Trendrapport 2008 - DK-Cert

More documents

Recommendations

Info

16 Tingenes tilstand i 2008 4. Tingenes tilstand i 2008 Hvad skete der på it-sikkerhedsfronten i 2008 I dette afsnit gør vi status over nogle overskrifter for 2008. Vi dykker ned i tallene og fokuserer på overordnede sammenhænge, som vi mener repræsenterer en tendens, som det kan blive nødvendigt at tage højde for. Selv om måske ikke alt ved første øjekast synes nyt, er det med danske briller ikke set tidligere. Som eksempel kan nævnes phishingangreb målrettet danske organisationers ansatte og dansksproget rekruttering af muldyr til hvidvaskning af penge, som typisk er tjent ved phishing. Begge disse eksempler har eksisteret siden slutningen af 2007, men har taget til i 2008. Således svarede ca. 10 procent af de adspurgte i en undersøgelse foretaget af DK•CERT, at de i 2008 havde oplevet phishingangreb, hvor deres organisation var angivet som afsender. Til sammenligning var svaret i en tilsvarende amerikansk undersøgelse 27 procent 30 . Websites er nu hovedkilden til brugerinfektion med malware. Antivirusproducenten Sophos 31 angiver, at de hver 4,5 sekund opdagede en ny inficeret webside i 2008. 22 procent af de adspurgte i DK•CERT s undersøgelse svarede, at deres organisations offentlige websted havde været udsat for en sikkerhedshændelse. Således var den mest markante tendens i 2008, både herhjemme og i udlandet, en stigning i forsøg på SQL-injections af legale websider og heraf følgende malwareinficering af websitets besøgende. Version2 32 Som i de seneste år var der i 2008 ingen alvorligere ormeangreb eller virusepidemier. Kendetegnende for de orme og virus angreb der var, er at de fleste var relateret til spredning af og brug af botnet. Brugen af botnet var et centralt element i den it-kriminalitet, som blev begået i 2008. Vi indleder derfor afsnittet med at gøre status på botnet, deres midler og metoder samt afledte effekter i 2008. Botnet er f.eks. et væsentligt element ved kriminalitetsformen identitetstyveri, som er et stigende problem, der beskrives i det følgende afsnit Mens vi ikke i 2008 herhjemme er blevet ramt af den politisk betingede internetkriminalitet, var et par episoder fra udlandet i 2008 i mediernes søgelys. Vores forventning er, at vi ligesom med industrispionage vil se mere af dette i fremtiden. Også her spiller brugen af botnet en aktiv rolle, og vi har valgt at benytte det kommende afsnit til at gøre status på cyberwarfare og industrispionage. 1 USA 19,0% 2 Kina 16,8% 3 Sydorea 9,0% 4 Japan 5,0% 5 Tyskland 3,7% 18 Danmark 1,0% Tabel 5. Anmeldte lande ved portscanning mod danske IP-adresser, DK•CERT. Danske jobsites spredte virus efter kinesisk hackerangreb I slutningen af november 2008 blev en række danske jobwebsider hos organisationen Matchwork.com inficeret med malware efter vedholdende kinesiske hackerangreb. Angrebet betød at besøgende blev bedt om at installere en ActiveX-komponent, der angiveligt var fra Microsoft. Ved installationen blev der installeret en trojansk hest på pc’en. Den administrerende direktør for Matchwork. com, Torben Dyhr, fortalte til Version2 32 , at man konstant var udsat for angreb fra især kinesiske hackere, men at det var første gang, det var lykkedes dem at bryde igennem. Det var en menneskelig fejl, der var årsag til at angrebet lykkedes, og efter lukning af hullet blev der ikke konstateret datatab eller behov for genskabelse af data. Afslutningsvis gøres der status over nogle overordnede tendenser i organisationernes måde at opfatte og varetage it-sikkerhed på. Mens nogle af disse tendenser er naturligt afledt af en ændring i it-kriminalitetens væsen, er andre organisatorisk betinget eller opstået som følge af den teknologiske udvikling i it-sikkerhedsbranchen. Fælles må det dog formodes at disse tendenser vil pege fremad og præge organisationernes måde at varetage it-sikkerheden på i årene der kommer. 30 Computer Security Institute, 2008; “2008 CSI computer crime & security survey”. 31 Sophos, 2008; “Security threat report: 2009”. 32 Version2, 2008; “Danske jobsites spredte virus efter kinesisk hackerangreb”.
17 Tingenes tilstand i 2008 4.1. Botnet status Brugen af botnet er i dag en integreret del af den organiserede internetkriminalitet, hvad enten det drejer sig om distrueret denial of service-angreb, phishing eller anden indsamling og handel med data fra brugernes og organisationernes computere. På verdensplan er antallet af henholdsvis aktive botnet-pc’er 33 og command and control servere 34 til styring af botnet steget gennem 2008. Også Danmark er repræsenteret med båder botnet-pc’er 35 og de centrale servere til styring af botnet 36 . Håndteringen af botnet-pc’er var i en amerikansk undersøgelse den hændelsestype, der i 2008 gav anledning til de næststørste økonomiske tab, kun overgået af økonomisk svindel 37 . 20 procent af respondenterne svarede, at de havde haft botnet-aktivitet på organisationens eget netværk. En spørgeskemaundersøgelse foretaget af DK•CERT viste, at 52 procent af de adspurgte danske organisationer havde været inficeret med botnetprogrammer og/eller virus i det forgangne år. Organisationernes korrigerende handlinger herpå var oftest at lukke de benyttede sikkerhedshuller i organisationernes netværkssystemer og installere opdateringer til eksisterende software. Undersøgelsen viste desuden, at 25 procent af de adspurgtes organisationer havde været ofre for denial of service-angreb. Figur 12: Daglige spam-mængder afsendt fra Storm i 2008 41 . DK•CERTs Trendrapport 2007 havde på grund af botnettets omfang fokus på Storm. Da Storm i midten af 2007 var størst, blev botnettet estimeret til at omfatte mellem en halv til 1 million kompromitterede computere i decentrale netværk og være ansvarlig for 20 procent af al verdens spam 38 . Udover spam blev Storm brugt til at udføre phishing og distribuerede denial of service-angreb. Storm benyttede sig af social engineering-metoder til at få ofret til at klikke på links i spammails eller på inficerede hjemmesider, hvorefter botnetprogrammet blev installeret. I september 2007 aftog aktiviteten på Storm, og mængden af spam på verdensplan faldt støt. En årsag var, at Microsoft udsendte en opdatering, som indeholdte deres malicious removal tool, der efterfølgende har renset over 280.000 kompromitterede Windows-systemer 39 . En stor del af de inficerede systemer var Windows XP uden Service Pack 2 , se Figur 12. Igen i midten af september 2008 aftog aktiviteten på Storm, og der er ikke siden detekteret hverken spammails, denial of serviceangreb eller double fast flux-aktivitet fra dette botnet 40 . 2008 41 33 Shadowserver.org, 2009; “Bot count yearly”. 34 Shadowserver.org, 2009; “Botnet charts”. 35 Shadowserver.org, 2009; “Botnet maps”. 36 Shadowserver.org, 2009; “Drone maps”. 37 Computer Security Institute, 2008; “2008 CSI computer crime & security survey”. 38 Theregister.co.uk, 2008; “Storm botnet blows itself out”. 39 Marshal.com, 2008; “Goodbye Storm”. 40 Sudosecure.net, 2008; “Storm Worm - Go away, we’re not home”. 41 Marshal.com, 2008; “Goodbye Storm”.
Page 1 and 2: DK•CERT Trendrapport 2008 It-krim
Page 3 and 4: DK•CERT DK•CERT Det er DK•CER
Page 5 and 6: 5 Indholdsfortegnelse Indholdsforte
Page 7 and 8: 7 Indledning 2. Indledning Internet
Page 9 and 10: 9 2008 - året i tal 3. 2008 - åre
Page 11 and 12: 11 2008 - året i tal Listen over C
Page 13 and 14: 13 2008 - året i tal Mens 2008 med
Page 15: 15 2008 - året i tal 3.2. Portscan
Page 19 and 20: 19 Tingenes tilstand i 2008 at hold
Page 21 and 22: 21 Tingenes tilstand i 2008 var mul
Page 23 and 24: 23 Tingenes tilstandtilstand i 2008
Page 25 and 26: 25 Hvad fremtiden bringer 5. Hvad f
Page 27 and 28: 27 Hvad fremtiden bringer enkelte s
Page 29 and 30: 29 Hvad fremtiden bringer forstand
Page 31 and 32: 31 Opsamling håber derfor, at du o
Page 33 and 34: 33 Anbefalinger 7. Anbefalinger Bor
Page 35 and 36: 35 Anbefalinger IT-borger skriver a
Page 37 and 38: 37 Anbefalinger Undersøgelser har
Page 39 and 40: 39 Ordliste 8. Ordliste Awareness:
Page 41 and 42: 41 Ordliste Sårbarhed: En fejl i e
Page 43 and 44: 43 Referencer 10. Referencer AusCer
Page 45 and 46: 45 Referencer It-borger.dk, 2008;
Page 47: 47 Referencer Video.google.com, 200

Trendrapport 2008 - DK-Cert

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?