OM CERT-SE
WEBBKARTA
Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
Hem Publikationer Nämnvärt Riktade intrångsförsök mot svenska intressen

Nyheter

SR12-025 Novell - iPrint sårbart
Flera sårbarheter har hittats i Novells iPrint klient, vilka kan utnyttjas av en angripare för att kompromettera en användares system.
2012-02-09 15:55
SR12-024 Google - Chrome uppdaterad
Google har släppt en uppdaterad version av Chrome och rättar ett antal sårbarheter i webbläsaren.
2012-02-08 22:32
Internetkameror en säkerhetsfara?
Trots att ett lösenord har satts på installationen kan vem som helst som känner till ip-adressen se det som kameran visar.
2012-02-07 16:28
CERT-SE:s veckobrev v.5
I veckan kunde vi bland annat läsa om svagheter i FileVault, sårbarheter i ett antal smarta mobiltelefoner från HTC samt att botnätet Kelihos/Hlux är på krigsstigen igen.
2012-02-03 14:08
SR12-023 PHP - Sårbarhet i PHP version 5.3.9
En sårbarhet som kan medge godtycklig kodexekvering har identifierats i PHP 5.3.9 och rättats i version 5.3.10.
2012-02-03 10:39
SR12-022 Apache - Sårbarheter rättade i Apache HTTP-server
Apache har släppt version 2.2.22 av sin HTTP-server och rättar ett antal sårbarheter i produkten.
2012-02-03 09:55
SR12-021 Apple - Ett flertal sårbarheter i OS X
Apple har släppt APPLE-SA-2012-02-01-1 och rättar ett flertal sårbarheter i OS X.
2012-02-02 14:47
SR12-020 Mozilla - Sårbarheter i Firefox, Thunderbird och SeaMonkey
Mozilla har släppt uppdateringar som rättar ett antal sårbarheter i Firefox, Thunderbird och SeaMonkey.
2012-02-01 11:26
SR12-019 VMware - Uppdateringar till ESXi och ESX
VMware har släppt en bulletin innehållande säkerhetsuppdateringar till tredjepartsprogram för ESXi / ESX och ESX Service Console: VMSA-2012-0001.
2012-02-01 10:26
Prenumerera på RSS/Atom
Mer...

Riktade intrångsförsök mot svenska intressen

Situation och förslag på säkerhetsåtgärder


Under senare tid har det uppmärksammats riktade intrångsförsök mot informationssystem som är av betydelse för svenska nationella intressen. Intrångsförsöken utförs framförallt med hjälp av e-postmeddelanden som är speciellt anpassade till mottagarens intresseområde. Dessa e-postmeddelanden innehåller bilagor med skadlig kod eller länkar till webbplatser som innehåller skadlig kod. De vanligaste skyddsåtgärderna, som antivirusprodukter och brandväggar, ger inte fullständigt skydd mot dessa riktade attacker.


Tillvägagångssätt


Individuellt anpassad e-post sänds till individer inom den utsatta organisationen. Breven ser ut att ha trovärdiga avsändare som förefaller rimliga i förhållande till brevens innehållstext. Texten är relevant för det arbetsområde mottagaren verkar inom. Med breven följer bilagor, vilka om de öppnas infekterar mottagarens dator med en medföljande skadlig kod. Alternativt innehåller meddelandetexten länkar som leder till webbplatser som infekterar mottagarens dator. Den skadliga kod som installeras på den drabbade maskinen gör det möjligt för angriparen att utifrån ta kontroll över maskinen. På så sätt uppstår en risk att information hämtas ut från den drabbade maskinen.


Upptäckt


Mycket tyder på att det rör sig om skadlig kod som specialtillverkats eller anpassats för ändamålet. Den skadliga koden förekommer i ett flertal varianter. Var och en är så pass ovanlig att det tar tid innan skyddsfunktionalitet kommer till stånd i etablerade antivirusprodukter. Eftersom det i infektionsskedet handlar om aktiviteter som användaren initierat (öppna bilaga, klicka på länk) kan man inte heller förlita sig på att brandväggar hindrar infektionen. Kommunikation till och från en infekterad maskin sker på sätt som vanligtvis definierats som tillåtna i typiska brandväggslösningar.

Det kan vara svårt att upptäcka resultat av infektion av den skadliga koden i det egna systemet. Inga specifika rekommendationer kan i dagsläget ges beträffande symptom eller systemförändringar att söka efter i en eventuellt drabbad maskin.

Generellt är det en god idé att studera de olika loggar man förfogar över. Förekommer avvikande händelser eller ovanlig trafik, exempelvis till eller från oväntade IP-adresser, bör sådant studeras närmare. Förfogar man över IDS / IPS (se nedan) kan sådana system innehålla värdefull information. Varianterna av den skadliga kod som används håller varierande konstruktionskvalitet, vilket kan skapa avvikande spår i loggningen då kodexekveringen inte följer förväntade mönster.

En annan åtgärd är att söka efter okända processer som startats i maskinen. Vidare kan man studera trafikflödet från den misstänkta maskinen i syfte att finna starkt assymetrisk kommunikation, dvs där trafikmängden från maskinen till en viss IP-adress är avsevärt större än trafiken i andra riktningen. På samma sätt kan man undersöka om större trafikvolymer lämnar maskinen utanför normal arbetstid.


Åtgärdsförslag


Nedanstående åtgärdsförslag är generella och kan rekommenderas för IT-system som hanterar känslig information. För IT-system som används för hantering av hemliga uppgifter är vissa av de åtgärder som föreslås nedan inte möjliga att genomföra och inte förenliga med rådande lagstiftning. IT-system som används för hemlig information får inte anslutas till Internet eller andra nät som inte är avsedda för hantering av hemlig information.


Rekommendationerna indelas i två kategorier: förslag på omedelbara åtgärder och förslag på åtgärder på längre sikt. En del av åtgärderna kan inte vidtas omedelbart eftersom de kräver planering, anskaffning och införandeplanering. Det bör poängteras att bägge kategorierna av skyddsåtgärder är relevanta att genomföra för att önskvärda effekter ska uppnås.



Förslag på omedelbara åtgärder:

Riskutredning

  • Genomför riskutredning / riskanalys för att identifiera information, processer och resurser som är av väsentlig betydelse för verksamheten.


Informationsklassning

  • Genomför kontinuerlig informationsklassning och flytta känslig information till fristående system, separata nät eller en avgränsad nätverksmiljö.


Information och utbildning

  • Informera och utbilda användarna om risker med att hantera okända e-postbilagor respektive okända länkar i e-post
  • Informera användarna om de informationsklasser som finns och vilken IT-miljö som tillåts hantera respektive informationsklass


Operativsystem och programvaror

  • Använd automatiserade system för uppdatering
  • Verifiera att systemen är ordentligt uppdaterade
  • Installera antivirusprogram och uppdatera dessa regelbundet


Brandväggar

  • Filtrera både in- och utgående trafik i brandväggen


E-postservar

  • Inför restriktioner för vilka bilagor som tillåts i inkommande e-post och acceptera enbart de filtyper som är nödvändiga för verksamheten.
  • Öka manuell kontroll av inkommande e-post med bifogade filer av filtyper som kan misstänkas innehålla skadlig kod
  • Skanna inkommande e-post för virus, lämpligen med ett flertal olika antivirusprodukter
  • Installera spamfiler
  • Avaktivera HTML-formaterad e-post, så att all e-post förmedlas i vanligt textformat
  • Avaktivera "Förhandsgranskning" i e-postprogrammet


Webbproxy

  • Använd webbproxy med antivirusmodul
  • Använd antiviruslösningar från mer än en leverantör
  • Filtrera i brandvägg så att bara proxyn får kommunicera med Internet


Klienter

  • Ställ in antivirusprogram på klienter att flera gånger per dag kontrollera om uppdateringar finns tillgängliga
  • Överväg möjligheten att tvinga ut kritiska programuppdateringar



Förslag på åtgärder på längre sikt:

  • Flytta system som hanterar känslig eller hemlig information till egen fysiskt separerad miljö.
  • Överväg att i mycket känsliga sammanhang placera användning av Internet i egen fysisk separerad miljö genom att t.ex. använda gemensamma Internetdatorer i en separat nätverksmiljö


Tunna klienter för Internet

  • Överväg användning av tunna klienter för kommunikation med Internet i särskilda fall
  • Placera terminalservern i skyddad och övervakad miljö - terminalservern kan där vara lättare att administrera och säkra upp än en mängd utspridda klientmaskiner


VLAN (Virtual Local Area Network)

  • Använd VLAN i så stor utsträckning som möjligt


Synkronisering av klockor

  • Synkronisering av klockor är viktig för t.ex. logghantering, IDS, IPS, kryptering och forensik. Synkronisering bör göras mot etablerade officiella klockor, exempelvis i internetknutpunkter.


Loggning

  • Aktivera loggning på alla system
  • Logga med avsikt att kunna svara på frågor som när, vad, hur, varifrån och vem?
  • Överväg införande av central loggning genom enkelriktat system som medger trafik endast i riktning till loggservern
  • Säkerhetskopiera och spara loggar på ett betryggande sätt
  • Logga all internettrafik vid misstanke om incidenter


Kryptering på interna nätverket

  • Kryptering bör alltid användas mot viktiga och känsliga system


IPS (Intrusion Prevention System)

  • Överväg införande av IPS för att förebygga intrång


IDS (Intrusion Detection System)

  • Installera IDS och tillsätt utpekade resurser för administration av denna
  • Överväg införande av enkelriktade nätverksanslutningar från Internet till internt system


Incidentrapportering


Organisationer som misstänker att man drabbats av denna typ av riktat intrångsförsök uppmanas att kontakta Sitic, Sveriges IT-incidentcentrum.


Avslutning


Företeelser liknande de nu aktuella har tidigare uppmärksammats utomlands. I Storbritannien har NISCC (National Infrastructure Security Co-ordination Centre) beskrivit problem som drabbar brittiska organisationer i dokumentet "NISCC Briefing 08/2005 Targeted Trojan Email Attacks".


Förslag på skyddsåtgärder i detta dokument är inriktade på att för hindra de aktuella attackerna. Därför berörs inte informationssäkerhetsfrågorna i sin helhet. Organisationer för vilka säkerhetsskyddslagstiftningen gäller ska ta hänsyn till den.

För arbetet med grundläggande informationssäkerhet kan lämpliga delar av LIS-standarden (SS-ISO/IEC 17799:2005 - Ledningssystem för informationssäkerhet) användas. Även rekommendationen BITS (Basnivå för informationssäkerhet) från Krisberedskapsmyndigheten (www.krisberedskapsmyndigheten.se) kan användas som stöd i arbetet med grundläggande IT-säkerhet. Sitics webbplats (www.sitic.se) erbjuder information om aktuella sårbarheter samt fler förebyggande råd.


Referenser


Ytterligare information från Krisberedskapsmyndigheten:

http://www.krisberedskapsmyndigheten.se/templates/EntryPage____570.aspx


Beskrivning från NISCC i Storbritannien om liknande företeelse:
http://www.uniras.gov.uk/niscc/docs/ttea.pdf

Sitics Råd & Rekommendationer:

http://www.sitic.se/rad_och_rekommendationer/index.html


Sitics Riskutredningsinformation:

http://www.sitic.se/rad_och_rekommendationer/fr_riskutredning.html

BITS, Basnivå för informationssäkerhet:

http://www.krisberedskapsmyndigheten.se/templates/EntryPage____677.aspx

Uppdaterad 2009-10-14 09:43 | Publicerad 2006-04-07 15:21
CERT-SE
Telefon: 08-678 57 99
E-post: cert@cert.se - PGP-nyckel
Om cookies
[FiRST][TI]