Analys av hotbilden för ITincidenter BILAGA 4 Till rapport "Förutsättningar för att inrätta en särskild funktion för IT-incidenthantering"
Innehållsförteckning 1 Inledning... 3 1.1 Analyserade hot... 3 1.2 Status... 3 1.3 Underlag... 3 2 IT-incidenter, hot och hotmiljöer... 3 2.1 Terminologi... 3 2.2 IT-incidenter som innebär angrepp... 4 2.3 Riktade angrepp... 4 2.4 Hot och hotbild... 5 2.5 Typiska hotmiljöer... 5 2.5.1 Variationer i hotbild... 5 2.5.2 Mindre organisationsnät... 5 2.5.3 Väl skyddade organisationsnät... 5 2.5.4 Större öppna nät... 5 2.5.5 Hemdatorer... 6 2.5.6 Bostadsnät... 6 3 Analys... 6 3.1 Klassindelning... 6 3.2 Analysmall... 6 4 Intrångsförsök och dataintrång... 8 4.1 Portscanning och probing... 8 4.2 Oförstörande dataintrång... 10 4.3 Förstörande dataintrång... 11 4.3.1 Förstörande dataintrång i webbserver... 11 4.3.2 Förstörande intrång i dator... 12 4.3.3 Avancerade förstörande dataintrång... 14 4.4 Dold fjärrstyrning... 15 4.5 Avlyssning av datanät... 16 4.6 Övertagande av datakommunikation... 17 4.7 Åtkomst av lösenord... 18 5 Avsiktlig störning av tillgänglighet... 20 5.1 DoS-attacker... 20 5.2 Distribuerade DoS-attacker (DDoS-attacker)... 21 5.3 Angrepp på DNS-system... 22 6 Datavirus och trojaner... 23 6.1 Datavirus... 23 6.2 E-postvirus... 24 6.3 Maskar och Internetvirus... 26 6.4 Trojaner... 27 6.5 Trojaner i standardprogram... 28 6.6 Webbtrojaner... 29 7 Civila informationsoperationer... 30 7.1 Översikt... 30 7.2 Aktionsgrupper... 30 7.3 Massaktioner... 31 7.4 Motattacker... 32 7.5 Bortkoppling... 33 8 Informationsattacker och falska varningar... 34 8.1 Informationsattacker... 34 8.2 Falska varningar... 35 9 Företagsspioneri och underrättelseverksamhet... 35 Post- och telestyrelsen 1
9.1 Företagsspioneri...35 9.2 Underrättelseverksamhet...36 10 Stöld, vandalisering och otillåtet tillträde...36 10.1 Stöld...36 10.2 Vandalisering och sabotage...37 10.3 Dataintrång genom otillåtet tillträde...38 11 Andra IT-relaterade brott...39 11.1 Översikt...39 11.2 Stöld av data och program...40 12 Militära informationsoperationer...41 12.1 Kvalificerade informationsoperationer...41 12.2 Sabotage...41 12.3 Fysiskt destruktiva informationsoperationer...41 13 Nya typer av IT-incidenter...41 13.1 Teknikrelaterade IT-incidenter...42 13.2 IT-relaterade brott...42 13.3 Användningsrelaterade IT-incidenter...42 14 Särskilda sårbarheter...42 14.1 Dominerande programvara...42 14.2 Dominerande maskinvara...43 14.3 Dominerande nätutrustning...44 14.4 Integration av programvara...44 14.5 Komplexiteten hos programvara...45 Post- och telestyrelsen 2
1 Inledning 1.1 Analyserade hot Hotbildsanalysen beskriver den aktuella hotbilden avseende IT-incidenter för datorer, datanät och datasystem. Analysen omfattar i första hand IT-incidenter som innebär angrepp. Många, men inte alla, analyserade hot avser datorer och datasystem anslutna till datanät och/eller till Internet. Hotbildsanalysen beskriver den allmänna hotbild som finns. Den beskriver inte situationen i något specifikt nät eller hos någon specifik myndighet, företag eller organisation. Hotbilden avseende IT-incidenter beror i varje enskilt fall bland annat på hur de egna näten och system är uppbyggda, vilka skyddsåtgärder som är vidtagna och vilken allmän hotbild i övrigt som finns. 1.2 Status Hotbildsanalysen beskriver hotbilden i oktober 2000. Hotbilden kan snabbt förändras inom enskilda områden. Hotbildsanalysen är preliminär, och är framtagen bland annat för att underlätta en öppen diskussion om hotbilden. Fördjupad och fortlöpande analys behövs för att förbättra och utveckla analysen. 1.3 Underlag Analysen bygger på information från ett mycket stort antal öppna internationella och nationella källor. Till de källor som utnyttjats hör information från välkända organisationer inom området (CERT/CC, SANS, NIPC m.fl.) analyser från andra aktörer inom området (anti-virusföretag m.fl.) välkända e-postlistor och sammanställningar av risker (Bugtraq m.fl.) information från IT-säkerhetsföretag information från CERT-, CSIRT- och IRT-organisationer information från arbetsgrupper, intressegrupper m.fl. inom området 2 IT-incidenter, hot och hotmiljöer 2.1 Terminologi Terminologin i denna analys följer den terminologi som används av Post- och telestyrelsen i regeringsuppdraget om förutsättningarna för att inrätta en särskild funktion för IT-incidenthantering. Beteckningen IT-incident används i denna rapport för händelser som drabbar eller påverkar IT-system (inklusive system för datakommunikation), eller där IT-system utnyttjas för angrepp, brott eller annan oönskad verksamhet Post- och telestyrelsen 3
är oönskade och oplanerade (ur ägarens, förvaltarens eller användarnas perspektiv) direkt eller indirekt medför eller kan medföra allvarliga negativa konsekvenser för ägare, användare eller andra (småhändelser ingår alltså inte) För att en händelse ska kallas en IT-incident krävs också att påverkan på eller utnyttjande av IT-systemet är en viktig del av händelsen. Händelser som utgör steg i en händelsekedja som leder fram till en faktisk ITincident, eller som utgör förberedelser för en sådan, kan också omfattas av beteckningen. Alla sådana händelser är dock inte IT-incidenter (då skulle t.ex. anskaffning av ett datasystem kunna vara en IT-incident). Begreppet IT-incidentteknik används för att beteckna sådan tekniker och metoder som används vid angrepp som medför IT-incidenter. 2.2 IT-incidenter som innebär angrepp De IT-incidenter som analyseras i hotanalysen är sådana som innebär någon form av angrepp, eller där det föreligger en avsikt bakom någon del av orsaken till händelsen. Många av dessa IT-incidenter är brott enligt svensk lag. IT-incidenter kan också vara rena olyckshändelser, som inte orsakas av någon form av angrepp eller avsiktlig handling. Sådana incidenter kan exempelvis orsakas av tekniska fel, handhavandefel, felaktigt utförd installation, dålig service eller personalbrist. IT-incidenter av detta slag analyseras inte i denna hotanalys. Såväl riktade som ej riktade angrepp i form av IT-incidenter förekommer. De riktade angreppen är avsiktligt riktade mot någon eller några organisationer, användarkategorier e.d. De ej riktade angreppen drabbar till synes slumpmässigt, men kan i praktiken vara begränsade till exempelvis användare av viss typ av utrustning, användare som tillhör en viss mängd IP-adresser, användare inom en viss domän eller något annat urval som passar angriparen. 2.3 Riktade angrepp Vissa angrepp är avsiktligt riktade mot en eller flera företag, organisationer, myndigheter eller personer. Hit hör bland annat dataintrång, avsiktlig störning av tillgänglighet, stöld och civila informationsoperationer. Skälen för angreppen varierar. Ett skäl för riktade angrepp kan vara att målet har något som angriparen vill utnyttja eller komma åt. Vid exempelvis dataintrång är angriparen vanligen ute efter en dator med en viss svaghet i skyddet, men kan också vara ute efter en dator med höga prestanda eller snabb nätanslutning. Det förekommer också att det är företaget, organisationen, myndigheten eller personen som är målet för det riktade angreppet. Sådana angrepp kan bland annat genomföras som dataintrång, avsiktlig störning av tillgänglighet eller civila informationsoperationer. Så kallad e-postbombning, det vill säga avsiktlig överbelastning av en e-posttjänst, är ett exempel på ett angrepp riktat mot en myndighet. Post- och telestyrelsen 4
Risken för riktade angrepp kan vara väsentligt större för bland annat organisationer med hög profil (stora, välkända, kända domänadresser etc) användare som har datorer anslutna till bredband i bostadsområden e.d. (angreppsrisken är stor på grund av att angriparna förväntar sig många oskyddade datorer i dessa nät) organisationer med starka fiender eller kritiker organisationer som sprider skräppost eller beter sig oetiskt på Internet 2.4 Hot och hotbild Med ett hot avses här en IT-incident eller en klass av IT-incidenter som i en given situation är möjlig, dvs skulle kunna inträffa. Med hotbild avses alla de hot som man bedömer finns mot en viss verksamhet. 2.5 Typiska hotmiljöer 2.5.1 Variationer i hotbild Hotbilden avseende IT-incidenter varierar avsevärt mellan olika miljöer. Det är stor skillnad i hotbild mellan en fristående persondator, som används för en enda tillämpning, och en server med väl känt domännamn ansluten utan skyddsåtgärder direkt till Internet. 2.5.2 Mindre organisationsnät En mindre organisation eller företag med ett lokalt nätverk har sällan resurser för att hantera IT-incidenter eller aktuell hög kompetens inom området. Typiska hot är stöld av utrustning och datavirus. Om företaget skaffar fast Internetanslutning, och ansluter sitt nätverk utan väl underhållen brandvägg, ökar hoten väsentligt. Typiska tillkommande hot är framför allt e-postvirus, dataintrång och intrångsförsök. 2.5.3 Väl skyddade organisationsnät Väl skyddade organisationsnät är vanligen skyddade med hjälp av brandväggar, sektionering, loggning och intrångsdetektering. Dessutom finns vanligen bra virusskydd. Risken för datavirus och dataintrång utifrån är därmed lägre. Typiska externa hot är e-postvirus, intrångsförsök, intrång i webbservrar och DoS-attacker (t.ex. överbelastningsattacker). I större nät utgör dessutom dataintrång inifrån det egna nätet (interna dataintrång) ett hot, oavsett hur starkt skyddet mot externa nät är. Organisationer med hög profil eller kontroversiell verksamhet löper en viss risk för massaktioner (t.ex. avsiktlig överbelastning). 2.5.4 Större öppna nät Stora öppna nät utan särskilda skyddsåtgärder utgör en speciell hotmiljö. Sådana öppna nät finns exempelvis vid vissa högskolor, universitet och skolor. Typiska Post- och telestyrelsen 5
hot är dataintrång och intrångsförsök, liksom datavirus, e-postvirus, trojaner och DoS-attacker (t.ex. avsiktlig överbelastning). De stora öppna näten innehåller ofta ett stort antal skilda datortyper, operativsystem och programvaror, varför risken för total utslagning av alla system är liten. En angripare som letar efter en viss typ av system hittar däremot ofta åtminstone någon dator att ge sig på. Mycket stora företags- eller organisationsnät kan i praktiken ha en hotbild som närmar sig den i de öppna näten, framför allt därför att antalet användare och datorer inom nätet är så stort, men också därför att det kan vara svårt att ha kontroll över alla anslutningar till nätet. 2.5.5 Hemdatorer För hemdatorer som är nätanslutna över modem och i huvudsak används för e- post och surfning på Internet är datavirus ett typiskt hot. Om användaren dessutom laddar ner program från mindre kända webbplatser är trojaner ett hot. Om hemdatorn är fast ansluten till Internet och ofta är påslagen, blir den dessutom utsatt för hot som intrångsförsök och dataintrång. 2.5.6 Bostadsnät De s.k. bredbandsnät som för närvarande byggs i bland annat bostadsfastigheter och bostadsområden, och som innebär att fast uppkopplade datorer i hemmen kopplas till IP-nät med hög kapacitet, är en ny och problematisk hotmiljö. Näten saknar ofta särskilda skydd, och de anslutna datorerna sköts inte alltid av personal som har tillräcklig kompetens för att kunna säkra datorerna. Datavirus, trojaner, portscanning, intrångsförsök, dataintrång, fjärrstyrning och bortkoppling är typiska hot i bostadsnät. 3 Analys 3.1 Klassindelning Den indelning av IT-incidenterna i klasser som används är en vidareutveckling av den klassindelning som utnyttjats av Post- och telestyrelsen i regeringsuppdraget om förutsättningarna för att inrätta en särskild funktion för ITincidenthantering. Indelningen är i första hand praktiskt inriktad. Indelningen i klasser är därför inte helt strikt genomförd, och klassindelningen är heller inte helt konsekvent. Vissa klassindelningar avser i första hand angreppstekniker, medan andra i första hand fokuserar på avsikten med angreppet eller angreppets konsekvenser. 3.2 Analysmall Följande mall används för analys av risker och konsekvenser för de olika klasserna av IT-incidenter. Post- och telestyrelsen 6
Kortfattad beskrivning av den klass av IT-incidenter som avses. En bedömning av sannolikheten för IT-incidenter av denna klass hos en normal organisation med normala användare. Skalan som används är grov. Bedömningarna är i första hand avsedda att ge en indikation om den relativa storleksordningen. Sannolikhetsbedömningarna avser ungefärlig sannolikhet för att någon ITincident av denna typ inträffar under ett år för - beroende på sammanhanget - endera av: 1. En hel organisation som har i storleksordningen 500 persondatorer/arbetsstationer, och som har Internetanslutning och egna webbservrar samt utnyttjar e-post och andra vanliga Internettjänster. Bedömningarna avser normala organisationer, som inte ingår i någon av de högriskgrupper som identifieras i analyserna. 2. En enskild dator, ett enskilt nät eller motsvarande som används normalt eller genomsnittligt i ett företag, småföretag, myndighet e.d. eller privat. 3. Den typ av system/nät e.d. som anges. Sannolikheterna anges med följande skala: Beteckning Ungefärlig sannolikhet för att någon IT-incident av denna typ inträffar under ett år mycket låg mycket ovanlig, mindre än 0,1 % låg medelhög kring 5 % kring 1 % eller mindre hög mycket hög kring 30 % eller högre inträffar flera gånger per år eller oftare Uppgift om det finns särskilda hot för vissa typer av system, vissa typer av organisationer e.d. En bedömning av hur tillförlitlig riskbedömningen och den övriga informationen är. Här anges de vanligaste konsekvenserna av denna typ av IT-incidenter, liksom en översiktlig bedömning av hur allvarliga konsekvenserna kan bli. Förslag till möjliga motåtgärder mot de aktuella IT-incidenterna. De föreslagna motåtgärderna kan vara förebyggande, upptäckande, lindrande eller återställande. Post- och telestyrelsen 7
Endast motåtgärder utöver normala skyddsåtgärder för IT-säkerhet och grundläggande motåtgärder mot IT-incidenter anges. Kommentarer Om så behövs kommenteras delar av analysen utförligare. Förväntad eller möjlig utveckling av hotet. Bedömningen är baserad på utvecklingen under den senaste tiden och avser normalt utvecklingen under de närmaste månaderna. Den historiska utvecklingen av klassens IT-incidenter beskrivs när det behövs för att förklara utvecklingen. 4 Intrångsförsök och dataintrång 4.1 Portscanning och probing Portscanning och probing (svenska termer saknas) yttrar sig som försök till uppkoppling mot utvalda portar, eller mot ett stort antal portar, på nätanslutna datorer. Avsikten med uppkopplingarna kan vara att identifiera aktiva tjänster, att hitta kända svagheter i systemen, eller att kontrollera om någon känd programvara för missbruk är installerad i datorn. Avsikten kan också vara att ta reda på vilket operativsystem e.d. som är installerat för att förbereda för intrång. En del av portscanningen kommer från datavirus/maskar som är programmerade att leta efter exempelvis öppet utdelade hårddiskar. Sannolikheten för att en dator ansluten direkt till Internet ska drabbas av portscanning eller probing är mycket hög. Datorer eller utrustning som är direkt anslutna till Internet utsätts fortlöpande för portscanning och/eller probing. Merparten av försöken kan, åtminstone tidvis, härröra från automatiserad scanning/probing från datavirus/maskar eller specialutvecklade program. Frekvensen varierar beroende bland annat på IPadress, men kan för en slumpvis vald IP-adress variera mellan något försök per dygn till flera tiotal försök per dygn. Stora eller välkända organisationer, organisationer med hög profil och organisationer som uppmärksammas av andra skäl kan utsättas för omfattande och systematisk portscanning och probing. Omfattningen av sådan omfattande scanning eller probing är svår att bedöma generellt, men kan uppgå till hundratals försök per dygn eller mer. Post- och telestyrelsen 8
Persondatorer anslutna till s.k. bredbandsanslutningar (i bostäder e.d.) kan komma att utsättas för omfattande portscanning, eftersom de kan bedömas vara mindre väl skyddade och administrerade än företagsdatorer. (Datorer som är fast anslutna till Internet är i många fall enklare eller mer tacksamma mål för angrepp än datorer som är anslutna över uppringbara förbindelser, inte minst därför att de oftast är tillgängliga under längre tid och, åtminstone under viss tid, kan adresseras med samma IP-adress.) Portscanningen medför vanligtvis i sig ingen skada, men är ofta första steget i ett intrångsförsök eller intrång. Portscanning eller probing kan medföra att larmfunktionen i brandväggen eller ett IDS (Intrusion Detection System) utlöses, vilket kan innebära merarbete för kontroll och eventuell utredning. Omfattande portscanning eller probing kan dölja angreppsförsök av mer allvarlig art. Mycket omfattande portscanning kan medföra prestandaminskning i dem utsatta datorn eller utrustningen. Brandväggar som är stängda för all trafik utom den som är nödvändig är ett grundläggande skydd mot att portscanning eller probing utnyttjas för intrång eller andra angrepp. Det finns skyddsprogram till persondatorer som har brandväggsliknande funktioner. Ett annat grundläggande skydd är att bara installera, starta eller öppna sådana tjänster, funktioner eller portar som verkligen måste finnas på datorn. Kommentarer Det finns standardprogram som - avsiktligt eller oavsiktligt - initierar kontaktförsök som liknar portscanning. Försök att dölja systematisk portscanning eller probing kan göras exempelvis genom att uppkopplingsförsöken görs från många olika adresser, med till synes slumpmässigt valda portar eller med långa intervall mellan uppkopplingsförsöken. Genom att avsiktligt göra uppkopplingsförsöken felaktiga eller ofullständiga kan vissa typer av portscanning döljas för utrustning som bara loggar eller detekterar normala uppkopplingsförsök. Allt fler hjälpmedel som underlättar eller utnyttjar någon form av portscanning utvecklas. Ett exempel är att program för dold fjärrstyrning av PC har klienter som mycket enkelt kan fås att söka igenom ett helt adressområde. Vid avsökningen provar klienten om en server svarar genom att prova en eller flera portar på varje IP-adresss inom adressområdet. Post- och telestyrelsen 9
Portscanning och probing har ökat det senaste året, och förväntas fortsätta att öka. 4.2 Oförstörande dataintrång Med oförstörande dataintrång avses här bland annat att någon olovligen utnyttjar en dator eller till exempel en användaridentitet i en dator. Dataintrång som innebär att styrdata eller dylikt ändras i den angripna datorn kallas förstörande dataintrång (se särskild avsnitt nedan). Det oförstörande dataintrånget kan göras med hjälp av användaridentiteter och lösenord som angriparen lånat eller fått av misstag. Det kan också göras med hjälp av användaridentiteter och lösenord som avlyssnats eller åtkommits på annat sätt, till exempel genom dataintrång i andra datorer. Ett exempel på oförstörande dataintrång är om anställdas anhöriga utnyttjar organisationens modempool och Internetkoppling för att surfa gratis på Internet. Ett allvarligare exempel är när någon begår ett brott med hjälp av ett dataintrång, och exempelvis utnyttjar en arbetskamrats användaridentitet för att otillåtet betala ut bidrag eller för att exempelvis ge rabatter eller på annat sätt manipulera fakturor. Sannolikheten för enklare oförstörande dataintrång torde i många miljöer vara hög eller mycket hög. Sannolikheten för oförstörande dataintrång som innebär allvarligare konsekvenser är låg till medelhög. - Oförstörande dataintrång medför i många fall endast små konsekvenser. De ekonomiska konsekvenserna av exempelvis gratisutnyttjande av tjänster eller bedrägerier kan dock bli kännbara för den organisation som drabbas. Oförstörande dataintrång kan utnyttjas för stölder eller bedrägerier med som medför mycket kännbara ekonomiska konsekvenser. Oförstörande dataintrång kan också vara ett hjälpmedel för stöld av data, företagsspioneri eller andra brott som kan medföra allvarliga konsekvenser. Kostnaderna för att vidta nödvändiga åtgärder efter det att lösenord kommit på avvägar kan i värsta fall bli betydande. Post- och telestyrelsen 10
Merparten oförstörande dataintrång görs antingen med utlånade behörigheter eller med hjälp av lösenord som stulits, avlyssnats eller åtkommits på något annat sätt. Väl skyddade lösenord (med hjälp av bland annat krypterad överföring), rutiner för byten av lösenord och säkerhetsmedveten personal minskar risken för att lösenord kommer på avvägar. Tekniska system (aktiva kort, lösenordsgeneratorer e.d.) som inte utnyttjar statiska lösenord minskar också risken. Lösenordsgeneratorer kan användas för administratörskonton för att minska risken för att lösenord som ger höga behörigheter, eller som kan användas i många datorer, kommer på avvägar. Ingen större förändring förutses. 4.3 Förstörande dataintrång Allmän beskrivning Med förstörande dataintrång avses dataintrång där angriparen avsiktligt förändrar information, styrdata, lösenord, programfiler eller annat i den angripna datorn. 4.3.1 Förstörande dataintrång i webbserver Med förstörande dataintrång i webbserver avses dataintrång där angriparen avsiktligt förändrar information i den angripna webbservern så att felaktig eller på annat sätt helt eller delvis förändrad information visas för användare av webbservern. Förstörande dataintrång i webbservrar åstadkoms normalt genom att kända fel i webbserverns programvara eller i tillhörande stödprogram utnyttjas. Sannolikheten för att drabbas av försök till förstörande dataintrång är beroende av webbserverns exponering (antal användare, typ av användare). Den är också beroende av om webbservern eller organisationen har hög profil, är kontroversiell eller har starka motståndare. För webbservrar med måttlig besöksfrekvens eller högre är sannolikheten för att utsättas för försök till förstörande dataintrång hög eller mycket hög. För den genomsnittliga webbservern är sannolikheten för att utsättas för försök till förstörande dataintrång medelhög till hög. Webbservrar med kända säkerhetsproblem är särskilt utsatta för försök till intrång. Om ett säkerhetsproblem blivit väl känt är sannolikheten för att det kommer att användas mot populära webbservrar av den aktuella servertypen mycket hög. Post- och telestyrelsen 11
Webbservern eller webbplatsen kan bli oanvändbar från och med angreppet och fram till dess att angreppet upptäckts och webbservern återställts och säkrats, vilket i praktiken kan ta flera timmar, såvida inte återställandet är planerat och övat. Beroende på hur intrånget är utfört kan det leda till större eller mindre förtroendeförlust, skadat varumärke eller minskning av goodwill. Intrång i webbservrar hos stora, välkända eller av andra skäl intressanta organisationer kan också få uppmärksamhet i massmedia. Vissa intrång i webbservrar kan möjliggöra stöld av data eller offentlig exponering av känslig information. Viktigaste motåtgärden mot förstörande intrång i webbservrar är att ha väl installerade operativsystem och väl installerade serverprogram, med alla viktiga rättelser etc installerade. Det är också nödvändigt att kontinuerligt bevaka om man upptäckt nya säkerhetshål som kräver ytterligare åtgärder eller rättelser. Kommentarer Förstörande intrång i webbservrar med utnyttjande av kända säkerhetsproblem kan automatiseras. Antalet förstörande dataintrång i webbservrar varierar, och kan vara högre den närmaste tiden efter det att ett nytt säkerhetsproblem offentliggjorts. Den långsiktiga trenden har varit att intrången ökar. 4.3.2 Förstörande intrång i dator Förstörande dataintrång i datorer innebär att angriparen skaffar sig någon behörighet i datorn. Ofta skaffar angriparen sig administratörsbehörighet (till exempel root-behörighet) och utnyttjar denna för att få kontroll över den angripna datorn. Förstörande dataintrång innebär ofta också att angriparen raderar loggar och vidtar andra åtgärder för att dölja intrånget. Det är vanligt att angriparen installerar bakdörrar till systemet som gör det möjligt för honom/henne att komma tillbaka och åter få administratörsbehörighet. Det finns idag många välkända och lätt tillgängliga automatiserade hjälpmedel för att göra intrång och därefter skaffa sig administratörsbehörighet. Det finns också vertygssamlingar ( root-kits ) för att dölja intrången och för att öppna bakvägar till systemen som möjliggör fortsatt utnyttjande av dem. Sannolikheten för att en dator som är direkt ansluten till Internet utan skyddsåtgärder ska utsättas för försök till förstörande intrång är hög eller mycket hög. Merparten av försöken innebär dock endast försök att utnyttja någon eller Post- och telestyrelsen 12
