KvartalSrapport for 1. Kvartal 2012 - NSM

nsm.stat.no

KvartalSrapport for 1. Kvartal 2012 - NSM

NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 3Sammendrag av kvartaletFørste kvartal 2012 hadde i stor grad samme hektiske preg som slutten av 2011. Svært kort kan man si atspionasje mot samfunnsviktig infrastruktur fortsetter, og at nettaktivisme er en stadig økende trussel mot bådeoffentlige og private virksomheter.Dette kvartalet ble en norsk NGO (Nongovernmental organisation - en samlebetegnelsefor menneskerettighet- oghjelpeorganisasjoner) utsatt for datainnbrudd.Slike organisasjoner besitter oftebetydelig informasjon om politiske oggeografiske forhold som kan være sværtfølsomme, og er da et naturlig mål formange aktører. Det er heller ingen overraskelseat NorCERT også dette kvartalethar sett flere forsøk på spionasje mot norskehøyteknologibedrifter. Analyse av dissetrojanerne opptar betydelige ressurser,men gir da også et godt bilde av hendelsesforløpog intensjon, og gir oss mulighet til ålage gode signaturer for deteksjon i våresensorsystemer.Et norsk firma opplevde denne perioden åfå sin kontaktinfo brukt i registrering av et.org domene. Domenet ble deretter bruktsom infrastruktur til datainnbrudd, ved atstjålne data fra andre firma ble sendt til .orgdomenet. Firmaet anmeldte saken tilPolitiet.Universitetsmiljøer i Norge har dettekvartalet også opplevd datainnbrudd, menangriper har ikke kommet seg “langt nokinn” til å nå kritiske systemer som foreksempeltungregnemaskiner.En av de mer oppsiktsvekkende hendelsenei Norge dette kvartalet var da hacker-gruppenN0rSec stjal databasene til flere kundesiderhos en norsk hostingleverandør. Blantannet ble kundedata fra narkoman.no(nettsted for pårørende til narkomane)dumpet med epostadresser, passord-hashosv. Kundedata ble også slettet. NorCERTer kjent med at saken ble anmeldt og er nåunder etterforskning av politiet. Se forøvrigegen artikkel i denne kvartalsrapporten.Trenden av at sensitiv informasjon blirstjålet for så å bli publisert på internett erøkende. Intensjonen er ofte både hærverkmen også politisk aktivisme. I Norge har viforeløpig bare sett noen eksempler somnarkoman.no og hemmelig.com, men deter naturlig å advare mot at mer «vanlige»komersielle aktører også vil bli utsatt fortyveri av kundedatabaser i framtiden. Konsekvensenfor et firma kan være sværtødelggende hvis kundenes brukernavn,epost, passord-hash, kredittkortnumre bliroffentliggjort.Et omfattende datainnbrudd på enNederlandsk ISP fikk også stort fokus dettekvartalet. Angripere klarte å komme seg på“innsiden” av ISPens infrastruktur.Kundedata ble offentliggjort.Anonymous annonserte at de skulle «ta nedinternett» 31. mars. Gjennom å angripe 13sentrale DNS Rot-servere skulle manoppnå at DNS oppslag ikke kunne gjøres.Et angrep som forøvrig må sies å være sværtambisiøst. (Red. anm.: Da denne rapportengikk i trykken i slutten av april, var det fortsattingenting som tydet på at Anonymoushadde forsøkt å utføre nevnte angrep.)Datainnbruddet og den påfølgende lekkasjenav informasjon fra nettstedet Stratforhar fortsatt dette kvartalet. Stratfor er etfirma som selger sikkerhetspolitiske analyser.De har mange kunder også i Norge,da spesielt innen norsk offentlig forvaltning.I denne perioden har blant annete-postkommunikasjon og annen sensitivinformasjon om firmaets «informanter»blitt gjort tilgjengelig.Rett før påske ble det oppdaget en nybanktrojaner ICE IX, som ble brukt i enkampanje mot flere norske banker.Metodikk og teknologi tyder på atbakmennene besitter betydelige ressurserog er profesjonelle. Spredningen avskadevaren ser ut til å ha blitt gjort gjennomreklamebannere på web-sider, og exploitensom ble benyttet var Java-sårbarhet (CVE-2012-0507). Flere banker har ogsåopplevd at det har blitt satt opp phisingsider(falske sider som ber om sensitiv informasjonfra kunden) dette kvartalet.Sidene er ofte registrert på domenenavnsom ligner på bankens (typosquatting), slikat en kunde som skriver feil i nettleseren,blir sendt til en forfalsket side av banken.Banknæringen har det siste året opplevedbetydelig omfang av banktrojanere og an-nen uønsket kriminalitet. Godt håndtverkav sikkerhetsorganisasjonene til de størstebankene, og deres samarbeid innad i bransjengjør imidlertid at de kriminelle slitermed å lykkes. Det er også bra å se det samarbeidetsom skjer internt mellom bankenefor å håndtere denne samfunnsutfordringen.Hacking av sentraler for IP-telefoni ogvideokonferanse inntreffer regelmessig. Idette kvartalet er NorCERT kjent med at entelefonisentral knyttet til offentlig forvaltningtrolig ble utnyttet av kriminelle til åringe dyre telefonnumre i utlandet.NorCERT meldte i sist kvartalsrapport at“DNSChanger”-botnettet skulle tas neddette kvartalet. Takedown er imidlertid utsattda FBI fikk godkjenning til å fortsettesin operasjon fra amerikanske rettsinstanser.NorCERT mottar kontinuerligrapporter om norske infeksjoner og varslerdette videre til de norske internettleverandørene.


4 KVARTALSRAPPORT FOR 1. KVARTAL 2012NASJONAL SIKKERHETSMYNDIGHET – NorCERTNøkkeltall fra NorCERTDen norske delen av internett er relativt trygt sammenlignet med mange andre land. Trenden er likevel at antall sikkerhetshendelserøker, og NorCERT har sett en økning i antall hendelser på rundt 25% det siste året. Vi skal dettekvartalet se nærmere på hvilke roller norske ISP-er, norske banker og NSM NorCERT spiller i arbeidet med å holdevårt «digitale hus» rent, og se at mye tyder på et travelt IKT-sikkerhetsår.AktivitetsnivåI de foregående kvartalsrapportene harNorCERT vist til en jevn økning i antalloperative saker som håndteres av vårtoperasjonssenter. I forrige kvartal varøkningen dramatisk, og det var lenge etspørsmål om dette var en midlertidig økning,eller om økningen representerte et nyttnivå. Selv om NorCERT tidligere har opplevdat aktiviteten har gått ned etter korte,hektiske perioder, har vi ikke hatt vesentlignedgang dersom den høye aktiviteten harstrukket seg over flere kvartaler. Tallene forde to siste kvartalene tyder på at saksmengdenhar økt til et generelt høyere aktivitetsnivå,og som figur 1 viser, har detteskjedd en rekke ganger siden 2007. Noe avårsaken til at vi opplever slike sprang i aktivitetsnivåer trolig at veksten blant annetdrives frem av nye deltakere i VDI-samarbeidet,nytt informasjonstilfang som følgeav nasjonalt og internasjonalt samarbeid,samt interne effekter knyttet til videreutviklingav deteksjonskapasiteten i VDI.Et annet aspekt er mer trusseldrevet. Dethar for eksempel vært en økning i antallkompromitterte websider som sprerskadevare. Både nasjonalt og internasjonaltså man en tiltagning av slik aktivitet i fjorhøst. Denne utviklingen har fortsatt i 2012.I tillegg har det vært et oppsving i «hacktivisme»det siste året, og dette har i perioderogså ført til økt saksmengde. Fra førstekvartal 2011 til første kvartal 2012 økteden totale saksmengden med ca. 25%.Det at saksmengden for første kvartal2012 holder seg på nivå med det rekordhøyefjerde kvartal 2011 anser NorCERTsom en klar indikasjon på at 2012 kommertil å bli et hektisk år for alle som arbeidermed IKT-sikkerhet.«... at saksmengden forførste kvartal 2012holder seg på nivåmed det rekordhøyefjerde kvartal 2011anser NorCERT somen klar indikasjon påat 2012 kommer til åbli et hektisk år for allesom arbeider med IKTsikkerhet..»Figur 1: Håndterte saker fra første kvartal 2007 til første kvartal 2012.


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 5HåndteringstidDen gjennomsnittlige behandlingstiden forsaker som håndteres aktivt og operativt iNorCERTs operasjonssenter har stegetsakte de siste årene.« Fra første kvartal2011 til første kvartal2012 økte den totalesaksmengden med ca.25%.»NorCERT definerer en sak som under aktivoperativ oppfølging dersom den tar merenn én dag og mindre enn tre måneder åavslutte. Bakgrunnen for denne definisjonener at saker som tar mindre enn én dagå avslutte erfaringsmessig er varsler ellerlignende, som sendes ut uten noen videreoppfølging, mens saker som tar mer enn tremåneder for det meste har lange perioderuten aktivitet knyttet til seg.Tilbake i 2007 var gjennomsnittlighåndteringstid for saker under aktiv operativoppfølging drøye seks dager. To årsenere var den knappe sju. I 2009 passerteden åtte dager, og i 2011 var den nestenoppe i ti. I løpet av 2011 var den i perioderover tretten dager, men ut over høsten ogvinteren ble den presset ned under ti dager,Figur 2: Grafen viser gjennomsnittlig håndteringstid forsaker med behandlingstid mellom to og nitti dager.og det er fasit også for første kvartal 2012.Økningen i håndteringstid over tid kantrolig best forklares med at NorCERT håndtererstadig flere alvorlige saker. Årsaken tilnedgangen i håndteringstid de to siste kvartaleneer trolig knyttet til den store økningeni saksmengde i samme periode. Korthåndteringstid er ikke nødvendigvis bra nårdet kommer til hendelseshåndtering.Spesielt gjelder dette alvorlige saker, sommålrettede angrep. På grunn av økningen isaksmengde har NorCERT de siste to til trekvartalene sett seg nødt til å prioritere ned,og avslutte, håndteringen av stadig flerehendelser på et tidligere stadium enn før.Dette ser vi klart effekten av i figur 2.Som man ser i figur 3 er de fleste hendelserhåndtert ferdig i løpet av én måned. Av allesaker under aktiv operativ oppfølginggjøres hele 90% ferdig i løpet av tre uker.Figur 3: Grafen viser saker som tar mer enn én dag.Saker som tar mer enn 90 dager er akkumulert som“90+”.NøkkeltallI hver kvartalsrapport vil NorCERT presenterestatistikk basert på egne data ellerpå analyse av andres. Formålet er å formidlekunnskap om NorCERTs arbeid ogom det generelle IKT-risikobildet. På sikter det mulig artikkelserien vil stabilisereseg rundt utvalgte målepunkter, men istarten kommer vi til å eksperimentere endel både med format og innhold.SaksbehandlingNorCERT behandler alle saker mot eksterneparter i vårt interne saksbehandlingssystem.Når vi rapporterer på antallsaker vi håndterer, prøver vi samtidig åillustrere omfanget av de ulike sakene vedå rapportere antall oppdateringer vi harper sak.En oppdatering er enten innkommendeeller utgående kommunikasjon,eller interne notater i saken. Vi rapportererdessuten kun på operative saker tilknyttetoperasjonssenteret vårt. De fleste saker vilderfor være knyttet til hendelser NorCERTer involvert i å håndtere.Antall saker og saksoppdateringer girer relativt godt bilde av antall hendelser vihåndterer, men håndtering av hendelsermot eksterne parter er i utgangspunktetkun én av mange oppgaver NorCERT ersatt til å løse.Abuse-håndteringOrdet «abuse» brukes av internettilbydereog sikkerhetsfolk for å beskrive misbruk avdigitale tjenester, som for eksempel åsende ut spam eller angripe nettverk. I daghar de fleste internettilbydere en såkalt«abuse-avdeling» som håndterer dennetypen saker opp mot kunder, og det er tildisse menneskene eller avdelingene Nor-CERT sender sine varsel om virus og svindelog annen uønsket aktivitet.Tabell 1: Saker per hovedkategori:Sakskategori Saksantall Per dag AndelVarsel om kompromitterte kundemaskiner 1496 16,4 79,6 %Deling av informasjon med samarbeidspartnere 272 3,0 14,5 %Varsler til deltakere i VDI 68 0,7 3,6 %Annet 43 0,5 2,3 %Totalt antall saker 1879 20,5 100 %


