INFORMATIONSSÄKERHETSÖVERSIKT 2/2010

Transkript

1 INFORMATIONSSÄKERHETSÖVERSIKT 2/

2 CERT-FI informationssäkerhetsöversikt 2/2010 Inledning Facebook och andra sociala nätverkstjänster är mycket lockande platser för dem som sprider skadligt innehåll. Det verkar vara lättare att lura människor på populära tjänster på webben än till exempel via e-post. En DNSSEC-utvidgning av informationssäkerheten har inletts i internets domännamnssystem. DNSSEC tas i användning även i fi-domännamn som Kommunikationsverket upprätthåller. Denna utvidgning av informationssäkerheten i domännamnstjänsten är ett sätt att skydda sig mot förfalskade domännamn och andra attacker. Google har kartlagt med sina bilar uppgifter om trådlösa WLAN-basstationer för tjänsten Street View. I samband med kartläggningen har Google också lagrat meddelandeinnehåll som omfattas av kommunikationshemligheten. Koordinering av sårbarheter har medfört mycket arbete för CERT-FI. Under det senaste kvartalet publicerades resultaten från fyra korrigerings- och publiceringsprocesser som koordinerades av CERT-FI. Kontakter från kunder CERT-FI:s meddelanden /2010 Jämfört med föregående år minskade antalet kontakter som CERT-FI behandlade. Däremot ökar antalet automatiskt skickade meddelanden om skadliga program. 2

3 CERT-FI kontakter per kategori 1-6/ /2009 Förändring Intervju % Sårbarhet eller hot % Skadligt program % Rådgivning % Beredning av attack % Dataintrång ±0 % Blockeringsattack % Övriga informationssäkerhetsproblem % Social engineering % Sammanlagt % Q4 Q3 Q2 Q

4 Sociala nätverkstjänster används också för spridning av skadligt innehåll Speciellt i Facebook har det under de senaste tiderna spridit flera meddelandekedjor som innehåller skadlig programkod. De skadliga meddelandena fungerar på samma sätt som skräppostmeddelanden som innehåller skadliga länkar eller används för nätfiske. Två olika distributionssätt Facebook-maskarna sprider sig i regel via skadliga länkar eller skadliga Facebooktillämpningar. Båda sätten kan kallas likejacking (gilla-kapning). Namnet kommer från Facebooks "like" (gilla)- funktion med vilken användare kan visa att de tycker om innehållet som någon annan har publicerat. Genom att klicka på en skadlig länk hamnar användaren på en webbplats vilken innehåller en programkod som kapar musens kursor i webbläsaren. När användaren sedan klickar någonstans på sajten klickar han eller hon i själva verket på knappen "gilla". När användaren "gillar" en länk eller en webbplats kopieras länken till användarens egen profilsida samt till nyhetsflöden hos alla av användarens Facebookvänner. Användaren kan även bluffas så att en skadlig Facebook-tillämpning begär att användaren ger tillämpningen rättigheter som åstadkommer en motsvarande tryckning på "gilla"-knappen. Facebook-maskarna kan även begära att användaren installerar en programuppdatering på sin dator som i verkligheten är ett skadeprogram som är maskerat som programuppdatering. Också många webbplatser som finns bakom länkarna kan innehålla skadliga program som utnyttjar webbläsarnas sårbarheter. Fiffigt på nätet Det lönar sig att vara försiktig med länkarna i de sociala nätverkstjänsterna trots att de tycks komma från en användare man känner. Om länkens innehåll verkar vara dubiöst på basis av medföljande text ska man kontakta avsändaren direkt och fråga vad det gäller. Ibland kan det vara svårt att använda länkarna med omdöme eftersom det är typiskt för Facebook och de övriga sociala nätverkstjänsterna, att man skickar roliga och underhållande länkar via kompislistan. Det är inte alltid enkelt att urskilja en länk med Facebook-mask från alla andra länkar. Bekanta dig med Facebookinställningarna Man borde också noggrant överväga vilka rättigheter man ger till tillämpningarna på Facebook. Även om man tycker att Facebooks integritetsinställningar är svåra, har tjänsten ganska mångsidiga möjligheter att bestämma vilka uppgifter som får vara tillgängliga för andra användare. Det är dock möjligt att de Facebook-tillämpningar som användaren installerat särskilt frågar om tillstånd att få använda uppgifterna, och på så sätt kringgå de installerade inställningarna. Det lönar sig att vara försiktig även i andra sociala nätverkstjänster Facebook har fått mycket publicitet därför att tjänsten är så populär. Alla tjänster som når en stor mängd människor är dock lockande föremål för missbruk. Skadliga länkar har också spridit sig till exempel på Twitter där man skriver korta meddelanden. Ett speciellt problem i tjänsten är att man ofta fördelar förkortade länkadresser, av vilka den verkliga webbsidan inte framgår innan man öppnar länken med webbläsaren. Till exempel bit.ly är en sådan förkortningstjänst. Användar-ID:n och lösenorden för Suomi24 i fel händer I början av april blev webbplatsen Suomi24 drabbad av en SQLinjektionsattack som utnyttjade en sårbarhet hittad genom sökning på Google. Angriparna lyckades stjäla webbplatsens användardatabas och lade ut en länk till det skadliga programmet på webbplatsen. De försökte även förhindra att information om det skadliga programmet spred sig genom att radera diskussionsinlägg om saken. 4

5 Suomi24 agerade snabbt och uppmanade användarna att byta ut sina lösenord. Sådana användarid:n vars lösenord inte hade bytts ut inom den utsatta tiden, blev låsta. Ibland blir informationssäkerheten utsatt för sårbarheter trots att tjänsterna upprätthålls omsorgsfullt. De som upprätthåller tjänsterna bör i förväg tänka på vilka informations- och andra åtgärder man måste vidta i krissituationer. DNSSEC-utvidgningen har inletts Kommunikationsverket tar i bruk domännamntjänstens säkerhetstillägg (DNSSEC) i fi-domännamn. Denna utvidgning av informationssäkerheten i domännamnstjänsten är ett sätt att skydda sig mot förfalskade domännamn och andra attacker. Den säkerställer att internetanvändare kan förlita sig på att den adress man skriver in i webbläsaren verkligen går till den rätta sidan. Rotnamnservrarna är redan försedda med DNSSEC-signaturer Säkerhetstillägget tas i användning i rotnamnservrar för fi-domännamn på hösten 2010, men testanvändningen inleds redan på sommaren. En internetanvändare eller innehavare av ett fi-domännamn behöver inte göra någonting, utan det är nätoperatörerna som är ansvariga för att utvidgningen tas i drift. Tjänsten öppnas för användarna av fi-domännamn i mars Sedan årsskiftet har DNSSEC varit i testanvändning i internets globala rotnamnservrar. Från början av juni har uppgifterna i rotnamnservrarna signerats med en offentlig tillgänglig nyckel. Vad är DNSSEC? DNSSEC (Domain Name System Security Extensions) är en utvidgning av domännamnssystemet som avser att förbättra informationssäkerheten i anslutning till namntjänsten. När DNSSEC används, är svaren på DNSförfrågningarna digitalt signerade. Med hjälp av denna teknik kan man försäkra sig om att svaren på DNS-förfrågningarna kommer från rätt avsändare och att uppgifterna inte har modifierats på vägen. 5 Det betyder att DNSSEC säkrar uppgifternas integritet och ursprung. DNSSEC ger skydd i synnerhet mot attacker som försöker modifiera uppgifterna i DNS cacheminne (DNS cache poisoning). DNSSEC säkerställer att adressuppgiften kommer från rätt namnserver och inte från ett opålitligt håll. För att skapa en digital signatur behöver man ett nyckelpar av vilka den ena är privat och den andra offentlig. Den privata nyckeln är hemlig och bara ägaren har tillgång till den. Den offentliga nyckeln publiceras i domännamnstjänsten som en egen datapost. Signaturen kan kontrolleras och valideras med en offentlig nyckel som motsvarar den privata nyckeln. DNSSEC ger inte skydd mot alla bedrägerier DNSSEC ger inte ett övergripande skydd mot nätfiske, alltså falska webbplatser som liknar en viss webbplats men har ett annat domännamn. Man måste alltså fortfarande försäkra sig om att man verkligen har öppnat den webbplats man hade tänkt. Än så länge kan användare också bli lurade genom andra sårbarheter, t.ex. med cross site scripting. Fakta Följande parametrar används vid DNSSECsignaturer i FI-zonen: Hashfunktion: SHA-256 Signaturalgoritm: RSA Signaturernas giltighetstid: 14 dygn Förnyande av signaturer: 5 dygn innan signaturen upphör att gälla Slumpmässig variation av signaturernas giltighetstid (jitter): 12h DNSKEY TTL: 3600s NSEC3PARAM: Opt-Out Algoritmer och livslängder för nyckel som används för DNSSEC-signering i FI-zonen är följande: Zone Signing Key (ZSK): RSA 1024-bit Key Signing Key (KSK): RSA 2048-bit Med KSK signeras endast zonens DNSKEYposter, medan ZSK används för signering av zonens övriga DNS-poster, såsom DSposter för signerade underzoner samt poster som är auktoritära för fi-zonen.

