ÅRSÖVERSIKT

Relevanta dokument
INFORMATIONSSÄKERHETSÖVERSIKT 3/

INFORMATIONSSÄKERHETSÖVERSIKT 2/2011

INFORMATIONSSÄKERHETSÖVERSIKT 1/2010

INFORMATIONSSÄKERHETSÖVERSIKT 1/2011

INFORMATIONSSÄKERHETSÖVERSIKT 3/2009

LÄGESRAPPORT 1/ (5) INFORMATIONSSÄKERHETSÖVERSIKT 1/2007

INFORMATIONSSÄKERHETSÖVERSIKT

CERT-FI Informationssäkerhetsöversikt

EXTRA INFORMATIONSSÄKERHETSÖVERSIKT 3b/ Brister i certifikatsystem

INFORMATIONSSÄKERHETS- ÖVERSIKT 2/2009

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

ÅRSÖVERSIKT

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

Internetsäkerhet. banktjänster. September 2007

iphone, ipad... 9 Anslut... 9 Anslutningsproblem... 9 Ta bort tidigare inloggningar... 9 Ta bort profil... 9

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

ÅRSÖVERSIKT

Bedragarens mål Att få den anställda att föra över medel eller information till bedragaren.

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Anvisningar om skyddad elektronisk kommunikation

Krypteringteknologier. Sidorna ( ) i boken

Mobile First Video on demand och livesändningar på Internet. Juni 2012

SeniorNet Huddinge Öppet Hus

Guide för Google Cloud Print

Lagen om dataskydd vid elektronisk kommunikation

Säkra trådlösa nät - praktiska råd och erfarenheter

INFORMATIONSSÄKERHETS- ÖVERSIKT 3/2010

TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Offentligt. Finlands Banks och Finansinspektionens skyddade e-post: anvisning för utomstående användare

Telia Centrex IP Administratörswebb. Handbok

Föreskrift om televerksamhetens informationssäkerhet

Person- och kontaktinformation namn, födelsedatum, personnummer, fakturaoch leveransadress, e-postadress, mobiltelefonnummer, etc.

Användarvillkor för Studerandes värld

BDS-UNDERHÅLLET. Användarens instruktion Kommunerna

256bit Security AB Offentligt dokument

Telia Centrex IP Administratörswebb Handbok

DNSSec. Garanterar ett säkert internet

Cybersäkerhetsöversikt

Hur gör man ett trådlöst nätverk säkert?

Filleveranser till VINN och KRITA

Vid behandlingen av personuppgifter iakttar vi EU:s lagstiftning och bestämmelser och anvisningar som myndigheter gett.

Integritetspolicy och samtycke

Anvisningar för e-tjänster Användarstöd för Helsingfors stads e-tjänster öppet må fr kl tfn (09)

SNABBGUIDE FÖR IPHONE OCH IPAD FÖR HÖGSKOLANS PERSONAL

IT-säkerhet. Vårdval Fysioterapi Joakim Bengtzon IT-säkerhetsansvarig Landstings IT Tel:

Handbok för Google Cloud Print

RP 35/2009 rd. Regeringens proposition till Riksdagen med förslag till lag om ändring av lagen om domännamn PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

Säker hantering av mobila enheter och portabla lagringsmedia

Cybercrime. Mänskliga misstag i en digital värld

Termen "Leverantör" avser en anställd hos en organisation som levererar Comforta till produkter eller tjänster.

4. Lösenordens brister

DIG IN TO Nätverkssäkerhet

Den digitala rånaren - och hur vi skyddar oss

Datasäkerhet. Sidorna i kursboken

Molnplattform. Version 1.0. Användarhandbok

Dyna Pass. Wireless Secure Access

BDS-underhåll. Användarens instruktion. Endast för kommunens interna användning

Manual Interbook Bygdegårdar

Certifikatbeskrivning. för Befolkningsregistercentralens servicecertifikat

ADOBE FLASH PLAYER 10.3 Lokal inställningshanterare

Inledning. Årsöversikt 1/2012 2

Svensk Artistfaktura AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

1 Registrera ett kundkonto i Befolkningsregistercentralens

Vi bryr oss om din integritet

IDkollens Användarvillkor

Generell IT-säkerhet

FUNDERAR DU PÅ SÄKERHET OCH INTEGRITET KRING DINA PERSONUPPGIFTER? PERSONUPPGIFTER OCH HUR VI BEHANDLAR DEM

Begrepp inom elektronisk kommunikation. Tomas Lagerhed, Seniornet Lidingö

Insättningsuppgift via Internet Användarmanual

Guide för Google Cloud Print

INFORMATIONSSÄKERHETSÖVERSIKT 2/2010

Bruksanvisning för registrering i Finlands Banks DCS2-system 1 (13)

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Den , ändrat , , ,

I samband med att du söker arbete hos oss och lämnar personuppgifter till oss.

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Integritetspolicy. Omfattning. Typ av Data och Insamlingsmetoder

Anvisningar fo r dig som anva nder e- tja nsten

3 Skadliga program 26 Virus... Förord...3 Lättläst it...7 Bokens uppbyggnad och nivåer...8 Bokens innehåll på olika nivåer...9

Hantering av personuppgifter inom Linjettförbundet och Linjettseglarna

Office 365 MB. Innehåll. Inledning / Inställningar Outlook (e-post) Kalender Personer (kontakter)... 5 OneDrive molnet... 5.

Guide för Google Cloud Print

O365- Konfigurering av SmartPhone efter flytt till Office 365 alt ny installation

Offentligt. Finlands Banks och Finansinspektionens skyddade e-post: anvisning för utomstående användare

Integritetspolicy för webbplats

Guide företagskonto. HantverksParken. Box 576, Haninge

Vi lagrar även uppgifter som du lämnar i samband med försäljning av guld, verkstads- och försäkringsärenden.

CERT-FI behandlade informationssäkerhetsfall och 34 väsentliga störningar i telenäten under första kvartalet.

REGISTRERINGSANVISNING

SeniorNet Säkerhet på nätet.

Car-Net-aktivering i appen

Surfa med minimala datorspår

Delegerad administration i Rapporteringsportalen

Korma [Tiedoston otsikko] Ssähkno Maija VIPU-ANVÄNDARENS ANVISNING. ELEKTRONISK STÖDANSÖKAN 2014 Huvudstödsansökan

Ansökning till Aalto-universitetets magisterprogram inom det konstnärliga utbildningsområdet - ansökningsguide

Dataskyddsmeddelande för kommunikation och evenemang vid Aalto-universitetet

Office 365 Kompetens 2014 / MB

INTEGRITETSPOLICY FÖR Svanefors Textil AB

Transkript:

ÅRSÖVERSIKT 2011 31.1.2012 1

CERT-FI:s årsöversikt 2011 Sammanfattning Året 2011 präglades av flera dataintrång som fick stor publicitet. I anslutning till dem spreds stulen information offentligt på internet. Såväl användarnamn och lösenord som andra uppgifter i inhemska och utländska tjänster har publicerats i stor skala på diskussionsforum och i fildelningstjänster. Den datastöld som riktades mot Sonys tjänster kan betraktas som det största dataläckaget någonsin. Intrånget orsakade bolaget betydande ekonomiska förluster. Certifikatsystemets tillförlitlighet har äventyrats till följd av dataintrång och försök till dataintrång hos företag som producerar rotcertifikat. Dessa fall har lett till att man fäst uppmärksamhet vid nivån av informationssäkerheten hos certifikatföretagen och vid systemets svagheter i allmänhet. På grund av ett fel som en operatör begick kom hemliga mobiltelefonnummer i offentlig distribution under våren och sommaren. Till följd av felet fanns nummer som var avsedda att vara hemliga tillfälligt i Finlands Nummertjänsts riksomfattande databas. Felet omfattade cirka 37 000 DNA-kunder som bytt abonnemangstyp mellan den 10 april och den 28 juni. informationssäkerhetsbolaget RSA:s SecurID-anordningar blev stulna i ett dataintrång i bolaget. Dessa produkter används i stor omfattning också i Finland. RSA har inte exakt berättat vilka uppgifter som blev stulna. Man antar att dessa uppgifter gör det möjligt att kopiera anordningens funktionalitet och använda den kopierade anordningen för inloggning. På grund av händelsen har RSA ersatt kundernas SecurID-anordningar med nya. Finländska banker har allt oftare funnits i definitionsuppgifterna för skadliga program som kapar bankförbindelser. Finländska bankers kunder utsattes för svindelförsök av många olika slag, och i samband med dem användes skadliga program och även falska webbplatser. Särskilt attacker av man-in-the-middletyp och program som kapar webbläsarförbindelser blev vanligare även i Finland. De skadliga programmen har i regel varit olika versioner av programvarufamiljen Zeus. Brister i näthandelsapplikationernas implementationer har i vissa fall möjliggjort missbruk, där beställaren har kunnat låta påskina att han eller hon har betalat de beställda produkterna. CERT-FI har samordnat åtgärder för att reparera flera programvarusårbarheter. Mest publicitet fick de metoder att passera skydden som bolaget Stonesoft hittade. År 2011 ordnade CERT-FI två möten för finländska sårbarhetsforskare. De krypteringsmetoder för samtal och datatrafik som används i andra generationens gsm-mobiltelefonnät kan inte längre betraktas som helt trygga. Avlyssning av samtal eller användning av en annan persons identitet i nätet kräver fortfarande sakkunskap, men de är numera tekniskt möjliga att utföra med hjälp av allmänt tillgängliga redskap. Det är möjligt att förbättra säkerheten inom GPRS-datatrafiken med hjälp av krypteringsmetoder på applikationsnivå och inom samtalstrafiken genom att gå över till 3G-nätet. Uppgifter i anslutning till stark identifiering i det amerikanska 2

Omfattande dataintrång i finländska och utländska tjänster År 2011 gjordes flera dataintrång som fick stor publicitet. I anslutning till dessa dataintrång stals användares personuppgifter, kreditkortsuppgifter och konfidentiella dokument. Det stora antalet lyckade dataintrång har visat att man inte fäster tillräcklig uppmärksamhet vid att implementera och driva webbtjänster på ett säkert sätt. Förövarna lyckas ofta stjäla uppgifter från systemen med hjälp av allmänt tillgängliga program som söker och utnyttjar sårbarheter. Utifrån de uppgifter som förövarna har publicerat kan man dra slutsatsen att användarnas lösenord ofta är alltför lätta att bryta. Dessutom används samma lösenord i olika tjänster, vilket flerdubblar risken för utnyttjandet av de stulna uppgifterna. Dataintrången väckte en debatt om huruvida användarnamn och lösenord är en tillräckligt säker metod för inloggning på tjänsterna. Det finns emellertid inget alternativ till lösenord som skulle kunna användas i tillräckligt stor omfattning. Under året publicerade CERT-FI flera Tietoturva nyt!- artiklar bland annat om hur man väljer ett tryggt lösenord samt anvisning 1/2011 1 om hur man väljer programvaruplattform för en webbtjänst och driver tjänsten på ett säkert sätt. Flera inhemska tjänster utsattes för dataintrång Inhemska webbtjänster utsattes för dataintrång särskilt under årets senare hälft. Uppgifter som blivit stulna i anslutning till dataintrången publicerades på internet på diskussionsforum och webbplatser för nedladdning av filer. I oktober publicerades uppgifter som gällde medlemsansökningar till en gruppering vid namn "Kansallinen vastarinta" (Nationellt motstånd). De uppgifter man kom över genom dataintrånget innehöll namnet, åldern och kontaktuppgifterna för personer som ansökt om medlemskap. I november publicerades på ett finländskt diskussionsforum en länk till en fil som innehöll personliga uppgifter om cirka 16 000 finländare. Uppgifterna bestod av personernas personbeteckning, fullständiga namn, hemadress, e- postadress och telefonnummer. Listan hade sammanställts från flera olika källor. Det är inte helt säkert hur och när dataintrången gjorts. Polisen undersöker fallet. I november publicerades en lista på e- postadresser till över en halv miljon finländare. En del av adresserna på listan har sannolikt inte använts på en lång tid. Listan är troligen sammanställd under en längre tid från flera olika källor. Användardatabasen för diskussionsspalten helistin.fi, som tillhör webbplatsgruppen Terve, hamnade i fel händer vid ett dataintrång. Användardatabasen innehöll över 73 000 användares användarbeteckning, lösenord och e- postadress. Med samma koder kan man också logga in på andra tjänster som Darwin Media driver: tohtori.fi, poliklinikka.fi, kimallus.fi, huoltamo.com, terve24.fi, mustapippuri.fi, terkkari.fi och verkkoklinikka.fi. Utöver dessa fall publicerades också användarnamnen, lösenorden och e- postadresserna till användare av tjänsterna napsu.fi och netcar.fi i en fildelningstjänst. Listan innehöll över 16 000 användares uppgifter. Motsvarande användaruppgifter för webbplatsen netcar.fi publicerades också på webben. Listan innehöll över 12 000 användares användarbeteckning, lösenord och e- postadress. Okända gärningsmän 1 http://cert.fi/ohjeet/ohjeet_23/ohje-1-2011.html En gruppering som uppträder under namnet Anonymous Finland har anmält 3

sig som förövare till flera dataläckage och dataintrång. Man känner dock inte exakt till vilka förövarna är. Åtminstone två olika källor har meddelat att de agerar i Anonymous-gruppens namn. Grupperingarna brukar publicera Twittermeddelanden och längre texter, exempelvis listor med användarbeteckning och andra meddelanden, i olika fildelningstjänster. Utöver dataintrång och dataläckage har man också klottrat ned flera webbplatser genom att lägga till obehörigt innehåll i dem. För sammanslutningsabonnenter är det frivilligt att anmäla dataintrång. Företag och sammanslutningar som lämnat televerksamhetsanmälan är skyldiga att anmäla kränkningar av datasäkerheten och attackförsök som riktats mot dem. CERT-FI har också fått meddelanden om andra listor på användarnamn och lösenord som publicerats på nätet. I flera fall har listorna härstammat från tidigare dataintrång. Det är sannolikt att liknande listor även publiceras i fortsättningen. Efter jul publicerades en lista på 50 000 namn, som också innehöll kreditkortsuppgifter. Man kunde dock snart konstatera att listan var påhittad. Dataintrången hos Sony berörde också finländare Av de dataintrång som riktades mot utländska tjänster var det dataintrånget i olika tjänster hos Sony som fick mest publicitet. Effekterna av dessa dataintrång berörde också tjänsternas finländska användare. Ett dataintrång gjordes i tjänsten Sony PlayStation Network före påsken, och i samband med det stals uppgifter om 77 miljoner användare av speltjänsten PSN. Ungefär vid samma tidpunkt gjordes också ett dataintrång i webbspelstjänsten Sony Online Entertainment, där gärningsmännen kom över uppgifter om 24 miljoner användarnamn. I dataintrången som riktade sig mot Sony stals sammanlagt uppgifter om mer än hundra miljoner användare, vilket gör fallet till det största kända dataintrånget hittills vad gäller mängden användaruppgifter. Enligt Sony finns det cirka 330 000 användare av tjänsten Playstation Network i Finland. I slutet av april publicerade CERT-FI varning 2/2012 på grund av den försämrade informationssäkerheten hos RSA:s SecurIDprodukter 2. Till följd av den publicitet som dataintrången fick utsattes många av Sonys övriga webbtjänster och webbsidor för olika attacker. Av dessa lyckades nästan 20, och bytet var uppgifter om användare. Enligt Sony har dataintrången orsakat förluster på totalt 170 miljoner dollar. Enligt sakkunniga skulle de flesta attacker ha kunnat avvärjas med hjälp av sedvanlig informationssäkerhetspraxis. Hemliga telefonnummer publicerades av misstag Hemliga telefonnummer för DNA:s kunder kom till följd av ett fel vid systemuppdatering i offentlig distribution på våren och sommaren. Felet omfattade en del av företagets kunder som bytte abonnemangstyp mellan den 10 april och den 28 juni. Under denna tidsperiod gjordes över 37 000 abonnemangsbyten. På grund av felet fanns abonnemangsnummer som var avsedda att vara hemliga tillfälligt i Finlands Nummertjänsts riksomfattande databas, som nummertjänstföretagen använder för att uppdatera sina egna uppgifter. Efter att felet hade observerats gjorde DNA de offentliggjorda uppgifterna åter hemliga. Alla kunder vilkas uppgifter kunde ha ändrats i anslutning till fallet fick ett brev som informerade om händelsen. Dessutom informerade DNA Kommunikationsverket om saken i 2 http://cert.fi/varoitukset/2011/varoitus-2011-01.html 4

enlighet med lagen om dataskydd vid elektronisk kommunikation. Direktiven för dataskydd vid elektronisk kommunikation ändrades våren 2011 på så sätt att teleföretagen också ålades skyldighet att anmäla kränkningar av datasäkerheten som gäller personuppgifter inom televerksamhet. Reformen har ingen betydande inverkan på situationen i Finland eftersom denna anmälningsskyldighet redan ingick i den gällande allmänna anmälningsskyldigheten. Säkerheten i GSM-nätet är hotat Bristerna i krypteringsmetoden A5/1, som används i gsm-nätet, har varit kända sedan flera år, men med hjälp av de nya metoder som offentliggjorts under den senaste tiden kan krypteringen brytas mycket snabbare än tidigare. Svagheterna i krypteringsmetoden kan utnyttjas exempelvis för att få tag i samtalets krypteringsnyckel. Med hjälp av nyckeln kan man dekryptera samtalet och uppträda i nätet som den berörda användarens terminalutrustning. Detta gör det möjligt att ringa samtal eller skicka sms på ett sådant sätt att de ser ut att komma från en annan persons telefonnummer. Dekryptering av samtal och uppträdande med ett annat abonnemangs identitet kräver goda kunskaper om gsm-tekniken och redskapen. Dessutom måste den som gör attacken befinna sig i närheten av den användare som är mål för attacken. Flera lösningar för att åtgärda svagheterna i nätverkets skydd har lanserats, och en del av dem har också standardiserats. Alla förslag förverkligas sannolikt inte i de finländska operatörernas nätverk, eftersom operatörerna håller på att övergå till 3Gnätverk, som inte kan avlyssnas med de metoder som är kända i dag. Forskningsresultat om informationssäkerheten i GPRS-datatrafiken och Tetranäten har också publicerats under 2011. Krypteringsalgoritmen GEA/1, som används för att skydda GPRS-datatrafiken i gsm-nätverk, har delvis kunnat brytas algebraiskt. Det är rekommenderat att skydda krypteringen av GPRS-trafiken på applikationsnivå eller med krypterade VPN-förbindelser eftersom en del av operatörerna inte använder någon kryptering alls i GPRS-trafiken. Utländska mobiltelefonoperatörer använde uppföljningsverktyg Vissa internationella mobiltelefonoperatörer har medgett att de installerat uppföljningsverktyget Carrier IQ i kundernas terminalutrustningar. Programvaran har använts åtminstone i utrustningar med operativsystemen Android och Apple ios. Med hjälp av applikationen kan operatören bland annat samla in uppgifter om mobiltelefonens prestanda. I vissa fall har de rapporter som skickats från telefonen också innehållit uppgifter som användaren avsett vara hemliga, som smsmeddelanden, tangenttryck och bläddringshistoria. Efter att användningen av denna programvara uppdagades har en del operatörer meddelat att de avstår från att använda den. Apple har dessutom meddelat att bolagets operativsystem ios 5 inte längre innehåller programkoden för Carrier IQ. De finländska mobiltelefonoperatörerna har anmält att de inte använder applikationen. Det finns inte heller någon version av programmet för telefoner som tillverkats av Nokia. Certifierarnas trovärdighet försämrades till följd av dataintrång Förtroendet för certifikatsystemet har minskat under 2011 på grund av det stora antalet dataintrång och försök till dataintrång som fick stor publicitet. Användarbehörigheter som gärningsmännen fick har använts för att skapa 5

servercertifikat i tredje parters namn utan tillstånd. Programvaruleverantörer har varit tvungna att publicera uppdateringar av sina produkter eftersom man vid planeringen av certifikattekniken inte har beaktat situationer där hierarkins högsta nivå, dvs. rotcertifikatet, blir opålitlig. Det nederländska bolaget DigiNotars system utsattes för dataintrång sommaren 2011. Gärningsmannen lyckades skapa flera servercertifikat till Googles tjänster. En aktör som uppträder under signaturen Comodohacker tog ansvaret för en attack mot en certifierare vid namn Comodo, som skedde tidigare i mars, och ansvaret för ett misslyckat dataintrångsförsök hos bolaget Globalsign. Med hjälp av certifikat kan man bland annat kontrollera webbplatsens äkthet. Certifikat används också för att kontrollera äktheten av programvaror och programvaruupdateringar och för att identifiera personer. Programvaruunderskrifternas betydelse ökar bland annat i takt med att operativsystemet Windows 7 och applikationer för datormobiler blir vanligare. Identifieringen bygger på en kedja av förtroende, där programvarorna litar på ett begränsat antal rotcertifikat och vidare på certifikat som beviljats av innehavare till rotcertifikat. Av detta följer en av certifikatsystemets största svagheter: det finns ingen hierarki mellan rotcertifikaten, utan varje rotcertifikat duger som undertecknare av alla webbplatsers certifikat Även om tjänsteleverantören skaffade certifikatet från en viss certifierare, är vilket som helst certifikat som beviljats av en certifierare som klassificerats som pålitlig lika värt med det rätta certifikatet. För att tas med på rotcertifikatförteckningen ska certifieraren genomgå en informationssäkerhetsauditering, vilket dock inte har garanterat ett tillräckligt högt informationsskydd. Med ett falskt certifikat kan man utföra en attack av typen man-in-the-middle (MiTM), dvs. överta förbindelsen mellan en tjänst och dess användare. Då måste attackeraren ha kontroll över nätinfrastrukturen eller namnservern eller alternativt måste attackeraren befinna sig i samma lokalnät som offret. Till exempel öppna WLAN-nät kan utgöra en lämplig miljö för attacker. Användare kan även luras till en adress som leder till en falsk webbplats och ett falskt certifikat genom att manipulera namntjänsten. På webbplatsen som verkar äkta kan man sedan fiska efter användaruppgifter, som användar-id och lösenord. Forskare i informationsskydd och programvaruutvecklare har utvecklat många parallella lösningar för att förbättra certifikatens säkerhet. En del av lösningarna är emellertid relativt svåra att använda och kräver sakkunskap av användarna. RSA SecurID-anordningar byttes ut på grund av dataintrång Informationssäkerhetsbolaget RSA meddelade i mars att bolaget varit föremål för dataintrång. Dataintrånget gjordes genom att skicka en Excel-fil som innehöll skadlig programkod till ett antal anställda hos RSA. Filen innehöll en metod för utnyttjande av en sårbarhet i en programvara som var avsedd för visning av Adobe Flash-filer. Gärningsmännen fick på detta sätt tag i användarkonton som de använde för att stjäla data från RSA:s system. RSA har inte exakt berättat vilka uppgifter som blev stulna, men har medgett att uppgifterna gällde SecurID-produkterna. I offentligheten har framförts antaganden om att förövarna lyckats stjäla de så kallade seed- eller utgångstalsfiler som behövs när SecurID-nyckeltalsgeneratorer tas i användning. Med hjälp av utgångstalen kan man i princip skapa kopior av nyckeltalsgeneratorer som är i användning. SecurID-nyckeltalsgeneratorer används för stark identifiering av användare vid inloggning på organisationers tjänster. Anordningen skapar en ny sifferserie exempelvis en gång per minut. 6

För att logga in på ett system som är skyddat med SecurID ska användaren ange sin användarbeteckning, sitt personliga lösenord och en varierande sifferserie som generatorn visar. Det finns cirka 40 miljoner SecurID-anordningar i användning runt om i världen. Ytterligare cirka 2,5 miljoner användare använder en applikationsbaserad lösning. På grund av dataintrånget meddelade RSA att bolaget ersätter alla SecurIDnyckeltalsgeneratorer som tillverkats före dataintrånget med nya anordningar. För en del av kunderna har utbytesprocessen varit avgiftsfri, och kundföretagen har inte behövt vidta åtgärder för att processen ska inledas. Vid årsskiftet hade så gott som alla finländska kunder som begärt byte av sin nyckeltalsgenerator fått en ny anordning. Kostnaderna för bytesprocessen beror bland annat på antalet SecurIDanordningar som är i användning och på anordningarnas ålder. Enligt en e- postenkät som CERT-FI skickade till aktörer inom kritisk infrastruktur i augusti höll över hälften av dem som besvarade enkäten på med att byta SecurIDanordningar mot nya eller hade redan gjort det. Var femte svarande meddelade att de inte tänker byta anordningar eller har redan övergått till en alternativ teknik. Information som stals vid dataintrånget utnyttjades sannolikt vid ett försök till dataintrång i försvarsindustriföretaget Lockheed-Martins datasystem i slutet av maj. Lockheed-Martin meddelade att bolaget avvärjde försöket. Efter att RSA-dataintrånget blivit offentligt publicerade CERT-FI varning 2/2011 3 om SecurID-produkternas försämrade informationssäkerhet. I varningen fanns också anvisningar för organisationer och enskilda företagare som använder SecurID. 3 http://cert.fi/varoitukset/2011/varoitus-2011-02.html Finländska nätbankskunder föremål för attacker med skadliga program CERT-FI har under året fått kännedom om flera fall, där finländska datorer har smittats med skadliga program som är riktade mot nätbankskunder. De skadliga programmen har varierat från enkla program som efter inloggningen visar nätfiskesidor till avancerade JavaScriptprogram som fungerar i webbläsaren. Åtminstone en av de skadliga programmen har haft en så kallad saldorättelseegenskap. Programmet har således kunnat räkna saldot på det konto som visas på webbsidan på nytt och gömma de överföringar som gärningsmannen gjort. Till de mer avancerade versionerna av skadliga program hör även program med den så kallade Man-In-The-Middleegenskapen. När användaren loggar in på nätbanken visar det skadliga programmet en ruta där man ber användaren vänta medan "nätbankens säkerhet förbättras". Med hjälp av det skadliga programmet kan gärningsmannen följa med nätbankskundens datakommunikation och använda PIN-koder som nätbankskunden matat in för att bekräfta kontoöverföringar. De observerade skadliga programmen har i regel varit olika versioner av programvarufamiljen Zeus. De skadliga programmens versioner har tidigare varit okända och antivirusprogrammen kände till en början inte igen dem. Antivirusprogramleverantörerna fick emellertid snabbt prover på de skadliga programmen, varefter antivirusprogrammen har känt igen de skadliga programmen. CERT-FI har fått kännedom om olika botnätverk som omfattat finländska nätanvändare och som använt olika versioner av det skadliga programmet Zeus. Adresserna till de datorer som ingår i botnätverket har rapporterats till deras ägares internetoperatörer. Adresserna till botnätens command and control-servrar har i sin tur rapporterats till CERT-FI:s utländska samarbetspartners. 7

Nätbankskunder har också utsatts för nätfiske Under årets senare hälft har det också gjorts betydligt fler försök att fiska efter finländska webbanvändares uppgifter än tidigare. Gärningsmännen har till de tänkta offren skickat e-postmeddelanden med en länk som i allmänhet fört till en www-server som utsatts för dataintrång. I meddelandet hotas användaren med att nätbankkoderna eller kontot spärras om användaren inte följer länken. E- postmeddelandena har i allmänhet inte varit särskilt trovärdiga. Även om de har varit skrivna på finska, har språket varit relativt klumpigt och texten har innehållit stavfel. I vissa fall har gärningsmännen registrerat domännamn som påminner om nätbankernas domännamn. Nätfiskesidorna har gjorts genom att kopiera nätbankens inloggningssida. Brister i informationssäkerheten hos nätbutiksapplikationer Polisen och CERT-FI har fått information om fall där planeringsbrister eller sårbarheter i nätbutiksapplikationer har utnyttjats för bedrägerier. På grund av dessa fel har man kunnat beställa produkter från vissa nätbutiker utan att betala. Nätbutiksapplikationen har vilseletts att tro att betalningen har gjorts. Sårbarheter har veterligen utnyttjats i bedrägerier vars sammanlagda summa uppgår till drygt 300 000 euro. Det är inte fråga om ett informationssäkerhetsproblem i en enskild applikation eller i en viss applikationstillverkares produkter utan om en sårbarhet som beror på det sätt på vilket butikerna är förverkligade. Vid implementeringen av dessa nätbutiker har man inte helt enligt anvisningarna följt de tekniska definitioner som bankerna eller andra aktörer som erbjuder betalningsrörelsetjänster utfärdat. Det är handlaren som svarar för nätbutikens informationssäkerhet. Sårbarheterna har inte gällt kunder som handlar på webben, och missbruksmöjligheterna har inte heller äventyrat konsumentens informationssäkerhet vid inköp på webben. CERT-FI har samarbetat med det finländska informationssäkerhetsbolaget Nixu Oy, Helsingfors polis och Suomen elektronisen kaupankäynnin yhdistys ry för att sprida information till programvarutillverkare och näthandlare. Det är sannolikt att man i fortsättningen upptäcker fler motsvarande sårbarheter och försök att utnyttja dem. BEAST-attack påvisade brister i informationssäkerheten hos SSL/TLS-förbindelser Den i september presenterade metoden BEAST (Browser Exploit Against SSL/TLS) visade att en utomstående kan med vissa randvillkor avlyssna och överta en wwwsession som använder TLS 1.0-protokoll. En lyckad attack förutsätter att TLSsessionen använder blockkryptering. Dessutom ska attackeraren lyckas föra in egen programkod i offrets webbläsare och lyssna på det attackerade objektets nättrafik. Man kan skydda sig effektivt mot BEASTattacker genom att övergå till TLS 1.2- protokollet. I praktiken kan det dröja länge att övergå från det nuvarande protokollet eftersom flera webbläsare och serverprogram fortfarande saknar stöd för denna version. Bläddrartillverkare har lanserat specifika uppdateringar som avvärjer försök till utnyttjande av BEAST-attacker. Mångsidigt samordningsarbete mot sårbarheter Under 2011 samordnade CERT-FI åtgärdandet och publiceringen av sårbarheter av mycket olika slag. Intresset för att undersöka säkerheten i programvaror med öppen källkod syns också i de sårbarheter som rapporteras till CERT-FI. Ett exempel på ett programvaruprojekt för öppen källkod är webbläsaren Chrome. Programmet Bug Bounty, som beviljar 8

belöningar för rapporteringen av fel i webbläsaren, har lett till avslöjandet av ett stort antal sårbarheter. Av finländska forskare har bland annat forskarna Aki Helin och Atte Kettunen vid informationssäkerhetsgruppen OUSPG vid Uleåborgs universitet utmärkt sig som avslöjare av sårbarheter. Samarbetet med OUSPG har varit intensivt och resultatgivande nästan från grundandet av CERT-FI. Den för tio år sedan publicerade sårbarheten i SNMPprotokollet väckte omfattande uppmärksamhet, och därefter har OUSPG och CERT-FI samordnat åtgärdandet och publiceringen av fler programvarusårbarheter tillsammans. Metoderna för förbigående av skydd sysselsatte CERT-FI i början av året Med anledning av de metoder för förbigående av skydd som informationssäkerhetsbolaget Stonesoft Oy har undersökt har CERT-FI haft kontakt med flera programvaru- och utrustningstillverkare under året. Sårbarheten gäller protokollmeddelanden med vilka det är möjligt att förbigå skyddsmekanismerna hos olika IDS/IPSanordningar. Bara ett fåtal utrustnings- och programvarutillverkare har rapporterat om sina produkters sårbarhet för dessa metoder och om eventuella reparationer på produkterna. Det är därför svårt för slutanvändarna att utreda huruvida deras produkter behöver uppdateras på grund av metoderna. Intresset för datormobilernas säkerhet ökar Den första sårbarheten i datormobiler som koordinerades av CERT-FI gällde en metod för att förbigå skyddskoden i Nokia E75- telefoner. Sårbarheter som kräver fysisk tillgång till datorer och telefoner har börjat tas på allvar under de senaste åren. Detta kan bero på de ökade kraven på informationssäkerhet. Olika dataöverföringsnät föremål för undersökningar CERT-FI medverkade publiceringsprocessen för sårbarheter av många olika slag. Det förekommer fortfarande tidigare skådade sårbarheter i olika nätverk, vilket vittnar om att man begått likadana fel vid genomförandet, särskilt vad gäller kontrollen av input och hanteringen av minnet. En sårbarhet i Linux-operativsystemets Bluetooth-verktyg åtgärdades. Bluetooth är en nätteknik som används för trådlös sammankoppling av olika anordningar, t.ex. telefoner och hörlurar. En sårbarhet i protokollet iscsi implementationen av operativsystemet Solaris åtgärdades. iscsi används för koppling av disksystem. Routningsprotokollutföranden av programvaran Quagga åtgärdades i slutet av året. Programmet används för routning av IP-nätverk. De senast korrigerade sårbarheterna anknyter till hanteringen av routningsprotokollen BGP och OSPF i routningsprogrammet Quagga. I början av året åtgärdades en sårbarhet i RTP-protokollet (Real-time Transport Protocol) i Ciscos produkter. Under årets senare hälft åtgärdades en sårbarhet i RTSP (Real-time Signaling Protocol)- streamingtjänsterna i mediespelaren VLC. RTP och RTSP är vanliga protokoll i streaming av internetsamtal, video och ljud. Möten med tillverkare och forskare I februari deltog CERT-FI i ett tillverkarmöte som ordnades av amerikanska CERT/CC (CERT Coordination Center) i anslutning till RSA-konferensen i San Fransisco. Flera programvarutillverkare deltog i mötet. På samma resa träffade CERT-FI dessutom representanter för flera programvarutillverkare i Silicon Valley. 9

År 2011 ordnade CERT-FI två möten för finländska sårbarhetsforskare. Det första mötet ordnades i Esbo i samarbete med Microsoft, det andra i Uleåborg hos VTT. Mötena samlade över 30 aktörer som är intresserade av informationssäkerheten i produkternas tekniska utförande. Utsikter för 2012 Lagstiftningsprojekt i anslutning till reglering av internet har väckt motstånd och protester också på webben. Det är sannolikt att nätattacker används som redskap för protester även under det kommande året. Det är väntat att man fortfarande försöker stjäla användaruppgifter från bristfälligt skyddade webbtjänster, som man kan försöka använda för olika slag av missbruk eller publicera på internet. 10

Statistiska uppgifter om kontakter som CERT-FI behandlat CERT-FI kontakter per kategori 2011 2010 Förändring Intervju 142 115 + 23 % Sårbarhet eller hot 182 188-3 % Skadligt program 2381 3500-32 % Rådgivning 549 413 + 33 % Beredning av attack 61 54 + 13 % Dataintrång 156 112 + 39 % Blockeringsattack 60 45 + 13 % Övriga informationssäkerhetsproblem 81 58 + 40 % Social Engineering 214 288-26 % Totalt 3826 4773-23 % 11

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss