INFORMATIONSSÄKERHETSÖVERSIKT 3/2011 18.10.2011



Relevanta dokument
INFORMATIONSSÄKERHETSÖVERSIKT 2/2011

INFORMATIONSSÄKERHETSÖVERSIKT 1/2010

EXTRA INFORMATIONSSÄKERHETSÖVERSIKT 3b/ Brister i certifikatsystem

ÅRSÖVERSIKT

LÄGESRAPPORT 1/ (5) INFORMATIONSSÄKERHETSÖVERSIKT 1/2007

INFORMATIONSSÄKERHETSÖVERSIKT

INFORMATIONSSÄKERHETSÖVERSIKT 3/2009

INFORMATIONSSÄKERHETSÖVERSIKT 1/2011

ÅRSÖVERSIKT

CERT-FI Informationssäkerhetsöversikt

Internetsäkerhet. banktjänster. September 2007

INFORMATIONSSÄKERHETS- ÖVERSIKT 2/2009

CERT-FI behandlade informationssäkerhetsfall och 34 väsentliga störningar i telenäten under första kvartalet.

Cybersäkerhetsöversikt

ÅRSÖVERSIKT

INFORMATIONSSÄKERHETS- ÖVERSIKT 3/2010

Generell IT-säkerhet

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Informationssäkerhetsöversikt

ÅRSÖVERSIKT

INFORMATIONSSÄKERHETSÖVERSIKT 2/2010

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER

IT-säkerhet. Vårdval Fysioterapi Joakim Bengtzon IT-säkerhetsansvarig Landstings IT Tel:

E-lön. Beskrivning av tjänsten

Med PrivacyKeeper kan du: Ta bort inloggningsinformation:

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

Inledning. Årsöversikt 1/2012 2

Informationssäkerhetsöversikt

3 Skadliga program 26 Virus... Förord...3 Lättläst it...7 Bokens uppbyggnad och nivåer...8 Bokens innehåll på olika nivåer...9

Offentligt. Finlands Banks och Finansinspektionens skyddade e-post: anvisning för utomstående användare

Modul 6 Webbsäkerhet

Registrering för rapporteringstjänsten Energiapeili

Den trygga länken från nätbanken för externa tjänster

1 Registrera ett kundkonto i Befolkningsregistercentralens

Cybersäkerhetsöversikt

Webmail instruktioner

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Läs denna sekretesspolicy innan du använder AbbVies webbplatser, eller skickar personlig information till oss.

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

ANVÄNDARHANDBOK. Advance Online

FÖRHINDRA DATORINTRÅNG!

Information till domstolens aktörer

Guide för ansökan om.fi-domännamn

Det här dokumentet går kortfattat igenom registrerings- och ansökningsprocessen.

Anvisningar om skyddad elektronisk kommunikation

Anvisningar för övervakare övningsprov

Bedrägerier på nätet hur undviker du att bli blåst? Anne-Marie Eklund Löwinder Säkerhetschef,.SE E-post:

Offentligt. Finlands Banks och Finansinspektionens skyddade e-post: anvisning för utomstående användare

Använda Office 365 på en iphone eller en ipad

Lagen om dataskydd vid elektronisk kommunikation

Krypteringteknologier. Sidorna ( ) i boken

E-post på ett säkrare sätt

Grundläggande datavetenskap, 4p

Microsajt vaccinplus.se, endast speglande information i IGM godkända "snabbguiden"

Policy för användande av IT

Integritetspolicy och samtycke

SEKRETESSPOLICY. Hur vi använder och skyddar personlig information

F-Secure Anti-Virus for Mac 2015

KOMMUNIKATIONS- OCH INTEGRITETSPOLICY

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

Säkra trådlösa nät - praktiska råd och erfarenheter

tclogin.com Service Desk Tillgång till TeleComputing TCAnyWare

Statistik från webbplatser

Skapa e-postkonto för Gmail

Datasäkerhet. Sidorna i kursboken

Införande av CEREMP-systemet

WS-MATERALTJÄNSTER-CERTIFIKAT Anvisningar hur man skaffar och förnyar certifikat E-postkanalen

4. Lösenordens brister

Guide för Google Cloud Print

Bedragarens mål Att få den anställda att föra över medel eller information till bedragaren.

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

KONTORET FÖR HARMONISERING INOM DEN INRE MARKNADEN (VARUMÄRKEN OCH MÖNSTER)

Lantmäteriverket 2013

Krav på webbläsare. Manual för arbetslöshetkassorna. De webbläsare som är kompatibla med portalen är minst Internet Explorer 6.x och Firefox 2.

BDS-UNDERHÅLLET. Användarens instruktion Kommunerna

Dokument Datum Revision WEBBLÄSARE-INSTÄLLNNGAR B

ANVÄNDARHANDBOK Advance Online

Informationssäkerhetsöversikt

Säkerhetsbrister & intrång

Extern åtkomst till Sociala system

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Denna Sekretesspolicy gäller endast för webbsidor som direkt länkar till denna policy när du klickar på "Sekretesspolicy" längst ner på webbsidorna.

E-post på ett säkrare sätt. Information till domstolens aktörer. Inledning

Sekretesspolicy. för MyLyconet Website

Cipher Suites. Rekommendationer om transportkryptering i e-tjänster

Info till IT - dioevidence Nationell uppföljning inom sociala områden

Innehållsförteckning:

Policy för Internet- och e-postanvändning i N.N. församling/samfällighet/stift

DIG IN TO Administration av nätverk- och serverutrustning

Kapitel 1: Komma igång...3

VILKA PERSONUPPGIFTER BEHANDLAR VI OCH HUR ANVÄNDER VI DEM?

Office 365 MB. Innehåll. Inledning / Inställningar Outlook (e-post) Kalender Personer (kontakter)... 5 OneDrive molnet... 5.

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online.

E-post. Elektronisk post, Två huvudtyper av elektronisk post Outlook Express Säkerhetsåtgärder mot datavirus...

Insättningsuppgift via Internet Användarmanual

Genom att använda vår webbplats godkänner du att din personliga information behandlas i enlighet med denna integritetspolicy

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Trender på nätet under 2009

Transkript:

In INFORMATIONSSÄKERHETSÖVERSIKT 3/2011 18.10.2011 1

CERT-FI Informationssäkerhetsöversikt 3/2011 CERT-FI ordnar tillsammans med Försörjningsberedskapscentralen och VTT en workshopserie som behandlar informationssäkerheten inom industriautomation. Inledning Ett dataintrång i det nederländska certifikatföretaget Diginotars system avslöjades i slutet av augusti. Den som stod bakom intrånget lyckades skapa flera certifikat för olika domännamn och www-adresser. Certifikat som beviljats utan tillstånd kan användas för att spionera på SSLkrypterade förbindelser, kapa förbindelser eller för nätfiske med hjälp av falska webbplatser. Inkräktaren hade sannolikt tillträde till systemet i flera månader innan intrånget upptäcktes. Forskare i informationssäkerhet presenterade i september en teknik med vars hjälp man kan kapa en www-session som krypterats med HTTPS-protokoll. Utvecklaren har döpt metoden till BEAST (Browser Exploit Against SSL/TLS). Genomförandet av en attack förutsätter att flera villkor uppfylls samtidigt, vilket delvis minskar risken. I de skadliga programmen Zeus och Torpigs definitionsfiler har man hittat uppgifter om flera finländska banker. Att uppgifter dyker upp i skadliga program indikerar ofta att man inom den närmaste tiden kommer att försöka använda dem till att kapa förbindelser eller information. Dessutom har man försökt stjäla nätbankskoder för att göra olagliga kontotransaktioner med hjälp av phishing-webbplatser. Den andra generationens mobilnät (GSM) är fortfarande föremål för försök att bryta krypteringen. Förutom i talförbindelser har intrång gjorts även i GPRSdataförbindelser. Övergången till tredje generationens nät är det enklaste sättet att avvärja hoten om intrång. Processen med att byta ut RSA SecurIDtokens pågår fortfarande i Finland. En del utrustning byts ut först under första hälften av 2012. 2

Inkräktaren i Diginotars system skapade SSL-certifikat utan tillstånd I slutet av augusti avslöjades det att SSLcertifikat hade skapats för Googles tjänster på falska grunder. Med hjälp av certifikaten konstaterar webbläsare att webbplatser är äkta. Identifieringen baserar sig på en förtroendekedja där webbläsare litar på en begränsad mängd rotcertifikat och vidare på de webbplatsspecifika certifikat som innehavarna av rotcertifikat beviljat. Det visade sig att det nederländska certifikatföretaget Diginotars system blivit föremål för intrång och att inkräktaren lyckats skapa flera certifikat för olika domännamn och webbadresser. Nederländernas myndigheter övertog Diginotars verksamhet efter att dataintrånget avslöjades. Efter det har företaget försatts i konkurs och verksamheten lagts ner. Programuppdateringar för webbläsare och operativsystem har lanserats, och i dem har Diginotars certifikat raderats från förteckningen över tillförlitliga certifierare. Även andra certifierare har varit föremål för dataintrång Under 2011 har även andra dataintrång i företag som beviljar certifikat avslöjats. Gärningsmannen bakom dataintrånget i Diginotar har uppträtt med signatur i offentligheten. I dataintrånget i bolaget Comodo som avslöjades i mars 2011 hamnade en underleverantörs användar-id i en utomståendes händer. Inkräktaren kom inte åt själva certifikatsystemet men lyckades själv skapa certifikat. De skapade certifikaten upptäcktes dock snabbt, och företaget informerade genast om fallet. I juni 2011 uppdagades ett dataintrångsförsök i certifieraren Startcoms system. Enligt offentliga uppgifter misslyckades försöket. Gärningsmannen bakom intrånget i Diginotars servrar meddelade efter att intrånget upptäckts att man även gjort intrång i bolaget Globalsigns system, vilket resulterade i att företaget slutade bevilja certifikat så länge undersökningen pågick. Inom loppet av några dagar blev det klart att endast företagets webbservrar varit föremål för intrång, och således kunde Globalsign fortsätta verksamheten normalt. Man kan spionera på eller bedra användare med falska certifikat Med ett falskt certifikat kan man utföra en attack av typen man-in-the-middle (MitM) och kapa förbindelsen mellan en tjänst och dess användare. Då måste attackeraren ha kontroll över nätinfrastrukturen eller namnservern eller alternativt måste attackeraren befinna sig i samma lokalnät som offret. Till exempel öppna WLAN-nät kan utgöra en lämplig miljö för attacker. Användare kan även luras till en adress som leder till en falsk webbplats och ett falskt certifikat genom att manipulera namntjänsten. På webbplatsen som verkar äkta kan man sedan fiska efter användaruppgifter, såsom användar-id och lösenord. Enligt vissa bedömningar har olagligt skapade certifikat använts för att observera iranska internetanvändares telekommunikation. Metoden BEAST utvecklades för att bryta TLS-protokollets kryptering Forskare i informationssäkerhet presenterade i september en teknik med vars hjälp en utomstående person kan kapa en www-session som krypterats med HTTPSprotokoll. Metoden döptes av upptäckarna till BEAST (Browser Exploit Against SSL/TLS). De tidigare presenterade attackerna mot SSL/TLS-protokoll har främst baserat sig på förfalskning av servercertifikat och attacker mot trafiken av typen man-in-themiddle. Till skillnad från dessa går BEAST ut på att bryta krypteringen av protokollet och kapa HTTPS-sessionsspecifika sessionskakor (session cookie). 3

Flera randvillkor måste uppfyllas för att attacken ska lyckas En lyckad BEAST-attack förutsätter att attackeraren lyckas föra in egen programkod i offrets webbläsare. Med hjälp av den genererar attackeraren stora mängder känd trafik som kan utnyttjas för att bryta krypteringen. Dessutom förutsätts att attackeraren kan lyssna på det attackerade objektets nättrafik. Med hjälp av en BEAST-attack kan man endast komma åt www-förbindelser som använder version 1.0 av TLS-protokollet. Vid attacken utnyttjas sårbarheter i protokollets blockkryptering, och således kan man skydda sig mot attacker genom att i stället använda till exempel RC4- flödeskrypteringsalgoritmen. Då måste både webbläsaren och servern stödja den använda algoritmen. De förhållanden som genomförandet av en attack kräver begränsar i praktiken rätt effektivt möjligheterna att tillämpa metoden. Fallet har ändå lett till att informationssäkerhetsorganisationerna nu överväger att ersätta det allmänt använda protokollet TLS 1.0 med säkrare alternativ. Det är emellertid svårt att snabbt övergå till den nyaste versionen TLS 1.2, eftersom flera webbläsare och serverprogram fortfarande saknar stöd för denna version. Som en kortsiktig lösning har servertillverkare lanserat uppdateringar för servrar genom vilka BEAST-attacker kan avvärjas även med den nuvarande TLS-versionen. CERT-FI har även publicerat en Tietoturva nyt!-artikel om BEAST-attacker 27.9.2011. Finländska nätbanker föremål för skadliga program Under sommaren fick CERT-FI kännedom om att adresser till flera finländska nätbanker förekom i definitionsfilerna i de skadliga programmen Zeus och Torpig. Att en viss webbplats dyker upp i definitionsfiler kan indikera att det skadliga programmet senare kommer att användas för att komma åt information. De skadliga programmen styrs med hjälp av en krypterad definitionsfil som sparats i datorn. Från filen får det skadliga programmet information om de wwwadresser från vars webbläsartrafik information ska stjälas. Förutom att stjäla information kan de skadliga programmen även föra in eget innehåll direkt i wwwsessioner. På detta sätt kan de även komma åt sådan information om användaren av den smittade datorn som inte annars efterfrågas. Finländska nätbanksplatser i de skadliga programmen Zeus och Torpigs definitioner I mitten av juli fick CERT-FI ett meddelande om kränkning av informationssäkerheten genom fiske efter nätbankskoder. När en kund loggade in i nätbanken hade programmet exceptionellt bett kunden ange flera tiotals engångskoder samtidigt. Inom kort meddelade två andra nätbanksanvändare om motsvarande försök till nätfiske. Det uppstod misstankar om att ett nytt skadligt nätfiskeprogram aktiverats. CERT-FI fick möjlighet att undersöka datorn som ett av nätfiskeoffren använt. Trots det uppdaterade antivirusprogrammet hade en tidigare okänd version av det skadliga programmet Zeus lyckats ta sig in i datorn. Zeus är ett allmänt utbrett skadligt program som stjäl information. Via en smittad dator stjäl programmet personliga certifikat och lösenord som sparats av programmen, till exempel från FTP-program, Internet Explorer och Outlook. Dessutom kan det skadliga programmet stjäla uppgifter som till exempel matats in i webblanketter via flera olika webbläsare. Undersökningen avslöjade inte när och hur det skadliga programmet tagit sig in i datorn. Av det skadliga programmets definitionsfil framgick det dock att programmet hade skräddarsytts för att spionera på användare av finländska banker. I definitionsfilen uppräknades åtta finländska nätbanker, och syftet var att stjäla bankkoder av deras kunder. 4 Torpig är ett annat skadligt program som stjäl information av användare. Även i

Torpigs definitionsfiler upptäcktes i slutet av augusti delar som styr det skadliga programmet att samla in uppgifter som matats in på en finländsk nätbanks webbplats. Enligt tillgängliga uppgifter har antalet smittofall orsakade av det skadliga programmet Torpig inte tills vidare ökat märkbart i Finland. Värvade mulor förmedlar stulna pengar till brottslingar Förutom smittade datorer behöver brottslingar lokala penningförmedlare, dvs. ett nätverk av mulor. Förmedlarna överför de medel som stulits med hjälp av de fiskade bankkoderna till brottslingarnas konton. Som lön får mulorna behålla en liten andel av de överförda medlen. Penningmulorna värvas i målländerna i allmänhet per e- postmeddelanden i vilka mottagaren erbjuds lätt och lukrativt deltidsarbete. Det är kriminellt att fungera som penningmula. Förberedelser mot hoten genom samarbete I samband med utredningen av fallen utbytte CERT-FI information med parter som ansvarar för bank- och försäkringssektorns informationssäkerhet bland annat vad gäller metoder genom vilka bankerna via sina egna nätbanksservrar kan identifiera att en kunds dator smittats av ett skadligt program och förhindra olagliga penningöverföringar. Dessutom förmedlade CERT-FI ett prov på det skadliga programmet Zeus till virusbekämpningsföretag. Några dagar efter att provet lämnats kunde de flesta antivirusprogram identifiera och avvärja ifrågavarande version av det skadliga programmet. Det är oklart hur långt den version av det skadliga programmet som upptäcktes i juli har spridit sig. Man måste dock utgå ifrån att det finns minst hundratals om inte rentav tusentals smittade datorer. Nya nätfiskemeddelanden under hösten I september spreds per e-post länkar till webbplatser, genom vilka man strävade efter att göra intrång på finländska nätbanksanvändares konton. Webbplatserna som är rätt noggranna kopior av äkta nätbankssidor frågade efter användar-id:n och lösenord för inloggning i nätbanken samt bekräftelsekoder för kontoöverföringar. Sidornas beteende antydde att det åtminstone i några fall handlade om attacker av typen man-in-the-middle, där brottslingen följde upp trafiken i realtid och strävade efter att göra olagliga kontoöverföringar med hjälp av de koder som användaren lämnat. De e-postmeddelanden med vilka användarna lockades till den falska webbplatsen var skrivna på dålig finska, men själva webbplatserna såg äkta ut. Därför var det möjligt att lura användarna. Föremål för nätfisket var åtminstone kunder hos Nordea och Andelsbanken. Mobiltelefoninätens säkerhet föremål för undersökningar I den förra informationssäkerhetsöversikten berättade vi att algoritmen A5/1 som används för att kryptera GSM-samtal kan brytas i vissa fall. Till följd av det fortsatta intresset för andra generationens mobiltelefonnät (GSM) undersöker de europeiska teleoperatörerna för närvarande hur 2G-nätens säkerhet kunde förbättras. De finländska teleoperatörerna lär inte planera några större ändringar i 2G-näten. Användarna håller redan på att gå över till 3G-nät där dessa säkerhetsproblem inte förekommer. Även GPRS-datakommunikation och Tetra-nät föremål för undersökningar Informationssäkerhetsforskningen inom mobiltelefoni fokuserar på nya objekt. Krypteringsalgoritmen GEA/1 som används för att skydda GPRS- 5

datakommunikationen i GSM-nät har delvis brutits. Krypteringen genomförs på ett sätt som kan brytas algebraiskt. Därför behövs inga i förväg kalkylerade så kallade regnbågstabeller (rainbow tables) såsom vid brytning av A5/1. Det gäller att komma ihåg att en del av operatörerna inte krypterar GPRSkommunikation överhuvudtaget. Därför borde användare av nätet kryptera datakommunikationen på applikationsnivå eller med krypterade VPN-förbindelser. Samma parter som tagit fram program med öppen källkod för undersökning av GSM-nät och brytning av krypteringen har även lanserat verktyg för undersökning av GRPS-kommunikation. Man undersöker även aktivt Tetra-näten som används i myndighetsnät och eventuella säkerhetsbrister hos dem. Därför är det viktigt att använda punkt-till-punkt kryptering i Tetra-terminaler. Bytet av RSA:s SecurIDutrustning pågår fortfarande i Finland RSA, som blev föremål för dataintrång i mars, meddelade i juni att RSA SecurIDtokens byts ut mot nya. Enligt CERT-FI:s kortfattade enkät är bytesprocessen ännu inte slutförd i Finland. En del tokens byts ut först under första hälften av 2012. För en del kunder är bytesprocessen avgiftsbelagd och kan kräva åtgärder av organisationen som använder utrustningen. Huruvida bytet av utrustning är avgiftsbelagt beror bland annat på mängden utrustning och dess giltighetstid. Informationssäkerhetsworkshopar för industrin inleddes I september ordnades den första informationssäkerhetsworkshopen för industriautomation vid Kommunikationsverket. Syftet med projektet, som ordnas av Försörjningsberedskapscentralen, VTT och CERT- FI, är att utveckla informationssäkerheten inom industrin. Målgruppen för projektet är aktörer inom industrin i Finland, såsom ingenjörer som ansvarar för automationen i produktionsanläggningarna och tjänstemän som ansvarar för anskaffningen av systemen. Workshopar ordnas till slutet av 2012. Informationssäkerheten för program med öppen källkod förbättras Det finländska testningsföretaget Codenomicon Oy testar program med öppen källkod i sitt projekt CROSS. CERT-FI har samordnat korrigeringen av de programsårbarheter som upptäckts i projektet. De senast korrigerade sårbarheterna anknyter till hanteringen av routningsprotokollen BGP och OSPF i routningsprogrammet Quagga. Protokollet BGP (Border Gateway Protocol) används som webbroutningsprotokoll, medan protokollet OSPF (Open Shortest Path First) är avsett för routning i lokalnät. De fem korrigerade sårbarheterna kan leda till störningar i IPv4- och IPv6- routningar och därigenom till avbrott i trafiken. En del av sårbarheterna kan i teorin leda till att trafiken dirigeras enligt attackerarens avsikter. Utnyttjandet av sårbarheterna kan kräva en existerande BGPgrannrelation mellan målsystemet och attackeraren. CERT-FI samordnade korrigeringarna av sårbarheterna i programmet Quagga även under 2010. Smittofallen orsakade av botnätet Rustock minskar Botnätet Rustock som skickar ut skräppost nedlades i mitten av mars tack vare Microsofts åtgärder. Microsoft tog över botnätets kommandoservrar och började samla in observationer av smittade datorer. CERT-FI har fått tillgång till uppgifterna som gäller Finland och har förmedlat uppgifter om de datorer som ingått i botnätet till operatörerna. 6

Av följande figur framgår hur antalet smittade datorer minskat under året. För jämförelsens skull har även de observationer av det skadliga programmet Conficker som CERT-FI fått kännedom om tagits med i figuren. Populationerna förefaller att vara separata högst en handfull datorer har smittats av respektive skadliga program. Statistik CERT-FI kontakter per kategori 1-9/2011 1-9/2010 Change Intervju 94 73 + 29 % Sårbarhet eller hot 120 148-19 % Skadligt program 1873 2670-30 % Rådgivning 327 330-1 % Beredning av attack 48 32 + 50 % Dataintrång 66 80-18 % Blockeringsattack 50 32 + 56 % Övriga informationssäkerhetsproblem 56 49 + 14 % Social engineering 168 216-22 % Total 2802 3630-23 % 7

8

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss