digital spionasje nettbanksvindel nøkkeltall fra norcert · hackerne kan variere fra politisk...

28
INNHOLD Sammendrag av kvartalet SIDE 3 Nøkkeltall fra NorCERT SIDE 4 Digital spionasje SIDE 8 Cyber Kill Chain SIDE 12 Duqu SIDE 16 Exploit-kits og infeksjonsbestillinger SIDE 18 Nettbanksvindel SIDE 20 NorCERT sikkerhetsforum SIDE 24 Kvartalets skråblikk SIDE 27 Nettbanksvindel I november 2011 ble for første gang i Norge en person dømt for nettbanksvindel ved bruk av nettbanktrojanere. Vi har intervjuet DNBs IRT-leder Anders Hardangen. Digital spionasje Digital spionasje er en alvorlig trussel som norsk næringsliv må ta på alvor. Ofte kan dette være vanskelig å oppdage og mange har ikke erfaring med hvordan de skal håndtere hendelsen. KVARTALSRAPPORT FOR 4. KVARTAL 2011 Nøkkeltall fra NorCERT NorCERT opplevde en kraftig økning i antall saker i fjerde kvartal 2011. NorCERT har håndtert femten alvorlige saker i fjerde kvartal, hvorav syv var nye for kvartalet. Vi skal også se nærmere på omfanget av saker med ulik prioritering.

Upload: vuliem

Post on 22-May-2019

213 views

Category:

Documents


0 download

TRANSCRIPT

InnholdSammendrag av kvartalet SIdE 3

Nøkkeltall fra NorCERT SIdE 4

Digital spionasje SIdE 8

Cyber Kill Chain SIdE 12

Duqu SIdE 16

Exploit-kits og infeksjonsbestillinger SIdE 18

Nettbanksvindel SIdE 20

NorCERT sikkerhetsforum SIdE 24

Kvartalets skråblikk SIdE 27

NettbanksvindelI november 2011 ble for første gang i Norge en person dømt for nettbanksvindel ved bruk av nettbanktrojanere. Vi har intervjuet DNBs IRT-leder Anders Hardangen.

Digital spionasjeDigital spionasje er en alvorlig trussel som norsk næringsliv må ta på alvor. Ofte kan dette være vanskelig å oppdage og mange har ikke erfaring med hvordan de skal håndtere hendelsen.

KvartalSrapport for 4. Kvartal 2011

Nøkkeltall fra NorCERTNorCERT opplevde en kraftig økning i antall saker i fjerde kvartal 2011. NorCERT har håndtert femten alvorlige saker i fjerde kvartal, hvorav syv var nye for kvartalet. Vi skal også se nærmere på omfanget av saker med ulik prioritering.

November i fjor var en milepæl i Norge, da det for første gang ble dømt en person for internettkriminalitet mot nettbanker. Samtidig er det et betydelig omfang av industrispionasje mot Norge. Internett-kriminaliteten øker, og IT-sikkerhetsarbeidet burde prioriteres høyere.

2011 har vært litt av et år. Da jeg tok over som leder av NorCERT i fjor høst, var tempoet allerede høyt, men antall hendelser og saker bare økte utover høsten. Det har vært en bratt start, men samtidig er det utrolig gøy og meningsfullt å jobbe med. Som leder ser jeg da også at vi i høst har tøyd vår yteevne til det maksimale.

Forrige kvartalsrapport ble godt mottatt av mange, og vi forsøker å holde koken, forhåpen-tligvis med relevante og nyttige artikler. Mye har skjedd de siste tre månedene og vi forsøker å oppsummere noe av det i denne rapporten.

Både NSM og NorCERT har jobbet hardt de siste månedene og ukene for å produsere NSMs årlige rapport om sikkerhetstilstanden. Denne kommer ut i løpet av første halvdel av 2012 og vil fortelle om hvordan helsetilstanden på sikkerhetsarbeidet i landet er. Den baserer seg på et bredt spekter kilder, herunder hele NSM virksomhet som tilsyn, inspeksjoner, kon-troller, pentester etc.

For NorCERT sin del, oppsummerer vi 2011 med følgende tre hovedtrender:Vi ser betydelig industrispionasje mot Norge, og er bekymret siden det er vanskelig å få

oversikt over omfanget. Vi ser at IT-sikkerhetsarbeidet burde prioriteres høyere i virksomhetene. Vi ser at internettkriminalitet øker, og at det er krevende å gi dette nok prioritet. Disse trendene er underbygget av de sakene vi har sett og håndtert i 2011.

November 2011 var også en milepæl i Norge, da det for første gang ble dømt en person for bruk av nettbanktrojanere til å svindle nettbankkunder i Norge. Fra et NorCERT-ståsted er det svært positivt å se at de som bedriver slik aktivitet stilles til ansvar gjennom rettsvesenet. Dette er et viktig signal.

Når det gjelder internasjonalt arbeid er det viktig for NorCERT med informasjonsutveksling og relasjonsbygging mot internasjonale samarbeidspartnere, også i denne rapporterings-perioden. Den kanskje viktigste nyheten var at de nordiske utenriksministrene ble enige om å etablere et nordisk samarbeid om digital sikkerhet. Dette innebærer at de nordiske landene, i første omgang, vil etablere et sikkert kommunikasjonsnettverk mellom de nasjonale myndighetsorganene som varsler og analyserer digitale angrep.

Høsten har også vært preget av et betydelig fokus fra media mot NorCERT og problemstill-inger rundt cybersikkerhet.

Våre svar til pressen er i mange tilfeller lite spesifikke. Dette skyldes at norske firma kan tape viktige konkurransemessige og finansielle fortrinn hvis vi går ut og forteller at de er rammet av dataangrep. Samtidig er det viktig å kommunisere hva som faktisk foregår slik at vi skaper bevissthet og fokus på IT-sikkerhet i samfunssviktige norske etater og bedrifter. Vi vil fortsatt ha høyt fokus på å finne den rette balansen her.

NorCERTs primærfokus er å varsle om angrep, bidra til gjenoppretting og hindre nye angrep. Å avdekke hvilken informasjon som er stjålet eller hvilken aktør som står bak er ikke vår hoved-oppgave.

Jeg håper dere finner artiklene nyttige, og vi vil som alltid gjerne ha tilbakemeldinger på hvordan vi kan gjøre denne rapporten enda bedre og mer nyttig!

Med vennlig hilsen,Eiliv Ofigsbø

Ved nordisk utenriksministermøte 2. november 2011 ble det enighet om å eta-blere et felles nordisk samarbeid om digital sikkerhet. Dette samarbeidet er en følge av den nordiske solidaritetserklæringen som ble vedtatt i april og som er et resultat fra Torvald Stoltenbergs rapport fra 2009. Dette vil blant annet innebære solidariet fra alle nordiske land knyttet til digitale angrep. Solidaritetserklæringen spesifiserer at de

andre landene i slike tilfeller vil bistå med midler om de blir bedt om det.

Samarbeidet om digital sikkerhet må utvikles i praksis, og som første skritt vil det i løpet av 2012 etableres et sikkert kommu-nikasjonsnettverk mellom de nasjonale myndighetsorganene for varsel og analyser av digitale angrep.

Enighet om nordisk solidaritet ved digitale angrep, etter utenriks-ministermøte mellom de nordiske landene.

Nordisk samarbeid

«Dette vil blant annet innebære solidariet fra alle nordiske land knyttet til digitale angrep»

KvartalSrapport for 4. Kvartal 20112 NASJONAL SIKKERHETSMYNDIGHET – norCErt

respektive internettleverandører (ISPer) om dette, og de har igjen kontaktet sine kunder. I mange tilfeller har systemene vært mindre kritiske, eksempelvis melke-maskiner og værstasjoner, men NorCERT er kjent med at også kraftselskaper har vært berørt.

Siden slike varsler går gjennom ISPer er det viktig at de etablerer dialog med sine kunder slik at kunden kan iverksette nød-vendige tiltak for å få sikret systemene sine. Mange ISPer er svært dyktige på dette, mens andre ikke følger opp i samme grad. Denne problemstillingen vil NorCERT søke å bedre i 2012.

SårbarheterI begynnelsen av desember avdekket Lock-heed Martin et målrettet angrep mot sine nettverk, og fant infeksjonsvektoren i en sårbarhet (zeroday) i Adobe Reader. Sårbar heten ble senere brukt mot et norsk firma i et målrettet angrep. En oppdatering (patch) ble publisert noen dager etter at det norske firmaet ble angrepet.

Duqu, en skadevare oppdaget i Ungarn, avdekket gjenbruk av metodikk fra Stuxnet, og fikk mye oppmerksomhet i høst. Knyttet til denne saken ble det oppdaget en sårbar-het (zeroday) som klarer å kjøre kode på Windows kjernenivå.

DNS-changerFBI og estiske myndigheter har gjennom «Operation Ghost Click» foretatt arrest-asjoner for å ta ned et botnett med mil-lioner av maskiner som er infisert med med trojaneren DNSChanger. I forbindelse med denne operasjonen har NorCERT mottatt rapporter om norske infeksjoner som har blitt varslet videre til de norske internett-leverandørene slik at sluttbrukere kan bli gjort oppmerksom på problemet.

AnnetViruset Xpaj har blitt håndtert i et par norske firmaer dette kvartalet. Dette er et virus som bygger botnets for click-fraud. Slike gamle teknikker er ofte ikke så mye omtalt lengre, men mange har fått dyrekjøpt erfaring rundt virusutbrudd som ofte tar ned IT-systemene og er svært kost-bare å rydde opp i. Conficker-utbruddet i politi-norge i 2009 står som et godt eksempel på dette.

Målrettede angrepFørstesiden på Aftenposten 16. november 2011 kunne fortelle at NorCERT hadde avdekket dataspionasje mot flere norske selskaper, og at disse hendelsene kunne knyttes sammen. Etter å ha satt flere mål-rettede angrep i sammenheng så NorCERT stadig tydeligere likheter teknisk og meto-disk, noe som gjorde at vi med høy sikker-het kunne si at samme aktør stod bak. Medie oppmerksomheten ble større enn forventet, også langt utover Norges grenser, noe som førte til en strøm av henv-endelser til oss.

Fjerde kvartal omfattet også flere andre målrettede angrep mot norsk industri. Det mest komplekse innbefatter et teknologi-firma som tilfeldig oppdaget noen «ukjente» brukere på sentrale systemer (Active Directory). Etter omfattende undersøkelser viste det seg at angriper har hatt et stort fotfeste i bedriftens nettverk i over et år. Skadeomfanget, da spesielt kunnskap om hva som eventuelt er stjålet, er ukjent grunnet mangelfull logging.

I dette kvartalen har NorCERT også hjulpet et firma i håndtering av skadevare som ble kjent i rapport fra eksternt anti-virusfirma (Symantecs Nitro-attacks rap-port). Rapporten omhandler kompromit-teringer hos en rekke bedrifter innen kjemisk industri.

NettaktivismeNorCERT ser at tyveri og offentliggjøring av data er en økende trend. Motivet til hackerne kan variere fra politisk aktivisme til «rampestreker». Konsekvensene kan imidlertid bli alvorlige i form av identitets-tyveri og ytterligere informasjonstyveri. Sistnevnte er et problem da mange gjen-bruker sine passord på flere ulike tjenester. Norske medier meldte 14. desember om at 5 norske ungdommer fra et norsk hacker-miljø var arrestert etter å ha hacket sosiale medier og eposttjenester.

I romjula ble det amerikanske firmaet STRATFOR hacket og kundedatabasen (med navn, adresse, e-postadresse, usaltet MD5 av passord, kredittkortnummer, utløpsdato og CVV-kode etc.) ble lagt ut offentlig. Firmaet leverer sikkerhets-politiske analyser, og viste seg å ha mange kunder også i Norge, da spesielt innen norsk offentlig forvaltning. NorCERT vars-

Fjerde kvartal 2011 er det mest hektiske NorCERT har opplevd. November måned hadde da også rekord i antall saker. Hendelsene som er håndterte faller inn under hele spekteret av trusler på Internett.

let tidlig de mest sentrale som var berørte, NorSIS varslet de resterende.

Det norske nettstedet hemmelig.com opplevde også lignende kompromittering rett før jul hvor brukerdatabasen ble offentlig gjort. Kompromitteringen fikk grunnet nettstedets profil (erotikk) en del medieoppmerksomhet. NorCERT har ikke håndtert hendelsen mot hemmelig.com.

Kriminalitet med finansielle motivNorske banker har hatt en hektisk høst. Nettbanktrojaneren SpyEye brukes fortsatt i forsøk på å hacke seg inn på nettbank-kontoer og stjele penger. Dette kvartalet har det imidlertid blitt skrevet norsk retts-historie: For første gang er en mann dømt for dette.

Det har også vært flere forsøk på å lure norske bankkunder gjennom falske web-sider via såkalt phishing. Kundene blir ledet til falske websider, som enten fører til at brukernes PC-er blir infisert, eller at kundene legger igjen brukernavn og pas-sord som bakmennene får full kontroll over. Sakene har fått bred medieoppmerksomhet dette kvartalet. I høst har NorCERT også håndtert flere forsøk på å manipulere eller omdirigere trafikken fra flere norske web-sider, blant annet via siden til et kjent norsk klesmerke. Noen sider har også fått injisert ondsinnede javascripts. Slike drive-by-angrep hvor brukeren blir infisert ved å surfe på tilsynelatende ufarlige websider. Dette er en vanlig måte å spre skadevare på, som i neste skritt gjør det mulig å nå norske brukere med eksempelvis nettbank-trojanere eller falsk antivirus programvare.

Vi har sett flere tilfeller av hacking av IP-telefoniservere. Hensikten er ofte å viderekoble IP-telefonnumre til dyre pre-mium-rate telefonnumre for økonomisk vinning. Det er viktig å huske at når man først har hacket en slik server, er det relativt enkelt å også drive overvåking av telefon-samtaler.

IndustriprosesskontrollsystemerNorCERT har hatt et noe større fokus på industriprosesskontrollsystemer (SCADA) denne perioden. Gjennom samarbeids-partnere har vi fått varsel om flere norske SCADA-systemer som står åpne tilgjengelige på Internett, gjerne bare sikret med standardpassord. Vi har varslet de

Sammendrag av kvartalet

KvartalSrapport for 4. Kvartal 2011 3norCErt – NASJONAL SIKKERHETSMYNDIGHET

Kraftig økningVi begynner med den kraftige økningen i antall saker. NorCERT opplevde en økning på 24% i antall saker fra forrige kvartal, og en total økning på 22% i antall saks-oppdateringer , se figur 3 og faktaboks.

Mye av økningen skyldes opprydnings-arbeidet i kjølvannet av «Operation Ghost

Click», hvor FBI og flere andre organisasjoner rullet opp datakrimgruppen bak skadevaren og svindeloperasjonen «DNSChanger».

Opprydningsarbeidet har gått ut på å informere norske internettilbydere om kunder som har vært kompromittert med «DNSChanger», og i fjerde kvartal for-midlet NorCERT informasjon om rundt 11.000 IP-adresser som trolig var kompromittert.

En effekt av dette er blant annet at kategorien «varsel om kompromitterte sys-temer til internettilbyder eller hosting-leverandør» har gått noe opp fra forrige kvartal, se tabell 1.

Forrige gang NorCERT opplevde en lignende økning i antall saker i løpet av ett kvartal var ved utbruddet av Conficker i 2008 og 2009.

Ser vi ett år tilbake, er økningen fra fjerde kvartal 2010 til fjerde kvartal 2011 på 44% for antall saker og 42% for antall saksoppdateringer.

NorCERT opplevde en kraftig økning i antall saker i fjerde kvartal 2011. Mye av økningen kom i kjølvannet av «Operation Ghost Click». I tillegg har NorCERT håndtert seksten alvorlige saker i fjerde kvartal, hvorar syv var nye for kvartalet. Vi skal også se nærmere på omfanget av saker med ulik prioritering, og spesielt på hvor mye arbeid som blir lagt ned per sak i de ulike kategoriene.

Nøkkeltall fra NorCERT

Tabell 1: Saker per hovedkategori:Sakskategori Saksantall Per dag Andel

Varsel om kompromitterte kundemaskiner til ISP eller hostingleverandør 1564 17,0 83,1%

Deling av informasjon med samarbeidspartnere, inkludert VDI-deltakere 186 2,0 9,9%

Varsler til deltakere i VDI 83 0,9 4,4%

Annet 49 0,5 2,6%

Totalt antall saker 1882 20,5 100%

BehandlingstidFor behandlingstid ser vi også effekten av økningen i antall saker som følge av «Oper-ation Ghost Click».

De fleste varsler fra NorCERT til norske internettilbydere har kort behandlingstid. De fleste varslene knyttet til «DNSChanger» er behandlet i løpet av én dag, og i fjerde kvartal ble 1565 saker behandlet i løpet av én dag, mot 1272 i tredje kvartal. Samtidig ser vi at flere saker har gått over to dager i forhold til tredje kvartal. Dette er en naturlig konsekvens av at vi har hatt flere varselsaker, da en viss andel alltid medfører litt mer oppfølging

enn resten.For saker med lengre behandlingstid er

det også en viss økning, men det store fler-tallet saker er fremdeles avsluttet innen én til to uker.

Når det gjelder de alvorligste sakene stiller det seg annerledes. Der er det riktig-nok stor variasjon i hvor lang tid en sak tar, men i snitt viser det seg at de alvorligste sakene tar godt over to måneder å håndtere.

Prioritet på nye sakerI forrige kvartalsrapport presenterte vi tall for prioritet på nye saker. Da rapporterte vi fem nye saker med høy prioritet. Basert på ny informasjon har vi i ettertid omprioritert to saker, slik at vi nå opererer med syv nye

saker med høy prioritet for tredje kvartal.Også i fjerde kvartal opprettet vi syv nye saker med prioritet fire, se figur 2.

Tallene for saker med prioritet tre er relativt like for tredje og fjerde kvartal. Derimot er det vesentlig flere saker med prioritet én og to i fjerde kvartal, mye på grunn av «Operation Ghost Click».

figur 1: Behandlingstid for saker i fjerde kvartal.

«NorCERT opplevde en økning på 24% i antall saker i fjerde kvartal 2011 ...»

«... i fjerde kvartal formidlet NorCERT informasjon om rundt 11.000 IP-adresser som var kompromittert med DNSChanger...»

KvartalSrapport for 4. Kvartal 20114 NASJONAL SIKKERHETSMYNDIGHET – norCErt

NøkkeltallI hver kvartalsrapport vil NorCERT presentere statistikk basert på egne data eller på analyse av andres. Formålet er å formidle kunnskap om NorCERTs arbeid og om det generelle IKT-risikobildet. På sikt er det mulig artikkelserien vil stabilisere seg rundt utvalgte målepunkter, men i starten kommer vi til å eksperimentere en del både med format og innhold.

SaksbehandlingNorCERT behandler alle saker mot eksterne parter i vårt interne saksbe-handlingssystem. Når vi rapporterer på antall saker vi håndterer, prøver vi sam-tidig å illustrere omfanget av de ulike sakene ved å rapportere antall oppda-teringer vi har per sak.

En oppdatering er enten innkom-mende eller utgående kommunikasjon, eller interne notater i saken. Vi rappor-terer dessuten kun på operative saker tilknyttet operasjonssenteret vårt. De fleste saker vil derfor være knyttet til hendelser NorCERT er involvert i å håndtere.

Antall saker og saksoppdateringer gir er relativt godt bilde av antall hen-delser vi håndterer, men håndtering av hendelser mot eksterne parter er i utgangspunktet kun én av mange opp-gaver NorCERT er satt til å løse.

Abuse-håndteringOrdet «abuse» brukes av internettilby-dere og sikkerhetsfolk for å beskrive misbruk av digitale tjenester, som for eksempel å sende ut spam eller angripe nettverk. I dag har de fleste internettil-bydere en såkalt «abuse-avdeling» som håndterer denne typen saker opp mot kunder, og det er til disse menneskene eller avdelingene NorCERT sender sine varsel om virus og svindel og annen uønsket aktivitet.

figur 2: Prioritering nye saker i fjerde kvartal.

Prioritet på behandlede sakerDersom man ikke kun ser på nye saker for fjerde kvartal, men ser på alle saker som har vært håndtert i perioden, ser bildet litt annerledes ut.

For de mindre alvorlige sakene er ikke den prosentmessige forskjellen på nye og behandlede saker stor, men for de alvorlig-ste sakene stiller det seg annerledes. NorCERT behandlet syv nye saker med høy prioritet forrige kvartal, men i tillegg arbeidet vi videre med ni alvorlige saker fra tidligere kvartal, totalt seksten, se figur 3.

Dette er en naturlig konsekvens av at den gjennomsnittlige behandlingstiden på de alvorligste sakene er over to måneder. Disse tallene gir også et mer riktig bilde av arbeidet knyttet til alvorlige saker enn bare å se på nye saker.

Alvorlige sakerEn alvorlig sak er dessuten ofte opphav til flere nye saker. For eksempel medførte en alvorlig hendelse i fjerde kvartal hele tolv relaterte saker, med rundt 300 saks-oppdateringer. I tillegg kom vesentlig res-sursbruk på analyse og annen bistand. NorCERT har brukt flere månedsverk bare

figur 3: Prioritering behandlede saker i fjerde kvartal.

på dette ene sakskomplekset i fjerde kvartal.

Dette er en trend vi har sett over tid. NorCERT bruker stadig mer ressurser på å håndtere de alvorligste sakene.

Selv om antall saksoppdateringer per alvorlige sak varierer veldig, har gjennom-snittet per sak mer enn doblet seg de siste årene, se figur 5. Dette gjelder også for den analysejobben som gjøres i forbindelse med hver alvorlige sak.

Vi ser også at det gjennomsnittlige antall saksoppdateringer for mellomprioriterte saker øker, mens vi klarer å holde arbeids-mengden per lavt prioriterte sak på et minimum.

«... medførte en alvorlig hendelse i fjerde kvartal hele tolv relaterte saker ...»

Tabell 2:Saker og saksoppdateringer i fjerde kvartal fordelt på prioritetPrioritet Saker Oppdateringer

Lav 1741 (+25%) 4779 (+22%)

Normal 134 (+2%) 1011 (+14%)

Høy 7 (0%) 366 (+57%)

Totalt 1882 (+24%) 6126 (+22%)

KvartalSrapport for 4. Kvartal 2011 5norCErt – NASJONAL SIKKERHETSMYNDIGHET

Conficker«Conficker» er navnet på et virus som begynte å spre seg i 2008, og som spesielt slo kraftig ut i 2009. Da var flere norske virksomheter slått ut på grunn av massive utbrudd på sine in-tranett. Viruset har fortsatt å spre seg siden den gang, men ikke på langt nær så ukontrollert som i 2009.

DNSChanger«DNSChanger» er navnet på en fami-lie av skadevare som har blitt brukt til svindel knyttet til annonsering på in-ternett siden 2007. I følge FBI har den vært installert på rundt fire millioner datamaskiner i over hundre land, og gjengen bak botnettet har tjent minst fjorten millioner dollar på svindelen, noe som med dagens dollarkurs er over 80 millioner kroner.

«DNSChanger» installerer seg på systemet på en måte som gjør den svært vanskelig å fjerne. Den har der-etter endret innstillingene for oppslag av domenenavn på internett (DNS), som har blitt endret til å peke til ser-vere styrt av gjengen bak «DNSChanger». Dette har gjort det mulig for gjengen å styre hvilke sider på internett kompromitterte maskiner har kontaktet, noe de har brukt til å gjennomføre annonsesvindelen.

I tillegg har de hatt muligheten til å kapitalisere ytterligere på det enorme botnettet sitt ved å installere annen skadevare på de kompromitterte maskinene.

Operation Ghost Click«Operation Ghost Click» er navnet på en internasjonalt koordinert aksjon, ledet av FBI, for å rulle opp den kriminelle gjengen bak datakrim-nettverket «DNSChanger». Det foreløpige resultatet av operasjonen er at seks personer fra Estland er arrest-ert, og at servere kontrollert av dem er overtatt av FBI og Internet System Consortium (ISC). Dette har gjort ISC i stand til å identifisere kompromit-terte klienter over hele verden, og det pågår nå en massiv innsats for å informere eierne av rundt fire millioner kompromitterte klienter.

Navneserverne til «DNSChanger» vil bli skrudd av 8. mars. Kompromit-terte brukere som ikke har fått fjernet viruset innen den tid vil ikke lenger få gjort domeneoppslag, og vil oppleve at de ikke får brukt internett.

NorCERT videreformidlet infor-masjon om rundt 11.000 IP-adresser til norske internettilbydere i november

UtviklingSer vi på utviklingen over tid går det klart frem at den typen saker som øker mest i omfang, er saker vi kategoriserer som lavt prioritert. Siden 2008 har den nesten fem-doblet seg, se figut 6.

Nedgangen i normalt prioriterte saker ser stor ut i overgangen fra 2009 til 2010, men den reelle veksten i antall lavt priorit-erte saker i samme periode er faktisk større.

I 2008 og 2009 endret vi kriteriene for hvilke saker vi anser for å ha normal prior-itet. Dette medførte en tid et fall i den type saker. Etter omleggingen har kategorien likevel fortsatt å vokse, og omtrent doblet seg siden første kvartal 2010.

«NorCERT bruker stadig mer ressurser på å håndtere alvorlige saker»

figur 4: Antall saker og saksoppdateringer i vårt saksbehandlingssystem per kvartal.

figur 5: Antall oppdateringer per sak per prioritet 4. kvartal 2011 (Merk: Logaritmisk y-akse.)

KvartalSrapport for 4. Kvartal 20116 NASJONAL SIKKERHETSMYNDIGHET – norCErt

PrioriteringNorCERT prioriterer saker på en skala fra én til fem, hvor fem er høyest. Denne prioriteringen avgjør hvor mye arbeid vi legger i sakene, og hvor raskt vi følger dem opp.

I visse sammenhenger deler vi skalaen inn i tre, fra lav til høy. Da er pri-oritet én og to «lav», tre er «normal» og fire og fem er «høy».

I tillegg til dette har vi en generell prioritet på hovedområder innenfor vårt virksomhetsområde, som sier hvilke typer saker vi overhode skal følge opp. Hendelser eller informasjon som faller utenfor prioriterte områder legges ofte bort uten at det blir opprettet en formell sak av det.

Operativ håndteringNorCERT prioriterer å håndterer saker innen to hovedområder. Det første er det vi forstår som typisk CERT-arbeid, nemlig å sørge for varsling og i noen grad oppfølging av «abuse»-relaterte saker. Dette dreier seg typisk om å varsle inter-nettilbydere om virusinfeksjoner, og om sider som sprer virus eller medvirker til svindel. Disse sakene står for størsteparten av volumet, og er som oftest lavt prioriterte. De følges også i liten grad opp når varsel er sendt.

Grunnen til at vi velger å bruke ressurser på dette arbeidsområdet er at det er viktig for å holde den norske delen av internett så trygt som mulig, altså så fri for virus og svindel som mulig. Arbeidet er en dugnad med ISPen. Selv om hver enkelt sak er svært lavt prioritert, gjør det samlede volumet av slike saker det viktig å følge opp selve området. Uten denne dugnaden ville langt flere norske maskiner og brukere blitt og forblitt kompromittert, og dette hadde skapt store sikkerhetsutfordringer.

Det andre hovedområde er oppfølging av alvorlige hendelser hos kritiske og samfunnsviktige virksomheter, herunder deltakere i VDI-samarbeidet. De største og mest alvorligste sakene i denne hovedkategorien dreier seg ofte om en eller annen form for digital spion-asje. Det er dette området som legger beslag på mest ressurser hos NorCERT.

Andelen høyt prioriterte saker varierer en del, men har i snitt økt. Samtidig har arbeidsmengden for hver alvorlige sak økt klart, se figur 5.

Totalt sett vokser fremdeles saks-mengden NorCERT håndterer jevnt over tid, se figur 4.

Det er flere grunner til at antall saker øker. Én viktig grunn er at VDI-samarbeidet stadig utvider seg, slik at NorCERT får flere deltakere i det nasjonale sensornettverket. I tillegg implementerer vi over tid også ny sensorteknologi, som gradvis blir rullet ut.

Vi opplever samtidig at et stadig økende fokus internasjonalt på å bekjempe data-krim og ta ned store botnet, medfører at vi blir mer involvert i å varsle ISPer og brukere av kompromittert utstyr. Dette er en viktig jobb for å bekjempe misbruk, svindel og angrep på nettet.

«Totalt sett vokser fremdeles saksmengden NorCERT håndterer jevnt over tid »

I tillegg til dette knytter vi dessuten stadig nye kontakter i det nasjonale og internasjonale sikkerhetsmiljøet, noe som bidrar til et økt informasjonstilfang som i mange tilfeller medfører at vi oppretter nye saker.

Denne utviklingen tror vi fortsetter, og den gjør NorCERT i stand til å oppdage og starte håndteringen av stadig flere alvorlige hendelser hos samfunnsviktige og -kritiske virksomheter.

figur 6: Antall saker per prioritet. (Merk: Logaritmisk y-akse.)

«Denne utviklingen tror vi fortsetter, og den gjør NorCERT i stand til å oppdage og starte håndteringen av stadig flere alvorlige hendelser hos samfunnsviktige og

-kritiske virksomheter»

KvartalSrapport for 4. Kvartal 2011 7norCErt – NASJONAL SIKKERHETSMYNDIGHET

DataspionasjeMålrettede operasjoner, målrettede trojanere, «Advanced Persistent Threat (APT)», «targeted attacks», informasjon-innhentingsoperasjoner, er alle navn for det samme: dataspionasje, utført mot det offentlige eller det private næringsliv for å stjele informasjon. Media nevner stadig saker relatert til «zero-day»-sårbarheter (sårbarheter det ikke finnes sikkerhets-oppdateringer til). Disse blir utnyttet sammen med trojanere og skadevare til industrispionasje og stjeling av sensitiv informasjon. NSM ga i 2008 ut en egen rapport om målrettede trojanere. Rapporten finnes tilgjengelig på NSM sine hjemmesider.

AngrepsmålHvem er målet for dataspionasje? Store selskap som Google, Adobe, og RSA er noen av de som har innrømmet at de har vært offer for dette, men vi ser at også norske virksomheter rammes av det samme. Personer som er spesielt utsatt er toppledere eller nøkkelpersoner i bedrift-ene. NSM gikk ut til media i november og fortalte om 10 alvorlige tilfeller av data-spionasje mot norske bedrifter. I NSMs års-

melding for 2010 ble også flere av sakene som NorCERT har håndtert nevnt. På grunn av omstendigheten rundt hendelsene og de berørte partene, er sakene ofte svært sensitive. Detaljer rundt hvem som er målet og på hvilken måte operasjonene er utført, ønsker vi derfor ikke å gå ut med.

Hvorfor angår dataspionasje deg og din virksomhet? Hovedmotivet for data-spionasje er på lik linje med annen spion-asje, å innhente verdifull og ofte sensitiv informasjon. Det kan for eksempel være ønske om å hente informasjon om budsjett

Digital spionasje er en alvorlig trussel som norsk næringsliv må ta på alvor. Ofte kan dette være vanskelig å oppdage og mange har ikke erfaring med hvordan de skal håndtere hendelsen. NorCERT bistår mange av de virksomhetene som blir rammet med kartlegging av omfanget av hendelsen, ved analyse av kompromitterte maskiner og analyse av skade-varen som blir benyttet. I denne artikkelen ønsker vi å sette fokus på dataspionasje.

og økonomiske forhold som kan ha innvirk-ninger for børsnoteringer. Det kan også være innhenting av fortrolige person-opplysninger, kartlegging av nøkkel-personer, kundedatabasen eller finne virksomhetskritiske installasjoner.

Konsekvensene av dataspionasje kan derfor være store for bedrifter. Hvis en bedrift er i kontraktsforhandlinger, kan lekket informasjon potensielt føre til tapte kontrakter eller mindre inntjening. Andre mål for en trusselaktør kan være å få kjennskap til informasjon omkring produkt-utvikling og patenter. Dette kan gjøre at bedriften mister konkurransefortrinn. En

ytterste konsekvens av datainnbrudd og spionasje kan være store økonomiske tap eller konkurs. Sertifikatutstederen Digi-Notar, som nevnt i forrige kvartalsrapport, er et eksempel på dette. DigiNotar gikk konkurs etter at de hadde datainnbrudd med påfølgende utstedelse av falske serti-fikater. Etter at saken ble kjent, forsvant tilliten til deres kjerneprodukt og de mistet rettet til å utstede sertifikater. Dermed forsvant også kundene og DigiNotars livs grunnlag.

Metode Hvordan blir bedrifter og det offentlige utsatt for spionasjeangrep? En trend de siste årene er at sårbarheter i klient-applikasjoner eller sosial manipulering av sluttbrukere, er inngangsporten for kom-promittering av datasystemer.

Det er ikke nødvendigvis slik at de angrepene som benyttes trenger å være

Digital spionasje

veldig sofistikerte. Ofte vil trusselaktøren kun benytte de metodene som er høyst nødvendige for å få tilgang. I mange av angrepstilfellene benyttes sosial manipuler-ing for å få e-postmottakere til å åpne et vedlegg eller følge en lenke som er inklu-dert i e-posten. E-postene som sendes vil ofte være skreddersydd for mottakerne. Temaet eller avsender er ofte relevant for mottakeren, slik at sjansen for at vedlegg

blir åpnet er større. Se illustrasjon 1 for et eksempel på hvordan en slik e-post kan se ut. I noen tilfeller er det sårbarheter i hånd-tering av dokumentformater utnyttes for å få tilgang, men like ofte kan det være kjørbare skadevarefiler forkledd som dokumenter.

Skadevarefiler sørger som regel for å opprette et dokument på systemet, som så blir åpnet, slik at brukeren ikke skal bli mis-tenksom. Samtidig som dette skjer, vil en trojaner installeres på systemet. Vedleggene med skadevaren er ofte nøye sjekket på forhånd, slik at de ikke skal detekteres av antivirusløsninger. Skadevaren vil dneeretter gi angriperen full kontroll over systemet og kan for eksempel brukes til å hente ut dokumenter og annen informasjon som finnes på systemet. Har angriperen først fått kompromittert én maskin i en bedrift, så har de én fot innen-for. Det vil ofte være lettere å angripe andre maskiner i bedriften fra denne og dermed få et større fotfeste, som vil kunne gjøre det vanskeligere å fjerne inntrengeren.

DeteksjonMålrettet dataspionasje kan være vanskelig å oppdage. Hvis trusselaktøren som står

«Dataspionasje er en alvorlig trussel som norsk næringsliv må ta på alvor»

«Det er ikke nødven-digvis slik at de an-grepene som benyttes trenger å være veldig sofistikerte»

«Hovedmotivet for dataspionasje er, på lik linje med annen spio-nasje, å innhente ver-difull og ofte sensitiv informasjon»

KvartalSrapport for 4. Kvartal 20118 NASJONAL SIKKERHETSMYNDIGHET – norCErt

NorCERTs rolle

■ NorCERT er i en unik posisjon når det gjelder å detektere og håndtere hendelser relatert til dataspionasje

■ Med VDI (Varslingssystem for Digital Infrastruktur) har NorCERT et sensornettverk som omfatter både det private næringsliv og offentlige myndigheter

■ NorCERT samarbeider innenlands og utenlands med rekke ulike aktører innenfor IKT-sikkerhet

■ Informasjonsutveksling nasjonalt og internasjonalt er essensielt for å kunne oppdage nye hendelser

■ NorCERT har ikke fokus på hvilke aktører som står bak hendelsene, men bistår de to øvrige EOS-tjenestene i Norge med kompetanse og kartlegging

Tiltak ■ Brukeropplæring: Be de varsle ved noe

mistenkelig

■ Vær varsom med åpning av vedlegg eller lenker i e-post

■ Sikkerhetsherding av datamaskiner

■ Ikke tillate annet enn forhåndsgodkjente applikasjoner

■ Begrens tilgangrettighetene til sluttbrukerne

■ Ha oppdatert oppdatert programvare og antivirus

■ Dedikert CSIRT sikkerhetsteam for håndtering av hendelser

■ Fokus på sikkerhet må være forankret i ledelsen

bak har ressurser og kunnskap, vil de kunne utføre angrep som omgår vanlige inn-bruddsdeteksjonssystemer (IDS) og antivirus programvare. Enkelte angrep blir derfor oppdaget enten ved oppmerk-somme sluttbrukere, som reagerer på at noe er galt, eller ved tilfeldigheter. NorCERT har sett mange tilfeller der angrep først har blitt oppdaget flere

måneder eller år etter at datainnbruddet fant sted. Kanskje har antivirusprogramvare ikke deteksjon av skadevaren som benyttes før lenge etter hendelsen oppstod eller så har hendelsen på andre måter blitt oppdaget ved nærmere analyse i ettertid.

Skadevare eller trojanere i spionasje-angrep vil ofte «snakke hjem» ved å regelmessig utføre oppslag mot et konfig-urert eller hardkodet domene eller IP-

adresse. Analyse av nettverkstrafikk er der-for viktig for å oppdage hendelser, men det kan være vanskelig å finne noe mistenkelig hvis man ikke allerede er kjent med de domenene eller IP-adressene som benyttes. Har man informasjon om dette kan man for eksempel søke i Netflow-data eller i proxy-logger for å finne kompromitterte maski-ner. Det er også mulig å lage IDS-regler for å detektere mistenkelige trafikk basert på spesielle kjennetegn i nettverkstrafikken fra skadevaren. Denne informasjonen kan man få fra analyse av skadevaren eller fra samar-beidspartnere som har håndtert liknende hendelser.

AnbefalingerEn fullstendig beskyttelse mot dataspion-asje kan virke umulig. Det er kanskje på tide å erkjenne at trusselen er reell og vanskelig å unnslippe. Man må i større grad innse at man alltid er sårbar og at man også må fokusere på å håndtere og begrense skadene når hendelsene oppstår. Det betyr ikke at man må glemme å sikre systemene, men man må ikke gå ut i fra at antivirus-programvare, brannmurregler, oppdatert programvare og andre tiltak er godt nok. Det er derfor viktig at man har systemer og rutiner på plass når hendelsen først inntref-fer. Det er også viktig å tenke på sikker-heten for gjestebrukere, innleide konsu-lenter, samarbeidspartnere og datterselskap med tilgang til bedriftens datasystemer og nettverk. Ingen er i slike tilfeller tjent med ansvarsfraskrivelse!

«Hvis trusselaktøren som står bak har ressurser og kunnskap, vil de kunne utføre angrep som omgår vanlige innbrudds-deteksjonssystemer (IDS) og antivirus-programvare»

Illustrasjon 1: Eksempel på spear-phishing.

KvartalSrapport for 4. Kvartal 2011 9norCErt – NASJONAL SIKKERHETSMYNDIGHET

NorCERT har en rekke partnere og medlemmer fra det offentlige og det private næringsliv som utgjør en samfunnskritisk funksjon. Avhengig av alvorlighet vil disse samarbeidspartnerne ofte bli prioritert når det er oppstår mange hendelser samtidig. NorCERT mottar gjerne informasjon og bistår om mulig øvrige organisasjoner og bedrifter også, men det primære fokusområdet er de med samfunnskritisk funksjon. NorCERT har dessverre ikke anledning til å håndtere alle hendelsene vi mottar informasjon om.

Det er viktig med innsamling av mest mulig info om hendelsen, slik at man kan best mulig kartlegge hendelsesforløpet, finne kompromitterte maskiner og prøve å begrense skadeomfanget. Til slutt må man gjenopprette tilstanden og innføre tiltak for å prøve å motvirke at liknende hendelser inntreffer igjen.

Spesielt viktig er det å gå igjennom det man har av logger, som for eksempel log-ger fra IDS og IPS, brannmurlogger, proxy-logger, mail-logger, DHCP-logger eller antiviruslogger. Logging av «passiv DNS» eller andre DNS-logger er også nyttige for å finne ut hvilke domeneoppslag som er gjort og finne ut hvilke IP-adresser dome-nene har på forskjellige tidspunkt. Spesielt er det nyttig hvis all logging skjer sentralt, for å gjøre søking enklere. Man må også vurdere hvor lenge man skal ha logger tilgjengelig. NorCERT har erfart at enkelte kompromitteringer har vart i ett til to år før de har blitt oppdaget. I denne kvartals-rapporten har vi en egen artikkel som omhandler logging.

Analyse av nettverkstrafikk er også en viktig del av hendelseshåndteringen. Omtrent all skadevare som brukes i data-spionasje rapporterer tilbake til trussel-aktøren. Ofte vil det være slik at trussel-aktøren ønsker å kontrollere de kompro-mitterte maskinene, for eksempel for å be de hente ned ny skadevare, innhente infor-masjon om den kompromitterte maskinen, eller hente ut den informasjonen og de data som trusselaktøren er interessert i hos bedriften. Denne kommunikasjon fra skadevaren eller for hjemsendelse av data vil skje over Internett og derfor er analyse av nettverkstrafikk essensielt for å avdekke hva som har skjedd og hvordan data har blitt hentet ut. Det vil kun være mulig å

Hva gjør man når hendelsen inntreffer? Mange virksomheter har ikke gode nok rutiner eller erfaring med håndtering av IT-sikkerhetshendelser.

finne ut hvilke data som har blitt tapt, hvis man har full pakkedump av innholdet i nettverkstrafikken.

Kombinert med analyse av nettverks-trafikk er det viktig med analyse av skadevarene som benyttes. Denne analysen vil kunne si noe om hva som sendes over nettverket og hvor det sendes. Dette er essensielt for å finne ut hvordan data tappes og hvordan angriperen kontrollerer de kompromitterte maskinene. Analysen vil avdekke hvilke IP-adresser, domener og nettverksprotokoller som benyttes i kom-munikasjonen. Dette vil igjen benyttes i nettverksanalyse og til søk i logger for å finne andre kompromitterte maskiner og hvor lenge det har pågått. Denne informas-jonen kan også benyttes til å lage IDS-regler for å avdekke nye kompromittering. Analyse av skadevare er altså viktig for å finne ut dens funksjonalitet, kapasitet, kommando- og kontrollkanal, samt finne ut hva slags type skadevare det er og kanskje få indikasjoner på hva trusselaktøren er ute etter på systemet.

I tillegg til analyse av nettverkstrafikk og skadevare er det vel så viktig å analysere harddisken og minnet til de kompromitterte maskinene. Analyse av disk og minne er ofte den eneste måten å finne ut hva som har skjedd ved en hendelse. På disk kan man avdekke hvor lenge et system har vært kompromittert, hvilke filer som har blitt opprettet og kanskje ha mulighet til å finne ut hva infeksjonsvektoren er, det vil si hvordan trusselaktøren opprinnelig fikk tilgang til maskinen. Analyse av minnet i maskinen vil kunne hjelpe til for å finne skadevare, da denne som regel vil kjøre på systemet. I minnet er det også informasjon som kun eksisterer når systemet kjører, og dette vil gå tapt når maskinen slås av. Når man finner kompromitterte maskiner, bør man derfor vurdere å ta en dump av minnet før maskinen slås av og sikres.

Dessverre så er det slik for mange bedrifter at når de er klar over at de er kom-promittert og at maskiner er infisert med skadevare, så ønsker de raskest mulig å gjenopprette situasjonen ved å re-installere maskinen. NorCERT anbefaler å vente med dette til hendelsen har blitt håndtert. Hvis man re-installerer maskinen vil man fjerne «bevis» og alle spor fra kompromitteringen.

Hendelseshåndtering

Hvorfor bør man ikke bare re-installere kompromitterte maskiner?

■ Det er vanskelig å finne ut hvordan angriper kom inn i systemet, og der-for utfordrende både å rydde opp samt sikre mot fremtidige angrep.

■ Man vil ikke få vite hva angriper har gjort på systemet, hvor lenge han har vært der, og kan ikke vurdere skade-omfanget.

■ Det vanskeliggjør muligheten for å finne skadevaren som ble benyttet. Dette er viktig da angrepet også kan omfatte andre maskiner i nettverket.

■ Man vil ikke finne brukerne av maskinen. Deres passord, e-post, eksterne lagringsenheter etc kan være kompromittert.

■ Det kan være vanskelig å forstå trusselaktørens metodikk.

Foto: illustrasjonsfoto. Colourbox

KvartalSrapport for 4. Kvartal 201110 NASJONAL SIKKERHETSMYNDIGHET – norCErt

Publisering eller hemmelighold?For NSM var det en viktig problemstilling å vurdere om man skulle publisere informas-jon, eller fortsatt ha hemmelighold. Norske bedrifter kan tape konkurransemessige og finansielle fortrinn hvis det blir kjent at de har hatt datainnbrudd. Hvis man avslører hvordan angrepene foregår i detalj, vil de som står bak også kunne endre sin angrepsmåte for å hindre å bli oppdaget neste gang.

Spørsmålet NSM stilte seg er hva som har størst samfunnseffekt. NSM har som

I november 2011 valgte Nasjonal sikkerhetsmyndighet å gå ut til media for å fortelle om flere alvorlige data-innbrudd. Det var funnet likhetstrekk i hvordan mange av angrepene utføres, hvordan skadevarene er program-mert og hvordan de kompromitterte maskinene blir kontrollert av angriper. Likhetstrekkene tyder på at det trolig er samme aktør som har utført en rekke datainnbrudd og spionasje mot store norske bedrifter og konsern.

visjon å sikre samfunnsverdier og valgte derfor publisering som det mest riktige. Det viktigste var å få fokus på at spionasje mot norske bedrifter er et alvorlig problem. Publisering er viktig for å nå ut til topp-ledere, men også de øvrige ansatte. Topp-lederne er de som må prioritere sikkerhet i en stram ressurssituasjon. De ansatte må, sammen med ledelsen, være bevisste på hva de står ovenfor og hva risikoen er for deres bedrift. Spesielt gjelder dette rundt målrettede angrep via e-post, hvor slutt-brukernes oppmerksomhet er viktig for å

Offentliggjøring av spionasjesaker

Foto:Illustrasjonsfoto, faksimile fra Aftenposten 15. november 2011.

oppdage slike angrep.Publiseringen førte til en storm med

henvendelser fra offentlige og private virk-somheter som ønsket mer informasjon. Dette gjorde at NorCERT også kom i dialog med virksomheter som vi tidligere ikke har vært i direkte kontakt med. Det var blant annet virksomheter, med hoved-kontor og IT-sikkerhetsorganisasjon i utlandet. Enkelte av disse virksomhetene fikk noe mer informasjon enn det som ble publisert i media.

KvartalSrapport for 4. Kvartal 2011 11norCErt – NASJONAL SIKKERHETSMYNDIGHET

Rekognisering

Bevæpning

Levering

Utnyttelse

Installering

Kommando og kontroll

Handlinger

«Cyber Kill Chain» er en modell som Lock-heed Martin’s CIRT har adoptert fra tradi-sjonelt forsvar og tilpasset cyberdomenet. Modellen identifiserer syv steg som en angriper må gå igjennom for å lykkes med et angrep. Modellen er utviklet med tanke på avanserte angrep som gjerne betegnes som APT.

I lys av NSM/NorCERTs offentlig-gjøring av informasjon om pågående data-spionasje kan det være flere som bør være interessert i dette.

Navnet «Cyber Kill Chain» kommer av at det er en kjede med faser som angriper må fullføre for å lykkes. Dersom man bryter kjeden vil ikke angrepet være vellykket – i denne omgang. Ved å bruke denne modellen, kan man raskt identifisere hvor langt angrepet har kommet og dermed styre hendelseshåndteringen etter dette.

Sett at man avverger et angrep fordi man har en observant arbeidstaker som reagerer på en mistenkelig e-post. Da kan man gjerne tenke at «Da var det angrepet av verget. Det var veldig bra!». Angriperen vil høyst antagelig prøve igjen med en

mindre mistenkelig e-post. Cyber Kill Chain beskriver hvordan man bør følge opp og lære av angrep, for å unngå at sofistikerte angrep går uoppdaget under radaren.

For å kunne lære av observerte hendelser bør man simulere resten av kjeden for å sikre at man kan oppdage disse fasene ved neste angrep. På samme måte bør man spore angrepet bakover for å kunne se om man kunne avdekket/av verget angrepet i en tidligere fase. Dette faller gjerne inn i den siste (og gjerne for-

Den 15. desember holdt NorCERT et forum for NorCERT-medlem-mer og samarbeidspartnere. Her var det en rekke interessante fore-drag som ble holdt, noen av foredragsholderne kom helt fra USA. Et tema som på grunn av tidsmangel ikke fikk en stor nok plass i program-met var «Cyber Kill Chain». Dette var et interessant tema som Nor-CERT i etterkant fikk diskutert nærmere med foredragsholderen.

sømte) oppgaven i hendelseshåndtering.Modellen beskriver de forskjellige

angrepsfasene som i de fleste tilfeller benyttes ved avanserte angrep:

Fase 1 – RekognoseringI denne fasen vil angriperen utføre re-kognosering etter informasjon som kan benyttes i angrepet. Angriper vil forsøke å finne informasjon om teknologi, nøkkel-personer og infrastruktur. Å beskytte seg helt mot dette kan man ikke, men man kan forsøke å gjøre det vanskeligere for angrip-eren. Man kan for eksempel vurdere å ikke publisere de ansattes e-post-adresser på bedriftens nettsider. I tillegg vil det være nyttig å fjerne metadata fra publiserte dokumenter slik at angriper ikke lett kan hamstre brukernavn, adresser til interne servere etc. Det man kan gjøre er å sørge for at man har sentralisert logging som kan hjelpe til å spore tilbake til hva en angriper har vært ute etter i denne fasen. Denne informasjonen kan man så bruke til å vur-dere nye sikringstiltak.

Fase 2 – BevæpningDette er fasen hvor angriperen gjerne setter sammen en trojaner med angreps-kode. Trenden de siste årene har vært at sårbare versjoner av klientprogrammer fra Adobe og Microsoft utnyttes. Siden denne fasen hovedsaklig utføres utenfor din perimeter er det ikke mye man kan gjøre for å påvirke denne fasen. Det betyr ikke at fasen bør glemmes, man kan nemlig bruke det til å karakterisere angriperens verktøy.

Fase 3 – LeveringLeveringen av «våpenet» er selvfølgelig en viktig del, selv om det ikke nødvendigvis er avanserte metoder som benyttes. Den van-ligste metoden er e-poster med informa-sjon som er hentet fra rekognoseringsfasen. For å kunne oppdage nye angrep i denne fasen bør man se etter IP-adresser knyttet til tidligere angrep. Man kan også bruke andre kjennetegn som e-post adresser, tekststrenger, URLer og lignende. Et annet naturlig tiltak vil være antivirus-skanning av

Cyber Kill Chain

«Et av spørsmålene [...] er hvorvidt denne typen alvorlige hendelser også kan ramme norske bedrifter og internettbrukere»

KvartalSrapport for 4. Kvartal 201112 NASJONAL SIKKERHETSMYNDIGHET – norCErt

vedlegg og URLer. Eventuelle trojaniserte vedlegg bør brukes for å simulere videre angrep, dette innebærer dermed å ta vare på de ondsinnede vedleggene slik at man kan for eksempel finne ut hvilke domener eller IP-adresser trojaneren kontakter. Hvis man da har god logging på plass kan man i flere tilfeller oppdage ukjente infeksjoner på maskiner som har samme trafikkmønster som trojaneren.

Fase 4 – UtnyttelseI denne fasen trigges sårbarheten som får angriperens kode fra fase to til å kjøre. Det kan være sårbarheter i programvare, men det svakeste leddet kan vel så gjerne være en person. Om man identifiserer at angripere stadig forsøker å utnytte sårbare versjoner av Adobe-progammer, bør man vurdere om man er god nok til å holde Adobe oppdatert. Er det derimot sosial manipulering som benyttes, kan bruker-opplæring for å øke sikkerhetsbevisstheten være viktigere.

Fase 5 – InstalleringEtter vellykket utnyttelse av en sårbarhet så er neste fase å sikre tilgang til systemet. Derfor installerer trojaneren fra fase 2 seg slik at den starter sammen med systemet. For å holde seg skjult på systemet kan root-kit-funksjonalitet benyttes. Her kan man gjøre en del for å herde systemene. Det mest vanlige verktøyet for å beskytte seg mot denne fasen er antivirus-programmer. Man kan også sette begrensninger på hvilke programfiler som kan startes (whitelisting). NSM har gitt ut en vei-ledning for sikring av Windows 7 -«Grunn-leggende tiltak for sikring av Windows 7»

Fase 6 – Kommando- og kontrollserverFor å kunne kommunisere med og motta kommandoer fra angriperen vil trojaneren vanligvis ta kontakt med et domene eller en IP-adresse. Om man ikke vet hva man skal se etter vil det være umulig å skille denne trafikken fra den legitime trafikken. Første steg for å kunne oppdage denne trafikken er å logge nettverkstrafikk. Dette kan være så enkelt som proxy-logger, netflow eller komplett pakkedata. Denne informasjonen kan være uvurderlig når man skal nøste opp i hendelse, men om man ikke vet hva man skal se etter kan det være som å lete etter en «nål i høystakken». For å oppdage angrep i denne fasen kan man benytte seg av erfaringer fra andres angrep og kon-trollere nettverkstrafikken med IPS/IDS. I

NorCERT benyttes VDI-nettverket for å kunne oppdage angrep på tvers av sektorer i samfunnskritisk nasjonal infrastruktur. I forrige kvartalsrapport skrev vi om betydningen av å logge DNS oppslag med passiv DNS.

Fase 7 – Handlinger mot måletDette er den siste fasen hvor angriperen fullfører angrepet. Om angriperen ikke får fullført sine mål er hele angrepet mislykket. For å hindre angriperen å lykkes i denne fasen bør man gjøre en verdivurdering av informasjonen i organisasjonen og gjøre ekstra tiltak for å beskytte informasjon av høy verdi. Om man oppdager angrepet i tide kan man infisere en maskin under kontrollerte forhold for å avdekke hva angriperen er ute etter. Hvis man først oppdager angrepet i ettertid kan man benytte logger fra systemet for å avdekke hva angriperen har aksessert. På den måten kan man vite hva man har mistet slik at man kan utføre analyser for å beregne eventuelle tap.

Korrelering av angrepModellen er nyttig for å kunne korrelere angrep. Om man ser samme Adobe-sårbar-het benyttes i to angrep så betyr ikke det at de nødvendigvis har samme opphav. Kan man i tillegg også se at kommando-og- kontroll-infrastrukturen har likheter kan det gi sterkere indikasjoner på at angrepene er korrelerte.

Kill-Chain-modellen er utviklet for å bedre kunne håndtere og detektere sikker-hetstruende IKT-hendelser, og data-spionasje spesielt. For de fleste av fasene en trusselaktør må gå gjennom for å oppnå sitt mål, vil det finnes mulige mottiltak som vil gjøre forsvar mot slike angrep mer robust.

Som alle modeller vil også denne ha noen svakheter. Hvis en angriper full-stendig forandrer måten å operere på vil man måtte bygge opp mye av kunnskapen på nytt. Det vil uansett være nyttig å være bevisst disse angrepsfasene og eventuelle mottiltak slik at man kan gjøre en vurdering av hvilke tiltak som gir høyest sikkerhets-messig avkastning for sin organisasjon.

Lockheed MartinLockheed Martin er et amerikansk selskap som er en en stor aktør innen forsvarsindustrien, samt luft- og rom-fartsindustri. Selskapet er for eksempel det største innen statlige kontrakter i USA med 38 milliarder dollar (2009). Selskapet vil også levere de nye norske jagerflyene F-35 Lightning II. Lockheed Martin var også trolig et av hoved-målene for de som stod bak kompromitteringen av RSA.

APT«Advanced Persistent Threat». Beskriver en bestemt type trusselaktør, og kan direkte oversettes til «avansert, vedvarende trussel». Når man omtaler en trussel som «APT», menes gjerne statlig eller statssponset spionasje eller industrispionasje. Aktøren kjenne-tegnes ved at den gjør det som må til for å få adgang til deler av målets nettverk, og sørger for å beholde den tilgangen for å hente ut informasjon over tid. Aktøren vil sjeldent stoppe sine forsøk selv om forsøkene blir oppdaget og avverget. Først brukt av US Navy for å beskrive digital spionasje.

CIRT«Computer Incident Response Team». Organisasjon i en virksomhet som håndterer sikkerhetstruende IKT-hendelser».

Foto: illustrasjonsfoto. Colourbox

KvartalSrapport for 4. Kvartal 2011 13norCErt – NASJONAL SIKKERHETSMYNDIGHET

Når man er syk drar man gjerne til legen hvor det kan bli tatt prøver av eksempelvis blod og urin. Undersøkelser av disse prøvene kan bidra til å finne ut hvorfor personen ble syk og hvilken behandling som trengs. På samme måte har man i dagens informasjonssamfunn behov for rask tilgang til gode loggdata ved IKT- baserte sikkerhetshendelser. En lege uten mulighet til å foreta blod- og urinprøver vil i mange tilfeller ha store problemer med å stille riktig diagnose.

Når en hendelse inntreffer er under-søkelser og hendelsesdiagnose en viktig del av arbeidet for å komme tilbake til normal-tilstand samt for å vite hvordan man skal prioritere hendelsen. I denne prosessen er det gjerne et mål å skaffe mest mulig in formasjon om det inntrufne og omfanget slik at man får utført nødvendige tiltak.

Ved IKT-hendelser blir slik informasjon gjerne skaffet gjennom forskjellige typer loggdata. Korrelering av disse dataene kan i mange tilfeller være til stor hjelp ved hendelses håndtering, og kan i tillegg være en ressurs for å oppdage nye angreps-mønster basert på merkelige logginnslag.

En investering i gode loggførings-løsninger kan virke som bortkastet om man

Vår påstand er at sammenstilling og analyse av loggdata er en essensiell del av IKT-sikkerhetsarbeidet. Denne prosessen bidrar til en bedre forståelse for egen infrastruktur, samt bedrer evnen til å håndtere sikkerhetstruende IKT-hendelser når de oppstår på en god måte. Skadeomfang ved en hendelse vil være svært vanskelig å identifisere uten god logging.

ikke har opplevd sikkerhetshendelser, eller tror man ikke har hatt slike hendelser i organisasjonen. Som med mye sikkerhets-arbeid er det synd at man skal oppleve

hendelser før man merker nødvendigheten av investeringer som burde vært gjort i for-kant. Som et nasjonalt CERT ser vi mye for-skjellig prioritering rundt dette arbeidet, og ofte merker vi at god og rask logghåndter-ing gjenspeiler en veletablert sikkerhets-organisasjon.

Loggkorrelering i sikkerhetsøyemed

LoggtypperDet finnes som sagt forskjellige kategorier loggdata. Som en grovinndeling kan man skille på logging fra sikkerhetssystemer, operativsystemer og applikasjoner. Dette er inndelingen som National Institute of

Standards and Technology (NIST) bruker og omtaler mer detaljert i sin «Guide to Computer Security Log Management». Dette dokumentet dekker mye av arbeidet rundt bruk av logger som en del av sikker-hetsorganisasjonen. NIST har valgt å dele loggkategorier basert på sikkerhet, operativsystem- og applikasjonsnivå, mens

«En lege uten mulighet til å foreta blod- og urinprøver vil i mange tilfeller ha store prob-lemer med å stille riktig diagnose...»

«...ofte merker vi at god og rask logghånd-tering gjenspeiler en veletablert sikkerhets-organisasjon »

Foto: illustrasjonsfoto. Colourbox

KvartalSrapport for 4. Kvartal 201114 NASJONAL SIKKERHETSMYNDIGHET – norCErt

Hvordan sikre seg? Australske myndigheter har pre-sentert en 35-punkt liste for hvor-dan sikre seg mot og håndtere mål-rettede angrep.

Australske myndigheter, ved DSD, kom i sommer med en oppdatert liste over måter å håndtere målrettede angrep på. De har analysert en stor mengde angrep og utifra dette prioritert hvilke tiltak man bør gjøre, herunder også forsøkt å vurdere kost-effektivitet.

Listen er på 35 punkter, men følger man de 4 første, vil man allerede stanse 85% av alle angrep i datagrunnlaget: De 4 viktigste tiltakene er:

1. Patche programvare (som PDF lesere, MS Office, Java, Flash og web-lesere)

2. Patche operativsystemet 3. Redusere antall brukere med

administrator-tilgang 4. Gjennomføre whitelisting av

programmer

Som en digresjon er antivirusprogramvare satt som punkt 21 på listen, noe som bør være en klar påminnelse til alle om at oppdatert antivirus ikke er nok for å være sikker.

Les mer på http://www.dsd.gov.au/in-fosec/top35mitigationstrategies.htm

Australias «Defence Signals Directorate» (DSD) har valgt å dele dette inn i nettverks-baserte logger og klientbaserte logger.

Av de nettverksbaserte loggene som trekkes frem som særdeles viktige av DSD er det spesielt DNS-logger og logging fra web-proxy som vil være gode verktøy for å oppdage og nøste opp i datainnbrudd.

Håndtering av saker gjennom bruk av DNS-data har vi tidligere omtalt ved artikkel om teknologien Passiv DNS-replikering, se kvartalsrapport for tredje kvartal 2011. Når det gjelder logger fra web-proxy er disse svært nyttige for å verifisere infeksjoner ved å se etter trafikkmønster mot kommando og kontrolltjenere. DSD nevner også netflow-data som en nettverksbasert logg som er anbefalt å benytte seg av, dette er altså metadata om trafikken slik som protokolltype, avsender- og mottaker-adresser og porter, størrelse og tidspunkt. Hvis man da ser en suspekt adresse i disse flow-dataene kan man gjøre videre under-søkelser ved oppslag i proxy-loggene for å se om dette samsvarer med trafikk-mønsteret man har notert som mistenkelig.

Klientbaserte logger omfatter en hel del forskjellige type logger. For det første har man de loggene som operativsystemet bidrar med. Disse varierer fra de for skjellige operativsystemene, men typisk har man logger som dokumenterer vellykkede og

«Et enkeltstående merkelig logginnslag fra en klient vil kunne virke ubetydelig i seg selv, men om man sammenstiller med andre logger og finner flere logginnslag som virker merkelige bør man undersøke videre...»

mislykkede innloggingsforsøk, brudd på rettigheter tildelt brukeren, aksessering av filområder, og andre hendelser på systemet. I tillegg vil man ha klientbaserte logger som stammer fra sikkerhets-produkter som antivirus og «Host Intrusion Detection Systems».

I tillegg til å ha god dekning på de forskjellige loggene innenfor disse katego-riene er det også essensielt at disse er tidssynkroniserte samt logges i en sentral-isert løsning. Videre bør det eksistere en prosedyre for analysering av disse logg-dataene slik at man kan oppdage avvik fra normalen.

Korrelering av hendelserMed de forskjellige loggtypene og de mengdene som potensielt vil forekomme i større organisasjoner vil det være naturlig å sentralisere og standardisere disse loggene for forenklet prosessering og korrelering for logganalyse. Et enkeltstående merkelig logginnslag fra en klient vil kunne virke ubetydelig i seg selv, men om man sammen stiller med andre logger og finner flere logginnslag som virker merkelige bør man undersøke videre om man har med en hendelse å gjøre eller om klienten produs ere r falske positive.

En rekke rammeverk finnes for å utføre denne sammenstillings- og analyse-prosessen og mange av disse går under betegnelsen «Security Information and Event Manager» (SIEM), eller lignende. Det er dog ingen hemmelighet at disse produktene kan medføre store lisens-kostnader, men det finnes også løsninger uten disse kostnadene, eksempelvis «Open Source Security Information Manager». Behovet for ulike løsninger vil variere fra organisasjon til organisasjon, men likheten mellom løsningene er i alle fall at det trengs analytikere som behandler informasjonen som blir sammenstilt.

Foto: illustrasjonsfoto. Colourbox

KvartalSrapport for 4. Kvartal 2011 15norCErt – NASJONAL SIKKERHETSMYNDIGHET

Duqu

En analyse av skadevaren «Duqu» ble offentliggjort av den ungarske forsker-gruppen CrySys 14. oktober 2011. Rapporten pekte på likheter med «Stux-net», noe som gjorde at denne saken fikk mye oppmerksomhet i media. Knyttet til denne saken ble det også oppdaget en zero-day sårbarhet i Windows TrueType font engine som kunne kjøre kode på kjernenivå. Denne sårbarheten ble ikke patchet av Microsoft før 13. desember.

NorCERT har ikke foretatt en selv-stendig analyse av «Duqu», men har fått tilgang til grundige analyserapporter gjennom internasjonale samarbeids-partnere. Gjennom vår deltagelse i EGC (European Government CERT Group) har vi et operativt samarbeid med CERT Hungary, som sendte oss et tidlig varsel og videre oppdateringer i saken.

Analyserapporter viser at den in formasjonsstjelende trojaneren «Duqu» er utviklet og brukes av en trusselaktør med betydelig kompetanse. Alt tyder på at operasjonene hvor «Duqu» har vært benyttet er svært målrettede.

NorCERT er ikke kjent med at norske interesser er angrepet. Vi utelukker likevel ikke at norske interesser kan være utsatt for denne type trusler.

Det hevdes fra flere hold at «Duqu» er laget av samme aktør som laget «Stuxnet». «Stuxnet» regnes som den mest avanserte målrettede trojaneren verden har sett hittil. Den er skreddersydd for å angripe en spesiell modul av Siemens Simatic industri-elle prosesskontrollsystem, som brukes for å styre rotasjonsfrekvensen til sentrifuger ved kjernefysiske atomanlegg. «Stuxnet» spredde seg høsten 2010 og påstås blant annet å ha infisert et iransk atomkraft-anlegg. Dette skal da ha kraftig forsinket Irans program for uran-anriking. Media har spekulert i at aktøren bak «Stuxnet» kan være en myndighets-aktør som har brukt betydelige ressurser på å utvikle trojaneren som et «cyberwar»-våpen med formål å hindre Iran i å utvikle atomvåpen.

Kaspersky Labs har basert på analyse av likheter i koden konkludert med at både «Duqu» og «Stuxnet» er utviklet på samme

Den informasjonsstjelende trojaneren «Duqu» har mange likhetstrekk med ormen «Stuxnet», verdens første kjente skadevare skreddersydd for å ramme industrielle prosesskontrollsyste-mer. NorCERT var tidlig ute med å dele informasjon om trusselen med utsatte parter. Så langt tyder ingenting på at norske interesser har vært rammet av «Duqu».

plattform. De har døpt denne plattformen «Tilded» siden utviklerene har en tendens til å bruke filnavn som starter med «~d». Andre likheter er at begge trojanerene har drivere signert med falske eller stjålne digi-

tale sertifikat. Zero-day sårbarhetene benyttet i begge trojanerene er også innen samme kategori.

En av tingene som trekkes frem i forbindelse med «Stuxnet»-sammen-ligningen, er potensiale for nye angrep på prosesskontrollsystemer. NorCERTs vurdering er at dette ikke er mer sannsynlig etter oppdagelsen av «Duqu» enn før. De komponentene i «Duqu» som minner om «Stuxnet» er komponenter som danner plattformen for angrepet, mens den delen av «Stuxnet» som angrep prosess-kontrollsystemer var av svært målrettet karakter som ikke er funnet i «Duqu».

«Alt tyder på at operasjonene hvor «Duqu» har vært benyttet er svært målrettede»

Foto: illustrasjonsfoto. Colourbox

KvartalSrapport for 4. Kvartal 201116 NASJONAL SIKKERHETSMYNDIGHET – norCErt

«Dette er et typisk angrepsmønster vi har sett en økning av.», forteller Jardar Leira ved UNINETT. «Det begynner med scan-ning av nettverket etter porter brukt av SIP. Der det blir funnet, foretas det etter hvert et massivt bombardement av forsøk på registrering og oppringninger. Lykkes de, får serveren enten være i fred til en senere anledning eller umiddelbart forsøkt mis-brukt.». UNINETT drifter mange SIP- baserte telefonirutere på vegne av medlemsinstitusjoner og følger godt med på hva som foregår. Denne angrepsbølgen hadde forsøkt seg på flere, men bare UNINETT sin egen telefoniruter var åpnet for denne sårbarheten i forbindelse med testing. Det tok imidlertid ikke lang tid før den åpningen ble funnet av hackerne. «Det er ingen tilfeldighet at vi har en svært aktiv overvåkning av våre systemer. Vi har sett dette skje før hos andre og det tar ikke lang tid før det blir snakk om veldig mye penger. Dersom det skjer noe utenom det normale, gir våre systemer raskt beskjed og vi kan automatisk eller manuelt stenge eller beg-rense», forklarer Leira. Misbruket ble opp-daget nesten umiddelbart, men fikk lov til å fortsette en liten stund slik at man kunne observere og lære av metodikken.

Denne formen for misbruk skjer gjerne seint på kvelden og gjerne før helger og andre helligdager når sjansen er minst for at noen overvåker systemene og kan

UNINETT leverer nett og IKT-tjenester til norske universiteter, høgskoler og forskningsinstitusjoner. I denne artikkelen får vi lære hvordan god sikkerhets-overvåkning og rask hånd-tering trolig sparte UNI-NETT for betydelige telefonkostnader dette kvartalet. En angriper hadde klart å finne et hull i telefonserverens forsvars-system og prøvde å utnytte dette som springbrett for å ringe en mengde forskjellige nummer i utlandet.

reagere. Motivasjonen er åpenbart økono-misk og det kan være mye penger å tjene på denne formen for aktivitet. Ikke usann-synlig er det en organisert aktivitet. Man finner sårbare servere og utnytter dem som har tilgjengelige «bylinjer» bak sitt eget telefonisystem, transparent for egne brukere. Med IP basert telefoni er det en smal sak å selge stjålne tellerskritt til ukritiske kunder. Mengden, frekvensen og de vidt forskjellige destinasjonene til disse samtalene viser tydelig at det ikke er enkeltpersoner som står bak. «En kan også se for seg en annen måte et slikt misbruk kan utnyttes med økonomisk motiv», forklarer Leira videre. «Sett at man kontrollerer det ekvivalente av et kjempedyrt 820-nummer i et annet land. Da er det bare å ringe det så mange ganger så lenge som mulig for så å kunne innkassere inntektene etterpå. Dersom dette skjer fra visse land, er det svært liten sjans for at noen blir tatt.»

Til tross for farene er ikke UNINETT avskrekket fra å flytte telefonien over til Internett, men har stor tro på det som frem-tidens løsning. De teknologiske og økono-miske fordelene er mange, men man må ha en bevisst tilnærming til sikkerheten. Mye kan gjøres både med sikring og over-våkning, men viktigst er at man er klar over at det er en kontinuerlig prosess og ikke lar aktive systemer støve ned og bli glemt.

Hackingforsøk hos UNINETT

Hacking av IP-telefoni:

Hacking av IP-telefoni har vært omtalt i flere år, men det er vanskelig å finne tall som forteller om omfanget. Mange bedrifter i dag er avhengig av sin IP- telefoni løsning. IP-telefoner, servere osv. er ofte eksponert til Internett gjen-nom web-brukergrensesnitt. Disse kan finnes gjennom rekognosering. Deret-ter vil sårbarheter i grensesnittet eller dårlig konfigurerte bokser gjøre at kriminelle kan få kontroll over boksen for å ringe ut eller viderekoble trafikk. Noen av brukergrensesnittene har sågar mulighet for å kjøre pakkedump, noe som muliggjør avlytting.

Man må heller ikke glemme de mange fast-apparatene som i økende grad har blitt mini-datamaskiner. Sikkerhetshull kan like gjerne befinne seg i disse som i en server.

«En bør alltid ha i bakhodet at man må prøve å tenke litt som en hacker selv. Hvordan ville du angrepet ditt eget system? Man kommer et stykke på sunn fornuft. Men IP-telefoni kan være et teknisk kom-plekst område. Det aller beste kan allikevel være å engasjere en profesjonell ekstern part til å gjøre penetrasjonstester og sikker-hetsrevisjon», avslutter Leira.

Foto: illustrasjonsfoto. Colourbox

KvartalSrapport for 4. Kvartal 2011 17norCErt – NASJONAL SIKKERHETSMYNDIGHET

En spesifikk sak av denne karakteren ble igangsatt av at vi mottok et tips fra en av våre samarbeidspartnere i informasjons-sikkerhetsmiljøet. Tipset gikk ut på at det hadde blitt foretatt en bestilling av 5000 infiserte klienter i Norge på en undergrunns side på Internett. Siden har blitt brukt til kjøp og salg av redirigering til exploit-kit som forsøker å utnytte sårbar-heter på maskinen/nettleseren til de som besøker siden. Basert på tidligere observa-sjoner var det stor grunn til å tro at det var snakk om SpyEye-infeksjoner som var det endelige målet for den som bestilte disse infeksjonene.

En del av sakene som NorCERT jobber med omhandler hendelser hvor målet til angriper er å infisere sluttbrukere for deretter å snappe opp in-formasjon som kan brukes videre til økonomisk svindel. Eksempler på dette er såkalte nettbanktrojanere som stjeler innloggingsinformasjon slik at angriper kan utføre transaksjoner på vegne av offeret.

Videre undersøkelser viste at de nyeste konfigurasjonsfilene til den informasjons-stjelende trojaneren SpyEye ikke inneholdt noen norske nettsider. Trolig ville norske sider først bli lagt til ved et visst infeksjons-nivå. Disse konfigurasjonsfilene vil typisk inneholde spesifikke URL-mønster som skal trigge injisering av egne versjoner av nett-sider med informasjonsstjeling som formål. I de fleste tilfellene vi ser er dette snakk om nettbanksider og man blir forsøkt lurt til å oppgi fødselsdato og sikkerhetskoder som videresendes til angriper.

For at angriper skal være sikker på at det er norske brukere som blir infisert, så er det et par forskjellige metoder som kan be nyttes. Den første metoden er å starte infeksjons-rekken på en ofte besøkt side.

Exploit-kits og infeksjonsbestillinger

Måten dette gjøres på er gjerne å benytte seg av såkalt malvertising hvor reklame-plass blir okkupert av ondsinnede. Bruke-ren blir gjerne redirigert til en side som finner ut hvor i verden brukeren befinner seg og kan infisere deretter. En annen metode er å infisere sider som høyst sannsynlig kun vil besøkes av personer fra det spesifikke landet som skal infiseres. Denne siste metoden ble observert i denne saken hvor flere norske nettsider hadde blitt kompromittert.

Et av likhetstrekkene som ble observert for de kompromitterte sidene var at de gjerne kjørte en utdatert versjon av publi-seringsverktøy på Internett (Joomla og Wordpress) i tillegg til å kjøre sårbare plugins for disse. For å skjule seg i kilde-koden benyttet angriperne seg av obfuskert JavaScript for å skjule koden som re dirigerte brukerne til en ny infisert side. Brukeren blir gjerne redirigert gjennom mange ulike infiserte sider, og linkene skiftes stadig ut etter som infiserte sider blir stengt ned. På slutten av infiseringsrekken finner man exploitsiden som forsøker å utnytte sårbarheter på maskinen som kobler seg til.

Flere sårbarheter forsøkes, for eksempel en Help Center-sårbarhet i Windows, sår-barheter i Java blir også forsøkt utnyttet.

Hvorfor skal så NorCERT bry seg om

«...det hadde blitt foretatt en bestilling av 5000 infiserte klienter i Norge på en undergrunnsside på Internett»

slike saker? Dette er jo hverken spionasje eller sabotasje mot samfunnsviktig infras-truktur. I følge instruksen til NorCERT skal vi «… bidra til å bedre den totale sikkerhets tilstanden blant annet ved å var-sle om infiserte datasystemer». Dette er hva vi vil klassifisere som en klassisk CERT-oppgave som forenkles en hel del ved hjelp av observasjoner i sensorsystemet VDI. Vi kunne enkelt detektere infeksjonsforsøk hos VDI-deltakere basert på trafikkmønster vi hadde observert i forbindelse med ut nyttelse. Ut fra disse utnyttelsesforsøkene observerte vi hvilke norske sider som hadde blitt infisert og deretter kunne vi da varsle disse slik at de fikk fjernet det ondsinnede innholdet og oppgradert de sårbare ver-sjonene av webapplikasjonene som gjorde infeksjonene mulig.

FAKTAExploitkitExploitkit er en fellesbetegnelse for pro-gramvare som har som hensikt å utnytte sårbarheter i nettleseren eller på maskinen til ofre som blir lokket inn på infiserte web-sider. Ved vellykket utnyttelse av en sårbar-het vil angriper ha kontroll over den infis-erte maskinen gjennom en rekke verktøy, ofte har angriper oversikt og kontroll via et enkelt webgrensesnitt.

MalvertisingMalvertising er en forkortelse for «mali-cious advertising», direkte oversatt til ondsinnet reklame. Begrepet omfatter spredning av ondsinnet programvare gjen-nom bruk av reklameplass på nettsider.

«I de fleste tilfellene vi ser er dette snakk om nettbanksider, og man blir forsøkt lurt til å oppgi fødselsdato og sikkerhetskoder som videresendes til angriper»

KvartalSrapport for 4. Kvartal 201118 NASJONAL SIKKERHETSMYNDIGHET – norCErt

Norge er verdens femte største olje-eksportør. Verdens tredje største gass-eksportør. Vi har verdens femte største handelsflåte målt i antall skip. Nordmenn er blant verdens mest aktive på Internett. NorCERT ser stadig mer kriminalitet rettet mot offentlige og private virksomheter. Næringslivets Sikkerhetsråd har sagt at 1/3 av virksomhetene som deltok i Mørke-tallsundersøkelsen i 2010 hadde opplevd datakriminalitet. Bare 1% av sakene ble anmeldt.

Men, vi vet ikke hva internettkriminal-itet koster Norge. Siden vi ikke vet kost-naden kan det være fristende å ta en titt på to utenlandske rapporter for å få et visst inntrykk av hva slags summer vi kanskje snakker om:

Denne høsten kom «Norton Cyber Crime Report» som anslår den globale kostnaden for internettkriminalitet til over 2000 milliarder kroner (388 Milliarder USD). Dette sies da å være mer enn den globale omsetningen av marihuana, kokain og heroin.

En annen rapport som søker å sette en prislapp på internettkriminalitet er «The Cost of Cyber Crime» som er av konsulent-huset Detica i samarbeid med «Office of Cyber Security and information assurance» i UK Cabinet Office. Rapporten sier at

internettkriminalitet koster det britiske samfunnet 27 milliarder pund. Omgjort til norske forhold sier da denne rapporten at intenett-kriminalitet koster Norge ca. 20 milliarder kroner per år. Dette er ekstreme tall, og rapporten har fått betydelig kritikk. Undersøkelsen er likevel lagt inn som grunnlag i Storbritannias Cyberstrategi som

Hva koster internettkriminalitet?

Foto: illustrasjonsfoto. Colourbox

Internettkriminalitetens kostnader er vanskelig å beregne. Storbritannia har nylig gjort er forsøk, i en rapport antyder de at internettkriminalitet koster landet 27 milliarder pund per år.

«NorCERT ser stadig mer kriminalitet rettet mot offentlige og private virksomheter »

kom fjerde kvartal 2011. Strategien er nært knyttet til Storbritannias satsning på Cyber: 650 millioner pund skal brukes de neste 4 årene.

KvartalSrapport for 4. Kvartal 2011 19norCErt – NASJONAL SIKKERHETSMYNDIGHET

Trusselen fra denne typen trojanere er ikke ny. Internasjonalt er dette et stort problem, og også i Norge har vi sett lignende tilfeller tidligere. NorCERT var involvert i hånd-teringen av en større sak allerede i 2006 /2007, hvor seks ulike norske banker ble rammet av angrep ved hjelp av nettbank-trojanere. Dette kvartalet har fokuset på trusler mot nettbankkunder økt. Både på grunn av nevnte dom, samt flere phishing-forsøk mot norske nettbankkunder. Vi i NorCERT mener det er viktig å ha fokus på disse typer angrepsforsøk, både hos bankene og nettbankkundene. For en mer grundig forklaring av hvordan denne svindel aktiviteten fungerer i praksis har vi tatt kontakt med en ekspert på området.

Anders Hardangen jobber som leder for Incident Response Team (IRT) hos DNB. Dette teamet er satt sammen som en beredskaps organisasjon med overordnet ansvar for koordinering av hendelser og trusler innen informasjonssikkerhet. Dette går på tvers av organisasjonen til DNB, men også mot finansnæringen generelt. I praksis betyr dette at de følger med på sikkerhets-

hendelser, hvilken teknologi som benyttes i angrep mot banknæringen og hva forskjell-ige kriminelle grupperinger driver med.

I følge Anders er det i hovedsak to former for nettbanksvindler. Den ene er manuell, hvor svindlerne lurer kunden til å gi fra seg innloggingsinformasjon. De kriminelle sitter da i bakgrunnen og bruker informasjonen til å logge seg på kundens nettbank og tappe denne. Den andre typen, som ble benyttet i saken som endte med domfellelse i november, er mer avansert. Der starter trojaneren et program på kundens maskin når denne er logget på

I november 2011 ble for første gang i Norge en person dømt for nettban-svindel ved bruk av nettbanktrojanere. Dommen lød på ubetinget fengsel i 1 år og 8 måneder, og i tillegg måtte personen betale en erstatning på nes-ten en million kroner til den rammede banken DNB.

nettbanken, for så å automatisk overføre penger uten at kunden merker det.

Ved begge metodene overføres pengene til kontoer som eies av det vi kaller muldyr. I praksis er dette personer som går til sin bank for å ta ut det stjålne beløpet, for så å sende mesteparten til de kriminelle via andre betalingstjenester. Dette gjøres for å bryte det elektroniske sporet og vanskelig-gjøre sporing av pengene og hvem de kriminelle er. Ofte er disse muldyrene naive personer som har blitt rekruttert til noe de trodde var en legitim jobb, noe de opp-dager det ikke er når politiet banker på døren.

I mai fjor ble en 26 år gammel estisk mann arrestert og senere tiltalt og dømt for bl.a. å ha benyttet ondsinnet kode til å svin-dle kundene hos norske nettbanker. DNB IRT-team oppdaget først noen svindel-forsøk og mistenkelig oppførsel i nett-banken, og startet så med å analysere hva dette kunne være. De fant en trojaner med angrepskode som var skreddersydd for å angripe kundene av DNBs nettbank. De laget derfor mekanismer for å følge med på om kundene var infisert av denne trojaneren når de var inne i nettbanken, og på den måten greide de å stoppe svindel-forsøkene. Kundene ble også kontaktet og informert om at de var infisert av denne trojaneren.

Anders og hans team oppdaget samtidig

Nettbanksvindel

at en kundekonto over lengre tid hadde hatt en oppførsel som samstemte med aktiv-iteten til trojaneren. En dypere analyse av denne kontoen viste tegn på at den hadde blitt benyttet til å teste og utvikle trojaneren.

DNB har som prinsipp at alle svindel-forsøk skal politianmeldes, og Anders trekker frem det gode samarbeidet bank-næringen har med politiet. DNB har hatt ett veldig tett og godt samarbeid med Kripos under hele hendelsen. Tillit og en åpen og god dialog er alfa og omega ved hånd-teringen av denne typen hendelser.

Det at DNB fant testkontoen, samt politiets grundige etterforskning, ledet til at den nå domfelte ble sporet opp og arrestert. Spor som ble funnet på personens

datamaskin linket ham direkte opp til saken. I tillegg ble det funnet tegn til at det også ble utviklet angrepskode mot andre norske banker, men fordi DNB var tidlig ute med håndteringen, rakk ikke angriper å aktivere denne. Dette viser viktigheten av å ha et godt fungerende team for håndtering av denne typen hendelser.

Dessverre viser trenden at denne typen angrep blir mer og mer avanserte, samt at de nå beveger seg til land som tidligere ikke hadde så høy fokus. Anders nevner at «hyllevare-trojanere» som SpyEye og Zeus er under kontinuerlig utvikling, og kan

«Internasjonalt er dette et stort problem, og også i Norge har vi sett lignende tilfeller tidligere»

«DNB har som prin-sipp at alle svindel-forsøk skal politian-meldes, og Anders trekker frem det gode samarbeidet bank-næringen har med politiet»

«I mai fjor ble en 26 år gammel estisk mann arrestert og senere tiltalt og dømt for bl.a. å ha benyttet ondsin-net kode til å svindle kundene hos norske nettbanker »

KvartalSrapport for 4. Kvartal 201120 NASJONAL SIKKERHETSMYNDIGHET – norCErt

Hva er nettbanksvindel?

■ Nettbanktrojaner er ondsinnet kode som installeres på datamaskiner ved hjelp av sårbarheter. Når disse datamaskinene kobler seg opp mot nettbanken, aktiveres trojaneren og kundene risikerer å bli frastjålet penger. Angrepet er nesten usynlig for kunden da trojaneren endrer dataene som sendes til, og mottas fra nettbanken.

■ Man kan beskytte seg mot disse trojanerene på samme måte som man beskytter seg mot all annen ondsinnet kode; holde all programvare oppdatert og sørge for å ha antivirus installert.

■ Nettbanksvindel kan også foregå gjennom phishing hvor sluttbrukeren blir lurt til å gi fra seg innloggingsdetaljer på en side som utgir seg for å være nettbanken til kunden. Denne typen svindel kan typisk starte med en phishing-e-post hvor sluttbrukeren blir oppfordret til å følge en lenke for å fylle inn sine detaljer som en verifisering av disse. I disse tilfellene er det sjelden snakk om infeksjoner på maskinen til sluttbrukeren.

kjøpes av kriminelle for bruk i nettbank-svindler eller for å stjele kredittkortnumre eller tilsvarende.

Norge har de siste årene sett relativt lite av denne typen svindel, men Anders peker på at det nå er større konkurranse mellom de kriminelle aktørene. Dette gjør at de også beveger seg inn mot de mindre markedene, som f.eks. Norge. Tilsvarende er også observert i de andre nordiske landene. Selv om sikkerhetsløsningene som benyttes er gode, er det vanskelig å beskytte seg mot angrep hvor inn-loggingsinformasjonen stjeles. Han anbefaler kundene å alltid være årvåkne når de bruker nettbanken, samt sørge for at datamaskinen er godt sikret. I tillegg må de ikke nøle med å ta kontakt med bankenes kundeservice om de ser noe som de mis-tenker ikke er riktig med nettbanken.

«Dessverre viser trenden at denne typen angrep blir mer og mer avanserte, samt at de nå beveger seg til land som tidligere ikke hadde så høy fokus»

Foto: NorCERT. Anders Hardangen leder DNBs Incident Response Team

KvartalSrapport for 4. Kvartal 2011 21norCErt – NASJONAL SIKKERHETSMYNDIGHET

Angrepet som fikk størst internasjonal opp-merksomhet var hackingen av kundedata-basen til det anerkjente amerikanske analysebyrået Strategic Forecasting (STRATFOR). Dette er en tjeneste som blant annet leverer sikkerhetsanalyser ba-sert på åpne kilder. Hackingen ble videre fulgt av en stor informasjonslekkasje. Bruk-ernavn, passord, e-postadresser og kreditt-kortopplysninger ble lekket i etterkant. Tjenesten hadde flere norske brukere, både private og offentlige. NorCERT varslet en rekke norske bedrifter og offentlige

myndig heter som hadde berørte ansatte. Vi spilte også over listen til NorSIS som varslet bredt i Norge. Lekkasje av informasjon som kredittkortopplysninger og passord kan brukes til økonomisk vinning, og i tilfellet med STRATFOR skal kredittkortdetaljer ha blitt misbrukt til å overføre penger til hjelpeorganisasjoner. Det er da denne aktiviteten går over grensen til å være nett-kriminalitet. Antivirusleverandøren F-Se-cure har kommentert i et blogginnlegg at forsøket på veldedig handling gjennom do-nering med stjålne kredittkort fort kan slå tilbake. Pengene vil i de fleste tilfeller bli krevd tilbake, og noen ganger vil dette medføre ekstra utgifter for hjelpeorganisa-sjonene. Et annet problem er at mange bruker samme passord på flere ulike nett-sider og datasystemer. Derfor kan lekkasjen av slik informasjon føre til at passord til sensitive eller viktige datasystemer også kommer på avveie.

I forrige kvartalsrapport publiserte NorCERT en artikkel om nettaktivisme, og poengterte da hvordan dette har vist seg å være et vidt begrep, både i bruk og betyd-ning. Nettaktivistene selv hevder at deres handlinger er «fredelige protester», men det er tydelig at deres handlinger i noen tilfeller kan føre til store konsekvenser og økonomiske tap. Lekkasjer av sensitiv infor-

I desember 2011 så vi flere alvorlige tilfeller av nettaktivisme, etterfulgt av store informasjonslekkasjer. Den løst sammensatte gruppen av nettaktivister, Anonymous, har tatt på seg ansvaret.

masjon kan ha konsekvenser utover det politiske eller idealistiske motivet som ofte fremheves av aksjonistene, og nettopp dette er STRATFOR-saken ett eksempel på. Kompromitteringen av STRATFORs kundedatabase føyer seg inn i rekken av flere lignende saker den siste tiden, og NorCERT anser denne utviklingen for å være alvorlig og nødvendig å ha fokus på.

Anonymous postet 27. desember: «Continuing the weeklong celebration of wreaking utter havoc on global financial systems, militaries, and government, we are announcing our next target: the online piggy supply store SpecialForces.com» Bare dager etter hackingen av kontaktdatabasen til Stratfor kom ett nytt angrep. Denne gangen rettet mot nettsiden til firmaet Special Forces, en leverandør av utstyr til blant annet amerikanske myndigheter og millitære. 14000 passord og 8000 kreditt-kortnumre ble lekket. I motsetning til STRATFOR-saken var kredittkortnumrene her kryptert, men hackerne klarte likevel å stjele krypteringsnøklene.

Det er mye man kan lære av slike angrep, både rundt beskyttelse og hånd-tering. Tilfellet med STRARTFOR gjør det blant annet tydelig at passord bør beskyttes bedre enn kun bruk av ren MD5 når det lagres. MD5 er en enveis sjekksum-algoritme, som gjør at passordene ikke lagres i klartekst. Dette er likevel ikke ansett som god nok sikring av passord da enkle passord raskt kan knekkes, og det er god praksis på området å bruke såkalt salting som en del av sikkerhetstiltak for lagring. Det er også klart at kryptering av kreditt-kortdetaljer og annen sensitiv informasjon er viktig. Både under sending, og i tillegg når dette lagres.

Denne saken frembragte en del disku-sjon rundt åpenhet, og hvor åpne firmaer bør være når kundedatabasene blir kom-promitterte. NorCERT mener åpenhet er viktig for å bekjempe denne typen kriminalitet og begrense skadeomfanget. Tidlig offentliggjøring vil gjøre det enklere for brukere å beskytte seg, for eksempel ved å få sperret kortene sine og endre passord på andre systemer.

Informasjonslekkasje

«Hackingen ble videre fulgt av en stor infor-masjonslekkasje»

SaksbegreperMD5: MD5 er en vanlig form for hash-algoritme. Den ble utviklet av Professor Ronald (Ron) Rivest i 1991 En kryptografisk hash-algoritme som dette er er utviklet for å oppnå visse sikkerhetegenskaper, og er vanlig ved lagring av passord. For å ikke lagre dem i klartekst, omgjøres de først til en «hash». Lagring av et passord som hash vil gjøre det vanskelig å finne brukerens faktiske passordet. For å bekrefte passor-det, er det først hashed, deretter sett i forhold til de lagrede hash i databasen. En god kryptografisk hash vil gjøre det vans-kelig å finne to meldinger med samme hash, eller finne klartekst for en bestemt hash-verdi. Alle hash-algoritmer er sår-bare for uttømmende søk. Klarer angriper få tak hashen, kan kan prøve forskjellige passord-hash og sjekke om de er like. Der-for innføres «salt» for herding av hashen.

Salting Salting er en måte å gjøre passord sikrere . Det legges til en tilfeldig streng av tegn til passordene, før deres md5-hash blir be-regnet. Dette gjør dem igjen vanskeligere å reversere. Salting sørger for at to brukere som tilfeldigvis bruker samme passord, ender opp med ulike hash.

KvartalSrapport for 4. Kvartal 201122 NASJONAL SIKKERHETSMYNDIGHET – norCErt

Du snakker, hvem lytter?

Er du en av de av oss som husker denne teksten fra forsiden på Forsvarets telefon-bok? Kanskje du også var en av de som hadde teksten godt synlig på telefonrøret? Hva var det egentlig godt for?

«Du snakker! Hvem lytter?» sto der som en påminnelse om at vi jobbet i en virksom-het som måtte vise aktsomhet når vi pratet i telefonen, for det var noen der ute som både hadde ønske og kapasitet til å avlytte samtalene våre. Snakket vi om noe som var gradert på telefonen var dette synonymt med at informasjonen var på avveie, og vi kunne ikke skylde på andre enn oss selv - advarselen sto jo allerede rett foran oss!

Er dette like aktuelt i dag og for oss i Utenrikstjenesten, eller er dette kun para-noide minner fra en svunnen tid hvor den kalde krigen var på det kaldeste? La det ikke være noen tvil: Etterretningstrusselen er minst like stor i dag som noen gang tidligere! Dette har dessverre ikke noe med paranoia å gjøre heller, og det er bare å lese de siste åpne trusselvurderingene fra for eksempel PST og E-tjenesten for å få en indikasjon om hvordan trusselsituasjonen er.

Utenrikstjenesten behandler og pro-duserer informasjon som utenlandske etterretnings-tjenester og kriminelle gjerne betaler dyrt for å få tak i, og ikke tro at de ikke gjør det! Metodene som benyttes til slik etterretningsvirksomhet er både mange og sofistikerte, og telefon- og datanettverks¬avlytting er bare et liten knippe av dem. I tillegg kommer blant annet menneskebasert innhenting av etterretnings¬informasjon, og i de siste årene også innhenting gjennom data-nettverksoperasjoner.

Sistnevnte er operasjoner hvor data-maskinene våre blir benyttet som inn-samlingsmedium fremfor den tradisjonelle telefonsamtalen. Tenk deg for en

Regelmessige påminnelser om sikker-het er viktig. Rune Mortensen er data-sikkerhetsleder i Utenriksdepartemen-tet. På UDs intranett publiserte han nettopp artikkelen nedenfor, og Nor-CERT har fått tillatelse til å publisere teksten.

informasjons messig gullgruve det ville være for utenlandsk etterretning dersom alle dokumentene du har tilgang til, e-post du har sendt og mottatt, avtaler du har med interne og eksterne, osv kunne bli hentet ved et tastetrykk? Hørte jeg WikiLeaks? Nei... kanskje ikke WikiLeaks, for disse aktørene ville holdt informasjonen for seg selv!

Har du forresten tenkt over hva konse-kvensen ville vært om mikrofonen og web-kameraet plutselig ble slått på og sendte lyd og bilde rett til noen som satt og fulgte med. Hva ville konsekvensen være dersom en samtidig pratet om noe gradert eller skjermingsverdig informasjon på dette kon-toret? Ville denne datamaskinen, siden den i praksis ville være kommunikasjonsbærer på lik linje som en avansert telefon, være gradert?

De fysiske, tradisjonelle barrierene mel-lom graderte og ugraderte systemer blir mer og mer utydelig. Bevisstheten rundt hva man sier, hva man skriver og hvor man gjør dette svekkes dessuten ofte propor-sjonalt med mengden sensitiv informasjon man behandler og med tidspress. Dette er en velkjent, om dog en noe ubehagelig kjensgjerning – en kjensgjerning som andre dessverre til stadighet forsøker å finne nye måter å utnytte.

For å unngå dette bør vi alle bli flinkere til å verdivurdere all informasjon vi omgir oss med, og behandle denne informasjonen i tråd med denne vurderingen. Alle i Uten-rikstjenesten skal være klar over hvilke lover og regler som gjelder for verdi-vurdering av informasjon, men i en travel hverdag er det dessverre lett å glemme alle detaljene. Det kan derfor være lurt å minne seg selv på dette fra tid til annen, og et godt råd er å stille seg selv følgende spørsmål før en skriver eller prater om noe som kan være skjermingsverdig:

Er informasjonen gradert i henhold til Sikkerhetsloven?

Kan informasjonen få konsekvenser for enkeltpersoner om det kommer på avveie?

Vil det være problematisk om informa-sjonen havner på forsiden av landets aviser?

Dersom svaret på noen av disse er «ja» bør du stoppe, og vurdere om du behandler informasjonen forsvarlig. Bør UDB eller strengere systemer benyttes? Bør en for-midle dette over ukryptert telefoni, eller bør en tilstrebe å få overført informasjonen på en annen, sikrere måte? Kanskje en ikke bør benytte kontoret til å behandle denne informasjonen i det hele tatt, men heller et rom som er gradert på rett nivå?

Alle har et ansvar for å gjøre selvsten-dige verdivurderinger, og å behandle informa sjonen i tråd med denne vurder-ingen. Det er imidlertid verd å være klar over at det ikke er tillatt å nedgradere noe som andre allerede har verdivurdert. Alle har dessuten et ansvar for å opplyse mot-takeren om verdivurderingen gjennom å merke dokumentene og e-postene tydelig, eller å opplyse om dette ved samtaler.

Avslutningsvis stiller jeg spørsmålet på nytt: Er teksten «Du prater! Hvem lytter?» like aktuell i dag som den var før, eller er forfatteren av dette innlegget uhelbredelig paranoid?

Dessverre er det slik at budskapet er viktigere i dag enn noen gang tidligere, men om den kun burde stå på telefonen knytter det seg større usikkerhet rundt. Kanskje den burde stå på kontordøra i tillegg? Kanskje vi også burde klistre opp lapper på datamaskinene våre med teksten:«Du skriver! Hvem leser?»?

KvartalSrapport for 4. Kvartal 2011 23norCErt – NASJONAL SIKKERHETSMYNDIGHET

NorCERTs sikkerhetsforum 15 november ble åpnet av Eiliv Ofigsbø, NorCERTs nye avdelingsdirektør. Han introuduserte noen av NorCERTs viktigste prioriteringer frem-over. Dette inkluderer blant annet re-etablering i nye lokaler, videreutvikling av vår nye kvartalsrapport, presentere et opp-datert og helhetlig IKT-trusselbilde og gjennomføre øvelser for og med NorCERT medlemmer og partnere.

NorCERT presenterte statistikk fra håndterte saker i vårt saksbehandlings-system og NorCERT-pulsen for perioden. NorCERT pulsen ble økt til nivå 3 den 4. november på grunn av den kritiske zero-day sårbarheten i «Windows TrueType Font Parsing Engine»(CVE-2011-3402) som ble utnyttet i Duqu-angrepet. På patchetirsdag for oktober ble det også kjent at det var mulig å utnytte og få tilgang til Windows-system bare ved hjelp av en spesielt utformet UDP-pakke. NorCERT har håndtert en rekke saker det siste halvåret som er relatert til målrettede operasjoner. Dette var også et gjennom-gående tema på dette sikkerhetsforumet. Blant annet var to av våre foredragsholdere amerikanske eksperter på området.

I det første eksterne foredraget fikk vi blant annet presentert at ved en hendelse

To ganger i året holder NorCERTs sikkerhetsforum, som er et lukket forum for våre medlemer, samarbeidspartnere og spesielt inviterte i bransjen. Vi vil i denne kvartalsrapporten gi en liten smakebit på hva som presenteres der.

«Grunnen til atvi også jobber meddette er for åbygge kompetanse ogkontaktnettverk samtholde det generellesikkerhetsnivået påInternett i Norge såhøyt som mulig»

er det viktig å ha pakkedump. Data fra reelle hendelser viste hvordan kompromi-tterte maskiner kommuniserte med kommando- og kontrolltjeneren XOR-obfuskert. I det ene tilfellet, fordi han hadde pcap-data og hadde riktig XOR- nøkkel, kunne han se at det egentlig var et

reverse-shell som tillot angriperen å kjøre kommandoer på den kompromitterte maskinen.

I presentasjonen ble det også fortalt om hendelser hvor gigabytes og terrabytes med data hadde blitt eksfiltrert. Dette kan bety at det er et stort apparat i bakkant hos trusselaktøren for å kunne håndtere de store datamengdene som samles inn fra

NorCERTs sikkerhetsforum

bedrifter som er utsatt for disse angrepene. Han nevnte også om hendelser hos bedrifter i kontraktsforhandlinger, hvor den tapende parten hadde infeksjon i sin bedrift. Foredragsholderen fortalte også om hvordan det i de alvorligste tilfellene var bedrifter som hadde fått mailserveren og domenekontrollerne sine kompromittert. Trusselaktøren har ofte også flere bakdører på systemet i tilfelle antivirus oppdager noen av de så vil de fortsatt ha kontroll over maskinen. Mange ganger er ikke bedrift-ene klar over at de er infisert før over ett år etter. Ofte vil det da være umulig å vite hva som har blitt stjålet av data. Det ble også nevnt nytten av å ha tilgang til passive DNS data.

Det neste foredraget fokuserte på det samme temaet som det foregående. I tillegg ble det holdt en kort introduksjon til «the kill chain», som vi har laget en egen sak om i denne kvartalsrapporten.

Suhail Mushtaq fra HelseCSIRT holdt en presentasjon om etableringen av CSIRT i helsesektoren. Ondsinnede inntrengnings-forsøk eller ulovlig bruk av helsesektorens sentrale IKT-infrastruktur må avverges raskest mulig for å redusere eventuelle skadevirkninger. Et av tiltakene har vært å etablere CSIRT (Computer Security Incdent

Foto: NorCERT

«NorCERT presenterte statistikk fra håndterte saker i vårt saksbehandlingssystem »

KvartalSrapport for 4. Kvartal 201124 NASJONAL SIKKERHETSMYNDIGHET – norCErt

IRT-kurs NorCERT har i desember holdt et kurs i hendelseshåndtering for ansatte fra Statoil. Statoil har opp-rettet et eget «Computer Security Incident response team» (CSIRT) som tar seg av håndteringen av IT-sikkerhetshendelser i konsernet.

Kurset fokuserte på prosesser og metoder i hendelseshåndteringen, kommunikasjon mellom NorCERT og Statoil CSIRT, samt verktøy og prosedyrer for å sikre data for analyse ved mistanke om datainnbrudd.

Kurs i hendelseshåndtering er en tjeneste NorCERT tilbyr sine sam-arbeidspartnere, slik at vi kan bli enda bedre på kommunikasjon og samhandling ved store IT-sikkerhetshendelser.

Response Team) som skal utvikles til å bli helse- og omsorgssektorens samlede res-surssenter i arbeidet for å forebygge og avhjelpe sikkerhetsavvik og uønskede hendelser, samt sørge for rasjonell og koordinert innsats dersom hendelser oppstår.

Ole Tom Seierstad fra Microsoft Norge presenterte trusler på Internett slik som Microsoft ser det. Microsoft utgir hvert halvår sin Security Intelligence Report. Denne rapporten inneholder tall fra Windows-baserte datamaskiner verden over, og gjør det mulig for Microsoft å si noe om trusselbildet for exploit, sårbar-heter og malware. Microsoft har verktøyet Malicious Software Removal Tool (MSRT) som de sender ut sammen med Windows-oppdateringer. Dette verktøyet fjerner kjente skadevare fra brukernes data-maskiner og rapporterer tall tilbake til Microsoft. Ole Tom presenterte også noen av de sakene hvor Microsoft har gått rettens vei for å få stengt ned botnett.

Det siste foredraget på dette sikker-hetsforumet var ved Politiets Sikkerhet-stjeneste (PST). PST er den nasjonale sik-kerhetstjenesten, med fokus på beskyt-telse og forebyggende arbeid mot trusler, terror og ulovlig etterretningsvirksomhet fra fremmede stater. NorCERT sam-arbeider med PST i en rekke saker i forhold til dataspionasje og alvorlige data-innbrudd. PST sin presentasjon på NorCERT sikkerhetsforum var også ment for å gjøre deltagerne oppmerksom på at PST kan bistå ved alvorlige hendelser.

Foto: NorCERT

Foto: NorCERT

Foto: NorCERT

«Foredragsholderen fortalte også om hvordan det i de alvorligste tilfellene var bedrifter som hadde fått mailserveren og domenekontrollerne sine kompromittert»

KvartalSrapport for 4. Kvartal 2011 25norCErt – NASJONAL SIKKERHETSMYNDIGHET

Aktivitet fremover

■ Foredrag Teleforum NTNU(5.-6. januar)

■ Security divas, Gjøvik (19.-20. januar) ■ Foredrag på Trondheim International

Rotary Club leder- og nettverkskonferanse (23. januar)

■ Samarbeidsmøte med NorSIS i Gjøvik (26-27. januar)

■ Karrieredagene, Høgskolen i Gjøvik (1.-2. februar)

■ European Goverment CERTs (EGC) møte (9-10. februar)

■ Deltakelse i Beredskaps- og øvingskonferansen holdt av DSB (16.-17 februar)

■ Foredrag på NUF-Mobil Agenda seminar (21. februar)

■ Deltakelse i ISF sitt medlemsmøte (29. februar)

■ Seminar om informasjonssikkerhet for departementer, direktorater og tilsyn (NorSIS og NorCERT arrangement) (20. mars)

■ SANS Orlando (23.-30. mars) ■ HackCon (26.-17. mars)

Listen er noe kortere enn normalt grunnet høyt fokus på interne prosesser det kommende kvartalet. Spesielt flytting til nye lokaler vil ha prioritet.

Kjernevirksomheten i NorCERT skjer i operasjonssentet på Akershus festning, men vi er også engasjert i endel aktiviteter ute i samfunnet.

Vellykket NATO-øvelseNorCERT var hovedspiller for Norge i årets NATO Cyber Coalition øvelse. 23 NATO land og seks partnernasjoner deltok.

I perioden 13-15. desember gjennomførte NATO «Cyber Coalition 2011». Dette er en årlig øvelse hvor NATO trener operativ Cyber Network Defence (CND).

Dette årets øvelse omhandlet en fiktiv krise, hvor samtlige nasjoner måtte hånd-tere simulerte dataangrep. Hendelses-håndtering, informasjonsdeling, skade-vareanalyse og samarbeid var sentrale treningsmål. Totalt deltok 23 NATO land samt seks partner nasjoner.

I Norge er NorCERT nasjonalt kontakt-punkt for CND mot NATO og har løpende dialog med Nato Computer Incident Response Cabability (NCIRC). Under øvelsen spilte NorCERT det nasjonale kontakt punkt og håndterte dialogen med de ulike nasjonene. Daglig ble det også

TelefonsvindelFlere ser forsøk på svindel over vanlig telefon. Er dette fordi datamaskinene er blitt for sikre?

Dette kvartalet oppdaget en norsk bank at det ble gjennomført svindelforsøk over telefon. Svindlerne ringte en av bankens kunder og utga seg (på engelsk) for å være fra Microsoft og fortalte kunden at ved-kommende hadde virus på sin pc. Det ble lagt stort press på kunden om at han så måtte kjøpe spesiell programvare for å løse problemet. Det er ukjent om programvaren som da ble installert er skadevare, men dette undersøkes. Svindlerne lyktes med å lure 325 EUR fra kunden.

NorCERT er kjent med at norske banker tar slike hendelser alvorlig, og jobber mål-rettet med å detektere slike transaksjoner for å beskytte sine kunder.

I kvartalet som kommer har vi blant annet planlagt akvitetene som er listet nedenfor. IT-sikkerhet er et nasjonalt lagspill, og alle vinner på å bli bedre kjent. Internasjonal koordinering og bilateral dialog er ikke med i oversikten.

gjennomført spill med nasjonale sam-arbeidspartnere i Forsvaret og Politiet.

Øvelser er viktige, spesielt for å trene samspill med aktører vi ikke snakker daglig med. Dette ble tydelig i denne øvelsen, og vi må i så måte si at det viktigste øvings-målet ble nådd.

NATO har satt Cyber Defence høyt på prioriteringslisten, og en betydelig større øvelse planlegges allerede for 2012. Det er ventet at samspillet mellom militære og sivile stadig vil få større fokus. Årsaken til dette er at militære systemer ofte har store avhengigheter til sivil infrastruktur som strøm og telekommunikasjon.

KvartalSrapport for 4. Kvartal 201126 NASJONAL SIKKERHETSMYNDIGHET – norCErt

Kvartalets skråblikk

Det som ofte ser ut til å bli glemt er at sikkerhet er mer enn bare det fore-byggende elementet; man må også være i stand til å oppdage og håndtere brudd på sikkerheten. Dette er ikke noe nytt. Dr. James Lewis poengterte nettopp dette i en senatshøring i 2009: Vi kan følge gjel-dende sikkerhetsstandarder til punkt og prikke, og fremdeles være totalt usikker.

I NorCERT har vi observert at selv godt sikrede nettverk, som til og med har vært fysisk adskilt fra Internet, har blitt utsatt for alvorlige angrep. Angrepsvektoren har da vært via minnepinner og brukernes ukritiske og noe naive bruk av disse. Dette viser at vi må komme mer ut fra regel-modusen og bli mer på hugget for å oppdage, håndtere og beskytte oss mot de stadig nye truslene og metodene som benyttes til å angripe våre systemer.

Jeg vil spisse dette poenget: «Min tillit til ditt system, er lik din evne til å oppdage hendelser som kompromitterer systemets sikkerhet». Jeg kan med andre ord ikke stole på ditt system med mindre du også legger inn ressurser på å oppdage sikker-hetsbrudd.

For å detektere og stoppe innbrudd på IT-systemene er det mange som hopper rett på de tekniske løsningene (som IDS/IPS). Her synes jeg man i stedet bør starte med å se på de ressursene man allerede har i organisasjonen. Mitt argument er at det beste deteksjonssystemet man har, er egne ansatte. Kommer de over dokumenter som krasjer når de åpner de, eller oppdager at maskinen de jobber på oppfører seg litt uvanlig i forhold til hva de er vant til, så bør de ha ett sted å rapportere dette. De som mottar rapportene må da ha to ting på plass (i prioritert rekkefølge):

■ En holdning ovenfor brukerne som gjør at de føler seg velkomne, og ikke slutter å rapportere

■ Rutiner og verktøy for å kunne foreta en teknisk undersøkelse av problemet

For å få til gode sikkerhetsløsninger er man også avhengig av at ledelsen i organisasjonen har fokus på dette. «Leder-forankring» er et uttrykk som ofte brukes, men ingen forteller hvordan man i praksis kan oppnå dette. Hvordan skal ledelsen bli informert og involvert i problemstillinger relatert til IT-sikkerhet? Jeg tror en måte er å se på hvordan de som jobber med sikkerhet er plassert på organisasjonskartet (med tanke på rapporteringsvei).

Veldig ofte er IT-sikkerhet organisert som en del av IT-organisasjonen. Dette fører til at all informasjon kanaliseres oppover via samme rapporteringsvei. Eksisterer det meningsforskjeller mellom f.eks. drift og sikkerhet, er det en leder i

ledergruppa som mottar rapportene fra begge. Hvor ofte legges dette frem for ledergruppen? Hvor mye vet leder-gruppen? Hvor mye er de involvert i problemstillingene?

Personlig mener jeg at IT-sikkerhet bør ha en annen rapporteringsvei enn resten av IT organisasjonen - selv om de fysisk er lokalisert på samme sted og jobber veldig tett sammen (noe som er en fordel). Dette kan føre til at flere av de alvorlige problem-stillingene kan bli løftet inn i ledergruppa, og på den måten oppnå en mer bevisst holdning til at sikkerhet også er en variabel som må taes med i beregningen.

En annen ting er at IT-sikkerhet blir sett på som noe man gjør for å beskytte data-maskinene. Dette fremkommer veldig tydelig i mørketallsundersøkelsen for 2010, hvor 18% oppga at de hadde mistet eller blitt frastjålet maskinvare. Kun 2% oppga at de hadde mistet eller blitt frastjålet informasjon.

I realiteten er datamaskinene kun in formasjonsbærere. Informasjon kan også opptre i andre former, som f.eks. på papir eller som tale. Dette gjør at man også må sikre områdene omkring der denne informasjon befinner seg, det være seg datamaskiner, fysiske rom eller forskjellige transportmetoder for informasjon.

Informasjonssikkerhet er sikring av informasjon og konteksten denne til enhver tid befinner seg i.

- Mike Andersen

Lunch © Børge Lund, distr: www.strandcomics.no

Når man tenker på IT-sikkerhet er det ofte den forebyggende delen som er i fokus, den delen hvor man bruker mye ressurser på å forhindre at noen skal kunne kompromittere systemene. Man følger etablerte krav og standarder som har vist seg å være gode.

KvartalSrapport for 4. Kvartal 2011 27norCErt – NASJONAL SIKKERHETSMYNDIGHET

NSM-NorCERTAkershus festning, Bygg 12N-0015 OsloTelefon: 23 09 25 00Hendelser: 02497E-post: [email protected]:[email protected]

Illustrasjonsfoto hentet fra colourbox.com og NorCERTs arkiver