Informationssäkerhetsöversikt 1/2013 Inledning CERT-FI behandlade 1 169 informationssäkerhetsfall och 34 väsentliga störningar i telenäten under första kvartalet. De registrerade informationssäkerhetsfallen fördelades enligt följande: Bild 1. Fall som CERT-FI behandlade i januari–mars 2013. Ordförråd: Haastattelu = intervju; Neuvonta = rådgivning; Palvelunestohyökkäys = överbelastningsattack, DoS; Haavoittuvuus tai uhka = sårbarhet eller hot; Hyökkäyksen valmistelu = förberedning av en attack; Muu tietoturvaongelma = andra säkerhetsproblem; Haittaohjelma = skadligt program; Tietomurto = dataintrång; Tietojenkalastelu = nätfiske I denna översikt behandlas bl.a. säkerhetshål i automationssystem och attacker mot statsförvaltningen genom spionprogrammet Red October, vars globala rörelser Kaspersky Lab rapporterade om i januari. Betydande nätattacker utomlands lyfts också fram i översikten. Bland återkommande företeelser finns Zeus och Conficker som var de vanligaste sabotageprogrammen i Finland år 2012 och i januari–mars 2013. Utpressningsprogram som sprids i polisens namn visar inte heller tecken på att minska. Andra återkommande företeelser är sårbarheter i vanliga program såsom Java, Adobe Flash Player och webbläsare. Finländarnas kommunikationsnät fungerade väl i januari–mars. Under det första kvartalet rapporterade teleföretagen om sammanlagt tre mycket omfattande störningar mot konsumentkunder. Störningarna gällde främst tjänster i mobilnätet. Däremot förekom inga väsentliga störningar som påverkade flera teleföretag långvarigt eller berodde på naturfenomen. Ingen av de sju händelser som anmäldes till CERT-FI under början av året gav upphov till nya allvarliga hot mot Informationssäkerhetsöversikt 1/2013 2 informationssäkerheten. Anmälningarna gällde främst dataintrång med små negativa konsekvenser därför att fallen upptäcktes och hanterades i tid. Sammanfattning av årsrapporten 2012 De vanligaste hoten mot informationssäkerheten under år 2012 var blockeringsattacker och infektioner från skadliga program. CERT-FI sysselsattes framför allt av blockeringsattacker mot medierna, sårbarheter i program, dataintrång och utpressningsprogram. Den största enskilda störningen i kommunikationsnäten gällde problem i mobilnäten hos flera teleföretag till följd av att snöbildning orsakade störningar i elnätet. Automationssystemens informationssäkerhet I det TEKES-finansierade DiSCI-projektet använder forskare vid Aalto-universitetet sökmotorn Shodan för att genomsöka nätanslutna automationssystem. Shodan söker efter öppna internetansluten hårdvaror, skickar förfrågningar till de vanligaste portarna och lagrar svaren i en databas. Man kan söka uppgifter om automationssystemen i Shodan-databasen med hjälp av nyckelord, t.ex. vissa TCPeller UDP-portar eller systemidentiteter såsom bl.a. tillverkarens namn. I undersökningen hittades något under 2 000 finska automationssystem. Bland ansluten hårdvara finns system för industriautomation, system för fastighetsförvaltning och webbkameror. IP-adresserna har lämnats till CERT-FI, som vidarebefordrat uppgifterna till hårdvaruadministratörerna. De kan koppla bort oskyddade system från nätet eller förbättra skyddsnivån så att allmän åtkomst omöjliggörs. En stor del av automationshårdvaran har anslutits medvetet till Internet. Det lönar sig dock att komma ihåg att svaga lösenord och sårbarheter möjliggör intrång. Med Shodan-tjänsten kan man hitta sårbara program genom att jämföra dem med t.ex. amerikanska ICS-CERTs sårbarhetsmeddelanden. Vissa sårbarhetsanalytiker och hårdvarutestare tillämpar inte den s.k. ”responsible disclosure”-principen, och då nätpubliceras uppgifter om sårbara automationsprogram och hårdvara utan att programtillverkaren får möjlighet eller tid att ge ut en avhjälpande uppdatering. Utöver programmens sårbarheter exponeras öppen nätansluten hårdvara för dataintrång. Vid sidan av ett traditionellt webbläsargränssnitt kan hårdvaran t.ex. ha ett telnet-gränssnitt där åtkomsträttigheterna administreras genom identiteter och lösenord. Som en del av programmen kan användas bibliotek där sårbarheter ibland hittas. Sårbarheter i serverprogram kan utnyttjas till en blockeringsattack och i värsta fall kräva att strömmen till utrustningen bryts i samband med omstart. UPnP-sårbarheter i hemmets underhållningsapparater Ouppdaterade underhållningsapparater i hemmet kan vara sårbara och i värsta fall kan de utnyttjas i kriminell verksamhet. CERT-FI har publicerat ett meddelande om en UPnP-sårbarhet som berör miljoner router i hemnät ("UPnP-haavoittuvuus miljoonissa Informationssäkerhetsöversikt 1/2013 3 kotiverkkojen reitittimissä" 30.1.2013). Framför allt apparater för hemmabruk (smarta tv-apparater, mediespelare, digitalboxar, adsl- och usb-modem) använder ofta UPnP-protokollet (Universal Plug and Play). Med protokollet kan t.ex. en smart tvapparat ta emot Internetanrop från andra apparater, t.ex. mediespelare, via UDPporten 1900. Aktiverat UPnP-stöd är standardinställningen i Microsoft Windows, Mac OS X och många Linux-operativsystem. Om paket som modifierats på ett visst sätt sänds via porten kan en programkrasch orsakas eller skadlig kod köras i apparaten. På detta sätt kan angriparen kontrollera apparaten och ändra dess inställningar. Oskyddade underhållningsapparater i hemmet är sårbara och lika osäkra som en hemdator utan ett adekvat datasäkerhetsprogram. Därför är det bäst att man utgår från att apparaten är sårbar och handlar därefter. Vanliga användare kan tycka att det är krångligt att skydda apparaten mot sårbarheten och det krävs att man sätter sig in i hur apparaten fungerar. I första hand finns skäl att blockera Internetåtkomst till UPnP-tjänsten. Denna inställning finns i administrativa användargränssnitt hos de flesta apparaterna. CERT-FI har fått information om att UPnP-tjänsten fortfarande kan vara aktiverad i vissa apparater trots att inställningarna har ändrats. Vi rekommenderar inaktivering av UPnP, om det inte finns särskilt behov av tjänsten. Om en brandvägg finns mellan UPnP-apparaten och internet lönar det sig att använda den för att blockera alla förbindelser till UDP-porten 1900. Sårbarhetsproblemet kan bara avhjälpas genom att uppdatera apparatens programvara med en korrigerad version. Detta sker oftast via den administrativa webbplatsen. För äldre apparater finns det inte alltid en sådan korrigeringsuppdatering. Information om programuppdateringar och hur sårbarhetsproblemet avhjälps kan sökas på tillverkarens supportsidor. Attacker med skadliga program Attacker med skadliga program mot statliga organisationer Observationerna om riktade attacker med skadliga program har ökat under de senaste åren. I början av året publicerade det ryska datasäkerhetsföretaget Kaspersky Lab två rapporter om skadliga program med information om kampanjer mot statliga organisationer och forskningsinstitut. I januarirapporterades om spionprogrammet Red October (Rocra) och i februaridet skadliga programmet Miniduke. Spridningssätt De skadliga programmens huvudsyfte var att stjäla filer från den attackerade organisationens datorer och datoranslutna smarttelefoner. Bådade skadliga programmen har spridits via filbilagor i e-post. Red October smittade via Word- och Excel-filer och Miniduke via pdf-filer. Filerna innehöll skadlig kod som utnyttjade kända sårbarheter i programmen. Informationssäkerhetsöversikt 1/2013 4 Identifiering av smittofall CERT-FI har publicerat Tietoturva nyt!-artiklar om utnyttjade sårbarheter vid attackerna med de två skadliga programmen. Uppgifter om de servrar som utnyttjats för Red October- och Miniduke-kommandon har publicerats. Dessutom innehåller rapporterna från Kaspersky Lab exempel på e-post och filbilagor som använts för spridning av de skadliga programmen, vilket underlättar identifiering av smittförsök. Med hjälp av dessa uppgifter kan organisationer som misstänker att deras datasystem utsatts för smitta identifiera smittofall. Spridning Enligt rapporterna från Kaspersky har totalt över 300 smittofall konstaterats i flera tiotals stater, även i Finland. Totalt har nästan 60 fall av Minduke-smittor upptäckts i 23 stater, dock inget i Finland. Miniduke-observationer har gjorts främst i östeuropeiska länder medan Red October-smittofall observerats över hela världen. Observationer i Finland I januari kontaktades Kaspersky av CERT-FI, som begärde uppgifter om ett angivet finskt smittofall i Red October-rapporten. Företaget lämnade uppgifter som pekade på att en dator i ett finskt abonnentabonnemang hade smittats av det skadliga programmet. Det visade sig att fallet inte berörde den offentliga förvaltningen i Finland. Attacker med skadliga program i Sydkorea I början av mars blev Sydkorea utsatt för attacker med skadliga program. Flera banker och radiostationer var attackmål. Attackerna berörde inte Finland. Blockeringsattacker Blockeringsattacker i Tjeckien I början av mars blev viktiga webbnyhetstjänster i Tjeckien utsatta för blockeringsattacker. I december 2012 blev även finländska mediehus utsatta för sådana attacker. Blockeringsattacker mot Spamhaus Oskyddade finländska namnservrar utnyttjades i slutet av mars vid en stor blockeringsattack mot en amerikansk tjänsteleverantör. Då missbrukades öppna resolvernamnservrar. Med hjälp av dem kunde angriparen mångdubbla trafikvolymen i attacken . Över hundra finländska IP-adresser identifierades i attacktrafiken. CERT-FI kontaktade finländska teleföretag för att stoppa utnyttjandet av dem vid blockeringsattacken. Attacken mot Spamhaus upphörde den 27 mars. Användning av falska adresser kan förebyggas om alla Internetoperatörer implementerar s.k. BCP38-filtrering (Best Current Practices-dokument 38 och den ersättande versionen 84, RFC 2827 och 3704). Då kan utgående trafik i operatörens Informationssäkerhetsöversikt 1/2013 5 nät endast komma från IP-källadresser som hör till nätet eller dess kundnät. Tyvärr använder långtifrån alla utländska operatörer sådan filtrering. Det är svårt att använda finländska nät för blockeringsattacker med falska källadresser eftersom operatörerna blockerar trafik via förfalskade avsändaradresser i kundabonnemang i enlighet med Kommunikationsverkets föreskrifter 13 och 28. Problem med certifikatsystem Certifikatsystemens tillförlitlighet bygger på tekniska lösningar och till stor del på att utfärdarens verksamhet är tillförlitlig. Fallet TURKTRUST Webbläsaren Google Chrome har en inbyggd mekanism som övervakar Googles certifikat. Ett felaktigt certifikat upptäcktes på julafton den 24 december 2012. Certifikatet hade skapats för adressen *.google.com, dvs. alla adresser som slutar med google.com. Certifikatet hade utfärdats av turkiska TURKTRUST. Senare meddelade TURKTRUST att företaget av misstag utfärdat två mellanliggande certifikat, ett för *.EGO.VOG.TR-adresser och ett för e-islem.kktcmerkezbankasi.orgadresser. Det förstnämnda användes vid utfärdandet av certifikat för *.google.comadresser. För tillfället är det okänt i vilka typer av attacker certifikatet använts. Obehörigt skapade certifikat kan bl.a. utnyttjas vid nätfiske eftersom andra webbläsare inte identifierar sidan som falsk. Med falska webbplatser kan man t.ex. lura till sig användarnamn och lösenord till Googles tjänster eller utföra en SSL-MitMattack där datatrafik dekrypteras utan att användaren märker något. Google och Mozilla har meddelat att certifikaten tagits bort från deras webbläsare Chrome och Firefox. Microsoft har tagit bort certifikaten från listan över betrodda certifikat (CTL). Uppdateringen installeras automatiskt i alla Windows-versioner som stöds. Fallet Diginotar I slutet av augusti 2011 avslöjades ett dataintrång i det nederländska certifiktaföretaget Diginotars system. Inkräktarenlyckades skapa flera certifikat för olika domännamn och webbadresser. Inkräktaren har förmodligen haft åtkomst till systemet i flera månader innan dataintrånget upptäcktes. När dataintrånget avslöjades övertog nederländska myndigheter kontrollen över företagets verksamhet eftersom Diginotar förlorat sin trovärdighet som utfärdare av certifikat. Det framgick att företaget hade försummat datasäkerheten och inte anmält händelsen till myndigheterna. Företaget har sedermera försatts i konkurs och verksamheten har lagts ned. Fallet Comodo Obehöriga certifikat utfärdades i april 2011 efter ett dataintrång i datasäkerhetsföretaget Comodos dotterbolag. Genom ett stulet lösenord lyckades förövaren utfärda nio felaktiga SSL-certifikat åt sig själv. SSL-certifikaten utfärdades för sju nättjänster: mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com och "global trustee". Enligt vad Informationssäkerhetsöversikt 1/2013 6 Comodo meddelat har bevisligen endast login.yahoo.com-certifikatet utnyttjats. När attacken avslöjades annullerade Comodo alla felaktiga certifikat genom spärrlistan. Förtroende är grunden för hela certifikatsystemet, så det är viktigt att utfärdarna agerar ansvarsfullt vid misstankar om dataintrång och aktivt informerar om attacker och deras konsekvenser. I Finland bygger tillförlitligheten hos leverantörer av kvalificerade certifikat och tjänster för stark autentisering delvis på myndighetstillsyn. Enligt Kommunikationsverkets föreskrift 7 ska leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller kvalificerade certifikat utan onödigt dröjsmål underrätta Kommunikationsverket om betydande hot eller störningar som riktas mot tjänsternas informationssäkerhet samt om de åtgärder som vidtagits för att avhjälpa dem. Finska IP-adresser smittade av skadliga program CERT-FI Autoreporter är en tjänst som CERT-FI producerat sedan 2006. Tjänsten samlar in automatiskt observationer om skadliga program och kränkningar av informationssäkerheten i finländska nätverk och rapporterar dessa till nätadministratörerna. I januari–mars behandlade systemet cirka 61 500 rapporter med totalt 27 400 olika IP-adresser. Statistiken nedan visar antalet dagliga smittofall som CERT-FI Autoreporter behandlade. Statistiken beaktar inte huruvida samma smittade dator finns med i rapporten flera dagar i följd eller om det gäller flera enskilda fall. Antalet IP-adresser i rapporterna utvisar inte direkt antalet enskilda datorer som smittats av skadliga program. Detta beror på att bredbandsabonnemang oftast har växlande (dynamiska) IP-adresser. Dessutom är det vanligt i företagsnät att flera datorer kan finnas bakom en offentlig IP-adress. Bild 2. Autoreporter-statistik 1Q/2013. Datumformatet i statistiken är åååå-mm-dd. Toppen i slutet av mars berodde på ett stort antal fall hos kunder i ett teleföretag där skräppost spreds av ett skadligt program. Tack vare att företaget reagerade snabbt sjönk antalet observationer snart tillbaka till genomsnittet, cirka 600 smittofall. De vanligaste skadliga programmen i januari–mars var ZeuS (42 %) och Conficker (16 %). Dessa var även de vanligaste under 2012 med 35 % för ZeuS och 18 % för Informationssäkerhetsöversikt 1/2013 7 Conficker. Syftet med Zeus är att lura till sig nätbankskoder vid användning av banktjänster. Under 2012 sändes drygt 184 000 rapporter via Autoreporter. Utifrån antalet rapporter i början av året bedöms det totala antalet rapporter öka under 2013. Utpressningsprogrammet Reveton Om datorn inte startar normalt och ett meddelande som kräver betalning för att låsa upp datorn visas på skärmen, är det sannolikt fråga om ett utpressningsprogram (ransomware). För att öka trovärdigheten är meddelandet ofta skrivet i polisens namn. Som orsak till låsningen anges t.ex. användarens påstådda besök på olagliga webbplatser. Datorn kan smittas av utpressningsprogram t.ex. vid besök på webbplatser för vuxenunderhållning. Bild 3. Skärmbild av ett låsningsmeddelande (källa: F-Secures blogg) Polisen handlar inte på detta sätt i verkligheten, så betala inte. Det finns flera versioner av det skadliga programmet och därför är det nästan omöjligt att ge rensningsanvisningar som är uppdaterade och fungerar för alla versioner. Om ditt datakunnande inte räcker är det bäst att låta en adb-servicefirma rensa datorn. Det är fråga om ett 2000-talsfenomen som under flera år orsakat problem för användare i bl.a. Finland, Ryssland och Nord- och Sydamerika. Det skadliga programmet är även känt som Reveton. Det finns olika versioner av utpressningsprogrammet för olika länder och språkområden. Innehållet i meddelandet varierar beroende på landet där programmet sprids. I USA påstås FBI ha låst datorn, i Argentina PFA (Police Federal Argentine). Reveton och andra utpressningsprogram utvecklas hela tiden för att utvecklarnas kriminella men lukrativa verksamhet ska kunna fortgå så länge som möjligt. I februari 2013 grep spansk polis en kriminell grupp som spridit ett utpressningsprogram, som även drabbat finska datorer. Gripandet torde få ganska liten betydelse globalt eftersom det finns andra grupper med liknande verksamhet. Trots att detta är ett välkänt fenomen får CERT-FI:s kundservice fortfarande förfrågningar om upplåsning av Reveton varje vecka. Flera Tietoturva nyt!-nyheter Informationssäkerhetsöversikt 1/2013 8 har publicerats om saken och den har även behandlats i CERT-FI:s årsrapport 2012. Nätfiske av användaruppgifter CERT-FI informeras regelbundet om försök att lura till sig användaruppgifter för t.ex. inloggning till Twitter eller Facebook. I mikrobloggtjänsten Twitter har det cirkulerat meddelanden med frågan "Did you see this pic of you?". När användaren klickar på en kort adress i meddelandet öppnas en webbplats som är missvisande lik Twitter. Stulna inloggningsuppgifter kan användas för att sända motsvarande meddelanden till andra Twitteranvändare. Om användaren klickar på adressen är det möjligt att man senare försöker smitta användarens dator genom ett skadligt program. Motsvarande bedrägerier är ganska vanliga i sociala medier. Då försöker man ofta få användaren att klicka på installation av en Facebookapplikation eller ge den bedrägliga webbplatsen rätt att använda kontaktuppgifter som lagrats i tjänsten. Sårbarheter i vanliga program Nya sårbarheter upptäcks hela tiden i vanliga program. Dessa kan utnyttjas av skadliga program för att smitta datorn. Om programmen på datorn uppdateras med de senaste versionerna kan utnyttjandet av kända sårbarheter stoppas. Java Sårbarheter i Java-program är återkommande nyheter. Vi har inte sluppit nya fall under början av 2013. Under 2012 publicerade CERT-FI totalt sju sårbarhetsmeddelanden om Java. Under innevarande år har redan fyra meddelanden publicerats. Java-sårbarheter utnyttjas t.ex. vid spridning av spionprogram. Java är ett hårdvaruoberoende programmeringsspråk och en mjukvaruplattform som utgavs 1995. Enligt Oracle används Java-plattformen i cirka fyra miljarder apparater, allt från hissar till datorer. På grund av Javas stora utbredning är den ett effektivt och enkelt mål för hackare som vill finna säkerhetshål och utnyttja dem. CERT-FI har uppmanat till inaktivering av Java i datorns webbläsare, om användningen inte är nödvändig. Om t.ex. en nätbank inte kan användas utan Java rekommenderar CERT-FI att man använder två olika webbläsare, varav endast den ena har ett Java-tillägg. Adobe Flash Player, Reader och Acrobat Programmet Adobe Flash Player används bl.a. för att spela upp Youtube-videor och visa reklamer på webbplatser. Enligt Adobe har Flash Player installerats i över 500 miljoner apparater. Dessa program bör vara uppdaterade med den senaste versionen eftersom sårbarheter utnyttjas aktivt. I början av 2013 har CERT-FI publicerat fyra meddelanden om sårbarheter i Flash Player samt två om sårbarheter i Reader och Acrobat. Antalen är anmärkningsvärda med tanke på att nio Flash Player- och tre Reader/Acrobat-meddelanden publicerades under hela 2012. Informationssäkerhetsöversikt 1/2013 9 Webbläsare Det räcker att besöka en smittad webbsida för att ett skadligt program som utnyttjar webbläsarens sårbarheter kan smitta användarens terminal. Risken för smitta minskar avsevärt om en uppdaterad version av webbläsaren används. CERT-FI har publicerat 12 sårbarhetsmeddelanden om webbläsare i januari–mars. Dessa gällde webbläsarna Google Chrome, Internet Explorer, Mozilla Firefox, Safari och Opera. Under 2012 publicerades totalt 45 sårbarhetsmeddelanden om webbläsare. Anmälningar om fel och störningar i kommunikationsnäten Under början av våren har Kommunikationsverket erhållit tre teleföretagsrapporter om mycket omfattande störningar (klass A) hos konsumentkunder. Dessa var • 9.1 Störning i Elisas mobilnät • 5.2 Störning i DNA:s fasta internetförbindelser • 28.3 Störning i dataförbindelser i Elisas mobilnät. Störningarna upptäcktes snabbt av teleföretagen och vid alla tillfällen eliminerades väsentliga kundkonsekvenser inom cirka en timme efter störningens början. Teleföretagen har publicerat kundmeddelanden om störningarna på sina webbplatser och lämnat tillhörande rapporter till Kommunikationsverket. Dessutom påverkades FST5-kanalens funktion i Lappland av en omfattande störning som lyckligtvis inträffade då inga program visades på kanalen. Sammanställning av fel och störningar i kommunikationsnäten år 2012 Våren 2013 samlade Kommunikationsverket för första gången in omfattande nätstörningsdata för år 2012 från teleföretagen. Enkäten gällde störningar med måttlig eller liten omfattning som typiskt påverkade under 1 000 kunder i mer än en halvtimme. Allvarligare störningar rapporteras fortlöpande till Kommunikationsverket. Den närmare analysen av resultaten fortsätter och kommer att behandlas i följande kvartalsöversikt. På basen av de kundanmälningar som hittills mottagits kan man konstatera att teleföretagen mest sysselsätts av störningar i mobilnät och fasta bredbandsförbindelser. Dessa är också de kundspecifika tjänster som används mest. Över en fjärdedel av de verifierade störningarna avhjälps inom sex timmar från störningens början. Dessutom avhjälps över hälften av störningarna inom två dagar från att den upptäckts. En stor del av de allvarligaste störningarna kan avhjälpas inom en vecka. Andelen störningar som pågick över en vecka ökade under fjolåret på grund av en kraftig storm på annandag jul 2011. Reparationsarbetena fortsatte flera veckor in på 2012 till följd av den stora omfattningen och det stora antalet abonnemang. En del av Informationssäkerhetsöversikt 1/2013 10 förbindelsefelen upptäcktes och avhjälptes först på försommaren när folk reste tillbaka till sina sommarbostäder. Vanligtvis beror en enskild störning på jordbyggnadsarbeten som leder till att såväl abonnentledningar som nätkablar går av. Även andra kabelskador orsakar ofta störningar i kundernas förbindelser. I fråga om nätutrustning kan bredbandsnätens koncentratorer (DSLAM, Digital Subscriber Line Access Multiplexer) bli funktionsodugliga till följd av naturfenomen eller fel på program eller utrustningar. Då bryts alla abonnentförbindelser som är beroende av apparaten. CERT-FI-händelseanmälningar I januari–mars 2013 tog CERT-FI emot totalt 8 anmälningar om kränkningar av informationssäkerhet mot teleföretag i enlighet med 21 § i lagen om dataskydd vid elektronisk kommunikation, dvs. grundade anmälningar. Händelserna som anmäldes till CERT-FI gällde till största delen dataintrång, även enstaka anmälningar om sårbarheter i program gjordes. Merparten av fallen upptäcktes i tid och då blev konsekvenserna av kränkningarna små. Förutom sårbara datasystem orsakades hotfulla situationer även av mänskliga fel som t.ex. felkopplingar i system. Sammanfattning av säkerhetsincidenter 2012 Under 2012 erhöll Kommunikationsverket totalt 40 teleföretagsrapporter om kränkningar eller kända hot mot informationssäkerheten som överskred anmälningströskeln. De väsentligaste kränkningarna gällde inbrott i teleoperatörens lokaler, dataintrång i teleoperatörens namnserver och smitta från ett skadligt program i operatörens administratörsnät. Väsentliga var också blockeringsattackerna mot flera medier och fall där attackens effekt förstärktes genom DNS-servrar. Dataintrången i VoIP-växlar fortsatte under året och orsakade ekonomisk skada för abonnentkunder och teleföretag. Kommunikationsverket publicerade två anvisningar om datasäker VoIP-användning. Blockeringsattacker med hacktivistmotiv, alltså uttryck av civil olydnad genom att störa datatrafik och datasystem, har blivit vanligare de senaste åren. Attackerna syntes i teleföretagens och framför allt i kundernas system. Informationssäkerhetsöversikt 1/2013 11