Informationssäkerhetsöversikt 1/2013
Inledning
CERT-FI behandlade 1 169 informationssäkerhetsfall och 34 väsentliga störningar i
telenäten under första kvartalet.
De registrerade informationssäkerhetsfallen fördelades enligt följande:
Bild 1. Fall som CERT-FI behandlade i januari–mars 2013.
Ordförråd: Haastattelu = intervju; Neuvonta = rådgivning; Palvelunestohyökkäys =
överbelastningsattack, DoS; Haavoittuvuus tai uhka = sårbarhet eller hot;
Hyökkäyksen valmistelu = förberedning av en attack; Muu tietoturvaongelma = andra
säkerhetsproblem; Haittaohjelma = skadligt program; Tietomurto = dataintrång;
Tietojenkalastelu = nätfiske
I denna översikt behandlas bl.a. säkerhetshål i automationssystem och attacker mot
statsförvaltningen genom spionprogrammet Red October, vars globala rörelser
Kaspersky Lab rapporterade om i januari.
Betydande nätattacker utomlands lyfts också fram i översikten.
Bland återkommande företeelser finns Zeus och Conficker som var de vanligaste
sabotageprogrammen i Finland år 2012 och i januari–mars 2013.
Utpressningsprogram som sprids i polisens namn visar inte heller tecken på att
minska. Andra återkommande företeelser är sårbarheter i vanliga program såsom
Java, Adobe Flash Player och webbläsare.
Finländarnas kommunikationsnät fungerade väl i januari–mars. Under det första
kvartalet rapporterade teleföretagen om sammanlagt tre mycket omfattande
störningar mot konsumentkunder. Störningarna gällde främst tjänster i mobilnätet.
Däremot förekom inga väsentliga störningar som påverkade flera teleföretag
långvarigt eller berodde på naturfenomen. Ingen av de sju händelser som anmäldes
till CERT-FI under början av året gav upphov till nya allvarliga hot mot
Informationssäkerhetsöversikt 1/2013
2
informationssäkerheten. Anmälningarna gällde främst dataintrång med små negativa
konsekvenser därför att fallen upptäcktes och hanterades i tid.
Sammanfattning av årsrapporten 2012
De vanligaste hoten mot informationssäkerheten under år 2012 var
blockeringsattacker och infektioner från skadliga program. CERT-FI sysselsattes
framför allt av blockeringsattacker mot medierna, sårbarheter i program, dataintrång
och utpressningsprogram. Den största enskilda störningen i kommunikationsnäten
gällde problem i mobilnäten hos flera teleföretag till följd av att snöbildning orsakade
störningar i elnätet.
Automationssystemens informationssäkerhet
I det TEKES-finansierade DiSCI-projektet använder forskare vid Aalto-universitetet
sökmotorn Shodan för att genomsöka nätanslutna automationssystem. Shodan söker
efter öppna internetansluten hårdvaror, skickar förfrågningar till de vanligaste
portarna och lagrar svaren i en databas. Man kan söka uppgifter om
automationssystemen i Shodan-databasen med hjälp av nyckelord, t.ex. vissa TCPeller UDP-portar eller systemidentiteter såsom bl.a. tillverkarens namn.
I undersökningen hittades något under 2 000 finska automationssystem. Bland
ansluten hårdvara finns system för industriautomation, system för
fastighetsförvaltning och webbkameror. IP-adresserna har lämnats till CERT-FI, som
vidarebefordrat uppgifterna till hårdvaruadministratörerna. De kan koppla bort
oskyddade system från nätet eller förbättra skyddsnivån så att allmän åtkomst
omöjliggörs. En stor del av automationshårdvaran har anslutits medvetet till Internet.
Det lönar sig dock att komma ihåg att svaga lösenord och sårbarheter möjliggör
intrång.
Med Shodan-tjänsten kan man hitta sårbara program genom att jämföra dem med
t.ex. amerikanska ICS-CERTs sårbarhetsmeddelanden. Vissa sårbarhetsanalytiker och
hårdvarutestare tillämpar inte den s.k. ”responsible disclosure”-principen, och då
nätpubliceras uppgifter om sårbara automationsprogram och hårdvara utan att
programtillverkaren får möjlighet eller tid att ge ut en avhjälpande uppdatering.
Utöver programmens sårbarheter exponeras öppen nätansluten hårdvara för
dataintrång. Vid sidan av ett traditionellt webbläsargränssnitt kan hårdvaran t.ex. ha
ett telnet-gränssnitt där åtkomsträttigheterna administreras genom identiteter och
lösenord. Som en del av programmen kan användas bibliotek där sårbarheter ibland
hittas. Sårbarheter i serverprogram kan utnyttjas till en blockeringsattack och i värsta
fall kräva att strömmen till utrustningen bryts i samband med omstart.
UPnP-sårbarheter i hemmets
underhållningsapparater
Ouppdaterade underhållningsapparater i hemmet kan vara sårbara och i värsta fall
kan de utnyttjas i kriminell verksamhet. CERT-FI har publicerat ett meddelande om en
UPnP-sårbarhet som berör miljoner router i hemnät ("UPnP-haavoittuvuus miljoonissa
Informationssäkerhetsöversikt 1/2013
3
kotiverkkojen reitittimissä" 30.1.2013). Framför allt apparater för hemmabruk
(smarta tv-apparater, mediespelare, digitalboxar, adsl- och usb-modem) använder
ofta UPnP-protokollet (Universal Plug and Play). Med protokollet kan t.ex. en smart tvapparat ta emot Internetanrop från andra apparater, t.ex. mediespelare, via UDPporten 1900. Aktiverat UPnP-stöd är standardinställningen i Microsoft Windows, Mac
OS X och många Linux-operativsystem.
Om paket som modifierats på ett visst sätt sänds via porten kan en programkrasch
orsakas eller skadlig kod köras i apparaten. På detta sätt kan angriparen kontrollera
apparaten och ändra dess inställningar.
Oskyddade underhållningsapparater i hemmet är sårbara och lika osäkra som en
hemdator utan ett adekvat datasäkerhetsprogram. Därför är det bäst att man utgår
från att apparaten är sårbar och handlar därefter. Vanliga användare kan tycka att det
är krångligt att skydda apparaten mot sårbarheten och det krävs att man sätter sig in
i hur apparaten fungerar. I första hand finns skäl att blockera Internetåtkomst till
UPnP-tjänsten. Denna inställning finns i administrativa användargränssnitt hos de
flesta apparaterna. CERT-FI har fått information om att UPnP-tjänsten fortfarande kan
vara aktiverad i vissa apparater trots att inställningarna har ändrats.
Vi rekommenderar inaktivering av UPnP, om det inte finns särskilt behov av tjänsten.
Om en brandvägg finns mellan UPnP-apparaten och internet lönar det sig att använda
den för att blockera alla förbindelser till UDP-porten 1900. Sårbarhetsproblemet kan
bara avhjälpas genom att uppdatera apparatens programvara med en korrigerad
version. Detta sker oftast via den administrativa webbplatsen. För äldre apparater
finns det inte alltid en sådan korrigeringsuppdatering. Information om
programuppdateringar och hur sårbarhetsproblemet avhjälps kan sökas på
tillverkarens supportsidor.
Attacker med skadliga program
Attacker med skadliga program mot statliga organisationer
Observationerna om riktade attacker med skadliga program har ökat under de senaste
åren. I början av året publicerade det ryska datasäkerhetsföretaget Kaspersky Lab två
rapporter om skadliga program med information om kampanjer mot statliga
organisationer och forskningsinstitut. I januarirapporterades om spionprogrammet
Red October (Rocra) och i februaridet skadliga programmet Miniduke.
Spridningssätt
De skadliga programmens huvudsyfte var att stjäla filer från den attackerade
organisationens datorer och datoranslutna smarttelefoner. Bådade skadliga
programmen har spridits via filbilagor i e-post. Red October smittade via Word- och
Excel-filer och Miniduke via pdf-filer. Filerna innehöll skadlig kod som utnyttjade
kända sårbarheter i programmen.
Informationssäkerhetsöversikt 1/2013
4
Identifiering av smittofall
CERT-FI har publicerat Tietoturva nyt!-artiklar om utnyttjade sårbarheter vid
attackerna med de två skadliga programmen. Uppgifter om de servrar som utnyttjats
för Red October- och Miniduke-kommandon har publicerats. Dessutom innehåller
rapporterna från Kaspersky Lab exempel på e-post och filbilagor som använts för
spridning av de skadliga programmen, vilket underlättar identifiering av smittförsök.
Med hjälp av dessa uppgifter kan organisationer som misstänker att deras datasystem
utsatts för smitta identifiera smittofall.
Spridning
Enligt rapporterna från Kaspersky har totalt över 300 smittofall konstaterats i flera
tiotals stater, även i Finland. Totalt har nästan 60 fall av Minduke-smittor upptäckts i
23 stater, dock inget i Finland. Miniduke-observationer har gjorts främst i
östeuropeiska länder medan Red October-smittofall observerats över hela världen.
Observationer i Finland
I januari kontaktades Kaspersky av CERT-FI, som begärde uppgifter om ett angivet
finskt smittofall i Red October-rapporten. Företaget lämnade uppgifter som pekade på
att en dator i ett finskt abonnentabonnemang hade smittats av det skadliga
programmet. Det visade sig att fallet inte berörde den offentliga förvaltningen i
Finland.
Attacker med skadliga program i Sydkorea
I början av mars blev Sydkorea utsatt för attacker med skadliga program. Flera
banker och radiostationer var attackmål. Attackerna berörde inte Finland.
Blockeringsattacker
Blockeringsattacker i Tjeckien
I början av mars blev viktiga webbnyhetstjänster i Tjeckien utsatta för
blockeringsattacker. I december 2012 blev även finländska mediehus utsatta för
sådana attacker.
Blockeringsattacker mot Spamhaus
Oskyddade finländska namnservrar utnyttjades i slutet av mars vid en stor
blockeringsattack mot en amerikansk tjänsteleverantör. Då missbrukades öppna
resolvernamnservrar. Med hjälp av dem kunde angriparen mångdubbla trafikvolymen
i attacken . Över hundra finländska IP-adresser identifierades i attacktrafiken. CERT-FI
kontaktade finländska teleföretag för att stoppa utnyttjandet av dem vid
blockeringsattacken. Attacken mot Spamhaus upphörde den 27 mars.
Användning av falska adresser kan förebyggas om alla Internetoperatörer
implementerar s.k. BCP38-filtrering (Best Current Practices-dokument 38 och den
ersättande versionen 84, RFC 2827 och 3704). Då kan utgående trafik i operatörens
Informationssäkerhetsöversikt 1/2013
5
nät endast komma från IP-källadresser som hör till nätet eller dess kundnät. Tyvärr
använder långtifrån alla utländska operatörer sådan filtrering. Det är svårt att
använda finländska nät för blockeringsattacker med falska källadresser eftersom
operatörerna blockerar trafik via förfalskade avsändaradresser i kundabonnemang i
enlighet med Kommunikationsverkets föreskrifter 13 och 28.
Problem med certifikatsystem
Certifikatsystemens tillförlitlighet bygger på tekniska lösningar och till stor del på att
utfärdarens verksamhet är tillförlitlig.
Fallet TURKTRUST
Webbläsaren Google Chrome har en inbyggd mekanism som övervakar Googles
certifikat. Ett felaktigt certifikat upptäcktes på julafton den 24 december 2012.
Certifikatet hade skapats för adressen *.google.com, dvs. alla adresser som slutar
med google.com. Certifikatet hade utfärdats av turkiska TURKTRUST. Senare
meddelade TURKTRUST att företaget av misstag utfärdat två mellanliggande
certifikat, ett för *.EGO.VOG.TR-adresser och ett för e-islem.kktcmerkezbankasi.orgadresser. Det förstnämnda användes vid utfärdandet av certifikat för *.google.comadresser. För tillfället är det okänt i vilka typer av attacker certifikatet använts.
Obehörigt skapade certifikat kan bl.a. utnyttjas vid nätfiske eftersom andra
webbläsare inte identifierar sidan som falsk. Med falska webbplatser kan man t.ex.
lura till sig användarnamn och lösenord till Googles tjänster eller utföra en SSL-MitMattack där datatrafik dekrypteras utan att användaren märker något. Google och
Mozilla har meddelat att certifikaten tagits bort från deras webbläsare Chrome och
Firefox. Microsoft har tagit bort certifikaten från listan över betrodda certifikat (CTL).
Uppdateringen installeras automatiskt i alla Windows-versioner som stöds.
Fallet Diginotar
I slutet av augusti 2011 avslöjades ett dataintrång i det nederländska
certifiktaföretaget Diginotars system. Inkräktarenlyckades skapa flera certifikat för
olika domännamn och webbadresser. Inkräktaren har förmodligen haft åtkomst till
systemet i flera månader innan dataintrånget upptäcktes. När dataintrånget
avslöjades övertog nederländska myndigheter kontrollen över företagets verksamhet
eftersom Diginotar förlorat sin trovärdighet som utfärdare av certifikat. Det framgick
att företaget hade försummat datasäkerheten och inte anmält händelsen till
myndigheterna. Företaget har sedermera försatts i konkurs och verksamheten har
lagts ned.
Fallet Comodo
Obehöriga certifikat utfärdades i april 2011 efter ett dataintrång i
datasäkerhetsföretaget Comodos dotterbolag. Genom ett stulet lösenord lyckades
förövaren utfärda nio felaktiga SSL-certifikat åt sig själv. SSL-certifikaten utfärdades
för sju nättjänster: mail.google.com, www.google.com, login.yahoo.com,
login.skype.com, addons.mozilla.org, login.live.com och "global trustee". Enligt vad
Informationssäkerhetsöversikt 1/2013
6
Comodo meddelat har bevisligen endast login.yahoo.com-certifikatet utnyttjats. När
attacken avslöjades annullerade Comodo alla felaktiga certifikat genom spärrlistan.
Förtroende är grunden för hela certifikatsystemet, så det är viktigt att utfärdarna
agerar ansvarsfullt vid misstankar om dataintrång och aktivt informerar om attacker
och deras konsekvenser. I Finland bygger tillförlitligheten hos leverantörer av
kvalificerade certifikat och tjänster för stark autentisering delvis på myndighetstillsyn.
Enligt Kommunikationsverkets föreskrift 7 ska leverantörer av identifieringstjänster
och certifikatutfärdare som tillhandahåller kvalificerade certifikat utan onödigt
dröjsmål underrätta Kommunikationsverket om betydande hot eller störningar som
riktas mot tjänsternas informationssäkerhet samt om de åtgärder som vidtagits för att
avhjälpa dem.
Finska IP-adresser smittade av skadliga program
CERT-FI Autoreporter är en tjänst som CERT-FI producerat sedan 2006. Tjänsten
samlar in automatiskt observationer om skadliga program och kränkningar av
informationssäkerheten i finländska nätverk och rapporterar dessa till
nätadministratörerna. I januari–mars behandlade systemet cirka 61 500 rapporter
med totalt 27 400 olika IP-adresser.
Statistiken nedan visar antalet dagliga smittofall som CERT-FI Autoreporter
behandlade. Statistiken beaktar inte huruvida samma smittade dator finns med i
rapporten flera dagar i följd eller om det gäller flera enskilda fall. Antalet IP-adresser i
rapporterna utvisar inte direkt antalet enskilda datorer som smittats av skadliga
program. Detta beror på att bredbandsabonnemang oftast har växlande (dynamiska)
IP-adresser. Dessutom är det vanligt i företagsnät att flera datorer kan finnas bakom
en offentlig IP-adress.
Bild 2. Autoreporter-statistik 1Q/2013. Datumformatet i statistiken är åååå-mm-dd.
Toppen i slutet av mars berodde på ett stort antal fall hos kunder i ett teleföretag där
skräppost spreds av ett skadligt program. Tack vare att företaget reagerade snabbt
sjönk antalet observationer snart tillbaka till genomsnittet, cirka 600 smittofall.
De vanligaste skadliga programmen i januari–mars var ZeuS (42 %) och Conficker
(16 %). Dessa var även de vanligaste under 2012 med 35 % för ZeuS och 18 % för
Informationssäkerhetsöversikt 1/2013
7
Conficker. Syftet med Zeus är att lura till sig nätbankskoder vid användning av
banktjänster.
Under 2012 sändes drygt 184 000 rapporter via Autoreporter. Utifrån antalet
rapporter i början av året bedöms det totala antalet rapporter öka under 2013.
Utpressningsprogrammet Reveton
Om datorn inte startar normalt och ett meddelande som kräver betalning för att låsa
upp datorn visas på skärmen, är det sannolikt fråga om ett utpressningsprogram
(ransomware). För att öka trovärdigheten är meddelandet ofta skrivet i polisens
namn. Som orsak till låsningen anges t.ex. användarens påstådda besök på olagliga
webbplatser. Datorn kan smittas av utpressningsprogram t.ex. vid besök på
webbplatser för vuxenunderhållning.
Bild 3. Skärmbild av ett låsningsmeddelande (källa: F-Secures blogg)
Polisen handlar inte på detta sätt i verkligheten, så betala inte. Det finns flera
versioner av det skadliga programmet och därför är det nästan omöjligt att ge
rensningsanvisningar som är uppdaterade och fungerar för alla versioner. Om ditt
datakunnande inte räcker är det bäst att låta en adb-servicefirma rensa datorn.
Det är fråga om ett 2000-talsfenomen som under flera år orsakat problem för
användare i bl.a. Finland, Ryssland och Nord- och Sydamerika. Det skadliga
programmet är även känt som Reveton. Det finns olika versioner av
utpressningsprogrammet för olika länder och språkområden. Innehållet i meddelandet
varierar beroende på landet där programmet sprids. I USA påstås FBI ha låst datorn, i
Argentina PFA (Police Federal Argentine). Reveton och andra utpressningsprogram
utvecklas hela tiden för att utvecklarnas kriminella men lukrativa verksamhet ska
kunna fortgå så länge som möjligt.
I februari 2013 grep spansk polis en kriminell grupp som spridit ett
utpressningsprogram, som även drabbat finska datorer. Gripandet torde få ganska
liten betydelse globalt eftersom det finns andra grupper med liknande verksamhet.
Trots att detta är ett välkänt fenomen får CERT-FI:s kundservice fortfarande
förfrågningar om upplåsning av Reveton varje vecka. Flera Tietoturva nyt!-nyheter
Informationssäkerhetsöversikt 1/2013
8
har publicerats om saken och den har även behandlats i CERT-FI:s årsrapport 2012.
Nätfiske av användaruppgifter
CERT-FI informeras regelbundet om försök att lura till sig användaruppgifter för t.ex.
inloggning till Twitter eller Facebook. I mikrobloggtjänsten Twitter har det cirkulerat
meddelanden med frågan "Did you see this pic of you?". När användaren klickar på en
kort adress i meddelandet öppnas en webbplats som är missvisande lik Twitter.
Stulna inloggningsuppgifter kan användas för att sända motsvarande meddelanden till
andra Twitteranvändare. Om användaren klickar på adressen är det möjligt att man
senare försöker smitta användarens dator genom ett skadligt program. Motsvarande
bedrägerier är ganska vanliga i sociala medier. Då försöker man ofta få användaren
att klicka på installation av en Facebookapplikation eller ge den bedrägliga
webbplatsen rätt att använda kontaktuppgifter som lagrats i tjänsten.
Sårbarheter i vanliga program
Nya sårbarheter upptäcks hela tiden i vanliga program. Dessa kan utnyttjas av
skadliga program för att smitta datorn. Om programmen på datorn uppdateras med
de senaste versionerna kan utnyttjandet av kända sårbarheter stoppas.
Java
Sårbarheter i Java-program är återkommande nyheter. Vi har inte sluppit nya fall
under början av 2013. Under 2012 publicerade CERT-FI totalt sju
sårbarhetsmeddelanden om Java. Under innevarande år har redan fyra meddelanden
publicerats. Java-sårbarheter utnyttjas t.ex. vid spridning av spionprogram.
Java är ett hårdvaruoberoende programmeringsspråk och en mjukvaruplattform som
utgavs 1995. Enligt Oracle används Java-plattformen i cirka fyra miljarder apparater,
allt från hissar till datorer. På grund av Javas stora utbredning är den ett effektivt och
enkelt mål för hackare som vill finna säkerhetshål och utnyttja dem.
CERT-FI har uppmanat till inaktivering av Java i datorns webbläsare, om
användningen inte är nödvändig. Om t.ex. en nätbank inte kan användas utan Java
rekommenderar CERT-FI att man använder två olika webbläsare, varav endast den
ena har ett Java-tillägg.
Adobe Flash Player, Reader och Acrobat
Programmet Adobe Flash Player används bl.a. för att spela upp Youtube-videor och
visa reklamer på webbplatser. Enligt Adobe har Flash Player installerats i över 500
miljoner apparater. Dessa program bör vara uppdaterade med den senaste versionen
eftersom sårbarheter utnyttjas aktivt. I början av 2013 har CERT-FI publicerat fyra
meddelanden om sårbarheter i Flash Player samt två om sårbarheter i Reader och
Acrobat. Antalen är anmärkningsvärda med tanke på att nio Flash Player- och tre
Reader/Acrobat-meddelanden publicerades under hela 2012.
Informationssäkerhetsöversikt 1/2013
9
Webbläsare
Det räcker att besöka en smittad webbsida för att ett skadligt program som utnyttjar
webbläsarens sårbarheter kan smitta användarens terminal. Risken för smitta minskar
avsevärt om en uppdaterad version av webbläsaren används.
CERT-FI har publicerat 12 sårbarhetsmeddelanden om webbläsare i januari–mars.
Dessa gällde webbläsarna Google Chrome, Internet Explorer, Mozilla Firefox, Safari
och Opera. Under 2012 publicerades totalt 45 sårbarhetsmeddelanden om
webbläsare.
Anmälningar om fel och störningar i
kommunikationsnäten
Under början av våren har Kommunikationsverket erhållit tre teleföretagsrapporter
om mycket omfattande störningar (klass A) hos konsumentkunder. Dessa var
• 9.1 Störning i Elisas mobilnät
• 5.2 Störning i DNA:s fasta internetförbindelser
• 28.3 Störning i dataförbindelser i Elisas mobilnät.
Störningarna upptäcktes snabbt av teleföretagen och vid alla tillfällen eliminerades
väsentliga kundkonsekvenser inom cirka en timme efter störningens början.
Teleföretagen har publicerat kundmeddelanden om störningarna på sina webbplatser
och lämnat tillhörande rapporter till Kommunikationsverket. Dessutom påverkades
FST5-kanalens funktion i Lappland av en omfattande störning som lyckligtvis
inträffade då inga program visades på kanalen.
Sammanställning av fel och störningar i kommunikationsnäten
år 2012
Våren 2013 samlade Kommunikationsverket för första gången in omfattande
nätstörningsdata för år 2012 från teleföretagen. Enkäten gällde störningar med
måttlig eller liten omfattning som typiskt påverkade under 1 000 kunder i mer än en
halvtimme. Allvarligare störningar rapporteras fortlöpande till Kommunikationsverket.
Den närmare analysen av resultaten fortsätter och kommer att behandlas i följande
kvartalsöversikt.
På basen av de kundanmälningar som hittills mottagits kan man konstatera att
teleföretagen mest sysselsätts av störningar i mobilnät och fasta
bredbandsförbindelser. Dessa är också de kundspecifika tjänster som används mest.
Över en fjärdedel av de verifierade störningarna avhjälps inom sex timmar från
störningens början. Dessutom avhjälps över hälften av störningarna inom två dagar
från att den upptäckts. En stor del av de allvarligaste störningarna kan avhjälpas inom
en vecka.
Andelen störningar som pågick över en vecka ökade under fjolåret på grund av en
kraftig storm på annandag jul 2011. Reparationsarbetena fortsatte flera veckor in på
2012 till följd av den stora omfattningen och det stora antalet abonnemang. En del av
Informationssäkerhetsöversikt 1/2013
10
förbindelsefelen upptäcktes och avhjälptes först på försommaren när folk reste
tillbaka till sina sommarbostäder.
Vanligtvis beror en enskild störning på jordbyggnadsarbeten som leder till att såväl
abonnentledningar som nätkablar går av. Även andra kabelskador orsakar ofta
störningar i kundernas förbindelser. I fråga om nätutrustning kan bredbandsnätens
koncentratorer (DSLAM, Digital Subscriber Line Access Multiplexer) bli
funktionsodugliga till följd av naturfenomen eller fel på program eller utrustningar. Då
bryts alla abonnentförbindelser som är beroende av apparaten.
CERT-FI-händelseanmälningar
I januari–mars 2013 tog CERT-FI emot totalt 8 anmälningar om kränkningar av
informationssäkerhet mot teleföretag i enlighet med 21 § i lagen om dataskydd vid
elektronisk kommunikation, dvs. grundade anmälningar.
Händelserna som anmäldes till CERT-FI gällde till största delen dataintrång, även
enstaka anmälningar om sårbarheter i program gjordes. Merparten av fallen
upptäcktes i tid och då blev konsekvenserna av kränkningarna små. Förutom sårbara
datasystem orsakades hotfulla situationer även av mänskliga fel som t.ex.
felkopplingar i system.
Sammanfattning av säkerhetsincidenter 2012
Under 2012 erhöll Kommunikationsverket totalt 40 teleföretagsrapporter om
kränkningar eller kända hot mot informationssäkerheten som överskred
anmälningströskeln. De väsentligaste kränkningarna gällde inbrott i teleoperatörens
lokaler, dataintrång i teleoperatörens namnserver och smitta från ett skadligt program
i operatörens administratörsnät.
Väsentliga var också blockeringsattackerna mot flera medier och fall där attackens
effekt förstärktes genom DNS-servrar. Dataintrången i VoIP-växlar fortsatte under
året och orsakade ekonomisk skada för abonnentkunder och teleföretag.
Kommunikationsverket publicerade två anvisningar om datasäker VoIP-användning.
Blockeringsattacker med hacktivistmotiv, alltså uttryck av civil olydnad genom att
störa datatrafik och datasystem, har blivit vanligare de senaste åren. Attackerna
syntes i teleföretagens och framför allt i kundernas system.
Informationssäkerhetsöversikt 1/2013
11