18.6.2014. Cybersäkerhetsöversikt



Relevanta dokument
Cybersäkerhetsöversikt

MARKNADSÖVERSIKT Marknadsöversikt Televerksamhetens omsättning och investeringar

MARKNADSÖVERSIKT 4/2012. Telebranschen i Finland

Föreskrift om televerksamhetens informationssäkerhet

INFORMATIONSSÄKERHETSÖVERSIKT 1/2010

Föreskrift OM INTERNETFÖRBINDELSETJÄNSTERNAS INFORMATIONSSÄKERHET. Meddelad i Helsingfors den 9 mars 2011

Lagen om dataskydd vid elektronisk kommunikation

MARKNADSÖVERSIKT 2/2012. Bredbands- och telefonitjänster

Föreskrift OM UNDERHÅLL AV KOMMUNIKATIONSNÄT OCH -TJÄNSTER SAMT OM FÖRFARANDE OCH INFORMATION VID FEL OCH STÖRNINGAR

Föreskrift om störningar i televerksamheten

Bredband på 1Mbit/s för alla

MARKNADSÖVERSIKT 6/2012. Bredbands- och telefonitjänster

INFORMATIONSSÄKERHETSÖVERSIKT 3/2009

Uppgifter som tillställs. 4. Planerade förändringar för det fasta nätet och mobilnätet

Föreskrift om tekniskt genomförande och säkerställande av nödtrafik

DNSSec. Garanterar ett säkert internet

Informationssäkerhetsöversikt

MARKNADSANALYS AV STÖDBERÄTTIGANDE AV PROJEKTOMRÅDET ÖSTRA NYLAND, LAPPTRÄSK (6)

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Att öka förtroende. Verksamhetsplan

LÄGESRAPPORT 1/ (5) INFORMATIONSSÄKERHETSÖVERSIKT 1/2007

MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 53 A/2011 M FÖRESKRIFT OM SKYLDIGHET ATT LAGRA IDENTIFIERINGSUPPGIFTER MPS 53

Uppgifter till Kommunikationsverket om tillgången till fasta dataöverföringsabonnemang

Här är en tydlig steg för steg-guide som beskriver hur du konfigurerar din e-post i e- postprogrammet Microsoft Outlook 2016.

Informationssäkerhetsöversikt

Steg 1 Starta Outlook 2013 och öppna konfigurationsguiden

CERT-FI Informationssäkerhetsöversikt

Föreskrift OM SKYLDIGHET ATT LAGRA IDENTIFIERINGSUPPGIFTER. Meddelad i Helsingfors den 24 maj 2011

MARKNADSÖVERSIKT 7/2012. AV-innehållstjänster i Finland

MEDDELANDE OM LEDIGFÖRKLARING AV KONCESSIONER Koncessioner för televerksamhet i frekvensområdet megahertz

Anvisningar om skyddad elektronisk kommunikation

Steg 1 Starta Outlook 2010 och öppna konfigurationsguiden

MARKNADSANALYS AV DET STÖDBERÄTTIGAE OMRÅDET ÅLAND, PROJEKTOMRÅDE 2 (SOTTUNGA)

MARKNADSÖVERSIKT 8/2012. Hushållens bredbandsabonnemang. Förekomsten av snabba internetförbindelser

Säkra trådlösa nät - praktiska råd och erfarenheter

Skapa e-postkonto för Gmail

Konsumentklagomål på telefoni och bredband. Kvartalsrapport april - juni 2016

Din manual MCAFEE TOTAL PROTECTION

KOMMUNIKATIONSVERKETS REKOMMENDATION OM REGISTRERING AV UPPGIFTER OM BEHANDLINGEN AV IDENTIFIERINGSUPPGIFTER

MARKNADSÖVERSIKT 1/2012. Hushållens internetförbindelser

Låsanordning för utrustningsutrymmen i en fastighet. Kommunikationsverkets rekommendationer

INFORMATIONSSÄKERHETSÖVERSIKT 3/

Föreskrift om telefonnummerportabilitet

Steg 1 Starta Outlook 2010 och öppna konfigurationsguiden

INFORMATIONSSÄKERHETS- ÖVERSIKT 2/2009

Föreskrift OM INTEROPERABILITET AV KOMMUNIKATIONSNÄT OCH KOMMUNIKATIONSTJÄNSTER. Meddelad i Helsingfors den 24 november 2010

Datum ? 1.0. Abonnemanget Sonera Exakt Pro är ett mobilabonnemang som TeliaSonera Finland Oyj (nedan Sonera ) tillhandahåller företagskunder.

AGERANDE VID STÖRNINGAR I KANTA-TJÄNSTERNA

Tekniskt driftdokumentation & krishantering v.1.0

Lag om dataskydd vid elektronisk kommunikation (516/2004)

Inledning. Årsöversikt 1/2012 2

E-POSTINSTÄLLNINGAR I E-POSTPROGRAMMET

INFORMATIONSSÄKERHETSÖVERSIKT 2/2011

Guide för konfigurering av Office 365 konton

Foto: Peter Westrup, Ulrika Ekblom, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Översikt över kommunikationssektorn

MARKNADSANALYS AV DET STÖDBERÄTTIGADE OMRÅDET ÖSTERBOTTEN, PROJEKTOM- RÅDE 23 (PEDERSÖRE KOMMUN)

MARKNADSANALYS AV DET STÖDBERÄTTIGADE OMRÅDET EGENTLIGA FINLAND, PROJEKTOMRÅDE 11 (KIMITOÖN)

Steg 1 Starta Outlook 2010 och öppna konfigurationsguiden

MARKNADSANALYS AV DET STÖDBERÄTTIGADE OMRÅDET ÖSTERBOTTEN, PROJEKTOM- RÅDE 22 (NYKARLEBY)

INTEGRITETSPOLICY FÖR ENERVENT OY:S WEBBPLATS

Kommunikationsverket 46 F/2007 M. Föreskrift OM TELEFONNUMMERPORTABILITET. Meddelad i Helsingfors den 24 juli 2007

Föreskrift OM SPÄRRKATEGORIER INOM TELETRAFIKEN. Meddelad i Helsingfors den 16 augusti 2011

F6 Exchange EC Utbildning AB

ANVIA MOLNET. inhemska molntjänster för företag 24/7

Föreskrift 1/2010 1/(8)

DATASKYDDSBESKRIVNING v

SEKRETESSPOLICY. Hur vi använder och skyddar personlig information

Skyldighet att offentliggöra uppgifter om kundservicens kvalitet

MARKNADSANALYS AV DET STÖDBERÄTTIGADE OMRÅDET NYLAND, PROJEKTOMRÅDE 6 (RASEBORG)

INFORMATIONSSÄKERHETSÖVERSIKT

Konsumentklagomål på telefoni och bredband. Kvartalsrapport oktober - december 2013

ESET NOD32 ANTIVIRUS 8

Lathund. Inställningar för att läsa e-post. Webbmail, Windows Mail, MacMail, OutlookExpress, Microsoft Outlook och Mozilla Thunderbird

snabbmanual för installation av trådlöst bredband och telefoni

Innehållsförteckning:

Läs denna sekretesspolicy innan du använder AbbVies webbplatser, eller skickar personlig information till oss.

Uppgifter till Kommunikationsverket om tillgången till fasta dataöverföringsabonnemang

Konsumentklagomål på telefoni och bredband. Årsrapport 2013

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

IT-säkerhet. Vårdval Fysioterapi Joakim Bengtzon IT-säkerhetsansvarig Landstings IT Tel:

STATENS REVISIONSVERKS ALLMÄNNA INSTRUKTIONER OM EFTERHANDSREDOVISNING VID RIKSDAGSVALET ÅR 2011

SURFTOWNS SÄKERHETSMILJÖ. Databehandlingsavtal - Bilaga 1

Guide för ansökan om.fi-domännamn

Konsumentklagomål på telefoni och bredband. Kvartalsrapport oktober - december 2016

Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser

Föreskrift om kommunikationsnätens och -tjänsternas kvalitet samt om samhällsomfattande tjänster

E-post inställningar. webgr.nu. Vill ni ha mer information hör av er:

Anmälda personuppgiftsincidenter 2018

Kaspersky. IS MD attach

Konfigurera Outlook för OCS

ÅRSÖVERSIKT

RAPPORTERINGSANVISNINGAR

Med PrivacyKeeper kan du: Ta bort inloggningsinformation:

Sammanfattning av mätningar i Sölvesborgs kommun

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

Använda Outlook 2003 mot Exchange

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

BDS-UNDERHÅLLET. Användarens instruktion Kommunerna

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Transkript:

18.6.2014 Cybersäkerhetsöversikt 2/2014

Innehåll Inledning... 3 Informationssäkerhet ur statistisk synvinkel... 4 1 Autoreporter... 4 1.1 Skadliga program... 4 1.2 Finlands placering i världen... 5 2 Havaro... 6 3 Kontakter som behandlades av Cybersäkerhetscentret... 6 4 Fel och störningar i kommunikationsnät... 8 4.1 Anmälningar om fel och störningar i kommunikationsnät... 8 4.2 Inga förändringar i resultaten av den kvartalsvisa förfrågan jämfört med föregående perioder... 8 Aktuella fenomen inom informations-säkerheten... 11 5 Produktstödet för operativsystemet Windows XP upphörde 8.4.2014... 11 6 OpenSSL-bibliotekets Heartbleed-sårbarhet skakade informationssäkerhets-världen... 12 6.1 Bakgrund... 12 6.2 Uppföljning av läget 7.5.2014... 12 6.3 Observationer om Heartbleed i HAVARO... 14 7 Nätfiskekampanjen pågår fortfarande... 15

Inledning Denna delårsöversikt av Cybersäkerhetscentret vid Kommunikationsverket handlar om störningar i kommunikationsnät, informationssäkerhets-incidenter och händelser 1.3.2014 31.5.2014. Cybersäkerhetsöversikten är indelad i två avsnitt: Informationssäkerhet ur statistisk synvinkel och aktuella fenomen inom informationssäkerheten. Avsnittet Informationssäkerhet ur statistisk synvinkel handlar om fel och störningar i kommunikationsnät, Autoreporter-statistik, HAVARO-statistik och de kontakter som behandlades av Cybersäkerhetscentret. Vi har valt följande tre viktiga fenomen inom informationssäkerheten under den aktuella tidsperioden: Upphörandet av produktstödet för operativsystemet Windows XP samt den tillhörande uppdaterade Windows XP-allmänhetsstatistiken, OpenSSL-bibliotekets Heartbleed-sårbarhet och en nätfiskekampanj under Tullens, Itellas, en inkassotjänsts och Matkahuoltos namn. 3

Informationssäkerhet ur statistisk synvinkel 1 Autoreporter Autoreporter är en tjänst som administreras av Cybersäkerhetscentret. Tjänsten samlar automatiskt in uppgifter om skadliga program och kränkningar mot informationssäkerhet i finländska nät och rapporterar dessa till nätadministratörerna. Autoreporter har varit i drift sedan 2006. Tjänsten omfattar alla finländska nätområden. Utifrån den insamlade statistiken är det bland annat möjligt att beräkna hur ofta skadliga program förekommer i finländska nät. 1.1 Skadliga program Enligt Autoreporter-statistiken (Bild 1) har det skadliga ZeroAccessprogrammets andel minskat betydligt från början av året till vecka 13. Händelserna i början av året påverkades troligen av de åtgärder som vidtogs för att bekämpa ZeroAccess i slutet av 2013. ZeroAccess blev emellertid åter aktivt i slutet av mars, varefter antalet observationer av programmet började öka på nytt (veckorna 14 18). Antalet observationer av andra program har minskat något jämfört med början av året. I fråga om variationer i antalet Autoreporter-observationer är det emellertid inte möjligt att dra några exakta slutsatser, eftersom variationerna mellan olika tidsperioder kan bero på exempelvis nya informationskällor eller de nya fingeravtryck för skadliga program som lagts till i informationskällorna. ZeroAccess Citadel Övriga Torpig Zeus 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Vecka Bild 1. Händelser som Autoreporter behandlade per vecka. Fördelningen av skadliga program mellan olika teleföretag är inte i balans (Bild 2). Skillnaderna mellan teleföretagen beror på olika antal kunder och företagens egen aktivitet att bekämpa skadliga program. Cybersäkerhetscentrets delårsöversikt 1/2014 rapporterade att ungefär 85 4