6 KVARTALSRAPPORT FOR 1. KVARTAL 2012NASJONAL SIKKERHETSMYNDIGHET – NorCERTPrioritetNorCERT har tidligere presentert statistikkfor prioritet på både nyopprettede ogtotalt antall håndterte saker per kvartal.Studerer vi hvordan saksmengden har utvikletseg over tid, ser vi at den prosentviseøkningen er størst for alvorlige saker.Figur 4: Saker med høy prioritet.Det ble startet åtte nye alvorlige saker iførste kvartal 2012, mens det i samme tidsromble behandlet hele nitten. Dette er enøkning på henholdsvis 167% og 172% fraførste kvartal 2011.Figur 5: Saker med normal prioritet.Det er en klar økning også for saker medsåkalt normal prioritet, mens antall lavt prioritertesaker vokser saktere. Antall håndtertesaker med normal prioritet økte med89% fra første kvartal 2011 til første kvartal2012, mens antall håndterte lavt prioritertesaker kun økte med 22% i samme periode.Figur 6: Saker med lav prioritet.Fra figur 4, 5 og 6 ser man også klart at deter stor forskjell i hvor store de ulikekategoriene er, og i første kvartal gikk det tinormalt og hundre lavt prioriterte saker peralvorlige sak.Kompromitterte maskinerSom nevnt i tidligere kvartalsrapporter eren av NorCERTs oppgaver å distribuereinformasjon om kompromitterte datamaskinerpå en slik måte at eieren av maskinenfår beskjed og kan få ordnet opp.NorCERT gjør dette ved å formidle varslertil norske ISP-er, som deretter kontaktersine kunder. Informasjonen om de kompromittertemaskinene får NorCERT i stor gradfra nasjonale og internasjonale samarbeidspartnere.Det varierer imidlertid hvor samvittighetsfulltISP-ene tar oppgaven med å varslesine kunder, men de fleste norske ISP-ergjør en god innsats på området. Det at ISPeneog NorCERT spiller på lag med internasjonalesamarbeidspartnere for å «ryddeinternett» gjør at Norge har vesentlig mindreproblemer med kompromitterte datamaskinerenn mange andre land. Hver ukesender NorCERT ut varsel til norske ISP-erom tusenvis av kompromitterte datamaskiner.I første kvartal 2012 varslet NorCERTom over 20 000 unike IP-adresser hvor detvar mistanke om kompromittering.NorCERT sender ut slike rapporter toganger i uka, og så lenge vi får inn nye rapportersom tilsier at en datamaskin bak engitt IP-adresse er kompromittert, fortsettervi å sende ut varsler.I snitt sender vi nesten ni rapporter perunike IP-adresse. Det er flere faktorer somspiller inn når man skal vurdere hva dettesier om tiden det tar fra første varsel tilskadevaren er fjernet fra det kompromittertesystemet. Uten å kommentere allefaktorene, kan vi likevel si at det i snitt tarover én måned fra første varsel til eieren av«... gjør at Norge harvesentlig mindre problemermed kompromittertedatamaskinerenn mange andreland ...»systemet har fått ryddet opp.Av de store ISP-ene skiller Broadnet/Ventelo, Telenor, Powertech og UNINETTseg ut positivt i vårt tallmateriale. Dettepositive inntrykket styrkes av den dagligekontakten vi har med «abuse»-kontaktene ivirksomhetene. For disse ISP-ene tar det isnitt omkring to uker fra første varsel tilkunden har ryddet opp i sine systemer.NorCERT anser dette som svært godt, dadet for mange - spesielt privatpersoner - ertidkrevende og vanskelig å bli kvittskadevare på sine systemer.Enkelte ISP-er mottar godt over femtirapporter per IP. Dette tyder på at de ikkehåndterer «abuse» på en god måte, og atmange av deres kunder også har flere uliketyper skadevare på sine systemer samtidig.Dette er uheldig for kundene deres, og tilskade for den felles norske «ryddedugnaden»på internett. For første kvartal harden ISP-en NorCERT totalt sett vurderersom dårligst på håndtering av «abuse» mottattover 55 000 rapporter på litt under1 000 unike IP-adresser, altså 55 rapporterper IP-adresse.Til sammenligning har fire av de ISP-eneNorCERT vurderer som dyktigst på hånd-« På grunn av økningeni saksmengde harNorCERT de siste totil tre kvartalene settseg nødt til å prioriterened - og avslutte -håndteringen av stadigflere hendelser på ettidligere stadium ennfør.»Tabell 2: Statistikk på rapporter NorCERT har sendt til ISP-er og hostingleverandører.Antall mottakere 25Antall unike IP-er 20 658Totalt antall rapporter 181 916Gjennomsnittlig antall rapporter per IP 8,81Gjennomsnittlig antall rapporter per mottaker 7 276,64Gjennomsnittlig antall unike IP-er per mottaker 826,32


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 7tering av «abuse» samlet mottatt drøyt64 000 rapporter på knappe 13 000 unikeIP-adresser, altså knappe fem rapporter perIP-adresse.Skadevare«Abuse»-rapportene NorCERT formidlertil norske ISP-er inneholder som oftest enindikator på hvilken skadevare det varslesom. De siste månedene har den absoluttmest rapporterte skadevare vært «DN-SChanger». Årsaken til dette er at kommando-og kontrollinfrastrukturen til hele«DNSChanger»-botnettet er overtatt avFBI, og de samarbeider med flere aktørerom å varsle eiere av kompromitterte datamaskiner.Dette gjør de blant annet ved å formidleinformasjon til nasjonale CERT rundtomkring i verden.Ved å kontrollere «DNSChanger»-botnettetsørger FBI også for at det ikke benyttestil skadelig aktivitet, samtidig som detarbeides med å varsle og rydde opp. Detvar meningen at FBI skulle deaktivereinfrastrukturen som holder «DNSChanger»oppe 8. mars. Effekten av deaktiveringen erat brukere av kompromitterte maskiner viloppleve å ikke ha tilgang til internett. Detteble omtalt i forrige kvartalsrapport. Sidenopprydningsarbeidet har tatt lenger tid enn«De siste månedenehar den absolutt mestrapporterte skadevarevært DNSChanger»forventet er nedstengningen nå utsatt til 9.juli.Brukere som ønsker å undersøke om deer kompromittert kan besøke den offentligstøttede websiden «dns-changer.eu».«Heldigvis er norskebanker langt fremmenår det gjelderbekjempelse avbanktrojanere.»Nettverksadministratorer som ønsker åundersøke om det finnes maskiner i lokalnettetsom er kompromittert, kan se ettertrafikk til navneserverne «DNSChanger» ersatt opp til å bruke.Den nest mest rapporterte skadevaren er«Conficker». Årsaken til tilfanget av informasjonom kompromitterte klienter er myedet samme som for «DNSChanger». Ensammensetning av private og offentligevirksomheter fra flere land dannet i 2009gruppen «Conficker Working Group» for åbekjempe spredningen. Gruppen har overtattstore deler av kommandoinfrastrukturentil botnettet, og arbeider aktivt med åvarsle kompromitterte brukere. AtConficker fremdeles sprer seg etter over treår med aktive forsøk på å begrense denillustrerer hvor vanskelig det kan være å fåkontroll på skadevare med agressiv ogeffektiv spredning.De siste to familiene malware NorCERTvarsler en del om er «Torpig» og «SpyEye».Begge to er informasjonsstjelende trojanere,mye brukt i angrep på nettbanker.Noe som fremstår tydelig fra denne statistikkener at det er store mørketall knyttet tilbanktrojanere, for NorCERT er kjent medat det jevnlig kjøres kampanjer mot norskebanker ved bruk av trojanere som «ZeuS»,«Ice9» og «Gspy».Disse brukes i mange, men mindre kampanjeri relativt sett små botnett, noe somgjør at det å finne og overta kommando- ogkontrollinfrastrukturen for å finne og varslekompromitterte brukere er svært tidkrevende.Heldigvis er norske banker langtfremme når det gjelder bekjempelse avbanktrojanere. Flere banker arbeider aktivtmed å oppdage og stoppe transaksjonersom blir forsøkt utført av kriminelle frakompromitterte maskiner tilhørende norskebankkunder. Deler av dette arbeidet bleomtalt i forrige kvartalsrapport.Kombinasjonen med ISP-er som aktivthåndterer «abuse» og banker som aktivtarbeider for å stoppe kriminelles forsøk pånettbanktyveri gjør at bruken av nettbank iNorge er mye tryggere enn i mange andreland. Trenden er likevel klar, norske bankerog brukere utsettes i stadig større grad forangrep fra banktrojanere, så det godearbeidet må fortsette om vsituasjonen ikkeskal forverres.«... norske banker ogbrukere utsettes istadig større grad forangrep fra banktrojanere...»Tabell 3: Typer skadevare.Type Unike IP-er Antall rapporterdnschanger 9 421 42.88% 4 141 868 77.99%conficker 5 692 25.9% 24 241 13.33%sality 632 2.88% 3 189 1.75%torpig 859 3.91% 2 926 1.61%spyeye 1 827 8.31% 1 853 1.02%andre 3 542 16.12% 7 839 4.31%


8 KVARTALSRAPPORT FOR 1. KVARTAL 2012NASJONAL SIKKERHETSMYNDIGHET – NorCERTDet store våpenkappløpet15 mars uttalte en av NorCERTs ingeniører: «De siste dagene har føltes som et våpenkappløp om et logisk stridshodemed store deler av sikkerhetsmiljøet som deltakere og observatører. Informasjon og data underlagt taushetsplikt harlekket og spekulasjoner har flydd over en lav sko. Hvem i sikkerhetsmiljøet er ikke lenger til å stole på? Hvor lang tid haren eventuell angriper hatt på seg til å utvikle stabil utnyttelseskode? Er arvtakeren til Conficker her?» Årsak til bekymringenvar publiseringen av Microsofts tredje sikkerhetsoppdateringsrunde for året.Saken gjaldt en sårbarhet for alle støttedeversjoner av Windows som kjører RemoteDesktop Protocol (RDP). Dennesårbarheten ble patchet gjennomMicrosofts månedligesikkerhetsoppdatering den 13. mars. Detvar flere elementer ved sårbarheten somgjorde den spesielt fryktet. For det førstekunne et eventuelt angrep mot sårbaresystemer skje over Internett eller andrenettverk. Dernest trengte ikke angriper åautentisere seg ovenfor den sårbaretjeneren. Konsekvensen kunne da bliukontrollert spredning av ondsinnet kodemot sårbare maskiner i samme nettverk.«... dagene har føltessom et våpenkappløp omet logisk stridshode ...»“Hvem i all verden er så dum at de kjørerRDP direkte på Internett?” Dettespørsmålet ble stilt av flere i informasjonssikkerhetsmiljøeti dagene etter at patchenble publisert. Sikkerhetsforskeren DanKaminsky så seg lei all synsingen så hanstartet like greit en kartleggingsjobb for åfinne ut hvor mange det var snakk om. Etterå ha skannet rundt 8,3 % av Internett vardet totale antallet tilgjengelige RDP-tjenererundt 5 millioner.I tospann med metoder for sosial manipuleringvil en slik sårbarhet få betydelig effekt.Ved eksempelvis å få et offer til å åpneet vedlegg med slik skadevare kan sårbaretjenere kartlegges, selv om de ikke er direktepå Internett. Alvorligheten øker da vivet at mange virksomhetskritiske tjenere eråpne for fjerntilgang slik at administratorerlett kan nå disse.NorCERT sendte ut et oppdatert varsel den«Alvorligheten økerda vi vet at mangevirksomhetskritisketjenere er åpne forfjerntilgang slik at administratorerlett kannå disse.»16. mars hvor vi poengterte at det jobbesiherdig med å utvikle stabil utnyttelseskode,og at det var et spørsmål om tid før detteville skje. På den ene siden jobbet mange isikkerhetsmiljøet med dette i hensikt å sikresine egne systemer på en best mulig måte,og på den andre siden var potensielleangripere som vil benytte utnyttelseskodenraskest mulig før systemene blir patchet.Gun.io, en nettside hvor man kanannonsere utviklingsprosjekt, annonsertemed et prosjekt for denne sårbarheten.Nærmere bestemt en Metasploit-modul.Det ble raskt ble samlet inn over 1500$ ifinansering for å utvikle modulen. Videreble det observert en større ansamling sikkerhetsforskerepå IRC-kanalen #ms12-020 på IRC-nettverket Freenode. Diskusjonenerundt hvordan kodekjøring kunneoppnås pågikk til langt på natt etter offentliggjøringav sårbarheten.Rundt to dager etter at patchen ble gjorttilgjengelig fra Microsoft, begynte denførste konseptkoden for utnyttelse av sårbarhetenå dukke opp. Den første offentliggjortekoden viste seg å være falsk, nyttelastenutnyttet en eldre sårbarhet i Apache.En bjelle burde uansett ringe ved gjennomlesingav koden, forfatteren skulle angiveligvære sabu@fbi.gov. Sabu, LulzSec-hacktiv-isten som fungerte som informant for FBI,hadde trolig annet å henge fingrene i pådette tidspunktet.Like etter publiseringen av denne falskekoden ble det oppdaget et prekompilertkommandolinjeverktøy for Windows kalt«rdpclient.exe» på en kinesisk nettside somklarte å fremprovosere blåskjerm på systemersom kjørte RDP. Flere og flere kunnebekrefte at man fikk utilgjengeliggjortRDP-tjenere med dette verktøyet. En av desom testet «rdpclient.exe» syntes det varnoe kjent med nettverkstrafikken somverktøyet produserte.«Flere og flere kunnebekrefte at man fikkutilgjengeliggjortRDP-tjenere meddette verktøyet.»Luigi Auriemma som rapporterte sårbarhetentil Microsoft og Zero Day Initative(ZDI) gikk offentlig ut med sin sikkerhetsadvarselom sårbarheten, samt utnyttelseskodensom demonstrerer sårbarheten.Grunnen til denne offentliggjøringenknyttes til den kompilerte RDP-klientenslikhet til det Luigi leverte til ZDI. Deter mye rykter rundt hva som har forårsaketdette, og Luigi har selv sett for seg flerescenarier for kompromittering av hanskode. Det kan se ut til at det er via Microsoftlekkasjen har forekommet, dette basertpå en observert streng i den kompilertekoden med henvisning til Microsoft SecurityResponce Center:«E:\Work\MSRC11678\fuzzer\rdpclient\Release\rdpclient.pdb»


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 9Denne koden sendes til Microsofts MAPPpartnereslik at antivirus og andre sikkerhetsleverandørerkan forberede deteksjonfør patch er utgitt. Det er da også mulig atlekkasjen stammer fra en av disse partnerne.En talsperson fra ZDI kom raskt påbanen for å konstatere at lekkasjen ikkestammet fra deres organisasjon: «We are100% confident that the leaked inforegarding MS12-020 did not come fromthe ZDI. For further information, pleasequery Microsoft.»«We are 100%confident that the leakedinfo regarding MS12-020 did not come fromthe ZDI.»Kort tid etter uttalte Microsoft seg og langtpå vei bekreftetet at koden må ha lekket fraen av MAPP-partnerne. Microsoft kommenterteat saken undersøkes og at dette eret tydelig brudd på avtalen som partnerenehar skrevet under på, hvor de lover å ikkespre info eller data som de mottar iforbindelse med nye sårbarheter.18 mars var det fortsatt ikke blitt utviklet(offentlig tilgjengelig) stabil utnyttelseskode.Nevnte dato ble det oppdageten twittermelding som refererte til sårbarheteni en trojanerdeteksjon fra en kjent«18 mars var detfortsatt ikke blittutviklet (offentligtilgjengelig) stabilutnyttelseskode.»antivirusleverandør (Sophos). Den suspektevirusdefinisjonen Troj~MS12-020(md5: de9fd3d82e3c53a4b4a44f-86511c9ac0) viste seg å være et RAR-arkivmed tidligere omtalte «rdpclient.exe» og«repro.cap» som mistenkes å ha blitt lekketfra MAPP-programmet til Microsoft.I perioden dukket det opp en rekkekodesnutter som hevdet å være det logiskestridshodet som alle var på leting etter.Noen med ufarlig nyttelast, mens andrehadde potensiale for å skade nysgjerrigefolk i sikkerhetsmiljøet. Blant annet ble detobservert nyttelastkode som kunne fjernenoen essensielle elementer på maskinen:__import__(‘os’).system(‘del /s /q /f C:\\windows\\system32\\* > NUL 2>&1’) if‘Win’ in __import__(‘platform’).system()else __import__(‘os’).system(‘rm -rf /* >/dev/null 2>&1’)Det kommer da kanskje ikke som et sjokk atvi anbefaler å alltid kjøre slik kode i ensandbox eller virtuell maskin for å minskeskadene eventuell ondsinnet kode kan utføre.Saken blir fulgt videre av NorCERT, ogskulle en utnyttelseskode blir kjent vilNorCERTs varselmottakere raskt fåmelding.


10 KVARTALSRAPPORT FOR 1. KVARTAL 2012NASJONAL SIKKERHETSMYNDIGHET – NorCERTPublisering av stjålne dataNorCERT har tidligere skrevet mye om nettaktivisme, og utviklingen pådette området. En trend som har bemerket seg det siste året er tilfeller dersensitiv informasjon blir stjålet, og videre lagt ut på internett.NettaktivismeBrukes gjerne om bruk av digitalehjelpemidler til å fremme politiske mål påInternett. Begrepet er ofte knyttet til datainnbrudd,tjenestenektsangrep eller digitalttagging (hærverk) av nettsider.Mål for nettaktivistene har som regel værtstatlige institusjoner, sikkerhetsselskaperog store bedrifter, gjort som demonstrasjonermot vedtak, handlinger eller holdninger.Foto: Skjermbilde fra narkoman.noEn norsk tilfelle av publisering av stjålnedata skjedde allerede i 2011, da mangestortingsrepresentanter fikk sitt personnummerpublisert på Internett. Dette blesagt å skulle demonstrere hvor uforsvarligdet er å bruke personnummer som identifikasjoni den grad det gjøres i Norge i dag.I forrige kvartalsrapport skrev vi omhackingen av kundedatabasen til detanerkjente amerikanske analysebyråetStrategic Forecasting (Stratfor). Hackingenble videre fulgt av en storinformasjonslekkasje. Denne typeninformasjonslekkasjer kan utnyttes avkriminelle til økonomisk vinning, og itilfellet med Stratfor var det bådebrukernavn, passord og kredittkortdetaljersom ble lekket.Fortsettelsen på Stratfor historien komdette kvartalet, da 5 millioner e-poster fra860 000 Stratfor-kunder ble publisert avWikileaks på et nettsted døpt GlobalIntelligence Files. En av dem som fikke-postene sine publisert i klartekst var blantannet USAs tidligere utenriksministerHenry Kissinger.Publiseringen skapte stormedieoppmerksomhet og mye debatt.Både på grunn av kompromitteringen, menogså på grunn av innholdet i e-postene somindikerte at Stratfor hadde brukt noe tvilsommemetoder i sin innsamling av informasjon.«En trend som harbemerket seg det sisteåret er tilfeller dersensitiv informasjonblir stjålet, og viderelagt ut på internett.»E-postene viser for eksempel Stratforsnettverk av informanter og utbetalingsstruktur,og Wikileaks hevder å avslørehvordan Stratfor rekrutterte et globaltinformantnettverk som fikk betaling gjennomsveitsiske bankkonto og forhåndsinnbetaltekredittkort.Selv om noen former for nettaktivismeansees for å være en legitim demonstrasjonsformi et moderne samfunn, gjør dennye utviklingen det til en del av det storetrusselbildet.I mars ble det kjent at “N0rSec”, ennorsk hackergruppe, trolig stod bak hackingav en server hos en stor norsk hostingleverandør.Hackerne stjal og deretterslettet en rekke brukeredatabaser. Senereoffentliggjorde hackerne brukerdatabasenemed brukernavn og passord-hash på Internett.For noen av brukerdatabasene som blelekket på nett ble det også gjennomførtpassordknekking og resultatene publisertpå nett. Blant brukerdatabasene som blelekket var Battlefield.no og narkoman.no.Nettstedet narkoman.no er et nettstedog forum tilhørende organisasjonenNarkomanes Pårørende, mens Battlefielder en nettside og for spillinteresserte. Aksjonenmot disse nettstedene minner merom digitalt hærverk, men viser at også norskenettsider blir rammet av datalekkasjer.Hacking av nettsidene er anmeldt av deberørte partene til Politiet.Denne utviklingen synes å være økende,noe som kan føre til at norske virksomhetervil kunne få offentliggjort stjålne kundetatai større grad i tiden fremover.


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 11Fakta om FinlandErka Koivunen er sjef for CERT Finland (CERT-FI). Vi har spurt han litt om hvordan det arter seg i landet som erav mange er uttalt å ha ”et av de reneste delene av internettet i verden”.At vi har så rent Internett i Finland eregentlig en tilfeldighet, sier Erka.Han forteller om en av de ansatte vedCERT-FI som ble lei av den store mengdenvarsleom infiserte maskiner med finsk IPadressesom kom inn.Han lagde da et automatiskhåndteringssystem, CERT-FI Autoreporter.Dette gav store resultater med lite ressurser,og gjorde at man raskt oppnådde effekt. Ifjor rapporterte Autoreporter om ca.200.000 detekterte infeksjoner fordelt påca 90 000 IP-adresser. Dette gir enindikasjon om omfang, selv om det er viktigå differensiere på alvorlighet og at det kanvære en del «dobbeltrapportering». Detsom er tilfredsstillende, er da å se at finskeISP-er gjør tiltak når de får inforamasjon fraCERT-FI Autoreporter. Dette kan spennefra varsling til sperring avinternettforbindelsen til kunden.CERT-FI ligger under FICORA, (Svensk-Finsk navn: Kommunikationsverket) som erfinnenes post- og teletilsyn. De har altsåmandat til å pålegge de ulike teleselskapene(ISP-ene) å ha en plan når de får meldingom infiserte maskiner fra CERT-FI.25 prosent av finansieringen fraCERT-FI kommer fra teleselskapene i formav en egen skatt som de må betale. Restenav beløpet kommer fra «NationalEmergency Supply Agency», som er enegen organisasjon under Arbeids- ogøkonomidepartementet.Abuse-håndtering har altså vært ensuksess i Finland. Betyr det at Finland er etforegangsland over det hele innensikkerhet?Vi har gjort mye riktig inneninternettsikkerhet, men vi har fortsatt en veiå gå for å håndtere de mer alvorlige truslene.Vi tar derfor lærdom av Norge ogetablerer i disse dager HAVARO, som er etfinsk akronym for deteksjon- og tidligvarslingssystem for informasjonssikkerhetshendelser.Dette er et sensorsystem sompå mange måter er inspirert av VDI-systemeti Norge og er designet for også åkunne utveksle signaturer med VDI. I førsteomgang ruller vi dette ut til privatevirksomheter i kritisk infrastruktur. På sikthåper vi også å kunne dekke offentligemyndigheter.Foto: Erka Koivunen, sjef for CERT-FI«Vi har gjort mye riktiginnen internettsikkerhet,men vi har fortsatten vei å gå...»Det er altså interessant å se at NorCERTog CERT-FI har startet i to forskjelligeender. CERT-FI startet med Abuse,NorCERT startet med VDI-sensorer.Gode CERT-er er imidlertid ikke nok.Vi må også bli bedre på gradert side, sierErka.Flere tiltak er startet. Blant de viktigsteer etableringen av «National CommunicationsSecurity Authority» (NCSA-FI), somer en nasjonal sikkerhetsmyndighet somskal bedre sikkerheten for det sivile samfunn.Vi skriver også nå på den førstenasjonale cyberstrategi, forteller sjefen fordet finske CERT-et.Denne skal bli klar i slutten av 2012, ogimplementeres i 2013-2015. En av deidentifiserte største utfordringene der ersilo-oppdelingen i sektorene.Ansvarsavklaring blir derfor en sentraloppgave.Jeg tror kommunikasjonsmyndighetenog forsvarsmyndigheten er de som harkommet lengst. Eksempelvis er Forsvaretflinke til å stille krav til seg selv ogunderleverandørene, mens FICORA harnoen krav til teleleverandørene innenrobusthet og hendelseshåndtering. Detsom gjenstår nå er å få med resten av detfinske samfunnet! sier Erka Koivunen.


12 KVARTALSRAPPORT FOR 1. KVARTAL 2012NASJONAL SIKKERHETSMYNDIGHET – NorCERTSpionasje mot humanitæreorganisasjonerHumanitære organisasjoner har den siste tiden vist seg å være et spesielt utsatt mål for dataangrep. Blant annet har AmnestyInternational vært åpne med at deres nettsider har vært kompromittert i et utnyttelsesforsøk. NorCERT har settflere tilfeller hvor NGOer, organisasjoner som arbeider parallelt med statlige organer uten å være underlagt en statligmyndighet, har blitt rammet av dataangrep, også norske organisasjoner. Dette kan indikere at denne typen organisasjonerer særlig utsatt for slike angrep. NorCERT vil derfor poengtere at det er viktig å ha fokus på angrep mot norskeNGOer . Dette må ses på som en trend i dagens IKT-risikobildet.Angrep mot NGO er ikke et nytt fenomen,men noe som har pågått lenge. Her kan vispesielt fremheve to tilfeller som er blittundersøkt nøye og publisert offentlig.I 2007 ble det publisert en mye omtaltrapport med navnet “Crouching PowerpointHidden Trojan” av sikkerhetsforskerenHorenbeeck. Her blir det fortalt omet angrep rettet mot en religiøs bevegelse.I 2009 kom rapporten “Tracking Ghost-Net: Investigating a Cyber Espionage Network”som ble trykket i Information WarfareMonitor 2009. Denne omtaler et datainnbruddmot en annen NGO.«Humanitæreorganisasjoner har densiste tiden vist seg åvære et attraktivt mål fordataangrep.»Den 22. desember 2011 ble kjent imedia at Amnesty Internationals hjemmesidei Storbritannia var kompromittert ogserverte skadevare til besøkende, ved såkalt«drive-by-exploit».Den kompromitterte nettsiden var blittmodifisert av en angriper slik at hvis enbruker besøkte nettsiden med en sårbarversjon av nettleserkomponenten Java, såville brukerens datamaskin bli infisert medskadevare.Det er ikke første gang Amnesty Internationalssine hjemmesider har blitt kom-«Den 22. desember2011 ble det kjent imedia at Amnesty Internationalshjemmesidei Storbritanniavar kompromittert ogserverte skadevare tilbesøkende...»promittert og satt opp til å servere utnyttelseskode(exploits) og skadevare.Amnesty sine nettsider i Hong Kong ble inovember 2010 kompromittert og servertebesøkende kode for å utnytte flere ulikesårbarheter slik at maskinene ble infisert.Infiserte nettsider som omdirigererbrukere til nettsider med kode som utnyttersårbarheter i tilleggskomponenter i nettlesereneller i selve nettleseren for åinstallere skadevare, er ikke noe nytt. Somoftest vil spredning av slik skadevare væredrevet frem av økonomiske motiver, ved atskadevaren for eksempel er av typen sombenyttes til nettbanksvindel eller falsk antivirusprogramvare.Analyse gjort av skadevaren som blebenyttet i forbindelse med Amnesty Internationalkompromitteringen indikerer ogsåat dette trolig er en skadevare som girangriperen generell tilgang (bakdør) til infisertemaskiner.I januar 2012 informerte NorCERT ennorsk NGO om at en maskin hos dem varkompromittert og at de trolig var offer foret spionasjeforsøk. Tekniske funn viste atmaskinen var kompromittert medskadevare. Den var blitt infisert gjennomen java-sårbarhet da brukeren surfet på eninfisert nettside relatert til sitt arbeid.«Tekniske funn visteat maskinen varkompromittert medskadevare»Skadevaren som ble installert på systemetvar en såkalt bakdør. Med en bakdør menesen metode for å komme seg inn på datamaskinersom omgår sikkerhetsmekanismenei systemet. Denne bakdøren gav angriperfull kontroll over systemet.Trusselaktøren bak dette angrepet erikke kjent, men det finnes likhetstrekk mellomdenne hendelsen og flere andre spionasjeangrepmot humanitære- og menneskerettighetsorganisasjoner.Et eksempel pådet er blant annet den nevnte kompromitteringenav Amnesty Internationalshjemmeside.At kriminelle på internett kompromittererwebsider og serverer exploits tilbesøkende, slik som blant annet i Amnestysaken,er ikke uvanlig, de nye aspektene gårpå hvilke motiver som ligger bak disse handlingene.


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 13Foto: Illustrasjon av en angrepsforsøk, lik det som ble gjennomført på Amnesty Internationals hjemmeside«Trusselaktøren bakdette angrepet erikke kjent, men detfinnes likhetstrekkmellom dennehendelsen og flereandre spionasjeangrepmot humanitære- ogmenneskerettighetsorganisasjoner.»Ved kompromittering av nettsider tilNGOer som Amnesty International, er detflere som har spekulert i om motivet ikke erav økonomisk karakter, men drevet fram avtrusselaktører som ønsker å kartlegge menneskerettighetsaktivister.Det er da naturligå tenke seg personer som jobber innenforområdet og støttespillere vil besøke nettsidenemed jevne mellomrom og derfor vilkunne være målet for angriperen.I tilfellet med Amnesty Internationaltydet tekniske funn på at at skadevaren varspesifikt rettet mot Amnesty og de sombesøker deres side. Videre var skadevarenen trojaner/bakdør hvor trusselaktørentrolig brukte en menneskelig operatør for åkontrollere maskinene. De tekniske funnenetyder på at aktørene som stod bakhadde betydelige ressurser.PST sier i sin åpne trusselvurdering atenkelte stater arbeider kontinuerlig for åhente informasjon om myndigheter ogselvstendige hjelpeorganisasjoners arbeidfor menneskerettigheter. NorCERT har settflere tilfeller av dataangrep mot norskehumanitære organisasjoner. Dette indikererat nettopp disse organisasjonene er spesieltutsatt for slike angrep. Det er også slik athumanitære organisasjoner ofte harbetydelig informasjon om politiske oggeografiske forhold. Dette kan være sværtfølsom informasjon, og dermed gjøreNGOene til et naturlig mål for mangeaktører. NorCERT vurderer derfor at det erviktig å ha fokus denne type angrep, og atdet må ansees som en trend i dagens IKTrisikobilde.


14 KVARTALSRAPPORT FOR 1. KVARTAL 2012NASJONAL SIKKERHETSMYNDIGHET – NorCERTSikkerhetsstyring – en god investeringNorCERTs forrige kvartalsrapport tok opp flere tilfeller av at norsk industri har blitt utsatt for digital spionasjegjennom målrettede angrep fra trusselaktører med avanserte kapabiliteter. Dette samsvarer med trusselvurderingenfra Politiets sikkerhetstjeneste (PST) som forteller at etterretningstrusselen mot høyteknologivirksomheterer høy. I denne artikkelen forteller seksjonssjef i NSM, Helge Furuseth, om viktigheten av sikkerhetsstyring.«...etterretningstrusselenmot høyteknologivirksomheterer høy»Mest utsatt er bedrifter som produsererverdensledende teknologi, særlig energirelatertteknologi og teknologi som kan tenkeså ha en militær anvendelse.Næringslivets sikkerhetsråds Mørketallsundersøkelsefra 2010 forteller oss at virksomhetermed forskning- og utviklingsaktivitet(FoU) er mer utsatt for datakriminalitet.Undersøkelsen viste at av virksomhetersom hadde FoU-aktiviteter hadde 30,5 %blitt frastjålet datautstyr, mot virksomheteruten FoU-aktiviteter hvorav bare 15,3 %hadde blitt utsatt for tyveri av slikt utstyr. Vitør anta at denne forskjellen ikke bare skyldesat distré forskere er mer trolige til åglemme å låse døren. Sosial manipulering,som også kan være innledningen til et dataangrep,er også en utbredt metode for åinnhente informasjon. PST forteller til DNMagasinet 10. mars i år at minst 19 landdriver etterretning i Norge, og mange avdisse landenes etterretningstjenester jobberfor å hjelpe næringslivet. Virksomhetslederehar mye å frykte.Vi kan bare spekulere i hva angriperne erute etter, men virksomheter kan sitte påmye informasjon som kan være av verdi forandre. Dette kan være informasjon omprodukter under utvikling,markedsstrategier ellerforhandlingsposisjoner - informasjon somkan ha verdi for konkurrenter, kunder ellerinvestorer og medføre tap for virksomhetenom dette blir kjent. Det er ikke en gangsikkert at man oppdager atkompromitteringen har skjedd. Var detfordi konkurrenten satt på informasjon omhvor langt virksomheten var villige til å gåat de vant forhandlingene, eller varmotparten simpelthen dyktige forhandlere?Og var det en tilfeldighet at et utenlandskfirma utviklet et nesten identisk produkt tildet man selv hadde utviklet og trodde manskulle vinne markedsandeler med?Mange virksomheter glemmer å regneinformasjonen de forvalter som verdier –det er lettere å måle i kroner og øre når«Vi kan bare spekulerei hva angriperne er uteetter, men virksomheterkan sitte på myeinformasjon som kanvære av verdi forandre»utstyr blir stjålet eller ødelagt. Meninformasjon på avveie kan være pengertapt. Og kan en virksomhet overleve lengeuten tilgang til informasjon om sine kundereller produkter? Angrepene avdekket avNorCERT har vært rettet mot ugradertenettverk. Men mange norske virksomheterer leverandører til både forsvaret og forvaltningeni Norge og utlandet gjennomsåkalte «sikkerhetsgraderte anskaffelser».Dette er anskaffelser hvor leverandørenfår tilgang til sikkerhetsgradert informasjoni forbindelse med anskaffelsen, eller hvordet som produseres blir sikkerhetsgradert i


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 15seg selv. Der hvor norsk industri erleverandører til utlandet, må det væreinngått sikkerhetsavtaler mellommyndighetene i de respektive land ombeskyttelse av gradert informasjon. Disseavtalene er som regel folkerettsligbindende og innebærer at landenegjensidig har gått igjennom motpartenssikkerhetsregelverk og hvordan dettefølges opp av sikkerhetsmyndighetene, oggått god for at dette er godt nok til åbeskytte deres egen sikkerhetsgraderteinformasjon.Delen av norsk industri som leverer forsvars-og sikkerhetsrelaterte produkter ogtjenester er helt avhengig av slike avtaler.Skulle utenlandsk gradert informasjon somer overlevert til en norsk leverandør iforbindelse med en anskaffelse plutseligdukke opp i uvedkommendes hender, ellersågar på internett, vil det kunne svekketillitten til hvordan gradert informasjonskjermes i Norge. Det kan gi konsekvenserfor norsk industris konkurranseevne i utlandet.Når en leverandør behandler gradertinformasjon, norsk eller utenlandsk, trerkravene i lov om forebyggende sikkerhetinn for hvordan informasjonen skalbehandles. Disse kravene er utviklet for åforhindre at sikkerhetstrusler motugraderte sider av en virksomhet kan medførekompromittering av gradertinformasjon. Det viktigste tiltaket er god«Denne typen informasjonslekkasjerkanutnyttes av kriminelletiløkonomisk vinning»sikkerhetsstyring. God sikkerhetsstyringdreier seg kort sagt om å vite hva man gjør.Hvilken verdifull informasjon har virksomheten?Hvor befinner den seg, hvilke truslerer de utsatt for, og hvor gode er sikkerhetstiltakene?Dette er spørsmål en hvervirksomhetsleder bør kunne svare på.I henhold til krav i og i medhold avsikkerhetsloven skal en virksomhet haoversikt over hvor i virksomhetensikkerhetsgradert informasjon kanbehandles, på hvilke informasjonssystemerog hvem i virksomheten som til en hver tider klarert og autorisert for gradertinformasjon. Autoriseringen skal medføreat personellet kjenner til sinesikkerhetsmessige plikter og vet hvordangradert informasjon skal håndteres. Risikoskal vurderes kontinuerlig med bakgrunn iet oppdatert trusselbilde. Kan det være atvirksomheter involvert i verdensledendehøyteknologi står ovenfor andre trusler ennandre virksomheter? Da måsikkerhetstiltakene være deretter.Sikkerhetsrevisjon skal regelmessiggjennomføres for å sikre at tiltak virker oger hensiktsmessige og tilstrekkelige.Gjennom evaluering, minimum årlig, avden generelle sikkerhetstilstanden skal«Det kan gi konsekvenserfor norskindustris konkurranseevnei utlandet»ledelsen være godt informert om hvilkenrisiko virksomheten står ovenfor påområdet.Når det gjelder digital behandling avgradert informasjon, skal det utelukkendegjøres på systemer godkjent for dette. Deter kun NSM som kan godkjenne sammenkoblingermellom systemer på forskjelligegraderingsnivå og sammenkobling motugraderte systemer. Lagringsmedier skalvære behørig merket med høyestegraderingsnivå, og virksomheten skal ha etregister over disse slik at man til en hver tidvet hvor de er og kan kontrollere at ingen erpå avveie. Dette er tiltak som, om de følges,gjør det lite sannsynlig at angrep motugraderte systemer vil medføre kompromitteringav den graderte informasjonenvirksomheten forvalter.Virksomheten bør bruke den sammetilnærmingen til å beskytte sine immaterielleverdier og andre forretningshemmeligheter.Kravene til styring av sikkerhet ivirksomheter underlagt sikkerhetslovenhenger godt sammen med anbefalinger ietablerte standarder som f eks ISO/IEC27001, og det vil være effektivt for virksomhetenå integrere styringen av all sikkerheti virksomheten, både på graderte ogugraderte område. Manglende sikkerhetkan fort bli dyrt. Sikkerhetsstyring bør der-for være i en hver virksomhetsleders interesse.God informasjonssikkerhet fordrer atbåde forebyggende og reaktive tiltak er«Når det gjelder digitalbehandling av gradertinformasjon, skal detutelukkende gjøres påsystemer godkjent fordette»gjenstand for styring og oppfølging fraledelsen. Ledelsen bør ha god grunn til åengasjere seg i arbeidet, da dette ikke baredreier seg om lovpålagte krav og byråkrati,men også om beskyttelse av informasjonsom har verdi, i kroner og ører, for virksomheten.NSM anbefaler alle virksomheter å etableregod sikkerhetsstyring og virksomhetsledereå engasjere seg i arbeidet. Ergrunnsikringen på plass i virksomheten ogangrep mot ugraderte systemer blir tilstrekkeligforebygget eller håndtert, vil etterlevelseav lovpålagte krav for skjerming avgradert informasjon også bli enklere. Detvil gagne både virksomhetenes og riketssikkerhet.


16 KVARTALSRAPPORT FOR 1. KVARTAL 2012NASJONAL SIKKERHETSMYNDIGHET – NorCERTSosial manipuleringKombinasjonen av sosial manipulering og teknologiske sårbarheter blir i større grad benyttet i det vi definerer som målrettedeangrep mot enkeltansatte i virksomheter og bedrifter. Angrepene trenger ikke engang å være teknisk sofistikertenår man får ansatte ubevisst til å implementere angrepet mot sin egen arbeidsgiver. I denne artikkelen har vi fåtthjelp av Roar Thon, seniorrådgiver i NSMs seksjon for personellsikkerhet, til å sette fokus på hva sosial manipuleringer og hvilke spørsmål den enkelte bør stille seg for å redusere muligheten for å ubevisst hjelpe trusselaktørenes til ålykkes med sine forsøk på å infiltrere datasystemer.Sosial manipulering er ikke noe nytt. Menneskerhar lurt hverandre siden tidenesmorgen og det finnes like mange variasjonerav sosial manipulering som det finnesløgner. Sosial manipulering er ikke annetenn løgner og illusjoner satt i system av eneller flere mennesker som benytter dettesom et verktøy for å nå sine mål.«Mennesker har lurthverandre siden tidenesmorgen»Sosial manipulering kan f.eks. være åbruke reell informasjon til å skape en situasjoneller benytte forfalsket eller ikke-reellinformasjon til å skape den samme situasjonen.Situasjonene som oppstår har ofte tilhensikt å skape følelsesmessige reaksjonerhos mottaker som f.eks. å skape tillit gjennomutseende, språk og budskap for deretterå få til en bestemt reaksjon/handlinghos mottaker. Situasjonen som skapes kanvære av fysisk eller elektronisk art med denfelles hensikt å skape en reaksjon/handlingsom gjør det mulig å skaffe seg f.eks. informasjon.Informasjonen kan enten føredirekte til målet eller fremskaffe mer informasjonpå veien mot et mål.Målet kan være mangeartet, men økonomiskemotiver er ofte en dominerendefaktor. Verdifull og sensitiv informasjon kanha en høy økonomisk verdi når informasjonenhavner i de «urette» hender. ForNorCERT er sosial manipulasjon noe vi iøkende grad ser benyttet i målrettede dataangrepmed den hensikt å skaffe tilgang tilsensitiv informasjon.Informasjon har en varierende verdiavhengig av hvem som trenger den og tilhvilket formål. Informasjon som vi anser åvære triviell kan være viktig for en sombedriver sosial manipulasjon. Det betyrikke at vi skal beskytte vår trivielle informasjonbedre, men vi må forsøke å øke for-ståelsen for at ikke alt bestandig er hva detutgir seg for å være. Dersom vi hadde vært istand til å leve etter ordtaket om at «du skalikke tro på noe av det du hører og barehalvparten av det du ser» ville vi ha gjortdet veldig vanskelig for trusselaktørene åbedrive sosial manipulasjon. Hvordan fungererså sosial manipulering?For å nevne noen av kategoriene vi kanplassere sosial manipulasjon inn i, kan detvære alt fra brev, reklame, websider, telefonsamtaler,tekstmeldinger, e-post, til detfysiske møtet med en eller flere personer.Med andre ord kan sosial manipulasjonvære alt fra e-posten fra en forretningsmanni Nigeria med tilbud om å gjøre degrik i en fei, brevet fra et advokatkontor iHong Kong som forteller at du har arvet enonkel du aldri har hørt om, eller telefonenfra Microsoft som forteller at du har problemermed datamaskinen din. Dette ereksempler som er av global karakter ogsom i realiteten retter seg mot enhver somikke forstår at de blir utsatt for sosial manipulasjoni den hensikt å loppe dem forpenger. Når vi kaller dette eksempler avglobal karakter er det fordi mennesker overhele kloden utsettes for denne type manipulering24/7 med en viss variasjon av budskapog presentasjon.At trusselaktørene benytter denne typemetodikk kan ikke forklares med noe annetenn at de tjener nok på metodikken til at detlønner seg rent økonomisk. Forhåpentligvishar du og din bedrift blitt i stand til å indentifisereog motstå denne type manipulasjon.Videre i denne artikkelen tar vi utgangspunkti litt mer avansert sosial manipulasjongjennom e-post som et leveringsmiddeltil et målrettet dataangrep. Den sosialemanipulasjon som benyttes i målrettededataangrep har som regel en helt annengrad av individualitet og karakter. Budskapog presentasjon er ofte bearbeidet på enslik måte at den bare passer en enkelt person,eller en mindre gruppe nøkkelansatte ibedriften.Selv om en trusselaktør sannsynligvis måbruke noe mer ressurser på å planlegge etmålrettet angrep mot en ansatt i en bedrifter det grunn til å anta at dette også lønnerseg. Et godt målrettet angrep er vanskelig åmotstå fordi det som oftest tar utgangspunkti enkeltindividets hverdag, personligeinteresser og har et mer subtilt budskapenn tilbudet fra den nigerianske forretningsmannen.Vi i NorCERT ser hvordandenne metoden de siste årene er blitt benytteti flere alvorlige saker som defineressom dataspionasje.I 2010 produserte NorCERT en demopå hvordan en trusselaktør ville gå frem forå planlegge/gjennomføre et målrettetdataangrep ved bruk av sosial manipulasjon/ondsinnetkode. Målet var å stjeleinformasjon fra en bedrift uten at bedriften«At trusselaktørenebenytter denne typemetodikk kan ikkeforklares med noeannet enn at de tjenernok på metodikken tilat det lønner seg rentøkonomisk»var klar over at dette skjedde. En reel norskbedrift fikk i utgangspunktet rollen som detfiktive målet (angrepet ble aldri gjennomført)Etter informasjonsinnhenting fraoffentlige tilgjengelige kilder bleangrepsmålet klart. En forskningssjef sompå fritiden var lagleder for datterens håndballag.Forskningssjefen stod som laglederoppført med en kontakt e-post adresse tilhørendedennes arbeidsgiver. Håndballagetskulle delta på en turnering med overnattingog håndballturneringen hadde på sinewebsider dokumenter med informasjon omturneringen. Hvorfor ikke sende dissedokumentene til forskningssjefen?En e-post ble utformet slik at den så ut tilå komme fra håndballturneringens admin-


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 17Vurderinger du bør gjøre:istrasjon. Et av vedleggene med korrektinnhold fra turneringen ble infisert med enondsinnet kode som kunne brukes til åstjele informasjonsbærende filer fraarbeidsgivers nettverk. Så ville det bare havært å sende e-posten til vår intetanendeforskningssjef som for alt vi vet, ville blittglad over å motta viktig informasjon frahåndballturneringen.Etter vår erfaring er det stor grunn til åforvente at en slik angrepsmetode vil lykkesi den form at det er høy grad av sannsynlighetfor at e-post mottakeren ukritisk vilåpne både e-post og vedlegg. Hva somskjer etterpå er et spørsmål om hvor teknologiskavansert angrepsmetoden er kontrahvor robust forsvarsteknologi angrepsmålethar. NorCERT har flere eksempler på hvor«NorCERT har flereeksempler på hvor slikeangrep har lykkes oghvor angrepet er blittoppdaget flere månedereller år etter at angrepetfant sted.»slike angrep har lykkes og hvor angrepet erblitt oppdaget flere måneder eller år etterat angrepet fant sted. I forrige kvartalsrapportkommenterte NorCERT behovet forøkt fokus på analyse av nettverkstrafikk oghendelseshåndtering. Samtidig påpekte vibehovet for å erkjenne at trusselen vi stårovenfor er reell og vanskelig å unnslippe.Det er ikke mulig å fjerne all risiko forsosial manipulasjon. Vi må akseptere at visom mennesker har mange svakheter somkan utnyttes. Enkeltindiver kan både væreen sikkerhetsrisiko og en sikkerhetsressurs.Målet må være å redusere risiko og økeevnen hos den enkelte til å være en ressurs.Tenk deg at du mottar 35 e-post daglig. Enav disse e-postene er et målrettet dataangreppå deg og din bedrift. Når e-postenikke avviker fra de andre 34’s innhold,utseende og troverdighet, hvordan skal duda kunne identifisere og unnlate å åpnevedlegg eller følge linker som er vedlagtakkurat den e-posten? Dette er ikke lett forden enkelte og det medfører også storeutfordringer for de som skal forsøke å skapemottiltak mot denne type angrep.Moderne bedrifter benytter i dag e-posttil utstrakt ekstern og intern kommunikasjon.Det er ingen løsning å slutte mede-post, så hvordan bør vi redusere risiko iftsosial manipulasjon? Vi er avhengige av åha tillit til det vi mottar pr e-post, samtidiger denne tilliten vår største fiende – og denutnyttes av trusselaktørene. Jo dyktigere viblir til å forsvare oss rent teknisk jo mer viltrusselen rettes mot de ansatte. Ingen børtro at vi løser denne utfordringen kun vedhjelp av teknologiske hjelpemidler.Risikoen er at vi lar de ansatte bli utsattfor situasjoner de aldri har hatt forutsetningerfor å løse riktig.■■Erkjenne at bedriften/virksomhetenbehandler sensitiv informasjon somkan være av interesse for andre.■■Forstå at alle kan være et mål for sosialmanipulasjon og målrettede angrep.■■Erkjenne at du selv har informasjonsom kan hjelpe en trusselaktør mot detendelige målet.■■Ting som er for gode til å være sant – ersom regel det!■■Vær generelt skeptisk til e-post■■Vær kritisk til vedlegg og linker som dufår tilsendt.■■Spør deg selv hvorfor du mottar e-postfra avsender?■■Ventet du en slik e-post?■■Er det logisk at akkurat du mottardenne e-posten?■■Er avsender noen bedriften har samarbeidmed fra før?■■Hvem andre er den sendt til?■■Har noen andre du kjenner mottatte-posten?■■Er det noen logisk grunn til at de mottardenne e-posten?■■Har du mulighet til å verifisere ate-posten er reell (f.eks. ved å ringe)– Gjør det! Dette er tryggere å gjøre iftavsendere du kjenner (f.eks. kollega)enn å ringe mennesker du aldri harmøtt


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 19tem eller en bestemt bruker eller gruppe avbrukere. Tradisjonelle datavirus er konstruertfor å infisere flest mulig systemer og vilsom regel kunne fanges opp av oppdaterteantivirusprogram, mens målrettede trojanerehar en meget begrenset spredningsflateog vil i mange tilfeller kunne passereubemerket forbi tradisjonelle datasikkerhetsmekanismersom brannmur, inntrengingsdeteksjonssystem(IDS) og antivirusprogram.«Med begrepet digitalspionasje mener vispionasje muliggjortved at trusselaktørerhar fått uautoriserttilgang til informasjonvia datanettverk, som foreksempel internett. »Inngangsporten til offerets datasystemerviser seg ofte å være en kombinasjon av trojanereni form av skreddersydd programvaresom utnytter sårbarheter i populæreapplikasjoner og sosial manipuleringsom lurer brukeren til å installere trojaneren.Dette kan for eksempel være enepost sendt til offeret, som ser ut til å værefra sjefen og som inneholder et vedlegg iform av en pdf-fil. Eposten inneholder tekstsom refererer til interne forhold i bedriften.Dermed blir mottakeren lurt til å tro at dettevirkelig er en epost fra sjefen med viktiginformasjon i vedlegget, som bør klikkes påog leses straks. Vedlegget ser ut som etlegitimt dokument når offeret åpner det.Men egentlig inneholder det en kjørbar filsom utnytter en sårbarhet i Adobe Reader.Filen installerer et skjult program somåpner en bakdør inn i datamaskinen forangriperen. Angriperen kan nå ubemerketlogge seg inn på offerets datamaskin for ålese og laste ned alle dokumenter av interesse.Hvis datamaskinen er koblet til bedriftensinterne nett, er det en mulighet for atangriper kan trenge seg videre inn i andremaskiner knyttet til dette datanettverket.Har angriperen først fått kompromittert énmaskin i en bedrift, så har de én fot innenfor.Det vil ofte være lettere å angripe andremaskiner i bedriften fra denne og dermedfå et større fotfeste, som vil kunne gjøre detvanskeligere å fjerne inntrengeren.Nasjonal sikkerhetsmyndighet ga i 2008ut en rapport 8 om målrettede trojanere.Trusselen har eksistert i lang tid, men harblitt mer reell med den økende avhengighetenav informasjonssystemer og det faktumat flere og flere systemer nå er tilknyttetinternett. Internettets beskaffenhet erda også som skreddersydd for å skjule seg,slik spioner naturligvis vil. Angriper skjulersom regel sine spor ved å bruke datamaskineri andre land som mellomstasjoner,såkalte «proxyer». Det betyr at det kan se utsom angrepet kommer fra land A, menslandet i virkeligheten egentlig bare er enmellomstasjon. Man kan i lysets hastighetforsere landegrenser, bevege seg i komplekseveier som vanskeliggjør sporing, ogrisikoen for å bli tatt er lav. Digital spionasjeer kort og godt kosteffektivt og innebærerlav risiko for motparten.Kostnadene for samfunnetFor å kunne si noe om hva digital spionasjekoster samfunnet må vi først prøve å fåen oversikt over omfanget. Deretter må viforsøke å estimere tapene assosiert meddatainnbrudd og kompromittering av sensitivinformasjon, noe som viser seg å væresvært utfordrende.«Hvis datamaskinener koblet til bedriftensinterne nett, erdet en mulighet for atangriper kan trengeseg videre inn i andremaskiner knyttet tildette datanettverket. »OmfangetI Norge er det NorCERT i Nasjonal sikkerhetsmyndighetsom ofte er første kontaktpunktnår norske virksomheter oppleverspionasje på internett. Men, NorCERT ser isitt sensorsystem bare en liten del av detnorske internettet, og vår saksmengde erhovedsakelig generert fra det lille vi ser.Dette gir grunn til å antyde store mørketall.Basert på VDI-sensornettverket somprivate og offentlige virksomheter frivillighar satt opp på sine internett-linjer, fårNorCERT et utsnitt av hva som skjer på detnorske internettet. Sensornettverket kansammenlignes med en digital innbruddsalarmfor AS Norge, og varsler om dataangrepmot kritisk infrastruktur. Oppvaktebrukere og IT-personell i norske virksomheterkontakter også NorCERT når de sernoe mistenkelig. Det er en kjensgjerning atIDS-sensorer, brannmurer og antivirus baregir begrenset sikkerhet. En metafor er åtenke seg slike sikkerhetsmekanismer somen skuddsikker vest. Det er viktig beskyttelse,men sikter motstanderen litt ekstra(og det krever ikke veldig mye innsats), såtreffer han deg i en kroppsdel som ikke erbeskyttet.Fra NorCERTs begrensede utkikkstårnser man ukentlig alvorlige hendelser. Desiste årene har NorCERT registrert en økningi antall saker på 33 % hvert år 9 . Ettjuetalls alvorlige hendelser ble håndtert i2011, og NorCERT bruker stadig mer ressurserpå å håndtere de alvorligste sakene.Hvem står bak disse dataangrepene? INorge er det en politi- og etterforskningsoppgaveå finne aktørene bak datakrimi-


20 KVARTALSRAPPORT FOR 1. KVARTAL 2012NASJONAL SIKKERHETSMYNDIGHET – NorCERThelt normalt å være infisert i mangemåneder, eller år, før det eventuelt oppdages.Og oppdages det, så er det enten vedslump eller at myndighetene varsler omdet. Både Uri Rivner ved RSA og AllanPaller ved SANS Institute bruker ordet«dwell time» for å beskrive tiden mellomdet tidspunktet angriper kommer inn pånettverket inntil angrepet blir oppdaget.Hos organisasjoner med store IT-sikkerhetskapasiteterer «dwell time» ofte noen uker.De som snubler over angriper gjør det somregel innen 6-12 måneder. Den størsteandelen oppdager imidlertid aldri at de harblitt angrepet. En siste kategori er de virksomhetersom blir varslet av myndighetene.De fleste virksomheter som blir utsatt foravansert industrispionasje vil altså aldrioppdage at de er rammet.NorCERT har håndtert flere hendelserder virksomheten, etter å ha blitt oppmerksommepå et angrep, har avdekket at de harvært kompromittert i lang tid før oppdagelsen.I fjerde kvartal 2011 bistoNorCERT et teknologifirma som tilfeldighadde oppdaget noen ukjente brukere påsentrale systemer. Etter omfattende undersøkelser,viste det seg at angriper har hatt etstort fotfeste i virksomhetens nettverk iover ett år. Skadeomfanget, da spesieltkunnskap om hva som eventuelt er stjåletav informasjon, er ukjent grunnet mangelfulllogging 15 , men det er naturlig å anta atangriper har fått tilgang til store mengderdata.Mørketallene er altså så store på detteområdet at en estimering av omfanget vil haen så stor usikkerhet at tallene gir begrensetverdi. Næringslivets sikkerhetsråd(NSR) utgir en årlig rapport som forsøker åkartlegge omfanget av datakriminalitet ogIT-sikkerhetshendelser i Norge, basert påen spørreundersøkelse utført blant norskevirksomheter 16 . Her fremheves det at manglendeovervåkning og gjennomgang avlogger medfører manglende oversikt ograpportering av sikkerhetshendelser tilledelsen. En tredjedel av virksomhetene harvært utsatt for datakriminalitet, men bare 1% av tilfellene ble i 2010 anmeldt til politiet.18 % av virksomhetene sier at de harmistet IT-utstyr, mens kun 1 % mener at dehar opplevd tap av opplysninger underlagtpersonopplysningsloven. Dette kan vitneom en naivitet i forhold til hvilken informasjonsom faktisk kan være lagret på IT-utstyrsom ansatte ofte bærer med seg, slik somsmarttelefoner og bærbare datamaskiner.Underrapporteringen ser altså ut til å værenalitet. Å identifisere hvem som står bak erofte vanskelig. En rapport som ble utgitt inovember 2011 av USAs Office of theNational Counterintelligence Executive(ONCIX) 10 har fått stor oppmerksomhetinternasjonalt, blant annet på grunn av atUSA her går åpent ut og peker på enkelteland som er særlig aktive innen spionasje påinternett. I 2010 ble det også sagt i Pentagonscyberstrategi at svært mange etterretningstjenesterhar kapasiteter og intensjon:«Right now, more than 100 foreign intelligenceorganizations are trying to hack intothe digital networks that undergird U.S.military operations» 11.En rapport som ble utgitt i november2011 av USAs Office of the NationalCounterintelligence Executive (ONCIX)har fått stor oppmerksomhet internasjonaltda den beskriver omfattende digital spionasjemot USA 12.Basert på overnevnte, er det sannsynligat det er flere norske virksomheter, spesieltinnen høyteknologi, som er rammet. Dissevet det imidlertid ikke selv, og erfaring tilsierat de heller aldri vil oppdage det. Fremtredendeforskere på området sier at det er«...er det sannsynligat det er flere norskevirksomheter, spesieltinnen høyteknologi,som er rammet.»stor på alle nivåer, også når det gjelderannen datakriminalitet enn digital spionasje.Hvordan beregne kostnadeneÅ beregne kostnader på grunn av spionasjeer vanskelig. Som nevnt oppdager de flestealdri at de er rammet, mens andre oppdagerdette flere måneder eller år etter at angrepetble gjennomført. De tilfellene somoppdages blir som regel ikke anmeldt ellerrapportert til norske myndigheter. Dettekan skyldes at omdømmet til en virksomhetkan bli svært skadelidende hvis det blirkjent at den har blitt offer for spionasje.


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 21Dette kan påvirke aksjekurs og kunderelasjoner.I verste fall blir tilliten til virksomhetenså svekket at kunden ikke lenger vilha produktet. Dette skjedde med det nederlandskeselskapet DigiNotar, som gikkkonkurs i etterkant av et datainnbrudd i2011. Innbruddet gjorde det mulig forinntrengeren å utstede falske digitale sertifikati DigiNotars navn 17 . Digitale sertifikatbrukes blant annet av nettsider og nettleserefor å kunne opprette kryptert, sikkerkommunikasjon på internett. Forretningsmodellentil DigiNotar var spesieltavhengig av tillit, da selskapet opptråddesom en tiltrodd tredjepart. Hackerinnbruddetødela denne tilliten, og dermed ogsågrunnlaget for selskapets eksistens.Det er vanskelig å vurdere en pris påinformasjon som er stjålet. To utenlandskerapporter har forsøkt å sette en prislapp påinternett-kriminalitet som genereltfenomen. De har da ikke utelukkende settpå spionasje, men rapportene sier at spionasjeer en betydelig del av problemet.Høsten 2011 kom «Norton Cyber CrimeReport» 18 , som anslår den globale kostnadenfor internettkriminalitet til over2000 milliarder kroner (388 MilliarderUSD). Dette sies da å være mer enn denglobale omsetningen av marihuana, kokainog heroin. En annen rapport som søker åsette en prislapp på internettkriminalitet er«The Cost of Cyber Crime» 19 , som er utarbeidetav konsulenthuset Detica i samarbeidmed «Office of Cyber Security andInformation Assurance» i UK CabinetOffice. Rapporten sier at cyberkriminalitetårlig koster det britiske samfunnet 27 milliarderpund. Omgjort til norske forhold,med hensyn til innbyggertall, kan man daestimere at datakriminalitet koster Norgeca. 20 milliarder kroner per år. Dette erekstreme tall, og rapporten har fåttbetydelig kritikk. Undersøkelsen er likevellagt inn som grunnlag i Storbritannias«Cyberstrategi» 20 som kom fjerde kvartal2011. Strategien er nært knyttet til Storbritanniassatsning på cyberområdet: 650 millionerpund skal brukes de neste fire årene.En mulig måte å estimere kostnadeneforbundet med digital spionasje og tap avforretningshemmeligheter er ved å tautgangspunkt i utgiftene forbundet medforskning og utvikling av den tapte informasjonen,samt projiserte inntekter sombortfaller på grunn av tapte markedsandeler.I tillegg må man estimere en verdi av eteventuelt omdømmetap og kostnadene forbundetmed å rydde opp i etterkant. Førstmå man imidlertid ha et begrep om hvilkeninformasjon som eventuelt er blitt stjålet,og verdien av denne informasjonen.«Det er imidlertidnaivt å tro at en angripersom har hatt fulltilgang til bedriftensdatanettverk, inkludertstrategidokumenter,tegninger, regnskap,epost, brukernavn,passord etc., ikke harkopiert dette og hentetut informasjonen. »De fleste bedrifter som er rammet avdigital spionasje, opplever et stort ubehagnår de begynner å ta tak i saken. Årsaken erat de ikke har tilstrekkelig logging av sinnettverkstrafikk. Det betyr at de umulig kanvite hvor mye data som har blitt sendt ut frabedriften og til angripers IP-adresse i denperioden angriper har hatt tilgang til datasystemene.Det er imidlertid naivt å tro aten angriper som har hatt full tilgang tilbedriftens datanettverk, inkludert strategidokumenter,tegninger, regnskap, epost,brukernavn, passord etc., ikke har kopiertdette og hentet ut informasjonen. Haddeman hatt gode loggverktøy og en kompetentsikkerhetsorganisasjon, ville man foreksempel oppdaget hvis det plutselig gikkstore mengder data ut av bedriften og til etland som bedriften ikke opererer i. Pågrunn av lavt sikkerhetsfokus i mange norskevirksomheter er det ofte ikke implementertmekanismer som kan hjelpe tilmed å oppdage slike mistenkeligheter. Enopprydding internt for å kaste angriper pådør koster ofte mye og må gjøres aveksterne konsulenter. Kostnader forbundetmed tap av kontrakter eller hele marked erpotensielle konsekvenser.EksemplerNorCERT har håndtert flere alvorlige hendelserrelatert til digital spionasje de sisteårene. Vi har bedt noen av virksomhetenesom har vært utsatt for dette om å prøve ågi et anslag på hvor mye de har tapt eller stoi fare for å tape på grunn av disse hendelsene.Da dette er svært sensitiv informasjon,kan vi kun presentere dette i anonymisertform. Tallene er kun basert påvirksomhetenes estimater, og det er vanskeligå etterprøve dette. Vi vil likevel presenteredisse som enkeltstående, illustrerendeeksempler.Hendelse 1 skjedde hos en stor norsk


22 KVARTALSRAPPORT FOR 1. KVARTAL 2012NASJONAL SIKKERHETSMYNDIGHET – NorCERTvirksomhet. I forbindelse med en kontraktsforhandlingknyttet til et prosjekt iutlandet ble virksomheten utsatt for etvellykket angrep, der en målrettet trojanerinfiserte nøkkelpersonell i en kritiskfase av forhandlingene. Det som skjeddevar at de mottok en epost som så ut til åkomme fra sjefen, og som refererte til etinternt prosjekt som kun få ansatte varinformert om. Denne trojaniserte epostenvar skreddersydd for å lure mottakerne.Epostvedlegget ble åpnet og flere maskinerble deretter infisert av trojaneren.Infeksjonene ble oppdaget midt denkritiske fasen i forhandlingene. Virksomhetenstapte posisjon i kontraktsforhandlingeneer anslått til flere hundre millionerkroner.Hendelse 2 dreier seg om et høyteknologiskselskap som stadig blir utsattfor angrep i form av trojaniserte eposter.Virksomheten har kommet frem til at etavansert angrep av en viss størrelse, somklarer å penetrere deres sikkerhetsmekanismer,raskt kan koste flere titalls millionerkroner i direkte tap. Dersom hendelseni tillegg blir offentlig kjent, vil prislappenbli betydelig større, da bransjenhar ekstremt fokus på omdømme.KonklusjonEn fullstendig beskyttelse mot dataspionasjekan virke svært vanskelig. Man må istørre grad innse at man alltid er sårbar ogderfor fokusere på å håndtere og begrenseskadene når hendelsene oppstår.Det betyr ikke at man må glemme å sikre«Arbeidet med ITsikkerhetmå væreledelsesforankret. »systemene, antivirusprogramvare, brannmurregler,inntrengingsdeteksjonssystemer,oppdatere programvare og at andretiltak fortsatt er viktige. Men det er ogsånødvendig med systemer og rutiner nårhendelsen inntreffer. Det er også viktig åikke glemme IT-sikkerhetsrutiner forgjestebrukere, innleide konsulenter, samarbeidspartnereog datterselskap medtilgang til bedriftens datasystemer ognettverk.AnbefalingerNoen anbefalte tiltak er opprettelse av etdedikert IT-sikkerhetsteam som har kortrapporteringsvei til ledelsen. Arbeidetmed IT-sikkerhet må være ledelsesforankret.Det er viktig at bedriftens eiere og revisorerpasser på at bedriften ivaretar sin intellektuellekapital på en god måte, ansvaretfor dette kan ikke delegeres. Det er viktig atman identifiserer hvilke data som er ekstraverdifulle og sikrer disse, eksempelvis ved ålagre denne informasjonen på systemersom ikke er koblet til internett.Man bør deretter satse på brukeropplæring.De ansatte må være bevisste på åikke ukritisk åpne vedlegg eller klikke pålenker i eposter eller på internettsider.Tilgangsrettighetene til brukerne må begrenses,dette vil kunne begrense skadeomfangetved en eventuell kompromittering.IT-avdelingen kan begrense sannsynlighetenfor infiseringer ved for eksempel åkun tillate at man installerer forhåndsgodkjenteprogrammer.Oppdatert programvare og antivirus eren selvfølge, da trojanere og andre datavirusutnytter seg av kjente sårbarheter i programvare.Hvis det tar lang tid fra en sikkerhetsoppdateringblir lansert til maninstallerer den, blir det såkalte «sårbarhetsvinduet»mye lengre og sannsynlighetenfor å bli infisert høy, siden virusutviklerneofte tar utgangspunkt i en sikkerhetsoppdateringog reverserer denne for å lage virusog trojanere.Veien videreReviderte retningslinjer for IKT-sikkerhetblir denne våren offentliggjort 21 . Disse villangt på vei være Norges strategi for åhåndtere disse truslene. Det viktigste budskapeter likevel at trusselen fra digital spionasjeer langt større enn mange tror, og merkompleks enn at Norges myndigheter noengang kan løse hele problemet. Her må alleta tak og samarbeide for å bekjempe trusselen.NorCERT i Nasjonal sikkerhetsmyndighetdeltar allerede i et operativt samarbeidmed andre europeiske myndighets-CERTeri «European Government CERTs Group» 22, der man på et høyt tillitsnivå deler informasjonrelatert til pågående angrep og truslerslik at man kan bli bedre i stand til ådetektere og forebygge angrep. De nordiskeutenriksministrene er enige om å etablereet nordisk samarbeid om digital sikkerhetsom en oppfølging av den nordiskesolidaritetserklæringen som ble vedtatt iHelsingfors i april 2011. En egen nordiskekspertgruppe vil arbeide med etableringav et praktisk digitalt samarbeid («NordicCyber Security Initiativ») med tanke på åfatte et vedtak på neste nordiske utenriksministermøtevåren 2012. 231.Nasjonal sikkerhetsmyndighet 2011: Rapportom sikkerhetstilstanden 20102.Politiets sikkerhetstjeneste 2012: Åpentrusselvurdering 20123.Etterretningstjenesten 2012: Fokus 2012 –Etterretningstjenestens vurdering4.NorCERT (Norwegian Computer EmergencyResponse Team)5.Politiets sikkerhetstjeneste 2012: Åpentrusselvurdering 20126.Office of the National CounterintelligenceExecutive (ONCIX) 2011: Foreign Spies StealingUS Economic Secrets in Cyberspace, Report toCongress on Foreign Economic Collection andIndustrial Espionage, 2009-20117.Olje- og energidepartementet 2011: FaktaNorsk Petroleumsverksemd 20118.Nasjonal sikkerhetsmyndighet 2008: NSMsikkerhetsvarsel - Trussel på Internett: Målrettedetrojanere i Norge9.NorCERT 2011: Kvartalsrapport for 3. Kvartal201110.Office of the National CounterintelligenceExecutive (ONCIX) 2011: Foreign Spies StealingUS Economic Secrets in Cyberspace, Report toCongress on Foreign Economic Collection andIndustrial Espionage, 2009-201111. William J. Lynn III, 2010: Defending a NewDomain - The Pentagon’s Cyberstrategy12.Office of the National CounterintelligenceExecutive (ONCIX) 2011: Foreign Spies StealingUS Economic Secrets in Cyberspace, Report toCongress on Foreign Economic Collection andIndustrial Espionage, 2009-201113.http://blogs.rsa.com/rivner/anatomy-of-anattack/14.http://www.sans.org/newsletters/newsbites/newsbites.php?vol=13&issue=2615.NorCERT 2012: Kvartalsrapport for 4. Kvartal15NorCERT 2011: Kvartalsrapport for . Kvartal16.Næringslivets sikkerhetsråd 2011:Mørketallsundersøkelsen 2010 –Informasjonssikkerhet og datakriminalitet17.GOVCERT.NL 2011: Factsheet FS 2011-06,Fraudulently issued security certificate discovered.18.http://norton.com/cybercrimereport19.UK Cabinet Office 2011: The cost of cybercrime, a Detica report in partnership with theOffice of Cyber Security and InformationAssurance in the Cabinet Office.20. UK Cabinet Office 2011: The UK CyberSecurity Strategy - Protecting and promoting theUK in a digital world.21. NSRs sikkerhetskonferanse 2011: En ny tidstrusler krever en ny tids IKT-sikkerhet22.European Government CERTs Group (EGC),http://www.egc-group.org23.Utenriksdepartementet 2011: Nyhet02.11.2011 Nordisk samarbeid om digitalsikkerhet


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 23NorCERT påkarrieredagen tilHøgskolen i Gjøvik2. februar 2011 var NorCERT på Høgskolen i Gjøvik for å delta på karrieredagensom ble arrangert av Høgskolen og de aktuelle linjeforeningeneved skolen.Dette er en fin måte for Nasjonal Sikkerhetsmyndighetå fortelle om hva vi drivermed, og hvilke muligheter studenter kan hai vår organisasjon. NSM har et bredt spekterav oppgaver som dekker store deler avfagområdene som blir undervist på Høgskoleni Gjøvik.For å ha noe mer spennende å stille oppmed enn brosjyrer og flotte skjermbilderfra operasjonssenteret til NorCERT, stilte viogså med noen utfordringer til studentene.Vi hadde på forhånd gjort klar en utfordring«NSM har et bredtspekter av oppgaversom dekker store delerav fagområdene somblir undervist på Høgskoleni Gjøvik.hvor studentene kunne bryne seg påreverse engineering, samt en nettverksbasertutfordring.Den første utfordringen er bygget påcrackme-konseptet, og består av trebinærfiler som inneholder en skjult beskjedsom studentene skal finne. Binærfilene harstigende vanskelighetsgrad, og i den siste avdem var det også lagt inn noen feller for åvanskeliggjøre analysen.Den nettverksbaserte utfordringen bestoi en pakkedump av trafikk generert avskadevare som ble kjørt i labmiljøet vårt. Herbesto utfordringen i å påpeke hvilken trafikksom er illegitim, og hvordan man kan skilleden fra legitim trafikk. Deretter ble studentenespurt om å skrive en signatur for ådetektere den ondsinnede trafikken med detnettverksbaserte innbruddsdeteksjonssystemetSnort.Vi er glade for å kunne meddele at beggeoppgavene har blitt løst. Crackme-oppgavenble løst på en utmerket måte av Svein RogerEngen, som også påpekte en svakhet vedmåten den tredje filen hadde blitt obfuskertpå. Den nettverksbaserte oppgaven ble løstav Christoffer Hallstensen. Begge har fått enpåskjønnelse i posten.Foto: Skjermbilde fra løsningen på Crackme oppgaven.


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 25viktigste er økt bevissthet hos ansatte,leverandører og andre involverte. Sterktlederfokus og forankring i heleorganisasjonen har også værtfremtredende. Samtidig er det uunngåeligat enkelte av sikkerhetstiltakene medførerplunder og heft for brukerne, det er viktig åta dette på alvor og justere underveis ellerfinne andre løsninger der det er mulig.Vår bransje er preget av kontinuitet oglangtidstenkning, og samtidig en praktisktilnærming til de daglige utfordringer.Problemer løses raskt og effektivt, menmed liten vekt på skriftlighet. Konkretetiltak som er gjennomført, har derfor dreidseg mye om beskrivelse av prosesser ogdefinering av prosedyrer innenhendelseshåndtering, avviksbehandling ogrisikohåndtering. Det har også vært enbetydelig innstramming på passordregimeog strengere vurdering av hvem som skal hatilgang til informasjon.«Sikkerhetsutfordringeneved dette har, slikvi ser det, blitt undervurderti forhold tileffektivitetsgevinst ogøkt funksjonalitet.»Et annet viktig tiltak har vært sonedeling avnettverket og tiltak for å isolere brukernefra bakenforliggende systemer.ErfaringerVår erfaring har vært at dette arbeidet ersvært arbeidskrevende, men at det samtidighar løftet etatens kompetanse og bevissthetom risikovurderinger. Det er lett åundervurdere tidsforbruk og kompleksitet.Det er på mange måter snakk om å endreen kultur i organisasjonen. Det er viktig å hajevn dialog med styrende organer. Det erogså viktig at endringene blir godtforankret i organisasjonen.


26 KVARTALSRAPPORT FOR 1. KVARTAL 2012NASJONAL SIKKERHETSMYNDIGHET – NorCERTKommunikasjonssjekk mot norskeInternett og tjenesteleverandørerTo ganger i året gjennomfører NorCERT en e-post-basert kommunikasjonssjekk med norske internett- og tjenesteleverandørerleverandører.I denne artikkelen vil vi gå inn på hvorfor og hvordan vi gjør dette, og hvem som deltari kommunikasjonssjekken.NorCERT gjennomførerkommunikasjonstester for å sørge for atsamarbeidet og dialogen vi har motinternettleverandørene fungerer. Hyppigeendringer i ISP-landskapet i form avfusjoner, fisjoner, nedleggelser ognavneendringer gjør at kontaktpunkteneendrer seg. Det er ikke alltid vi fanger oppdette, men ved å gjennomføre denne typeøvelser får vi oppdatert vårkontaktdatabase. Samtidig får vi ogsåidentifisert potensielle utfordringer medresponstid hos enkelte selskaper. For oss erdet viktig at e-postkontoene som mottare-post fra oss regelmessig blir sjekket, slikat vi slipper å bruke tid på å purre opp sakerper telefon. Et annet viktig element er atdenne øvelsen til en viss grad også fungerersom en bevisstgjøring av at vi følger med,og som kontakt opp imotinternettleverandører vi ellers ikke har såmye kontakt med.Kriteriene for å bli valgt ut til å delta basererseg først og fremst på at organisasjonen haret eget AS-nummer (AutonomousSystem), og at vi har hatt kontakt medorganisasjonen angående “abuse”-håndtering de siste to årene. Dermedfavner vi både tradisjonelle ISP-er somleverer internettforbindelse til bådebedrifter og privatpersoner, men også“hosting”-leverandører og andretjenesteleverandører.Selve øvelsen gjennomføres ved at visender ut en e-post til kontaktpunktene vihar registrert. I e-posten ber vi mottakerneraskest mulig sende en bekreftelse på atden er lest, samt en eventuelltilbakemelding på om de håndterer abusefor flere AS-nummer, evt omkontaktinformasjonen ikke stemmer.Flertallet av henvendelsene vi har mot ISPenedreier seg om sluttbrukere ellerorganisasjoner som har blitt kompromittertmed «vanlig» malware. Dette er saker viikke prioriterer høyt i NorCERT, men somer en tjeneste vi likevel er opptatt av ålevere for å sørge for en god«internetthygiene» i Norge. NorCERTfølger i liten grad opp hvor flinke ISP-eneer til å håndtere denne typen saker.Et skritt opp på prioriteringsskalaen erkompromitterte websider som brukes tilenten å servere skadevare, servere “exploitkits” eller å redirigere brukerne til sider somkompromitterer dem. Dette følger vi istørre grad opp, og kontrollerer atleverandørene faktisk håndterer.Datamaskinen som funger somkommando- og kotrollservere prioritereshøyt, og NorCERT følger denne typensaker tett og forventer rask håndtering fraleverandørene.Basert på dette har vi valgt å deleresponstiden inn i fire grupper:GRØNN: Raskt svar < 3 timerGUL: OK svar < 12 timerORANGE: Tregt svar < 24 timerRØD: Veldig tregt / ikke svartGjennomføring av øvelsen i første kvartalav 2012 sørget for at vi fikk oppdatertkontaktdatabasen vår, noe som var ett av deviktigste målene våre. Det er gledelig åregistrere at flere av de små og nye ISP-enereagerer såpass raskt.Resultatet reflekterer også til en viss gradhvilke selskaper vi har problemer med å fåtil å håndtere “abuse” på en konsekvent oggod måte (eller i det hele tatt).Av de 86 Internett- ogtjenesteleverandørerne som ble testet, såsvarte 48 innen tre timer, 4 svarte ettermellom tre og fire timer og 2 som svarteetter 20 timer. 4 stk svarte etter et pardager, hvor den ene brukt fem dager påsvaret. Resten, altså 28 stk, svarte ikke i dethele tatt på denne øvelsen.Denne listen viser de 35 raskeste til å svare påkommunikasjonssjekken. Vi anser alt under 3 timer forå være raskt svar.


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 1. KVARTAL 2012 27Kvartalets skråblikk: Mitt IKT-risikobildeSom del av NorCERTs seksjon for analyseog informasjonsdeling har jeg vedmange anledninger presentert IKT-risikobildetslik NSM opplever det, med fokus påtrusler mot nasjonal sikkerhet og samfunnsviktiginfrastruktur. Jeg har advart motat vi har en situasjon med økende sikkerhetsmessigrisiko. Det er til dels vesentligemangler i det forebyggende sikkerhetsarbeidetog dette utnyttes av trusselaktørermed stadig økende kapasiteter. Jeg harsnakket om at vi de siste årene har opplevdet økende trusselnivå grunnet digital spionasje,økonomisk kriminalitet i form avnettfisking og nettbanktrojanere samtøkende aktivitet i forbindelse med nettaktivismeog datalekkasjer. I etterkant av Stuxnet-hendelsenhar også stadig flere sårbarheterblitt avdekket i lukkede nett og prosesskontrollsystemer.«Som del av NorCERTsseksjon for analyse oginformasjonsdeling harjeg ved mange anledningerpresentert IKTrisikobildetslik NSMopplever det»«...vil da alle dissetruslene mot samfunnetogså gjelde formeg?»Når jeg nå fikk muligheten til å uttrykkemeg på siste side i denne kvartalsrapportenså har jeg tenkt å benytte sjansen til å værelitt personlig. Enkelt og greit har jeg tenkt åta utgangspunkt i min egen person og presenteremitt subjektive perspektiv på IKTrisikobildet.Fokus er altså på meg selv somangrepsmål, hva kan ramme meg av IKTtrusler?Kan det nasjonale IKT-risikobildetoverføres fra makro- til mikronivå og vil daalle disse truslene mot samfunnet ogsågjelde for meg?Nettfisking og nettbanktrojanere kanselvsagt kunne ramme meg personlig,samme hvor forsiktig og paranoid jeg er nårjeg beveger meg på internett. Det holder atjeg intetanende surfer innom en nettsidesom serverer meg ondsinnet kode gjennomden irriterende reklamen som står ogblinker. Jeg trenger ikke engang å klikke påreklamen, det holder at jeg bruker en nettlesersom ikke har blitt oppgradert til sisteversjon. Spesielt vil jeg lett kunne bli etoffer for målrettet nettfisking. Hvis jeg fåren epost fra sjefen som ber meg om å oppdatereet avsnitt i vedlagte situasjonsrapportangående en alvorlig hendelse medinternt kodeord SKUMBANAN, så vet jegat jeg kommer til å dobbeltklikke påvedlegget. Så viser det seg at Word kræsjernår jeg forsøker å åpne dokumentet og detvirker som om alt går litt tregere enn vanligpå maskinen min. Jeg sender en epost tilsjefen og ber om at han sender meg dokumentetpå nytt. Jeg fortsetter å lese eposter,intetanende om at jeg nå har fått innstallertet program som eksfiltrerer alle mine dokumenter.Nettaktivisme og datalekkasjer kanramme svært så personlig. Jeg har i minsøken på internett selvfølgelig registrertmeg på ymse nettsteder rundt omkring. Jegmå også tilstå opptil flere tilfeller av denstore synden passordgjenbruk. Risikoen forat mitt brukernavn og passord fra etnettsted som tilbyr gratis flash-spill en dagvil ligge åpent tilgjengelig for spott og spepå internett er absolutt reell. Den dagenkommer jeg til å angre bittert på at jeg ofretbrukernavnet og passordet mitt for å bliavhengig av spillet bejeweled, noe som itillegg har medført at jeg har kastet bortkvalitetstid på å sprenge edelstener på forskjelligebrett i psykedeliske farger.Men, hva med trusler mot lukkede nettog prosesskontrollsystemer? Jeg må bokstaveligtalt gå inn i meg selv for å finnesvaret. Kroppen er en fascinerende maskin,med utallige prosesser som styrer stoffskifte,fordøyelse, temperaturregulering også videre. I min kropp sviktet i fjor plutseligreguleringen i forhold til den aller mestkritiske prosessen, den som styrer hjerterytmenog sørger for at blodsirkulasjonenopprettholdes. Sinusknuten i et velfungerendehjerte sender regelmessig ut svakeelektriske signaler som gjør at hjertets forkamretrekker seg sammen, dette signaletsendes så gjennom den atrioventrikulæreknuten som sørger for en ørliten forsinkelsefør hjertekamrene trekker seg sammen ogdermed gir en effektiv pumping av blod. Imitt tilfelle kom ikke alltid signalet gjennomden atrioventrikulære knuten oghjertekamrene ble overlatt til seg selv iforhold til å bestemme når de skulle trekkeseg sammen, noe som ikke er like godt regulerti forhold til kroppens behov og førtetil en veldig lav puls. Heldigvis kunne dettefikses ganske enkelt med en elektroniskpacemaker. Jeg har altså et prosesskontrollsysteminnoperert i kroppen.Det har i de siste årene blitt forsket påIKT-trusler mot medisinske implantat. Dethar blitt publisert angrep mot insulinpumpersom kommuniserer trådløst, ogsåhjertestartere og pacemakere har blitt vietinteresse av sikkerhetsforskere. Når minpacemaker skal kontrolleres må jeg møteopp på sykehuset, legen legger en leser rettover implantatet og pacemakeren kan lesesav og også omprogrammeres hvis det ernødvendig. Leseren må være innen noencentimeters avstand for å kunne kommuniseremed pacemakeren, noe som erbetryggende. Det er også mulig å slå påfjernavlesning av pacemakeren, ved at manhar en leserenhet hjemme som kommuniserertilbake til sykehusets server via mobilnettet.Det er visstnok kun mulig å foretaavlesning og ikke programmering av pacemakerenvia denne hjemmemonitorløsningen,men kan man stole på at det ikke finnesnoen uoppdagede sårbarheter i dennekommunikasjonsløsningen? En injisertstopp-kommando vil kunne ha alvorligekonsekvenser. Heldigvis trenger jeg ikkehyppige avlesninger av min pacemaker, sådenne fjernavlesingen har ikke blittaktivert. Med min innsikt i IKT-sikkerhet erjeg naturlig nok skeptisk til å la hjertet mittvære på internett.Mitt personlige IKT-risikobilde viser segaltså å stemme ganske godt overens medutviklingen på nasjonalt nivå, med økendesikkerhetsmessig risiko. Jeg må innrømmemangler i mitt forebyggende sikkerhetsarbeidog det ser ut som om trusselaktørenestiller stadig sterkere i sine muligheter forvellykkede angrep.- Marie


NSM-NorCERTTvetenveien 220661 OsloHendelser: 02497E-post: post@cert.noHendelser:norcert@cert.nowww.cert.noDette er den siste kvartalsrapporten som blir produsert på Akershus Festning.NSM-NorCERT skrur nå ned skiltet på Bygg 12, og takker for mange gode år.Neste rapport blir utgitt fra våre nye lokaler på Bryn.Illustrasjonsfoto hentet fra colourbox.com og NorCERTs arkiver

More magazines by this user
Similar magazines