INFORMATIONSSÄKERHETSÖVERSIKT 2/2011

Transkript

1 INFORMATIONSSÄKERHETSÖVERSIKT 2/

2 CERT-FI:s informationssäkerhe tsöversikt 2/2011 Inledning som maskerats till ett antivirusprogram har spridit sig till Mac-datorer. Det sjätte mötet för sårbarhetsforskare som ordnades av CERT-FI samlade finländska forskare i sårbarheter hos programvara från universitet, statsförvaltningen och branschföretag. Dataintrången och de grupperingar som uppgett sig stå bakom dem har fått mycket uppmärksamhet under våren. Kränkningarna av informationssäkerheten är ofta systematiska och riktade mot vissa företag eller organisationer. Motivet kan vara strävan efter publicitet eller till exempel politiska mål. I samband med de dataintrång som riktade sig mot Sonys tjänster i april stals uppgifter om mer än hundra miljoner användare. Enligt bolaget orsakade dataintrången skador för 170 miljoner dollar. På grund av dataintrången var tjänsterna Sony PlayStation Network och Sony Online Entertainment länge stängda. Informationssäkerhetsbolaget RSA upptäckte i mars att bolaget varit föremål för dataintrång. I samband med dataintrånget stals uppgifter som inverkade på informationssäkerheten hos system som skyddats med RSA SecurIDprodukter. RSA har meddelat att man kommer att byta ut alla tokens som tagits i bruk före dataintrånget. Efter midsommaren fick CERT-FI kännedom om en lista som lagts ut på webben och som innehöll mer än finländares e-postadresser och lösenord. Uppgifterna stals i samband med ett dataintrång på spelsidan alypaa.com för över ett år sedan. På informationssäkerhetsseminariet, som ordnades av Kommunikationsverket, Försörjningsberedskapscentralen och kommunikationsministeriet, visades hur man i praktiken kan bryta krypteringen av mobilsamtal i GSM-nätet. Observationerna om skadliga program som är riktade mot andra datorer än Microsoft Windows operativsystem ökar. Det skadliga programmet MacDefender 2

3 Dataintrång i Sonys tjänster Ett dataintrång gjordes i tjänsten Sony PlayStation Network före påsken, och i samband med det stals uppgifter om 77 miljoner användare av speltjänsten PSN. Ungefär vid samma tidpunkt gjordes också ett dataintrång i webbspelstjänsten Sony Online Entertainment, där gärningsmännen kom över uppgifter om 24 miljoner användarnamn. I dataintrången som riktade sig mot Sony stals sammanlagt uppgifter om mer än hundra miljoner användare, vilket gör fallet till det största kända dataintrånget hittills vad gäller mängden användaruppgifter. Speltjänsten var stängd i över tre veckor Sony stängde den populära tjänsten PlayStation Network efter att bolaget hade upptäckt dataintrånget i Sonys servercentral i San Diego. Intrånget inträffade sannolikt mellan den 17 och den 19 april. Sony publicerade ett meddelande om orsaken och detaljerna bakom stängningen den 24 april. Enligt Sony förutsatte reparationen av de brister som dataintrånget avslöjade en omkonstruktion av hela tjänsten. För användarna av tjänsten publicerades ett nytt meddelande den 26 april i vilket användarna informerades om de uppgifter som stals i samband med dataintrånget. Enligt Sony kom gärningsmännen över användarnas namn, födelsedatum, adressuppgifter och e-postadresser samt dessutom bland annat användarnamn och lösenord. Enligt meddelandet som Sony publicerade den 28 april fanns det inga bevis på att kreditkortuppgifter skulle ha stulits. Dessutom tillkännagav bolaget att kreditkortuppgifterna förvarats i krypterad form i tjänsten och att endast kondensat av användarnas lösenord hade lagrats. Det gäller ändå att notera att i synnerhet svaga lösenord är rätt lätta att bryta med hjälp av hashvärde. Sony bekräftade också att FBI deltar i utredningen av fallet. 3 Tjänsten har många användare i Finland Enligt Sony finns det cirka användare av tjänsten Playstation Network i Finland. På grund av dataintrången offentliggjorde CERT-FI den 27 april varningen 1/ I Finland öppnades tjänsten Playstation Network på nytt i mitten av maj. Samtidigt publicerades en obligatorisk programuppdatering för PlayStation 3- spelkonsoler, och användarna var tvungna att byta lösenord. Även uppgifter om användarna av tjänsten Sony Online Entertainment stals I början av maj tillkännagav Sony att även uppgifter om över 24 miljoner användare av webbspelstjänsten Sony Online Entertainment stulits i samband med dataintrånget i servercentralen i april. Därför var man även tvungen att stänga SOE-tjänsten och bygga om den. De stulna uppgifterna var likadana som de som stulits från tjänsten PlayStation Network, dvs. personuppgifter om användare, användarnamn och kondensat av lösenord. Dessutom stals europeiska användares kreditkortuppgifter från 2007 samt användares direktdebiteringsuppgifter. Tjänsten öppnades på nytt den 14 maj. Närmare 20 dataintrång på Sonys övriga sidor Till följd av den publicitet som dataintrången fick utsattes många av Sonys övriga webbtjänster och webbsidor för olika attacker. Av dessa lyckades nästan 20, och bytet var uppgifter om användare. Den värsta dataläckan uppstod i samband med attacken mot tjänsten Sony Pictures, där en miljon användares okrypterade lösenord stals. Stora förluster för tjänsteleverantören Enligt Sony har dataintrången orsakat förluster på totalt 170 miljoner dollar. Förlusterna utgörs av kostnader för utredning av dataintrången och 1

4 omkonstruktion av tjänsterna samt av inkomstbortfall under avbrotten i tjänsterna. Kritik har riktats mot Sonys informationssäkerhet Sonys sätt att genomföra tjänsterna har utsatts för en hel del kritik efter de lyckade dataintrången. Det stora, globala teknologiföretagets informationssäkerhetspraxis har ansetts vara svag. Enligt kritikerna skulle de flesta attackerna ha kunnat avvärjas med hjälp av sedvanlig informationssäkerhetspraxis. RSA byter ut SecurID-tokens RSA har inte bekräftat vilka slags uppgifter om SecurID-produkterna gärningsmännen lyckades komma över. Sannolikt har utomstående kommit över uppgifter med vars hjälp de tokens som används för att identifiera användaren kan identifieras. Denna information kan utnyttjas vid dataintrång. Informationssäkerhetsbolaget RSA upptäckte i mars att bolaget varit föremål för dataintrång. I samband med dataintrånget stals uppgifter som inverkade på informationssäkerheten hos system som skyddats med RSA SecurIDprodukter. Stulna uppgifter har sannolikt utnyttjats vid dataintrånget i det amerikanska försvarsindustriföretaget Lockheed- Martins system i slutet av maj. RSA har meddelat att de tokens som daterats före den 23 mars 2011 kommer att bytas ut mot nya. RSA har haft direktkontakt med sina största kunder såsom IT-tjänsteleverantörer och tjänsteintegrerare för att byta ut tokens. Om tokens har skaffats direkt från RSA (i dag en del av EMC Corporation) och företaget inte kontaktats för att byta ut dem ska företaget vara aktivt och själv skaffa nya tokens. För att kunna bryta sig in i system som skyddats med SecurID-utrustning ska attackeraren förutom det varierande nyckeltalet i token även känna till användarens normala inloggningsnamn i 4 systemet och det personliga lösenordet som anslutits till SecurID. Attackeraren kan komma över dessa uppgifter till exempel med hjälp av lösenordsfiske per e-post eller skadeprogram som stjäl information. Företagen bör fortfarande vara på sin vakt vad gäller försök till missbruk vid inloggning i företagets system med RSA:s SecurID-produkter och fästa särskild uppmärksamhet vid informationssäkerheten hos de servrar som används vid identifieringen. CERT-FI publicerade varningen 2/ på grund av den försämrade informationssäkerheten hos RSA:s SecurID-produkter. I anslutning till varningen finns anvisningar för både ITpersonalen i organisationer som använder SecurID-produkter och slutanvändarna av SecurID-produkter. Uppgifter som stals vid intrånget i tjänsten Älypää har missbrukats Efter midsommaren fick CERT-FI kännedom om en lista som lagts ut på webben och som innehöll mer än finländares e-postadresser och lösenord. Senare visade det sig att uppgifterna härstammade från listor över spelwebbplatsen alypaa.coms användaruppgifter som publicerats för mer än ett år sedan. På grund av dataintrånget i tjänsten Älypää publicerade CERT-FI varningen 01/ i mars Användarnamn och lösenord i anslutning till Microsofts tjänster hotmail.com och live.com har förutom i dessa tjänster missbrukats i till exempel Facebook, om användaren använt samma lösenord i andra tjänster. På grund av fallet har CERT-FI varit i kontakt med Microsoft. Förutom att byta lösenord borde användarna se till att

5 samma lösenord inte används i andra webbtjänster. Den ökade aktivismen syntes i form av dataintrång Under de senaste månaderna har det inträffat en hel del kränkningar av informationssäkerheten, som även fått exceptionellt mycket publicitet. Gärningsmännen bakom dessa intrång har ofta anmält sig under signaturer eller under olika grupperingar. Fallen har drag av systematisk webbaktivism. Antalet framgångsrika dataintrång och publiciteten kring dem antyder att organisationerna inte i tillräcklig grad förberett sig på hoten mot informationssäkerheten. Datastölder planeras och genomförs systematiskt och långsiktigt. Det egentliga olovliga dataintrånget i systemet kan ske långt innan de stulna uppgifterna publiceras eller missbrukas. Bristerna i informationssäkerheten hos de tjänster som valts till objekt utnyttjas snabbt. Man försöker fortfarande också komma över lösenord och andra känsliga uppgifter genom attacker riktade mot organisationer. I detta fall skickas meddelanden som ser ut att vara äkta till ett begränsat antal mottagare och till meddelandet bifogas skadeprogram som stjäl information. Motiven varierar Förutom traditionell strävan efter ekonomisk vinning verkar motiven bakom dataintrången vara strävan efter publicitet eller rentav anarkism. Motiven för grupperingen Anonymous som i synnerhet organiserat blockeringsattacker är politiska och har främst att göra med stödet till organisationen WikiLeaks. Motivet för grupperingen LulzSec som tillkännagett dataintrång på ett mycket synligt sätt under knappt två månader verkar däremot ha varit strävan efter publicitet. Tills vidare har största delen av de attacker som rönt publicitet inte varit riktade mot Finland. Attacker mot finländska organisationer och blockeringsattacker mot inhemska tjänster uppdagas ändå hela tiden. Brister i tjänsternas utförande Man skulle tycka att flera av föremålen för dataintrången borde ha kunnat försvara sig mot attackerna. Det har varit möjligt att stjäla enorma mängder känslig information från datasystem i storföretag, ämbetsverk och till och med banker till exempel genom attacker av typen SQL injection. Utifrån nyheter, företagens meddelanden och uppgifter som inbrytarna publicerat kan man sluta sig till att informationssäkerheten inte alltid beaktats i tillräcklig grad vid planeringen, genomförandet och underhållet av systemen. De som använder tjänsterna kan inte i nämnvärd grad påverka tjänsternas säkerhet. Genom att välja tillräckligt svåra lösenord och inte använda samma lösenord i olika tjänster kan man försöka begränsa konsekvenserna av eventuella dataintrång. Dekryptering av GSM-nätets kryptering demonstrerades på informationssäkerhetsseminari um I början av maj ordnade Kommunikationsverket, Försörjningsberedskapscentralen och kommunikationsministeriet ett informationssäkerhetsseminarium, där man demonstrerade hur A5/1- krypteringen som används för att skydda samtal i GSM-nät kan dekrypteras i praktiken. A5/1-krypteringsmetoden används i kommunikationen mellan mobiltelefoner och basstationer i GSM-mobilnät. Bristerna i den har varit kända sedan flera år, men med hjälp av de nya metoder som offentliggjorts under den senaste tiden kan krypteringen brytas mycket snabbare än tidigare. 5

6 Att bryta krypteringen är fortfarande arbetsdrygt och kräver kännedom om GSM-nätens teknik och förhandsförberedelser. Dessutom måste man kunna spåra objektet för den olovliga avlyssningen. Man kan skydda sig mot olovlig avlyssning av samtal genom att ställa in mobiltelefonen så att den endast använder 3G-nät, som använder en mer utvecklad krypteringsmetod. Med hjälp av de metoder som Kommunikationsverket har kännedom om kan man inte avlyssna trafiken mellan en 3G-telefon och en basstation. Även Mac-datorer kan råka ut för skadliga program maskerade till informationssäkerhetsprogram Observationerna om skadliga program som är riktade mot andra datorer än Microsoft Windows operativsystem ökar. I maj spred sig det skadliga programmet MacDefender som maskerats till ett antivirusprogram till många datorer med operativsystemet Mac OS X. Tills vidare har de som utvecklat skadliga program använt sig av metoder bekanta för skadliga program i Windows-miljön för att vilseleda användarna. Smittovägar som skräddarsytts för operativsystemet Mac OS X har inte förekommit tills vidare. Alla skadliga program riktade mot operativsystemet Mac OS X försöker få användaren att installera programmet med något svepskäl. Det skadliga programmet kan till exempel meddela att en video inte kan visas förrän ett nytt uppspelningsprogram installerats. Skadliga program som sprids av sig själv, dvs. maskar, har ännu inte upptäckts i Mac-datorer. Efter att antivirusprogrammet som följer med Mac OS X kompletterats med identifiering av det skadliga programmet MacDefender har det fingeravtryck av ett tjugotal skadliga program. Det är sannolikt att operativsystemet Mac OS X innehåller ungefär lika många 6 sårbarheter som kan utnyttjas som andra operativsystem. Användarens säkerhet förbättras en aning av sandboxegenskaperna som isolerar operativsystemets program och av att Mac-datorer sällan används med huvudadministratörens rättigheter. CERT-FI sårbarhetsforskare samlade CERT-FI ordnade redan sitt sjätte möte för sårbarhetsforskare. Dessa möten som ordnats sedan 2008 samlar finländska aktörer inom sårbarhet från universitet, företag och statsförvaltningen. Mötet ordnades i samarbete med Microsoft. Antalet deltagare var över 30, och de frågor som behandlades fokuserade på IPv6-teknik och fusionerade system. Komplexa webbsårbarheter Ett nytt sårbarhetsmeddelande publicerades om de metoder att kringgå krypteringen av IDS/IPS-produkter som Stonesoft Oy rapporterat om. Hittills har endast tre tillverkare gett sitt utlåtande om hur exponerade deras produkter är för metoder för kringgående. I Ciscos IOS-operativsystem upptäcktes en sårbarhet i genomförandet av RTPprotokollet. RTP (Real Time Protocol) är en förbindelsemetod som i synnerhet används för att förmedla ljud och bild i webbsamtal. Sårbarheten gällde endast utrustning där en viss tillverkares DSPsignalhanteringskrets användes för hantering av RTP-data. CERT-FI:s gamla sårbarhetsmeddelanden uppdateras fortfarande i takt med att även de sista tillverkarna lanserar sina uppdateringar. Framtidsutsikter Under den närmaste tiden finns det orsak att följa upp de eventuella konsekvenserna av skadlig verksamhet på webben för inhemska tjänster. Kränkningarna av informationssäkerheten

7 som fått mycket publicitet kan öka försöken till dataintrång och blockeringsattacker även i Finland. CERT-FI kontakter per kategori 1-6/ /2010 Förändring Intervju % Sårbarhet eller hot % Skadligt program % Rådgivning % Beredning av attack % Dataintrång % Blockeringsattack % Övriga informationssäkerhetsproblem % Social Engineering % Sammanlagt % Antalet anmälningar av skadliga program som CERT-FI behandlat har ökat kraftigt från i fjol. 7