procent av alla skadliga program i trafiken härrörde från ett enskilt teleföretag i början av året. Kommunikationsverket har utrett ärendet med teleföretaget. Utifrån utredningen verkar det som om antalet observationer åtminstone delvis hänför sig till kompatibiliteten i Autoreportersystemet och teleföretagets nätgenomförande och teleföretagets förmåga och möjligheter att tillhandahålla tillräckligt exakta data. Läget kommer att korrigeras tack vare teleföretagets åtgärder, men korrigeringen ingår ännu inte i den statistik som finns i denna rapport. Under denna observationsperiod härrörde 77 procent av alla skadliga program som upptäcktes i trafiken från teleföretagets nät. 0 % 3 % 9 % 2 % 9 % 77 % Teleföretag 1 Teleföretag 2 Teleföretag 3 Teleföretag 4 Teleföretag 5 Övriga Bild 2. Fördelning av skadliga program mellan finländska företag 1.3.2014 31.5.2014. Mer detaljerade uppgifter om störningar i enskilda teleföretag är oftast sekretessbelagd enligt lagen om offentlighet i myndigheternas verksamhet. 1.2 Finlands placering i världen I maj publicerade Microsoft rapporten Security Intelligence Report (SIR) Volume 16, som behandlar och jämför informationssäkerheten i informationsnät i olika länder 1. I rapporten var Finland tvåa, jämfört med första plats i föregående rapport. Den nu publicerade rapporten gäller tidsperioden mellan juli och december 2013. 1 http://download.microsoft.com/download/7 /2/B/72B5DE91-04F4-42F4-A587-9D08C55E0734/Microsoft_Security_Intellige nce_report_volume_16_english.pdf Finlands lägre placering i den senaste rapporten kan bero på att andra länder har gjort förbättringar och att teleföretagens förmåga har förbättrats vad gäller att reagera och informera kunderna om upptäckta skadliga program utifrån Autoreporteranmälningar. Eventuella korrigerande åtgärder ingår i Microsofts SIR-rapporter med ett visst dröjsmål. Till exempel de förbättringar som gjordes i våras ingår i SIRrapporten för det andra halvåret 2014, som troligen publiceras våren 2015. I Kommunikationsverkets Autoreporterstatistik ingår de korrigerande åtgärderna dock i realtid. 5

Observationer som ledde till fortsatta åtgärder Cybersäkerhetsöversikt [2/2014] 2 Havaro HAVARO är ett för försörjningsberedskapskritiska företag avsett system som upptäcker och varnar för kränkningar av informationssäkerheten. Systemet har genomförts i samarbete med Försörjningsberedskapscentralen. Syftet med HAVARO är att hjälpa till att skapa en noggrannare lägesbild av hoten mot informationssäkerheten i finländska nät. De röda informationssäkerhetsincidenter, det vill säga incidenter, som HAVARO upptäckte och som ledde till omedelbara fortsatta åtgärder finns samlade i den grafiska figuren nedan (Bild 3). I mars maj var det totala antalet röda observationer 514. Sedan ingången av 2014 har antalet observationer per vecka varit ungefär 47. Toppen vecka 15 berodde på det skadliga Gameover Zeus-programmet och Heartbleed-sårbarheten. Toppen vecka 21 berodde på observationer av allmänna skadliga program som används av brottslingar. Den grafiska figuren visar också en koncentration av observationer veckorna 6 10 under det första kvartalet. Dessa är också observationer av allmänna skadliga program som används av brottslingar. 300 250 200 150 100 50 0 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Vecka Bild 3. Röda larm i HAVARO per vecka 3 Kontakter som behandlades av Cybersäkerhetscentret Cybersäkerhetscentret tog emot 8 informationssäkerhetsanmälningar enligt Kommunikationsverkets föreskrift 9 om skyldighet att anmäla kränkningar i informationssäkerheten i allmän televerksamhet. Under föregående period (december februari) var antalet anmälningar 4. Under det andra kvartalet gick en jourhavande expert på Cybersäkerhetscentret igenom i snitt 96 kontakter per vecka. Merparten av kontakterna rörde skadliga program (Bild 4), begäran om 6

råd och dataintrång är också vanliga orsaker till kontakt. Vid granskning av kontakter per vecka (Bild 5) är antalet anmälningar om skadliga program under vecka 19 större än i genomsnitt. Största delen av dessa anmälningar härrörde från en och samma informationskälla och anmälningarna rörde relativt gamla informationssäkerhetsproblem. Troligen var det fråga om att en del gamla anmälningar hade stoppats av informationskällans buffert och anmälningarna strömmade ut vecka 19. Anmälningarna rörde främst webbplatser som innehöll en skadlig JavaScript-kod. 2 % 2 % Skadligt program 6 % 4 % Rådgivning 6 % 37 % Dataintrång 8 % Social engineering 15 % Övriga informationssäkerhetsproble m Intervju 20 % Sårbarhet eller hot Bild 4. Kontakter som Cybersäkerhetscentret behandlade 1.3 31.5.2014 7

Kontakter som behandlades av Cybersäkerhetscentret Cybersäkerhetsöversikt [2/2014] 300 250 Blockeringsattack Förberedning av en attack 200 Sårbarhet eller hot 150 100 Intervju Övriga informationssäkerhetsproblem Social engineering 50 Dataintrång 0 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Vecka Rådgivning Skadligt program Bild 5. Kontakter som Cybersäkerhetscentret behandlade 1.3 31.5.2014 4 Fel och störningar i kommunikationsnät 4.1 Anmälningar om fel och störningar i kommunikationsnät I mars maj 2014 uppkom inga större störningar i kommunikationsnäten. Detta framgår av de anmälningar om fel och störningar som Kommunikationsverket lämnade till Cybersäkerhetscentret och som bygger på ämbetsverkets föreskrift 57. Under föregående period mellan december 2013 och februari 2014 var antalet anmälningar om betydande störningar i kommunikationsnäten 41. Nu var antalet 25. Av dessa klassificerades endast en anmälan som en allvarlig störning och den kunde åtgärdas snabbt inom en dryg timme efter att teleföretaget hade upptäckt störningen. Felen under den aktuella perioden berörde främst mobila tjänster (2G och 3G) och bredbandstjänster (xdsl). 4.2 Inga förändringar i resultaten av den kvartalsvisa förfrågan jämfört med föregående perioder Sedan början av 2013 har Kommunikationsverket följt upp funktionen av kommunikationsnäten och -tjänsterna genom kvartalsvisa förfrågningar i teleföretagen. Vilka tjänster påverkas av störningar? Hur lång tid tar det att åtgärda störningar? Vilka är orsakerna till störningarna? Syftet är att få svar på dessa frågor genom förfrågningar. Teleföretagen rapporterade om totalt cirka 50 000 störningar som kunderna hade anmält till företagen under det första kvartalet 2014 (januari mars). Det finns inga större förändringar i anmälningarnas andelar per tjänst och 8

reparationstid jämfört med sammandragen för 2013. Problem med internetförbindelse utgjorde den klart största sammanlagda andelen av kundkontakterna (Bild 6): mer än hälften (59 %) berörde internetförbindelser via det fasta nätet och den fjärde vanligaste orsaken till kontakt (8 %) var internetförbindelser via mobilnätet, sammanlagt 66 %. Sett per tjänst var problem i kabel-tv (11 %) den näst vanligaste orsaken till kundernas kontakter. Den tredje vanligaste orsaken var problem på grund av avbrott i mobilnäten (11 %) eller försvagad täckning inklusive både samtals- och dataförbindelser. Av de anmälda problemen rörde 8 % telefoni i det fasta nätet. Antalet kontakter gällande problem i andra tjänster var litet. I regel åtgärdades de störningar som drabbade kunderna (Bild 7) i cirka 30 procent av fallen inom 6 timmar efter att störningen hade uppstått. Av störningarna åtgärdades ungefär 60 procent inom 2 dygn och drygt 90 procent inom en vecka. Antalet störningar som pågick längre än en vecka var litet. I allmänhet åtgärdades felen snabbast i de trådlösa näten, inbegripet både mobilnäten och de övriga trådlösa näten. Andelar störningar som anmäldes av kunderna 2 % 1 % 0 % 8 % 11 % 11 % 8 % 59 % Data (fasta) Kabel-tv Telefoni/data (mobila) Data (mobila) Telefoni (fasta) Tilläggstjänster (inkl. e-post) Övriga trådlösa VoIP Bild 6. Andelar störningar som anmäldes av kunderna 9

100 % 90 % 80 % 70 % 60 % 50 % 40 % 30 % 20 % 10 % 0 % Längder på de störningar som anmäldes av kunderna < 6 t 6 t - 2 dygn 2-7 dygn > 7 dygn Bild 7. Längder på de störningar som anmäldes av kunderna 10

1/2013 2/2013 3/2013 4/2013 5/2013 6/2013 7/2013 8/2013 9/2013 10/2013 11/2013 12/2013 1/2014 2/2014 3/2014 4/2014 5/2014 16,47% 15,36% 13,79% 10,97% 9,33% 26,94% Cybersäkerhetsöversikt [2/2014] Aktuella fenomen inom informationssäkerheten 5 Produktstödet för operativsystemet Windows XP upphörde 8.4.2014 Den 8 april 2014 upphörde Microsofts produktstöd för operativsystemet Windows XP. I maj var Windows XPdatorernas andel 9,33 procent av alla datorer som använder Windows och som är anslutna till datanäten i Finland. (Bild). Antalet Windows XP-datorer har minskat i jämn takt redan under lång tid, men särskilt i mars maj minskade de snabbare i popularitet. Mellan januari och maj 2014 minskade XPdatorernas andel med 43,3 procent. Efter att produktstödet för Windows XP hade upphört erbjöd Microsoft, till skillnad från sina preliminära uppgifter, uppdatering av en kritisk Internet Explorer-sårbarhet (CVE-2014-1776) även för Windows XP. De sårbarheter som har hittats i Windows XP efter detta har åtminstone hittills inte reparerats. I stället för uppdateringar uppmanar Microsoft användarna av Windows XP att använda programvaran EMET 4.x (Enhanced Mitigation Experience Toolkit) som kan skydda datorn mot skadliga program. 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% Windows 7 Windows XP Windows Vista Windows 8 och 8.1 Övriga 10,00% 0,00% Bild 8. Windows-operativsystem som har besökt finländska webbplatser. Den grafiska figuren visar procentandelarna för Windows XP. Källa: TNS Metrix 11

6 OpenSSL-bibliotekets Heartbleed-sårbarhet skakade informationssäkerhetsvärlden https://www.viestintavirasto.fi/tietoturv a/tietoturvanyt/2014/04/ttn201404301 533.html 6.2 Uppföljning av läget 7.5.2014 6.1 Bakgrund Den 7 april 2014 upptäcktes en allvarlig sårbarhet i det populära OpenSSLbiblioteket som används vid kryptering. Sårbarheten äventyrar krypterade dataförbindelser så att angriparen kan kopiera data som för tillfället finns lagrade i telefoner, till exempel användarnamn, lösenord, e-postmeddelanden, kritiska dokument och snabbmeddelanden. I offentligheten är sårbarheten känd som Heartbleed. Sedan sårbarheten hittades har Cybersäker-hetscentret vid Kommunikations-verket kartlagt antalet sårbara tjänster. Cybersäkerhetscentret har skickat ett meddelande om alla sårbara tjänster som hittats till administratörerna av tjänsterna. I meddelandet uppmanas administratörerna att uppdatera sina tjänster så fort som möjligt. Närmare bakgrundsinformation finns i rapporten om Heartbleed som Cybersäkerhetscentret har lagt ut på De viktigaste tjänsteleverantörerna har åtgärdat sårbarheten och till resten av administratörerna av tjänsterna har Cybersäkerhetscentret upprepade gånger skickat meddelanden om sårbarheten. Merparten av de återstående sårbara tjänsterna utgörs av NAS-enheter som är avsedda för enskilda hemmaanvändares fildelning. Det totala antalet sårbara tjänster har minskat till 1 127 servrar, vilket motsvarar 0,25 procent av alla servrar som använder SSL-krypteringen. Av dessa servrar erbjuder 569 webbtjänster som använder kryptering (läget per 7.5). De grafiska figurerna nedan visar de sårbara tjänsternas proportionella andelar (Bild 9) och de sårbara tjänsternas utveckling som funktion av tiden (Bild 10). Ökningen i antalet sårbara tjänster den 11 april och den 24 april (se bild 11) beror på mer avancerade metoder för undersökning av sårbara tjänster. 12

8.4.2014 9.4.2014 10.4.2014 11.4.2014 12.4.2014 13.4.2014 14.4.2014 15.4.2014 16.4.2014 17.4.2014 18.4.2014 19.4.2014 20.4.2014 21.4.2014 22.4.2014 23.4.2014 24.4.2014 25.4.2014 26.4.2014 27.4.2014 28.4.2014 29.4.2014 30.4.2014 1.5.2014 2.5.2014 3.5.2014 4.5.2014 5.5.2014 6.5.2014 7.5.2014 Cybersäkerhetsöversikt [2/2014] Att skapa session (SIP over TLS, 5061) Port 4443 Port 4433 Port 8000 Port 8080 E-post (POP3S, 995) Dataöverföring (FTPS, 990) E-post (IMAPS, 993) Katalogtjänst (LDAPS, 636) E-post (SMTP over SSL, 465) E-post (SMTP, 587) Krypterad Internettrafik (HTTPS, 443) E-post (SMTP, 25) Bild 9. Tjänstetyper som är utsatta för Heartbleed-sårbarheten (portalen för tjänsten inom parentes), läget 7.5.2014. 4000 3500 3000 2500 2000 1500 1000 500 0 Sårbara servrar totalt Krypterad Internettrafik (HTTPS, 443) Övriga sårbara tjänster Bild 10. Servrar som är sårbara för Heartbleed, som funktion av tiden 13

6.3 Observationer om Heartbleed i HAVARO Heartbleed-sårbarheten upptäcktes på ett tydligt sätt även av HAVAROsystemet av Cybersäkerhetscentret vid Kommunikationsverket. Identifieringsuppgifterna om Heartbleed fördes in i HAVARO den 8 april då de första försöken att utnyttja sårbarheten också upptäcktes. Den grafiska figuren nedan (Bild 11) visar att antalet försök att utnyttja sårbarheten ännu var relativt litet den 8 april, men de lyckade försökens andel (den gröna linjen) var över 40 procent. Orsaken var att en del av servrar inte hade uppdaterats. Under de därpå följande dagarna minskade procentandelen tack vare administratörernas uppdateringar av servrar. Antalet försök att utnyttja Heartbleed, som upptäcktes av HAVARO, var störst den 11 april. Till dags dato har man hunnit uppdatera största delen av servrarna eftersom antalet stora svarspaket som gavs av servrarna sjönk, trots ett ökat antal försök att utnyttja sårbarheten. 350 300 250 200 150 100 50 0 Observationer om Heartbleed i HAVARO 45,0 % 40,0 % 35,0 % 30,0 % 25,0 % 20,0 % 15,0 % 10,0 % 5,0 % 0,0 % Observerade försök att utnyttja Heartbleed-sårbarheten Paket med svar på Heartbleed-begäran, som kunde innehålla känsliga uppgifter (Large response) Förhållandet mellan försök till utnyttjande och svarspaket (%) Bild 11. Observationer om Heartbleed i HAVARO Största delen av de Heartbleedmeddelanden som upptäcktes av HAVARO kom från kinesiska och ryska internetadresser. Den grafiska figuren 14

nedan (Bild 12) visar de allmännaste källadresserna för meddelandena. Utifrån en internetadress är det emellertid inte direkt möjligt att gissa vem som är angriparen eftersom den server som har gjort angreppet kan styras från vilket som helst land. En del av de meddelanden som registrerats av HAVARO härrör troligen från de kartläggningar av Heartbleedsårbarheten som har gjorts av informationssäkerhetsmyndigheter, universitet och informationssäkerhetsföretag. I statistiken ingår inte de kartläggningar av sårbara tjänster som har gjorts av Kommunikationsverket. Källadress för försök att utnyttja Heartbleed CN RU US FI DE NL RO FR Övriga Bild 12. Källadresser för Heartbleed-meddelanden 7 Nätfiskekampanjen pågår fortfarande Nätfiske i syfte att få tag på bankuppgifter via falska e- postmeddelanden, www-sidor och SMS pågår fortfarande. Cybersäkerhetscentret vid Kommunikationsverket tog emot de första observationerna om nätfisket i mars. Nätfisket inleddes under Tullens namn och sedan fortsatte kampanjen under Itellas, en inkassotjänsts och Matkahuoltos namn. Enligt polisen hade kampanjen avkastat snabblån för totalt över 230 000 euro fram till den 21 maj 2014. Fram till början av juni hade Cybersäkerhetscentret rapporterat om sammanlagt 32 nätfiskewebbplatser som hade samband med kampanjen till administratörerna av webbplatserna. Administratörerna har i stort sett reagerat bra på meddelandena och spärrat webbplatserna fort. När en webbplats har kopplats bort, har cyberbrottslingarna i praktiken skapat en ny webbplats under en ny adress och fortsatt nätfisket. Genom 15

bortkoppling har man emellertid lyckats minimera omfattningen och konsekvenserna av nätfiskekampanjen. 16

Kontaktuppgifter Kommunikationsverket PB 313 Östersjögatan 3 A 00181 Helsingfors Tfn 0295 390 100 (växel) cybersäkerhetscentret.fi kommunikationsverket.fi

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss