INFORMATIONSSÄKERHETS- ÖVERSIKT 3/2010



Relevanta dokument
INFORMATIONSSÄKERHETSÖVERSIKT 1/2010

INFORMATIONSSÄKERHETSÖVERSIKT 3/2009

ÅRSÖVERSIKT

INFORMATIONSSÄKERHETSÖVERSIKT 3/

CERT-FI Informationssäkerhetsöversikt

Internetsäkerhet. banktjänster. September 2007

INFORMATIONSSÄKERHETS- ÖVERSIKT 2/2009

INFORMATIONSSÄKERHETSÖVERSIKT 2/2011

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Vid problem med programmet kontakta alltid C/W Cadware AB på telefon

INFORMATIONSSÄKERHETSÖVERSIKT

Manual för fjärrinloggning

DIG IN TO Nätverkssäkerhet

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER

LÄGESRAPPORT 1/ (5) INFORMATIONSSÄKERHETSÖVERSIKT 1/2007

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

ANVÄNDARHANDBOK. Advance Online

Advoco NetPBX Advoco Mi

F-Secure Mobile Security. Android

WebOrderInstallation <====================>

F-Secure Anti-Virus for Mac 2015

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Data Sheet - Secure Remote Access

om trådlösa nätverk 1 I Om trådlösa nätverk

Särskilda avtalsvillkor för tjänsten Elisa Kirja

Installera SoS2000. Kapitel 2 Installation Innehåll

Integritetspolicy SwedOffice.se

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Installationsanvisning - Kopplingen mellan GK96 och golf.se -

Datorer finns överallt, men kan man lita på dem?

Instruktion: Trådlöst nätverk för privata enheter

Uppkoppling med Pulse Secure och Symantec VIP Access

Många företag och myndigheter sköter sina betalningar till Plusoch

SNABBGUIDE TILL LÄRANÄRA

TIDOMAT Mobile. Introduktion

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

1 Installationsinstruktioner

Instruktion: Trådlöst nätverk för privata

ÅRSÖVERSIKT

Viktigt! Läs igenom hela anvisningen innan du påbörjar inloggningen för första gången.

Handbok för Nero ImageDrive

DATA CIRKEL VÅREN 2014

Använda Office 365 på en iphone eller en ipad

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Visma Proceedo. Att logga in - Manual. Version 1.3 /

Installation och aktivering av Windows 7

Råd& Rön Eftertryck, helt eller delvis, är förbjudet.

SeniorNet Huddinge Öppet Hus

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Antivirus Pro Snabbguide

Skicka SMS/e-post påminnelser från Microsoft Excel

Grattis till ett bra köp!

Så delar du filer. utan att bli övervakad LAJKA-GUIDE

Guide för Google Cloud Print

Uppdatera Mobilus Professional till version * Filen MpUpdate.exe får inte köras när du startar denna uppdatering.

Din manual NOKIA

Bedragarens mål Att få den anställda att föra över medel eller information till bedragaren.

Molnplattform. Version 1.0. Användarhandbok

Krav: * Filen MpUpdate.exe får inte köras när du startar denna uppdatering.


Startanvisning för Bornets Internet

Välkommen som anställd till Malmö högskola

Dyna Pass. Wireless Secure Access

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

KARLSBORGS ENERGI AB FIBER INSTALLATIONSHANDBOK REV

Kapitel 1: Komma igång...3

Handbok för Din Turs mobila tjänster - för äldre mobiler som inte är smartphones

Datum Den första bilden i installationsprogrammet visar vilken version det är. Klicka på Nästa eller tryck Enter för att fortsätta.

Innehåll. UFörutsättningar för att använda tjänsten distansåtkomst U 1

FIBER INSTALLATIONSHANDBOK VERSION 1.0. Felanmälan och support nås på Alla dagar 08:00-22:00

Cybersäkerhetsöversikt

Connection Manager Användarhandbok

WEBBAPPLIKATION 4.1. Centralen för utredning av penningtvätt. Sida 1 / 6 REGISTERING GUIDE. APPLIKATION: 2014 UNODC, version

Installera din WordPress med 9 enkla steg

EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

Generell IT-säkerhet

Instruktion för användande av Citrix MetaFrame

1.1 Allt innehåll i Tjänsten, såsom grafik, bilder, logotyper och mjukvara omfattas av Leverantörens eller tredje mans upphovsrätt.

Kontorsinstallation av SDCs insändningsprogram Sender för filer från skördare, skotare eller drivare

ADOBE FLASH PLAYER 10.3 Lokal inställningshanterare

Lathund för BankID säkerhetsprogram

REGISTRERA/BESTÄLLA ANSLUTNING

Västerviks kommuns E-portal

Offentligt. Finlands Banks och Finansinspektionens skyddade e-post: anvisning för utomstående användare

Innehållsförteckning:

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

Anslut till fjärr-whiteboard

Regler för användning av skoldatanätet i Vaxholms stad.

Dialect Unified. Användarmanual mobilapplikation ios


Teknisk manual. För LOV utförare Upplands-Bro kommun Reviderad:

1 Installationsinstruktioner

Sidnr 1 (9) Security. Tjänsten är tillgänglig för Kundens Användare dygnet runt, året om undantaget tid för Planerat underhåll.

Anvisningar för inkoppling till Mikrodataåtkomst vid SCB

Välkommen som användare av medietekniks och informatiks publika studentserver

Handledning i informationssäkerhet Version 2.0

Transkript:

INFORMATIONSSÄKERHETS- ÖVERSIKT 3/2010 1

CERT-FI informationssäkerhetsöversikt 3/2010 Inledning Sommaren 2010 upptäcktes det tekniskt avancerade virusprogrammet Stuxnet. Det är ett program som kan påverka programmerbara styrsystem inom industrin och har redan hunnit sprida sig långt. Man känner inte till att Stuxnet verkligen skulle ha lyckats skada någon industrianläggnings system. Målet för virusprogrammet, vem som planerat det och vem som sprider det vet man inte heller, men enligt vissa bedömningar kan det handla om sabotage. På Facebook har man påträffat de första finskspråkiga skadliga länkarna, som syftat till att lura användarna att beställa en avgiftsbelagd sms-tjänst. De som fallit offer för bedrägeri har dock inte åsamkats kostnader. Ett nytt verktyg har utvecklats för missbruk av nätbanksförbindelser. Med hjälp av programmet, som används med mobiltelefon, kan kriminella komma åt sms som skickats för certifiering av uppdrag. Det finns också personer som med hjälp av nätscanning söker VoIP-telefonväxlar som kopplats till Internet. Via en dåligt skyddad växel kan man vidarekoppla samtal utan lov, vilket kan stå växelns ägare dyrt. Aktivister har riktat blockeringsattacker mot upphovsrättsorganisationernas webbsidor. CERT-FI har medverkat i reparationer av flera allvarliga programsårbarheter och projekt för att samordna kontrollerad publicering. Oreparerade programsårbarheter utnyttjas allmänt för virusattacker. 2

Det skadliga programmet Stuxnet har brett ut sig till industriautomationssystem I juni 2010 fick CERT-FI höra om de första observationerna av ett nytt slags virus som riktar sig främst till industriautomation. Programmet kallas Stuxnet och har allmänt karakteriserats som det mest sofistikerade skadliga programmet som hittills påträffats. Det som gör Stuxnet exceptionellt är att det kan påverka programmerbara styrsystem (Programmable Logic Controller, PLC) som används i processtyrningssystem. Med programmet vore det möjligt att t.ex. orsaka störningar i kraftverk eller anläggningar inom processindustrin. Stuxnet drar fördel av flera sårbarheter Stuxnet tar fasta på flera olika programsårbarheter. Det sprider sig via två sådana programsårbarheter i operativsystemet Windows som fortfarande är oreparerade. Därtill nyttjar det två andra oreparerade sårbarheter över vilka det utvidgar sin behörighet ända upp till systemadministratörsnivå. Kombinationen av fyra oreparerade sårbarheter i samma virusprogram är exceptionell. Stuxnet-viruset sprider sig främst över USB-minnesstickor genom att nyttja den sårbarhet som förknippas med genvägsfiler i operativsystemet Windows. Därtill kan det sprida sig även i lokalnät genom en sårbarhet i utskriftstjänsten eller samma sårbarhet i RPC-tjänsten, över vilken även Conficker-masken breder ut sig på Internet. Microsoft reparerade sårbarheten i anslutning till genvägslänkar i en extra programuppdatering som publicerades i början av augusti. När det gäller sårbarheten i utskriftstjänsterna publicerades en korrigering i september. RPC-sårbarheten åtgärdades redan år 2008. Stuxnet är inriktat på ett visst system När Stuxnet slagit sig ner i en dator söker det upp programpaketet Siemens SIMATIC PCS7, som används för processtyrning. Viruset riktar främst in sig på planerings- och 3 projekteringsprogrammet, vars databas det kommer åt på grund av ett planeringsfel i systemet. Genom att undersöka informationen i databasen försöker Stuxnet fastställa om den aktuella terminalen är ansluten till industrianläggningen som är mål för attacken. Det gör den genom att jämföra projekteringsdokumenten i databasen med sådan information om det utsedda målet som Stuxnet känner till. Efter kontaminationen kontaktar Stuxnet en kommando- och kontrollserver på Internet och förmedlar primärinformation om den utsatta datorn till servern. Programmet kan också ladda fler körbara programfiler på datorn. Viruset har även rootkit-egenskapen, som gör att det kan gömma sig i datorn efter kontaminationen. Stuxnet har spridit sig till åtminstone över 100 000 datorer, men det aktiveras inte om datorn inte har vissa program och rätta specifikationer. Därför har man dragit slutsatsen att programmet kan ha utvecklats för att påverka någon viss process eller industrianläggning. Stuxnet har följder även utanför datorn Effekterna av de hittills påträffade skadliga programmen har varit begränsade till det smittade datasystemet. Stuxnet kan däremot slå ut processer även utanför datorn. Om programmet upptäcker att datorn används för att programmera vissa slag av programmerbara styrsystem som tillverkas av Siemens, kan det ta beslag på dessa programmeringsgränssnitt och ersätta en del av PLC-styrsystemets kommandon med egna. Stuxnet kan också administrera datatrafiken mellan programmet och styrsystemet och på det sättet dölja de gjorda ändringarna. Stuxnet kan alltså betraktas som det första rootkit-viruset för PLC-styrsystem.

Väl utforskat virus Under de senaste månaderna har flera organisationer undersökt Stuxnetprogrammet och hur det fungerar. Av större intresse är huruvida man kan spåra utvecklarna och dem som sprider programmet. Det kunde ge en hänvisning om programmets egentliga mål. Eftersom Stuxnet tekniskt sett är ett särskilt avancerat virus, kommer det antagligen att stå som modell vid utvecklandet av andra skadliga program. Dessutom kan Stuxnets programkod kopieras för andra skadliga program som syftar till olika ändamål. Observationer även i Finland Även i Finland har enskilda fall av Stuxnet-viruset påträffats. Enligt de uppgifter som CERT-FI har fått har inga system för industriautomation vållats skador. Händelser i anknytning till Stuxnet 17.6.2010: VirusBlokAda, ett företag i Vitryssland som är inriktat på virusbekämpning, hittade ett nytt program som bygger på sårbarheten i länkade filer i Windows. Viruset fick senare namnet Stuxnet efter namnet på en katalogfil i programkoden 15.7.2010: De flesta antivirusprogrammen kunde identifiera Stuxnet i mitten av juli. 16.7.2010: Microsoft publicerade ett meddelande om sårbarheten som Stuxnet sprider sig längs: "Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)" 20.7.2010: Symantec började följa upp virusets kommandotrafik från kontaminerade datorer till kommandoservern. 2.8.2010: Microsoft publicerade programuppdateringen MS10-046, som reparerade sårbarheten i anknytning till Windows länkfiler. 6.8.2010: Stuxnet-virusets förmåga att påverka programmerbara styrsystem inom industriautomation offentliggjordes. 14.9.2010: Microsoft publicerade programuppdateringen MS10-046, som reparerade sårbarheten i anknytning till utskriftstjänster. Välinriktade attacker drar fördel av oreparerade sårbarheter Så kallade 0-day-sårbarheter, dvs. sådana sårbarheter för vilka ingen korrigering har publicerats, utnyttjas också vid andra målinriktade attacker som är mindre avancerade än fallet Stuxnet. Under de senaste månaderna har oreparerade sårbarheter påträffats förutom i Adobes och Microsofts produkter även i kärnan av operativsystemet Linux. Under det tredje kvartalet har virusattacker baserade på sårbarheter i bland annat Adobe Acrobat- och Readerprogram samt i Microsofts Windows operativsystem och ASP.net använts. Programtillverkarnas publiceringsscheman nyttjas för missbruk Tidpunkterna för programuppdateringar har ofta offentliggjorts i förväg, och t.ex. Microsoft publicerar sina uppdateringar i allmänhet en gång i månaden. Genom att publicera sårbarheter och metoderna för att utnyttja dessa strax före programtillverkarnas uppdateringar vill kriminella säkerställa en så lång användningstid som möjligt för missbruket. När en publikation schemaläggs strax före en uppdatering har programtillverkaren ingen tid att reparera sårbarheten. Om sårbarheten utnyttjas i stor utsträckning eller på annat sätt är allvarlig, kan det hända att programtillverkaren blir tvungen att publicera en extra programuppdatering utöver den vanliga rytmen. Inte alla attacker innebär nya sårbarheter Det är svårare att hitta hittills okända sårbarheter än att tillämpa kända och redan tidigare publicerade attackmetoder. Därför görs en del av attackerna alltjämt med utgångspunkt i en redan känd sårbarhet. En målinriktad attack genomförs vanligtvis i form av ett e-postmeddelande med förfalskat avsändarfält. I filen som bifogats meddelandet ingår ett program som använder en relativt ny eller tillsvidare oreparerad sårbarhet. 4

Satsningar på trovärdighet Vid en målinriktad attack försöker man på många olika sätt väcka mottagarnas intresse och vinna deras förtroende. Listan på mottagare är ofta synlig för alla, och antalet mottagare är inte särskilt stort. Innehållet i meddelandet görs så trovärdigt och intressant som möjligt. Meddelandet kan t.ex. innehålla en möteskallelse eller en publikation som relaterar till målföretagets bransch. Syftet med målinriktade attacker är inte att göra systemet till en slav för botnätet utan att komma åt datainnehållet i systemet. Bedrägerier på finska i sociala nätverkstjänster På Facebook har man även påträffat finska viruslänkar. I början av oktober spreds en länk där man lockade folk att titta på en videoinspelning. För att se videon skulle användarna först starta Facebook-tillämpningen, som spred länken vidare till andra användare. Därefter styrdes användarna till en sida där de uppmanades skriva in sina mobiltelefonnummer. Registreringen av telefonnumret tolkades som en beställning av en sms-tjänst, men avtalstexten visades på sidan med försvinnande liten text. Konsumentverket och teleföretagen har kommit överens om att användarna inte faktureras för tjänster som har beställts via denna sida. Telefonversionen av Zeus-viruset kapar sms Virusfamiljen Zeus, som är specialiserad på missbruk av bankförbindelser, har utökats med en version som kapar textmeddelanden. Programmet fungerar t.ex. i Nokias telefoner med operativsystemet Symbian samt framför allt i Blackberry-telefoner, som är vanliga i USA. Det sprider sig med hjälp av en nedladdningslänk som distribueras via sms. Telefonens ägare uppmanas ladda ned och installera programmet i tron att det handlar om en säkerhetsuppdatering av telefonen. Efter installationen förmedlar programmet sms som skickas till telefonen automatiskt vidare till utomstående. Missbruket går ut på att man först frågar efter användarnamnet och lösenordet till 5 nätbankstjänsten med hjälp av ett skadligt program som datorn utsatts för och därefter loggar in i nätbanken genom att använda offrets dator som proxyserver. I nätbanken görs en olovlig transaktion för vilken nätbanken skickar en certifieringskod i form av ett sms. Viruset i offrets telefon förmedlar meddelandet vidare, varefter den som står bakom attacken kan certifiera transaktionen i nätbanken med hjälp av koden. Telefonviruset kan i viss omfattning även styras på distans genom textmeddelanden. Dessa syns inte i telefonen. Det är bra att komma ihåg att man även bör se över säkerheten i datortelefoner om sms används för certifiering av uppdrag i nätbankstjänster. Säkerheten hos IP-telefonväxlar bör ses över Även VoIP-telefonväxlar som kopplats till Internet utsätts för angreppsförsök. CERT- FI har fått kännedom om fall där finländska organisationers växlar har knäckts och utlandssamtal kopplats via dessa utan tillstånd. Angrepp mot växlar börjar med nätscanning där man söker vilka telefonväxlar som kan nås. Genom att pröva olika användarnamn och lösenord försöker man logga in på systemet. Om inloggningen lyckas kan man sälja växelns förbindelsekapacitet vidare. Den som gjort intrånget kan t.ex. sälja förmånliga utlandssamtal som den kapade växelns ägare blir tvungen att betala. De ekonomiska förlusterna kan bli betydande redan under en kort tid. Det är anledning att följa upp loggar som sparats i växlarnas program och begränsa åtkomsten till växlarna efter behov. Uppmärksamhet bör också fästas vid valet av lösenord. Tillräckligt långa lösenord som är svåra att gissa sig till gör det svårare att gå till angrepp mot växeln. I vissa fall har man låtit bli att byta ut de förvalda lösenorden, och då har det varit enkelt att ta systemet i besittning. Även testsystem som är avsedda för temporärt bruk bör skyddas, ifall de är uppkopplade till Internet. Blockeringsattacker från aktivister Anonyma aktivister har startat en kampanj med blockeringsattacker. Kampanjen riktar sig främst till

upphovsrättsorganisationers webbplatser. Den har publicerats i sociala nätverk och t.ex. på den populära webbplatsen The Pirate Bay. Syftet med kampanjen är att främja fri spridning av material som skyddas av upphovsrätter. Attackerna har påverkat flera stora upphovsrättsorganisationers webbplatser åtminstone i USA, Australien, Storbritannien och Holland. Det har inte kommit till CERT-FIs kännedom att attackerna skulle ha riktats till eller annars påverkat finländska webbplatser. Livligt arbete med att samordna sårbarheterna De av CERT-FI samordnade sårbarheter som publicerats under det senaste kvartalet har främst haft att göra med fel i Internets grundprotokoll. Sårbarheter har åtgärdats i OpenLDAP-katalogtjänsten, Ciscos nätverksprodukter, routrar för den öppna källkoden Quagga samt komprimeringsbiblioteket bzip2. Allvarliga sårbarheter i katalogtjänsten OpenLDAP OpenLDAP är ett populärt LDAP-protokoll som bygger på en öppen källkod. I tjänsten påträffades två sårbarheter, varav den ena kan leda till olovligt besittningstagande av systemet. LDAP (Lightweight Directory Access Protocol) är ett katalogprotokoll som används för verifiering av flera användare, men det kan även användas för att behandla uppgifter om en organisations användare, användargrupper eller andra resurser. LDAP-kataloger används också för sökning av certifikat och spärrlistor som publiceras av Befolkningsregistercentralen. Quagga kan användas för att påverka routning De sårbarheter som påträffats i routningsprogrammet Quagga hänger samman med Internets routningsprotokoll BGP (Border Gateway Protocol). Med stöd av sårbarheterna kan man ändra routningsuppgifter som påverkar vilka rutter informationen går längs över Internet. Utnyttjandet begränsas av att sårbarheter bara kan användas genom att man skapar en BGP-grannrelation i förväg för routrar i färdigt sammankopplade nät. Sårbarheter i Ciscos informationssäkerhetsanordningar I TLS-lösningarna i Ciscos ASAanordningar (Adaptive Security Appliances 6 har man upptäckt en sårbarhet som möjliggör DoS-attacker. ASA-produkter används t.ex. som brandväggar, hinder mot intrång eller för VPN-förbindelser. TLS (Transport Layer Security) är ett protokoll som bl.a. används för kryptering av HTTPS-trafik på webbläsaren. Sårbarheter påträffas alltjämt i packningsprogram I program används det effektiva packningsformatet bzip2 oftast i kombination med programbiblioteket libbzip2. Packning används t.ex. för komprimering av program och i krypteringssystemet GnuPG (GNU Privacy Guard). Dessutom kan system som undersöker datainnehållet, t.ex. antivirusprogram, öppna bzip2-paket. De upptäckta sårbarheterna kan göra att användningen av tillämpningarna förhindras och att en programkod körs i målsystemet. Risker för passering av skyddstekniker medför arbete CERT-FI samordnar och publicerar reparationer av sårbarheter som rapporteras av Stonesoft Oy i samarbete med tillverkarna. Dessa sårbarheter kan ge möjlighet att passera skyddstekniker på nätet. Ständigt nya upptäckter av Conficker-masken Det kommer hela tiden in nya uppgifter till CERT-FI om Conficker-upptäckter. Tillsvidare känner man inte till något annat om Conficker än att det är ett virus som sprids mellan datorer. Det föreligger dock en risk för att det kan ladda en skadlig kod i datorerna. Framtidsutsikter CERT-FI bedömer att det kommer att bli vanligare med välinriktade attacker. De kommer att vara ett sätt att industrispionera och skaffa information om statliga organisationer. Modellen eller programkoden i Stuxnet kommer troligen att kopieras vid nya virusattacker. På Internet har det redan i flera år funnits handelsplatser där man säljer uppgifter om oreparerade sårbarheter till den som bjuder högst. Uppgifterna kan utnyttjas t.ex. för programmering av skadliga program som syftar till att stjäla information.

CERT-FI kontakter per kategori 1-9/2010 1-9/2009 Förändring Intervju 73 78-6 % Sårbarhet eller hot 148 107 + 38 % Skadligt program 2670 1451 + 84 % Rådgivning 330 250 + 32 % Beredning av attack 32 29 + 10% Dataintrång 80 101-21% Blockeringsattack 32 63-49 % Övriga informationssäkerhetsproblem 49 82-40 % Social Engineering 216 59 + 266 % Sammanlagt 3630 2279 + 59 % 4000 3500 3000 2500 2000 1500 Q4 Q3 Q2 Q1 1000 500 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 Det ökade antalet fall av skadliga program under det tredje kvartalet beror i huvudsak på anmälningar av nya organisationer som förmedlar information om skadliga program. I fortsättningen strävar man efter att behandla en stor del av dessa fall automatiskt. 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss