ÅRSÖVERSIKT

Transkript

1 ÅRSÖVERSIKT

2 CERT-FI årsöversikt 2010 Inledning Det största informationssäkerhetsfenomenet under året var ett nytt slags virusprogram som behandlades i medierna i somras och som i synnerhet skapats för att sabotera automationssystem inom industrin. Programmet som går under namnet Stuxnet har i flera källor karakteriserats som det tekniskt mest avancerade virusprogrammet som hittills upptäckts. Det som är exceptionellt med programmet är dess förmåga att påverka de programmerbara logikprogrammen i industrins processtyrsystem och därigenom industrianläggningarnas verksamhet. Man har även med olagliga metoder försökt använda internet för politiska syften. Under året ändrades innehållet på flera politikers och andra offentliga personers webbsidor. Uppståndelsen kring webbplatsen WikiLeaks har aktiverat människor att utnyttja blockeringsattacker som ett redskap för opinionsyttringar och civil olydnad. Från fall till fall har man kunnat tolka attackerna som riktade antingen för eller emot WikiLeaks. Användaruppgifternas konfidentialitet har äventyrats i flera dataintrång i Finland och utomlands. CERT FI publicerade sin enda offentliga varning under året på grund av de användarnamn och lösenord som stals från Sanoma-koncernens spelwebbplats Älypää. Försöken att bedra användare i sociala nätverkstjänster och skräppostmeddelanden sker allt oftare på finska och är således mer trovärdiga än tidigare. Vid sidan av bedrägerimeddelanden riktas attacker mot nyckelpersoner i olika organisationer med avsikt att förorena deras datorer med skräddarsydda virusprogram. Virusprogrammen levereras till objekten i allmänhet gömda i PDF- eller Microsoft Office dokument eller med hjälp av ett USB-massminne. Med hjälp av det närmare internationella samarbetet har man i viss mån kunnat bekämpa den verksamhet som äventyrar informationssäkerheten, men det är fortfarande en utmaning att uppnå bestående resultat. Sårbarheterna i programvaror är i dag allt oftare även sårbarheter i utrustningarna. Att åtgärda sårbarheter i programvaror som ingår i utrustningarna är i allmänhet besvärligare än att åtgärda sårbarheter i datorprogramvara. 2

3 Stuxnet var årets mest betydande virusprogram I slutet av juni rapporterade det vitryska virusbekämpningsbolaget VirusBlokAda om Stuxnet, ett nytt slags virusprogram som i synnerhet riktats mot automationssystem inom industrin. Stuxnets komplexa struktur, professionella konstruktion och den noggranna definitionen av objektet antyder att Stuxnet eventuellt skapats av en statlig aktör eller någon annan organisation som kunnat satsa en hel del resurser på utvecklingsarbetet. Stuxnet utnyttjar flera sårbarheter i Windows Virusprogrammet Stuxnet sprids mellan datorer genom att utnyttja flera sårbarheter i operativsystemet Windows. När virusprogrammet upptäcktes kunde fyra av de sårbarheter som programmet utnyttjar inte åtgärdas. Den första korrigeringen publicerades över en månad efter att Stuxnet upptäckts och den sista sårbarheten åtgärdades först i december. Stuxnet avläser informationen i systemet och gömmer sig för användaren Siemens programvara sparar den använda informationen i en databas, vars lösenord inte kan ändras i programvaran. Därför kommer Stuxnet lätt åt informationen i automationssystemet efter att det tagit sig in i utrustningen. På grund av detta publicerade CERT-FI sårbarhetsmeddelandet 117/2010 i juli. Dessutom ersätter Stuxnet en del av processtyrenhetens kod med sina egna skadliga kommandon. De nya kommandona bearbetar hela systemets funktion och gömmer undan förändringarna för dem som övervakar processen. Målet sannolikt en anläggning för urananrikning Utifrån den information som Stuxnet innehåller har man slutit sig till att den är noggrant riktad mot en viss industrianläggning. Målet tros allmänt vara urananrikningsanläggningen i Natanz i Iran. När en arbetsstation smittats ned med Stuxnet undersöker programmet om datorn styr vissa processtyrenheter från Siemens. Om detta är fallet kontrollerar virusprogrammet om enheterna styr en utrustningsenhet som programmerats in i virusprogrammet på förhand. Det objekt som virusprogrammet söker efter ska ha cirka tusen frekvensomvandlare vars hastighet ändras av den skadliga kod som Stuxnet matar in i processtyrenheterna. Det uppenbara syftet är att söndra centrifugen som använder frekvensomvandlarna och som används för anrikning av uran. En del av de frekvensomvandlare som är föremål för attackerna är tillverkade av det finländska bolaget Vacon Oy. Ett noga undersökt modellexempel Stuxnet har visat att man kan påverka automationssystem inom industrin genom attacker via datanät. Till sin struktur är Stuxnet ett modulbaserat program som kan bearbetas för olika behov och olika mål. Man har undersökt dess programkod och funktionsmodell noga, och man har hittat rätt få programmeringsfel där. Det är möjligt att den kommer att användas som förebild i framtida attacker mot datanät. Några smittofall i Finland I Finland har man hittat enstaka fall med system som smittats ned av Stuxnet, men de har inte inverkat på verksamheten i finländska industrianläggningar. Webbtjänster föremål för dataintrång Under året framkom flera fall, då någon olovligt hade matat in material på offentliga personers, såsom politikers webbsidor. Det verkar som om motivet för bearbetningen av sidorna varit att väcka uppmärksamhet. För att kunna bearbeta sidorna måste angriparen bryta sig in i servern. I en del fall hade man lyckats ta sig in i databasen för webbplatsens bakgrundssystem genom att utnyttja webbplatsens bristfälliga indatakontroll. I andra fall har man genom att till exempel gissa sig fram till lösenordet för serverns uppdateringskoder kunnat läsa och redigera innehållet på webbplatsen via det normala administratörsgränssnittet. 3

4 Användares uppgifter hamnade i fel händer I mars stals över användar-id:n, lösenord och e-postadresser från spelwebbplatsen Älypää. I april hamnade användar-id:n och lösenord till webbplatsen Suomi24 i fel händer genom dataintrång med hjälp av SQL-injektion. I februari kom det fram att uppgifter om över kreditkort hade stulits från en angripen dator på ett kafé i Helsingfors. Användar-ID:n, lösenord och e-postadresser har under året även stulits från flera utländska webbtjänster. De som bryter sig in i en server är i allmänhet intresserade av uppgifter i anslutning till användarna såsom användar- ID:n, lösenord och e-postadresser. Även om lösenorden finns på servern i en krypterad form är största delen av lösenorden sannolikt lätta att knäcka. Försök att knäcka lösenord är vanligt Servrar kopplade till internet är ständigt föremål för dataintrångsförsök, där angriparen automatiserat försöker gissa sig fram till användarnamn och lösenord. Förutom webbservrarnas FTP-administratörskoder sätts SSH-servrarnas och VoIPtelefonservrarnas lösenord på prov. I dataintrångsförsök försöker man vanligen gissa sig fram till särskilt svaga lösenord eller kända standardlösenord för programvara. Hackade servrar kan användas för att försöka bryta sig in i andra servrar på nätet. IP-telefonväxlar ett lockande mål I synnerhet de till telefonnätet anslutna VoIP-servrarnas lättknäckta lösenord kan bli en dyr affär, eftersom hackarna kan använda servern antingen för att förmedla otillåtna samtal eller för att ringa upp utländska avgiftsbelagda nummer som är under deras kontroll. CERT-FI har fått kännedom om fall där ägare till hackade VoIP-servrar orsakats betydande ekonomiska förluster. 4 ADSL-terminalutrustning användes för att sopa undan spåren Sårbarheter i terminalutrustning med bredbandsanslutning eller knäckta lösenord har missbrukats genom att via ett undermåligt skyddat administratörsgränssnitt ladda ned ett program som möjliggör olovlig inloggning i utrustningen och cirkulation av datakommunikationsförbindelser via den. Genom att attackera andra datorer eller tjänster via en hackad dator kunde gärningsmännen effektivt sopa undan spåren, eftersom de ändringar som gjorts försvann när strömmen kopplades av i ADSLroutern. Fel i informationssäkerhetsprogram orsakade störningar i Windows-datorer På grund av sina funktionsprinciper kan informationssäkerhetsprogram i hög grad inverka på datorernas funktion. Om programmet fungerar felaktigt kan det ge en missvisande bild av dess skyddande förmåga och till och med hindra systemets funktion helt och hållet. På grund av den felaktiga uppdateringen av virusidentifieringsdatabasen i McAfees programvara i april identifierade programmet i misstag en del av operativsystemet som ett virusprogram, vilket ledde till att programmet förhindrade användningen av filen och därigenom hela systemet. Även om bolaget snabbt rättade till felet orsakade det en hel del arbete för de systemadministratörer som påverkades av felet. Bedrägeriförsök på finska har blivit vanligare Bedrägeriförsöken i sociala nätverk och skräppostmeddelanden sker allt oftare på finska, vilket innebär att de har en större chans att lyckas. I skräppostmeddelandena har man bland annat frågat efter användarnamn och lösenord för tjänster. De sociala nätverkens stora popularitet har gjort dem till lockande mål för missbruksförsök. Målet för bedrägerierna är i allmänhet att sprida virusprogram eller att

5 i stället för att kapa datorn komma åt uppgifter om personen eller dennes nätverk som kan användas för att till exempel skicka skräppost. Acrobat och webbläsare ofta föremål för attacker Programvaran Adobe Acrobat som är avsett för att visa och redigera PDF-dokument är ofta föremål för attacker där sårbarheter utnyttjas. I synnerhet vad gäller attacker riktade mot organisationer är det skadliga innehållet ofta kopplat till PDFdoku ment. Dokument som skickas med e-post kan till exempel innehålla ett virusprogram som stjäl information. Virusprogrammet installeras i datorn som bakgrundsprocess samtidigt som PDF-dokumentet öppnas. Även sårbarheter i webbläsare och deras tilläggsdelar utnyttjas fortfarande för att sprida virusprogram genom att locka användaren att öppna en sida med skadligt innehåll. Man kan hamna på en sådan sida till exempel via JavaScript-styrning som installerats på en hackad webbplats. Programvarutillverkarna strävar hela tiden efter att förbättra programvarornas säkerhet, men de som programmerar attackerna kan ofta kringgå de skyddsmekanismer som konstruerats för programvarorna och användargränssnitten. Blockeringsattacker som aktivistverktyg Webbplatsen WikiLeaks som specialiserat sig på utgivning av känslig information meddelade att man har för avsikt att publicera ett stort antal konfidentiella dokument från USA. Efter detta blev WikiLeaks föremål för blockeringsattacker som ledde till att webbplatsen och dess innehåll avlägsnades från webbtjänsten Amazon och namntjänsten EveryDNS. En programmerare som uppträder under signaturen The Jester och som kritiserat WikiLeaks verksamhet har anmält sig som upphovsman bakom programmet som använts i blockeringsattackerna. Efter attackerna har innehållet på webbplatsen WikiLeaks fördelats mellan otaliga webbservrar av vilka en del även finns i Finland. Målet för arrangemanget är att säkerställa att åtminstone en del av servrarna fungerar även under attacker. Operation Payback understödde WikiLeaks En löst sammansatt grupp känd under namnet Anonymous har sedan sommaren organiserat blockeringsattacker genom att på olika diskussionsforum dela ut hjälpprogram för attacker till frivilliga och uppmana dem att använda dem mot vissa mål. Under sommaren och hösten har mediers och upphovsrättsorganisationers webbplatser varit föremål för verksamheten som är känd under namnet Operation Payback. Genom attackerna har man motsatt sig lagstiftning gällande upphovsrätt och strävandena att strama åt den. I slutet av året flyttades tyngdpunkten i attackerna till att stödja verksamheten på webbplatsen WikiLeaks och Julian Assange, en av webbplatsens grundare. Målen för attackerna har bland annat varit MasterCards och Bank of Americas servrar samt åklagarmyndigheternas webbplatser i Holland och Sverige. Frivillig verksamhet Verksamheten har avvikit från de sedvanliga blockeringsattackerna som gjorts med hjälp av stora botnät bestående av hackade datorer, eftersom de som deltagit i attackerna har installerat och använt attackverktyg medvetet och frivilligt. Finland har en biroll åtminstone tills vidare Tills vidare har konsekvenserna av attackerna varit små och kortvariga. På sin höjd har några tusen datorer deltagit i attackerna. Enligt CERT-FI:s uppgifter har inga finländska webbplatser varit föremål för attackerna, och det förefaller som om inte särskilt många finländare deltagit i attackerna. CERT-FI påpekade i december att blockeringsattacker i praktiken handlar om att störa datakommunikationen och är således kriminell verksamhet. 5

6 DNSSEC-informationssäkerhetsexpansion för namntjänsten lanseras Kommunikationsverket har börjat ta i bruk DNSSEC-informationssäkerhetsexpansionen för namntjänsten i fi-domännamn. Informationssäkerhetsexpansionen ger ett effektivt skydd mot förfalskning av domännamn och blufförsök som baserar sig på namntjänsten. Syftet är också att säkerställa att webbanvändarna når de webbsidor som de söker. Tjänsten öppnas för användare av fi-domännamn i mars Rotnamnsservrarna i Finland har redan nu DNSSEC-underskrifter. Framgångsrikt internationellt samarbete inom informationssäkerhet År 2010 lyckades man stänga många serviceplattformar som använts för skadlig verksamhet eller kränkning av informationssäkerheten eller betydligt försvåra verksamheten i anslutning till tjänsten. En bakomliggande orsak till detta är det allt aktivare internationella informationssäkerhetssamarbetet mellan aktörerna på området. Snabbt ingripande i verksamhet riktad mot Finland I början av året fick CERT-FI kännedom om missbruk riktade mot användarna av en finländsk nätbank. Virusprogrammet som kapade bankförbindelser identifierades snabbt, och genom det aktiva internationella samarbetet kom det fram att virusprogrammet var riktat mot mål i flera länder. Undersökningen av fallet pågår fortfarande. Flera skadliga servrar stängdes under årets lopp I februari arresterades administratörer av botnätet Mariposa i Spanien och Slovenien. Nätet användes till att stjäla kreditkortsuppgifter och till blockeringsattacker. Nätets kommandoservrar isolerades i slutet av Botnätet Waledac som användes till att sprida skräppost isolerades av Microsoft i februari då man med stöd av ett domstolsbeslut övertog 273 domännamn som användes av nätet. På detta sätt kunde man isolera tiotusentals datorer som nedsmittats av virusprogrammet Waledac från nätets kommandoservrar. I augusti försökte man stänga botnätet Cutwails kommandoservrar. Gruppen av informationssäkerhetsforskare lyckades dock inte få alla företag som tillhandahåller datakommunikations- och maskinsalstjänster för kommandoservrarna att bryta förbindelserna, och därför kunde administratörerna av botnätet återställa kommandoförbindelserna på några dagar. Cutwail-nätet anses vara ett av de mest aktiva näten för spridning av skräppost och via det har även virusprogrammet Bredolab spridits. Penningförmedlare med kopplingar till virusprogrammet Zeus, som stjäl information, arresterades i september i USA, Storbritan nien och Ukraina. Botnätet Zeus har använts särskilt aktivt för att tränga sig in i betalningssystem som används av företag i USA. Penningkurirer behövs för att ta hem medel som brottsligt överförts från betalningssystemen. I november arresterade FBI administratören av botnätet Mega-D. Mega-D hör till de största botnäten som används för spridning av skräppost. Botnäten koncentreras? Man har sett vissa tecken på att administratörerna av botnät försöker intensifiera samarbetet. Spridningen av ett visst virusprogram är inte längre nödvändigtvis begränsat till endast ett nät. Detta kan också bero på att virusprogram och infrastrukturtjänster för botnät säljs mellan grupperingarna. Målet är att genast ingripa i finländska datorer som är kopplade till botnät CERT-FI deltar aktivt i utredningen av kränkningar av informationssäkerheten i anslutning till botnät. Information om identifierade datorer som nedsmittats av botnätprogram i finländska nät och kommandoservrar förmedlas till teleföretag för 6

7 vidare åtgärder. Det internationella läget följs noggrant upp så att skadlig verksamhet som riktar sig mot Finland kan upptäckas och motverkas i ett så tidigt skede som möjligt. Nya virusprogram i mobiltelefoner Man har länge förutspått att virusprogrammen kommer att bli vanligare i mobiltelefoner. De är fortfarande sällsynta, men under årets lopp har man stött på några nya program som smittar ner datormobiler. Zeus "Mitmo" Den nya versionen av ett virusprogram i Zeus-familjen förmedlar textmeddelanden till utomstående från telefoner som använder operativsystemet Symbian S60 och från Blackberry-telefoner som är allmänna i USA. Programmet möjliggör också fjärrstyrning av telefonen. Huvudsyftet med programmet är att kapa bekräftelsemeddelanden som används i nätbankstjänster, och programmet sprids via en nedladdningslänk som maskerats som en certifikatuppdatering som sprids via textmeddelanden. Geinimi I telefoner som använder operativsystemet Android har man stött på det botnätaktiga virusprogrammet Geinimi som åtminstone spridits med spel som säljs i kinesiska Android-applikationsbutiker. En nedsmittad telefon tar kontakt med på förhand fastställda kommandoservrar, vilket möjliggör fjärrstyrning av telefonen. Nya utmaningar för säkerheten i trådlösa nät Det har blivit allt lättare att följa med trafiken i icke-krypterade trådlösa nät efter lanseringen av programmet Fire sheep som i synnerhet är avsett för att kapa Facebook-uppkopplingar. Med hjälp av programmet kan man kapa tjänstens sessionsspecifika kaka (cookie), utifrån vilken användaren identifieras efter inloggningen. Metoden för att kapa uppkopplingen är inte en ny uppfinning, men det lättanvända programmet gör att förfarandet är mycket enklare än tidigare. 7 Man kan skydda sig mot kapningar av uppkopplingar eller tjuvlyssning genom att använda en krypterad WLAN-förbindelse eller en SSL-skyddad www-tjänst. Googles kamerabil kartlade även trådlösa lokalnät Det amerikanska sökmaskinsbolaget Google kartlade även trådlösa lokalnät när dess kamerabilar körde runt och filmade vyer för tjänsten StreetView. I anslutning till kartläggningen av basstationer spelade kamerabilarna in korta prov på trafiken mellan basstationer och terminaler som var kopplade till dem. Denna trafik omfattas av kommunikationshemligheten enligt grundlagen. Bolaget uppgav att syftet endast var att utnyttja rubrikfälten i protokollramen. Systemet hade dock lagrat hela ramar med kommunikationsinnehåll. Dataskyddsombudsmannens byrå har inlett en utredning om Googles verksamhet. Även Kommunikationsverket har hört representanter för Google och samarbetar med dataskyddsombudsmannen. Sårbarheter i utrustningar och programvaror De till sina konsekvenser mest omfattande av CERT-FI:s projekt för samordning av sårbarheter gällde sårbarheter i nätets skyddsutrustning och säkerhetsprogram såsom IDS- och IPS-utrustningar samt antivirusprogram. CERT-FI har varit i kontakt med tiotals tillverkare av programvaror och utrustningar. En stor del av de sårbarheter där CERT-FI deltagit i samordningen av publiceringen och korrigeringen av dem gäller utrustningar som fungerar i nätet och inte enbart programvaror som fungerar i datorer. De sårbarheter som Stonesoft hittade i IDS- och IPS-utrustningar har väckt mest uppmärksamhet. Flera nya samordningsprojekt startades. Resultaten av dem publiceras i sinom tid på CERT-FI:s webbplats. Brister i IDS/IPS-utrustningars protokoll IDS/IPS-utrustning används för att upptäcka och förhindra attacker via nätet ofta

8 vid sidan av någon annan lösning som till exempel en brandvägg. Stonesoft Oy rapporterade till CERT-FI att man i sina undersökningar hittat sätt att kringgå skyddsmekanismerna i dessa system genom att bearbeta meddelandena så att IDS/IPS-utrustningen inte längre kan identifiera den skadliga informationen i dem. Sårbarheter i hanteringen av signaturidentifiering och packningsformer i programvaror Identifiering av en programkod utifrån en signatur i filen eller dataflödet (signaturebased recognition) baserar sig på urskiljandet av en viss individuell signatur i innehållet. Man har hittat sårbarheter i informationssäkerhetsprogram som baserar sig på signaturidentifiering. Sårbarheterna inverkar på programmens förmåga att upptäcka skadligt innehåll i komprimerade filer. Organisationen som rapporterade om sårbarheterna har kunnat skapa icke-krypterade filer som är förenliga med allmänna packningsformat och som enligt de flesta avkodningsprogram är felfria, men programvaror med signaturidentifiering upptäcker inte alltid det skadliga innehållet i filerna. Man har även hittat sårbarheter i hanteringen av packningsformaten, och dessa kan förhindra användningen av applikationerna och verkställandet av programkoden i målsystemet. CERT-FI sammankallade tillverkare I oktober ordnade CERT-FI för första gången seminariet FI-VENDORS som riktade sig till personer som ansvarar för finländska program- och apparattillverkares produktsäkerhet. Föreläsningarna på seminariet behandlade informationssäkerheten hos produkter samt förfaranden i anslutning till hantering av och processer för produktsäkerheten. Framtidsutsikter Man kan tackla utmaningar för informationssäkerheten endast genom ett närmare samarbete. Hittills har man uppnått goda resultat till exempel genom det flexibla samarbetet mellan myndigheterna, informationssäkerhetsnätverket och tele operatörerna. Det är möjligt att hantera sårbarheter i utrustningar och programvaror endast genom samarbete mellan forskare i informationssäkerhet och tillverkare. Det är också viktigt att tillverkarna utbyter information sinsemellan. På grund av internets internationella karaktär måste samarbetet mellan myndigheter och informationssäkerhetsaktörer även överskrida riksgränserna. Nätverkande har gett uppmuntrande resultat. 8

9 Kontakter med CERT-FI uppdelade på olika typer Förägndrin g Media % Sårbarhetsanmälan % Skadligt program % Rådgivning % Skanning % Dataintrång % Blockeringsattack % Informationssäkerhetsproblem % Social ingengörskonst % Totalt % Q4 Q3 Q2 Q Jämfört med föregående år ökade särskilt anmälningar om skadliga program som CERT-FI behandlade. 9

10 Enligt CERT-FI:s observationer är Conficker det vanligaste skadliga bot-programmet. Anmälningar om skadliga program minskade mot slutet av året. 10