Informationssäkerhetsöversikt

Informationssäkerhetsöversikt 4/2013

Inledning Det fjärde kvartalet för Kommunikationsverkets incidenthantering omfattar undantagsvis endast oktober november 2013. Nästa år ersätts CERT-FI:s informationssäkerhetsöversikter av Cybersäkerhetsöversikter av vilka den första fokuserar på perioden från december 2013 till februari 2014. I oktober november kontaktades CERT-Fi totalt 723 gånger. I likhet med alla tidigare perioder alltsedan 2006 var skadliga program den huvudsakliga orsaken till kontakterna. Under perioden tog CERT-FI emot endast fyra informationssäkerhetsanmälningar enligt Kommunikationsverkets föreskrift 9. Dessa anmälningar gällde blockeringsattacker. Enligt uppgifterna orsakade dataintrång eller sårbarheter inga betydande olägenheter under perioden. Telebolagen lämnade i oktober november till Kommunikationsverket sammanlagt 49 anmälningar om fel och störningar enligt föreskrift 57, av vilka 15 var väsentliga fel av klass A och B. Motsvarande antal under föregående period var 10. Det förhållandevis stora antalet rapporterade fel och störningar i oktober november förklaras bl.a. av stormen "Eino" som inträffade på hösten. Årets sista Informationssäkerhetsöversikt 4/2013 är indelad i fem avsnitt: betydande händelser under perioden, nya fenomen, långvariga fenomen, incidenter i det allmänna kommunikationsnätet samt det nya avsnittet Lagstiftning och tolkningar. I det nya avsnittet tar vi upp aktuell information om pågående beredning av regelverket kring informationssäkerhet och kommunikationsnät i Finland och inom EU. Bland betydande händelser under perioden granskar vi bl.a. användarens valfrihet i fråga om de allt mer internationella kommunikationstjänsterna och presenterar anvisningarna för skyddad kommunikation som Kommunikationsverket har gett ut. Avsnittet Nya fenomen handlar om det fortfarande aktuella hotet som utgörs av angrepp med skadliga program. Dessutom ingår ny information om utpressningsprogrammet Ransomware och ett omfattande angrepp mot Adobe. Avsnittet Långvariga fenomen fokuserar denna gång på rutinerna inom sårbarhetssamordningen vid Kommunikationsverket. I avsnittet Incidenter i det allmänna kommunikationsnätet redogör vi som vanligt för de incidenter som rapporterats till Kommunikationsverket under oktober november, såsom incidentanmälningar till CERT-FI, skadliga program som CERT-FI:s verktyg Autoreporter har observerat samt fel och störningar i kommunikationsnät som teleföretagen har rapporterat. Årets sista informationssäkerhetsöversikt innehåller även ett avsnitt om lagar och bestämmelser, under rubriken Lagstiftning och tolkningar. Informationssäkerhetsöversikt 4/2013 2

Betydande händelser under perioden Bättre valmöjligheter för användare av internationella kommunikationstjänster Medierapporteringen om den internationella underrättelseverksamheten har väckt frågor gällande konfidentiell kommunikation även i Finland. Sommaren 2013 genomförde Kommunikationsverket en utredning bland teleföretagen om den utländska underrättelseverksamhetens eventuella effekter på informationssäkerheten i de finländska kommunikationstjänsterna och i synnerhet konfidentiell kommunikation. Utredningen omfattade även de finländska teleföretagens utländska partner. Utifrån utredningen bedömdes underrättelseverksamheten inte ha några särskilda effekter på de finländska teleföretagens kommunikationstjänster. Det bör ändå noteras att även de finländska teleföretagens kommunikationstjänster allt oftare levereras genom multinationella arrangemang och att användarna kan köpa kommunikationstjänster även direkt från utlandet via webben. Enligt utredningen genomför ungefär en tredjedel av teleföretagen sina kommunikationstjänster helt och hållet i Finland. Finländska teleföretag kan se till att skydda kommunikationen, men utländska partner ska följa lagstiftningen i sina respektive länder. Detta kan leda till att en utländsk partner tolkar konfidentiell kommunikation på ett sätt som avviker från det som stadgas i finländska regelverk. Kommunikationsverket publicerade sina slutledningar om utredningen den 16 oktober 2013. Användarna ska ha möjlighet att välja tjänster som genomförs i såväl Finland som utlandet. Det är likväl möjligt att användarna behöver bättre information än i dag om tjänsterna för att kunna välja den tjänst som lämpar sig bäst för de aktuella behoven och vid behov ta i beaktande möjligheten att tjänsten eventuellt påverkas av utländsk lagstiftning. Mer information om detta tema finns i punkt Kommunikationsverkets tolkningar i avsnitt Lagstiftning och tolkningar. Kommunikationsverkets anvisningar om skyddad elektronisk kommunikation Användarna kan också själva bidra till att skydda kommunikationen. Kommunikationsverket gav den 16 oktober 2013 ut anvisningar om skyddad elektronisk kommunikation. I anvisningarna påminns användarna om att lagstiftningen i Finland skyddar konfidentiell information som förmedlas i finländska informationsnät, men att den inte kan garantera konfidentiell kommunikation i utländska kommunikationstjänster eller utanför Finlands gränser. I anvisningarna beskrivs bl.a. om god praxis vid elektronisk kommunikation, olika typer av internetförbindelser samt användning av kommunikationstjänster utomlands. Dessutom presenteras de risker som anknyter till de mest använda elektroniska tjänsterna samt hur användarna kan skydda sig mot dem. Informationssäkerhetsöversikt 4/2013 3

Skyddad elektronisk kommunikation hänför sig även till informationens tillförlitlighet, integritet och tillgänglighet. Dessa perspektiv tas också upp i anvisningarna. Även användarnas egen bedömning av behovet att skydda kommunikationen diskuteras. Om kommunikationen innehåller konfidentiell information, bör användaren kryptera den med en lämplig metod. Om meddelandena inte kan krypteras, ska användaren åtminstone försäkra sig om att datakommunikationsförbindelsen är krypterad. I anvisningarna beskrivs olika lösningar för kryptering av meddelanden samt på vilka sätt användarna kan ta reda på om förbindelsen är krypterad. En ny serie dataintrång avslöjades CERT-FI har bistått Helsingforspolisen vid utredningen av en ny serie dataintrång. Finländaren som varit delaktig i fallet har ingått i en internationell hackargrupp som har gjort intrång i minst 50 000 servrar i tiotals länder. Gruppen har fokuserat främst på att stjäla kreditkortsinformation. Bland de utsatta servrarna finns endast några finländska tjänster. Under våren 2013 installerade gruppen bakdörrar på tiotusentals Coldfusion-servrar med hjälp av sårbarheter i Coldfusion-serverprogrammen. En del av sårbarheterna har varit nolldagarssårbarheter vid tidpunkten för dataintrånget. Intrången riktades även på webbplatser som förlitar sig på kontrollpanelen Parallells Plesk Panel, där förövarna lyckades genomföra intrånget och ladda ned en säkerhetskopia av panelen. Säkerhetskopian har innehållit användarnamn, lösenord och individuella nyckelkoder till servern. Det har varit fråga om bl.a. information av typen SSL/TSL RSA private key. Denna information har möjliggjort mer omfattande intrång i servrarna. Gruppen har även gjort intrång i databaser med hjälp av s.k. SQL injections. På grund av den stora omfattningen av dataintrången har det varit möjligt för CERTaktörerna i olika länder att kontakta dem som utsatts för dataintrången, såsom ägarna och administratörerna av servrarna och systemen. De kontaktades utifrån materialet om dataintrången i respektive land. Genomgången av materialet pågår fortfarande. Informationssäkerhetsöversikt 4/2013 4

Nya fenomen Hotet från ATP-skadeprogram är fortfarande aktuellt Experter inom informationssäkerhet har flera gånger vid branschevenemang tagit upp det växande problemet med attacker av skadliga program av typen ATP (Advanced Persistent Threat). I början av året rapporterade informationssäkerhetsbolaget Kaspersky om de skadliga programmen Red October och Miniduke. I Finland uppmärksammades fenomenet i månadsskiftet oktober november när Finlands utrikesministeriet informerade om att det blivit utsatt för dataintrång. Intrånget i ministeriets datanät hade gjorts med en APT-attack. Eftersom det är fråga om olaglig inhämtning av statlig information har Skyddspolisen startat en förundersökning i fallet. Ofta uppdagas de första genomförda attackerna först när de har funnits i nätverket minst i flera månader. Därför är den effektivaste metoden för att förebygga skador att hantera informationen på ett klassificerat sätt och bygga upp skyddet i nätverket i djupled, som en lök där varje lager har ett bättre skydd. Kriteriesamlingen för säkerhetsauditering KATAKRI (på finska) är ett exempel på denna djupledsprincip. Tekniken i APT-attackerna utvecklas och förändras ständigt och därför måste det finnas utbyte av dagsaktuell information för att nya skadliga program och varianter av kända program ska kunna upptäckas. Som hjälp kan man använda det skadliga programmets identifikationsdata, dvs. IOC-data (Indicator of Compromise), som är ett slags fingeravtryck av programmets funktionsprinciper eller den nättrafik som det har skapat. Exempel på identifikationsdata är IP- och URL-adresser. CERT-FI upprätthåller systemet HAVARO som har utvecklats för att observera kränkningar av informationssäkerheten. En del av systemets identifikationsdata har funnits tillgängliga endast via icke-kommersiella samarbetsnätverk. Identifikationsdata kan bildas och spridas via informationssäkerhetsaktörerna på ett sådant sätt att de organisationer som utsatts för skadliga program inte avslöjas. Det viktigaste för att attackerna ska upptäckas i tid är ständig övervakning av nätverket och trafiken i det. Den som upptäcker eller misstänker en APT-attack borde kontakta både informationssäkerhetsmyndigheten CERT-FI för att få experthjälp och polisen för att utreda brottet. Som första hjälpen har CERT-FI utarbetat APT-anvisningar som lämnas till aktörer som behöver dem. APT-attacker är ett fenomen som har funnits på CERT-FI:s radar sedan 2004. De senaste fem åren har antalet observerade attacker ökat. Detta kan bero på att observationerna har blivit bättre, antalet attacker har ökat eller bägge. Genom att största delen av den information som organisationer hanterar numera lagras och förmedlas i nätverk, utgör APT-attackerna en allt allvarligare risk i fortsättningen. Informationssäkerhetsöversikt 4/2013 5

DNS-kapningar I oktober kom obehöriga över användarnamn och lösenord i Qatars domännamnstjänst. Informationen för många av de populära.qa-domännamnen ändrades så att domännamnsförfrågningar, webbsurfning och e-postmeddelanden som riktades till dem i flera timmar omdirigerades till servrar som administrerades av grupperingen Syrian Electronic Army. På grund av domännamnstjänstens uppbyggnad hade attacken emellertid långvarigare följder eftersom de ändrade uppgifterna sparades i servrarnas och datorernas cacheminnen. Enligt den tillgängliga informationen hade angriparna genom intrånget i domännamnsservern kommit över användarnamn som behövs för administrering av domännamn samt därtill hörande lösenordskondensat som hade gjort det möjligt att ta reda på en del av lösenorden. Angriparna hade använt de kapade domännamnen till att ändra adresserna för statliga och militära webbplatser i Qatar. Attacken riktades även mot Google Qatar, Facebook Qatar, Vodafone Qatar och flera andra populära adresser. Avsikten för DNS-kapningen verkar främst ha varit att sprida ett politiskt budskap från de egna servrarna och inte att göra intrång i de webbservrar som utsattes för attacken. Registreringsuppgifterna för enskilda domännamn är också lockande föremål för kapningar, eftersom de möjliggör olika former av svindel. Genom att omdirigera personer som surfar på webben till sidor med innehåll som efterliknar det ursprungliga innehållet, kan man få reda på användarnamn och lösenord. Användarna kan också omdirigeras till servrar som försöker infektera datorn med ett skadligt program. Det är också möjligt att omdirigera den e-post som anknyter till domännamnet till en önskad server och på så sätt få obehörig insyn i konfidentiell kommunikation. Redan tidigare i år har domännamnstjänster varit utsatta för dataintrång. I augusti användes domännamn för en återförsäljare för det australiska bolaget Melbourne IT oberhörigt för ändring av uppgifterna för flera domännamn. Attacken riktades mot Twitter, New York Times, Huffington Post och ShareThis. Syrian Electronic Army tog på sig skulden även för dessa attacker. Tidigare i oktober gjorde obehöriga ändringar i uppgifter för domännamn som registrerats via amerikanska Network Solutions. Den politiska grupperingen KDMS Group tog på sig skulden för attacken som riktades mot Twitters domännamn för bilddelning, informationssäkerhetsprogrammen Avira och AVG, tjänsten Whatsapp, webbstatistiktjänsten Alexa och vuxenunderhållningssajten RedTube. Även leverantören av hostingtjänster Leaseweb meddelade i oktober att dess domännamnsuppgifter hade kapats och användarna omdirigerades till en server som administrerades av KDMS Group. Domännamnet hade registrerats via företaget Key- Systems. Informationssäkerhetsöversikt 4/2013 6

Ransomware Skadliga program som övertar användarens dator har fortsatt att orsaka olägenheter. Dessa program kan med fog kallas "utpressningsprogram" eftersom syftet med dem är att pressa användaren till att betala för att få tillgång till sin dator igen. Även här är det fråga om svindel, och det skadliga programmet finns kvar efter att användaren har betalat lösensumman. Det har varit fråga om flera olika skadliga program, av vilka olika versioner av programmet Reveton verkar ha varit vanligast i Finland. De känns igen på att datorn "låser sig" vid start och på skärmen visas ett meddelande, som ser ut att vara från polisen, om att det finns olagligt material på datorn, såsom barnpornografi, olagligt nedladdade musikfiler eller filmer. Användare ska betala en bot för att ärendet ska läggas ner och användaren ska få tillgång till datorn igen. Reveton-program har varit vanliga på olika håll i världen. Meddelandet som programmet visar har ofta lokaliserats till respektive land. I Finland visar programmet ett meddelande som ser ut att ha undertecknats av polisen eller någon annan trovärdig instans. Meddelanden på engelska ser ofta ut att härstamma också från t.ex. FBI. Reveton-liknande försök till svindel har även gjorts genom att användaren omdirigeras till en webbplats som "låser" datorn med hjälp av JavaScript. Då har datorn inte infekterats av ett skadligt program, men en oerfaren användare kan ha svårt att avhjälpa problemet eftersom webbläsaren automatiskt kan gå till samma webbsida efter omstart av datorn. För närvarande har det skadliga programmet Cryptolocker fått ökad spridning i världen. Programmet letar efter dokument i datorn och krypterar dem sedan så att de inte längre går att öppna. Programmet begär en betalning för att dokumenten ska återställas. Dessutom ska betalningen ske inom en utsatt tid, annars höjs beloppet. Tillsvidare har Cryptolocker pinat användare närmast i USA men det finns tecken på att programmet har börjat för ökad spridning. Betalningarna som de skadliga programmen kräver ska erläggas på ett sätt som gör det svårt att spåra mottagaren. I de Reveton-versioner som påträffats i Finland ska betalningen ske via PaySafeCard. Cryptolocker kräver betalningarna i den virtuella valutan bitcoin. Användare ska inte betala några som helst lösen som dessa program kräver. Skadliga program kan infektera datorn via webbläsaren, speciellt om webbläsaren, dess tillägg, datorns operativsystem och Java-miljö inte har uppdaterats till de senaste versionerna. Användaren kan omedvetet dirigeras till en webbplats som letar efter ett sårbart program på datorn och infekterar datorn med ett skadligt program genom sårbarheten. Infektionen kan gå obemärkt och omdirigeringen blir synlig t.ex. som skadligt innehåll som lagts in på den angripna webbplatsen eller genom reklam på webbplatsen. Regelbundna uppdateringar tillsammans med antivirusprogram ger ofta åtminstone ett relativt gott skydd. Informationssäkerhetsöversikt 4/2013 7

I oktober lanserade polisen, F-Secure och CERT-FI en webbplats om utpressningsprogram på ransomware.fi. Attack mot Adobe Programvarubolaget Adobe meddelade i början av oktober om ett dataintrång där obehöriga kom över Adobe ID-koder, krypterade bank- och kreditkortsuppgifter och krypterade lösenord för 2,9 miljoner användare. Dessutom stals källkoderna för flera av Adobes produkter. Dessutom utlades den 24 oktober på webben en fil som innehöll Adobe ID-koder, e- postadresser, 3DES-krypterade lösenord och lösenordstips för cirka 150 miljoner användare. Bland dessa fanns åtminstone 300 000 finländska e-postadresser och lösenord. Eftersom lösenorden har krypterats med algoritmen 3DES är det möjligt att återföra lösenorden till klartext om krypteringsnyckeln hittas. På grund av algoritmen upptas olika användares identiska lösenord på listan i identisk form även när de är krypterade. Genom att kombinera lösenorden och lösenordstipsen för olika användare är det mycket sannolikt att man kommer underfund med det ursprungliga lösenordet. Enligt de uppgifter som CERT-FI har erhållit har e-postlistan redan använts för utskick av skräppost. Det är också möjligt att försök till nätfiske i dessa adresser kommer att öka. Adobe har informerat om detta och yrkat på att samtliga användare ska byta sina Adobe ID-lösenord. SMS-bedrägeri förekommer fortfarande SMS-bedrägeri, både som i form av konventionella meddelanden och som Flashmeddelanden, förekommer fortfarande i Finland. Information om bedrägeri med Flash-meddelanden ingick senast i CERT-FI:s Informationssäkerhetsöversikt 3/2013. Meddelandena innehåller en avisering om lotterivinst. I meddelandet finns även länkar till olika tjänster eller e-postadresser som mottagaren ska kontakta. Mottagarna ska inte svara på sms-meddelandena och e-postadresserna och inte klicka på länkarna. Informationssäkerhetsöversikt 4/2013 8

Långvariga företeelser Olika dimensioner av publicering av sårbarheter Sårbarheter i program, dvs. fel i programmets utförande som medför en betydande risk för informationssäkerheten, spelar ofta en stor roll i kränkningar av informationssäkerheten. Varje år offentliggörs tusentals sårbarheter, med varierande föremål, effekter och allvarlighetsgrad. Vid bedömning av sårbarheternas konsekvenser måste CERT-FI även bedöma den risk som sårbarheterna utgör för olika användarkategorier. Varje år offentliggör CERT-FI 100 200 meddelanden om sårbarheter som bedöms ha allvarliga konsekvenser för allmänheten. Om en del sårbarheter publiceras Tietoturva nyt!-artiklar eller målgruppsinriktade meddelanden. CERT-FI får information om sårbarhet även via samordningen av sårbarhetsinsatserna. Sårbarheter utnyttjas i attacker som riktas mot en stor grupp användare, företag eller sammanslutningar. Hur olika program väljs ut till föremål för attacker kan granskas t.ex. genom att dela in dem i klient- och serverprogram och vidare i program som är avsedda för allmänt bruk respektive specialbruk. När CERT-FI får kännedom om en sårbarhet som gäller ett allmänt program, är det relativt självklart att publicera ett meddelande om sårbarheten. I dessa fall är det ofta klart att sårbarheten påverkar en stor grupp användare om den utnyttjas. Allmänna klientprogram utnyttjas ofta i attacker som är avsedda för masspridning av skadliga program till användarnas datorer. De sårbarheter som de senaste åren har använts i detta sammanhang har varit anknutna till bl.a. programvarupaketet Microsoft Office, Adobes PDF-läsarprogram Reader och Oracles Javatolk. Allvarliga sårbarheter i klientprogram leder ofta till omfattande utnyttjande genom s.k. verktygslådor (exploit kit). Under de senaste månaderna har medierna rapporterat om flera sårbarheter i trådlösa basstationer för hemmen och i DSL- och kabelmodem som används för internetuppkoppling. Utöver de oskyddade standardinställningarna har det funnits sårbarheter i apparaterna, främst i de webbaserade kontrollgränssnitten. I de flesta fall har sårbarheten gjort det möjligt att ändra på inställningarna i nätet som apparaten skapar så att angriparen har kunna byta ut namnservrarna efter behag. Genom kontroll över domännamnsinställningarna kan angriparen enkelt lägga ut reklam eller webbsidor med skadligt innehåll, istället för användarens webbplats. Även andra typer av webbattacker är möjliga. Det är möjligt att attacker som görs med hjälp av sårbarheter i apparater för internetförbindelse blir vanligare i framtiden. I attacker mot företag och organisationer används sårbarheter i både klientprogram och serverprogram. Attacker mot serverprogram riktas ofta mot ouppdaterade versioner av publicerings- och innehållshanteringsprogram. Angriparna letar ständigt på nätet efter sårbara versioner av dylika tjänster och riktar omedelbart sina attacker mot dem. Informationssäkerhetsöversikt 4/2013 9

Det finns ingen ingående statistik eller information om hur omfattande användningen av olika typer av programvara är. Åtminstone saknas det information om ett program används så allmänt att det är motiverat att rikta meddelandet till allmänheten. I fråga om specialprogram är det svårt att fastställa den rätta målgruppen för meddelandet samt hur viktigt programmet är för användarna. CERT-FI samarbetar med försörjningsberedskapskritiska företag för att få insikt i de miljöer och program som används inom olika sektorer, såsom energi- och finanssektorerna. När sårbarhetsmeddelanden publiceras blir man ofta tvungen att kompromissa med avseende på hur brådskande och omfattande respektive tekniskt exakt meddelandet kan vara. Förståelse för vad sårbarheten gäller kräver åtminstone noggrann analys av tillgängliga data. Uppfattningen om sårbarheten och dess konsekvenser kan mycket väl ändras i takt med att den offentliga informationen preciseras. Det är sällan möjligt att återskapa sårbarheten eller analysera den utifrån egna data. Utöver uppdateringar behövs det information om serverprogrammen speciellt i fråga om olika metoder för att begränsa sårbarheten, eftersom det inte alltid är så enkelt att bara uppdatera serverprogram. Det kan vara svårt att hitta allmänna begränsningssätt som inte har några oönskade effekter. Informationssäkerhetsöversikt 4/2013 10

Incidenter i det allmänna kommunikationsnätet Trots höststormarna fungerade de finländska kommunikationsnäten väl i october december 2013 också. CERT-FI tog inte heller emot anmälningar om helt nya hot mot informationssäkerheten. Avvikelser i det allmänna kommunikationsnätet består av följande avsnitt: CERT-FI-händelseanmälningar Anmälningar om fel och störningar i kommunikationsnäten CERT-FI incidentrapporter I oktober november tog CERT-FI emot fyra informationssäkerhetsanmälningar enligt Kommunikationsverkets föreskrift 9 om skyldighet att anmäla kränkningar informationssäkerhet i allmän televerksamhet. Antalet anmälningar var ovanligt litet, även om den granskade perioden endast var två månader. CERT-FI:s tidigare informationssäkerhetsöversikter har fokuserat på tre månader. Bild 1 Incidentrapporter enligt föreskrift 9 Syftet med föreskrift 9 är att fastställa innehållet i och förfaringssätten vid inlämnande till Kommunikationsverket av anmälan om betydande kränkning av informationssäkerhet eller hot av sådan kränkning enligt 21 i lagen om dataskydd vid elektronisk kommunikation. Autoreporter-observationer delas in i egna kategorier Autoreporter är CERT-FI:s tjänst som automatiskt samlar in uppgifter om skadliga program och kränkningar mot informationssäkerhet i finländska nät och rapporterar Informationssäkerhetsöversikt 4/2013 11

dessa till nätadministratörerna. Autoreporter har varit i drift sedan 2006 och den omfattar alla finländska nätområden. Vid tolkning av diagrammen bör man beakta att fenomenet inbegriper flera olika variabler. Exempelvis antalet observationer varierar betydligt mellan olika dagar och veckor. Variationen under en kort period kan t.ex. bero på att någon av Autoreporters datakällor av en eller annan orsak inte har kunnat rapportera observationer av incidenter. Nya och utbredda grupper av skadliga program framträder likväl senast på årsnivå. Under den tid som Autoreporter har varit i användning har det också skett förändringar i dataunderlaget. Nya och tillförlitliga datakällor har lagts till och mindre tillförlitliga har slopats eller data från dessa har filtrerats enligt respons från teleföretagen. Största delen av de incidenter som Autoreporter upptäcker är olika former av skadliga botprogram. Nedan presenteras observationer från tjänsten, vilka har kategoriserats enligt följande: Bild 2 Autoreporter-observationer enligt kategori december 2012 november 2013 Suspected Spambot Kategorin Suspected spambot anger antalet IP-adresser som man har observerat att skickar ut skräppost. I dessa fall finns det orsak att misstänka att en dator bakom en dylik IP-adress är infekterad av ett skadligt program och att den används för sändning av skräppost. Informationssäkerhetsöversikt 4/2013 12

Antalet spambot-observationer ökade markant i april juni på grund av infektioner hos ett teleföretags kunder. T.ex. i maj observerade Autoreporter nästan 70 000 infektioner. Efter detta har observationerna minskat och i september gjorde systemet endast ca 100 suspected spambot-observationer. Bot Kategorin Bot visar antalet IP-adresser som enligt observationerna har en arbetsstation infekterats av ett skadligt program. En infekterad arbetsstation ansluts ofta till det botnät som angriparen administrerar på distans. Sådana botnät används bl.a. för blockeringsattacker. Antalet infektioner med det skadliga Zero Access-programmet ökade markant i augusti. Detta är ett tecken på bättre observationsnoggrannhet, och tyder inte på att antalet infektioner har ökat. Scan Kategorin Scan beskriver antalet IP-adresser av vilka man har tanklöst gjort undersökningsarbete för nätet eller det är fråga om ett informationssystem i fel händer eller en arbetsstation som ett skadligt program har infekterat. Enligt statistiken undersöker man aktivt nät från finländska IP-adresser. Phishing Webbplatsen på denna IP-adress används för phishingförsök. Oftast är det fråga om en infekterad dator eller en webbserver som fallit offer för ett dataintrång. Malweb På IP-adressen finns en webbplats som sprider ett skadligt program. Oftast är det fråga om en skadlig JavaScript-kod, skadlig kod i ett iframe-fält eller annat skadligt innehåll på webbplatsen. Other Gruppen Other omfattar följande kategorier: bruteforce: Dataintrångsförsök mot allmänt använda nättjänster har observerats från IP-adressen. Man försöker systematiskt bryta lösenord till nättjänsterna antingen genom sporadiska teckensträngar eller genom att pröva ord som finns i ordböcker. Den arbetsstation som finns på IP-adressen kan ha blivit föremål för ett dataintrång eller infekterad av ett skadligt program cc: En arbetsstation som är infekterad av ett skadligt program ansluts ofta på ett eller annat sätt till det botnät som angriparen administrerar. En administreringsserver har identifierats på IP-adressen. Servern används för att kommenderas sådana botnät. Informationssäkerhetsöversikt 4/2013 13

dameware: I gamla DameWare Mini Remote Control-program finns en sårbarhet som kan utnyttjas på distans. Genom sårbarheten är det möjligt att installera t.ex. ett skadligt program i arbetsstationen. Potentiellt lyckad utnyttjande av sårbarheten DameWare har observerats på IP-adressen. ddos: Observationen listar både de arbetsstationer som deltar i blockeringsattacker samt föremål som har blivit utsatta för blockeringsattacker. defacement: En webbplats har klottrats ned på IP-adressen. dipnet: En nätmask som infekterar Windows-arbetsstationer. Nätmaksen utnyttjar i sin spridning LSASS-sårbarheten. fastflux: Ett sätt att gömma kommandoservrar för botnätet, webbplatser som deltar i bluffverksamheten samt webbplatser som sprider skadliga program. Sättet har genomförts på namnservernivån. Gömningen fungerar så att namnservern kontinuerligt returnerar nya IP-adresser till ett visst domännamn. Bakom de returnerade IP-adresserna finns oftast en infekterad arbetsstation som är en del av botnätet. malware: Ett skadligt program har distribuerats på IP-adressen. malweb: En skadlig webbplats har observerats på IP-adressen. Vanligtvis är det fråga om en skadlig JavaScript-kod, en iframe-hänvisning eller ett annat skadligt avsnitt som har inkluderats i webbplatsen. phishing: En webbplats som deltar i nätfiske har observerats på IP-adressen. Det handlar oftast om en arbetsstation eller en webbserver som har blivit föremål för ett dataintrång. proxy: En arbetsstation eller en server har blivit en öppen proxyserver som utnyttjas. Utnyttjandet kan synas t.ex. som skickande av skräppost och kommendering av botnät. router: Nätets aktiva utrustning har gjorts till en proxyserver som utnyttjas. Utnyttjandet kan synas på många olika sätt. spreaders: Skadliga program har många spridningsmekanismer varav en är sårbarheter i operativsystemet. Kännetecken på spridningstrafik för ett skadligt program har observerats på IP-adressen. worm: Ett spridningsförsök av en nätmask har observerats på IP-adressen. Nätmaskar sprider sig ofta genom att utnyttja någon sårbarhet i en nättjänst. Informationssäkerhetsöversikt 4/2013 14

Dagliga Incidents daily-observationer i Autoreporter Statistiken "Incidents daily" beskriver för de dagliga rapporterna i Autoreporter om observationer av infektioner med skadliga program i finländska IP-adresser. Bild 3 Incidenter i Autoreporter 1.1 30.11.2013 Antalet incidenter började öka markant i augusti och trenden fortsatte i oktober november. Detta berodde på den bättre observationsnoggrannheten i Autoreporter i fråga om skadeprogrammet ZeroAccess. Autoreporter-observationer av skadliga program Statistiken nedan beskriver observationerna i Autoreporter av infektioner med Conficker, Citadel, Zeus och Zero Access i finländska IP-adresser. Conficker De första observationerna av Conficker gjordes i Finland i januari 2009. I oktober november 2013 gjordes cirka 1 300 observationer i månaden. Även globalt håller Conficker-infektionerna på att gå tillbaka. Minskningen i antalet infektioner med Conficker i Finland beror i hög grad på Autoreporters observationsförmåga, förmedling av information till teleföretagen och teleföretagens aktiva åtgärder för att få bort infekterade datorer. Informationssäkerhetsöversikt 4/2013 15

Bild 4 Observationer av Conficker januari 2012 november 2013 Zero Access Det skadliga Zero Access-programmet utnyttjas för missbruk av den så kallade digitala valutan, Bitcoin, samt för bedrägeri med fakturering av klickbaserad reklam (clickfraud). Enligt F-Secure är Zero Access en av de mest utvecklade och största botnetfamiljerna. Programmet innehåller flera olika komponenter med vilka nätbovarna försöker få kontroll över infekterade datorer. Det har gjorts flera försök till att stänga ner hela Zero Access-botnet men skadeprogrammet som kontrolleras genom peer-topeer-nät har lyckats överleva alla försök. Även i Finland är antalet infektioner med Zero Access stort i förhållande till de övriga skadeprogramsfamiljerna. I september förbättrades Autoreporter-tjänstens förmåga att observera Zero Accessinfektioner betydligt. Därefter har antalet observationer ökat snabbt: i november rapporterades cirka 64 000 incidenter. Informationssäkerhetsöversikt 4/2013 16

Bild 5 Observationer av Zero Access januari 2012 november 2013 De informationsstjälande skadliga programmen Zeus och Citadel Finländska nätbankskunder utsätts också för angrepp av skadliga program. De flesta phishingförsöken görs med det skadliga programmet Citadel eller en version av de skadliga programmen Zeus. Zeus och Citadel används för olika slags kriminell verksamhet, till de vanligaste formerna hör nätbanksbedrägeri, utpressning, stöld av användarkoder och utnyttjande av information från användarens dator överlag. Frågan diskuterades mer ingående, ur bl.a. Finansinspektionens och polisens perspektiv, i Informationssäkerhetsöversikt 3/2013. Enligt det finländska antivirusföretaget F-Secure är läget i fråga om banktrojaner globalt sett oförändrat. Av Zeusvarianterna är Citadel fortfarande nätbovarnas favorit. I Finland har situationen varit relativt lugn i fråga om banktrojaner. Utomlands har det enligt F-Secure förekommit incidenter där Zeus-program har använts för installering av utpressningsprogram som låser filer på den infekterade datorn (CryptoLocker). På så sätt försöker angriparna pressa pengar även av de användare vars transaktioner i nätbanken inte intresserar dem. Zeus medför med andra ord även andra risker för användare än att pengar försvinner från bankkontot. Kommunikationsverkets statistik anger inte hur många av incidenterna har fått konsekvenser för nätbankstransaktioner. Enligt bankerna har angreppen med skadliga program minskat i Finland jämfört med situationen 2012. Kommunikationsverkets Autoreporter-rapporter understöder de andra aktörernas uppfattning om informationsstjälande skadliga program. Informationssäkerhetsöversikt 4/2013 17

Flest incidenter med det skadliga programmet Zeus observerades i Autoreporter i oktober 2012, med 452 observationer per dag. I november 2013 rapporterades cirka 90 incidenter per dag. Antalet observationer av det skadliga programmet Citadel har ökat sedan april 2013. I november var antalet incidenter i genomsnitt 98 per dag, vilket var litet jämfört med de vanligare skadliga programmen, som Zero Access. I dagsstatistiken syns ofta också infektioner med skadliga program som skett dagarna innan, eftersom användarna inte har hunnit rensa skadeprogrammen från sina datorer. Statistiken anger med andra ord inte antalet nya infektioner per dag. Bild 6 Autoreporter-observationer om informationsstjälande skadliga program januari 2012 november 2013 Informationssäkerhetsöversikt 4/2013 18

Anmälningar om fel och störningar i kommunikationsnäten I oktober november tog emot Kommunikationsverket sammanlagt sju anmälningar om väsentliga fel och störningar. Väsentliga fel (A C) har klassificerats i Kommunikationsverkets föreskrift 57 om underhåll av kommunikationsnät och - tjänster samt om förfarande och information vid fel och störningar. Anmälningarna gällde i tre fall fel av klass A som påverkade stora områden. Fel av klass B och C rapporterades två gånger vardera. De flesta av felen gällde tjänster i mobilnätet och berodde på systemuppdateringar eller avbrott i det allmänna elnätet. I oktober november förekom det mer fel i det allmänna kommunikationsnätet än under de tidigare perioderna, vilket berodde främst på stormen Taina som härjade i Kajanaland i oktober och den kraftiga stormen Eino som i november drabbade hela landet med undantag av norra Finland. Eino drog ner elledningar och välte omkull basstationer över hela mellersta Finland, från väst till öst. Teleföretagen återhämtade sig även från denna storm relativt snabbt. Samarbetet mellan teleföretagen och elbolagen bidrog i hög grad till reparationsarbetena. Nätens och tjänsternas funktion har varit föremål för noggrannare uppföljning år 2013 Sedan början av 2013 har Kommunikationsverket följt upp funktionen av kommunikationsnäten och -tjänsterna genom kvartalsvisa förfrågningar i teleföretagen. Med förfrågningarna har verket utrett vilka tjänster som påverkas av störningarna, hur länge det tar att åtgärda störningarna och vad som orsakat störningarna. Nedan presenteras resultaten för det tredje kvartalet (=Q3) 2013, så att perioden omfattar juli september. Resultaten för det fjärde kvartalet 2013 (oktober december) publiceras i Cybersäkerhetscentrets informationssäkerhetsöversikt 1/2014. Störningsstatistik för kommunikationsnät juli september 2013 Under det tredje kvartalet rapporterade teleföretagen sammanlagt över 90 000 incidenter som orsakade störningar för deras kunder. Jämfört med det andra kvartalet var totalantalet något mindre. Största delen av fallen gällde bredbandstjänster i det fasta nätet. Även störningar i taltelefoni- och datatjänster i mobila nät samt i taltelefonitjänster i det fasta nätet orsakade olägenheter för teleföretagens kunder. Fel i anläggningar var den största orsaken till enskilda störningar. Mycket ofta avhjälptes störningarna spontant innan det var möjligt att fastställa någon tydlig orsak. Naturfenomen och elavbrott påverkade också förbindelserna i kommunikationsnät. Till de fem viktigaste felorsakerna räknas också störningar där felet fanns i kundens terminalutrustning eller program. Informationssäkerhetsöversikt 4/2013 19

Bild 7 Reparationstidernas andelar för störningar per tjänst juli augusti (Q3) 2013 Bild 8 Antalen störningar per tjänst juli september 2013 Informationssäkerhetsöversikt 4/2013 20

Bild 9 Störningsorsaker juli september 2013 Informationssäkerhetsöversikt 4/2013 21