Kartläggning av internetrelaterade hot. Fjärde kvartalet 2004

Relevanta dokument
Kartläggning av internetrelaterade hot

Kartläggning av internetrelaterade hot

Säkerhet och förtroende

Grundläggande datavetenskap, 4p

DIG IN TO Nätverkssäkerhet

Hur hanterar du säkerhetsincidenter du inte vet om?

Säker IP telefoni? Hakan Nohre, CISSP

Förmedlingstjänst för bildtelefoni

RÖRDROMMEN I NORDÖSTRA SKÅNE ÅR 2000

Granskning av intern IT - säkerhet. Juni 2017

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Verksamhetsuppföljning SN Augusti, 2018

Uppföljning av de personer som uppnådde maximal tid i sjukförsäkringen vid årsskiftet 2009/2010

Uppföljning av de personer som uppnådde maximal tid i sjukförsäkringen vid årsskiftet 2009/2010 eller under första kvartalet 2010

Denial of Services attacker. en översikt

De svenska mäklarnas bedömningar sticker ut i en nordisk jämförelse

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

Förutsättningar för övningar och praktiska prov avseende drift av Internet i Sverige oberoende av funktioner utomlands

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Slutrapport till SE:s Internetfond. rörande projektet. ECPAT Hotline 2007

Laboration 4 Rekognosering och nätverksattacker

Cyber security Intrångsgranskning. Danderyds kommun

Datakommunika,on på Internet

Rekommendationer teknisk lösning_samsa_ ver

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

Dnr 2005/ :1. Kvartalsredovisning. Antalet EU-intyg hänförliga till EGförordning. arbetslöshetsersättning. - fjärde kvartalet 2005

DataDIA ERP-marknaden 2013

Systemkrav och tekniska förutsättningar

Internationell utblick gällande stölder

DIS Deltagare i samverkan

ANALYS OMXS30 MARS 2018 DEL 2 E2 INVEST

Sjunet robust DNS. Teknisk Beskrivning

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Webbservrar, severskript & webbproduktion

Uppföljning av de personer som uppnådde maximal tid i sjukförsäkringen under 2010 eller under första kvartalet 2011

FORSKNINGSFINANSIERING

TEKNISK INFORMATION CENTURI 8. Kungsholmsgatan Stockholm Telefon

Kvartalsrapport KVARTAL Akademikernas a-kassa ger dig färska siffror om arbetslösheten det senaste kvartalet

Brandväggar och portöppningar. Manual

Statistik Redovisning av brottsofferstatistiken för alla Sveriges BOJ verksamhetsåret 2011

Wachtelhund Agria Breed Profiles Liv

Datorsäkerhet. Plattformar: Unix Windows NT Macintosh PDA

Kvartalsrapport KVARTAL Akademikernas a-kassa ger dig färska siffror om arbetslösheten det senaste kvartalet

Att Säkra Internet Backbone

Redovisning av försöksverksamheten med sfi-bonus

Distansåtkomst via webaccess

Sysselsättningens och arbetskraftsdeltagandets utveckling i Europa. Development of employment and labour force participation in Europe

Tor- och onionteknik projektet

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

Statistik Äldre hjälpsökande hos Brottsofferjouren

Tentamen i Datorkommunikation den 10 mars 2014

21.6 Testa VPN-tunneln

Att tolka statistik från BPSD-registret. Förbättringsarbete med hjälp av BPSD-registret. Avsnitt

Säkerhet ur ett testperspektiv

Elevrådet har gjort en undersökning på skolan kring hur lång tid varje elev på skolan dagligen ägnar åt att plugga.

Trafikutveckling i Stockholm Årsrapport

Trender inom Nätverkssäkerhet

Sex frågor du bör ställa dig innan du väljer M2M-uppkoppling

WWW. Exempel på klientsidan. Överföring av en html-fil. Snyggare variant. Verkligt format. Meddelandeformat för begäran HTTP

EBITS Arbetsgruppen för Energibranschens Informationssäkerhet

F6 Exchange EC Utbildning AB

Instruktionsbok för Fjärrskrivbord

FlexiTid Extern webbokning. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Generell säkerhet. Loggning - Hur mycket ska man logga? Inloggningsrutinerna i Unix. Loggning fortsättning

Tekis-FB Systemkrav

Resultaten OBS, det är inte möjligt att dra slutsatser om ett enstaka resultat vid få observationer.

Hur påverkar DNSsec vårt bredband?

Kartläggning socialsekreterare 2016 Värmlands län. Kontakt: Margareta Bosved Kontakt Novus: Gun Pettersson & Viktor Wemminger Datum:

Klamydia i Skåne, 1:a halvår per år, kvinnor och män

STATISTIK I BLICKFÅNGET

Systemkrav WinServ II Edition Release 2 (R2)

Avancerade Webbteknologier 2. AD11g Göteborg 2012 Säkerhet

Stockholmskonjunkturen hösten 2004

Arbetsmarknadsrapport 2010 Kvartal

SÄKERHETSLÄGET. för svenska små och medelstora företag 8 december, Check Point Software Technologies Ltd.

Frågeformulär till. Svensk telemarknad första halvåret 2001

Sockets. Processkommunikation Sammanfattning. Sockets. Domän, typ och protokoll

Statistik Redovisning av brottsofferstatistiken för alla Sveriges BOJ verksamhetsåret 2010

Frågor och svar avseende upphandling av administration av Telepriskollen

Frakt och webbutiksinställningar

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Skärmbilden i Netscape Navigator

Hög efterfrågan på bostäder i Norden

Vad är PacketFront. Regional Samtrafik Behövs det? Hur skapar man det? Presentation. Svenskt företag, bildat 2001

RAPPORT JUNI Hotellmarknaden i EU. En kartläggning av storlek och utveckling Perioden

DoS spoofing-attacker

Statistik för Skånes inkvartering. Delårsrapport januari-juni

Inkvarteringsstatistik för Blekinge län

Utveckling i antal träffar på ordet korvfestivalen i Google under Q1

Riktlinjer för informationssäkerhet

Södertörns nyckeltal Funktionshinder 2016

Ansökningar att starta eller utöka fristående skola

Särskilt stöd i grundskolan

I Hugin finns definitioner och beskrivningar presenterade kopplat till varje indikator.

Sokigo AB OVK 2.0. Pentium- eller AMD-processor (x64 processor) på 1,6 GHz Dual Core eller motsvarande.

Konfiguration av LUPP synkronisering

Konfidensintervall, Hypotestest

Skattereduktion för hushållstjänster år 2008

Transkript:

Kartläggning av internetrelaterade hot Fjärde kvartalet 2004 Patrik Nilsson 2005-01-25 Dnr: 0150/2005 1

Innehåll 1 Sammanfattning 3 2 Aktiviteter på samhällsnivå 4 3 Ursprungsland 5 4 Denial Of Service (DoS) 6 5 Intrångsförsök 7 6 Kartläggning 8 7 Trojanattack 9 8 Webbattack 10 9 Annan attack 11 2

1 Sammanfattning Detta är den första kvartalsrapporten avseende Kartläggning av Internetrelaterade hot som presenteras av Krisberedskapsmyndigheten (KBM) för att beskriva den hotbild som finns på Internet. KBM har sedan den 1 juli 2004 bedrivit ett arbete med att kartlägga den internetrelaterade hotbilden. I övervakningssystemet är både aktörer från näringslivet och statliga myndigheter anslutna. Sammanfattningen för fjärde kvartalet 2004 påvisar inga större aktiviteter eller störningar inom övervakningsområdet. De går inte i dagsläget att uttala sig om redovisade nivåer i diagrammen beroende på att det inte finns tillräckligt med jämförelsedata. Däremot kan konstateras att övervakningssystemet genererar unik information, vilken kommer att skapa möjligheter att i framtiden kunna göra jämförelser och trendanalyser. En del av rapporterna kommer att innehålla ett avsnitt som benämns som speciella händelser. Avsnittet kommer att innehålla en eller flera djupare analyser av olika speciella händelser som inträffat under det senaste kvartalet alternativt andra intressanta analyser som har gjorts i eller kring övervakningssystemet. Det kan t.ex. röra sig om annan misstänkt aktivitet som sannolikt inte utgör attacker mot systemmiljön, men som har fångats upp av trafiksensorn och kan få säkerhetsmässiga konsekvenser för systemmiljön och organisationen. För synpunkter och frågor hänvisas till: Patrik Nilsson Tel: 08-593 710 67 E-post: patrik.nilsson@krisberedskapsmyndigheten.se 3

2 Aktiviteter på samhällsnivå Definitioner av de aktivitetsområden som analyseras: Denial Of Service (DoS): Attack med syfte att störa eller slå ut systemmiljön, antingen helt eller delvis. Kartläggning: Utforskningsförsök eller attacker med syfte att kartlägga och identifiera systemmiljön och eventuella brister. Trojanattack: Attacker med syfte att införa eller utnyttja trojaner i systemmiljön. Intrångsförsök: Attacker med syfte att göra intrång i systemmiljön. Webbattack: Specifika attacker eller misstänkt åtkomstaktivitet mot webbaserade system och tjänster i systemmiljön. Annan attack: Övriga attacker som kan representera annan fientlig aktivitet mot systemmiljön. Denna rapport visar att det inte går att göra någon djupare analys av ovanstående diagram på grund av att det saknas tillräckligt med jämförelsedata. Det har inte skett någon större påverkan eller aktiviteter inom övervakningsområdet. Däremot under mätperiodens sista vecka kan noteras en uppgång inom alla områden, vilket i dagsläget inte går att hänföra till någon speciell händelse. 4

3 Ursprungsland Nedan presenteras de 10 mest frekventa länder som finns representerade inom övervakningsområdet. Det har inte gjorts någon insats för att spåra om någon har försökt att dölja eller ändra sitt ursprungsland kopplat till IP-adress. I de kommande rapporterna kommer vi att kunna analysera om aktiviteter från ursprungsländer ökar eller minska och om möjligt kunna utvisa trender i att vissa länder ökar och andra minskar i aktivitet. Det som hittills har framkommit är att en övervägande del av trafiken kommer från Kina. När det gäller fördelningen av ursprungsland kan vi göra viss jämförelse med den norska statistiken som presenteras av Nasjonal sikkerhetsmyndighet, där man kan konstatera att USA visar på ungefär samma fördelning i Norge som i Sverige, men att Kina inte utmärker sig i samma utsträckning som i Sverige. Vidare kan man se en stor variation mellan olika länders aktiviteter. 5

4 Denial Of Service (DoS) DoS är en attack med syfte att störa eller slå ut systemmiljön, antingen helt eller delvis, genom t.ex. överbelastning, framtvingat systemfel m.m. Både misslyckade och lyckade attacker ingår i denna klass. Det finns inte så mycket att säga om detta område i dagsläget, men det kan konstateras en viss tillfällig ökning under perioden från mitten av november till slutet av december, vilket i dagsläget inte kan kopplas till någon speciell händelse. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. DOS MSDTC attempt 2. WEB-MISC SSLv3 invalid data version attempt 3. DDOS shaft client to handler DoS attacker har skett genom punktinsatser vid specifika tidpunkter, oftast räknat i minuter på en viss dag Ett fåtal sensorer hade en hög attacksekvens under en viss period vilken motsvarar höjdpunkten i diagrammet. Utan denna punkt skulle diagrammet visa på en låg nivå med nollpunkter under vissa veckor. 6

5 Intrångsförsök Intrångsförsök är attacker med syfte att göra intrång i systemmiljön för att sedan t.ex. kunna extrahera, manipulera eller kartlägga information i de ingående systemen. Både lyckade och misslyckade attacker ingår i denna klass. De mest utmärkande attacker som registrerats inom övervakningsområdet är följande: 1. SHELLCODE x86 NOOP 2. WEB-CLIENT Javascript URL host spoofing attempt Diagrammet visar på en kraftig variation i aktiviteter under perioden. Det kan bero på att attackerna kommer i intervaller. När attacken startar sker många aktiviteter på kort tid och som sedan går ner i aktivitet. Den verkliga nivån för diagrammet borde ligga i paritet med siffrorna för november till och med december. Under oktober var nivån lägre, vilket kan härröras till visst sensorbortfall. Mönstret är i likhet med siffrorna för samma period, avseende nivå och variationer, som för 3:e kvartalet 2004. 7

6 Kartläggning Kartläggning är utforskningsförsök eller attacker med syfte att kartlägga och identifiera systemmiljön och eventuella brister, som ett första steg till eventuella intrångsförsök eller andra attacker. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. Portscan attack 2. DNS zone transfer UDP 3. WEB-CGI redirect access Det kan konstateras att en stor del av kartläggningsaktiviteterna är portscanning. Det förefaller som om kartläggningsaktiviteterna generellt har ökat konstant under perioden. 8

7 Trojanattack Trojanattacker är attacker med syfte att införa eller utnyttja trojaner i systemmiljön, t.ex. back-door funktionalitet. Både lyckade och misslyckade attacker ingår i denna klass. När det gäller trojanattacker finns det inte så mycket att säga i dagsläget. Diagrammet har stora variationer som inte kan kopplas till speciella händelser. I framtiden kan vi kanske se hur den normala nivån är. Däremot kan det konstatera att den mest frekventa attacken som har registrerats inom övervakningsområdet är Backdoor typot trojan traffic. 9

8 Webbattack Webbattacker är specifika attacker eller misstänkt åtkomstaktivitet mot webbaserade system och tjänster i systemmiljön. Avser webbattacker har det varit relativt lugnt under kvartalet, förutom sista veckan som påvisade en ökning, vilket kräver en djupare och vidare analys av vad som händer framöver. De tre mest frekventa attacker som har registrerats inom övervakningsområdet är följande: 1. WEB-IIS cmd.exe access 2. WEB-MISC WebDAV search access 3. WEB-PHP read_body.php access attempt Intressant är att observera nivån som ligger ca 30-40% lägre jämfört med nivån för 3:e kvartalet 2004. 10

9 Annan attack Annan attack är attacktyper eller misstänkta aktiviteter som kan representera annan fientlig aktivitet mot systemmiljön. Diagrammet visar på en konstant ökning under kvartalet. Det kan konstateras en större ökning under sista veckan av året. De tre mest frekventa attacker som har registrerats i systemet inom området är följande: 1. MS-SQL Worm propagation attempt 2. BAD-TRAFFIC data in TCP SYN packet 3. IMAP login literal buffer overflow attempt 11

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss