Informationssäkerhetsöversikt

Transkript

1 Informationssäkerhetsöversikt 1/2012

2 Inledning Det skadliga programmet Flame, som upptäcktes i maj, är ett mycket mångsidigt skadligt program som kan fjärrstyras. Med hjälp av Flame kan man observera användningen av en dator och den utgående datakommunikationen från den, och stjäla information som lagrats på dess hårdskiva. Det i Mellanöstern upptäckta skadliga programmet Flame har inte påträffats i Finland. Programmet är uppenbarligen det mest omfattande och mångsidiga sabotageprogrammet som stjäl information som någonsin påträffats. Det är också det första programmet som har lyckats utnyttja uppdateringsmekanismen för operativsystemet Windows för att sprida sig i ett lokalt nätverk. Det skadliga programmet DNSchanger ändrar på datorns DNS-inställningar på så sätt att DNS-förfrågningarna riktas till namnservrar som kontrolleras av dem som skapat det skadliga programmet. På detta sätt kan brottslingarna styra användarens webbläsare till de sidor som de önskar. I praktiken har man på webbsidorna kunnat se annonser som de som släppt det skadliga programmet vill visa. Programmets utvecklare har gripits och FBI innehar namnservrarna fram till den 9 juli 2012, varefter det uppstår störningar i användningen av de smittade datorerna tills det skadliga programmet och de inställningar som programmet gjort har avlägsnats från datorn. I Finland har påträffats relativt få datorer som angripits av DNSchanger. Utöver datorer finns skadliga program också på digitalboxar, bredbandsroutrar och annan utrustning som kopplas till webben. Om man försummar att definiera lösenord och övriga inställningar för informationssäkerhet då en anordning tas i bruk kan anordningen exponeras för angrepp av skadliga program. De skadliga programmen avlägsnas när strömmen slås från anordningen, men detta förhindrar inte en ny smitta efter att anordningen åter slås på. Försök att överta finländska webbankanvändares förbindelser med hjälp av skadliga program är vanliga. Vanligen används någon version av det skadliga programmet Zeus vid dessa bedrägeriförsök. OpenX är en programvara för förmedling av annonser. Programmet bygger på öppen källkod. Via annonsplattformen OpenX är det möjligt att centraliserat distribuera annonser till flera webbplatser. Genom att utnyttja en sårbarhet i programmet har brottslingar också distribuerat skadliga program med hjälp av programmet. Ett utpressningsprogram som krävde att få pengar i polisens namn spärrade användarnas datorer och begärde en avgift för att avlägsna spärrningen. Olika versioner av samma skadliga program spreds samtidigt ut även på andra håll i Europa. Datorer har kunnat smittas av detta skadliga program via reklam på webbsidor. Inte heller Mac-datorer har undgått att bli smittade av skadliga program. I april upptäcktes ett botnätverk som bestod av cirka Apple-datorer. Det skadliga programmet Flashback, som stjäl information, spreds i huvudsak via hackade webbplatser, varvid användaren kunde få det skadliga programmet på sin dator från webbplatser som spred det skadliga innehållet. Informationssäkerhetsöversikt 1/2012 2

3 Upphovsrättsorganisationer, statsförvaltningens webbplatser och storföretag har varit föremål för protestaktioner, dataintrång och blockeringsattacker både i Finland och utomlands. Trots det relativt stora antalet attacker har de orsakat ringa skador. Namnservrar utnyttjas ofta för blockeringsattacker. Det är möjligt att begränsa attackernas effekt genom att begränsa namnservertrafiken till och från enskilda adresser. Många företag och tjänster har utsatts för dataintrång, och även användaruppgifter har blivit stulna vid dessa intrång. Till följd av dataintrång hos det amerikanska företaget Stratfor publicerades användares uppgifter och e-postmeddelanden på webben. Bland dessa uppgifter fanns också uppgifter om finländska användare. En person har sedermera gripits i USA misstänkt för dataintrånget. En vanlig metod för att stjäla information från webbtjänster är att bryta sig in i databasen i tjänstens bakgrundssystem. Intrånget är möjligt om de indata eller URLadresser som användarna ger inte valideras tillräckligt omsorgsfullt. Det är möjligt att systematiskt söka efter svaga punkter på webbplatserna med verktygsprogram som är särskilt avsedda för detta ändamål. Intrång i IP-telefonväxlar och otillåten användning av dem har vållat växlarnas administratörer ekonomiska förluster. Utövarna bedriver otillåten förmedling av utrikessamtal eller ringer avgiftsbelagda nummer via växlarna. Kommunikationsverkets och operatörernas samarbetsgrupp har sammanställt anvisningar för trygg användning av VoIP-tjänster. CERT-FI och Försörjningsberedskapscentralen har lanserat ett för försörjningsberedskapskritiska företag avsett system som upptäcker och varnar för kränkningar av informationssäkerheten. De första användarna kopplades till systemet HAVARO vid årsskiftet. Antalet användare väntas öka mot slutet av året. Samordningen av åtgärdande och publicering av sårbarheter har under årets första hälft resulterat i att sex olika programvarusårbarheter har publicerats i tre olika projekt. I slutet av 2011 publicerades metoder för att knäcka krypteringen av samtal i GSMnätet och GPRS-datatrafiken. CERT-FI har fått kännedom om en del kampanjer där särskilt mobiltelefonanvändare fått sms-meddelanden eller samtal som bygger på bedrägeriförsök av olika slag. Informationssäkerhetsöversikt 1/2012 3

4 Det avancerade Flame upptäcktes I slutet av maj publicerade informationssäkerhetsbolaget Kaspersky information om ett mycket avancerat skadligt program som bolaget upptäckt. Programmet kallas Flame, Flamer eller Skywiper. Flame är ett fjärrstyrt skadligt program som stjäl uppgifter. Det antas ha utvecklats för underrättelseändamål. Programmet har inte påträffats i Finland. Flame är en modulär programvara som är avsedd att samla in data och förmedla dem vidare via kommandoservrar. Programvaran är exceptionellt omfattande för att vara ett skadligt program eftersom dess moduler innehåller mycket programkod. Programmet har också exceptionellt mångsidiga funktioner. Det samlar inte bara in system- och nätdata från den angripna datorn, utan också användarens inloggningsdata, skärmutskrifter, video- och ljudklipp, fillistor samt dokument och bildfiler som sparats med olika program. Dessutom undersöker programmet filernas metadata, såsom upphovsmän till dokument och platsinformation för bilder. Flame kan också följa upp den utgående e-posttrafiken från datorn. Flame är uppenbarligen det första skadliga programmet som lyckats använda uppdateringsmekanismen för operativsystemet Windows (Windows Update) för att sprida sig. Den angripna datorn ger sig ut för att vara en Windows Update-server, och de övriga datorerna i lokalnätet kontaktar den. Programmets utvecklare har lyckats utveckla ett programvarucertifikat som Windows-operativsystemet litar på, vilket har möjliggjort bedrägeriet. Certifikatet för Windows Terminal Server har haft onödigt omfattande rättigheter och detta har utnyttjats i Flames uppdateringsmekanism. Microsoft har publicerat en uppdatering i vilken de aktuella certifikaten har tagits ur bruk. Enligt de senaste uppgifterna har den som skapat det skadliga programmet gett de återstående Flame-programmen kommandot att avlägsna sig från de angripna datorerna uppenbarligen för att göra det svårare att undersöka programmen mer ingående. DNSchanger inget problem i Finland Det skadliga programmet DNSchanger har varit ett rätt långlivat fenomen. De första tecknen på datorer som angripits av programmet i Finland upptäcktes redan Aktörerna bakom de skadliga namnservrarna modifierade även vissa DNS-svar till en finländsk banks webbtjänst. För bankens användare tog sig detta uttryck som wwwsidor som såg ut att vara trasiga. Till en början misstänkte man att banken utsatts för ett phishingförsök. Senare visade det sig att fenomenet orsakats av felaktiga inställningar som bedragarna gjort på sina DNSchanger-namnservrar. DNSchanger hann inte i något skede utvecklas till ett stort problem för finländska användare. Genast efter att DNSchanger-svindlarna hade gripits började CERT-FI genom sitt internationella kontaktnätverk få kontinuerlig information om namnserverförfrågningar som riktas från Finland till skadliga servrar. Uppgifterna behandlas och förmedlas till teleföretagen via CERT-FI:s Autoreportertjänst. Informationssäkerhetsöversikt 1/2012 4

5 I det inledande skedet observerades dagligen cirka 300 angripna routrar eller datorer från Finland. I dagens läge är antalet observationer cirka 100. Globalt upptäcks dagligen cirka system som angripits av skadliga program. Vad är DNSchanger? Internets domännamnssystem (DNS) kan betraktas som en slags decentraliserad telefonkatalog för webben. Utifrån förfrågningar som skickas av datorer utreder namnservrarna IP-adresser och e-post-routningsdata i anslutning till domännamnen. Det är en grundläggande förutsättning för användningen av internettjänsterna att domännamnssystemet fungerar felfritt. Brottsliga aktörer har i flera års tid spritt ut skadliga program som styr DNSförfrågningar från datorer till namnservrar som kontrolleras av brottslingarna. De ger avsiktligt delvis felaktiga svar på de IP-adressförfrågningar som den angripna datorn skickar. Motivet till verksamheten är att tjäna pengar på att ändra svar på DNS-förfrågningar i anslutning till reklamtjänster på webbsidor på så sätt att användare av datorer som angripits av det skadliga programmet visas reklam som bestäms av de aktörer som administrerar de skadliga programmen. Verksamheten har varit relativt osynlig för användaren: alla internettjänster verkar fungera normalt, men all reklam som visas på webbplatserna har bytts ut. DNSchanger är ett exceptionellt skadligt program eftersom det fungerar i flera olika operativsystem. Det finns egna versioner av programmet för Windows- och MacOSplattformarna. Det skadliga programmet kan också påverka inställningarna på internetabonnemangets bredbandsrouter, varvid DNS-förfrågningarna från alla datorer som använder den aktuella routern styrs till servrar som kontrolleras av svindlarna. Den 10 juli 2012 en ödesdiger dag för angripna datorer Den organisation som administrerade det skadliga programmet DNSchanger och namnservrarna i anslutning till den greps vid ett internationellt polistillslag den 8 november En domstol i USA gav FBI rätt att administrera servrar som ger helt riktiga DNS-svar på samma IP-adresser dit DNSchanger-programmet tidigare styrde DNS-förfrågningarna från de angripna arbetsstationerna. På detta sätt kan man upptäcka angripna datorer och varna deras användare. Domstolens förordnande utfärdades på viss tid, och den gällde fram till den 8 mars 2012, men fristen har nu förlängts till den 9 juli Efter denna frist får datorer som fortfarande är angripna av DNSchanger inte längre svar från DNS-tjänsten. För användarna syns detta genom att alla internettjänster i praktiken slutar fungera. Kontrollera din dator! CERT-FI driver en kontrolltjänst med hjälp av vilken man kan kontrollera om DNSinställningarna för det system som används är riktiga eller om förfrågningarna styrs till servrar som det skadliga programmet DNSchanger använder. Tjänsten finns på adresserna och Informationssäkerhetsöversikt 1/2012 5

6 Skadliga program angriper också annan utrustning Utöver datorer är det också allt viktigare att fästa uppmärksamhet vid behovet att skydda den övriga utrustningen som kopplas till hem- eller företagsnätverket eller direkt till internet. DNSchanger är ett av de skadliga program som använder anordningar som kopplats till hemmets internet-nätverk. Programmet ändrar exempelvis inställningarna på routern mellan hemmets nätverk och internet på så sätt att DNS-förfrågningarna dirigeras till svindlarnas servrar. Ofta har man inte fäst tillräcklig uppmärksamhet på informationssäkerheten på hushållens andra anordningar som kopplas till IPnätverket. Det kan också vara svårt eller till och med omöjligt att uppdatera anordningarnas programvaror. Skadligt program i digitalboxen Under de senaste månaderna har det förekommit fall där man hittat ett skadligt program i en digitalbox som kopplas till tv-apparaten. Den angripna utrustningen kan användas på samma sätt som en dator för nästan vilken brottslig verksamhet som helst, såsom för att sprida skadliga program, söka nya objekt för dataintrång, utföra blockeringsattacker eller skicka skräppost. Brottslingen kan också omvandla utrustningen till en mellanserver (proxy) och använda den för att dölja sina spår. I de fall som CERT-FI fått kännedom om har det skadliga programmet inte sparats permanent på utrustningen, utan programmet har avlägsnats från minnet när utrustningen har startats om. Visserligen har utrustningen kunnat smittas på nytt efter detta. Detta kan ske om den som gjort intrånget har kännedom om utrustningens administratörskod och lösenord. Vissa utrustningar har ett tomt eller samma administratörslösenord på alla anordningar, om det inte ändras då apparaten tas i bruk. En administratörsförbindelse kan skapas beroende på anordning med hjälp av en webbläsare eller telnet-förbindelse. På vissa anordningar kan inställningarna dessutom ändras med hjälp av upnp-protokollet. Intrång har skett både i så kallade IPTV-utrustningar som levererats av operatören och i vanliga digitala boxar som kopplas till nätet för programuppdateringar eller fjärrstyrning. I det senare fallet hade administratörens lösenord inte bytts ut innan utrustningen kopplades till nätet. Finländska webbanker utsätts för skadliga program Finländska webbanker är kontinuerligt mål för försök att sprida skadliga program. Vanligen används någon version av det skadliga programmet Zeus vid dessa bedrägeriförsök. Under årets första hälft har man påträffat skadliga program vilkas inställningsfiler innehållit flera finländska webbankers webbplatser. De som släpper ut de skadliga programmen redigerar inställningarna kontinuerligt för olika versioner av de skadliga programmen och för olika webbankers webbplatser. Informationssäkerhetsöversikt 1/2012 6

7 CERT-FI får fortlöpande information om nya inställningsfiler för skadliga program där också finländska webbankanvändare ingår som mål. Ibland är det möjligt att varna webbankens användare med hjälp av uppgifterna i dessa filer och identifiera datorer som angripits av det skadliga programmet. Utöver Zeus-programmen har man också sett tecken på att andra skadliga program blivit vanligare. Man har för första gången observerat programmet SpyEye också hos finländska användare. Dessutom har versioner av de skadliga programmen Citadel, Ice-IX och Hermes upptäckts. CERT-FI försöker kontinuerligt avlägsna IP-adresser och domännamn som de skadliga programmens kommandoservrar använder från nätet. Zeus, Citadel och Ice-IX är nära släkt med varandra. Den webinjects-konfigurering som de använder kan enkelt anpassas för de olika familjerna av trojaner. Skadliga program spreds via OpenX OpenX är en programvara för förmedling av annonser. Programmet bygger på öppen källkod. Via annonsplattformen OpenX är det möjligt att centraliserat distribuera annonser till flera webbplatser. I mitten av april fick CERT-FI kännedom om ett dataintrång där utövaren lyckats lägga till en ny administratörskod i OpenX-systemet. Till en början misstänkte man att utövaren använt en sårbarhet av SQL injection-typ som upptäckts i version av OpenX-programmet. CERT-FI fick också kännedom om attacker mot OpenX-systemet i utlandet. Senare bekräftades det att även version av OpenX hade en sårbarhet av Crosssite request forgery-typ (CSRF). Med hjälp av denna sårbarhet kan sessionen för en användare som loggat in på systemets sida för administration kapas i syfte att köra kommandon i det system som är mål för angreppet. På detta sätt lyckades utövaren skapa sig själv en ny administratörskod i OpenX-systemet och lägga till så kallade bakdörrar på servern för senare användning. Utövaren lade också skadlig kod på en OpenX-programvarudistributörs server. Koden användes som hjälp vid intrång i andra OpenX-servrar. De hackade servrarna användes för att sprida skadliga program via annonser på webbplatser. I början av maj publicerade Fimnet ett meddelande om dataintrång i en läkarportal. Dataintrånget hade utförts genom att utnyttja sårbarheten i OpenX-programvaran. Även portalen Lyyra, som är avsedd för studerande, blev utsatt för en attack av samma typ. Den 1 maj publicerade OpenX den korrigerade versionen av OpenXprogramvaran. CERT-FI hjälpte tillverkaren att hitta och åtgärda sårbarheten genom att lämna uppgifter om dataintrången till tillverkaren. Utöver Tietoturva nyt! -artiklar och ett sårbarhetsmeddelande gav CERT-FI ut Anvisning 4/2012 (på finska) för administratörer av OpenX-servrar. Dessutom kontaktade CERT-FI administratören för cirka trettio webbplatser som använder OpenX-plattformen. Informationssäkerhetsöversikt 1/2012 7

8 Utpressningsprogram försökte förhindra användning av dator I Finland spreds i mars april ett skadligt utpressningsprogram som krävde pengar i polisens namn. Det skadliga programmet spärrade datorn när den startade och försökte få användaren att betala för avlägsnande av spärren. Betalningen skulle göras via det internationella betalningssystemet Paysafecard. Man ska inte betala avgifter som skadliga utpressningsprogram kräver, och i detta fall avlägsnades det skadliga programmet och spärrningen trots att avgiften betalades. Olika versioner av samma skadliga program spreds samtidigt ut även på andra håll i Europa. Uppgifter om motsvarande skadliga program kom åtminstone från Tyskland och Storbritannien. Det skadliga programmet var lokaliserat. Det kontaktade en kommandoserver som kontrollerades av brottslingarna. Servern identifierade användarens hemland utifrån IP-adressen. Språket på det utpressningsmeddelande som visades för användaren valdes utifrån detta. Det skadliga programmet har sannolikt spridits via hackade webbplatser för vuxenunderhållning. Utövarna har på dessa webbplatser lagt till innehåll som utnyttjar sårbarheter på användarens dator och i webbläsaren. Genom att uppdatera operativsystemet och webbläsarprogrammet regelbundet kan man minska sannolikheten för attacker av ett skadligt program av detta slag. Spärrningen av det skadliga program som påträffades i Finland var relativt lätt att passera, och då blev det också möjligt att avlägsna det skadliga programmet. CERT-FI fick en hel del frågor och begäran om hjälp med anledning av detta skadliga program. I Anvisning 1/2012 (på finska) publicerades anvisningar för avlägsnande av det skadliga programmet. Kommunikationsverket har inte möjlighet att ge personlig handledning i situationer som denna. Mac-datorer i botnät I början av april upptäcktes ett botnät med cirka slavdatorer som använde operativsystemet Apple Max OS X. Det skadliga programmet Flashback, som stjäl information, spreds i huvudsak via hackade webbplatser. Användarens dator angreps vid besök på dessa webbplatser, och angreppet var således av s.k. drive-bydownload-typ. Tidigare versioner av det skadliga programmet Flashback som sprids i Mac-datorer observerades redan under den senare hälften av En ny version av programmet spreds i huvudsak automatiskt med hjälp av en sårbarhet i programmet Java. Sårbarheten publicerades redan i februari, men en programuppdatering av Apples operativsystem som åtgärdade sårbarheten publicerades först i april, när det stora antalet Flashback-angrepp avslöjades. Till botnätet tillhörde som värst nästan 300 finländska Mac-datorer. Informationssäkerhetsöversikt 1/2012 8

9 Livlig webbaktivism Under årets första hälft har skett flera dataintrång och blockeringsattacker för vilka personer eller grupper som agerar under pseudonym har tagit ansvaret. Utövarna har meddelat ett politiskt eller annat motiv för en del av attackerna. Målen för attackerna har varierat från internet-infrastruktur till statliga objekt, organisationer och storföretag. Webbattacker har gjorts mot organisationer inom statsförvaltningen i flera olika länder. Med blockeringsattackerna har utövarna demonstrerat mot de nya upphovsrättsavtalen. Anonymous mot SOPA I januari förhindrade hackergruppen Anonymous genom en blockeringsattack åtkomsten bland annat till webbplatserna för USA:s justitieministerium, RIAA (Recording Industry Association of America), MPAA (Motion Picture Association of America) och företaget Universal Music. Som motiv för attackerna meddelades organisationernas stöd för det planerade lagförslaget SOPA (Stop Online Piracy Act), som avser att bekämpa nätpiratism. Attacker skedde också i europeiska länder, bland annat i Finland, Österrike och Polen. I Finland anknöt de synligaste attackerna till internetoperatören Elisas filtrering av tjänsten The Pirate Bay. Musikproducenterna IFPI Finlands webbplats och webbplatserna för Upphovsrättens informations- och övervakningscentral (TTVK) var otillgängliga på grund av blockeringsattackerna. Enligt ett meddelande som lämnats i gruppen Anonymous namn skulle en blockeringsattack ordnas mot rotnamnservrar på internet i mars. Attacken Operation Global Blackout hade dock obetydliga effekter. Statsförvaltningar mål för attacker I början av april förhindrades åtkomsten till statsförvaltningens webbtjänster i flera länder genom en blockeringsattack. Attackerna riktade sig bland annat mot webbplatserna för Storbritanniens inrikesministerium, premiärminister och justitieministerium. Olika typer av webbattacker mot statsförvaltningen gjordes också i Danmark, Rumänien och Tyskland. En hackergrupp vid namn TeaMp0isoN väckte uppmärksamhet genom att överbelasta telefontjänsten för antiterroristenheten vid Storbritanniens underrättelsetjänst MI6. I USA blev United States Telecom Association och TechAmerica som visat stöd för cybersäkerhetslagen utsatta för attacker. I Kina rapporterades gruppen Anonymous China ha förstört flera av statsförvaltningens webbplatser. I april meddelade hackergruppen Anonymous med hjälp av en video på YouTube att gruppen motsätter sig att länder i Europa går med i handelsavtalet ACTA, som avser att skydda immateriella rättigheter. Informationssäkerhetsöversikt 1/2012 9

10 Storföretagens webbplatser attackerades I början av maj orsakade en hackergruppering en blockering av tjänsten på Virgin Medias webbsida. Som motiv för attacken angavs att serviceleverantören filtrerar trafiken till fildelningswebbplatsen The Pirate Bay, som i sin tur betecknade åtgärden som censur. Den 16 maj blev The Pirate Bay också själv föremål för en blockeringsattack. Hackergruppen Anonymous meddelade att den inte stod bakom den senare attacken. I maj meddelade en grupp som använder namnet TheWikiBoat att gruppen inleder en blockeringsattack mot flera betydande organisationers webbplatser. Som mål för attacken OpNewSon meddelades bland annat Apple, Bank of America, British Telecom och Bank of China. Attacken, som hade planerats för den 25 maj, orsakade inga betydande skador. Skadorna har varit obetydliga Trots det relativt stora antalet planerade och genomförda blockeringsattacker har de faktiska skadorna för de organisationer och tjänster som utsatts för attackerna förblivit rätt små. Namnservrar används för attacker Under den senaste tiden har man försökt använda DNS-namnservrar för att förstärka blockeringsattackerna. Attacken bygger på att man skickar en DNS-förfrågan till namnservern från en förfalskad IP-källadress, varvid servern skickar sitt svar till adressen ifråga. Detta är möjligt eftersom UDP-protokollet som DNS-tjänsten använder inte kräver en tvåvägsförbindelse. Eftersom serverns svar innehåller mer data än paketet med förfrågningen, är resultatet att attacken blir starkare jämfört med att attackpaketen skulle skickas direkt till målet. Utnyttjandet av en server för attacker av detta slag kan begränsas med serverinställningarna, men det är inte möjligt att helt förhindra alla attacker. När servern är den auktoritativa namnservern för det domännamn som är föremål för förfrågan, måste den kunna besvara förfrågningar. Under den senaste tiden har man särskilt skickat DNS-förfrågningar av typen ANY till namnservrarna. Förfrågningarna har tidvis orsakat överbelastning av servrarna. För att avvärja attacker kan serverns administratör begränsa svaren på återkommande DNS-förfrågningar som kommer från en enskild IP-adress eller ett enskilt adressblock eller göra svaren långsammare. Dataintrången hos Stratfor omfattade också finländska uppgifter Det amerikanska företaget i säkerhetsbranschen Strategic Forecasting, Inc. (Stratfor) blev föremål för ett dataintrång i december Hackarna fick bland annat en stor Informationssäkerhetsöversikt 1/

11 mängd kunduppgifter som innehöll bland annat kreditkortsuppgifter, e-postadresser, lösenord och e-postmeddelanden. Utövarna publicerade de person- och kreditkortsuppgifter som de kom över vid dataintrånget på internet. De fick tag på över e-postadresser och lösenord samt uppgifterna om cirka kreditkort. Bland de publicerade uppgifterna fanns också uppgifter om flera hundra finländska kunder och kreditkortsuppgifterna för nästan hundra finländska kunder. CERT-FI förmedlade de finländska kreditkortsuppgifter som stals vid dataintrången till kreditkortsbolagen för att förhindra otillåten användning av korten. Med kreditkortsuppgifter som stulits vid dataintrånget gjordes bland annat donationer till välgörenhet och beställningar från webbhandlar. Med de stulna kreditkortsuppgifterna gjordes enligt uppskattning otillåtna köp för cirka dollar. E-postadresser som läckte ut vid dataintrånget användes också för försök att ta reda på konfidentiella uppgifter. Till adresserna skickades i Stratfors namn meddelanden i syfte att lura mottagaren att installera ett skadligt program på sin dator. Meddelandet innehöll en PDF-bilaga, där mottagaren uppmanades gå till en viss adress och ladda ned ett informationssäkerhetsprogram, som i verkligheten var ett skadligt program. Vid dataintrången hos Stratfor stals också e-postmeddelanden Utövarna meddelade att de kommit över e-postmeddelanden av Stratfors kunder men publicerade dock inte meddelandena på webben tillsammans med de övriga kunduppgifterna. Senare framgick det emellertid att utövarna lämnat e- postmeddelandena till WikiLeaks, som publicerade en del av dem i februari Förenta staternas federala polis FBI har stämt Jeremy Hammond för dataintrånget hos Stratfor. Hammond greps i en mer omfattande operation som FBI utförde, och där en tidigare gripen medlem i hackergruppen hjälpte FBI att identifiera och gripa andra medlemmar i gruppen. Databaser utsattes för intrång Dataintrång där utövarens mål är att få tillträde till uppgifter om webbtjänstens användare har blivit vanligare under den senaste tiden. Efter dataintrånget kan utövaren publicera uppgifterna på internet eller använda tjänsten med en stulen kod. Om användarens lösenord avslöjas, kan utövaren försöka använda samma lösenord i andra populära tjänster, såsom Facebook eller Hotmail. I de flesta vanliga serverprogram finns användarnas uppgifter i bakgrundssystemets databas. De som utför dataintrången har därför som mål att utreda huruvida webbplatsen är sårbar för en attack av så kallad SQL injection-typ. Attacken bygger på bristfällig validering av indata på webbplatsen. Genom att passera valideringen kan man via webbplatsen ge kommandon till databasen i bakgrunden. Avsikten med attacken är vanligen att ta fram listor på användarnamn, lösenord eller lösenordskondensat och andra användarspecifika uppgifter såsom e-postadresser från databasen. Informationssäkerhetsöversikt 1/

12 Det finns särskilda verktyg som kan användas för att testa och hacka webbplatser som använder en bakgrundsdatabas, t.ex. SQLMap. Verktygen testar systematiskt olika indata som används för attacker och kombinationer av dem i fälten på webbplatserna. En professionell hacker hittar sårbarheterna i verifieringen av indata lättare än redskapen. Brister i förvaringen av lösenord Vid flera dataintrång har behandlingen av lösenord som används i tjänsterna visat sig vara bristfälliga. I allra sämsta fall har lösenorden lagrats i databasen i klartext, varvid en hackare som tagit reda på databasens struktur, hittat de rätta tabellerna och passerat skyddet av webbplatsen direkt har kunnat lista användarnamnen och lösenorden i tjänsten. Hackare har också fått tillgång till lösenord till tjänster där man endast sparat ett kondensat (hash) som motsvarar lösenordet. Kondensaten för enkla och korta lösenord är relativt lätta att knäcka med en ordboksattack eller genom att beräkna alla kondensat som är möjliga för lösenordet och jämföra dem mot det kondensat som fanns i databasen. Det finns också allmänt tillgängliga tabeller av flera terabytes storlek som innehåller färdigt beräknade kondensat för olika lösenord. Det är möjligt att göra beräkningen av lösenord betydligt svårare genom att lägga till ett så kallad salt-tillägg till dem. Saltning används för att försvåra ordboksattacker. Salt är en rad slumpmässiga tecken som läggs till då kondensatsumman beräknas. Då får samma lösenord olika slutresultat för olika användare, varvid det inte är möjligt att använda färdigt beräknade ordbokstabeller för att knäcka lösenordet även om lösenordskondensaten skulle hamna i fel händer. Även den använda kondensatfunktionen har betydelse. Utvecklarna av kondensatfunktionen MD5, som är mycket utbrett, har själva konstaterat att funktionen inte längre borde användas eftersom dagens datorer har en sådan kalkylkapacitet att funktionen är alltför lätt att knäcka. I dag rekommenderas kondensatfunktioner som har planerats på så sätt att de är långsamma och kräver stor kalkylkapacitet. Attackerna blir avsevärt långsammare när attackeraren måste lägga ned mycket tid på att beräkna ett enskilt kondensat. Det kan vara nästan omöjligt att beräkna ordbokstavlor utifrån kondensat från dessa funktioner. Långsamma kondensatfunktioner är exempelvis scrypt, bcrypt ja PBKDF2. Före ibruktagning av en långsam kondensatfunktion är det bra att kontrollera att webbtjänsten har tillräcklig kapacitet för att hantera den belastning som tjänstens normala användarmängder medför. Anvisningar för bekämpning av VoIP-missbruk Via bristfälligt skyddade system eller terminalutrustningar som kopplats till det allmänna telefonnätet är det möjligt att otillåtet förmedla samtal exempelvis till dyra servicenummer eller utomlands. Detta kan medföra stora kostnader för det företag som använder systemet. I Finland har missbruk av VoIP-system lett till skador på flera tiotusen euro enbart under ett veckoslut. Informationssäkerhetsöversikt 1/

13 Kommunikationsverket har publicerat Anvisning 2/2012 (på finska) om administrering av VoIP-system och Anvisning 3/2012 (på finska) om skydd av VoIPterminalutrustningar. HAVARO har tagits i bruk HAVARO är ett system som upptäcker och varnar för kränkningar av informationssäkerheten. Systemet, som är avsett för försörjningsberedskapskritiska företag, har utvecklats i samarbete med Försörjningsberedskapscentralen. Syftet med HAVARO är att hjälpa företagen att skapa en mer detaljerad lägesbild över informationssäkerhetshot som riktas mot finländska nät. Avsikten är att med hjälp av den information som systemet producerar försöka upptäcka fenomen som påverkar informationssäkerheten i ett så tidigt skede som möjligt, varvid det blir möjligt att inleda nödvändiga skyddsåtgärder i tid och inrikta dem rätt. De första företagen har redan kopplats till HAVARO-systemet, och de deltar i provanvändningen av systemet. Fler användare ansluts till systemet under det innevarande året. Det är frivilligt för företagen att ansluta sig till systemet och de står själva för de utrustningsköp som detta medför. Med hjälp av HAVARO kan företagen jämföra statusen för sitt interna nät med externa uppgifter som fås med hjälp av HAVARO. Från systemet kan man ta ut rapporter exempelvis om nättrafik som härrör från eller riktas mot företagets nätverk och som har identifierats som skadligt eller på annat sätt avvikande. En del av systemets observationer bygger på uppgifter som fås via CERT-FI:s samarbetsnätverk och som inte är tillgängliga offentligt eller via kommersiella serviceleverantörer. Sårbarheter i programvaror som bygger på öppen källkod CERT-FI har i tre olika sårbarhetsprojekt samordnat reparation och publicering av sårbarheter som upptäckts i programvaror som bygger på öppen källkod. Codenomicons projekt CROSS rapporterade åtta sårbarheter till CERT-FI. En av dem gällde programmet Apache Traffic Server, fem bildbehandlingsprogrammet Imagemagick, en programmet Strongswan-VPN och en OpenSSL-biblioteket. Apache-projektets Traffic Server används bland annat för att utjämna belastningen i populära www-tjänster. Sårbarheten i programmet gjorde det möjligt för en attackerare att köra egen kod på Traffic Server-servern eller utföra en blockeringsattack. Sårbarheterna i Imagemagick kunde göra det möjligt för attackeraren att köra egen programkod i det system som använder programmet, att förhindra programmets funktion och att utföra en blockering. Informationssäkerhetsöversikt 1/

14 Strongswan, som används för att upprätta krypterade VPN-förbindelser, hade en sårbarhet i autentiseringen av RSA-signeringen. Signeringen används för att autentisera den andra parten i en krypterad förbindelse. På grund av sårbarheten blev en tom signering eller en signering som endast bestod av nollor alltid godkänd. Med hjälp av sårbarheten kunde en hackare anta vilken identitet som helst som part i en krypterad förbindelse. Brister i SSL/TLS-protokollen SSL/TLS-protokollet (Secure Socket Layers, senare version Transport Layer Security) och certifikaten är hörnstenarna för trygg webbkommunikation. Protokollen krypterar förbindelsen, varvid den inte kan avlyssnas eller redigeras utan tillstånd. Certifikaten erbjuder i sin tur möjlighet att kontrollera uppgifterna exempelvis om webbplatsens leverantör. Det finns dock skillnader i skyddsmetoderna. Användningen av protokoll, krypteringsmetoder eller certifikat som har observerats vara bristfälliga kan också möjliggöra en attack mot en SSL/TLS-skyddad förbindelse. Enligt bästa praxis borde serverns SSL/TLS-inställningar endast stöda protokollet SSLv3 eller senare. Protokollversionen SSLv2 borde inte användas. Flera Linux-distributörer har redan avlägsnat protokollversionen SSLv2 från sina grundinställningar. Det är rekommenderat att i framtiden övergå till de nyare versionerna av TLSprotokollen 1.1 och 1.2. De nyare protokollversionerna har bland annat bättre beredskap för vissa attacker mot krypteringen (t.ex. BEAST). För närvarande har olika servrar och webbläsare dock bristfälligt stöd för nya protokollversioner. Den av CERT-FI samordnade OpenSSL-sårbarheten handlade om genomförandet av TLS 1.1, 1.2- samt DTLS-versionerna. En attackerare kan blockera kund- eller serverprogram som använder dessa protokoll genom att skicka ett meddelande som formulerats på ett visst sätt till programmet. Det är troligt att det också finns andra implementeringsfel i de nya funktionaliteterna som avslöjas först då de kommer i mer utbredd användning. Vad gäller krypteringssviterna (cipher suite) rekommenderas att man övergår till att använda nycklar på 128 bits eller starkare metoder än detta samt till SHA-baserade kondensatfunktioner. CERT-FI har publicerat den extra informationssäkerhetsöversikten 3b/2011 om svagheterna i certifikatsystemet. GSM-krypteringsmetoden har knäckts I slutet av 2011 publicerades ett nytt sätt att utnyttja bristerna i A5/1, som är den andra krypteringsmetoden som används i gsm-nät. Om man får reda på krypteringsnyckeln för ett samtal kan man uppträda som användarens terminalutrustning i nätet. Detta gör det möjligt att ringa samtal eller skicka sms på ett sådant sätt att de ser ut att komma från en annan persons telefonnummer. Informationssäkerhetsöversikt 1/

15 Även krypteringsalgoritmen GEA/1, som används för att skydda GPRS-datatrafiken i gsm-nät, har delvis kunnat brytas algebraiskt. Bedrägerimeddelanden och -samtal CERT-FI har under vinterns lopp fått kännedom om en del kampanjer, där särskilt mobiltelefonanvändare fått sms-meddelanden eller samtal som bygger på bedrägeriförsök av olika slag. Den som ringer kan ha ett utländskt nummer, men även finländska servicenummer har förekommit i textmeddelandena. Bedrägerierna handlar vanligen om att man försöker få abonnemangets innehavare att ringa eller skicka till ett avgiftsbelagt nummer som kontrolleras av bedragaren. I de sms-bedrägerier eller annonser i skräppostmeddelanden som påträffats i Finland har också funnits meddelanden eller länkar genom vilka användaren kommer att beställa en avgiftsbelagd tjänst med månadsavgift. Textmeddelandena kan också innehålla länkar till skadliga program, men meddelanden av detta slag verkar dock vara sällsynta i Finland. De som blivit utsatta för svindel ska i första hand kontakta sin egen teleoperatör. Anmälan om ett eventuellt bedrägeri kan göras hos polisen. Informationssäkerhetsöversikt 1/