Konferanseavis for NSMs sikkerhetskonferanse 2009.

og slett surfer på internett.- I år har vi sett en voldsom økning ibruk av USB-minnepinner som vektor forå få tilgang til systemer. Det har også værten stor økning i bruk av filformatet PDF ispionasjesammenheng, sier Birkeland.Aktørene bak kan være kriminelle,fremmede stater som er ute etter etterretningsinformasjon,eller grupper ellerindivider med en politisk agenda. Angreppå nett kommer da gjerne parallelt medtradisjonelle demonstrasjoner og protestaksjonerpå gateplan.Tåler du dataangrep?Hvor robuste er datasystemene dine? NSM kan nå teste hvormotstandsdyktige datasystemene er i virksomheter som er underlagtsikkerhetsloven gjennom såkalt inntrengingstesting.NSM har nylig etablert en enhet som driver med såkalt inntrengingstesting i informasjonssystemer.Virksomheter kan anmode NSM om å gjennomføre inntrengingstester,og planlegging og utarbeiding av testplaner gjøres i nært samarbeid med virksomhetene.Tester utføres vederlagsfritt.Oppgrader alle programmer!Hva skal man så gjøre mot alle truslene?- Jeg må understreke betydningen avå oppgradere alle programmene på datamaskinen.Det handler ofte om AdobeReader eller Officepakken for Windows,men også alle de andre programmeneog applikasjonene. Antivirus og brannmurmå være på plass, sier ChristopheBirkeland.For virksomheter er det avgjørende atledelsen tar sikkerhetsspørsmål seriøst.- Det er ikke mulig å kjøpe seg ferdigesikkerhetsløsninger som gir 100 prosentbeskyttelse. Riktig og oppdatert kunnskap erdet viktigste mottiltaket mot et mangfoldigog dynamisk trusselbilde. Det har vært myefokus på opplæring av sluttbrukere. Det erviktig. Men det er også viktig å sørge foroppdatert og riktig kunnskap hos de som harsikkerhets- og driftsansvar i IT-avdelingene,sier Birkeland. – Tenk god sikkerhetskultur,og innfør rutiner og retningslinjer for brukav minnepinner, bærbare PC-er, mobiltelefonerog så videre. Folk må rett og slett væresikkerhetsbevissteKontrollerte dataangrepInntrengingstesting er et kontrollert dataangrep som prøver ut motstandskraften iinformasjonssystemer gjennom målrettede søk og analyser, og forsøksvis utnyttelseav sårbarheter, feil og mangler som identifiseres. I ettertid lages det en rapport tilvirksomheten med testens resultater. Basert på dette settes virksomhetene i stand til åstyrke svake punkter i sine egne systemer før hendelser inntreffer. Testingen retter segutelukkende mot informasjonssystemer og deres sikkerhetsmekanismer. Inntrengingstestinginnebærer derfor ikke å lese innhold i ansattes private kommunikasjon ellerdokumenter.Forebyggende sikkerhetstiltakNSM har et nasjonalt ansvar for å bidra til at informasjonssystemer som behandlerskjermingsverdig informasjon eller ivaretar samfunnskritiske funksjoner, er godt rustetmot dagens trusselbilde gjennom effektive og målrettede forebyggende sikkerhetstiltak.Det gjøres i dag blant annet gjennom sikkerhetsgodkjenninger, tilsyn, råd ogveiledning og krav. Inntrengingstesting komplimenterer disse oppgavene ved å bidra tilå avdekke om det likevel finnes sikkerhetshull som kan utnyttes av ondsinnede aktører.Foredrag: Angrep, det beste forsvar? – Inntrengingstesting; et forebyggendesikkerhetstiltak. Onsdag 18. november kl. 10.50.Konferanseavis for NSMs sikkerhetskonferanse 2009Foredrag: IKT-trusselbildet og utformingenav nasjonal Cyber Defence-strategi.Tirsdag 17. november kl. 11.10.PST om datainnbruddI følge PSTs åpne trusselvurdering for2009 er flere stater i ferd med å byggeopp en betydelig kapasitet innen datanettverksoperasjoner.- Denne kapasitetenkan benyttes til å innhente skjermetinformasjon ved datainnbrudd (spionasje),lamme datamaskiner og nettverk(tjenestenektangrep) samt spre informasjonsom tjener statens strategiske mål(informasjonsoperasjoner), skriver PST.(Illustrasjonsfoto: Colourbox.no)9

Nå snik dei seg inn via menneske:Du er mål nummer ein!Menneske er i ferd med å bli mål nummer einfor kriminelle, seier Lance Spitzner fra USA.Konferanseavis for NSMs sikkerhetskonferanse 2009Spitzner er mannen bak det såkallaHoneynett-prosjektet, ein frivilliginternasjonal organisasjon med fokus påIT-tryggleik. Gjennom PC-er på nett, låstmed ein enkel lås, kan deltakarane sjå omnokon prøver å bryte seg inn, kva slagsteknikkar dei bruker, analysere angrepaog virusa, og dele informasjonen medandre som er opptekne av IT-tryggleik.Datanerden har blant anna erfaring fråden amerikanske hæren. Og han meinermennesket i tryggingssamanheng er eitsvakt punkt.- Organisasjonar bruker store mengdertid, pengar og ressursar på å verneteknologi. Dei kjøper den siste programvara,maskinvara og hjelpemidla. Detverkar. Kriminelle på internett har funneut at det er mykje enklare og meir kostnadseffektivtå rette seg mot mennesketbak. Menneske, og ikkje teknologi, er detsvakaste punktet, seier han.Gjer for liteDei fleste tilsette ser ikkje på seg sjølvsom eit mål. Dei trur at tryggleik er eitproblem for selskapet dei jobbar i, og atdei sjølv ikkje blir angripe. Derfor gjerdei lite for å verne seg sjølv og organisasjonen,samtidig som dei i realiteten erdet viktigaste målet for dei kriminelle.Teknologien endrar seg, men det gjerikkje menneske, seier Spitzner.- Vi ser igjen og igjen at kriminellebruker dei same knepa for å få det dei vilha, vi kan kalle det å hacke hovudet (eller"hacking the mind", som Spitzner kallardet). For å seie det enkelt: Den enklastemåten ein kriminell kan få kontroll overPC-en din på, eller stele passordet ditt, errett og slett å spørje.Menneske er rett og slett elendigei å vurdere risiko, i følgje Spitzner. Detmennesket fryktar mest er ofte det minstfarlege. For å ta fly som eksempel: Fly ersikrare enn bil, likevel er det å fly det folker mest redd for. Den same mistydingaom risiko og farar på internett berre aukarproblemet, seier Spitzner. Internett er einperfekt stad for å lure folk. Det er så enkeltfor kriminelle å late som dei er nokondu stolar på, og dei kan på ein billig måteautomatisere desse angrepa mot bokstavlegtalt millionar av menneske.- Kva er dei største utfordringane medtilsette i organisasjonar?- Den største utfordringa er at menneskeikkje er klare over at dei er eit mål,og at dei treng å verne seg sjølv. Dersomdei ikkje kan sjå eller ta på det, så ofrardei det ikkje ein tanke. Uheldigvis skjerein stor del av våre aktivitetar ikkje lengeri det fysiske rommet, men på internett, ogdet er der dei største risikoane er."Dei fleste tilsette ser ikkjepå seg sjølv som eit mål.Dei trur at tryggleik er eitproblem for selskapet deijobbar i."Bruk tid og ressursarKva skal ein så gjere med dette svakepunktet som menneske er, elendige somvi er til å vurdere risiko, til å innsjå at vi- Menneske er ikkje klare over at dei er eit mål, ogat dei treng å verne seg sjølv, seier Lance Spitzner.(Illustrasjonsfoto: Colourbox.no)kan bli angripe, og elendige til å sikre osssjølv og organisasjonane våre? Svareter rett og slett å lære opp folk, i følgjeSpitzner. Men også der trår mange organisasjonarfeil.- Mange organisasjonar prøver å læreopp dei tilsette, med gode intensjonar.Ofte gjer dei ein veldig dårleg jobb,overveldar folk med for mykje, forvirrandeeller for teknisk informasjon, ellerberre dårleg kommunisert informasjon.Alt som blir kravd er å investere i tid ogressursar. Organisasjonar kan få ei veldigstor avkastning på ei slik investering, ettersomdei svakaste punkta deira kan bliden største styrken.Foredrag: Securing the Human. Onsdag18. november kl. 09.00.Nordmenn er naiveNordmenn er Europas mest tillitsfulle– eller naive folkeferd. Det viser en europeiskundersøkelse fra European SocialSurvey (ESS). Fire av fem nordmennsier de ”stoler på folk flest”. – Naiv ellertillitsfull er vel to sider av samme sak. Erdu tillitsfull, er du selvfølgelig lett å lure,sier professor Anders Todal Jensen vedNTNU. (Aftenposten 15. oktober 2009)Svensker er naiveSvenske virksomheter er for naive i sittsyn på hva slags trusler de står overfor.Det sier kriminalinspektør Peder Qvist iSäpo til Dagens Industri. Virksomheterbør identifisere hva som bør beskyttes,analysere trusselbildet, og ikke snakkeom bedriftshemmeligheter i mobilen,i følge det svenske sikkerhetspolitiet.(dagensps.se 19. oktober 2009)Lurte nesten FBI-sjefenFBIs sjef Robert Mueller har sluttet mednettbank etter at han nesten ble lurt til åoppgi brukernavn og passord. En e-postsom så ut som som e-postene fra bankengjorde at han bare var få klikk unna til åbegå feil. Etter å ha nevnt hendelsen forkona var tilbakemeldingen: - Det er vårepenger. Det blir ikke noe mer nettbankfor deg. (Network World 10. juli 2009)10

Sikkerhetskultur:Hvorfor gjør folk dumme ting?- Det som sitter mellom øra er den viktigste sikkerhetsmekanismensom finnes. Det gjelder bare å aktivisere den, sier RoarThon. Onsdag holderhan foredrag omhvorfor folk gjørdumme ting.Mennesker kan være en av de beste garantistene for god sikkerhet. (Illustrasjonsfoto: Colourbox.no)”Dumme” ting kan i følge Thon værealt fra å miste viktig informasjon, skapesårbarheter ved å sette inn minnepinnermed virus og så videre. Dumme tingkan også bli gjort ut fra ren høflighet, foreksempel å slippe inn folk som ikke skalha tilgang, eller oppgi sensitive opplysningertil folk som ikke skal ha de, rett ogslett fordi de virker hyggelige.- Vi sier gjerne at mennesket er sikkerhetenssvakeste ledd. Men jeg tror personligat mennesker kan være en av debeste garantistene for en god sikkerhet,så lenge de har skjønt hvorfor sikkerheter viktig, og handler deretter, sier Thon.Han jobber til daglig med sikkerhetskulturi Nasjonal sikkerhetsmyndighet,og er stadig på farten med foredrag omnettsamfunn, sikkerhetskultur, sosialmanipulasjon med mer.Følger ikke rutineneDen vanligste feilen er å ikke følge sikkerhetsrutineneog reglene som gjelder.Gode instrukser og gode tekniskesystemer kan bli torpedert av én ansattsom ikke følger reglene. Det skjer oftefordi det er tungvint med sikkerhet, dettar for lang tid, uvaner blir til sedvane, ogorganisasjoner med gode rutiner på papiretkan oppleve noe helt annet når man"Der hvor lederen har etfokus på hva sikkerhet erog hva slags betydning dethar for virksomheten, vil deansatte også ha et fokus påsikkerhet."11ser på praksisen. Det å beskytte informasjonog systemer er heller ikke bestandigselvsagt.- Folk skjønner lettere hvorfor manskal gå med hjelm på en byggeplass, ellerhvorfor man ikke røyker på en borerigg iNordsjøen. Det kan være vanskeligere åfå en kontoransatt til å passe på informasjonenhun eller han jobber med, fordiman tror at det ikke går ut over seg selvhvis noe skulle skje. Allikevel kan konsekvensenevære ganske drastiske. I sin ytterstekonsekvens kan det føre til en farefor rikets sikkerhet eller selvstendighet,det kan være tap av menneskeliv, eller tapav store materielle verdier. En konkurranseutsattbedrift kan miste fortrinnetog gå konkurs fordi viktig informasjonblir stjålet.Må trene ryggmargsrefleksen- Hva er det viktigste å huske på når detgjelder sikkerhetskultur?- Det første er å innse at alle har ensikkerhetskultur, på godt eller vondt.Sikkerhetskultur er ikke noe man implementerereller kjøper av konsulenter. Detneste er å gi de ansatte kunnskap om ogforståelse og motivasjon for hvorfor tingskal gjøres på bestemte måter. Samtidiger det viktig å huske på at vi snakkerom menneskelig atferd. Av og til gjørvi dumme ting fordi vi er mennesker pågodt og vondt.- Har virksomhetene en god sikkerhetskultur?- I varierende grad. Man finner veldigfort svaret på det om man spør omlederne er interessert i sikkerhet. Derhvor lederen har et fokus på hva sikkerheter og hva slags betydning det har forvirksomheten, vil de ansatte også ha etfokus på sikkerhet. Sikkerhet er noe sombør sitte i ryggraden. Det skal være noeman gjør uten å tenke seg om. De flestelåser døra når de drar fra huset sitt ommorgenen. Det er sikkerhet. Man måaltså trene opp ryggmargsrefleksen, sierRoar Thon.Foredrag: Hvorfor folk gjør dummeting – og hvordan forbedre sikkerhetskulturen.Onsdag kl. 12.50.Konferanseavis for NSMs sikkerhetskonferanse 2009

Identitetstjuveri:ID-tjuvane herjerRåd mot ID-tyveriHvordan sikrer jeg meg mot identitetstyveri?ÎÎIkke oppgi personlig informasjontil ukjente på telefon, gjennome-post, eller over internettmed mindre det er du selv somhar initiert tjenesten.ÎÎLegg aldri igjen personinformasjonhos selskaper du ikkevet nok om.Konferanseavis for NSMs sikkerhetskonferanse 2009ÎÎHusk at passord og PIN-koderer personlige, og ikke skal gistil andre.ÎÎDersom postkassen din ikke erlåsbar, bør du vurdere å settelås på. Den er ofte førstevalgfor kriminelle som ønskerinformasjon om deg.ÎÎRiv i stykker dokumenter sominneholder personopplysningerfør disse kastes i avfallsdunken.Dokumenter som harspesiell beskyttelsesverdi, sliksom PIN-koder og lignende,bør brennes eller destrueres.ÎÎUnngå å ha passord, PIN-kodereller andre ”nøkler” til verdier ilommebok eller vesker.ÎÎKlikk aldri på lenker i e-post fravirksomheter du kjenner for ålegge inn personinformasjonpå en internettside. Skriv hellerinn web-adressen du kjennerfra før.ÎÎBruk brannmur, antivirus- ogantispionprogram til å beskyttedin PC.ÎÎHold alle programmer på PCenoppdatert.(Illustrasjonsfoto: Colourbox.no)ID-tjuveri kan føre til bedriftsinformasjon på ville vegar, seierChristian Meyer i NorSIS.Meyer er førebels einaste tilsette somjobbar med ID-tjuveri på fulltid i NorskSenter for Informasjonssikring, ellerNorSIS, på Gjøvik. Så langt i år visertala fleire hundre tilfelle av ID-tjuveri itilknyting til norske banker, og over 1300tilfelle av mobilabonnement med falsk IDhos Telenor. 200.000 til 300.000 norskekredittkortfiler er på avveg. I USA blei detrapportert om 10 millionar ofre i 2008.Identitetstjuveri er det sterkast veksandekriminalitetsområdet i verda.ID-tjuveria rammar ikkje berre enkeltpersonar,men også bedriftene, seierChristian Meyer.- Einkvar bedrift består av menneske.I dag flyt informasjon fritt mellom denprivate og offentlege sfæren gjennommobiltelefonar og e-post. Blir ein personramma av ID-tjuveri, kan informasjonenpersonen har tilgang til fort kome på avveg,seier han.og andre identitetsdokument, ta opp millionlånog leve i identiteten til offeret."Blir ein person rammaav ID-tjuveri, kaninformasjonen personenhar tilgang til fort kome påavveg, seier han."- Vi treng eit nasjonalt kompetansesentersom er tilgjengeleg for spørsmålrundt ID-tjuveri, og vi treng også ei hjelpelinjeder ofre kan ringje for å få hjelp,seier Christian Meyer i NorSIS.Foredrag: ID-tjuveri: Korleis jobbarID-tjuven og kva må Noreg gjere for åsikre seg mot denne nye kriminaliteten?Onsdag kl. 11.30.ÎÎSjekk om forbindelsen erkryptert (https://) ved bruk avpersondata.For mer informasjon og flere råd,se www.idtyveri.info.Slik jobbar ID-tjuvenID-tjuven jobbar på mange forskjelligemåtar. Den vanlegaste er å bruke eitkredittkort i ein annen person sitt namn tilå kjøpe for eksempel mobiltelefonar. Einannan måte er å byggje opp ein heil profilmed fødselsnummer, kredittkort, bank ogpostadresse. Dermed kan du bestille pass12

Avlytting:Mobilen den største trusselenRåd om mobiltelefonÎÎTenk over hva du bruker mobiltelefonentil, og hvor du brukerden.ÎÎIkke bruk mobiltelefonentil å utveksle sikkerhetsgradertinformasjon eller anneninformasjon andre ikke skal hatilgang til.Tenk over kva du seier kvar, og ikkje bruk mobilen til å snakke om sensitiv informasjon, er eitt av rådenefrå NSM. (Foto: Håvar Haug)Stor tilgjengelegheit og lave prisar på avlyttingsutstyr har aukatrusselen for å bli avlytta. Det seier seksjonssjef Vidar Kristianseni Nasjonalt tryggingsorgan (NSM).Han leier ein seksjon med spesialistar påsikring av konferanserom og avsløring avillegal avlytting i verksemder underlagttryggingslova.Avlyttingsutstyr er gått frå å vereutstyr for spesialistar til å bli heilt vanleg,seier Kristiansen.- Vi veit at det blir selt mykje utstyr,både på nett og i butikkar i Noreg. Spionutstyreter blitt tilgjengeleg for "mannen igata" for ein rimeleg penge.Mobiltelefonen er kanskje likevel denstørste trusselen, meiner Kristiansen."Alle" nordmenn har mobiltelefoni dag. Vi klarer oss ikkje utan. Den er nærmastblitt ein del av deg og mange berden med seg overalt. Det blir forventaat ein er tilgjengeleg 24 timar i døgnet.Svært mange er derfor lite kritiske til kvadei seier kvar.Virus på mobil, som gjer at den kanavlyttast kvar enn i verda du måtte opphaldedeg, er blitt ein stadig større trussel.Dersom mobilen din fyrst blir infisert,kan den som planta viruset overvakeromma mobilen er i, og alle samtaler ogmeldingar til og frå mobilen, utan at folkflest vil merke det . Ein annan trussel erfalske basestasjonar, som kan gjere detsame i stor skala.To viktige råd er derfor:1. Tenk over kva du seier kvar. Ikkjenytta mobilen til formidling av sensitivinformasjon!2. Ikkje ta med mobilen i konfidensiellemøter.Når det gjeld møterom er det avgjerandeå ha gode fysiske barrierar, godelåserutinar, autorisasjonsavgrensingarog kontroll med lokala rundt. I botn mådet liggje ein god tryggleikskultur, og eingjennomsyrt tryggleikstenkning i heileorganisasjonen. Ein blir ikkje sterkare enndet svakaste leddet!- Tryggleik er ikkje noko du kan tenkjepå til slutt, du må ta det med deg frå starten,seier Vidar Kristiansen.Foredrag: Avlyttingstrusselen. Tysdagkl. 14.35.Mobiler ein tryggleiksrisikoNæringslivets sikkerhetsråd åtvarar motat mobiltelefonar på avveg kan vereein stor tryggleiksrisiko for bedrifter. -Mange bruker mobiltelefonen i dag somein liten laptop. Det vil seie at (...) denetter kvart vil innehalde ganske mykjesensitiv informasjon, seier Arne RøedSimonsen i Næringslivets sikkerhetsråd.(TV2-nyhenda 3. mai 2009)13ÎÎIkke ta mobiltelefonen medinn i rom der det diskuteressikkerhetsgradert informasjoneller informasjon andre ikkeskal ha tilgang til. Be andremøtedeltakere om å legge fraseg mobiltelefonen før møtetstarter.ÎÎPass godt på mobiltelefonen!Ikke la uvedkommende fåtilgang til den.ÎÎSlå av blåtannfunksjonen imobiltelefonen når dennefunksjonen ikke er i bruk.ÎÎInstaller antivirusprogram somoppdager spionprogramvareog virus. Ta kontakt med dinlokale sikkerhetsleder for å fåråd samt veiledning i mobiltelefonoppsett.ÎÎSørg for at virksomheten harregler for sikker mobilbruk ogbidra til at disse følges.ÎÎVær spesielt varsom på reise iutlandet.Se brosjyren "Sikrere bruk av mobiltelefon"på www.nsm.stat.no.Høy etterretningsaktivitetAktiviteten til dei utanlandske statanesine etterretningstenester er i følgjePolitiets tryggingsteneste høy. Etterretningsverksemdaer i hovudsak retta motpolitiske avgjerdstakarar, embetsverk,sentraladministrasjon og ulike privateaktørar, heiter det i PST si opne trusselvurderingfor 2009.Konferanseavis for NSMs sikkerhetskonferanse 2009

Kontrollen med EOS-tjenestene:Stadig mer utfordrendeSikkerhet og rettssikkerhet:Globalisering en utfordringDe stjeler informasjonen din:Aktuelle og nye trojanere- De teknologiske utfordringene medå kontrollere EOS-tjenestene øker forhvert år, sier Helga Hernes, som erleder for EOS-utvalget.Globaliseringen er en utfordring forrettssikkerheten, sier Katja FrankoAas. Tirsdag holder hun foredrag omhvor grensen går i grenselandet mellomsikkerhet og rettssikkerhet.Konferanseavis for NSMs sikkerhetskonferanse 2009EOS-utvalget erStortingets kontrollutvalgforetterretnings-,overvåkings- og sikkerhetstjenestene.Utvalget, som bestårav sju medlemmer,utfører arbeidet uavhengig av Stortinget,men rapporterer hvert år gjennom enårsmelding. Tjenestene som blir kontrollerter Nasjonal sikkerhetsmyndighet,Politiets sikkerhetstjeneste, Etterretningstjenesten,og Forsvarets sikkerhetstjeneste.De teknologiske utfordringenemed å kontrollere blir stadig større, sierleder Helga Hernes.- Alle tjenestene benytter seg nå avavansert teknologi. Det gjør at vi harstyrket sekretariatet i forhold til teknologiskkompetanse. Dette skal vi fortsette ågjøre, sier hun.Krever mer kompetanseDe største utfordringene er å få innsikt ihvordan data samles inn, lagres og brukes.Utvalget mener det har utarbeidet etgodt samarbeid med de ulike tjenestenesom legger til rette for kontroll i samarbeidmed utvalget. Allikevel er det flereutfordringer. Kontrollene tar stadig mertid, og krever stadig mer kompetanse.- De tre tjenestene vi kontrollerer brukerforskjellig teknologi, det i seg selv eren stor utfordring. Vi bruker mye energipå kontrollene, det er arbeidskrevendeog utfordrende, men vi synes kontrollenevåre er forsvarlige når det gjelder kvaliteten,sier Hernes.Foredrag: EOS-utvalgets kontroll avsikkerhetstjenestene i datatidsalderen.Onsdag kl. 14.50.Aas er professor vedInstitutt for kriminologiog rettssosiologived Universiteteti Oslo. Hun harblant annet sett påhva slags utfordringerglobaliseringenhar for sikkerhetenog rettssikkerheten.- Grenser mistersin kraft til å beskytte, men representererogså mye av det problematiske nårdet dreier seg om rettssikkerhet. Rettssikkerhetsom begrep har sitt utgangspunkti nasjonalstaten, og begreper sompersonvern er basert på statsborgerskap.Hvordan kan vi ivareta rettsikkerhet ogrettferdighet uten nasjonalstaten, oghvordan kan vi tenke sikkerhet i et brederekonsept? spør hun.Sorte hull rundt rettssikkerheten- Mange sikkerhetsutfordringer nasjonalstaterstår overfor i dag er transnasjonale.Det har mange stater tatt inn over seg.Men rettssikkerheten er fremdeles baserti det nasjonale. Her kommer det noensorte hull som kan ha bekostninger forbåde visse grupper og praksiser, sier KatjaFranko Aas.Foredrag: Hvor går grensen? IKT igrenselandet mellom sikkerhets ogrettssikkerhet. Tirsdag kl. 15.15.Lag din egen trojaner: Bildet viser hvordan manenkelt kan bygge sin egen trojaner, og hvordanman kan tilpasse den ved å sette opp sin egenkonfigurasjonsfil med innstillinger for trojaneren.ZeusZeus (utt. "sus") er en informasjonsstjelendetrojaner som har kompromittertmer enn 1 million maskiner på verdensbasis.Trojaneren stjeler innloggingsdatasom passord og brukernavn, og ertypisk ute ute etter detaljert informasjoni nettbanken. Den kan spres via e-postmed beskjed til deg om å oppdatereinformasjon som brukernavn og passord,eller sier for eksempel at du må laste nedprogramvare for å komme inn på en side.ClampiClampi er navnet på en annen informasjonsstjelendetrojaner. Den er megetavansert, og har skapt betydelige problemer.Den ble først oppdaget i 2007, ogstjeler også innloggings- og bankinformasjon.Clampi sprer seg i små bolker forå unngå mye oppmerksomhet. Koden blirogså med jevne mellomrom forandretslik at antivirus ikke klarer å oppdage den.Den kan komme inn i maskiner via såkaltedrive-by-infeksjoner, ved at du foreksempel surfer innom legitime nettsidersom er blitt kompromittert.De viktigste tiltakene mot beggetrojanerne er å oppdatere sikkerhetsproduktersom antivirus, være varsom, ogikke minst å installere sikkerhetsoppdateringertil alle programmene på PC-en.Demoer av en banktrojaner blir kjørti pausene på sikkerhetskonferansenved NorCERTs stand.14

Infiserer millioner av maskiner:Fortsatt stor spredning avConfickerConficker-ormen er ikke død selv ommedia har sluttet å snakke om den.dermed spre seg også på datasystemersom ikke er koblet til internett. Derfor erdet også viktig å ha en god og innarbeidetsikkerhetspolicy for minnepinner ivirksomheter.av på systemene du har ansvar for. Detskal sies at Windows Vista og Windows7 ikke vil starte CD-er eller U3-minnepinnersom standard, men dialogen fraAutoPlay vil komme opp og kan utnyttesslik Conficker gjorde det.Du finner informasjon om hvordan duskrur av AutoRun-funksjonen på Windows´hjemmesider på lenken http://support.microsoft.com/kb/967715.Ett trykk er nok: Har du fått Conficker på en USBpinne,er et museklikk på feil ikon nok til at du blirinfisert.Confickerormen fikk stor medieoppmerksomhettidligere i år, etter å hainifisert både nettverkene i Helse Vestog politiet. Nå er oppmerksomhetenmindre, men ormen er fremdeles i fullaktivitet. Det er nesten like mye spredningav ormen nå som da den herjet somverst første halvår i 2009. Foreløpig gjørikke Conficker annet enn å spre seg, ogden er ufarlig per dags dato.I september rapporterte NorCERT om10.700 norske IP-adresser som kan identifiseredatasystemer infisert med Confickerormen.Conficker Working Group(CWG), en samarbeidsgruppe mellomindustrien og frivillige organisasjoner,ser fortsatt mellom 5.6 og 6.5 millionerunike IP-adresser fra 164 forskjelligeland som blir infisert hver dag.I Norge ser man fremdeles utbrudd avormen. NorCERT varslet allerede i oktoberi fjor om en viktig Microsoft oppdatering(CVE-2008-4250) som tetter etav sikkerhetshullene Conficker benytterseg av for å komme seg inn i systemer.Viktige tiltak er å patche datasystemeneog kjøre sikkerhetsoppdateringer.Conficker har vært en av de førsteormene som i stort omfang har benyttetseg av USB-medier som minnepinner forå spre seg og komme inn på virksomhetenesinterne datanettverk. Ormen kanSkru av Autorun!Det blir stadig viktigere å ha kontrollpå Autoplay-funksjonen i Windowsfor å hindre spredning av ondsinnetkode og skadevare.AutoRun er en funksjon i WindowsExplorer som ble introdusert i Windows95. AutoRun kunne brukes til å starte etprogram automatisk da en CD ble satt imaskinen. I Windows XP ble AutoPlayintrodusert. AutoPlay er dialogboksensom normalt kommer opp når man setterinn en minnepinne.AutoRun kan starte et program påflere måter:• Programmet kan starte automatisk.• Bruker velger å starte programmetvia dialogboksen AutoPlay.• Bruker velger å starte programmetvia et element i høyreklikk-menyen.• Bruker dobbeltklikker på stasjonen iExplorer.Conficker.B benyttet seg av minnepinnerfor å spre seg. Den kopierte seg tilminnepinner som ble satt inn i infisertesystemer og la inn en autorun.inf-. Når enbruker satt minnepinnen inn i en annenmaskin ville brukeren få opp en dialogboksfra AutoPlay som lurte brukeren tilå starte Conficker. Conficker ville ogsåstarte om brukeren dobbeltklikket påminnepinnen i Explorer.Det finnes også en spesiell type minnepinnersom benytter en teknologi somheter U3. U3-minnepinner gir seg ut forå være både en CDROM og en vanligminnepinne. Dermed kan CDROMdelen,på samme måte som en normalCD, starte et program når den settes inn imaskinen.Hvis man ikke allerede har gjort det såbør denne artikkelen få deg til å dobbeltsjekkeat sikkerhetsoppdateringen erinstallert og AutoRun er fullstendig slåttSikrere bruk avminnepinnerÎÎVær bevisst hvordan du brukerminnepinner.ÎÎSlett informasjon du ikketrenger, men vær bevisst på atinformasjonen kangjenskapes.ÎÎIkke bruk samme minnepinneprivat og på jobb.ÎÎIkke bruk minnepinner du fåri gave på virksomhetens datanettverk.ÎÎKrypter informasjon som trengerbeskyttelse.ÎÎIkke undersøk innholdet påminnepinner du finner. Gi demtil virksomhetens sikkerhetsansvarlige.ÎÎSkru av autoplay- og autorunfunksjonenei Windows for åunngå at programvare startesautomatisk når en minnepinnesettes inn. Be om hjelp fra driftspersonell.ÎÎHvis du mister en minnepinne:Meld fra til virksomhetenssikkerhets-ansvarlige.ÎÎFor sikker destruksjon: Leverminnepinnen til virksomhetenssikkerhetsansvarlige.Last ned brosjyren "Sikrere bruk avminnepinner" fra www.nsm.stat.no.Konferanseavis for NSMs sikkerhetskonferanse 200915

Nasjonal sikkerhetsmyndighetPostboks 14NO-1306 Bærum PostterminalBesøksadresse: Rødskiferveien 20, KolsåsTelefon: 67 86 40 00Telefaks: 67 86 40 09www.nsm.stat.no