Kartläggning av internetrelaterade hot

Relevanta dokument
Kartläggning av internetrelaterade hot. Fjärde kvartalet 2004

Kartläggning av internetrelaterade hot

Säker IP telefoni? Hakan Nohre, CISSP

Granskning av intern IT - säkerhet. Juni 2017

Hur hanterar du säkerhetsincidenter du inte vet om?

Konsensusprognos Q3 2013

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

De svenska mäklarnas bedömningar sticker ut i en nordisk jämförelse

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

Webbservrar, severskript & webbproduktion

FlexiTid Extern webbokning. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Stark tro på uppgång i Norge

TEKNISK INFORMATION CENTURI 8. Kungsholmsgatan Stockholm Telefon

Säkerhet och förtroende

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

God nätverksdesign och distribuerade brandväggar. Patrik Fältström

Stark tro på fortsatt prisökning

Denial of Services attacker. en översikt

DIG IN TO Nätverkssäkerhet

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Litet utbud, räntenivån och restriktiva utlåningsregler tunga påverkansfaktorer på den nordiska bostadsmarknaden

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

Konsensusprognos Q4 2018

HÖST Norge bromsar in Sverige fortsätter stabilt Danmark förstärks gradvis. Nordens största undersökning om bostadsmarknaden

Villainbrott En statistisk kortanalys. Brottsförebyggande rådet

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Skriftlig tentamen i kursen TDTS04 Datornät och distribuerade system kl. 8 12

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

5 Internet, TCP/IP och Tillämpningar

Sex frågor du bör ställa dig innan du väljer M2M-uppkoppling

Jättegap mellan utbud och efterfrågan i Sverige

Delårsrapport 1 januari 30 september 2006 Svensk Internetrekrytering AB (publ)

Datakommunika,on på Internet

IT-säkerhet Externt och internt intrångstest

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar. Nätprotokoll

Grundläggande datavetenskap, 4p

Hög efterfrågan på bostäder i Norden

Vad händer med dina kortuppgifter?

Vem tar ansvar för Sveriges informationssäkerhet?

Konsensusprognos Q2 2017

Cyber security Intrångsgranskning. Danderyds kommun

Konsensusprognos Q3 2016

Konsensusprognos Q3 2015

Datasäkerhet och integritet

Yttrande över slutbetänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Butiksrån. Första halvåret svenskhandel.se

Brandväggar och portöppningar. Manual

VI VILL BYGGA NÄSTA GENERATIONS BLÅLJUSNÄT

Nr Allt fler tror på stigande priser och ökad efterfrågan. Barnfamiljer mest aktiva på marknaden just nu

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1

WEBB PRODUKTION. Publicering av stora webbplatser Thomas Mejtoft. Thomas Mejtoft

Att mäta bandbredd TPTEST. Ett mätsystem för både proffs och gemene man. Ragnar Lönn, Gatorhole TPTEST Vad gör det?

Norrtågs kvalitetsredovisning År 2015 Kvartal 2

E-handel i Norden Q3 2014

Vägvisaren FKG hösten Yasemin Heper Mårtensson

Webbserver och HTML-sidor i E1000 KI

Installera SoS2000. Kapitel 2 Installation Innehåll

Från användare till användare. (Maria Kihl)

MARKNADSRAPPORT APRIL 2017

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011

GADD Software en introduktion

Makrofokus. Makroanalys. Veckan som gick

WWW. Exempel på klientsidan. Överföring av en html-fil. Snyggare variant. Verkligt format. Meddelandeformat för begäran HTTP

Sammanträdesdatum Arbetsutskott (1) 168 Dnr KS/2017:241. Granskning av IT-säkerhet Mjölby 1.0

Datakommunika,on på Internet

21.6 Testa VPN-tunneln

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Trender inom Nätverkssäkerhet

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Grundläggande nätverksteknik. F7: Rep66on

Tor- och onionteknik projektet

Platsbesök. Systemkrav

Makrofokus. Makroanalys. Veckan som gick

Hot mot infrastruktur

Flex - Manual. Innehåll

Säker kommunikation för inbyggda sensorsystem för hälsa. Mats Björkman Professor i datakommunikation Mälardalens högskola

F2 Exchange EC Utbildning AB

Innehåll. MySQL Grundkurs

Mannerheim Invest AB. Erbjudande till aktieägarna i Enaco AB (publ)

1. HandsPointer? Viewer. Viewing Viewing Document Viewer. Document Streaming & Page Management. Thin Client Viewer. My PC Access ,, P2P

1. Revisionsinformation

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Kvartalsrapport 2019:2 Tydlig ökning av antalet uppsagda från handel och industri

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Kapitel 6, 7, o 8: IP DNS Vägval Från användare till användare Jens A Andersson (Maria Kihl) Att skicka data över flera länkar.

SNITS-Lunch. Säkerhet & webb

Välkommen till företagspresentation av investmentbolaget Svolder. Ulf Hedlundh Verkställande direktör

Norrtågs kvalitetsredovisning År 2015 Kvartal 1

Går det att prognosticera skillnaden mellan kvinnlig och manlig livslängd?

Sammanfattning till Extremregn i nuvarande och framtida klimat

Datasäkerhet och integritet

Voice over IP / SIP. Switching Costs SIP. Motivation for VoIP. Internet Telephony as PBX replacement. Internet Telephony Modes.

Norrtågs kvalitetsredovisning År 2015 Kvartal 4

Installation xvis besökssystem, Koncern

Fondbarometern. Om svenska folkets syn på börsen och fondsparande SBAB Fondbarometern nr

Tekis-FB Systemkrav

Transkript:

Kartläggning av internetrelaterade hot Första kvartalet 2005 Patrik Nilsson 2005-06-30 0150/2005 1

Innehåll 1 Sammanfattning 3 2 Aktiviteter på samhällsnivå 4 3 Ursprungsland 5 4 Denial Of Service (DoS) 6 5 Intrångsförsök 7 6 Kartläggning 8 7 Webbattack 9 8 Annan attack 10 2

1 Sammanfattning Detta är den andra kvartalsrapporten avseende Kartläggning av Internetrelaterade hot som presenteras av Krisberedskapsmyndigheten (KBM) för att beskriva den hotbild som finns på Internet. KBM har sedan den 1 juli 2004 bedrivit ett arbete med att kartlägga den internetrelaterade hotbilden i form av ett övervakningssystem. I övervakningssystemet medverkar aktörer från näringslivet och statliga myndigheter. Sammanfattningen för första kvartalet 2005 påvisar inga större aktiviteter eller störningar inom övervakningsområdet. Under perioden har nya sensorer anslutits vilket i vissa fall kan förklara en viss ökning av vissa attacker. Det kan spekuleras i om den ökning som inträffat i slutet av perioden har något samband med de skollovsledigheter som är under denna period. Detta resonemang förstärks av att attackerna från Sverige har ökat markant i jämförelse med förra kvartalet. Det går inte i dagsläget att avgöra om det är ett trovärdigt resonemang, med tanke på att det saknas jämförelsedata. För att få en bra och stabil statistik har ett omfattande arbete bedrivits med att ta bort falsklarm, vilket är ett arbete som kommer att fortsätta. För synpunkter och frågor hänvisas till: Patrik Nilsson Tel: 08-593 710 67 E-post: patrik.nilsson@krisberedskapsmyndigheten.se 3

2 Aktiviteter på samhällsnivå Definitioner av de aktivitetsområden som analyseras: Denial Of Service (DoS): Attack med syfte att störa eller slå ut systemmiljön, antingen helt eller delvis. Kartläggning: Utforskningsförsök eller attacker med syfte att kartlägga och identifiera systemmiljön och eventuella brister. Intrångsförsök: Attacker med syfte att göra intrång i systemmiljön. Webbattack: Specifika attacker eller misstänkt åtkomstaktivitet mot webbaserade system och tjänster i systemmiljön. Annan attack: Övriga attacker som kan representera annan fientlig aktivitet mot systemmiljön. Generellt sett har även andra kvartalet varit relativt lugnt. Det utesluter inte att vissa organisationer kan ha haft viss påverkan eller varit utsatta för vissa störningar. Det är inget som har påverkat samhället i stort. I denna rapport har trojanattacker slagits samman med intrångsförsök för att få en bättre struktur. Under perioden har arbete genomförts med att optimera databasen, vilket har medfört att en hel del falsklarm har tagits bort. 4

3 Ursprungsland Nedan presenteras de 10 mest frekventa länder som finns representerade inom övervakningsområdet. Det har inte gjorts någon insats att spåra om någon har försökt dölja eller ändra sitt ursprungsland kopplat till IP-adress. Vid en analys av länderrepresentationen kan man se att antalet attacker från Kina har minskat avsevärt under detta kvartal och att antalet attacker från Sverige har ökat. USA ligger som tidigare stabilt kvar på samma nivå som tidigare och det kan också jämföras med den norska statistik som visar samma sak. När det gäller andra länder är inte variationen så stor. Dock kan nämnas att Norge ökade en del under detta kvartal. När det gäller den markanta ökningen från Sverige kommer det att analyseras under de olika avsnitten senare i rapporten. 5

4 Denial Of Service (DoS) DoS är en attack med syfte att störa eller slå ut systemmiljön, antingen helt eller delvis, genom t.ex. överbelastning, framtvingat systemfel m.m. Både misslyckade och lyckade attacker ingår i denna klass. När man tittar närmare på DoS ser vi en klar ökning under perioden v.5 till och med v.11 samt en viss uppgång v. 13. Anledningen till detta är något oklar. Det kan bero på att Sverigerepresentationens ökning och aktivitetsökningen vilket kan bero på skollovsledigheter som inträffar under perioden, men detta går inte i dagsläget att bekräfta. För att bekräfta att uppgifterna är korrekta krävs en djupare analys när det finns mer historisk data att jämföra med. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. DDOS shaft client to handler 2. WEB-MISC apache DOS attempt 3. DOS MSDTC attempt 6

5 Intrångsförsök Intrångsförsök är attacker med syfte att göra intrång i systemmiljön för att sedan t.ex. kunna extrahera, manipulera eller kartlägga information i de ingående systemen. Både lyckade och misslyckade attacker ingår i denna klass. Vad avser intrångsförsök syns det även här en klar ökning under perioden v.5 till och med v.9. Vidare kan konstateras att aktiviteten sjunker till samma nivå som före aktuell period. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. SMTP HELO overflow attempt 2. SHELLCODE x86 setuid 0 3. FTP CWD overflow attempt 7

6 Kartläggning Kartläggning är utforskningsförsök eller attacker med syfte att kartlägga och identifiera systemmiljön och eventuella brister, som ett första steg till eventuella intrångsförsök eller andra attacker. När det gäller kartläggningsaktiviteter ses även här en klar ökning. Ökningen sker under perioden v.6 till och med v.13. Det syns att aktiviteten går tillbaka lite under slutet av perioden, men aktivitetsnivån sjunker ändå inte tillbaka till samma nivå som innan. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. WEB-MISC http directory traversal 2. ATTACK-RESPONSES 403 Forbidden 3. WEB-CGI redirect access Den största aktiviteten var som tidigare portscaning, vilket har gjort att vi har valt att inte ha den på topplistan. Detta för att det är en så vanligt förekommande aktivitet och det är av större intresse att lyfta fram andra aktiviteter i stället. 8

7 Webbattack Webbattacker är specifika attacker eller misstänkt åtkomstaktivitet mot webbaserade system och tjänster i systemmiljön. Under perioden har det skett en viss ökning, vilket i detta fall kan förklaras av att det har anslutits nya sensorer. Även här har en ökning skett under perioden v.6 till och med v.12, som kan bero på att det har varit en ökad aktivitet, rent generellt. En ytterligare observation är att aktivitetsnivån sjunker tillbaka till en snarlik nivå under v.13. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. WEB-IIS cmd.exe access 2. WEB-FRONTPAGE /_vti_bin/ access 3. WEB-IIS view source via translate header 9

8 Annan attack Annan attack är typer av attacker eller misstänkta aktiviteter som kan representera annan fientlig aktivitet mot systemmiljön. Det går att utläsa en viss stabilitet under de två första månaderna i kvartalet för att senare öka radikalt. Anledningen till detta går i dagsläget inte att uttala sig om utan att genomföra en djupanalys. En djupare analys kan eventuellt genomföras om ökningen fortsätter även under nästa kvartal. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. MS-SQL Worm propagation attempt 2. BAD-TRAFFIC data in TCP SYN packet 3. BAD-TRAFFIC loopback traffic 10

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss