CERT-FI
Informationssäkerhetsöversikt 2/2012
Inledning
En person som använder webbsidor kan obemärkt bli utsatt för skadliga program även via
"bekanta och trygga" sidor. I dessa fall har skadligt innehåll lagts till på sidan utan att
webbplatsens administratör upptäckt det. I år har det blivit allt vanligare med försök att sprida
skadliga program genom att styra besökare till sidor som innehåller skadliga program med
hjälp av reklam som placerats på sidor som känns pålitliga. De som sprider skadliga program
har trängt in på servrar som styr distributionen av annonser och gjort ändringar i dem.
Användare av finländska nätbanker utsätts fortfarande för skadliga program särskilt från Zeusfamiljen. De finländska bankerna är inte huvudmål för attackerna, utan de skadliga
programmen identifierar ett stort antal nätbankstjänster runt om i världen.
I höst har vi sett exceptionellt många blockeringsattacker i både Europa och USA. I Finland är
sådana attacker relativt sällsynta och de har små konsekvenser. Attacken mot Sanomas
tjänster väckte den största uppmärksamheten hos oss. I närområdena har särskilt svenska och
estniska myndigheters webbplatser utsatts för blockeringsattacker. Attackerna har så gott som
alltid utförts i Anonymous-gruppens namn.
I år har Kommunikationsverket fått 20 anmälningar som gjorts med stöd av lagen om
dataskydd vid elektronisk kommunikation om informationssäkerhetskränkningar som riktats
mot system i teleföretag.
Vissa tekniska lösningar för intrång som gäller certifikat har vidareutvecklats. Den senaste
tekniken, CRIME, bygger på utnyttjande av svagheter i komprimeringsmetoden för SSL/TLSprotokollen.
Nyckelns längd är en väsentlig del av certifikatens säkerhet. Microsoft avlägsnade stödet för
certifikat med nycklar som är kortare än 1024 bit från sina programvaror.
Informationssäkerhetsöversikt 2/2012
2
Skadliga program kan också finnas på bekanta
webbplatser
En person som använder webbsidor kan bli utsatt för skadliga program även via "bekanta och
trygga" sidor. I dessa fall har skadligt innehåll lagts till på sidan utan att webbplatsens
administratör upptäckt det.
Drive-by-download
Det räcker inte alltid med att användaren är alert och vaksam för att undvika skadliga program
eftersom man kan utsättas för infektion enbart genom att med webbläsaren öppna en
webbsida som sprider skadligt innehåll. Denna form av spridning av skadliga program kallas
"drive-by download". Ofta är det fråga om en webbplats där den som sprider skadligt program
utan tillstånd lagt till innehåll som leder till att skadligt innehåll laddas ned.
Webbsidor som används för "Drive-by"-nedladdning är vanligen www-servrar som hackats på
ett eller annat sätt. Bland innehållet på sidorna har placerats t.ex. en iframe-hänvisning eller
javascriptkod som styr besökarens webbläsare till en ny sida för att hämta innehåll.
Webbläsaren kan omdirigeras till och med via flera hackade servrar, tills den slutligen hamnar
på en webbsida som skapats i avsikt att infektera datorn med ett skadligt program.
Exploit kit infekterar
Webbsidor som är specialiserade på att infektera datorer med skadliga program kallas "exploit
kit". De administreras och utvecklas kontinuerligt och det händer ofta att nya sårbarheter som
visat sig vara effektiva utnyttjas utan dröjsmål. Infektionen sker vanligen på så sätt att
webbläsaren erbjuds innehåll som utnyttjar flera olika sårbarheter. Om den dator som tagit
kontakt har någon av dessa sårbarheter, laddar sidan ned ett skadligt program på datorn som
exekveras omedelbart. Allt detta sker vanligen i bakgrunden utan att användaren upptäcker
det.
En allmänt använd "exploit kit" är Blackhole. Den senaste versionen av Blackhole försöker
utnyttja tre olika sårbarheter. Den äldsta av dem är en MDAC-sårbarhet som upptäcktes i
Microsofts operativsystem år 2006 (CERT-FI:s sårbarhetsmeddelande 021/2006). Den andra
sårbarheten gäller Adobe Reader och Acrobat-programmens sätt att behandla bilder i PDF-filer
(CERT-FI:s sårbarhetsmeddelande 032/2010). Att så pass gamla sårbarheter utnyttjas vittnar
om att många icke-uppdaterade och därigenom sårbara datorer fortfarande är i användning.
Den tredje och senaste sårbarheten är den nyligen offentliggjorda sårbarheten i Oracle Javas
exekveringsmiljö (CERT-FI:s sårbarhetsmeddelande 135/2012). Denna sårbarhet infördes i
Blackhole endast några dagar efter att metoden för utnyttjande av den offentliggjordes.
Övervaka reklamservrarna
CERT-FI vill särskilt påminna administratörer av diskussionsforum och webbsidor om vikten av
att uppdatera publiceringssystemen och de övriga bakgrundssystemen. I år har särskilt
OpenX-servrar som visar reklam på webbsidor varit särskilt populära bland hackarna. Via en
SQL-injektionssårbarhet har man framgångsrikt infört skadligt innehåll på flera OpenX-servrar
som använder en gammal programversion. Efter att reklamservern en gång blivit infekterad
erbjuder den alla som besöker webbsidorna annonser som styr webbläsaren till sidor som
innehåller skadliga program.
Informationssäkerhetsöversikt 2/2012
3
Nätbanker fortfarande utsatta för skadliga
program
Användare av de finländska nätbankerna utsätts fortfarande för skadliga program. Vid
undersökning av skadliga program har det framgått att hackade webbplatser har använts för
att sprida skadliga program och delar av sådana program. Det verkar som Citadel, Ice-Ix och
andra ZeuS-kompatibla skadliga program som stjäl uppgifter fortfarande är vanligast. Skadliga
program sprids inte enbart till finländska nätbanksanvändare; i programmens inställningsfiler
finns i praktiken alltid också flera utländska nätbanker.
Antivirusprogrammen identifierar ofta inte de senaste versionerna av de skadliga programmen
eftersom de skadliga programmen försöker ta sig förbi antivirusprogrammens
identifieringsmekanismer. Om man redigerar ett skadligt program lite, förändras det
"fingeravtryck" som programmet lämnar, varefter det inte längre identifieras som samma
skadliga program. Därför kan det dröja flera dagar innan antivirusprogrammen identifierar den
nya versionen.
Utpressningsprogram fortfarande i omlopp
Skadliga program som spärrar datorn och kräver att användaren betalar en avgift för att
spärrningen ska öppnas är fortfarande vanliga. Även nya versioner av dem har utkommit. Det
är svårare att avlägsna de nyare versionerna från datorn än de gamla.
Programmen uppträder ofta t.ex. i polisens, FBI:s eller Interpols namn och kan påstå att
användaren gjort sig skyldig till olagligheter. Användaren ska inte betala och det hjälper inte
heller att avlägsna spärrningen från datorn om man betalar.
Blockeringsattacker på olika håll i världen
I höst har vi sett exceptionellt många blockeringsattacker i både Europa och USA. I Finland är
sådana attacker relativt sällsynta och de har små konsekvenser.
Allmänt taget verkar det som om trafikmängderna i de kraftigaste attackerna håller på att öka,
vilket kan peka på att attackerarna har tillgång till stora nätverk av kapade datorer eller
servrar som har snabba nätförbindelser. Till ökningen av trafikmängderna bidrar även att
webbförbindelserna blivit snabbare överlag.
Attack mot Sanomas tjänster, fel på myndigheternas tjänster
Sanoma Oyj:s tjänster utsattes för en blockeringsattack den 11 september 2012. Attacken
varade i cirka en timme, och under den var flera av Sanoma Oyj:s webbplatser, såsom hs.fi
och iltasanomat.fi, inte tillgängliga.
Medieintresset för attacken var mycket stort och spekulationer om attackens karaktär och
utövare framfördes på många håll. Stonesoft, som levererat brandväggar till Sanoma,
framförde att attacken kommit från Ukraina och uppgav också att Haltik, som svarar för
statsförvaltningens datasystem, skulle ha utsatts för en liknande attack. Felet, som påverkade
polisens och gränsbevakningsväsendets nättjänster, hade dock inga kopplingar till attacken
mot Sanoma Oyj:s tjänster. Det förekom fel i Haltiks nät i flera dagars tid.
Informationssäkerhetsöversikt 2/2012
4
Google, Akamai och finansinstitut i USA utsattes för attacker
Googles DNS-servrar utsattes för blockeringsattacker den 14 och 16 september. Akamais DNSservrar attackerades den 19 september. Finansinstitut i USA, såsom Bank of America, New
York Stock Exchange och JP Morgan, utsattes för attacker den 18 september.
Meningsyttringar i Sverige för Julian Assange och Pirate Bay
I början av oktober fick Sverige uppleva en våg av blockeringsattacker mot www-servrar som
pågick i flera dagar. Grupperingen Anonymous har anmält sig som den som utförde
attackerna. Enligt meddelanden som publicerats på Youtube, Twitter och Facebook är orsaken
till attackerna rättegången mot Julian Assange och konfiskeringen av operatören PRQ:s
servrar. PRQ ägdes tidigare av grundarna till fildelningssajten Pirate Bay.
Företrädare för svenska Piratpartiet har kritiserat attackerna i offentligheten och konstaterat
att de står i strid med de yttrandefrihetsideal som partiet står för.
Protester mot samhällsförhållandena i Estland
Även i Estland har förekommit blockeringsattacker, särskilt mot statliga webbplatser. I början
av oktober anklagades estniska staten för försummelse av sina medborgare i ett videoklipp,
som sändes på YouTube i Anonymous-grupperingens namn. På Facebook skickades senare en
inbjudan att delta i attackerna den 12 oktober. Attackerna hade små och kortvariga
konsekvenser.
Proklamationer om solidaritet med grekerna
Ett videoklipp som publicerades av Anonymous-grupperingen proklamerade solidaritet med det
grekiska folket och uppmanade till attacker mot flera av den grekiska statens webbplatser.
Enligt nyhetsuppgifter var vissa webbplatser inte tillgängliga den 8 och 9 oktober. Den tyska
förbundskanslern Angela Merkel besökte Aten vid samma tidpunkt.
CRIME och BEAST
Utvecklarna av metoden BEAST, som nämns i informationssäkerhetsöversikterna 3/2011 och
1/2012, har fortsatt att undersöka SSL/TLS-protokollen och publicerat den nya attackmetoden
CRIME (Compression Ratio Info-leak Made Easy) mot SSL/TLS-protokollen. Syftet med en
CRIME-attack är att stjäla den krypterade individualiserande uppgift som är kopplad till
användarens förbindelse. Med hjälp av denna uppgift kan attackeraren uppträda i en
webbtjänst som användaren i fråga.
I likhet med BEAST-metoden förutsätter även CRIME att attackeraren kan avlyssna objektets
webbtrafik och ändra den. För att utföra en MiTM-attack, det vill säga en mellanhandsattack,
ska attackeraren ha tillgång till det lokalnät eller mobilnät till vilken den dator som attacken
riktar sig mot är kopplad. En lyckad attack förutsätter dessutom att attackeraren lyckas skicka
förfrågningar från användarens webbläsare t.ex. genom att lura användaren till en sida där det
finns skadlig JavaScript-, Flash-, Silverlight- eller Java-kod.
En CRIME-attack bygger på att uppgifter om innehållet av krypterade https-förfrågningar
läcker ut som en bieffekt då innehållet komprimeras. Attackeraren kan till sidans innehåll lägga
till en gissning som gäller den uppgift som individualiserar förbindelsen. Om gissningen är rätt,
ökar inte det krypterade paketets storlek eftersom komprimeringsalgoritmen effektivt kan
packa samma uppgift som förekommer två gånger. Om gissningen är fel, ökar nätpaketets
Informationssäkerhetsöversikt 2/2012
5
storlek. Genom att fortsätta att gissa är det möjligt att ta reda på den förbindelsespecifika
uppgiften på några minuter.
Endast gamla versioner av webbläsarna Firefox och Chrome är sårbara för CRIME-attacker. I
andra webbläsare har komprimering av SSL/TLS-protokollets innehåll inte implementerats. Det
är även i övrigt relativt svårt att i praktiken genomföra attacken eftersom den kräver
förberedelser och en nätmiljö av viss typ. Dessutom måste attackeraren lyckas lura
användaren.
Microsoft införde strängare krav på certifikat
I oktober avlägsnade Microsoft från sina programvaror stödet för sådana certifikat som
använder krypteringsnycklar på under 1024 bitar. Den hemliga nyckeln till korta nyckelpar kan
knäckas med dagens utrustning, varvid attackeraren kan skapa ett förfalskat certifikat eller
använda den hemliga nyckeln exempelvis för att öppna krypterade e-postmeddelanden. Det är
också möjligt att förfalska programcertifikat.
En programuppdatering förhindrar användningen av svaga certifikat i hela certifikatkedjan och
för alla ändamål.
Med hjälp av förfalskade certifikat kan attackeraren utföra en så kallad man-in-the-middleattack (MiTM), dvs. en mellanhandsattack, och kapa förbindelsen mellan användaren och
tjänsten. Ett annat sätt att använda förfalskade certifikat är att skapa en falsk sida som sedan
används till exempel för att komma över användarnamn och lösenord. Om en organisation
använder personcertifikat för att autentisera användare, kan attackeraren med hjälp av ett
förfalskat certifikat få tillgång till organisationens system och datainnehåll.
Projektet för sårbarhetssamordning slutfördes
I somras slutfördes ett av CERT-FI:s projekt för sårbarhetssamordning, då ISC (Internet
Systems Consortium) publicerade en uppdatering av sin DHCP-implementering. DHCPprotokollet
(Dynamic
Host
Configuration
Protocol)
används
för
att
förmedla
nätverksinformation, såsom IP-adressen, till kunden. Programvaran ISC DHCP är en
referensimplementering av DHCP-protokollet som används allmänt. Sårbarheterna gällde
protokollversionerna IPv4 och IPv6, och de kan leda till körning av attackerarens egen
programkod.
Teleföretagens dataskyddsanmälningar
Teleföretag är enligt 21 § i lagen om dataskydd vid elektronisk kommunikation skyldiga att
informera Kommunikationsverket om betydande kränkningar av dataskyddet för nät- och
kommunikationstjänster. Fram till oktober i år har Kommunikationsverket registrerat 20
anmälningar som gjorts med stöd av lagen.
Den vanligaste kränkningen av informationssäkerheten har varit intrång i ett system eller
administrationsnätverk som ett teleföretag driver. Även om dataintrång i webhostingtjänster
inte omfattas av den lagstadgade informationsskyldigheten, fick Kommunikationsverket också
flera anmälningar gällande dem.
En del av dataintrången i teleföretagens system eller administrationsnätverk skulle ha kunnat
få relativt omfattande konsekvenser. Allvarliga störningar kunde undvikas tack vare
teleföretagens
framgångsrika
reparationsåtgärder.
Fyra
av
anmälningarna
gällde
blockeringsattacker. Vanligen lämnades anmälan om fall i vilka nätanslutningen för en av
teleföretagets kunder utsatts för en så kraftig attack att den också haft betydande effekter på
teleföretagets övriga kunder. Kapaciteten i teleföretagens stamnät räcker i allmänhet till för
Informationssäkerhetsöversikt 2/2012
6
mycket stora trafikmängder, men vid kraftiga attacker kan också andra kunder som är
kopplade till samma system som den anslutning som är mål för attacken drabbas av
störningar.
En av anmälningarna gällde infektion av ett skadligt program i ett teleföretags
administrationsnätverk. Enligt tillgänglig information är upptäckt av skadliga program i
administrationsnätverk sällsynta.
Teleföretagens anmälningar utgör endast en liten del av alla fall som Kommunikationsverket
behandlar. CERT-FI behandlar årligen flera tusen kontakter som gäller kränkningar av
informationssäkerheten. Via det automatiska systemet Autoreporter skickas flera hundra tusen
meddelanden om skadliga program och andra upptäckta hot mot informationssäkerheten.
Informationssäkerhetsöversikt 2/2012
7