DKCERT 25 år Aktuelt fra sikkerhedsfronten tendenser i cyber- og informationssikkerhed

Transkript

1 DKCERT 25 år Aktuelt fra sikkerhedsfronten tendenser i cyber- og informationssikkerhed DeIC Konference oktober 2016 DKCERT Henrik Larsen henrik.larsen@cert.dk

2 Agenda DKCERT 25 år Et dansk Computer Security Incident Response Team i et internationalt netværk Historien FIRST Trusted Introducer TF-CSIRT Nordiske NREN CERTer Hvad er status? Tal og statistikker fra DKCERT Aktuelle trends 2

3 DKCERT: opgaver og tjenester

4 Hvem er DKCERT? - Opgaver DKCERT følger sikkerheden på internettet og advarer om potentielle it-sikkerhedsproblemer DKCERT tager imod henvendelser om sikkerhedshændelser på internettet fra Forskningsnettet og andre danske og udenlandske kilder DKCERT indgår i FIRST, et verdensomspændende netværk bestående af over 350 CERT/CSIRT teams, samt i den europæiske organisation Trusted Introducer DKCERT har et bredt samarbejde med danske og nordiske organisationer og myndigheder 4

5 Hvem er DKCERT? - Tjenester Informationstjenesten ( Webnyheder, nyhedsbreve, advarsler, tweets, awareness, trendrapport mv. Presse, konferencer mv. Borgerundersøgelse Sagsbehandlingen Modtager og behandler rapporter om sikkerhedshændelser på eller relateret til Forskningsnettet. Rådgiver og støtter efter behov Sårbarhedsscanninger Otte parallelle Nessus Enterprise-scannere Totale scanninger, on-demand scanninger, interne scanninger Dataanalyse Analyse af forskningsnettets netflowdata 5

6 Historien

7 Hvad er en CERT/CSIRT? CERT: Computer Emergency Response Team Den originale forkortelse stammer fra Carnegie Mellon University, som grundlagde CERT/CC i 1988 efter episoden med The Internet worm, som lagde store del af internettet ned. Det er et registreret varemærke DKCERT, grundlagt i 1991, er det ældste af de fem danske teams, der er autoriserede til at bruge CERT 7

8 Hvad er en CERT/CSIRT? CSIRT: Computer Security Incident Response Team Den generiske og bredt anvendte forkortelse Internet Governance Forums definition: A CSIRT is a team of experts that responds to computer incidents, coordinates their resolution, notifies its constituents, exchanges information with others and assists constituents with the mitigation of the incident 8

9 CERT/CSIRTs startede i forskningsnettene De ældste og mest erfarne CSIRTs I Europa er grundlagt indenfor de europæiske NRENs (National Research and Education Networks). Traditionelt har de europæiske forskningsnet-csirts, siden RARE CERT Task Force i 1992, udgjort rygraden i europæisk incident response aktivitet Endnu i dag hører op mod halvdelen af alle europæiske teams til forskningsområdet. I mange lande er de stadig den eneste tilgængelige CSIRT. I flere europæiske lande har forskningsnet-teams været afgørende for opbygningen og af nye CSIRTs i staten og den private sektor. De har hjulpet nye teams med at få national og international anerkendelse og at blive medlemmer af internationale fora som FIRST, TF-CSIRT og Trusted Introducer 9

10 Hvem er DKCERT? - Historie DKCERT blev grundlagt I 1991 efter en af de første store hackersager i Danmark DKCERT var dengang en del af UNI-C, som var en styrelse under Undervisningsministeriet. Inspirationen kom fra det amerikanske CERT Coordination Center (CERT/CC) DKCERT er siden 2012 en tjeneste fra Danish e-infrastructure Cooperation (DeIC) og er placeret på Danmarks Tekniske Universitets campus i Kongens Lyngby. 10

11 JubJub Bird og Sprocket og Jørgen Bo https// 11

12 JubJub Bird og Sprocket I januar 1991 anmeldte UNI C til politiet, at crackere havde fået adgang til en computerinstallation på RUC via UNI Cs landsdækkende Ethernet (DENet), som var opkoblet til NORDUnet og internettet Politiet havde ikke de fornødne kompetencer til at hjælpe, men kort efter fik UNI C en retskendelse som var nødvendig for at KTAS kunne igangsætte en sporing af telefonopkaldene som blot var en del af den omfattede efterforskning Det viste sig, at crackernes aktivitet på UNI Cs net kun var toppen af isbjerget. De havde haft adgang til mindst 75 computere og havde været superbrugere på mindst 25 UNIX-computere i både offentlige organisationer og private firmaer i Danmark og i udlandet 12

13 JubJub Bird og Sprocket Senere samme måned hjalp UNI C Lyngby Politi med at anholde de to crackere. Efterforskningen viste, at Jub Jub Bird og Sprocket også var hovedpersonerne bag en tilsvarende sag i Ingen i Danmark havde opdaget at deres computere havde været cracket men det havde NASA, hvor crackerne havde forsøgt at få adgang til passwords mv. Sagen havde medført kontakt og samarbejde med CERT/CC i USA og det førte til beslutningen om at grundlægge et dansk Computer Emergency Responce Team - DK CERT - med Jørgen Bo Madsen som første chef 13

14 DKCERT gennem tiderne Jørgen Bo Madsen forlod DK CERT i 1997 til fordel for et ledende job i KTAS. Efter en periode, hvor DK CERT var en del af UNI Cs øvrige sikkerhedsaktiviteter under ledelse af Martin Bech og Ole Stampe Rasmussen besluttede man i 2000 at ansætte vicekriminalkommissær Preben Andersen som leder af DK CERT 14

15 DKCERT gennem tiderne DK CERT blev hurtigt medlem af FIRST Forum of Incident Responce and Security Teams der var blevet grundlagt i 1990 efter den såkaldte Wank Worm Omkring samme tid som Preben Andersen blev ansat var DK CERT blandt grundlæggerne af det europæiske samarbejde, Trusted Introducer Under Prebens ledelse blev DK CERT akkrediteret medlem af TI 5. februar 2002 Planen er nu at søge at blive certificeret medlem 15

16 DKCERT gennem tiderne I 2007 blev Preben Andersen afløst af Shehzad Ahmad som chef for DK CERT Shehzad fortsatte Prebens arbejde i de internationale netværk, hvor han er meget respekteret og nu personligt medlem. Ligeledes fortsatte og udbyggede Shehzad linjen med at gøre DKCERT og informationssikkerhed synlig i medierne. Shehzad forlod DKCERT med udgangen af januar

17 DKCERT gennem tiderne Under Shehzads ledelse indledte DKCERT et samarbejde med Digitaliseringsstyrelsen Undersøgelser af borgernes it-sikkerhed i 2013, 2014 og 2015 I år baseline-rapport for oplysningskampagner til borgere, offentligt ansatte og privatansatte 17

18 Status: Tal og statistikker

19 Tendenser fra Trendrapport DKCERT håndterede i 2015 i alt sikkerhedshændelser, hvoraf langt de fleste havde tilknytning til Forskningsnettet Det er en stigning på 145 procent i forhold til 2014 hvor stigningen var 250 procent i forhold til året før 2016 til og med 25. september: Væksten skyldes flere faktorer: Vi indførte nyt sagsbehandlingssystem i sommeren 2015 Der er komet nye eksterne kilder til 19

20 Sikkerhedshændelser januar februar marts april maj juni juli august september 20

21 Sikkerhedshændelser januar februar marts april maj juni juli august september 21

22 Tendenser fra Trendrapport 2016 Nye klassificeringer af sikkerhedshændelser med nyt sagsbehandlingssystem derfor ikke mulighed for at sammenligne med tidligere år sager om uautoriseret adgang til systemer lidt over sager handlede om systemer, der faktisk var kompromitteret. Resten var systemer, der kunne kompromitteres fx fordi de havde en kendt sårbarhed I 2016 er der indtil nu registreret sager om systemer, der kan kompromitteres markant færre end på samme tid sidste år 22

23 Kompromitteret system 80 Compromised Asset Januar Februar Marts April Maj Juni Juli August September 23

24 Tendenser fra Trendrapport 2016 På verdensplan faldt mængden af registrerede nye sikkerhedshuller i 2015 med 18 procent til mod sårbarheder i rekordåret 2014 Til gengæld steg antallet af sårbarheder med høj risiko I 2016 er der til og med september registreret sårbarheder næste nøjagtigt det samme antal som samme tid sidste år Der har i 2016 været en del kritik mod NVD for langsom sagsbehandling og problemer med at få udleveret CVE-numre 24

25 Sårbarheder i National Vulnerability Database 25

26 Status: Aktuelle trends

27 Cybercrime - et stadigt stigende problem PwC rapport 4. oktober To tredjedele af danske virksomheder har været udsat for et cyberangreb stadig stigende tendens Europol 27. september Samme tendens. Nogle medlemslande indberetter nu lige så mange eller flere sager om it- og internetkriminalitet end traditionelle kriminalitetssager 27

28 DDoS Distributed Denial of Service DDoS er nemt, billigt og let tilgængeligt, hvis man vil genere virksomheder eller enkeltpersoner Kan bestilles på nettet for få dollars Kan være svært at beskytte sig imod især for enkeltpersoner og mindre virksomheder Nu i vidt omfang kombineret med afpresning Ransom by DDoS 28

29 29

30 Reflection- eller amplification-angreb Åbne UDP-services (NTP, DNS ) udnyttes til at forstærke angreb Pakkestrømmen reflekteres fra en intetanende parts åbne NTP eller tilsvarende ( reflection ) ved, at angriberen sender en forespørgsel med offerets IP-adresse angivet som afsender Herved forstærkes pakkestrømmen med en høj faktor ( amplification ) DNS-amplification 1:70 NTP-amplification 1:20 1:200 eller mere..! 30

31 Reflection- eller amplification-angreb Nemt at finde lister med tilgængelige NTP-services via Metasploit eller The Open NTP Project Stadig alt for mange åbne NTP-services på universiteterne og andre steder på Forskningsnettet Der var pr. 3. oktober åbne NTP-servere og 9 SSDP på Forskningsnettet Nu ca

32 Åbne NTP 2016 (antal døgnobservationer pr. måned) NTP (ekstern kilde) Januar Februar Marts April Maj Juni Juli August September 32

33 Aktuel trussel: Direktørsvindel 33

34 Aktuel trussel: Direktørsvindel Meget målrettet phishing Mail fra direktøren til regnskabsmedarbejderen eller finansdirektøren Hasteoverførsel af større beløb til udenlandsk konto Svindleren er klar til dialog med offeret Hav procedurerne på plads og skab awareness 34

35 Aktuel trussel: Direktørsvindel et eksempel Fra: Steen Pedersen Sendt: 23. september :50 Til: Claus Gohr (DEIC) Emne: Betaling Claus, Kan vi sende EUR betaling i dag? Steen Pedersen. Sendt fra min iphone 35

36 Aktuel trussel: Direktørsvindel et eksempel Hej Steen Det skulle der vel ikke være noget i vejen for, til hvem? Faktura? Vh Claus 36

37 Fra: Steen Pedersen Sendt: 23. september :56 Til: Claus Gohr (DEIC) Emne: SV: Betaling Send ekspres betaling og lad mig vide. det hester. Jeg vil sende dig dokumentationer næste uge. Modtager: UDOBONG E.U Adresse: 11 Broadgate Coventry CV1 1NE United Kingdom Bank: NatWest Bank SWIFT / BIC: NWBKGB2L IBAN: GB29NWBK Reference: # Beløb: EUR Steen Pedersen. Sendt fra min iphone 37

38 Aktuel trussel: Direktørsvindel et eksempel Hvor skal beløbet tages fra? Projekt + opgave /Claus 38

39 Aktuel trussel: Direktørsvindel et eksempel Fra: Steen Pedersen Sendt: 23. september :14 Til: Claus Gohr Emne: SV: Betaling Betaling for teknologi infrastruktur. Jeg vil sende dig dokumentationer næste uge tirsdag. Du vil få alle de oplysninger, du har brug for. er det gjort? Steen Pedersen. Sendt fra min iphone 39

40 [ Tak for opmærksomheden!] [Spørgsmål?] Henrik Larsen DKCERT