Situationsbillede af sikkerhedstilstanden på den danske del af internettet. Marts 2014

Transkript

1 Situationsbillede af sikkerhedstilstanden på den danske del af internettet Marts 2014

2 Indledning Dette situationsbillede fra Center for Cybersikkerhed er primært henvendt til it og sikkerhedsansvarlige, og formuleringerne forudsætter derfor en vis teknisk viden hos læseren. Systemejere kan bruge situationsbilledet til at danne et overblik over aktuelle cybertrusler. På den baggrund er det muligt for systemejerne at vurdere, om de har et passende sikkerhedsniveau i forhold til centerets observationer for den forløbne periode. Center for Cybersikkerhed er som altid interesseret i at modtage oplysninger om andre væsentlige cybersikkerhedshændelser, som modtagerne af situationsbilledet måtte være konfronteret med, eller i øvrigt tilbagemeldinger på situationsbilledet, der kan medvirke til at gøre det endnu mere relevant. Situationsbilledet for den danske del af internettet Center for Cybersikkerhed udarbejder efter behov et situationsbillede for det, der kan betegnes som den danske del af internettet. Det vil sige, at situationsbilledet bygger på sikkerhedshændelser fra en række danske organisationers forbindelser til internettet. Disse informationer sammenholdes med informationer fra både indland og udland for at skabe et afbalanceret situationsbillede. Center for Cybersikkerheds situationsbillede beskriver primært de angrebstyper, som siden udsendelsen af seneste situationsbillede i april 2013 har været dominerende. Resumé Antallet af DDoS angreb har ikke ændret sig væsentligt siden Center for Cybersikkerheds situationsbillede af april Senest har centeret sammen med ISP'erne (internetudbyderne), herunder ISPsikkerhedsforum, i en periode i efteråret 2013 undersøgt indrapporterede DDoSangreb. I den forbindelse identificerede centeret såkaldte amplification angreb, hvor sårbare servere og tjenester blev udnyttet til at forstærke et angreb mod danske tjenester. Centeret oplever generelt en tendens til, at organisationer ufrivilligt stiller angrebsinfrastruktur til rådighed, primært som følge af fejlkonfigurationer og manglende sikkerhedstiltag. På den måde risikerer organisationerne at blive en del af et bot net, der udfører DDoS angreb. I perioden siden sidste situationsbillede har centeret registreret flere APT angreb mod danske myndigheder og virksomheder. APT angribere udfører målrettede og vedholdende angreb med henblik på at udføre spionage. Det er centerets vurdering, at danske myndigheder og virksomheder fortsat vil blive udsat for APT angreb. Samtidig vurderer centeret, at flere myndigheder og virksomheder allerede er kompromitterede af APT angreb uden at vide det. Der dukker hele tiden nye former for malware (ondsindet kode) op. Der er i perioden set avanceret malware på pc er og mobiltelefoner. Alle former for eksterne enheder er i rivende udvikling, men det nødvendige sikkerhedsfokus følger ikke altid med. Derfor ser centeret også flere og flere kompromitterede USB enheder, ligesom især smartphones ser ud til at øge organisationers sårbarhed. Et af de aktuelle angrebspunkter er pc ere med Windows XP, hvor supporten udløber den 8. april i år. I december 2016 udløber XP embedded (XPE), og da det kan koste megen tid og mange ressourcer at migrere 1

3 til en anden platform, kan det være en god ide at starte planlægningen af en udfasning allerede nu. DDoS angreb i Danmark Center for Cybersikkerhed har særlig fokus på størrelsen og antallet af DDoS angreb mod hjemmesider i Danmark og kan konkludere, at antallet af angreb ligger på samme niveau som ved udsendelsen af det forrige situationsbillede i april De fleste DDoS angreb, som centeret har kendskab til, har ramt politiske organisationer, kommunale institutioner, statslige myndigheder og private virksomheder. Målene har været meget forskellige, og aktørerne bag angrebene har været alt fra nysgerrige skoleelever til målrettede professionelle. Som eksempel kan nævnes DDoS angrebet mod den danske Bitcoin handelsplads BIPS. Ifølge BIPS blev DDoS angrebet brugt som en afledningsmanøvre, således at angriberne kunne udnytte en sårbarhed i Bitcoinsystemet uden at blive opdaget [1]. Da DDoS angreb potentielt kan være en afledningsmanøvre, bør man være forsigtig med at kaste alle ressourcer efter at imødegå et eventuelt DDoS angreb, men også holde godt øje med de dele af netværket, der indeholder informationer med høj værdi. Centeret hører gerne fra virksomheder og institutioner, der har været udsat for DDoSangreb, og som ikke tidligere har orienteret centeret herom. Observationer i forbindelse med DDoSangreb I mange af de observerede DDoS angreb blev flere kompromitterede PHPapplikationer benyttet, heriblandt Open Source CMS erne Joomla og WordPress. Angriberne udnyttede typisk webservere og plugins, der ikke var tilstrækkeligt opdaterede, og som gjorde det muligt at uploade PHP shells, der kan anvendes til at installere andre angrebsværkstøjer. Et af de mest almindelige værktøjer til at udnytte kompromitterede servere til DDoS angreb er PHP.Brobot [2]. Angrebsteknikkerne har været en blanding af angreb på HTTP, HTTPS og DNS via TCP, UDP, ICMP og andre IP protokoller. Angreb via TCP bliver dog færre og færre, da der typisk er flere sårbarheder på andre protokoller. Lidt usædvanligt skete der mange samtidige angreb med høj båndbredde mod flere virksomheder. Nogle angreb blev målt helt op til 60 Gbit/s. Det var imidlertid ikke størrelsen, der gjorde angrebene usædvanlige, men i højere grad det faktum, at de var meget målrettede og var rettet mod alt fra enheder i infrastruktur til webapplikationer. Et godt forsvar mod DDoS angreb kræver grundig forberedelse. Det typiske perimeterforsvar med firewalls og IPS virker ikke ved DDoS angreb. Enheder som firewalls og IPS er designede til at være en vigtig del af et forsvar i dybden, men virker som flaskehalse og kan være lette mål for overbelastning. Læs Center for Cybersikkerheds vejledning i imødegåelse af DDoS angreb her. Ufrivillig del af infrastruktur bag DDoSangreb Der er stadig flere danske servere og computere, der ufrivilligt leverer angrebskapacitet til DDoS angreb som følge af fejlkonfigurationer og manglende sikkerhedstiltag. For de fleste angrebs vedkommende har der været tale om, at infrastrukturen indgår i amplification DDoS angreb foretaget med DNS, SNMP og NTP. 2

4 Centeret stiller løbende information til rådighed for danske ISP ere, der herved har mulighed for at lukke for konkrete inficerede hjemmesider efter egen beslutning. Derudover anbefaler centeret, at virksomheder og institutioner generelt holder alle applikationer opdaterede. Erfaringer fra DDoS taskforce Center for Cybersikkerhed, NITES, Nianet, Global Connect og medlemmer fra ISPsikkerhedsforum etablerede i efteråret 2013 en midlertidig taskforce, der fokuserede på bekæmpelse af DDoS angreb. Taskforcen har håndteret enkelte angreb og opnået gode erfaringer med samarbejdet. Derfor undersøger centeret nu muligheden for at etablere en permanent taskforce til håndtering af DDoS angreb. Centeret har analyseret angrebene og udgivet vejledninger, der kan bruges til at reducere sårbarheden over for de identificerede DDoSangrebstyper. Vejledningerne findes på centerets hjemmeside. Læs mere her. Malware Malware er ofte skjult i uskyldigt udseende programmer og filer, som brugerne selv downloader og installerer. Centeret observerede i efteråret et angreb med Mevade [3], der var skjult i browser toolbars. Mevade benytter sig af kommunikation gennem Tor, og når en organisation er ramt af Mevade, har angriberen fuld kontrol over de inficerede pc er og kan tilgå tjenester på det interne netværk med samme rettigheder som brugeren. Fra åbne kilder [4] er der senest rapporteret malware, der udnytter indlæsning af billeder. Center for Cybersikkerhed har ikke observeret denne angrebsteknik endnu, men fremkomsten af ny malware er et eksempel, der understreger behovet for, at pc er er opdaterede, og at brugeren kører med minimale rettigheder. Derudover er det stadig vigtigt at skærpe brugernes kompetencer med henblik på at modvirke adfærd, som kan udnyttes til waterholeteknikker eller drive by downloads. Et angreb på den amerikanske supermarkedskæde Target [5] har vist, at mindre virksomheder udnyttes, for at angriberen kan opnå adgang til større virksomheder. Angreb foretages ved at kompromittere dataudvekslingen i kunde leverandør forhold eller mellem selskaber i samme koncern. Det er derfor vigtigt også at føre kontrol med underleverandørers sikkerhedsniveau. APT angreb Center for Cybersikkerhed har den 5. februar 2014 udgivet en trusselsvurdering om APT angreb mod Danmark. Centeret vurderer, at danske myndigheder, virksomheder og organisationer fortsat vil blive udsat for APT angreb. Samtidig vurderer centeret, at det er sandsynligt, at flere myndigheder, virksomheder og organisationer allerede er kompromitterede via APT angreb uden at vide det. Centeret har i perioden fra sidste situationsbillede konstateret flere indikatorer på APT angreb. Læs mere om APTangreb mod Danmark her: APT angreb mod danske myndigheder og virksomheder. APT angribere udfører målrettede og vedholdende angreb med henblik på at udføre spionage. Angreb er som oftest udført af statslige eller statssponsorerede hackere. Det kan dog ikke udelukkes, at andre hackere, herunder kriminelle, benytter metoder, der forbindes med kendte APTaktiviteter. Centeret har registreret APT angreb mod danske organisationer med software udviklet til formålet. Angrebene initieres v.h.a. spear phishing s, der har til formål at 3

5 lokke brugeren til websider, der udnytter zero day sårbarheder. Det er ikke alle APT angreb, der lykkes. Hvis organisationer, der er udsat for angreb, har omhyggelig kontrol af ind og udgående mail og webtrafik, og begrænser brugernes mulighed for at afvikle programmer lokalt, kan angriberne løbende afvises. Dette illustrerer, at organisationers robusthed kan øges ved at implementere de top fire forholdsregler, der anbefales af Center for Cybersikkerhed og Digitaliseringsstyrelsen. Læs mere her: Cyberforsvar der virker. Øvrige trusler Flere og flere enheder, der tidligere har været passive, er blevet udstyret med egne microcontrollers, der afvikler operativsystemer (OS) og evt. webservices. Der findes smarte varianter af alarmudstyr, TV, mobiltelefoner, netkort og USB nøgler med egen CPU, RAM og kommunikationsinterface, som kan etablere kontakt med omverden. Center for Cybersikkerhed har konstateret, at udstyr som IP kameraer og smartphones har været udsat for kompromittering. Det er udstyr, der ofte er meget sårbart, da det i mange tilfælde er dårligt sikret. Smarte enheder Center for Cybersikkerhed har set tilfælde, hvor IP kameraet i et sikkerhedssystem blev forsøgt tilgået af udefrakommende. Dette skyldtes, at kameraet havde installeret teknologi, der kunne omgå virksomhedens sikkerhedsregler og selvstændigt foretog DNS opslag uden om netværkets sikkerhedsprotokoller. Analysen af kameraet viste, at det var muligt for kameraet fortsat at kommunikere, selvom dets firmware var opdateret, og DNS adressen var ændret, så kameraet ikke burde kunne foretage opslag udenfor eget netværk. Dette skyldtes, at operativsystemet havde indbygget en lang række af protokoller, der på forskellige måder gjorde det muligt for kameraet at kommunikere ud på internettet. De nye smarte enheder med indlejrede computere, der bliver stadigt kraftigere, har ofte flere former for kommunikationsteknologier indbygget. Det gør det enkelt at integrere dem på et eksisterende netværk, hvorfra de styres og vedligeholdes. De installerede web servere og netværksprotokoller på udstyret kan imidlertid ofte hackes og bruges af f.eks. cyberkriminelle til ondsindede formål. Problemet med disse små og kraftfulde enheder er, at de tilhørende sikkerhedsfunktioner ikke er avancerede nok til at modstå angreb. Et kompromitteret kamera kan således ikke alene overtages af udefrakommende, men kan også være en indgang til resten af netværket. Der er dermed god grund til at gå sikkerhedsudstyr efter for sårbarheder og gøre det mere robust over for udnyttelse. Sikkerhedssystemer bør som udgangspunkt isoleres i et dedikeret netværk. Mobile enheder Også mobiltelefoner er blevet smartere og har fået kraftige CPU er. Traditionelle sikkerhedsfunktioner som antivirus, firewall og sikkerhedsprocedurer er imidlertid ikke i samme grad fulgt med til denne type udstyr. Center for Cybersikkerhed har registreret, at smartphones er en platform, hvor der forekommer mange kompromitteringer. Mange kompromitteringer sker gennem gratis programmer, som indeholder trojanere og funktioner, der ikke er dokumenterede. Der er set eksempler på programmer, hvor udefrakommende kan fjernbetjene 4

6 kamera og mikrofon eller sende informationer tilbage til en C&C server, der kontrolleres af 3. part. F Secures trusselsrapport fra 1. halvår 2013 opgør, at Android er den mobilplatform, der er flest trusler mod [6]. Et centralt problem med Android er, at det ikke er ét OS, men en familie af OS er, der er tilrettet af mobilproducenterne. Derudover er det ikke alle udgaver, der kan opdateres eller opgraderes. Det gør Android specielt sårbart, som det også fremgår af mængden af trusler. Centeret har blandt andet registreret en hændelse, hvor en mobiltelefon har fået aktiveret kamera og mikrofon uden ejerens vidende. USB nøgler Center for Cybersikkerhed kan konstatere, at det er muligt for hackere at flytte data ud af lukkede netværk ved hjælp af USBenheder med skjult malware installeret. Der er dog endnu ikke konstateret eksempler på dette hos myndigheder i Danmark, men centeret finder, at der er overvejende sandsynlighed for, at en sådan kompromittering vil finde sted. Der findes endnu ikke en teknik til at spore eller fjerne denne type ondsindede programmer på USB enheder. Derfor vil den sædvanlige praksis med at scanne og formatere USB nøgler ofte ikke løse problemet. Den teknik, hackerne bruger, øger risikoen for, at man utilsigtet kommer til at inficere netværk, når man genbruger en USBnøgle. Det er ikke udelukkende USB nøgler, der udgør en risiko, men alle USB enheder, der har hukommelse. Det betyder, at det også er muligt at smitte mobiltelefoner, kamera, eksterne harddiske, mp3 afspillere og GPSenheder med skadelige programmer. EOS på Windows XP Microsoft vil efter 8. april 2014 ikke længere udsende opdateringer til Windows XP ud over opdateringer til detektering af malware [8]. Efter denne dato vil udstyr, der benytter Windows XP, blive en stadigt mere sårbar platform, som hackere må forventes at ville gå målrettet efter at udnytte. Selvom leverandører af antivirus og firewall løsninger vil forlænge deres support af operativsystemet i et vist omfang, vil det ikke sikre alt udstyr, der benytter Windows XP. Derudover er det også usikkert, hvor længe vedligeholdelse af diverse sikkerhedsløsninger vil vare, idet markedet må forventes at blive mindre i takt med, at Windows XP erstattes af nye løsninger. Meget medicinsk udstyr og enheder i industrisystemer indeholder specielle versioner af Windows XP, kaldet Windows XP Embedded (WXPE). Efter den 31. december 2016 vil Microsoft ikke længere udsende opdateringer til WXPE. For nogle typer af enheder vil det være vanskeligt eller umuligt at skifte operativsystem, og disse enheder vil udgøre en stigende risiko for de netværk, de er placerede i. Hvis man har medicinsk udstyr eller industrisystemer med WXPE, der ikke kan opgraderes, bør disse isoleres fra ethvert netværk og pålægges en streng politik med hensyn til brug af USB nøgler og tilslutning af ydre enheder. Alternativt vil man være nødsaget til at finde nye enheder, der kan erstatte WXPE enhederne. Da det kan koste megen tid og mange ressourcer at migrere til en sikker platform, kan det være en god ide at starte planlægningen af en udfasning eller udskiftning allerede nu. 5

7 Kilder 1. Ny forklaring om det store danske bitcoin røveri: DDoS angreb var kun et røgslør, Version2, 29. november 2013, forklaring om det store danske bitcoin roeveriddos angreb var kun et roegsloer PHP.Brobot, Symantec, 10. januar 2013, Backdoor.Mevade, Symantec, 5. september 2013, New iframe Injections Leverage PNG Image Metadata, 3. februar 2014, iframe injections leverage png image metadata.html 5. New Clues in the Target Breach, 29. januar 2013, clues in the target breach/ 6. Threat Report H1 2013, F secure, 16. juli 2013, 7. Windows lifecycle fact sheet, Microsoft. Last updated: February 2014, us/windows/products/lifecycle 6

8 Center for Cybersikkerhed Postadresse: Kastellet 30 Besøgsadresse Østbanegade København Ø Telefon: Center for Cybersikkerhed bidrager til at styrke Danmarks modstandsdygtighed mod trusler rettet mod samfundsvigtig informations- og kommunikationsteknologi og varsler om og imødegår cyberangreb med henblik på at styrke beskyttelsen af danske interesser.