NorCERT kvartalsrapport for 4. kvartal 2011 - NSM

nsm.stat.no
  • No tags were found...

NorCERT kvartalsrapport for 4. kvartal 2011 - NSM

NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 7Andelen høyt prioriterte saker variereren del, men har i snitt økt. Samtidig hararbeidsmengden for hver alvorlige sak øktklart, se figur 5.Totalt sett vokser fremdeles saksmengdenNorCERT håndterer jevnt overtid, se figur 4.«Totalt settvokser fremdelessaksmengdenNorCERT håndtererjevnt over tid »Det er flere grunner til at antall sakerøker. Én viktig grunn er at VDI-samarbeidetstadig utvider seg, slik at NorCERT får fleredeltakere i det nasjonale sensornettverket. Itillegg implementerer vi over tid også nysensorteknologi, som gradvis blir rullet ut.Vi opplever samtidig at et stadig økendefokus internasjonalt på å bekjempe datakrimog ta ned store botnet, medfører at viblir mer involvert i å varsle ISPer og brukereav kompromittert utstyr. Dette er en viktigjobb for å bekjempe misbruk, svindel ogangrep på nettet.I tillegg til dette knytter vi dessutenstadig nye kontakter i det nasjonale oginternasjonale sikkerhetsmiljøet, noe sombidrar til et økt informasjonstilfang som imange tilfeller medfører at vi oppretter nyesaker.Denne utviklingen tror vi fortsetter, ogden gjør NorCERT i stand til å oppdage ogstarte håndteringen av stadig flere alvorligehendelser hos samfunnsviktige og -kritiskevirksomheter.«Denne utviklingentror vi fortsetter, ogden gjør NorCERT istand til å oppdage ogstarte håndteringen avstadig flere alvorligehendelser hossamfunnsviktige og-kritiske virksomheter»PrioriteringNorCERT prioriterer saker på en skala fraén til fem, hvor fem er høyest. Denneprioriteringen avgjør hvor mye arbeid vilegger i sakene, og hvor raskt vi følgerdem opp.I visse sammenhenger deler viskalaen inn i tre, fra lav til høy. Da er prioritetén og to «lav», tre er «normal» ogfire og fem er «høy».I tillegg til dette har vi en generellprioritet på hovedområder innenfor vårtvirksomhetsområde, som sier hvilketyper saker vi overhode skal følge opp.Hendelser eller informasjon som fallerutenfor prioriterte områder legges oftebort uten at det blir opprettet en formellsak av det.Operativ håndteringNorCERT prioriterer å håndterer sakerinnen to hovedområder. Det første er detvi forstår som typisk CERT-arbeid,nemlig å sørge for varsling og i noen gradoppfølging av «abuse»-relaterte saker.Dette dreier seg typisk om å varsle internettilbydereom virusinfeksjoner, og omsider som sprer virus eller medvirker tilsvindel. Disse sakene står forstørsteparten av volumet, og er somoftest lavt prioriterte. De følges også iliten grad opp når varsel er sendt.Grunnen til at vi velger å brukeressurser på dette arbeidsområdet er atdet er viktig for å holde den norske delenav internett så trygt som mulig, altså så frifor virus og svindel som mulig. Arbeideter en dugnad med ISPen. Selv om hverenkelt sak er svært lavt prioritert, gjør detsamlede volumet av slike saker det viktigå følge opp selve området. Uten dennedugnaden ville langt flere norskemaskiner og brukere blitt og forblittkompromittert, og dette hadde skaptstore sikkerhetsutfordringer.Det andre hovedområde eroppfølging av alvorlige hendelser hoskritiske og samfunnsviktige virksomheter,herunder deltakere i VDI-samarbeidet.De største og mest alvorligste sakene idenne hovedkategorien dreier seg ofteom en eller annen form for digital spionasje.Det er dette området som leggerbeslag på mest ressurser hos NorCERT.Figur 6: Antall saker per prioritet. (Merk: Logaritmisk y-akse.)


8 KVARTALSRAPPORT FOR 4. KVARTAL 2011NASJONAL SIKKERHETSMYNDIGHET – NorCERTDigital spionasjeDigital spionasje er en alvorlig trussel som norsk næringsliv må ta på alvor. Ofte kan dette være vanskelig å oppdage ogmange har ikke erfaring med hvordan de skal håndtere hendelsen. NorCERT bistår mange av de virksomhetene somblir rammet med kartlegging av omfanget av hendelsen, ved analyse av kompromitterte maskiner og analyse av skadevarensom blir benyttet. I denne artikkelen ønsker vi å sette fokus på dataspionasje.DataspionasjeMålrettede operasjoner, målrettedetrojanere, «Advanced Persistent Threat(APT)», «targeted attacks», informasjoninnhentingsoperasjoner,er alle navn for detsamme: dataspionasje, utført mot detoffentlige eller det private næringsliv for åstjele informasjon. Media nevner stadigsaker relatert til «zero-day»-sårbarheter(sårbarheter det ikke finnes sikkerhetsoppdateringertil). Disse blir utnyttetsammen med trojanere og skadevare tilindustrispionasje og stjeling av sensitivinformasjon. NSM ga i 2008 ut en egenrapport om målrettede trojanere.Rapporten finnes tilgjengelig på NSM sinehjemmesider.«Dataspionasje er enalvorlig trussel somnorsk næringsliv må tapå alvor»AngrepsmålHvem er målet for dataspionasje? Storeselskap som Google, Adobe, og RSA ernoen av de som har innrømmet at de harvært offer for dette, men vi ser at ogsånorske virksomheter rammes av detsamme. Personer som er spesielt utsatt ertoppledere eller nøkkelpersoner i bedriftene.NSM gikk ut til media i november ogfortalte om 10 alvorlige tilfeller av dataspionasjemot norske bedrifter. I NSMs årsmeldingfor 2010 ble også flere av sakenesom NorCERT har håndtert nevnt. Pågrunn av omstendigheten rundt hendelseneog de berørte partene, er sakene ofte sværtsensitive. Detaljer rundt hvem som er måletog på hvilken måte operasjonene er utført,ønsker vi derfor ikke å gå ut med.Hvorfor angår dataspionasje deg og dinvirksomhet? Hovedmotivet for dataspionasjeer på lik linje med annen spionasje,å innhente verdifull og ofte sensitivinformasjon. Det kan for eksempel væreønske om å hente informasjon om budsjettog økonomiske forhold som kan ha innvirkningerfor børsnoteringer. Det kan ogsåvære innhenting av fortrolige personopplysninger,kartlegging av nøkkelpersoner,kundedatabasen eller finnevirksomhetskritiske installasjoner.Konsekvensene av dataspionasje kanderfor være store for bedrifter. Hvis enbedrift er i kontraktsforhandlinger, kanlekket informasjon potensielt føre til taptekontrakter eller mindre inntjening. Andremål for en trusselaktør kan være å fåkjennskap til informasjon omkring produktutviklingog patenter. Dette kan gjøre atbedriften mister konkurransefortrinn. En«Hovedmotivet fordataspionasje er, på liklinje med annen spionasje,å innhente verdifullog ofte sensitivinformasjon»ytterste konsekvens av datainnbrudd ogspionasje kan være store økonomiske tapeller konkurs. Sertifikatutstederen Digi-Notar, som nevnt i forrige kvartalsrapport,er et eksempel på dette. DigiNotar gikkkonkurs etter at de hadde datainnbruddmed påfølgende utstedelse av falske sertifikater.Etter at saken ble kjent, forsvanttilliten til deres kjerneprodukt og de mistetrettet til å utstede sertifikater. Dermedforsvant også kundene og DigiNotarslivsgrunnlag.MetodeHvordan blir bedrifter og det offentligeutsatt for spionasjeangrep? En trend desiste årene er at sårbarheter i klientapplikasjonereller sosial manipulering avsluttbrukere, er inngangsporten for kompromitteringav datasystemer.Det er ikke nødvendigvis slik at deangrepene som benyttes trenger å væreveldig sofistikerte. Ofte vil trusselaktørenkun benytte de metodene som er høystnødvendige for å få tilgang. I mange avangrepstilfellene benyttes sosial manipuleringfor å få e-postmottakere til å åpne etvedlegg eller følge en lenke som er inkluderti e-posten. E-postene som sendes vilofte være skreddersydd for mottakerne.Temaet eller avsender er ofte relevant formottakeren, slik at sjansen for at vedlegg«Det er ikke nødvendigvisslik at de angrepenesom benyttestrenger å være veldigsofistikerte»blir åpnet er større. Se illustrasjon 1 for eteksempel på hvordan en slik e-post kan seut. I noen tilfeller er det sårbarheter i håndteringav dokumentformater utnyttes for åfå tilgang, men like ofte kan det værekjørbare skadevarefiler forkledd somdokumenter.Skadevarefiler sørger som regel for åopprette et dokument på systemet, som såblir åpnet, slik at brukeren ikke skal bli mistenksom.Samtidig som dette skjer, vil entrojaner installeres på systemet.Vedleggene med skadevaren er ofte nøyesjekket på forhånd, slik at de ikke skaldetekteres av antivirusløsninger.Skadevaren vil dneeretter gi angriperen fullkontroll over systemet og kan for eksempelbrukes til å hente ut dokumenter og anneninformasjon som finnes på systemet. Harangriperen først fått kompromittert énmaskin i en bedrift, så har de én fot innenfor.Det vil ofte være lettere å angripe andremaskiner i bedriften fra denne og dermedfå et større fotfeste, som vil kunne gjøre detvanskeligere å fjerne inntrengeren.DeteksjonMålrettet dataspionasje kan være vanskeligå oppdage. Hvis trusselaktøren som står


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 9NorCERTs rolle■■NorCERT er i en unik posisjon når detgjelder å detektere og håndterehendelser relatert til dataspionasje■■Med VDI (Varslingssystem for DigitalInfrastruktur) har NorCERT etsensornettverk som omfatter både detprivate næringsliv og offentligemyndigheter■■NorCERT samarbeider innenlands ogutenlands med rekke ulike aktørerinnenfor IKT-sikkerhet■■Informasjonsutveksling nasjonalt oginternasjonalt er essensielt for å kunneoppdage nye hendelser■■NorCERT har ikke fokus på hvilkeaktører som står bak hendelsene, menbistår de to øvrige EOS-tjenestene iNorge med kompetanse og kartleggingIllustrasjon 1: Eksempel på spear-phishing.bak har ressurser og kunnskap, vil de kunneutføre angrep som omgår vanlige innbruddsdeteksjonssystemer(IDS) ogantivirus programvare. Enkelte angrep blirderfor oppdaget enten ved oppmerksommesluttbrukere, som reagerer på atnoe er galt, eller ved tilfeldigheter.NorCERT har sett mange tilfeller derangrep først har blitt oppdaget flere«Hvis trusselaktøren somstår bak har ressurser ogkunnskap, vil de kunneutføre angrep som omgårvanlige innbruddsdeteksjonssystemer(IDS) og antivirusprogramvare»måneder eller år etter at datainnbruddetfant sted. Kanskje har antivirusprogramvareikke deteksjon av skadevaren som benyttesfør lenge etter hendelsen oppstod eller såhar hendelsen på andre måter blittoppdaget ved nærmere analyse i ettertid.Skadevare eller trojanere i spionasjeangrepvil ofte «snakke hjem» ved åregelmessig utføre oppslag mot et konfigurerteller hardkodet domene eller IPadresse.Analyse av nettverkstrafikk er derforviktig for å oppdage hendelser, men detkan være vanskelig å finne noe mistenkelighvis man ikke allerede er kjent med dedomenene eller IP-adressene som benyttes.Har man informasjon om dette kan man foreksempel søke i Netflow-data eller i proxyloggerfor å finne kompromitterte maskiner.Det er også mulig å lage IDS-regler forå detektere mistenkelige trafikk basert påspesielle kjennetegn i nettverkstrafikken fraskadevaren. Denne informasjonen kan manfå fra analyse av skadevaren eller fra samarbeidspartneresom har håndtert liknendehendelser.AnbefalingerEn fullstendig beskyttelse mot dataspionasjekan virke umulig. Det er kanskje på tideå erkjenne at trusselen er reell og vanskeligå unnslippe. Man må i større grad innse atman alltid er sårbar og at man også måfokusere på å håndtere og begrenseskadene når hendelsene oppstår. Det betyrikke at man må glemme å sikre systemene,men man må ikke gå ut i fra at antivirusprogramvare,brannmurregler, oppdatertprogramvare og andre tiltak er godt nok.Det er derfor viktig at man har systemer ogrutiner på plass når hendelsen først inntreffer.Det er også viktig å tenke på sikkerhetenfor gjestebrukere, innleide konsulenter,samarbeidspartnere og datterselskapmed tilgang til bedriftens datasystemer ognettverk. Ingen er i slike tilfeller tjent medansvarsfraskrivelse!Tiltak■■Brukeropplæring: Be de varsle ved noemistenkelig■■Vær varsom med åpning av vedleggeller lenker i e-post■■Sikkerhetsherding av datamaskiner■■Ikke tillate annet ennforhåndsgodkjente applikasjoner■■Begrens tilgangrettighetene tilsluttbrukerne■■Ha oppdatert oppdatert programvareog antivirus■■Dedikert CSIRT sikkerhetsteam forhåndtering av hendelser■■Fokus på sikkerhet må være forankret iledelsen


10 KVARTALSRAPPORT FOR 4. KVARTAL 2011NASJONAL SIKKERHETSMYNDIGHET – NorCERTHendelseshåndteringHva gjør man når hendelsen inntreffer? Mange virksomheter har ikkegode nok rutiner eller erfaring med håndtering av IT-sikkerhetshendelser.NorCERT har en rekke partnere ogmedlemmer fra det offentlige og detprivate næringsliv som utgjør ensamfunnskritisk funksjon. Avhengig avalvorlighet vil disse samarbeidspartnerneofte bli prioritert når det er oppstår mangehendelser samtidig. NorCERT mottargjerne informasjon og bistår om muligøvrige organisasjoner og bedrifter også,men det primære fokusområdet er de medsamfunnskritisk funksjon. NorCERT hardessverre ikke anledning til å håndtere allehendelsene vi mottar informasjon om.Det er viktig med innsamling av mestmulig info om hendelsen, slik at man kanbest mulig kartlegge hendelsesforløpet,finne kompromitterte maskiner og prøve åbegrense skadeomfanget. Til slutt må mangjenopprette tilstanden og innføre tiltak forå prøve å motvirke at liknende hendelserinntreffer igjen.Spesielt viktig er det å gå igjennom detman har av logger, som for eksempel loggerfra IDS og IPS, brannmurlogger, proxylogger,mail-logger, DHCP-logger ellerantiviruslogger. Logging av «passiv DNS»eller andre DNS-logger er også nyttige forå finne ut hvilke domeneoppslag som ergjort og finne ut hvilke IP-adresser domenenehar på forskjellige tidspunkt. Spesielter det nyttig hvis all logging skjer sentralt,for å gjøre søking enklere. Man må ogsåvurdere hvor lenge man skal ha loggertilgjengelig. NorCERT har erfart at enkeltekompromitteringer har vart i ett til to år førde har blitt oppdaget. I denne kvartalsrapportenhar vi en egen artikkel somomhandler logging.Analyse av nettverkstrafikk er også enviktig del av hendelseshåndteringen.Omtrent all skadevare som brukes i dataspionasjerapporterer tilbake til trusselaktøren.Ofte vil det være slik at trusselaktørenønsker å kontrollere de kompromittertemaskinene, for eksempel for å bede hente ned ny skadevare, innhente informasjonom den kompromitterte maskinen,eller hente ut den informasjonen og de datasom trusselaktøren er interessert i hosbedriften. Denne kommunikasjon fraskadevaren eller for hjemsendelse av datavil skje over Internett og derfor er analyseav nettverkstrafikk essensielt for å avdekkehva som har skjedd og hvordan data harblitt hentet ut. Det vil kun være mulig åfinne ut hvilke data som har blitt tapt, hvisman har full pakkedump av innholdet inettverkstrafikken.Kombinert med analyse av nettverkstrafikker det viktig med analyse avskadevarene som benyttes. Denne analysenvil kunne si noe om hva som sendes overnettverket og hvor det sendes. Dette eressensielt for å finne ut hvordan data tappesog hvordan angriperen kontrollerer dekompromitterte maskinene. Analysen vilavdekke hvilke IP-adresser, domener ognettverksprotokoller som benyttes i kommunikasjonen.Dette vil igjen benyttes inettverksanalyse og til søk i logger for åfinne andre kompromitterte maskiner oghvor lenge det har pågått. Denne informasjonenkan også benyttes til å lage IDSreglerfor å avdekke nye kompromittering.Analyse av skadevare er altså viktig for åfinne ut dens funksjonalitet, kapasitet,kommando- og kontrollkanal, samt finne uthva slags type skadevare det er og kanskjefå indikasjoner på hva trusselaktøren er uteetter på systemet.I tillegg til analyse av nettverkstrafikk ogskadevare er det vel så viktig å analysereharddisken og minnet til de kompromittertemaskinene. Analyse av disk og minne erofte den eneste måten å finne ut hva somhar skjedd ved en hendelse. På disk kanman avdekke hvor lenge et system har værtkompromittert, hvilke filer som har blittopprettet og kanskje ha mulighet til å finneut hva infeksjonsvektoren er, det vil sihvordan trusselaktøren opprinnelig fikktilgang til maskinen. Analyse av minnet imaskinen vil kunne hjelpe til for å finneskadevare, da denne som regel vil kjøre påsystemet. I minnet er det også informasjonsom kun eksisterer når systemet kjører, ogdette vil gå tapt når maskinen slås av. Nårman finner kompromitterte maskiner, børman derfor vurdere å ta en dump av minnetfør maskinen slås av og sikres.Dessverre så er det slik for mangebedrifter at når de er klar over at de er kompromittertog at maskiner er infisert medskadevare, så ønsker de raskest mulig ågjenopprette situasjonen ved å re-installeremaskinen. NorCERT anbefaler å vente meddette til hendelsen har blitt håndtert. Hvisman re-installerer maskinen vil man fjerne«bevis» og alle spor fra kompromitteringen.Hvorfor bør man ikkebare re-installerekompromittertemaskiner?■■Det er vanskelig å finne ut hvordanangriper kom inn i systemet, og derforutfordrende både å rydde oppsamt sikre mot fremtidige angrep.■■Man vil ikke få vite hva angriper hargjort på systemet, hvor lenge han harvært der, og kan ikke vurdere skadeomfanget.■■Det vanskeliggjør muligheten for åfinne skadevaren som ble benyttet.Dette er viktig da angrepet også kanomfatte andre maskiner i nettverket.■■Man vil ikke finne brukerne avmaskinen. Deres passord, e-post,eksterne lagringsenheter etc kanvære kompromittert.■■Det kan være vanskelig å forståtrusselaktørens metodikk.Foto: illustrasjonsfoto. Colourbox


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 11Offentliggjøring avspionasjesakerI november 2011 valgte Nasjonal sikkerhetsmyndighet å gå ut til media for å fortelle om flere alvorlige datainnbrudd.Det var funnet likhetstrekk i hvordan mange av angrepene utføres, hvordan skadevarene er programmertog hvordan de kompromitterte maskinene blir kontrollert av angriper. Likhetstrekkene tyder på at det troliger samme aktør som har utført en rekke datainnbrudd og spionasje mot store norske bedrifter og konsern.Publisering eller hemmelighold?For NSM var det en viktig problemstilling åvurdere om man skulle publisere informasjon,eller fortsatt ha hemmelighold. Norskebedrifter kan tape konkurransemessige ogfinansielle fortrinn hvis det blir kjent at dehar hatt datainnbrudd. Hvis man avslørerhvordan angrepene foregår i detalj, vil desom står bak også kunne endre sinangrepsmåte for å hindre å bli oppdagetneste gang.Spørsmålet NSM stilte seg er hva somhar størst samfunnseffekt. NSM har somvisjon å sikre samfunnsverdier og valgtederfor publisering som det mest riktige. Detviktigste var å få fokus på at spionasje motnorske bedrifter er et alvorlig problem.Publisering er viktig for å nå ut til toppledere,men også de øvrige ansatte. Topplederneer de som må prioritere sikkerhet ien stram ressurssituasjon. De ansatte må,sammen med ledelsen, være bevisste påhva de står ovenfor og hva risikoen er forderes bedrift. Spesielt gjelder dette rundtmålrettede angrep via e-post, hvor sluttbrukernesoppmerksomhet er viktig for åoppdage slike angrep.Publiseringen førte til en storm medhenvendelser fra offentlige og private virksomhetersom ønsket mer informasjon.Dette gjorde at NorCERT også kom idialog med virksomheter som vi tidligereikke har vært i direkte kontakt med. Detvar blant annet virksomheter, med hovedkontorog IT-sikkerhetsorganisasjon iutlandet. Enkelte av disse virksomhetenefikk noe mer informasjon enn det som blepublisert i media.Foto:Illustrasjonsfoto, faksimile fra Aftenposten 15.november 2011.


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 13vedlegg og URLer. Eventuelle trojanisertevedlegg bør brukes for å simulere videreangrep, dette innebærer dermed å ta varepå de ondsinnede vedleggene slik at mankan for eksempel finne ut hvilke domenereller IP-adresser trojaneren kontakter. Hvisman da har god logging på plass kan man iflere tilfeller oppdage ukjente infeksjonerpå maskiner som har samme trafikkmønstersom trojaneren.Fase 4 – UtnyttelseI denne fasen trigges sårbarheten som fårangriperens kode fra fase to til å kjøre. Detkan være sårbarheter i programvare, mendet svakeste leddet kan vel så gjerne væreen person. Om man identifiserer atangripere stadig forsøker å utnytte sårbareversjoner av Adobe-progammer, bør manvurdere om man er god nok til å holdeAdobe oppdatert. Er det derimot sosialmanipulering som benyttes, kan brukeropplæringfor å øke sikkerhetsbevissthetenvære viktigere.Fase 5 – InstalleringEtter vellykket utnyttelse av en sårbarhet såer neste fase å sikre tilgang til systemet.Derfor installerer trojaneren fra fase 2 segslik at den starter sammen med systemet.For å holde seg skjult på systemet kan rootkit-funksjonalitetbenyttes. Her kan mangjøre en del for å herde systemene. Detmest vanlige verktøyet for å beskytte segmot denne fasen er antivirus-programmer.Man kan også sette begrensninger påhvilke programfiler som kan startes(whitelisting). NSM har gitt ut en veiledningfor sikring av Windows 7 -«Grunnleggendetiltak for sikring av Windows 7»Fase 6 – Kommando- og kontrollserverFor å kunne kommunisere med og mottakommandoer fra angriperen vil trojanerenvanligvis ta kontakt med et domene eller enIP-adresse. Om man ikke vet hva man skalse etter vil det være umulig å skille dennetrafikken fra den legitime trafikken. Førstesteg for å kunne oppdage denne trafikkener å logge nettverkstrafikk. Dette kan væreså enkelt som proxy-logger, netflow ellerkomplett pakkedata. Denne informasjonenkan være uvurderlig når man skal nøste oppi hendelse, men om man ikke vet hva manskal se etter kan det være som å lete etteren «nål i høystakken». For å oppdageangrep i denne fasen kan man benytte segav erfaringer fra andres angrep og kontrollerenettverkstrafikken med IPS/IDS. INorCERT benyttes VDI-nettverket for åkunne oppdage angrep på tvers av sektoreri samfunnskritisk nasjonal infrastruktur. Iforrige kvartalsrapport skrev vi ombetydningen av å logge DNS oppslag medpassiv DNS.Fase 7 – Handlinger mot måletDette er den siste fasen hvor angriperenfullfører angrepet. Om angriperen ikke fårfullført sine mål er hele angrepet mislykket.For å hindre angriperen å lykkes i dennefasen bør man gjøre en verdivurdering avinformasjonen i organisasjonen og gjøreekstra tiltak for å beskytte informasjon avhøy verdi. Om man oppdager angrepet itide kan man infisere en maskin underkontrollerte forhold for å avdekke hvaangriperen er ute etter. Hvis man førstoppdager angrepet i ettertid kan manbenytte logger fra systemet for å avdekkehva angriperen har aksessert. På den måtenkan man vite hva man har mistet slik at mankan utføre analyser for å beregneeventuelle tap.Korrelering av angrepModellen er nyttig for å kunne korrelereangrep. Om man ser samme Adobe-sårbarhetbenyttes i to angrep så betyr ikke det atde nødvendigvis har samme opphav. Kanman i tillegg også se at kommando-ogkontroll-infrastrukturenhar likheter kan detgi sterkere indikasjoner på at angrepene erkorrelerte.Kill-Chain-modellen er utviklet for åbedre kunne håndtere og detektere sikkerhetstruendeIKT-hendelser, og dataspionasjespesielt. For de fleste av fasene entrusselaktør må gå gjennom for å oppnå sittmål, vil det finnes mulige mottiltak som vilgjøre forsvar mot slike angrep mer robust.Som alle modeller vil også denne hanoen svakheter. Hvis en angriper fullstendigforandrer måten å operere på vilman måtte bygge opp mye av kunnskapenpå nytt. Det vil uansett være nyttig å værebevisst disse angrepsfasene og eventuellemottiltak slik at man kan gjøre en vurderingav hvilke tiltak som gir høyest sikkerhetsmessigavkastning for sin organisasjon.Lockheed MartinLockheed Martin er et amerikanskselskap som er en en stor aktør innenforsvarsindustrien, samt luft- og romfartsindustri.Selskapet er for eksempeldet største innen statlige kontrakter iUSA med 38 milliarder dollar (2009).Selskapet vil også levere de nye norskejagerflyene F-35 Lightning II. LockheedMartin var også trolig et av hovedmålenefor de som stod bakkompromitteringen av RSA.APT«Advanced Persistent Threat». Beskriveren bestemt type trusselaktør, og kandirekte oversettes til «avansert,vedvarende trussel». Når man omtaleren trussel som «APT», menes gjernestatlig eller statssponset spionasje ellerindustrispionasje. Aktøren kjennetegnesved at den gjør det som må til forå få adgang til deler av målets nettverk,og sørger for å beholde den tilgangenfor å hente ut informasjon over tid.Aktøren vil sjeldent stoppe sine forsøkselv om forsøkene blir oppdaget ogavverget. Først brukt av US Navy for åbeskrive digital spionasje.CIRT«Computer Incident Response Team».Organisasjon i en virksomhet somhåndterer sikkerhetstruendeIKT-hendelser».Foto: illustrasjonsfoto. Colourbox


14 KVARTALSRAPPORT FOR 4. KVARTAL 2011NASJONAL SIKKERHETSMYNDIGHET – NorCERTLoggkorrelering isikkerhetsøyemedVår påstand er at sammenstilling og analyse av loggdata er en essensiell del av IKT-sikkerhetsarbeidet. Denneprosessen bidrar til en bedre forståelse for egen infrastruktur, samt bedrer evnen til å håndtere sikkerhetstruendeIKT-hendelser når de oppstår på en god måte. Skadeomfang ved en hendelse vil være svært vanskelig åidentifisere uten god logging.Foto: illustrasjonsfoto. ColourboxNår man er syk drar man gjerne til legenhvor det kan bli tatt prøver av eksempelvisblod og urin. Undersøkelser av disseprøvene kan bidra til å finne ut hvorforpersonen ble syk og hvilken behandlingsom trengs. På samme måte har man idagens informasjonssamfunn behov forrask tilgang til gode loggdata ved IKTbasertesikkerhetshendelser. En lege utenmulighet til å foreta blod- og urinprøver vil imange tilfeller ha store problemer med åstille riktig diagnose.Når en hendelse inntreffer er undersøkelserog hendelsesdiagnose en viktig delav arbeidet for å komme tilbake til normaltilstandsamt for å vite hvordan man skalprioritere hendelsen. I denne prosessen erdet gjerne et mål å skaffe mest muligin formasjon om det inntrufne og omfangetslik at man får utført nødvendige tiltak.Ved IKT-hendelser blir slik informasjongjerne skaffet gjennom forskjellige typerloggdata. Korrelering av disse dataene kan imange tilfeller være til stor hjelp vedhendelses håndtering, og kan i tillegg væreen ressurs for å oppdage nye angrepsmønsterbasert på merkelige logginnslag.En investering i gode loggføringsløsningerkan virke som bortkastet om manikke har opplevd sikkerhetshendelser, ellertror man ikke har hatt slike hendelser iorganisasjonen. Som med mye sikkerhetsarbeider det synd at man skal oppleve«En lege uten mulighettil å foreta blod- ogurinprøver vil i mangetilfeller ha store problemermed å stilleriktig diagnose...»hendelser før man merker nødvendighetenav investeringer som burde vært gjort i forkant.Som et nasjonalt CERT ser vi mye forskjelligprioritering rundt dette arbeidet, ogofte merker vi at god og rask logghåndteringgjenspeiler en veletablert sikkerhetsorganisasjon.LoggtypperDet finnes som sagt forskjellige kategorierloggdata. Som en grovinndeling kan manskille på logging fra sikkerhetssystemer,operativsystemer og applikasjoner. Dette erinndelingen som National Institute of«...ofte merker vi atgod og rask logghåndteringgjenspeiler enveletablert sikkerhetsorganisasjon»Standards and Technology (NIST) brukerog omtaler mer detaljert i sin «Guide toComputer Security Log Management».Dette dokumentet dekker mye av arbeidetrundt bruk av logger som en del av sikkerhetsorganisasjonen.NIST har valgt å deleloggkategorier basert på sikkerhet,operativsystem- og applikasjonsnivå, mens


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 15Australias «Defence Signals Directorate»(DSD) har valgt å dele dette inn i nettverksbasertelogger og klientbaserte logger.Av de nettverksbaserte loggene somtrekkes frem som særdeles viktige av DSDer det spesielt DNS-logger og logging fraweb-proxy som vil være gode verktøy for åoppdage og nøste opp i datainnbrudd.«Et enkeltståendemerkelig logginnslagfra en klient vil kunnevirke ubetydelig i segselv, men om mansammenstiller medandre logger og finnerflere logginnslag somvirker merkelige børman undersøkevidere...»Håndtering av saker gjennom bruk av DNSdatahar vi tidligere omtalt ved artikkel omteknologien Passiv DNS-replikering, sekvartalsrapport for tredje kvartal 2011. Nårdet gjelder logger fra web-proxy er dissesvært nyttige for å verifisere infeksjonerved å se etter trafikkmønster motkommando og kontrolltjenere. DSD nevnerogså netflow-data som en nettverksbasertlogg som er anbefalt å benytte seg av, detteer altså metadata om trafikken slik somprotokolltype, avsender- og mottakeradresserog porter, størrelse og tidspunkt.Hvis man da ser en suspekt adresse i disseflow-dataene kan man gjøre videre undersøkelserved oppslag i proxy-loggene for åse om dette samsvarer med trafikkmønsteretman har notert som mistenkelig.Klientbaserte logger omfatter en hel delforskjellige type logger. For det første harman de loggene som operativsystemetbidrar med. Disse varierer fra de for skjelligeoperativsystemene, men typisk har manlogger som dokumenterer vellykkede ogmislykkede innloggingsforsøk, brudd pårettigheter tildelt brukeren, aksessering avfilområder, og andre hendelser påsystemet. I tillegg vil man ha klientbasertelogger som stammer fra sikkerhetsproduktersom antivirus og «Host IntrusionDetection Systems».I tillegg til å ha god dekning på deforskjellige loggene innenfor disse kategorieneer det også essensielt at disse ertidssynkroniserte samt logges i en sentralisertløsning. Videre bør det eksistere enprosedyre for analysering av disse loggdataeneslik at man kan oppdage avvik franormalen.Korrelering av hendelserMed de forskjellige loggtypene og demengdene som potensielt vil forekomme istørre organisasjoner vil det være naturlig åsentralisere og standardisere disse loggenefor forenklet prosessering og korreleringfor logganalyse. Et enkeltstående merkeliglogginnslag fra en klient vil kunne virkeubetydelig i seg selv, men om mansammen stiller med andre logger og finnerflere logginnslag som virker merkelige børman undersøke videre om man har med enhendelse å gjøre eller om klientenproduserer falske positive.En rekke rammeverk finnes for å utføredenne sammenstillings- og analyseprosessenog mange av disse går underbetegnelsen «Security Information andEvent Manager» (SIEM), eller lignende.Det er dog ingen hemmelighet at disseproduktene kan medføre store lisenskostnader,men det finnes også løsningeruten disse kostnadene, eksempelvis «OpenSource Security Information Manager».Behovet for ulike løsninger vil variere fraorganisasjon til organisasjon, men likhetenmellom løsningene er i alle fall at det trengsanalytikere som behandler informasjonensom blir sammenstilt.Foto: illustrasjonsfoto. ColourboxHvordan sikre seg?Australske myndigheter har presenterten 35-punkt liste for hvordansikre seg mot og håndtere målrettedeangrep.Australske myndigheter, ved DSD, kom isommer med en oppdatert liste over måterå håndtere målrettede angrep på. De haranalysert en stor mengde angrep og utifradette prioritert hvilke tiltak man bør gjøre,herunder også forsøkt å vurdere kosteffektivitet.Listen er på 35 punkter, men følger mande 4 første, vil man allerede stanse 85% avalle angrep i datagrunnlaget: De 4 viktigstetiltakene er:1. Patche programvare (som PDF lesere,MS Office, Java, Flash og web-lesere)2. Patche operativsystemet3. Redusere antall brukere medadministrator-tilgang4. Gjennomføre whitelisting avprogrammerSom en digresjon er antivirusprogramvaresatt som punkt 21 på listen, noe som børvære en klar påminnelse til alle om atoppdatert antivirus ikke er nok for å væresikker.Les mer på http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm


16 KVARTALSRAPPORT FOR 4. KVARTAL 2011NASJONAL SIKKERHETSMYNDIGHET – NorCERTDuquDen informasjonsstjelende trojaneren «Duqu» har mange likhetstrekk med ormen «Stuxnet»,verdens første kjente skadevare skreddersydd for å ramme industrielle prosesskontrollsystemer.NorCERT var tidlig ute med å dele informasjon om trusselen med utsatte parter. Så langttyder ingenting på at norske interesser har vært rammet av «Duqu».En analyse av skadevaren «Duqu» bleoffentliggjort av den ungarske forskergruppenCrySys 14. oktober 2011.Rapporten pekte på likheter med «Stuxnet»,noe som gjorde at denne saken fikkmye oppmerksomhet i media. Knyttet tildenne saken ble det også oppdaget enzero-day sårbarhet i Windows TrueTypefont engine som kunne kjøre kode påkjernenivå. Denne sårbarheten ble ikkepatchet av Microsoft før 13. desember.NorCERT har ikke foretatt en selvstendiganalyse av «Duqu», men har fåtttilgang til grundige analyserapportergjennom internasjonale samarbeidspartnere.Gjennom vår deltagelse i EGC(European Government CERT Group) harvi et operativt samarbeid med CERTHungary, som sendte oss et tidlig varsel ogvidere oppdateringer i saken.Analyserapporter viser at denin formasjonsstjelende trojaneren «Duqu»er utviklet og brukes av en trusselaktør medbetydelig kompetanse. Alt tyder på atoperasjonene hvor «Duqu» har værtbenyttet er svært målrettede.NorCERT er ikke kjent med at norskeinteresser er angrepet. Vi utelukker likevelikke at norske interesser kan være utsatt fordenne type trusler.Det hevdes fra flere hold at «Duqu» erlaget av samme aktør som laget «Stuxnet».«Stuxnet» regnes som den mest avansertemålrettede trojaneren verden har sett hittil.Den er skreddersydd for å angripe enspesiell modul av Siemens Simatic industrielleprosesskontrollsystem, som brukes forå styre rotasjonsfrekvensen til sentrifugerved kjernefysiske atomanlegg. «Stuxnet»spredde seg høsten 2010 og påstås blantannet å ha infisert et iransk atomkraftanlegg.Dette skal da ha kraftig forsinketIrans program for uran-anriking. Media harspekulert i at aktøren bak «Stuxnet» kanvære en myndighets-aktør som har bruktbetydelige ressurser på å utvikle trojanerensom et «cyberwar»-våpen med formål åhindre Iran i å utvikle atomvåpen.Kaspersky Labs har basert på analyse avlikheter i koden konkludert med at både«Duqu» og «Stuxnet» er utviklet på sammeFoto: illustrasjonsfoto. Colourbox«Alt tyder på atoperasjonene hvor«Duqu» har værtbenyttet er sværtmålrettede»plattform. De har døpt denne plattformen«Tilded» siden utviklerene har en tendenstil å bruke filnavn som starter med «~d».Andre likheter er at begge trojanerene hardrivere signert med falske eller stjålne digitalesertifikat. Zero-day sårbarhetenebenyttet i begge trojanerene er også innensamme kategori.En av tingene som trekkes frem iforbindelse med «Stuxnet»-sammenligningen,er potensiale for nye angrep påprosesskontrollsystemer. NorCERTsvurdering er at dette ikke er mer sannsynligetter oppdagelsen av «Duqu» enn før. Dekomponentene i «Duqu» som minner om«Stuxnet» er komponenter som dannerplattformen for angrepet, mens den delenav «Stuxnet» som angrep prosesskontrollsystemervar av svært målrettetkarakter som ikke er funnet i «Duqu».


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 17Hackingforsøk hos UNINETTUNINETT leverer nett ogIKT-tjenester til norskeuniversiteter, høgskoler ogforskningsinstitusjoner. Idenne artikkelen får vi lærehvordan god sikkerhetsovervåkningog rask håndteringtrolig sparte UNI-NETT for betydeligetelefonkostnader dettekvartalet. En angriperhadde klart å finne et hull itelefonserverens forsvarssystemog prøvde å utnyttedette som springbrett for åringe en mengdeforskjellige nummer iutlandet.«Dette er et typisk angrepsmønster vi harsett en økning av.», forteller Jardar Leiraved UNINETT. «Det begynner med scanningav nettverket etter porter brukt av SIP.Der det blir funnet, foretas det etter hvertet massivt bombardement av forsøk påregistrering og oppringninger. Lykkes de,får serveren enten være i fred til en senereanledning eller umiddelbart forsøkt misbrukt.».UNINETT drifter mange SIPbasertetelefonirutere på vegne avmedlemsinstitusjoner og følger godt medpå hva som foregår. Denne angrepsbølgenhadde forsøkt seg på flere, men bareUNINETT sin egen telefoniruter var åpnetfor denne sårbarheten i forbindelse medtesting. Det tok imidlertid ikke lang tid førden åpningen ble funnet av hackerne. «Deter ingen tilfeldighet at vi har en svært aktivovervåkning av våre systemer. Vi har settdette skje før hos andre og det tar ikke langtid før det blir snakk om veldig mye penger.Dersom det skjer noe utenom det normale,gir våre systemer raskt beskjed og vi kanautomatisk eller manuelt stenge eller begrense»,forklarer Leira. Misbruket ble oppdagetnesten umiddelbart, men fikk lov til åfortsette en liten stund slik at man kunneobservere og lære av metodikken.Denne formen for misbruk skjer gjerneseint på kvelden og gjerne før helger ogandre helligdager når sjansen er minst forat noen overvåker systemene og kanFoto: illustrasjonsfoto. Colourboxreagere. Motivasjonen er åpenbart økonomiskog det kan være mye penger å tjene pådenne formen for aktivitet. Ikke usannsynliger det en organisert aktivitet. Manfinner sårbare servere og utnytter dem somhar tilgjengelige «bylinjer» bak sitt egettelefonisystem, transparent for egnebrukere. Med IP basert telefoni er det ensmal sak å selge stjålne tellerskritt tilukritiske kunder. Mengden, frekvensen ogde vidt forskjellige destinasjonene til dissesamtalene viser tydelig at det ikke erenkeltpersoner som står bak. «En kan ogsåse for seg en annen måte et slikt misbrukkan utnyttes med økonomisk motiv»,forklarer Leira videre. «Sett at mankontrollerer det ekvivalente av etkjempedyrt 820-nummer i et annet land.Da er det bare å ringe det så mange gangerså lenge som mulig for så å kunneinnkassere inntektene etterpå. Dersomdette skjer fra visse land, er det svært litensjans for at noen blir tatt.»Til tross for farene er ikke UNINETTavskrekket fra å flytte telefonien over tilInternett, men har stor tro på det som fremtidensløsning. De teknologiske og økonomiskefordelene er mange, men man må haen bevisst tilnærming til sikkerheten. Myekan gjøres både med sikring og overvåkning,men viktigst er at man er klar overat det er en kontinuerlig prosess og ikke laraktive systemer støve ned og bli glemt.Man må heller ikke glemme de mange fastapparatenesom i økende grad har blittmini-datamaskiner. Sikkerhetshull kan likegjerne befinne seg i disse som i en server.«En bør alltid ha i bakhodet at man måprøve å tenke litt som en hacker selv.Hvordan ville du angrepet ditt eget system?Man kommer et stykke på sunn fornuft.Men IP-telefoni kan være et teknisk komplekstområde. Det aller beste kan allikevelvære å engasjere en profesjonell eksternpart til å gjøre penetrasjonstester og sikkerhetsrevisjon»,avslutter Leira.Hacking av IP-telefoni:Hacking av IP-telefoni har vært omtalt iflere år, men det er vanskelig å finne tallsom forteller om omfanget. Mangebedrifter i dag er avhengig av sin IPtelefoniløsning. IP-telefoner, servereosv. er ofte eksponert til Internett gjennomweb-brukergrensesnitt. Disse kanfinnes gjennom rekognosering. Derettervil sårbarheter i grensesnittet ellerdårlig konfigurerte bokser gjøre atkriminelle kan få kontroll over boksenfor å ringe ut eller viderekoble trafikk.Noen av brukergrensesnittene har sågarmulighet for å kjøre pakkedump, noesom muliggjør avlytting.


18 KVARTALSRAPPORT FOR 4. KVARTAL 2011NASJONAL SIKKERHETSMYNDIGHET – NorCERTExploit-kits oginfeksjonsbestillingerEn del av sakene som NorCERT jobber med omhandler hendelser hvormålet til angriper er å infisere sluttbrukere for deretter å snappe opp informasjonsom kan brukes videre til økonomisk svindel. Eksempler pådette er såkalte nettbanktrojanere som stjeler innloggingsinformasjon slikat angriper kan utføre transaksjoner på vegne av offeret.FAKTAEn spesifikk sak av denne karakteren bleigangsatt av at vi mottok et tips fra en avvåre samarbeidspartnere i informasjonssikkerhetsmiljøet.Tipset gikk ut på at dethadde blitt foretatt en bestilling av 5000infiserte klienter i Norge på enundergrunns side på Internett. Siden harblitt brukt til kjøp og salg av redirigering tilexploit-kit som forsøker å utnytte sårbarheterpå maskinen/nettleseren til de sombesøker siden. Basert på tidligere observasjonervar det stor grunn til å tro at det varsnakk om SpyEye-infeksjoner som var detendelige målet for den som bestilte disseinfeksjonene.«...det hadde blittforetatt en bestillingav 5000 infiserteklienter i Norge på enundergrunnsside påInternett»Videre undersøkelser viste at de nyestekonfigurasjonsfilene til den informasjonsstjelendetrojaneren SpyEye ikke inneholdtnoen norske nettsider. Trolig ville norskesider først bli lagt til ved et visst infeksjonsnivå.Disse konfigurasjonsfilene vil typiskinneholde spesifikke URL-mønster som skaltrigge injisering av egne versjoner av nettsidermed informasjonsstjeling som formål.I de fleste tilfellene vi ser er dette snakk omnettbanksider og man blir forsøkt lurt til åoppgi fødselsdato og sikkerhetskoder somvideresendes til angriper.For at angriper skal være sikker på at deter norske brukere som blir infisert, så er detet par forskjellige metoder som kanbe nyttes. Den første metoden er å starteinfeksjons-rekken på en ofte besøkt side.Måten dette gjøres på er gjerne å benytteseg av såkalt malvertising hvor reklameplassblir okkupert av ondsinnede. Brukerenblir gjerne redirigert til en side somfinner ut hvor i verden brukeren befinnerseg og kan infisere deretter. En annenmetode er å infisere sider som høystsannsynlig kun vil besøkes av personer fradet spesifikke landet som skal infiseres.Denne siste metoden ble observert i dennesaken hvor flere norske nettsider haddeblitt kompromittert.Et av likhetstrekkene som ble observertfor de kompromitterte sidene var at degjerne kjørte en utdatert versjon av publiseringsverktøypå Internett (Joomla ogWordpress) i tillegg til å kjøre sårbareplugins for disse. For å skjule seg i kildekodenbenyttet angriperne seg av obfuskertJavaScript for å skjule koden somre dirigerte brukerne til en ny infisert side.Brukeren blir gjerne redirigert gjennommange ulike infiserte sider, og linkeneskiftes stadig ut etter som infiserte sider blirstengt ned. På slutten av infiseringsrekkenfinner man exploitsiden som forsøker åutnytte sårbarheter på maskinen somkobler seg til.«I de fleste tilfellene viser er dette snakk omnettbanksider, og manblir forsøkt lurt til åoppgi fødselsdato ogsikkerhetskoder somvideresendes til angriper»Flere sårbarheter forsøkes, for eksempelen Help Center-sårbarhet i Windows, sårbarheteri Java blir også forsøkt utnyttet.Hvorfor skal så NorCERT bry seg omExploitkitExploitkit er en fellesbetegnelse for programvaresom har som hensikt å utnyttesårbarheter i nettleseren eller på maskinentil ofre som blir lokket inn på infiserte websider.Ved vellykket utnyttelse av en sårbarhetvil angriper ha kontroll over den infisertemaskinen gjennom en rekke verktøy,ofte har angriper oversikt og kontroll via etenkelt webgrensesnitt.MalvertisingMalvertising er en forkortelse for «maliciousadvertising», direkte oversatt tilondsinnet reklame. Begrepet omfatterspredning av ondsinnet programvare gjennombruk av reklameplass på nettsider.slike saker? Dette er jo hverken spionasjeeller sabotasje mot samfunnsviktig infrastruktur.I følge instruksen til NorCERT skalvi «… bidra til å bedre den totalesikkerhets tilstanden blant annet ved å varsleom infiserte datasystemer». Dette er hvavi vil klassifisere som en klassisk CERToppgavesom forenkles en hel del ved hjelpav observasjoner i sensorsystemet VDI. Vikunne enkelt detektere infeksjonsforsøkhos VDI-deltakere basert på trafikkmønstervi hadde observert i forbindelse medut nyttelse. Ut fra disse utnyttelsesforsøkeneobserverte vi hvilke norske sider som haddeblitt infisert og deretter kunne vi da varsledisse slik at de fikk fjernet det ondsinnedeinnholdet og oppgradert de sårbare versjoneneav webapplikasjonene som gjordeinfeksjonene mulig.


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 19Hva koster internettkriminalitet?Internettkriminalitetens kostnader er vanskelig å beregne. Storbritannia har nylig gjort er forsøk, i en rapportantyder de at internettkriminalitet koster landet 27 milliarder pund per år.Foto: illustrasjonsfoto. ColourboxNorge er verdens femte største oljeeksportør.Verdens tredje største gasseksportør.Vi har verdens femte størstehandelsflåte målt i antall skip. Nordmenn erblant verdens mest aktive på Internett.NorCERT ser stadig mer kriminalitet rettetmot offentlige og private virksomheter.Næringslivets Sikkerhetsråd har sagt at 1/3av virksomhetene som deltok i Mørketallsundersøkelseni 2010 hadde opplevddatakriminalitet. Bare 1% av sakene bleanmeldt.Men, vi vet ikke hva internettkriminalitetkoster Norge. Siden vi ikke vet kostnadenkan det være fristende å ta en titt påto utenlandske rapporter for å få et visstinntrykk av hva slags summer vi kanskjesnakker om:Denne høsten kom «Norton CyberCrime Report» som anslår den globalekostnaden for internettkriminalitet til over2000 milliarder kroner (388 MilliarderUSD). Dette sies da å være mer enn denglobale omsetningen av marihuana, kokainog heroin.En annen rapport som søker å sette enprislapp på internettkriminalitet er «TheCost of Cyber Crime» som er av konsulenthusetDetica i samarbeid med «Office ofCyber Security and information assurance»i UK Cabinet Office. Rapporten sier at«NorCERT ser stadigmer kriminalitet rettetmot offentlige ogprivate virksomheter »internettkriminalitet koster det britiskesamfunnet 27 milliarder pund. Omgjort tilnorske forhold sier da denne rapporten atintenett-kriminalitet koster Norge ca. 20milliarder kroner per år. Dette er ekstremetall, og rapporten har fått betydelig kritikk.Undersøkelsen er likevel lagt inn somgrunnlag i Storbritannias Cyberstrategi somkom fjerde kvartal 2011. Strategien er nærtknyttet til Storbritannias satsning på Cyber:650 millioner pund skal brukes de neste 4årene.


20 KVARTALSRAPPORT FOR 4. KVARTAL 2011NASJONAL SIKKERHETSMYNDIGHET – NorCERTNettbanksvindelI november 2011 ble for første gang i Norge en person dømt for nettbansvindelved bruk av nettbanktrojanere. Dommen lød på ubetinget fengsel i1 år og 8 måneder, og i tillegg måtte personen betale en erstatning på nestenen million kroner til den rammede banken DNB.«Internasjonalt er detteet stort problem, ogogså i Norge har visett lignende tilfellertidligere»Trusselen fra denne typen trojanere er ikkeny. Internasjonalt er dette et stort problem,og også i Norge har vi sett lignende tilfellertidligere. NorCERT var involvert i håndteringenav en større sak allerede i 2006/2007, hvor seks ulike norske banker blerammet av angrep ved hjelp av nettbanktrojanere.Dette kvartalet har fokuset påtrusler mot nettbankkunder økt. Både pågrunn av nevnte dom, samt flere phishingforsøkmot norske nettbankkunder. Vi iNorCERT mener det er viktig å ha fokus pådisse typer angrepsforsøk, både hosbankene og nettbankkundene. For en mergrundig forklaring av hvordan dennesvindel aktiviteten fungerer i praksis har vitatt kontakt med en ekspert på området.Anders Hardangen jobber som leder forIncident Response Team (IRT) hos DNB.Dette teamet er satt sammen som enberedskaps organisasjon med overordnetansvar for koordinering av hendelser ogtrusler innen informasjonssikkerhet. Dettegår på tvers av organisasjonen til DNB, menogså mot finansnæringen generelt. I praksisbetyr dette at de følger med på sikkerhetshendelser,hvilken teknologi som benyttes iangrep mot banknæringen og hva forskjelligekriminelle grupperinger driver med.I følge Anders er det i hovedsak toformer for nettbanksvindler. Den ene ermanuell, hvor svindlerne lurer kunden til ågi fra seg innloggingsinformasjon. Dekriminelle sitter da i bakgrunnen og brukerinformasjonen til å logge seg på kundensnettbank og tappe denne. Den andre typen,som ble benyttet i saken som endte meddomfellelse i november, er mer avansert.Der starter trojaneren et program påkundens maskin når denne er logget pånettbanken, for så å automatisk overførepenger uten at kunden merker det.Ved begge metodene overførespengene til kontoer som eies av det vi kallermuldyr. I praksis er dette personer som gårtil sin bank for å ta ut det stjålne beløpet, forså å sende mesteparten til de kriminelle viaandre betalingstjenester. Dette gjøres for åbryte det elektroniske sporet og vanskeliggjøresporing av pengene og hvem dekriminelle er. Ofte er disse muldyrene naivepersoner som har blitt rekruttert til noe detrodde var en legitim jobb, noe de oppdagerdet ikke er når politiet banker pådøren.I mai fjor ble en 26 år gammel estiskmann arrestert og senere tiltalt og dømt forbl.a. å ha benyttet ondsinnet kode til å svindlekundene hos norske nettbanker. DNBIRT-team oppdaget først noen svindelforsøkog mistenkelig oppførsel i nettbanken,og startet så med å analysere hvadette kunne være. De fant en trojaner medangrepskode som var skreddersydd for åangripe kundene av DNBs nettbank. Delaget derfor mekanismer for å følge med påom kundene var infisert av dennetrojaneren når de var inne i nettbanken, ogpå den måten greide de å stoppe svindelforsøkene.Kundene ble også kontaktet oginformert om at de var infisert av dennetrojaneren.Anders og hans team oppdaget samtidig«I mai fjor ble en 26 årgammel estisk mannarrestert og seneretiltalt og dømt for bl.a.å ha benyttet ondsinnetkode til å svindlekundene hos norskenettbanker »at en kundekonto over lengre tid hadde hatten oppførsel som samstemte med aktivitetentil trojaneren. En dypere analyse avdenne kontoen viste tegn på at den haddeblitt benyttet til å teste og utvikletrojaneren.DNB har som prinsipp at alle svindelforsøkskal politianmeldes, og Anderstrekker frem det gode samarbeidet banknæringenhar med politiet. DNB har hatt ettveldig tett og godt samarbeid med Kriposunder hele hendelsen. Tillit og en åpen oggod dialog er alfa og omega ved håndteringenav denne typen hendelser.Det at DNB fant testkontoen, samtpolitiets grundige etterforskning, ledet til atden nå domfelte ble sporet opp ogarrestert. Spor som ble funnet på personens«DNB har som prinsippat alle svindelforsøkskal politianmeldes,og Anderstrekker frem det godesamarbeidet banknæringenhar medpolitiet»datamaskin linket ham direkte opp til saken.I tillegg ble det funnet tegn til at det ogsåble utviklet angrepskode mot andre norskebanker, men fordi DNB var tidlig ute medhåndteringen, rakk ikke angriper å aktiveredenne. Dette viser viktigheten av å ha etgodt fungerende team for håndtering avdenne typen hendelser.Dessverre viser trenden at denne typenangrep blir mer og mer avanserte, samt atde nå beveger seg til land som tidligere ikkehadde så høy fokus. Anders nevner at«hyllevare-trojanere» som SpyEye og Zeuser under kontinuerlig utvikling, og kan


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 21Hva ernettbanksvindel?■■Nettbanktrojaner er ondsinnet kodesom installeres på datamaskiner vedhjelp av sårbarheter. Når dissedatamaskinene kobler seg opp motnettbanken, aktiveres trojaneren ogkundene risikerer å bli frastjålet penger.Angrepet er nesten usynlig for kundenda trojaneren endrer dataene somsendes til, og mottas fra nettbanken.■■Man kan beskytte seg mot dissetrojanerene på samme måte som manbeskytter seg mot all annen ondsinnetkode; holde all programvare oppdatertog sørge for å ha antivirus installert.Foto: NorCERT. Anders Hardangen leder DNBs Incident Response Teamkjøpes av kriminelle for bruk i nettbanksvindlereller for å stjele kredittkortnumreeller tilsvarende.Norge har de siste årene sett relativt liteav denne typen svindel, men Anders pekerpå at det nå er større konkurranse mellomde kriminelle aktørene. Dette gjør at deogså beveger seg inn mot de mindremarkedene, som f.eks. Norge. Tilsvarendeer også observert i de andre nordiskelandene. Selv om sikkerhetsløsningene sombenyttes er gode, er det vanskelig åbeskytte seg mot angrep hvor innloggingsinformasjonenstjeles. Hananbefaler kundene å alltid være årvåkne nårde bruker nettbanken, samt sørge for atdatamaskinen er godt sikret. I tillegg må deikke nøle med å ta kontakt med bankeneskundeservice om de ser noe som de mistenkerikke er riktig med nettbanken.«Dessverre visertrenden at denne typenangrep blir mer og meravanserte, samt at de nåbeveger seg til land somtidligere ikke hadde såhøy fokus»■■Nettbanksvindel kan også foregågjennom phishing hvor sluttbrukerenblir lurt til å gi fra seginnloggingsdetaljer på en side somutgir seg for å være nettbanken tilkunden. Denne typen svindel kantypisk starte med en phishing-e-posthvor sluttbrukeren blir oppfordret til åfølge en lenke for å fylle inn sinedetaljer som en verifisering av disse. Idisse tilfellene er det sjelden snakk ominfeksjoner på maskinen tilsluttbrukeren.


22 KVARTALSRAPPORT FOR 4. KVARTAL 2011NASJONAL SIKKERHETSMYNDIGHET – NorCERTInformasjonslekkasjeI desember 2011 så vi flere alvorlige tilfeller av nettaktivisme,etterfulgt av store informasjonslekkasjer. Den løst sammensattegruppen av nettaktivister, Anonymous, har tatt på seg ansvaret.Angrepet som fikk størst internasjonal oppmerksomhetvar hackingen av kundedatabasentil det anerkjente amerikanskeanalysebyrået Strategic Forecasting(STRATFOR). Dette er en tjeneste somblant annet leverer sikkerhetsanalyser basertpå åpne kilder. Hackingen ble viderefulgt av en stor informasjonslekkasje. Brukernavn,passord, e-postadresser og kredittkortopplysningerble lekket i etterkant.Tjenesten hadde flere norske brukere, bådeprivate og offentlige. NorCERT varslet enrekke norske bedrifter og offentlige«Hackingen ble viderefulgt av en stor informasjonslekkasje»myndig heter som hadde berørte ansatte. Vispilte også over listen til NorSIS som varsletbredt i Norge. Lekkasje av informasjon somkredittkortopplysninger og passord kanbrukes til økonomisk vinning, og i tilfelletmed STRATFOR skal kredittkortdetaljer hablitt misbrukt til å overføre penger tilhjelpeorganisasjoner. Det er da denneaktiviteten går over grensen til å være nettkriminalitet.Antivirusleverandøren F-Securehar kommentert i et blogginnlegg atforsøket på veldedig handling gjennom doneringmed stjålne kredittkort fort kan slåtilbake. Pengene vil i de fleste tilfeller blikrevd tilbake, og noen ganger vil dettemedføre ekstra utgifter for hjelpeorganisasjonene.Et annet problem er at mangebruker samme passord på flere ulike nettsiderog datasystemer. Derfor kan lekkasjenav slik informasjon føre til at passord tilsensitive eller viktige datasystemer ogsåkommer på avveie.I forrige kvartalsrapport publiserteNorCERT en artikkel om nettaktivisme, ogpoengterte da hvordan dette har vist seg åvære et vidt begrep, både i bruk og betydning.Nettaktivistene selv hevder at dereshandlinger er «fredelige protester», mendet er tydelig at deres handlinger i noentilfeller kan føre til store konsekvenser ogøkonomiske tap. Lekkasjer av sensitiv infor-masjon kan ha konsekvenser utover detpolitiske eller idealistiske motivet som oftefremheves av aksjonistene, og nettoppdette er STRATFOR-saken ett eksempel på.Kompromitteringen av STRATFORskundedatabase føyer seg inn i rekken avflere lignende saker den siste tiden, ogNorCERT anser denne utviklingen for åvære alvorlig og nødvendig å ha fokus på.Anonymous postet 27. desember:«Continuing the weeklong celebration ofwreaking utter havoc on global financialsystems, militaries, and government, we areannouncing our next target: the onlinepiggy supply store SpecialForces.com» Baredager etter hackingen av kontaktdatabasentil Stratfor kom ett nytt angrep. Dennegangen rettet mot nettsiden til firmaetSpecial Forces, en leverandør av utstyr tilblant annet amerikanske myndigheter ogmillitære. 14000 passord og 8000 kredittkortnumreble lekket. I motsetning tilSTRATFOR-saken var kredittkortnumreneher kryptert, men hackerne klarte likevel åstjele krypteringsnøklene.Det er mye man kan lære av slikeangrep, både rundt beskyttelse og håndtering.Tilfellet med STRARTFOR gjør detblant annet tydelig at passord bør beskyttesbedre enn kun bruk av ren MD5 når detlagres. MD5 er en enveis sjekksumalgoritme,som gjør at passordene ikkelagres i klartekst. Dette er likevel ikke ansettsom god nok sikring av passord da enklepassord raskt kan knekkes, og det er godpraksis på området å bruke såkalt saltingsom en del av sikkerhetstiltak for lagring.Det er også klart at kryptering av kredittkortdetaljerog annen sensitiv informasjoner viktig. Både under sending, og i tilleggnår dette lagres.Denne saken frembragte en del diskusjonrundt åpenhet, og hvor åpne firmaerbør være når kundedatabasene blir kompromitterte.NorCERT mener åpenhet erviktig for å bekjempe denne typenkriminalitet og begrense skadeomfanget.Tidlig offentliggjøring vil gjøre det enklerefor brukere å beskytte seg, for eksempelved å få sperret kortene sine og endrepassord på andre systemer.SaksbegreperMD5:MD5 er en vanlig form for hash-algoritme.Den ble utviklet av Professor Ronald(Ron) Rivest i 1991 En kryptografiskhash-algoritme som dette er er utviklet forå oppnå visse sikkerhetegenskaper, og ervanlig ved lagring av passord. For å ikkelagre dem i klartekst, omgjøres de først tilen «hash». Lagring av et passord som hashvil gjøre det vanskelig å finne brukerensfaktiske passordet. For å bekrefte passordet,er det først hashed, deretter sett iforhold til de lagrede hash i databasen. Engod kryptografisk hash vil gjøre det vanskeligå finne to meldinger med sammehash, eller finne klartekst for en bestemthash-verdi. Alle hash-algoritmer er sårbarefor uttømmende søk. Klarer angriperfå tak hashen, kan kan prøve forskjelligepassord-hash og sjekke om de er like. Derforinnføres «salt» for herding av hashen.SaltingSalting er en måte å gjøre passord sikrere .Det legges til en tilfeldig streng av tegn tilpassordene, før deres md5-hash blir beregnet.Dette gjør dem igjen vanskeligereå reversere. Salting sørger for at to brukeresom tilfeldigvis bruker samme passord,ender opp med ulike hash.


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 23Du snakker,hvem lytter?Regelmessige påminnelser om sikkerheter viktig. Rune Mortensen er datasikkerhetslederi Utenriksdepartementet.På UDs intranett publiserte hannettopp artikkelen nedenfor, og Nor-CERT har fått tillatelse til å publisereteksten.Er du en av de av oss som husker denneteksten fra forsiden på Forsvarets telefonbok?Kanskje du også var en av de somhadde teksten godt synlig på telefonrøret?Hva var det egentlig godt for?«Du snakker! Hvem lytter?» sto der somen påminnelse om at vi jobbet i en virksomhetsom måtte vise aktsomhet når vi pratet itelefonen, for det var noen der ute sombåde hadde ønske og kapasitet til å avlyttesamtalene våre. Snakket vi om noe som vargradert på telefonen var dette synonymtmed at informasjonen var på avveie, og vikunne ikke skylde på andre enn oss selv- advarselen sto jo allerede rett foran oss!Er dette like aktuelt i dag og for oss iUtenrikstjenesten, eller er dette kun paranoideminner fra en svunnen tid hvor denkalde krigen var på det kaldeste? La detikke være noen tvil: Etterretningstrusselener minst like stor i dag som noen gangtidligere! Dette har dessverre ikke noe medparanoia å gjøre heller, og det er bare å lesede siste åpne trusselvurderingene fra foreksempel PST og E-tjenesten for å få enindikasjon om hvordan trusselsituasjonener.Utenrikstjenesten behandler og produsererinformasjon som utenlandskeetterretnings-tjenester og kriminelle gjernebetaler dyrt for å få tak i, og ikke tro at deikke gjør det! Metodene som benyttes tilslik etterretningsvirksomhet er både mangeog sofistikerte, og telefon- ogdatanettverks¬avlytting er bare et litenknippe av dem. I tillegg kommer blantannet menneskebasert innhenting avetterretnings¬informasjon, og i de sisteårene også innhenting gjennom datanettverksoperasjoner.Sistnevnte er operasjoner hvor datamaskinenevåre blir benyttet som innsamlingsmediumfremfor den tradisjonelletelefonsamtalen. Tenk deg for eninformasjons messig gullgruve det villevære for utenlandsk etterretning dersomalle dokumentene du har tilgang til, e-postdu har sendt og mottatt, avtaler du har medinterne og eksterne, osv kunne bli hentetved et tastetrykk? Hørte jeg WikiLeaks?Nei... kanskje ikke WikiLeaks, for disseaktørene ville holdt informasjonen for segselv!Har du forresten tenkt over hva konsekvensenville vært om mikrofonen og webkameraetplutselig ble slått på og sendte lydog bilde rett til noen som satt og fulgtemed. Hva ville konsekvensen være dersomen samtidig pratet om noe gradert ellerskjermingsverdig informasjon på dette kontoret?Ville denne datamaskinen, siden deni praksis ville være kommunikasjonsbærerpå lik linje som en avansert telefon, væregradert?De fysiske, tradisjonelle barrierene mellomgraderte og ugraderte systemer blirmer og mer utydelig. Bevisstheten rundthva man sier, hva man skriver og hvor mangjør dette svekkes dessuten ofte proporsjonaltmed mengden sensitiv informasjonman behandler og med tidspress. Dette eren velkjent, om dog en noe ubehageligkjensgjerning – en kjensgjerning som andredessverre til stadighet forsøker å finne nyemåter å utnytte.For å unngå dette bør vi alle bli flinkeretil å verdivurdere all informasjon vi omgiross med, og behandle denne informasjoneni tråd med denne vurderingen. Alle i Utenrikstjenestenskal være klar over hvilkelover og regler som gjelder for verdivurderingav informasjon, men i en travelhverdag er det dessverre lett å glemme alledetaljene. Det kan derfor være lurt å minneseg selv på dette fra tid til annen, og et godtråd er å stille seg selv følgende spørsmål føren skriver eller prater om noe som kan væreskjermingsverdig:Er informasjonen gradert i henhold tilSikkerhetsloven?Kan informasjonen få konsekvenser forenkeltpersoner om det kommer på avveie?Vil det være problematisk om informasjonenhavner på forsiden av landets aviser?Dersom svaret på noen av disse er «ja»bør du stoppe, og vurdere om du behandlerinformasjonen forsvarlig. Bør UDB ellerstrengere systemer benyttes? Bør en formidledette over ukryptert telefoni, ellerbør en tilstrebe å få overført informasjonenpå en annen, sikrere måte? Kanskje en ikkebør benytte kontoret til å behandle denneinformasjonen i det hele tatt, men heller etrom som er gradert på rett nivå?Alle har et ansvar for å gjøre selvstendigeverdivurderinger, og å behandleinforma sjonen i tråd med denne vurderingen.Det er imidlertid verd å være klarover at det ikke er tillatt å nedgradere noesom andre allerede har verdivurdert. Allehar dessuten et ansvar for å opplyse mottakerenom verdivurderingen gjennom åmerke dokumentene og e-postene tydelig,eller å opplyse om dette ved samtaler.Avslutningsvis stiller jeg spørsmålet pånytt: Er teksten «Du prater! Hvem lytter?»like aktuell i dag som den var før, eller erforfatteren av dette innlegget uhelbredeligparanoid?Dessverre er det slik at budskapet erviktigere i dag enn noen gang tidligere,men om den kun burde stå på telefonenknytter det seg større usikkerhet rundt.Kanskje den burde stå på kontordøra itillegg? Kanskje vi også burde klistre opplapper på datamaskinene våre medteksten:«Du skriver! Hvem leser?»?


24 KVARTALSRAPPORT FOR 4. KVARTAL 2011NASJONAL SIKKERHETSMYNDIGHET – NorCERTNorCERTs sikkerhetsforumTo ganger i året holder NorCERTs sikkerhetsforum, som er et lukket forumfor våre medlemer, samarbeidspartnere og spesielt inviterte i bransjen. Vivil i denne kvartalsrapporten gi en liten smakebit på hva som presenteresder.«Grunnen til atvi også jobber meddette er for åbygge kompetanse ogkontaktnettverk samtholde det generellesikkerhetsnivået påInternett i Norge såhøyt som mulig»Foto: NorCERTNorCERTs sikkerhetsforum 15 novemberble åpnet av Eiliv Ofigsbø, NorCERTs nyeavdelingsdirektør. Han introuduserte noenav NorCERTs viktigste prioriteringer fremover.Dette inkluderer blant annet reetableringi nye lokaler, videreutvikling avvår nye kvartalsrapport, presentere et oppdatertog helhetlig IKT-trusselbilde oggjennomføre øvelser for og medNorCERT medlemmer og partnere.NorCERT presenterte statistikk frahåndterte saker i vårt saksbehandlingssystemog NorCERT-pulsen for perioden.NorCERT pulsen ble økt til nivå 3 den 4.november på grunn av den kritiske zerodaysårbarheten i «Windows TrueTypeFont Parsing Engine»(CVE-2011-3402)som ble utnyttet i Duqu-angrepet. Påpatchetirsdag for oktober ble det ogsåkjent at det var mulig å utnytte og fåtilgang til Windows-system bare ved hjelpav en spesielt utformet UDP-pakke.NorCERT har håndtert en rekke saker detsiste halvåret som er relatert til målrettedeoperasjoner. Dette var også et gjennomgåendetema på dette sikkerhetsforumet.Blant annet var to av våre foredragsholdereamerikanske eksperter på området.I det første eksterne foredraget fikk viblant annet presentert at ved en hendelseer det viktig å ha pakkedump. Data frareelle hendelser viste hvordan kompromittertemaskiner kommuniserte medkommando- og kontrolltjeneren XORobfuskert.I det ene tilfellet, fordi hanhadde pcap-data og hadde riktig XORnøkkel,kunne han se at det egentlig var et«NorCERT presentertestatistikk frahåndterte saker i vårtsaksbehandlingssystem »reverse-shell som tillot angriperen å kjørekommandoer på den kompromittertemaskinen.I presentasjonen ble det også fortalt omhendelser hvor gigabytes og terrabytes meddata hadde blitt eksfiltrert. Dette kan betyat det er et stort apparat i bakkant hostrusselaktøren for å kunne håndtere destore datamengdene som samles inn frabedrifter som er utsatt for disse angrepene.Han nevnte også om hendelser hosbedrifter i kontraktsforhandlinger, hvor dentapende parten hadde infeksjon i sinbedrift. Foredragsholderen fortalte ogsåom hvordan det i de alvorligste tilfellene varbedrifter som hadde fått mailserveren ogdomenekontrollerne sine kompromittert.Trusselaktøren har ofte også flere bakdørerpå systemet i tilfelle antivirus oppdagernoen av de så vil de fortsatt ha kontroll overmaskinen. Mange ganger er ikke bedrifteneklar over at de er infisert før over ett åretter. Ofte vil det da være umulig å vite hvasom har blitt stjålet av data. Det ble ogsånevnt nytten av å ha tilgang til passive DNSdata.Det neste foredraget fokuserte på detsamme temaet som det foregående. I tilleggble det holdt en kort introduksjon til «thekill chain», som vi har laget en egen sak omi denne kvartalsrapporten.Suhail Mushtaq fra HelseCSIRT holdt enpresentasjon om etableringen av CSIRT ihelsesektoren. Ondsinnede inntrengningsforsøkeller ulovlig bruk av helsesektorenssentrale IKT-infrastruktur må avvergesraskest mulig for å redusere eventuelleskadevirkninger. Et av tiltakene har vært åetablere CSIRT (Computer Security Incdent


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 25IRT-kursNorCERT har i desember holdt etkurs i hendelseshåndtering foransatte fra Statoil. Statoil har opprettetet eget «Computer SecurityIncident response team» (CSIRT)som tar seg av håndteringen av ITsikkerhetshendelseri konsernet.Foto: NorCERT«Foredragsholderenfortalte også omhvordan det i dealvorligste tilfellene varbedrifter som haddefått mailserveren ogdomenekontrollernesine kompromittert»Response Team) som skal utvikles til å blihelse- og omsorgssektorens samlede ressurssenteri arbeidet for å forebygge ogavhjelpe sikkerhetsavvik og uønskedehendelser, samt sørge for rasjonell ogkoordinert innsats dersom hendelseroppstår.Ole Tom Seierstad fra Microsoft Norgepresenterte trusler på Internett slik somMicrosoft ser det. Microsoft utgir hverthalvår sin Security Intelligence Report.Denne rapporten inneholder tall fraWindows-baserte datamaskiner verdenover, og gjør det mulig for Microsoft å sinoe om trusselbildet for exploit, sårbarheterog malware. Microsoft har verktøyetMalicious Software Removal Tool (MSRT)som de sender ut sammen med Windowsoppdateringer.Dette verktøyet fjernerkjente skadevare fra brukernes datamaskinerog rapporterer tall tilbake tilMicrosoft. Ole Tom presenterte også noenav de sakene hvor Microsoft har gåttrettens vei for å få stengt ned botnett.Det siste foredraget på dette sikkerhetsforumetvar ved Politiets Sikkerhetstjeneste(PST). PST er den nasjonale sikkerhetstjenesten,med fokus på beskyttelseog forebyggende arbeid mot trusler,terror og ulovlig etterretningsvirksomhetfra fremmede stater. NorCERT samarbeidermed PST i en rekke saker iforhold til dataspionasje og alvorlige datainnbrudd.PST sin presentasjon påNorCERT sikkerhetsforum var også mentfor å gjøre deltagerne oppmerksom på atPST kan bistå ved alvorlige hendelser.Kurset fokuserte på prosesser og metoder ihendelseshåndteringen, kommunikasjonmellom NorCERT og Statoil CSIRT, samtverktøy og prosedyrer for å sikre data foranalyse ved mistanke om datainnbrudd.Kurs i hendelseshåndtering er entjeneste NorCERT tilbyr sine samarbeidspartnere,slik at vi kan bli enda bedrepå kommunikasjon og samhandling vedstore IT-sikkerhetshendelser.Foto: NorCERTFoto: NorCERT


26 KVARTALSRAPPORT FOR 4. KVARTAL 2011NASJONAL SIKKERHETSMYNDIGHET – NorCERTVellykketNATO-øvelseNorCERT var hovedspiller forNorge i årets NATO CyberCoalition øvelse. 23 NATO land ogseks partnernasjoner deltok.AktivitetfremoverKjernevirksomheten i NorCERTskjer i operasjonssentet påAkershus festning, men vi er ogsåengasjert i endel aktiviteter ute isamfunnet.I kvartalet som kommer har vi blant annetplanlagt akvitetene som er listet nedenfor.IT-sikkerhet er et nasjonalt lagspill, og allevinner på å bli bedre kjent. Internasjonalkoordinering og bilateral dialog er ikke medi oversikten.■■Foredrag Teleforum NTNU(5.-6.januar)■■Security divas, Gjøvik (19.-20. januar)■■Foredrag på Trondheim InternationalRotary Club leder- ognettverkskonferanse (23. januar)■■Samarbeidsmøte med NorSIS i Gjøvik(26-27. januar)■■Karrieredagene, Høgskolen i Gjøvik (1.-2. februar)■■European Goverment CERTs (EGC)møte (9-10. februar)■■Deltakelse i Beredskaps- ogøvingskonferansen holdt av DSB (16.-17 februar)■■Foredrag på NUF-Mobil Agendaseminar (21. februar)■■Deltakelse i ISF sitt medlemsmøte (29.februar)■■Seminar om informasjonssikkerhet fordepartementer, direktorater og tilsyn(NorSIS og NorCERT arrangement)(20. mars)■■SANS Orlando (23.-30. mars)■■HackCon (26.-17. mars)Listen er noe kortere enn normaltgrunnet høyt fokus på interne prosesserdet kommende kvartalet. Spesieltflytting til nye lokaler vil ha prioritet.I perioden 13-15. desember gjennomførteNATO «Cyber Coalition 2011». Dette er enårlig øvelse hvor NATO trener operativCyber Network Defence (CND).Dette årets øvelse omhandlet en fiktivkrise, hvor samtlige nasjoner måtte håndteresimulerte dataangrep. Hendelseshåndtering,informasjonsdeling, skadevareanalyseog samarbeid var sentraletreningsmål. Totalt deltok 23 NATO landsamt seks partner nasjoner.I Norge er NorCERT nasjonalt kontaktpunktfor CND mot NATO og har løpendedialog med Nato Computer IncidentResponse Cabability (NCIRC). Underøvelsen spilte NorCERT det nasjonalekontakt punkt og håndterte dialogen medde ulike nasjonene. Daglig ble det ogsåTelefonsvindelFlere ser forsøk på svindel overvanlig telefon. Er dette fordidatamaskinene er blitt for sikre?Dette kvartalet oppdaget en norsk bank atdet ble gjennomført svindelforsøk overtelefon. Svindlerne ringte en av bankenskunder og utga seg (på engelsk) for å værefra Microsoft og fortalte kunden at vedkommendehadde virus på sin pc. Det blelagt stort press på kunden om at han såmåtte kjøpe spesiell programvare for å løseproblemet. Det er ukjent om programvarensom da ble installert er skadevare, mendette undersøkes. Svindlerne lyktes med ålure 325 EUR fra kunden.NorCERT er kjent med at norske bankertar slike hendelser alvorlig, og jobber målrettetmed å detektere slike transaksjonerfor å beskytte sine kunder.gjennomført spill med nasjonale samarbeidspartnerei Forsvaret og Politiet.Øvelser er viktige, spesielt for å trenesamspill med aktører vi ikke snakker dagligmed. Dette ble tydelig i denne øvelsen, ogvi må i så måte si at det viktigste øvingsmåletble nådd.NATO har satt Cyber Defence høyt påprioriteringslisten, og en betydelig størreøvelse planlegges allerede for 2012. Deter ventet at samspillet mellom militære ogsivile stadig vil få større fokus. Årsaken tildette er at militære systemer ofte har storeavhengigheter til sivil infrastruktur somstrøm og telekommunikasjon.


NorCERT – NASJONAL SIKKERHETSMYNDIGHETKVARTALSRAPPORT FOR 4. KVARTAL 2011 27Kvartalets skråblikkNår man tenker på IT-sikkerhet erdet ofte den forebyggende delensom er i fokus, den delen hvor manbruker mye ressurser på å forhindreat noen skal kunne kompromitteresystemene. Man følger etablertekrav og standarder som har vist segå være gode.Det som ofte ser ut til å bli glemt er atsikkerhet er mer enn bare det forebyggendeelementet; man må også være istand til å oppdage og håndtere brudd påsikkerheten. Dette er ikke noe nytt. Dr.James Lewis poengterte nettopp dette i ensenatshøring i 2009: Vi kan følge gjeldendesikkerhetsstandarder til punkt ogprikke, og fremdeles være totalt usikker.I NorCERT har vi observert at selv godtsikrede nettverk, som til og med har værtfysisk adskilt fra Internet, har blitt utsatt foralvorlige angrep. Angrepsvektoren har davært via minnepinner og brukernesukritiske og noe naive bruk av disse. Detteviser at vi må komme mer ut fra regelmodusenog bli mer på hugget for åoppdage, håndtere og beskytte oss mot destadig nye truslene og metodene sombenyttes til å angripe våre systemer.Jeg vil spisse dette poenget: «Min tillit tilditt system, er lik din evne til å oppdagehendelser som kompromitterer systemetssikkerhet». Jeg kan med andre ord ikkestole på ditt system med mindre du ogsålegger inn ressurser på å oppdage sikkerhetsbrudd.For å detektere og stoppe innbrudd påIT-systemene er det mange som hopper rettpå de tekniske løsningene (som IDS/IPS).Her synes jeg man i stedet bør starte med åse på de ressursene man allerede har iorganisasjonen. Mitt argument er at detbeste deteksjonssystemet man har, er egneansatte. Kommer de over dokumenter somkrasjer når de åpner de, eller oppdager atmaskinen de jobber på oppfører seg littuvanlig i forhold til hva de er vant til, så børde ha ett sted å rapportere dette. De sommottar rapportene må da ha to ting på plass(i prioritert rekkefølge):■■En holdning ovenfor brukerne som gjørat de føler seg velkomne, og ikke slutterå rapportere■■Rutiner og verktøy for å kunne foreta enteknisk undersøkelse av problemetFor å få til gode sikkerhetsløsninger erman også avhengig av at ledelsen iorganisasjonen har fokus på dette. «Lederforankring»er et uttrykk som ofte brukes,men ingen forteller hvordan man i praksiskan oppnå dette. Hvordan skal ledelsen bliinformert og involvert i problemstillingerrelatert til IT-sikkerhet? Jeg tror en måte erå se på hvordan de som jobber medsikkerhet er plassert på organisasjonskartet(med tanke på rapporteringsvei).Veldig ofte er IT-sikkerhet organisertsom en del av IT-organisasjonen. Dettefører til at all informasjon kanaliseresoppover via samme rapporteringsvei.Eksisterer det meningsforskjeller mellomf.eks. drift og sikkerhet, er det en leder iledergruppa som mottar rapportene frabegge. Hvor ofte legges dette frem forledergruppen? Hvor mye vet ledergruppen?Hvor mye er de involvert iproblemstillingene?Personlig mener jeg at IT-sikkerhet børha en annen rapporteringsvei enn resten avIT organisasjonen - selv om de fysisk erlokalisert på samme sted og jobber veldigtett sammen (noe som er en fordel). Dettekan føre til at flere av de alvorlige problemstillingenekan bli løftet inn i ledergruppa,og på den måten oppnå en mer bevisstholdning til at sikkerhet også er en variabelsom må taes med i beregningen.En annen ting er at IT-sikkerhet blir settpå som noe man gjør for å beskytte datamaskinene.Dette fremkommer veldigtydelig i mørketallsundersøkelsen for2010, hvor 18% oppga at de hadde misteteller blitt frastjålet maskinvare. Kun 2%oppga at de hadde mistet eller blitt frastjåletinformasjon.I realiteten er datamaskinene kunin formasjonsbærere. Informasjon kan ogsåopptre i andre former, som f.eks. på papireller som tale. Dette gjør at man også måsikre områdene omkring der denneinformasjon befinner seg, det være segdatamaskiner, fysiske rom eller forskjelligetransportmetoder for informasjon.Informasjonssikkerhet er sikring avinformasjon og konteksten denne til enhvertid befinner seg i.- Mike AndersenLunch © Børge Lund, distr: www.strandcomics.no


NSM-NorCERTAkershus festning, Bygg 12N-0015 OsloTelefon: 23 09 25 00Hendelser: 02497E-post: post@cert.noHendelser:norcert@cert.nowww.cert.noIllustrasjonsfoto hentet fra colourbox.com og NorCERTs arkiver

More magazines by this user
Similar magazines