacker mot finländska nät eller webbtjänster. Attackerna är ofta kortvariga och inte så kraftiga. Egypten stängde tillgången till internet under oroligheterna När oroligheterna i Egypten eskalerade i slutet av januari stängde landets regering ner datakommunikationsförbindelserna från Egypten till utlandet för flera dagar. De internationella operatörernas datakommunikationsförbindelser från Egypten till utlandet stängdes ner, vilket gjorde att Egypten i praktiken försvann från internet. Redan innan förbindelserna stängdes ner filtrerades internettrafiken i Egypten så att till exempel tillgången till Twitter- och Facebook-tjänsterna var blockerad. Man hade ytterligare försökt hindra funktionen av namntjänsten (DNS). För att stänga ner internetförbindelserna vidtogs flera åtgärder. Största delen av 5

6 förbindelserna stängdes ner på en gång genom att bryta förbindelserna i en stor nätknutpunkt för operatörer. Så kunde man avstänga cirka 90 % av alla egyptiska adresser från nätet. Under de följande dagarna stängde man ner nästan alla andra förbindelser. Telefonförbindelserna i mobiltelefonnätet fungerade huvudsakligen under oroligheterna. Man kunde skicka sms till utlandet, men inte inom Egypten. Internetförbindelserna var avbrutna i flera dagar. På överföringsförbindelser eller datakommunikationskablar som går via Egypten mellan Europa och Asien hade de vidtagna åtgärderna ingen effekt. Tidigare har internetförbindelserna stängts ner bland annat i Nepal och Burma. Partiell filtrering av internettrafiken har gjorts i flera olika länder. Användning av oskyddade WLAN-nät är inte längre straffbar Det är inte längre otillåtet att använda ett oskyddat trådlöst nät. Paragraf 7 i 28 kapitlet i strafflagen ändrades den 15 mars Det ansågs att ändringen av bestämmelsen var nödvändig eftersom man tidigare i rättspraxisen hade ansett att användning av ett oskyddat WLAN-nät och internetförbindelse som sker utan ägarens tillstånd kan uppfylla rekvisitet för det ifrågavarande brottet. I motiveringarna till ändringen konstateras att straffbarheten för användning av oskyddade trådlösa nät av WLAN-typ hade orsakat flera problem. Särskilt konstaterade man att användaren av förbindelsen inte på förhand kan veta om ägaren till nätet har avsett att nätet kan användas fritt eller inte. Användaren kan också enkelt hindra olovlig användning genom att skydda sin nätförbindelse. Detta rekommenderas, eftersom det nyligen har publicerats allt mer lättanvändliga verktyg för att kapa nätförbindelser. I ett skyddat nät kan förbindelserna inte kapas. 6 Brister i informationssäkerheten hos nätbutiksapplikationer Polisen och CERT-FI har fått information om fall där informationssäkerhetsbrister i behandlingen av betalningar i nätbutiksapplikationer har utnyttjats. På grund av dessa sårbarheter har nätbutiksapplikationen vilseletts att tro att betalningsförmedlingen har skett, trots att detta inte är fallet i verkligheten. Sårbarheterna beror på att nätbutiksapplikationen inte kontrollerar betalningstransaktionens returadress eller kontrollsumman i samband med betalningen av inköp. Sårbarheter har utnyttjats i bedrägerier vars sammanlagda summa uppgår till nästan euro. Det är inte fråga om ett informationssäkerhetsproblem i en enskild applikations eller en viss applikationstillverkares programvara utan en sårbarhet som beror på det sätt på vilket butikerna är förverkligade. Då olika sätt att förverkligabutiksapplikationerna tillämpas kan det leda till att de tekniska definitioner som bankerna eller andra aktörer som erbjuder betalningsrörelsetjänster utfärdar inte följs helt enligt anvisningarna. Det är också viktigt att poängtera att missbruksmöjligheterna inte äventyrar konsumentens informationssäkerhet vid inköp i nätbutiker. Försäljaren ansvarar för informationssäkerheten i nätbutiken. På grund av den stora mängden aktörer och den splittrade applikationsmarknaden är det ur koordinationssynvinkel svårt att hitta och reparera sårbarheterna i nätbutikerna. De största programvaruleverantörerna och nätbutiks-integratorerna är lättare att nå än de nätbutiker som upprätthålls av en enda person, vilket enligt vår uppfattning är rätt allmänt i Finland. CERT-FI har samarbetat med det finländska informationssäkerhetsbolaget Nixu Oy, Helsingfors polis och Suomen elektronisen kaupankäynnin yhdistys ry för att sprida information till programvarutillverkare och näthandlare.

7 Sårbarheter i smarttelefoner koordineras av CERT-FI Kraven på pålitlighet och informationssäkerhet hos smarttelefoner växer. Utöver de hot som utgörs av datatekniska gränssnitt riktas även andra hot mot telefoner. Telefonernas fysiska skyddsmekanismer är viktiga i sådana situationer där apparaten måste överlämnas till utomstående. Den första sårbarheten i smarttelefoner som publicerades och koordinerades av CERT-FI gällde en metod för att förbigå skyddskoden i Nokia E75-telefoner. Det går ofta långsamt att reparera sårbarheter i programvara CERT-FI koordinerar repareringen och publiceringen av sårbarheter i flera olika programvaror. Att publicera resultaten av pågående projekt kan ta till och med flera månader på grund av förseningar som gäller programvaruutvecklingen och repareringsprocesserna. Utredning av brister i IDS/IPSutrustningar och programvara I ett projekt för koordinering av sårbarheter som publicerades i slutet av fjolåret undersökte tillverkarna hur sårbara deras IDS/IPS-produkter är för protokollmeddelanden som försöker kringgå skyddsmekanismerna. Stonesoft Oy som berättade om de tidigare sårbarheterna har rapporterat om nya metoder för att kringgå skyddsmekanismer. CERT-FI har på grund av dessa varit i kontakt med tillverkarna av apparaterna och programvarorna. Metoderna för att förbigå skyddsmekanismerna kan påverka även andra system som undersöker innehållet i nättrafiken, såsom nya generationens brandväggar (NGFW) och UTMsystem (Unified Threat Management). Framtidsutsikter CERT-FI följer med utvecklingen av skadliga program som stjäl information och sårbarheter och skadliga program i smarttelefoner. Under den senaste tiden har det skett flera dataläckage från olika tjänster. Till exempel e-postadresser som tillsammans med kunduppgifter hamnat i fel händer kan utnyttjas i skräppostbedrägerier. Det är sannolikt att också finländska användares uppgifter finns bland uppgifterna. 7

8 CERT-FI kontakter per kategori Q1/2011 Q1/2010 Förändring Intervju % Sårbarhet eller hot % Skadligt program % Rådgivning % Beredning av attack % Dataintrång % Blockeringsattack % Övriga informationssäkerhetsproblem % Social Engineering % Totalt % Q4 Q3 Q2 Q Antalet fall som behandlats av CERT-FI under det första kvartalet låg på samma nivå som tidigare år. Två tredjedelar av alla fall är anmälningar om skadliga program även om största delen av dem behandlas automatiskt med Autoreporter-systemet. 8