6 Google-bilen kartlade även trådlösa lokalnät Under våren fick man veta att det amerikanska sökmotorbolaget Google hade kartlagt trådlösa lokalnät då dess bilar körde i olika länder och fotograferade gatuvyer för Google Street View-tjänsten. Bolaget medgav i sina officiella meddelanden 1,2, att bilarna hade samlat in uppgifter om trådlösa lokalnät med passiva metoder. Enligt bolaget var avsikten att använda uppgifter om WLANbasstationernas läge för att effektivera positioneringstjänsternas täckning och exakthet. Street View-bilen fotograferade största delen av Finland mellan mars och november Efter en viss tvekan erkände Google att bilarna i samband med kartläggningen av basstationer också hade lagrat innehåll i meddelanden. Innehållet i meddelandena omfattas av kommunikationshemligheten som grundlagen garanterar. Bilarna hade sparat sampel av trafiken i WLAN-näten. Samplen omfattade korta avsnitt av kommunikation mellan basstationen och en terminalutrustning som var kopplad till basstationen. Bolaget hävde att avsikten endast var att bara utnyttja adressfält av protokoll. Systemet hade dock sparat hela ramar med kommunikationsinnehållet. Google säger att det inte har utnyttjat innehållet i kommunikationen och dessa data har senare isolerats från bolagets produktionssystem. Bolaget har också erbjudit sig att förstöra de data man samlat in. Bolaget har meddelat att det för tillfället inte gör några nya WLANkartläggningar. I många länder undersöker myndigheterna om Googles agerande överensstämmer med lagen eller inte och bedömer vilka konsekvenser det kan ha. I Finland har dataskyddsombudsmannens byrå inlett undersökningar av Googles verksamhet. Också Kommunikationsverket har hört Googles representanter och samarbetar med dataskyddsombudsmannen. 1 Data collected by Google cars ( ): ta-collected-by-google-cars.html 2 WiFi data collection: An update ( uppdaterad 17.5.): 6 CERT-FI har publicerat instruktioner för trygg användning av trådlösa lokalnät 7/ I instruktionen sägs att det är tekniskt sett enkelt att avlyssna telekommunikation som överförs via trådlösa lokalnät om förbindelsen inte är krypterad. CERT-FI rekommenderar att man krypterar WLAN-radioförbindelsen alltid när det är möjligt. Det är alltså inte tillräckligt att skydda radiolänken. Kommunikationsverket offentliggjorde år 2009 anvisningar om skyddad elektronisk kommunikation 4. Anvisningen rekommenderar att man använder metoder som skyddar hela telekommunikationsförbindelsen från användarens terminalutrustning till den andra partens datasystem. Alltid någonting nytt i koordineringsarbetet Antalet sårbarheter som CERT-FI koordinerar har ökat hela tiden och ligger ständigt på en hög nivå. Under det senaste kvartalet publicerades resultaten av fyra koordineringsprojekt. Sårbarheter som fixades gällde Lexmarks nätskrivare, informationssäkerhetsprogram som utnyttjar identifiering med hjälp av fingeravtryck, Linuxkärnans SCTPgenomförande och LibTIFF-biblioteket som används för behandlingen av TIFFbildformatet. Sårbarheter vid behandlingen av program som baserar sig på digitala fingeravtryck Identifiering av en programkod i en fil eller i ett dataflöde på basis av "ett fingeravtryck" (signature-based recognition) utgår från urskiljning av en viss individuell identifierare bland innehållet. Sårbarheter i säkerhetsprogram som baserar sig på ett fingeravtryck hänför sig till sättet på vilket bland annat antivirusprogram och intrångsdetekteringssystem behandlar packade filer ml

7 Den instans som rapporterade om sårbarheterna har kunnat skapa okrypterade filer i enlighet med allmänna packningsformat. För flesta avkodningsprogram är dessa filer felfria men fingeravtrycksbaserade program upptäcker inte alltid det skadliga innehållet i filerna. Enligt CERT-FI:s uppskattning är det möjligt att motsvarande sårbarheter som förbigår skyddet på basis av fel tolkning av formatet är vanligare än man tänkt, för de har inte undersökts särskilt mycket. Det är möjligt att utnyttja svagheterna vid behandlingen av packningsformaten om man vill gömma en känd skadlig fil till exempel ett skadligt program i filer som är packade i läsbar form. Sårbarheten är synnerligen allvarlig i miljöer som använder virusskanning i en nätport, såsom e-postserver eller separat antivirusdator. De upptäckta svagheterna 5 gäller de flesta tillverkare av informationssäkerhetsprogram. Målet var att publicera de olika producenternas korrigeringar av programvaran samtidigt. Sårbarheter vid behandlingen av TIFF-bilder har omfattande konsekvenser Under de senaste åren har man upptäckt flera sårbarheter i medieformat som också utnyttjats i många kända attacker. Många program som stöder bilder i TIFFformatet använder sig av LibTIFFbiblioteket eller en kod som härletts från bibliotekets källkod. Därför har sårbarheterna i biblioteket inverkningar på många presentations- och bildbehandlingsprogram. Med tanke på sårbarhetskoordinering är fallet avgjort först när slutkunder har installerat de relevanta uppdateringarna i sina produkter. Det är en utmaning för bibliotek som används generellt och för system som bygger på öppen källkod på grund av ett stort antal program som måste uppdateras html 7 Sårbarhet i Linuxkärnans SCTPprotokoll Det gick smidigare att följa med korrigeringar av SCTP-sårbarheter i Linuxkärnan, eftersom SCTPdataöverföringsprotokolllet, också känt som SIGTRAN, används i allmänhet bara för telefonsystemförbindelser. Sårbarheter i nätskrivare och multifunktionsapparater Man kan ännu inte ta tillräcklig hänsyn till sårbarheter som förekommer i nätskrivare och multifunktionsapparater. En skrivare, som tidigare var en "ointelligent" kundapparat har utvecklats till en verklig serverutrustning som vanligen kopplas till företagets inomhusnät. I motsats till övriga servrar hanteras skrivarna sällan centraliserat. Det är också sällsynt att skrivarna uppdateras eller upprätthållas regelbundet. Lexmarks utlåtanden 6,7 och publicerade uppdateringar är ett gott exempel på att multifunktionsapparaterna måste beaktas när man vill säkerställa nätsäkerheten. Sårbarheter i webbläsare och deras tillägg är fortfarande centrala Webbläsaren är i dag den mest använda programvaran. Så gott som alla datorer som används varje dag och många bärbara terminalutrustningar har en webbläsare. Sårbarheter i webbläsarprogram har under flera år varit föremål för dem som sprider skadliga program. Så kallat drive by download är ett sätt att sprida skadliga program. Användaren luras att besöka en webbplats där det finns skadligt innehåll som utnyttjar en sårbarhet i webbläsaren och så blir användarens dator infekterad av det skadliga programmet. 6 =TE87&locale=EN&userlocale=EN_US 7 =TE88&locale=EN&userlocale=EN_US

8 Under innevarande år har man publicerat flera sårbarheter i webbläsare eller tillägg till dem utan att en korrigering varit tillgänglig just vid den tidpunkten. Sårbarheter som hänför sig till Adobes Flash-plugin gäller automatiskt också Adobes program avsedda för behandling av PDF-filer därför att de stöder presentation av Shockwave Flashinnehållet i PDF-dokument. Filbehandling krävande för programmen Olika filformat kan i praktiken innehålla nästan hurdant innehåll som helst. Filer som användaren uppfattar som dokument kan exempelvis innehålla rörliga bilder och ljud, olika skripter eller programkod som man bör köra eller de kan starta en annan tillämpning för att behandla innehållet. Filformatet är ofta endast en standardiserad "container" för lagring av innehåll. Innehållets kvalitet kan nödvändigtvis inte bedömas utifrån ändelsen på filnamnet. Filernas mångfald har lett till att också program som används för att behandla dem är stora och utvecklingen av program har blivit svårt hanterbar. Det betyder att man hela tiden upptäcker nya fel och sårbarheter i programmen. I synnerhet PDF-dokument ansågs tidigare vara ett ganska tryggt alternativ. Men nuförtiden görs många attacker mot sårbarheter i program som används för behandlingen av PDF-filer. Fel i antivirusprogram förhindrade operativsystemets funktion En uppdatering i McAfeeantivirusprogrammet i april ledde till att några Windows-system inte startade normalt. Det berodde på att programmet trodde att uppdateringen var ett skadligt program och förhindrade operativsystemet från att starta. Att fixa felet orsakade mycket arbete för dem som upprätthåller systemen, då uppdateringen av antivirusprogrammet också krävde återställning av den fil som hade satts i karantän. Säkerhetslucka i IRCserverprogram I juni upptäcktes i IRC-systemets Unrealserverprogram en bakdörr som möjliggjorde olovlig tillgång till servern. Bakdörren hade lagts ut i programs källkod. Att lägga ut den extra programkoden lyckades eftersom innehållets integritet i programpaketet inte hade säkerställts med hjälp av en kontrollsumma eller elektronisk signatur. Programmets tillverkare har informerat att de kommer att vidta åtgärder för att förhindra att motsvarande händelse upprepas. Framtidsutsikter Skadliga program sprids fortfarande genom populära webbtjänster och optimering av sökresultat. I riktade distributioner av skadliga program används i synnerhet e-postbilagor i PDFoch Office-format. 8