några få kända svagheter i ett specifikt program eller en särskild version av ett operativsystem. Sannolikheten för att en sådan dator ska bli utsatt för ett fullbordat förstörande intrång är bland annat beroende av installerat operativsystem och installerade program och hur dessa är konfigurerade, och kan inte anges generellt. Se dock nedan. Enstaka versioner av operativsystem, liksom vissa versioner av tillämpningsprogram som e-postservrar, och webbservrar, är särskilt utsatta för dataintrång och innehåller säkerhetsproblem som gör att intrång är möjliga om inte problemen åtgärdats. För datorer med sådana system kan sannolikheten för fullbordade dataintrång vara hög, om de är anslutna direkt till Internet utan skyddsåtgärder. Om samma operativsystem används i hela organisationen (samma version, med samma rättelser införda och installerat på samma sätt), kan ett omfattande eller automatiserat angrepp slå ut samtliga datorer. Intrången kan göras utan särskilt syfte, eller för att göra det möjligt för angriparen att utnyttja datorn (till exempel för att hoppa vidare för att försvåra spårning eller för att avlyssna datakommunikation, installera en server eller installera DoSverktyg). Intrången kan också göras för att kopiera (stjäla) data eller program för utnyttjande eller för utpressning e.d. De kan även göras för att möjliggöra avlyssning av trafiken till och från datorn eller av det nät som datorn är ansluten till. Kostnaderna för att återställa efter intrång av detta slag är relativt stora och kräver hög kompetens. Intrången i sig åstadkommer sällan stor skada, annat än om de utnyttjas för stöld av data eller andra brott eller angrepp. Intrången kan däremot medföra avsevärd förlust av goodwill (t.ex. om servrar med olagligt eller oetiskt material sätts upp hos ett företag eller en myndighet). Förstörande dataintrång kan vara en förberedelse för andra former av angrepp eller brott, som sedan kan medföra omfattande konsekvenser. Viktiga motåtgärder mot förstörande dataintrång är väl genomförd säkerhetskopiering väl installerade och underhållna operativsystem, där alla onödiga tjänster är borttagna kontinuerlig bevakning av information om säkerhetshål och rättelser Post- och telestyrelsen 13
väl skötta behörighetssystem väl valda lösenord (där sådana används) brandvägg som inte släpper in onödig trafik utifrån loggning i operativsystemen, i tillämpningsprogram och i brandväggen användning av väl underhållet IDS (Intrusion Detection System) vaksamhet mot oväntade händelser i datasystem Kommentarer Det finns automatiserade hjälpmedel för förstörande dataintrång som utnyttjar vissa kända svagheter eller fel. Sådana hjälpmedel kan utnyttjas även av relativt okunniga användare. Detta ökar avsevärt risken för intrång i dåligt installerade eller underhållna system. Antalet intrångsförsök har ökad de senaste åren, och fortsätter troligen att öka även de närmaste åren. Det är också troligt att automatiserade intrångsförsök ökar kraftigt. Det är också troligt att antalet fullbordade dataintrång fortsätter att öka. 4.3.3 Avancerade förstörande dataintrång Det sker en kontinuerlig utveckling av nya angreppsmetoder för dataintrång. Vissa av de tekniker som utvecklas är mycket avancerade och komplicerade. De utnyttjar tidigare okända fel eller svagheter i ett visst operativsystem eller annat program, eller hos en viss kombination av program. Sådana avancerade angreppsmetoder kan utnyttjas för förstörande dataintrång. Med avancerade förstörande dataintrång avses här framför allt dataintrång som utförs med tekniskt avancerade och ofta nya eller nyutvecklade metoder eller hjälpmedel. Dataintrång som görs med kända hjälpmedel eller väl känd metodik ingår inte. Det finns ingen tydlig gränsdragning mellan förstörande dataintrång och avancerade förstörande dataintrång, avsikten med denna klass är att förtydliga ett litet men inte försumbart hot. Sannolikheten för att en dator hos en normal organisation ska drabbas av avancerade förstörande dataintrång är låg eller mycket låg, om datorn är placerad bakom en väl underhållen brandvägg och i övrigt har normalt skydd. Antalet avancerade angrepp eller angreppsförsök är totalt sett litet, och de angripna datorerna är därför få. Om samma operativsystem används i hela organisationen (samma version, med samma rättelser införda och installerat på samma sätt), kan ett omfattande eller automatiserat angrepp slå ut samtliga datorer. Post- och telestyrelsen 14
na av de avancerade intrången skiljer sig inte från andra förstörande intrång. na mot avancerade eller komplicerade förstörande dataintrång är i princip desamma som åtgärderna mot andra förstörande dataintrång. Följande åtgärder kan vidtas för att förstärka skyddet: användning av IDS (Intrusion Detection System) som är inställt för att larma även vid små avvikelser från normal användning utökad och väl skyddad loggning i brandväggen loggning av all trafik (alla uppkopplingar) i nätverket ökad granskning av loggar och ökad vaksamhet mot oväntade händelser i datasystemen Kommentarer Teknikerna för avancerade förstörande dataintrång har normalt relativt begränsad livslängd, eftersom teknikerna exponeras så snart ett angrepp upptäcks. Den svaghet eller det fel som utnyttjas kan också råka upptäckas av någon tredje part som offentliggör den och därmed möjliggör upptäckt av angreppen och motåtgärder mot dem. Ingen större förändring förutses. 4.4 Dold fjärrstyrning Det finns ett antal väl utvecklade program, med vilka det går att fjärrstyra en persondator från någon annan dator, normalt utan att användaren i den styrda datorn märker det. Med hjälp av program av detta slag kan en angripare bland annat läsa av tangentnedslag, kopiera filer, installera program och avlyssna samtal (om datorn har mikrofon). Programmen består av en del ( servern ) som måste installeras i den dator som ska angripas, och en annan del ( klienten ) som används av angriparen (vid enklare angrepp körs klienten i angriparens egen dator). Installationen av fjärrstyrningsservern i den angripna datorn görs ibland som en trojan, exempelvis genom att programmet bifogas i ett spelprogram. Installationerna kan också göras genom att användaren av datorn luras att köra installationsprogrammet, som exempelvis kan vara bifogat ett e-postmeddelande och ha ett lockande namn. Sannolikheten för att få ett program för fjärrstyrning installerat i en persondator är i en normal organisation låg till medelhög. För hemanvändare som t.ex. ofta byter spelprogram och andra program med andra kan sannolikheten vara medelhög till hög. Post- och telestyrelsen 15
Många trojaner distribueras med animationer (till exempel julhälsningar) eller andra underhållande eller skämtsamma program. Detta kan komma att gälla även fjärrstyrningsprogram. Program för fjärrstyrning har fått en omfattande spridning, framför allt bland ungdomar. De kan användas för att förbereda eller underlätta intrång och andra angrepp. Viktigaste motåtgärden är att förhindra att fjärrstyrningsprogram installeras i organisationens datorer. För att förhindra installation via trojaner kan program (exekverbara filer) spärras i inkommande e-post. De flesta program för dold fjärrstyrning upptäcks av vanliga antivirus-program. Det finns också program som specifikt letar efter fjärrstyrningsprogram. Många program för fjärrstyrning utnyttjar specifika portar (olika för de olika fjärrstyrningsprogrammen) för kommunikation mellan servern och klienten, och trafiken kan lätt kännas igen eller stoppas i en brandvägg. Fjärrstyrning av en specifik dator kan utnyttja godtycklig port och kan därför vara svårare att hitta. Nya program för dold fjärrstyrning, liksom nya versioner av äldre program, utvecklas ibland. Nya program kan under en tid få en avsevärd spridning. Programmen är oftast specifika för ett operativsystem, eller en familj av operativsystem. Man kan därför förvänta sig att det kommer att utvecklas liknande program för nya operativsystem. 4.5 Avlyssning av datanät Avlyssning av datanät innebär att hela eller delar av datakommunikationen i nätet avlyssnas (kopieras) och spelas in eller lagras, vanligen i en dator. Avlyssningen kan vara selektiv, och exempelvis avse endast trafik av en viss typ eller mellan vissa adresser. Avlyssningen kan innebära att hela sessioner avlyssnas, eller att endast viss information om varje session (uppkoppling) lagras. Otillåten avlyssning av datanät görs oftast med hjälp av ett förstörande dataintrång i en nätansluten dator, där angriparen installerar programvara för nätavlyssning och lagring eller vidaresändning av den avlyssnade trafiken. Avlyssning kan också ske genom att en särskild dator (t.ex. en bärbar persondator) installeras i ett datanät. Det är vanligt att otillåten avlyssning är selektiv. Avlyssning av lokala nätsegment kan göras av användare som installerar programvara för nätavlyssning i sin egen dator. Post- och telestyrelsen 16
