CERT-FI Informationssäkerhetsöversikt 2/2012 Inledning En person som använder webbsidor kan obemärkt bli utsatt för skadliga program även via "bekanta och trygga" sidor. I dessa fall har skadligt innehåll lagts till på sidan utan att webbplatsens administratör upptäckt det. I år har det blivit allt vanligare med försök att sprida skadliga program genom att styra besökare till sidor som innehåller skadliga program med hjälp av reklam som placerats på sidor som känns pålitliga. De som sprider skadliga program har trängt in på servrar som styr distributionen av annonser och gjort ändringar i dem. Användare av finländska nätbanker utsätts fortfarande för skadliga program särskilt från Zeusfamiljen. De finländska bankerna är inte huvudmål för attackerna, utan de skadliga programmen identifierar ett stort antal nätbankstjänster runt om i världen. I höst har vi sett exceptionellt många blockeringsattacker i både Europa och USA. I Finland är sådana attacker relativt sällsynta och de har små konsekvenser. Attacken mot Sanomas tjänster väckte den största uppmärksamheten hos oss. I närområdena har särskilt svenska och estniska myndigheters webbplatser utsatts för blockeringsattacker. Attackerna har så gott som alltid utförts i Anonymous-gruppens namn. I år har Kommunikationsverket fått 20 anmälningar som gjorts med stöd av lagen om dataskydd vid elektronisk kommunikation om informationssäkerhetskränkningar som riktats mot system i teleföretag. Vissa tekniska lösningar för intrång som gäller certifikat har vidareutvecklats. Den senaste tekniken, CRIME, bygger på utnyttjande av svagheter i komprimeringsmetoden för SSL/TLSprotokollen. Nyckelns längd är en väsentlig del av certifikatens säkerhet. Microsoft avlägsnade stödet för certifikat med nycklar som är kortare än 1024 bit från sina programvaror. Informationssäkerhetsöversikt 2/2012 2 Skadliga program kan också finnas på bekanta webbplatser En person som använder webbsidor kan bli utsatt för skadliga program även via "bekanta och trygga" sidor. I dessa fall har skadligt innehåll lagts till på sidan utan att webbplatsens administratör upptäckt det. Drive-by-download Det räcker inte alltid med att användaren är alert och vaksam för att undvika skadliga program eftersom man kan utsättas för infektion enbart genom att med webbläsaren öppna en webbsida som sprider skadligt innehåll. Denna form av spridning av skadliga program kallas "drive-by download". Ofta är det fråga om en webbplats där den som sprider skadligt program utan tillstånd lagt till innehåll som leder till att skadligt innehåll laddas ned. Webbsidor som används för "Drive-by"-nedladdning är vanligen www-servrar som hackats på ett eller annat sätt. Bland innehållet på sidorna har placerats t.ex. en iframe-hänvisning eller javascriptkod som styr besökarens webbläsare till en ny sida för att hämta innehåll. Webbläsaren kan omdirigeras till och med via flera hackade servrar, tills den slutligen hamnar på en webbsida som skapats i avsikt att infektera datorn med ett skadligt program. Exploit kit infekterar Webbsidor som är specialiserade på att infektera datorer med skadliga program kallas "exploit kit". De administreras och utvecklas kontinuerligt och det händer ofta att nya sårbarheter som visat sig vara effektiva utnyttjas utan dröjsmål. Infektionen sker vanligen på så sätt att webbläsaren erbjuds innehåll som utnyttjar flera olika sårbarheter. Om den dator som tagit kontakt har någon av dessa sårbarheter, laddar sidan ned ett skadligt program på datorn som exekveras omedelbart. Allt detta sker vanligen i bakgrunden utan att användaren upptäcker det. En allmänt använd "exploit kit" är Blackhole. Den senaste versionen av Blackhole försöker utnyttja tre olika sårbarheter. Den äldsta av dem är en MDAC-sårbarhet som upptäcktes i Microsofts operativsystem år 2006 (CERT-FI:s sårbarhetsmeddelande 021/2006). Den andra sårbarheten gäller Adobe Reader och Acrobat-programmens sätt att behandla bilder i PDF-filer (CERT-FI:s sårbarhetsmeddelande 032/2010). Att så pass gamla sårbarheter utnyttjas vittnar om att många icke-uppdaterade och därigenom sårbara datorer fortfarande är i användning. Den tredje och senaste sårbarheten är den nyligen offentliggjorda sårbarheten i Oracle Javas exekveringsmiljö (CERT-FI:s sårbarhetsmeddelande 135/2012). Denna sårbarhet infördes i Blackhole endast några dagar efter att metoden för utnyttjande av den offentliggjordes. Övervaka reklamservrarna CERT-FI vill särskilt påminna administratörer av diskussionsforum och webbsidor om vikten av att uppdatera publiceringssystemen och de övriga bakgrundssystemen. I år har särskilt OpenX-servrar som visar reklam på webbsidor varit särskilt populära bland hackarna. Via en SQL-injektionssårbarhet har man framgångsrikt infört skadligt innehåll på flera OpenX-servrar som använder en gammal programversion. Efter att reklamservern en gång blivit infekterad erbjuder den alla som besöker webbsidorna annonser som styr webbläsaren till sidor som innehåller skadliga program. Informationssäkerhetsöversikt 2/2012 3 Nätbanker fortfarande utsatta för skadliga program Användare av de finländska nätbankerna utsätts fortfarande för skadliga program. Vid undersökning av skadliga program har det framgått att hackade webbplatser har använts för att sprida skadliga program och delar av sådana program. Det verkar som Citadel, Ice-Ix och andra ZeuS-kompatibla skadliga program som stjäl uppgifter fortfarande är vanligast. Skadliga program sprids inte enbart till finländska nätbanksanvändare; i programmens inställningsfiler finns i praktiken alltid också flera utländska nätbanker. Antivirusprogrammen identifierar ofta inte de senaste versionerna av de skadliga programmen eftersom de skadliga programmen försöker ta sig förbi antivirusprogrammens identifieringsmekanismer. Om man redigerar ett skadligt program lite, förändras det "fingeravtryck" som programmet lämnar, varefter det inte längre identifieras som samma skadliga program. Därför kan det dröja flera dagar innan antivirusprogrammen identifierar den nya versionen. Utpressningsprogram fortfarande i omlopp Skadliga program som spärrar datorn och kräver att användaren betalar en avgift för att spärrningen ska öppnas är fortfarande vanliga. Även nya versioner av dem har utkommit. Det är svårare att avlägsna de nyare versionerna från datorn än de gamla. Programmen uppträder ofta t.ex. i polisens, FBI:s eller Interpols namn och kan påstå att användaren gjort sig skyldig till olagligheter. Användaren ska inte betala och det hjälper inte heller att avlägsna spärrningen från datorn om man betalar. Blockeringsattacker på olika håll i världen I höst har vi sett exceptionellt många blockeringsattacker i både Europa och USA. I Finland är sådana attacker relativt sällsynta och de har små konsekvenser. Allmänt taget verkar det som om trafikmängderna i de kraftigaste attackerna håller på att öka, vilket kan peka på att attackerarna har tillgång till stora nätverk av kapade datorer eller servrar som har snabba nätförbindelser. Till ökningen av trafikmängderna bidrar även att webbförbindelserna blivit snabbare överlag. Attack mot Sanomas tjänster, fel på myndigheternas tjänster Sanoma Oyj:s tjänster utsattes för en blockeringsattack den 11 september 2012. Attacken varade i cirka en timme, och under den var flera av Sanoma Oyj:s webbplatser, såsom hs.fi och iltasanomat.fi, inte tillgängliga. Medieintresset för attacken var mycket stort och spekulationer om attackens karaktär och utövare framfördes på många håll. Stonesoft, som levererat brandväggar till Sanoma, framförde att attacken kommit från Ukraina och uppgav också att Haltik, som svarar för statsförvaltningens datasystem, skulle ha utsatts för en liknande attack. Felet, som påverkade polisens och gränsbevakningsväsendets nättjänster, hade dock inga kopplingar till attacken mot Sanoma Oyj:s tjänster. Det förekom fel i Haltiks nät i flera dagars tid. Informationssäkerhetsöversikt 2/2012 4 Google, Akamai och finansinstitut i USA utsattes för attacker Googles DNS-servrar utsattes för blockeringsattacker den 14 och 16 september. Akamais DNSservrar attackerades den 19 september. Finansinstitut i USA, såsom Bank of America, New York Stock Exchange och JP Morgan, utsattes för attacker den 18 september. Meningsyttringar i Sverige för Julian Assange och Pirate Bay I början av oktober fick Sverige uppleva en våg av blockeringsattacker mot www-servrar som pågick i flera dagar. Grupperingen Anonymous har anmält sig som den som utförde attackerna. Enligt meddelanden som publicerats på Youtube, Twitter och Facebook är orsaken till attackerna rättegången mot Julian Assange och konfiskeringen av operatören PRQ:s servrar. PRQ ägdes tidigare av grundarna till fildelningssajten Pirate Bay. Företrädare för svenska Piratpartiet har kritiserat attackerna i offentligheten och konstaterat att de står i strid med de yttrandefrihetsideal som partiet står för. Protester mot samhällsförhållandena i Estland Även i Estland har förekommit blockeringsattacker, särskilt mot statliga webbplatser. I början av oktober anklagades estniska staten för försummelse av sina medborgare i ett videoklipp, som sändes på YouTube i Anonymous-grupperingens namn. På Facebook skickades senare en inbjudan att delta i attackerna den 12 oktober. Attackerna hade små och kortvariga konsekvenser. Proklamationer om solidaritet med grekerna Ett videoklipp som publicerades av Anonymous-grupperingen proklamerade solidaritet med det grekiska folket och uppmanade till attacker mot flera av den grekiska statens webbplatser. Enligt nyhetsuppgifter var vissa webbplatser inte tillgängliga den 8 och 9 oktober. Den tyska förbundskanslern Angela Merkel besökte Aten vid samma tidpunkt. CRIME och BEAST Utvecklarna av metoden BEAST, som nämns i informationssäkerhetsöversikterna 3/2011 och 1/2012, har fortsatt att undersöka SSL/TLS-protokollen och publicerat den nya attackmetoden CRIME (Compression Ratio Info-leak Made Easy) mot SSL/TLS-protokollen. Syftet med en CRIME-attack är att stjäla den krypterade individualiserande uppgift som är kopplad till användarens förbindelse. Med hjälp av denna uppgift kan attackeraren uppträda i en webbtjänst som användaren i fråga. I likhet med BEAST-metoden förutsätter även CRIME att attackeraren kan avlyssna objektets webbtrafik och ändra den. För att utföra en MiTM-attack, det vill säga en mellanhandsattack, ska attackeraren ha tillgång till det lokalnät eller mobilnät till vilken den dator som attacken riktar sig mot är kopplad. En lyckad attack förutsätter dessutom att attackeraren lyckas skicka förfrågningar från användarens webbläsare t.ex. genom att lura användaren till en sida där det finns skadlig JavaScript-, Flash-, Silverlight- eller Java-kod. En CRIME-attack bygger på att uppgifter om innehållet av krypterade https-förfrågningar läcker ut som en bieffekt då innehållet komprimeras. Attackeraren kan till sidans innehåll lägga till en gissning som gäller den uppgift som individualiserar förbindelsen. Om gissningen är rätt, ökar inte det krypterade paketets storlek eftersom komprimeringsalgoritmen effektivt kan packa samma uppgift som förekommer två gånger. Om gissningen är fel, ökar nätpaketets Informationssäkerhetsöversikt 2/2012 5 storlek. Genom att fortsätta att gissa är det möjligt att ta reda på den förbindelsespecifika uppgiften på några minuter. Endast gamla versioner av webbläsarna Firefox och Chrome är sårbara för CRIME-attacker. I andra webbläsare har komprimering av SSL/TLS-protokollets innehåll inte implementerats. Det är även i övrigt relativt svårt att i praktiken genomföra attacken eftersom den kräver förberedelser och en nätmiljö av viss typ. Dessutom måste attackeraren lyckas lura användaren. Microsoft införde strängare krav på certifikat I oktober avlägsnade Microsoft från sina programvaror stödet för sådana certifikat som använder krypteringsnycklar på under 1024 bitar. Den hemliga nyckeln till korta nyckelpar kan knäckas med dagens utrustning, varvid attackeraren kan skapa ett förfalskat certifikat eller använda den hemliga nyckeln exempelvis för att öppna krypterade e-postmeddelanden. Det är också möjligt att förfalska programcertifikat. En programuppdatering förhindrar användningen av svaga certifikat i hela certifikatkedjan och för alla ändamål. Med hjälp av förfalskade certifikat kan attackeraren utföra en så kallad man-in-the-middleattack (MiTM), dvs. en mellanhandsattack, och kapa förbindelsen mellan användaren och tjänsten. Ett annat sätt att använda förfalskade certifikat är att skapa en falsk sida som sedan används till exempel för att komma över användarnamn och lösenord. Om en organisation använder personcertifikat för att autentisera användare, kan attackeraren med hjälp av ett förfalskat certifikat få tillgång till organisationens system och datainnehåll. Projektet för sårbarhetssamordning slutfördes I somras slutfördes ett av CERT-FI:s projekt för sårbarhetssamordning, då ISC (Internet Systems Consortium) publicerade en uppdatering av sin DHCP-implementering. DHCPprotokollet (Dynamic Host Configuration Protocol) används för att förmedla nätverksinformation, såsom IP-adressen, till kunden. Programvaran ISC DHCP är en referensimplementering av DHCP-protokollet som används allmänt. Sårbarheterna gällde protokollversionerna IPv4 och IPv6, och de kan leda till körning av attackerarens egen programkod. Teleföretagens dataskyddsanmälningar Teleföretag är enligt 21 § i lagen om dataskydd vid elektronisk kommunikation skyldiga att informera Kommunikationsverket om betydande kränkningar av dataskyddet för nät- och kommunikationstjänster. Fram till oktober i år har Kommunikationsverket registrerat 20 anmälningar som gjorts med stöd av lagen. Den vanligaste kränkningen av informationssäkerheten har varit intrång i ett system eller administrationsnätverk som ett teleföretag driver. Även om dataintrång i webhostingtjänster inte omfattas av den lagstadgade informationsskyldigheten, fick Kommunikationsverket också flera anmälningar gällande dem. En del av dataintrången i teleföretagens system eller administrationsnätverk skulle ha kunnat få relativt omfattande konsekvenser. Allvarliga störningar kunde undvikas tack vare teleföretagens framgångsrika reparationsåtgärder. Fyra av anmälningarna gällde blockeringsattacker. Vanligen lämnades anmälan om fall i vilka nätanslutningen för en av teleföretagets kunder utsatts för en så kraftig attack att den också haft betydande effekter på teleföretagets övriga kunder. Kapaciteten i teleföretagens stamnät räcker i allmänhet till för Informationssäkerhetsöversikt 2/2012 6 mycket stora trafikmängder, men vid kraftiga attacker kan också andra kunder som är kopplade till samma system som den anslutning som är mål för attacken drabbas av störningar. En av anmälningarna gällde infektion av ett skadligt program i ett teleföretags administrationsnätverk. Enligt tillgänglig information är upptäckt av skadliga program i administrationsnätverk sällsynta. Teleföretagens anmälningar utgör endast en liten del av alla fall som Kommunikationsverket behandlar. CERT-FI behandlar årligen flera tusen kontakter som gäller kränkningar av informationssäkerheten. Via det automatiska systemet Autoreporter skickas flera hundra tusen meddelanden om skadliga program och andra upptäckta hot mot informationssäkerheten. Informationssäkerhetsöversikt 2/2012 7