INFORMATIONSSÄKERHETS- ÖVERSIKT 3/2010

Transkript

1 INFORMATIONSSÄKERHETS- ÖVERSIKT 3/2010 1

2 CERT-FI informationssäkerhetsöversikt 3/2010 Inledning Sommaren 2010 upptäcktes det tekniskt avancerade virusprogrammet Stuxnet. Det är ett program som kan påverka programmerbara styrsystem inom industrin och har redan hunnit sprida sig långt. Man känner inte till att Stuxnet verkligen skulle ha lyckats skada någon industrianläggnings system. Målet för virusprogrammet, vem som planerat det och vem som sprider det vet man inte heller, men enligt vissa bedömningar kan det handla om sabotage. På Facebook har man påträffat de första finskspråkiga skadliga länkarna, som syftat till att lura användarna att beställa en avgiftsbelagd sms-tjänst. De som fallit offer för bedrägeri har dock inte åsamkats kostnader. Ett nytt verktyg har utvecklats för missbruk av nätbanksförbindelser. Med hjälp av programmet, som används med mobiltelefon, kan kriminella komma åt sms som skickats för certifiering av uppdrag. Det finns också personer som med hjälp av nätscanning söker VoIP-telefonväxlar som kopplats till Internet. Via en dåligt skyddad växel kan man vidarekoppla samtal utan lov, vilket kan stå växelns ägare dyrt. Aktivister har riktat blockeringsattacker mot upphovsrättsorganisationernas webbsidor. CERT-FI har medverkat i reparationer av flera allvarliga programsårbarheter och projekt för att samordna kontrollerad publicering. Oreparerade programsårbarheter utnyttjas allmänt för virusattacker. 2

3 Det skadliga programmet Stuxnet har brett ut sig till industriautomationssystem I juni 2010 fick CERT-FI höra om de första observationerna av ett nytt slags virus som riktar sig främst till industriautomation. Programmet kallas Stuxnet och har allmänt karakteriserats som det mest sofistikerade skadliga programmet som hittills påträffats. Det som gör Stuxnet exceptionellt är att det kan påverka programmerbara styrsystem (Programmable Logic Controller, PLC) som används i processtyrningssystem. Med programmet vore det möjligt att t.ex. orsaka störningar i kraftverk eller anläggningar inom processindustrin. Stuxnet drar fördel av flera sårbarheter Stuxnet tar fasta på flera olika programsårbarheter. Det sprider sig via två sådana programsårbarheter i operativsystemet Windows som fortfarande är oreparerade. Därtill nyttjar det två andra oreparerade sårbarheter över vilka det utvidgar sin behörighet ända upp till systemadministratörsnivå. Kombinationen av fyra oreparerade sårbarheter i samma virusprogram är exceptionell. Stuxnet-viruset sprider sig främst över USB-minnesstickor genom att nyttja den sårbarhet som förknippas med genvägsfiler i operativsystemet Windows. Därtill kan det sprida sig även i lokalnät genom en sårbarhet i utskriftstjänsten eller samma sårbarhet i RPC-tjänsten, över vilken även Conficker-masken breder ut sig på Internet. Microsoft reparerade sårbarheten i anslutning till genvägslänkar i en extra programuppdatering som publicerades i början av augusti. När det gäller sårbarheten i utskriftstjänsterna publicerades en korrigering i september. RPC-sårbarheten åtgärdades redan år Stuxnet är inriktat på ett visst system När Stuxnet slagit sig ner i en dator söker det upp programpaketet Siemens SIMATIC PCS7, som används för processtyrning. Viruset riktar främst in sig på planerings- och 3 projekteringsprogrammet, vars databas det kommer åt på grund av ett planeringsfel i systemet. Genom att undersöka informationen i databasen försöker Stuxnet fastställa om den aktuella terminalen är ansluten till industrianläggningen som är mål för attacken. Det gör den genom att jämföra projekteringsdokumenten i databasen med sådan information om det utsedda målet som Stuxnet känner till. Efter kontaminationen kontaktar Stuxnet en kommando- och kontrollserver på Internet och förmedlar primärinformation om den utsatta datorn till servern. Programmet kan också ladda fler körbara programfiler på datorn. Viruset har även rootkit-egenskapen, som gör att det kan gömma sig i datorn efter kontaminationen. Stuxnet har spridit sig till åtminstone över datorer, men det aktiveras inte om datorn inte har vissa program och rätta specifikationer. Därför har man dragit slutsatsen att programmet kan ha utvecklats för att påverka någon viss process eller industrianläggning. Stuxnet har följder även utanför datorn Effekterna av de hittills påträffade skadliga programmen har varit begränsade till det smittade datasystemet. Stuxnet kan däremot slå ut processer även utanför datorn. Om programmet upptäcker att datorn används för att programmera vissa slag av programmerbara styrsystem som tillverkas av Siemens, kan det ta beslag på dessa programmeringsgränssnitt och ersätta en del av PLC-styrsystemets kommandon med egna. Stuxnet kan också administrera datatrafiken mellan programmet och styrsystemet och på det sättet dölja de gjorda ändringarna. Stuxnet kan alltså betraktas som det första rootkit-viruset för PLC-styrsystem.

4 Väl utforskat virus Under de senaste månaderna har flera organisationer undersökt Stuxnetprogrammet och hur det fungerar. Av större intresse är huruvida man kan spåra utvecklarna och dem som sprider programmet. Det kunde ge en hänvisning om programmets egentliga mål. Eftersom Stuxnet tekniskt sett är ett särskilt avancerat virus, kommer det antagligen att stå som modell vid utvecklandet av andra skadliga program. Dessutom kan Stuxnets programkod kopieras för andra skadliga program som syftar till olika ändamål. Observationer även i Finland Även i Finland har enskilda fall av Stuxnet-viruset påträffats. Enligt de uppgifter som CERT-FI har fått har inga system för industriautomation vållats skador. Händelser i anknytning till Stuxnet : VirusBlokAda, ett företag i Vitryssland som är inriktat på virusbekämpning, hittade ett nytt program som bygger på sårbarheten i länkade filer i Windows. Viruset fick senare namnet Stuxnet efter namnet på en katalogfil i programkoden : De flesta antivirusprogrammen kunde identifiera Stuxnet i mitten av juli : Microsoft publicerade ett meddelande om sårbarheten som Stuxnet sprider sig längs: "Vulnerability in Windows Shell Could Allow Remote Code Execution ( )" : Symantec började följa upp virusets kommandotrafik från kontaminerade datorer till kommandoservern : Microsoft publicerade programuppdateringen MS10-046, som reparerade sårbarheten i anknytning till Windows länkfiler : Stuxnet-virusets förmåga att påverka programmerbara styrsystem inom industriautomation offentliggjordes : Microsoft publicerade programuppdateringen MS10-046, som reparerade sårbarheten i anknytning till utskriftstjänster. Välinriktade attacker drar fördel av oreparerade sårbarheter Så kallade 0-day-sårbarheter, dvs. sådana sårbarheter för vilka ingen korrigering har publicerats, utnyttjas också vid andra målinriktade attacker som är mindre avancerade än fallet Stuxnet. Under de senaste månaderna har oreparerade sårbarheter påträffats förutom i Adobes och Microsofts produkter även i kärnan av operativsystemet Linux. Under det tredje kvartalet har virusattacker baserade på sårbarheter i bland annat Adobe Acrobat- och Readerprogram samt i Microsofts Windows operativsystem och ASP.net använts. Programtillverkarnas publiceringsscheman nyttjas för missbruk Tidpunkterna för programuppdateringar har ofta offentliggjorts i förväg, och t.ex. Microsoft publicerar sina uppdateringar i allmänhet en gång i månaden. Genom att publicera sårbarheter och metoderna för att utnyttja dessa strax före programtillverkarnas uppdateringar vill kriminella säkerställa en så lång användningstid som möjligt för missbruket. När en publikation schemaläggs strax före en uppdatering har programtillverkaren ingen tid att reparera sårbarheten. Om sårbarheten utnyttjas i stor utsträckning eller på annat sätt är allvarlig, kan det hända att programtillverkaren blir tvungen att publicera en extra programuppdatering utöver den vanliga rytmen. Inte alla attacker innebär nya sårbarheter Det är svårare att hitta hittills okända sårbarheter än att tillämpa kända och redan tidigare publicerade attackmetoder. Därför görs en del av attackerna alltjämt med utgångspunkt i en redan känd sårbarhet. En målinriktad attack genomförs vanligtvis i form av ett e-postmeddelande med förfalskat avsändarfält. I filen som bifogats meddelandet ingår ett program som använder en relativt ny eller tillsvidare oreparerad sårbarhet. 4

5 Satsningar på trovärdighet Vid en målinriktad attack försöker man på många olika sätt väcka mottagarnas intresse och vinna deras förtroende. Listan på mottagare är ofta synlig för alla, och antalet mottagare är inte särskilt stort. Innehållet i meddelandet görs så trovärdigt och intressant som möjligt. Meddelandet kan t.ex. innehålla en möteskallelse eller en publikation som relaterar till målföretagets bransch. Syftet med målinriktade attacker är inte att göra systemet till en slav för botnätet utan att komma åt datainnehållet i systemet. Bedrägerier på finska i sociala nätverkstjänster På Facebook har man även påträffat finska viruslänkar. I början av oktober spreds en länk där man lockade folk att titta på en videoinspelning. För att se videon skulle användarna först starta Facebook-tillämpningen, som spred länken vidare till andra användare. Därefter styrdes användarna till en sida där de uppmanades skriva in sina mobiltelefonnummer. Registreringen av telefonnumret tolkades som en beställning av en sms-tjänst, men avtalstexten visades på sidan med försvinnande liten text. Konsumentverket och teleföretagen har kommit överens om att användarna inte faktureras för tjänster som har beställts via denna sida. Telefonversionen av Zeus-viruset kapar sms Virusfamiljen Zeus, som är specialiserad på missbruk av bankförbindelser, har utökats med en version som kapar textmeddelanden. Programmet fungerar t.ex. i Nokias telefoner med operativsystemet Symbian samt framför allt i Blackberry-telefoner, som är vanliga i USA. Det sprider sig med hjälp av en nedladdningslänk som distribueras via sms. Telefonens ägare uppmanas ladda ned och installera programmet i tron att det handlar om en säkerhetsuppdatering av telefonen. Efter installationen förmedlar programmet sms som skickas till telefonen automatiskt vidare till utomstående. Missbruket går ut på att man först frågar efter användarnamnet och lösenordet till 5 nätbankstjänsten med hjälp av ett skadligt program som datorn utsatts för och därefter loggar in i nätbanken genom att använda offrets dator som proxyserver. I nätbanken görs en olovlig transaktion för vilken nätbanken skickar en certifieringskod i form av ett sms. Viruset i offrets telefon förmedlar meddelandet vidare, varefter den som står bakom attacken kan certifiera transaktionen i nätbanken med hjälp av koden. Telefonviruset kan i viss omfattning även styras på distans genom textmeddelanden. Dessa syns inte i telefonen. Det är bra att komma ihåg att man även bör se över säkerheten i datortelefoner om sms används för certifiering av uppdrag i nätbankstjänster. Säkerheten hos IP-telefonväxlar bör ses över Även VoIP-telefonväxlar som kopplats till Internet utsätts för angreppsförsök. CERT- FI har fått kännedom om fall där finländska organisationers växlar har knäckts och utlandssamtal kopplats via dessa utan tillstånd. Angrepp mot växlar börjar med nätscanning där man söker vilka telefonväxlar som kan nås. Genom att pröva olika användarnamn och lösenord försöker man logga in på systemet. Om inloggningen lyckas kan man sälja växelns förbindelsekapacitet vidare. Den som gjort intrånget kan t.ex. sälja förmånliga utlandssamtal som den kapade växelns ägare blir tvungen att betala. De ekonomiska förlusterna kan bli betydande redan under en kort tid. Det är anledning att följa upp loggar som sparats i växlarnas program och begränsa åtkomsten till växlarna efter behov. Uppmärksamhet bör också fästas vid valet av lösenord. Tillräckligt långa lösenord som är svåra att gissa sig till gör det svårare att gå till angrepp mot växeln. I vissa fall har man låtit bli att byta ut de förvalda lösenorden, och då har det varit enkelt att ta systemet i besittning. Även testsystem som är avsedda för temporärt bruk bör skyddas, ifall de är uppkopplade till Internet. Blockeringsattacker från aktivister Anonyma aktivister har startat en kampanj med blockeringsattacker. Kampanjen riktar sig främst till

6 upphovsrättsorganisationers webbplatser. Den har publicerats i sociala nätverk och t.ex. på den populära webbplatsen The Pirate Bay. Syftet med kampanjen är att främja fri spridning av material som skyddas av upphovsrätter. Attackerna har påverkat flera stora upphovsrättsorganisationers webbplatser åtminstone i USA, Australien, Storbritannien och Holland. Det har inte kommit till CERT-FIs kännedom att attackerna skulle ha riktats till eller annars påverkat finländska webbplatser. Livligt arbete med att samordna sårbarheterna De av CERT-FI samordnade sårbarheter som publicerats under det senaste kvartalet har främst haft att göra med fel i Internets grundprotokoll. Sårbarheter har åtgärdats i OpenLDAP-katalogtjänsten, Ciscos nätverksprodukter, routrar för den öppna källkoden Quagga samt komprimeringsbiblioteket bzip2. Allvarliga sårbarheter i katalogtjänsten OpenLDAP OpenLDAP är ett populärt LDAP-protokoll som bygger på en öppen källkod. I tjänsten påträffades två sårbarheter, varav den ena kan leda till olovligt besittningstagande av systemet. LDAP (Lightweight Directory Access Protocol) är ett katalogprotokoll som används för verifiering av flera användare, men det kan även användas för att behandla uppgifter om en organisations användare, användargrupper eller andra resurser. LDAP-kataloger används också för sökning av certifikat och spärrlistor som publiceras av Befolkningsregistercentralen. Quagga kan användas för att påverka routning De sårbarheter som påträffats i routningsprogrammet Quagga hänger samman med Internets routningsprotokoll BGP (Border Gateway Protocol). Med stöd av sårbarheterna kan man ändra routningsuppgifter som påverkar vilka rutter informationen går längs över Internet. Utnyttjandet begränsas av att sårbarheter bara kan användas genom att man skapar en BGP-grannrelation i förväg för routrar i färdigt sammankopplade nät. Sårbarheter i Ciscos informationssäkerhetsanordningar I TLS-lösningarna i Ciscos ASAanordningar (Adaptive Security Appliances 6 har man upptäckt en sårbarhet som möjliggör DoS-attacker. ASA-produkter används t.ex. som brandväggar, hinder mot intrång eller för VPN-förbindelser. TLS (Transport Layer Security) är ett protokoll som bl.a. används för kryptering av HTTPS-trafik på webbläsaren. Sårbarheter påträffas alltjämt i packningsprogram I program används det effektiva packningsformatet bzip2 oftast i kombination med programbiblioteket libbzip2. Packning används t.ex. för komprimering av program och i krypteringssystemet GnuPG (GNU Privacy Guard). Dessutom kan system som undersöker datainnehållet, t.ex. antivirusprogram, öppna bzip2-paket. De upptäckta sårbarheterna kan göra att användningen av tillämpningarna förhindras och att en programkod körs i målsystemet. Risker för passering av skyddstekniker medför arbete CERT-FI samordnar och publicerar reparationer av sårbarheter som rapporteras av Stonesoft Oy i samarbete med tillverkarna. Dessa sårbarheter kan ge möjlighet att passera skyddstekniker på nätet. Ständigt nya upptäckter av Conficker-masken Det kommer hela tiden in nya uppgifter till CERT-FI om Conficker-upptäckter. Tillsvidare känner man inte till något annat om Conficker än att det är ett virus som sprids mellan datorer. Det föreligger dock en risk för att det kan ladda en skadlig kod i datorerna. Framtidsutsikter CERT-FI bedömer att det kommer att bli vanligare med välinriktade attacker. De kommer att vara ett sätt att industrispionera och skaffa information om statliga organisationer. Modellen eller programkoden i Stuxnet kommer troligen att kopieras vid nya virusattacker. På Internet har det redan i flera år funnits handelsplatser där man säljer uppgifter om oreparerade sårbarheter till den som bjuder högst. Uppgifterna kan utnyttjas t.ex. för programmering av skadliga program som syftar till att stjäla information.

7 CERT-FI kontakter per kategori 1-9/ /2009 Förändring Intervju % Sårbarhet eller hot % Skadligt program % Rådgivning % Beredning av attack % Dataintrång % Blockeringsattack % Övriga informationssäkerhetsproblem % Social Engineering % Sammanlagt % Q4 Q3 Q2 Q Det ökade antalet fall av skadliga program under det tredje kvartalet beror i huvudsak på anmälningar av nya organisationer som förmedlar information om skadliga program. I fortsättningen strävar man efter att behandla en stor del av dessa fall automatiskt. 7