Avsikten med avlyssningen kan vara att få tillgång till datoradresser, användaridentiteter och lösenord för att kunna genomföra ytterligare dataintrång. Sannolikheten för att en normal organisation ska drabbas av avlyssning av datanät är låg. Sannolikheten för att en organisation som drabbats av förstörande dataintrång i någon dator också ska drabbas av avlyssning är hög. Ett datanät där alla datorer ser varandras trafik är särskilt riskabelt ur avlyssningssynpunkt. Ett exempel på ett sådant nät är ett lokalt Ethernet uppbyggt med hubbar som inte är brusande, dvs som släpper ut all trafik till samtliga portar. na av avlyssningen beror på vilka uppgifter som angriparen kommer åt. Om ett stort antal lösenord avlyssnats, kan kostnaderna för att rensa angripna datorer och byta lösenord däremot bli mycket stora (flera miljoner kronor i större organisationer). Möjligheterna till avlyssning kan minskas genom att strukturera och bygga näten med hänsyn till avlyssningsrisken. Ett exempel på förbättring är användning av switchade nät. Det är mycket svårt att upptäcka om ett nätsegment avlyssnas. En möjlighet är att kontrollera varje dator för att se om nätverkskortet körs i promiscuous mode, en annan att leta efter eventuella öppna loggfiler i datorerna. För att minska risken för avlyssning till mycket låga nivåer måste väl skött krypterad datakommunikation användas. Risken för lokal avlyssning har successivt minskat genom ökad användning av switchade eller på andra sätt skyddade nät. Samtidigt har praktiskt användbara tekniker för krypterad datakommunikation (bl.a. HTTPS för webbtrafik) fått ökad användning. 4.6 Övertagande av datakommunikation Övertagande av datakommunikation innebär att angriparen avsiktligt avlänkar, tar över eller manipulerar kommunikationen mellan en två parter. Övertagandet kan innebära att angriparen får möjlighet att utge sig för att vara en av parterna och utnyttja denna parts behörigheter eller motsvarande. Övertagandet kan också göra Post- och telestyrelsen 17
det möjligt för angriparen att manipulera kommunikationen för egen vinning eller i syfte att skada någon av parterna. Övertagande av datakommunikation kan göras genom att fånga och vidareförmedla anrop i samband med initieringen av en kommunikation. Angriparen kan på detta sätt förmedla all trafik genom sin egen dator, vilket bland annat ger möjligheter att manipulera trafiken (så kallat man in the middle - angrepp). Övertagande av datakommunikation kan också göras genom att en pågående kommunikation avlänkas till angriparen. Den kommer då att avbrytas för den ena av de ursprungliga parterna. Sannolikheten för att en normal organisation ska drabbas av övertagande av datakommunikation är låg eller mycket låg. - Övertagande av datakommunikation kan medföra konsekvenser av samma slag som oförstörande dataintrång och avlyssning. För att säkerställa att en datakommunikation inte kan tas över eller manipuleras måste metoder som bygger på kryptering användas. För att säkerställa att man in the middle -angrepp inte kan genomföras måste autenticeringen av parterna vara tillräckligt säker. Kommentarer Övertagande av datakommunikation kan göras på lägre nivå än IP-protokollsnivå, vilket i många fall medför att skyddsåtgärder på IP-nivå inte är tillräckliga. De kan också göras genom att manipulera adresstilldelning eller routing. Exempel på tekniker för övertaganden är förfalskning av ARP-svar och förfalskning av DHCP-svar. Övertagande av datakommunikation redan vid initieringen av en kommunikation kan ge möjlighet att överta datakommunikation trots att den krypteras. Ingen större förändring förutses. 4.7 Åtkomst av lösenord Otillåten åtkomst av lösenord möjliggör ett stort antal IT-incidenter (dataintrång, avlyssning av datanät, stöld av data m.m.). Åtkomst av lösenord är därför en vanlig förberedelse för eller inledning till IT-incidenter. Post- och telestyrelsen 18
Otillåten åtkomst av lösenord är möjlig genom bland annat genom att lura till sig lösenordet på olika sätt (kallas i dessa sammanhang ofta social engineering ) avlyssning av datanät för att fånga lösenord i klartext analys av krypterade lösenordsdatabaser avlyssning av krypterade lösenord i datakommunikation och analys av dessa stöld av lösenord ur inloggningsfiler, e-postmeddelanden och andra anteckningar Sannolikheten för att en normal organisation ska drabbas av otillåten åtkomst av enstaka lösenord är medelhög. Sannolikheten för att en normal organisation ska drabbas av omfattande otillåten åtkomst av lösenord är låg. Sannolikheten för att en organisation som drabbats av förstörande dataintrång i någon dator också ska drabbas av åtkomst av lösenord är hög. Lösenord som ger tillgång till många datorer eller tjänster (t.ex. gemensamma administratörslösenord) är särskilt känsliga för otillåten åtkomst. Om de lösenord som åtkommits används för förstörande dataintrång, kan konsekvenserna bli allvarliga. Lösenord som åtkommits kan också användas för att begå eller underlätta andra IT-relaterade brott (stöld, bedrägeri m.m.). Om ett stort antal lösenord kommit på avvägar, kan kostnaderna för att byta lösenord bli mycket stora (flera miljoner kronor i större organisationer). En viktig motåtgärd är att göra alla användare medvetna om risken för otillåten åtkomst av lösenord. Lösenord bör normalt inte överföras okrypterade över datanät. Lösenord bör heller inte skickas med t.ex. oskyddad e-post eller sparas okrypterade på datorns hårddisk. Se i övrigt motåtgärderna för respektive teknik/incident för att åtkomma lösenorden. Post- och telestyrelsen 19