Nye nettsider, ny bloggadresse

30. juni 2014 lanserte NSM nye nettsider på www.nsm.stat.no.

På de nye sidene er bloggen en integrert del av resten av nettstedet, og du finner derfor nye innlegg på www.nsm.stat.no/blogg. Dette betyr også at adressen du er inne på nå, blogg.nsm.stat.no, vil bli faset ut på sikt.

I løpet av de neste ukene vil vi flytte over gamle blogginnlegg til den nye plattformen, men i mellomtiden finner du dem på denne siden.

Posted in Uncategorized | 4 Comments

Tjenestenektangrep!

Gårsdagens DDoS-angrep mot en rekke norske bedrifter skal jeg ikke si så mye om i dette innlegget. Men jeg benytter likevel anledningen til å informere om hva et DDoS-angrep er, og litt om hva som kan være årsaken til slike angrep. I tillegg har vi i Nasjonal sikkerhetsmyndighet laget en veiledning om grunnleggende tiltak for forebygging av DDoS-angrep. Den anbefaler vi at mange virksomheter tar en titt på.

Men først litt om begrepene som brukes. DDoS er en forkortelse på det engelske begrepet «Distributed-Denial-of-Service» og er en metode som benyttes til fortsettlig å sette datamaskiner eller nettverksressurser ut av stand til å levere tjenester til de opprinnelige brukerne. På norsk kaller vi det for tjenestenektangrep. Slike angrep rammer både brukerne og eierne av en tjeneste. Du får ikke tilgang til tjenesten, men eieren greier heller ikke å gi deg tjenesten.

En kommentar jeg fikk på Twitter i går, syntes jeg også var en passende beskrivelse av et tjenestenektangrep. – Noen kjører et par lastebillass med grus og dumper det utenfor en butikk. Konsekvensen er at du som kunde fysisk ikke kommer inn i butikken og butikkeieren greier ikke å åpne døren innenifra (i hvert fall ikke umiddelbart) slik at butikkeieren kan tilby deg sine tjenester.
(Takk til Arne B. Espedal fra Sandnes for den gode beskrivelsen)

Hvordan foregår et tjenestenektangrep?
Tenk deg at du sammen med en stor menge andre mennesker forsøker å kjøpe en konsertbillett på nett. Alle vill ha og alle forsøker å kjøpe på nett samtidig. Alle henvender seg til den samme nettsiden. Nettstedet som selger billetten er kun i stand til å håndtere 100 henvendelser i minuttet, mens det i løpet av det samme minuttet som salget starter er 10.000 mennesker som forsøker å bestille samtidig. Det er nødt til å gå galt og det som skjer er at nettstedet blir ustabilt, tregt og slutter å virke. Ingen får bestilt en eneste billett!

Slike episoder har forekommet og rent teknologisk er det akkurat det samme som skjer som når det skjer et tjenestenektangrep. Bortsett fra en viktig og vesentlig forskjell at ved billettsalget ønsker de som henvender seg til nettstedet å kjøpe billetter. Under et tjenestenektangrep er det ingen som ønsker å kjøpe noe som helst. Den eneste hensikten er å få nettstedet til å slutte å fungere. En annen forskjell er at der hvor det er 10.000 mennesker som forsøker å kjøpe billett er det i et tjenestenektangrep 10.000 fjernstyrte datamaskiner som styres av en enkelt person/organisasjon med en ondsinnet hensikt. For å gjøre det enda værre, så har jeg ingen garanti for at ikke min datamaskin er en av de fjernstyrte maskinene som har vært med på et slikt tjenestenektangrep.

Jeg har forsøkt å illustrere noen faser i et tjenestenektangrep og hvordan dette foregår fra starten av.

Illustrasjon og tekst R.Thon/NSM

Illustrasjon og tekst R.Thon/NSM

Illustrasjon og tekst R.Thon/NSM

Illustrasjon og tekst R.Thon/NSM

Ikke nødvendigvis hacking
Tjenestenektangrep er ikke nødvendigvis hacking da det sjelden innebærer ulovlig inntrenging i et system. Men datanettverkene som vi kaller Botnet og som oftest leverer datakraften til å gjennomføre et tjenestenektangrep, er som regel et sluttresultat av ulovlig hacking.
Angriperen bruker denne datakraften til å overbelaste en eller flere tjenester, slik at de slutter å virke.

Tjenestenektangrepet i seg selv innebærer altså ikke innbrudd, men det betyr ikke at det er lovlig. I en nylig dom i 2014 mot tre norske unge gutter ble alle dømt for skadeverk etter straffelovens § 291 og § 292. De tre som kalte seg for «DotNetFuckers» rettet en rekke tjenestenektangrep mot norske virksomheter som Norsk Tipping, DNB og Politiets sikkerhetstjeneste m.fl.

De som står bak slike tjenestenektangrep bør heller ikke automatisk benevnes som hackere. I sin enkleste form, er det eneste du dessverre trenger, et kredittkort og ønske om å ødelegge for et nettsted og dets eier for en lenger eller kortere tidsperiode. Det betyr ikke at det ikke kan befinne seg andre bak tjenestenektangrep og som har helt andre motiver enn å bedrive pøbelstreker og skadeverk på nett, bare fordi det er mulig. De øvrige motivene er heller ikke av det godartede slaget.

Motivet for tjenestenektangrep
Flere av motivene for gjennomføre et tjenestenektangrep er listet opp i vår veiledning om emnet. De kan være:

Økonomiske motiver ved å påføre andre finansiell skade (f.eks. en konkurrerende virksomhet)

Økonomiske motiver ved å bruke tjenestenektangrep til utpressing. «Betal eller vi begynner/fortsetter med dette».

Nettaktivisme med underliggende politiske, religiøse eller filosofiske motiver hvor tjenesteangrepet benyttes for å få oppmerksomhet rundt sine synspunkter.

Cyberpatriotisme hvor man av patriotiske årsaker bruker tjenestenektangrep i forbindelse med en væpnet konflikt eller krig.

Det finnes også noen eksempler hvor tjenestenektangrep er brukt som kamuflasje for det som er det virkelige angrepet. F.eks. svindel-transaksjoner.

Konsekvenser under/etter tjenestenektangrep
Det kan være flere konsekvenser av et tjenestenektangrep og ser vi det fra et brukerperspektiv, betyr dette at tjenester som du og jeg bruker i det daglige ikke er tilgjengelig for oss. Det blir bestillingen vi ikke fikk gjort, transaksjonen som ikke ble gjennomført, informasjonen vi ikke var i stand til å skaffe oss. Jeg skal ikke filsosofere over hvorvidt vi som brukere bør kunne greie oss greit med en “nedetid” på 1 time, men jo lenger en tjeneste er nede jo større utfordringer og irritasjon blir det vel for brukeren.

Fra en tjenesteeier er saken langt mer alvorlig. Det å ikke få ut sin informasjon til kunder/publikum, ikke selge, ikke levere enn forventet tjeneste har direkte økonomiske konsekvenser. Legger man til utgiftene som følger med å håndtere et tjenestenektangrep, så koster dette penger. Tar man med med et mulig tap av omdømme er ikke et tjenestenektangrep bare guttestreker. DNB beregnet i “DotNetFuckers-saken” at de hadde et økonomisk tap på ca 1,3 millioner kroner.

Forebygging av tjenestenektangrep

I NSMs veiledning understrekes det at kunnskap om og kjennskap til egen IKT-infrastruktur er helt grunnleggende forutsetninger for å lykkes med forebyggende sikkerhet. I DDoS-konteksten er det tre hovedområder som er spesielt viktige: Sikkert design, sikker konfigurasjon og sikker drift og vedlikehold. I tillegg er det lurt å gjennomføre kontrollert testing og verifikasjon av tåleevnen til de eksponerte komponentene i IKT-infrastrukturen.

Når NSM har laget en veiledning med grunnleggende tiltak for forebygging av tjenestenektangrep er det viktig å presisere at implementering av tiltakene ikke er en garanti for at man kan unngå tjenestenektangrep. Legger vi mitt eksempel om billettsalget til grunn, så er tjenestenektangrep et matematisk regnestykke som handler om hva nettverket (målet) er skalert til å tåle av henvendelser fra omverden. Dersom angriperen overgår det antallet i volum, vil målet til slutt bryte sammen og angriperen har nådd sitt mål.

Uansett anbefaler vi virksomheter å se nærmere på de ulike tiltak som kan bidra til å forebygge at de blir utsatt for tjenestenektangrep. En beredskap for hvordan de håndterer slike hendelser er også viktig. Her kommer vi ikke bort fra det fortsatt behovet for å bli enda bedre på informasjonsdeling og samarbeid mellom en rekke aktører, inkludert min egen arbeidsgiver. Gårsdagens hendelse skulle bevise at vi er alle i samme båt.

Avslutningsvis er det verdt å nevne at det selvsagt arbeides med å redusere antall botnet og her samarbeides det i utstrakt grad på tvers av landegrensene, men det er et annet blogginnlegg.

Posted in Informasjonssikkerhet, Internettsikkerhet, Teknisk | Leave a comment

Skattepengene dine er her….. eller er de det?

Dette blir et kort blogginnlegg til meg å være. Men jeg tenkte jeg skulle dele siste døgns private fangst av e-poster som er eksempler på nettfiske og et forsøk på å infisere min datamaskin.

Vi har skrevet en del om nettfiske og annet tidligere – ikke minst om trusselaktørenes angrepsvåpen nr 1 – E-post!

E-POST FRA SKATTEETATEN
Skattepengene dine er her, eller er de det? Jeg tror de fleste av oss rolig skal vente på at pengene kommer på konto – dersom vi har penger tilgode.
Første e-post har mange nordmenn mottatt de siste dagene. Denne har kommer i flere utgaver, men her er siste døgns variant. Jeg har markert noen elementer i e-posten som bør kunne være til hjelp for å identifisere slike e-poster dersom du er i tvil.

DETTE ER IKKE EN E-POST FRA SKATTEETATEN!

DETTE ER IKKE EN E-POST FRA SKATTEETATEN!

Hensikten med en slik e-post er å få deg til å trykke på linken. De fleste av disse linkene tar deg et sted som utgir seg for å representere avsender og vil så spørre deg om diverse personsensitiv informasjon som personnummer, kontornummer, passord m.m. Men linken kan også ta deg til et nettsted som aktivt forsøker å angripe din datamaskin. Det beste rådet er å ikke trykke på linken i det hele tatt!

Slike e-poster kaller vi for nettfiske og Skatteetaten har gitt ut egen informasjon om e-postene.

TAKK FOR AT DU HANDLET HOS OSS
Dagens andre e-post er en annerledes variant som spiller på din reaksjon på informasjonen om at du har bestilt noe som du selvsagt ikke har bestilt. Mye penger skal være belastet ditt kredittkort også! I dette tilfellet over 20.000 kroner. Er det rart at vi reagerer?

DU HAR AKKURAT HANDLET FOR OVER 20.000 KRONER!

DU HAR AKKURAT HANDLET FOR OVER 20.000 KRONER!

Her er hovedhensikten å få deg til å åpne filvedleggene som er vedlagt denne e-posten. Åpning av vedlegget starter et digitalt angrep i form av at vedlegget er infisert med “ondsinnet kode”, skadevare eller virus om du vil. Her blir det en test på hvor gode sikkerhetsmekanismer du har på din enhet. Første forsvarstiltak når du først har fått en slik e-post i innboksen er å ikke åpne vedlegget. Er du så uheldig å åpne vedlegget til tross for advarsler som dere kan lese i eksemplet over, er neste forsvarstiltak at du har oppdatert operativsystem og sikkerhetsprogramvare. Det kan stanse det digitale forsøket på å infisere din enhet. Men som i livet forøvrig er det ingen garantier.

Et råd i slike situasjoner er å ikke la seg rive med av de følelsene som trusselaktørene spiller på når de sender slike e-poster. Pust gjennom nesen, ta det med ro og les litt nærmere på e-posten som du har mottatt. Det er stor sjans for at du vil finne en rekke uregelmessigheter som avslører e-posten for det den er…

Et forsøk på å lure deg!

Ha en lurefri sommer!

Posted in Identitetstyveri, Informasjonssikkerhet, Sikkerhetskultur, Sosial manipulasjon | 1 Comment

Sikring av offentlig nøkkelinfrastruktur

For et drøyt år siden ble Nye retninger innen krypto for BEGRENSET publisert her på Sikkerhetsbloggen. Der stod det at nøkkelforvaltning for BEGRENSET skal skje ved hjelp av asymmetrisk krypto og offentlig nøkkelhierarki (Public Key Infrastructure (PKI)).

For de fleste er PKI et mangehodet troll, men nå har Microsoft publisert et dokument som kaster solskinn på trollet og dermed kanskje gjør det lettere å angripe; Securing Public Key Infrastructure. Dokumentet ble publisert 16. mai, men ble ikke omtaltMicrosofts sikkerhetsblogg før 11. juni.

Det at det er Microsoft som står bak dokumentet bør ikke skremme lesere vekk. Det er påfallende ‘lite’ i dokumentet som direkte peker på Microsofts produkter; verken deres sertifikattjener eller andre tjenester.

Dokumentet beskriver mange sider av PKI som er viktig å tenke på både før man setter opp egen PKI og underveis i sikringen og driften av PKIen. Både hierarki og antall nivåer blir diskutert, i tillegg til fysiske sikkerhetstiltak, sertifikattyper og bruk av Hardware Security Module (HSM) – i tillegg til en rekke andre emner.

Ill.: Colourbox.com

Ill.: Colourbox.com

Når det gjelder algoritmevalg peker dokumentet til rapportene til NIST [1] og ENISA [2]. NSM presenterte bruk av elliptisk kuve-basert krypto i Sikkerhetsbloggens innlegg Etablering av PKI som møter NSMs funksjonelle krav i november 2012. NSM har fortsatt ønske om bruk av ECDSA som signaturalgoritme i sertifikater og vil forlate bruk av RSA-baserte signaturer de kommende årene.

Les igjennom blogginnlegget hos Microsoft og last ned dokumentet. Det vil være et godt utgangspunkt for etablering av PKI internt i egen organisasjon eller for videre dialog med NSM om man ønsker å benytte en PKI for beskyttelse av gradert informasjon.

 

[1] NIST Special Publication 800-57 Recommendation for Key Management Part 1 (Revision 3)
[2] Algorithms, Key Sizes and Parameters Report – 2013 Recommendations

Posted in Fysisk sikkerhet, Informasjonssikkerhet, Internettsikkerhet, Kryptografi | Leave a comment

Watch Dogs – ikke bare fri fantasi

For et par uker siden kom dataspillet Watch Dogs ut på en rekke plattformer. Spillet er et av de mest forhåndsbestilte noensinne, og forventningene er høye etter en rekke utsettelser siden lanseringen for to år siden. Spillet har blitt godt mottatt av anmelderne, og fikk blant annet 9 av 10 poeng på spillnettstedet Gamereactor.

Settingen for spillet er et fremtidig Chicago, der et sentralt nettverk, ctOS, kontrollerer det aller meste av byens teknologi og informasjon, inkludert sensitive data om byens innbyggere. Som Aiden Pearce, en genial hacker med en kriminell fortid, er spilleren på jakt etter rettferdighet, blant annet gjennom å manipulere ctOS for å kontrollere trafikklys, overvåkingskameraer og personlig informasjon.

Dataspill, filmer og tv-serier fremstiller ofte hackere og hacking som noe helt annet enn det som er virkeligheten, og i en artikkel i Dagens Næringsliv kan både Hafslund og Bymiljøetaten i Oslo kommune avkrefte at hackingen i spillet er mulig, heldigvis.

Hettegenserkledde 14-åringer er ikke nødvendigvis den farligste trusselen for kritisk infrastruktur. Å manipulere trafikklys og annen infrastruktur med et skjermtrykk i en mobilapplikasjon er forhåpentligvis heller ikke en del av en fremtidig realitet. Når det er sagt, så peker Watch Dogs på en del viktige sårbarheter i dagens samfunn. Dagbladets «Null CTRL»-serie har avdekket at store mengder informasjon ligger tilgjengelig via Internett, samtidig som Cisco forventer at 50 milliarder forskjellige «dingser» vil være koblet til Internett innen 2020, noe som er mer enn en tredobling sammenlignet med i dag.

I et nettverksbasert samfunn henger alt sammen med alt, og evnen til å manipulere det som er koblet opp mot nettverket er langt fra fri fantasi. Vi leser ukentlig om nye dataangrep mot kritisk infrastruktur, enten de er i Norge eller andre steder i verden, og disse angrepene utvikler seg stadig. Dette betyr at privatpersoner og virksomheter må være bevisste hvilke data som er tilgjengelige om oss, og hva denne informasjonen kan brukes til hvis den ender opp hos uønskede. Det er nemlig ikke stor forskjell mellom «ctOS» og det mer virkelighetsnære «Internett».

Posted in Uncategorized | Leave a comment

MENNESKET – spionens beste venn!

Du bruker den digitale spionens favorittverktøy hver eneste dag!

I Aftenposten på fredag forteller Ulstein konsernet at de har vært målet for omfattende dataspionasje. En sak som føyer seg inn i rekken av andre saker, kjent eller ukjent for offentligheten. Dataangrepet er én av 16 alvorlige hendelser som er avdekket i første kvartal 2014 mot private og offentlige selskaper og virksomheter i Norge.

I fjor ble det avdekket 50 slik alvorlige hendelser og angrepsmetode nr. 1 for målrettede dataangrep baserer seg på noe veldig mange av oss bruker flere ganger om dagen.

Hva jeg snakker om? E-post selvfølgelig. Dette universelle digitale kommunikasjonsverktøyet som gjør det mulig å skrive til andre mennesker uavhengig av operativ system. E-post er også digitale spioners favorittverktøy til å iverksette det digitale angrepet som – dersom det lykkes, gjør det mulig å trenge inn i datamaskiner og nettverk for å stjele informasjon av betydning og verdi. Det som er deres favorittverktøy bruker de fleste av oss hver eneste dag og er utsatt for en betydelig risiko hvor den enkeltes atferd faktisk er med på å avgjøre om en digital spion lykkes eller ikke.

Digital spionasje

Hvordan brukes e-post til angrep/spionasje?
Noe forenklet kan vi si at e-post er den eneste kommunikasjonskanal vi automatisk «tillater» at andre tar direkte kontakt med oss på. I realiteten kan alle andre med en e-post adresse fra hele verden sende oss informasjon, filer m.m. Det åpner for at vi kan kontaktes av enhver med gode eller onde hensikter.
Som et forenklet eksempel så sender jeg deg en e-post hvor det står:

Hei!

1) Jeg trenger penger, kan du overføre 4000 kroner til min konto?
2) Du bør lese den vedlagte PDF filen
3) Du bør sjekke ut denne linken

Hilsen Roar

Jeg har ved å sende deg én e-post, levert tre metoder å «angripe» deg på.

Den første metoden er et forsøk på å svindle deg gjennom sosial manipulasjon, ved å skape en troverdig situasjon som lurer deg til å gi fra deg penger eller informasjon som jeg kan utnytte senere. Mange kjenner slike forsøk som Nigeria-svindel eller Nigeria-brev, men de kan også omtales som nettfiske. Se tidligere bloggartikler om dette.

Den andre metoden er å oppfordre deg til å lese et vedlegg til e-posten jeg sendte deg. Jeg har infisert vedlegget med en «kode» (skadevare, virus, ondsinnet kode – ukjært barn har også mange navn) som gjør at det starter et digitalt angrep på din datamaskin når du åpner vedlegget. Du kommer ikke til å se eller forstå at det digitale angrepet har startet når du åpner vedlegget. Du vil med stor sannsynlighet kunne lese vedlegget som inneholder akkurat det jeg som avsender påstår at det inneholder. Men din åpning av vedlegget har startet den digitale kampen mellom hvor god angriperen er og hvor gode forsvarsmekanismer du eller din arbeidsgiver har. Jeg kommer tilbake med mer om dette lenger ned i bloggen.

Den tredje metoden er å be deg å sjekke ut en link som når du trykker på den iverksetter et digitalt angrep. Jeg kan få linken til å se ut som den tilsynelatende tar deg til et nettområde med høy troverdighet, mens den i realiteten tar deg et helt annet sted. Det er altså nettstedet du kobler deg til som iverksetter et digitalt angrep på din datamaskin.

Dette er en forenklet måte å beskrive e-post som «angrepsvåpen», men det er ikke sjelden at vi ser reelle eksempler som kombinerer flere av metodene og gjør det enda vanskeligere for mottakeren å stå imot.

Hvorfor e-post?
Det er et betimelig spørsmål om hvordan er det mulig at en så «enkel» tjeneste som e-post utgjør en så høy risiko for både enkeltbrukere og organisasjoner. Jeg skal forsøke å bryte det ned i noen enkelte faktorer. Men før jeg gjør dette er det viktig å forstå en grunnleggende ting om dagens situasjon.

Hollywood versjonen av en hacker er Hollywood versjonen av en hacker!

Hollywood versjonen av en hacker er Hollywood versjonen av en hacker!

«Hollywood versjonen» av en hacker er «Hollywood versjonen» av en hacker. Det vil si at dersom det hadde vært så enkelt at hackeren setter seg ned med sin datamaskin og i løpet av fem minutter har hackeren trengt seg gjennom alle tekniske forsvarstiltak hos «Pentagon», da hadde vi hatt enorme problemer i vårt digitale samfunn. Jeg skriver ikke engang utfordringer, jeg skriver problemer, fordi det hadde vært store problemer.

Jeg hevder at vi blir bedre og bedre på å sikre oss rent teknologisk og det medfører at risikoen overføres til de menneskene som allerede har lovlig tilgang til de systemene som «hackeren» ønsker tilgang til. Med andre ord, den enkleste veien til målet går gjennom menneskene med tilgang og ikke direkte gjennom teknologien. De samme menneskene er enkle å nå via e-post.

Det enkleste i dag er å sende en e-post for å starte angrepet og her er noen årsaker til hvorfor det er slik:

-De aller fleste av oss har en eller flere e-post adresser
-De aller fleste bedrifter/organisasjoner bruker e-post til å kommunisere eksternt
-Posten skal frem! (Gjelder også e-post) Den når som regel frem til mottaker
-Det er faktisk mottakers jobb å åpne, lese og besvare e-post (spesielt i arbeidslivet)
-De tekniske systemene tillater mottaker å åpne e-post og vedlegg (Selvsagt!)
-Mottaker av e-post er som oftest godtroende (Mennesket – hackerens beste venn)
-Forholdvis enkelt å fremstille seg (avsender) som noe man ikke er
-Krever høy bevissthet for å avsløre de ikke-tekniske tegn på en «skummel» e-post.

Den siste årsaken er at angrepsmetoden fungerer og gir en høy grad av utbytte for angriperen. Det er i realiteten et kost/nytte spørsmål og ressurs- og kostnadsbruken ved å bruke e-post som angrepsvåpen er lav.

Hvem bruker e-post til digitale angrep?
E-post som angrepsvåpen benyttes av alle grupperinger som vi betegner som trusselaktører på nett. Alle med ulik formål, ressurser og kompetanse.
Noen er mer målrettet enn andre når de bare sender ut en eller to e-poster til sitt mål (f.eks. en bedrift), mens andre går for volum når de sender ut flere tusen e-post fra det som ser ut til å komme fra Skatteetaten eller den Danske Bank. Formålet er også forskjellig. Digitale spioner konsentrerer seg om å stjele informasjon og er i mindre grad interessert i id-tyveri og småpenger.

På toppen av pyramiden for digitale trusselaktører finner vi statlige etterretningsorganisasjoner i tradisjonell forstand, statsfinansierte eller statsstøttede organisasjoner som bedriver digital spionasje og på tredjeplass kriminelle organisasjoner med god teknologisk kompetanse og ressurser.
Det er dessverre ingenting å utsette på trusselaktørenes kompetanse, ressurser og deres evne og målrettede vilje til å angripe, trenge seg inn i – og hente ut informasjon fra datanettverk. Det skjer daglig, og det skjer over lang tid.

Konsekvensene av at norske bedrifter som Telenor, Ulstein og andre blir utsatt for digital spionasje, er ikke nødvendigvis tydelig i et kortsiktig perspektiv. Det medfører at slike spionasjesaker får noe abstrakt over seg. Konsekvensene kommer ikke før over tid og dersom informasjonen unyttes profesjonelt av de som skaffet seg ulovlig tilgang til den, skjer det på en subtil måte som indirekte skjuler utnyttelsen, men ikke nødvendigvis sluttkonsekvensene for de som mistet sin informasjon.

Som samfunn har vi sannsynligvis allerede tapt store verdier uten fullt ut å forstå at vi har et tap basert på digital spionasje. Det kan være anbudet vi aldri vant eller forhandlingen vi “tapte” basert på at en konkurrent eller motpart satt med alle kortene på forhånd.

Angriperen blir bedre og bedre, men blir vi det?
Dersom vi holder oss til e-post som angrepsmetode er det grunnlag for å si at angriperen blir bedre og bedre. Vi har beveget oss fra generelt dårlige sosiale manipuleringsforsøk ala Nigeria-brev på dårlig engelsk, til god engelsk, til dårlig norsk og til god norsk som sammen med helt andre manipuleringsmetoder utfordrer brukernes evne til å bidra til å stanse at det digitale angrepet starter. (Åpning av vedlegg og linker)

Vi ser nå bruken av falske e-poster som trer naturlig inn i den daglige dialogen mellom kollegaer i samme bedrift eller andre e-poster som forutsetter at angriperen har benyttet mye ressurser i forarbeidet før e-posten sendes akkurat til den ene mottakeren. Sjansen er betydelig høyere for at du åpner et vedlegg eller en link som er av høy profesjonell interesse for deg som ansatt eller et vedlegg eller link som treffer dine innerste lidenskaper og interesser – enn om du skulle få et «godt» tilbud fra en Nigeriansk prins.

Det finnes en enkelt måte å redusere risikoen på. Det er å slutte å bruke e-post, men det kommer ikke til å skje i neste uke! Det er mulig noe slikt skjer i fremtiden, men ikke nødvendigvis for å redusere risiko, men fordi det da finnes noe som fungerer bedre som et universelt kommunikasjonsmiddel. Det er mulig mange ville ha jublet over å kunne slutte å bruke e-post, kanskje av helt andre årsaker enn informasjonssikkerhet, men jeg tror de kommer til å måtte vente lenge.

Vi må, slik det ser ut, leve med e-post og da bør vi ta inn over oss at e-post er angrepsvåpen nr.1.

Det er ikke enkelt å skulle løse denne utfordringen. Det gjøres mye på den tekniske siden, men også her ser vi store forbedringspunkter. Veldig mange norske virksomheter har fortsatt ikke gjennomført grunnleggende og enkle tekniske tiltak som ville øke deres evne til å beskytte seg. Se anbefalingen fra NSM her – «Slik stopper du 90% av dataangrepene»

Det gis også enkelte vanskelige og til dels dårlige råd. På den ene siden «advares» brukerne mot e-post samtidig som det forventes at vi som brukere (både i arbeidslivet og privat) skal motta, vurdere, åpne vedlegg, videresende om så er. Da kan det ikke gis råd som; «åpne aldri e-post eller vedlegg fra folk du ikke kjenner» Det er jo nettopp det vi må, dersom vi skal gjøre jobben vår. Slike anbefalinger oppleves kanskje som gode sikkerhetsråd, men de overlever ikke møtet med hverdagen for den enkelte bruker.

Vi må leve med risiko
Uansett teknologiske tiltak, kommer vi til å få e-poster i innboksen vår som potensielt er skadelig for virksomheten vi arbeider i eller for oss som enkeltindivider. Her kommer vi etter min mening ikke forbi behovet for ytterligere styrke kunnskapen og kompetansen hos den enkelte på en slik måte at det etableres en atferd som kan bidra til å identifisere hvilke e-poster m vedlegg som kan utgjøre en slik risiko. Vi kommer aldri dit hvor brukeren kan avsløre alt før han/hun åpner et vedlegg, men vi kan forbedre vår evne til å avsløre de åpenbare forsøkene på å lure oss. Vi er faktisk avhengig av å bruke den enkelte som en menneskelig sensor, men dette er ikke enkelt.

??????????e

Slik det er nå må vi leve med risikoen knyttet til e-post, men vi bør forbedre de teknologiske og de menneskelige sikkerhetstiltakene. Men det har liten hensikt å gjøre det ene uten å gjøre det andre.

Posted in Informasjonssikkerhet, Internettsikkerhet, Sikkerhetskultur, Sosial manipulasjon, Uncategorized | 3 Comments

Slik stopper du 90 prosent av dataangrepene

For et par uker siden blogget vi om Microsofts siste sikkerhetsrapport. Rapporten viser at den digitale helsetilstanden i Norge er god. Men samtidig øker målrettede dataangrep kraftig, sa avdelingsdirektør Hans Christian Pretorius hos oss i Nasjonal sikkerhetsmyndighet.

Hva skal man gjøre med angrepene? Her har fagfolkene hos oss gode og tilgjengelige råd som alt for få har innført. De sier følgende:

Slik låser du ned datamaskinene i virksomheten din. Det koster lite penger, og stopper opp mot 90 prosent av alle dataangrepene. Og det beste av alt, PC-ene kan fremdeles brukes på helt vanlig måte. Ill.foto: Colourbox.com

Kjetting er et litt drastisk virkemiddel for å stoppe dataangrep. Men helt enkle tiltak koster lite penger, og stopper opp mot 90 prosent av alle dataangrepene, sier vi i NSM. Og det beste av alt, PC-ene kan fremdeles brukes på helt vanlig måte. Ill.foto: Colourbox.com

Enkelt å stoppe

De vanligste dataangrepene fra Internett skjer via e-poster og nettsider. En del angrep kommer også fra USB-minnepinner infisert med skadevare, gjerne opprinnelig fra Internett. De fleste av disse angrepene er teknisk sett relativt enkle å stoppe.  NSM har lenge utviklet tekniske sikkerhetstiltak for beskyttelse av nasjonens graderte IT-systemer. Erfaringer viser at virksomheter selv enkelt kan forhindre de fleste Internett-relaterte angrep og angrepsteknikker, inkludert målrettede angrep og mange såkalte Zero-Day angrep.

Empiriske målinger tilsier at virksomheter som innfører tiltakene beskrevet i dokumentet S-01 Fire effektive tiltak mot dataangrep vil stoppe 80-90 prosent av slike angrep.

Få angrep omgår alle tiltakene

I tillegg har NSM utarbeidet dokumentet S-02 Ti viktige tiltak mot dataangrep.

NSM har ikke observert internett-relaterte dataangrep som samtidig klarer å omgå alle de ti tiltakene i S-02.

Fokuset til S-01 og S-02 er grunnleggende Windows 7 sikkerhetstiltak og målgruppen er store og middels store virksomheter, primært i offentlig forvaltning. Disse forutsettes å ha en IT-avdeling som sentralt styrer sikkerheten til virksomhetens klienter.

Ingen nye sikkerhetsprodukter

Dersom virksomheten har moderne maskin- og programvare, innebærer ikke tiltakene i S-01 og S-02 at man skal kjøpe inn spesielle sikkerhetsprodukter. Primært handler disse tiltakene om å bedre utnytte viktige sikkerhetsfunksjoner i Windows som dessverre er lite brukt i mange virksomheter. Disse tiltakene hindrer blant annet ukjent (og dermed potensielt skadelig) programvare å starte opp uansett hva sluttbrukeren måtte gjøre, for eksempel i forbindelse med lesing av epost, bruk av minnepinner eller surfing på Internett.

De ti tiltakene i S-02 gir ikke 100% sikkerhet mot alle typer angrep, som for eksempel tapping av brukerkommunikasjon over Internett, tjenestenektangrep, eller angrep fra avanserte statlige aktører og angrep der angriperen har fysisk tilgang til utstyret. Tiltakene forhindrer heller ikke at lettlurte brukere oppgir sensitive opplysninger på nett.

Det understrekes likevel at de fire enkle tiltakene i S-01 forhindrer 80-90% av observerte Internett-angrep og at NSM ikke har observert Internett-relaterte dataangrep som samtidig klarer å omgå alle de ti tiltakene i S-02.

Posted in Informasjonssikkerhet, Internettsikkerhet | 1 Comment

Hvem kan sikre kommunikasjonen mellom bedrifter i Norge?

I fjor høst beskrev Sikkerhetsbloggen løsningen som skal gi sikrere mobiltelefoni i offentlig forvaltning i innlegget Kryptering av mobiltelefoni.

Ill.: Colourbox.no

Ill.: Colourbox.no

Denne løsningen forvaltes av NSM og er for brukere i offentlige etater, som departementer og direktorater. Ved at NSM forvalter løsningen på tvers av ulike sektorer blir det mulig for alle å snakke med alle andre.

Men hva med alle utenfor offentlige sektor?

Det er nemlig ikke bare offentlig forvaltning som har behov for ytterligere sikring av kommunikasjonen sin enn det vanlige mobiltelefoner gir i dag.

Uten å gå inn på den tekniske løsningen som er valgt, men se på tjenesten den leverer, kryptert tale mellom to parter, er det i hovedsak to «ting» som må på plass:

  • Tjeneste for å finne hverandre og etablere samtale (typisk Session Initiation Protocol-eller «Voice over IP»-tjener)
  • Tjeneste for forvaltning (utstedelse og vedlikehold) av krypteringsnøkler

For å få to personer til å ringe kryptert mellom seg, må de være registrert og tilkoblet til samme SIP-tjener og ha utstedt nøkler fra samme nøkkeltjener. Dette er en sannhet med modifikasjoner, men hvis ikke dette er på plass, vil oppkoblingen og sikringen av samtalen bli mer omfattende.

Dette betyr at om andre ønsker å kommunisere kryptert mellom seg må de etablere disse to tjenestene.

Ill.: Colourbox.no

Ill.: Colourbox.no

Det er relativt enkelt om man kun ønsker å kommunisere kryptert innad i bedrifter. Da kan man sette opp sin egen private SIP- og nøkkeltjener, og utstede telefonnummer og nøkler til egne ansatte. Forhåpentligvis har man også god styring med hvilke mobiltelefoner (operativsystem) man har i organisasjonen, slik at man kan velge løsninger som virker med alle telefonene.

Problemet, eller utfordringen som det politisk korrekt kalles, er når man ønsker å kommunisere sikkert på tvers av organisasjoner. Allikevel er det dette man ønsker, for jo større et nettverk er og dess flere noder et nett består av, dess mer verdifullt og brukbart blir det. Men for å kommunisere på tvers av organisasjoner, må man finne løsninger som virker på tvers av ulike mobiltelefoner og teleoperatører og finne ut hvem man kan stole på for drift og forvaltning av SIP- og nøkkeltjeneren.

Det er allikevel noen lyspunkter. Ved ende-til-ende-kryptering ved hjelp av asymmetriske nøkler og krypto vil ikke de som operer SIP-tjeneren ha mulighet til å forstå innholdet av kommunikasjonen, selv om de kan se hvem som snakker sammen. I tillegg vil ikke «sertifikat»-utstederen (om nøklene er lagd på sikker måte) kunne dekryptere trafikken.

Man må altså stole på at operatørene gjør en god jobb for tilgjengelighet og sikkerhet, men man vet samtidig at informasjonen ikke kompromitteres ved bruk av gode kryptomekanismer.

Ill.: Colourbox.no

Ill.: Colourbox.no

Deretter må man velge hvilken løsning som skal benyttes. Det er etterhvert kommet flere ulike løsninger som tilbyr ulike tjenester, fra ren tale til meldinger og chat. Hvilke løsninger som kan benyttes er avhengig av hvilke mobiltelefoner som skal støttes. Som vanlig gjør variantbegrensning det enklere, men det er omtrent umulig å få en organisasjon til å bytte ut alle mobiltelefoner for å gå over til en ny plattform.

Ved bruk av standardiserte mekanismer burde det være mulig å få interoperabilitet på tvers av ulike løsninger. Dessverre er ikke markedet så modent ennå at det er lett å snakke på tvers av leverandørers løsninger, i alle fall ikke uten å gå via gateway’er som dekrypterer trafikk fra én løsning og rekrypterer trafikken til en annen løsning.

Så, avslutningsvis kan man bare stille et åpent spørsmål. Hvem kan eller bør drifte en løsning for å sikre kommunikasjonen mellom privatpersoner og bedrifter i Norge? Og, for at noen skal drifte løsningen må det jo være interessant å benytte slik tjeneste, men avsløringer de siste årene burde bekrefte behovet for å benytte kryptering.

Posted in forvaltningen, Informasjonssikkerhet, Kryptografi | Comments Off

God helsetilstand på nett, men målrettede angrep øker

Den digitale helsetilstanden i Norge er god sammenlignet med resten av verden, viser Microsofts Security Intelligence Report. Men målrettede dataangrep øker kraftig.

Rapport nummer 16 fra Microsoft ble lagt frem i begynnelsen av mai. Rapporten er svært omfattende, og er basert på én milliard sensorpunkter over hele verden, blant annet gjennom Windows Malicious Software Removal Tool, som skanner PC-er for sårbarheter før de setter i gang med oppdatering. Microsoft blogget også i går godt og forståelig om rapporten. 

De nordiske landene er blant de mest best helse på nett, viser Microsofts Security Intelligence Report nr. 16, som kom i går.

De nordiske landene er blant de med best helse på nett, viser Microsofts Security Intelligence Report nr. 16, som kom i går.

Et rent land

Både forsøkene på infeksjoner av norske maskiner, og faktiske infeksjoner, er lav i Norge sammenlignet med resten av verden.

- Det er en god helse på nettet i Norge, sa Ole Tom Seiersted i Microsoft på en pressesamling i mandag.

- Dette viser at Norge er et rent land i verdenssammenheng. Men bildet er noe mer nyansert når det gjelder vellykkede dataangrep, sa avdelingsdirektør i Nasjonal sikkerhetsmyndighet, Hans Christian Pretorius, på samlingen.

Målrettede angrep

For samtidig som antallet infiserte PCer i Norge er fallende, er antallet målrettede dataangrep kraftig økende.

– Der Norge angripes, brukes det avanserte angrepsmåter som ikke havner på ti på topp-listene over de mest vanlige infeksjonene. Det rene, målrettede angrepet hvor man ønsker å stjele informasjon gjøres av tunge aktører med mye kompetanse.

Kjente sårbarheter

Han fikk støtte av Ole Tom Seiersted i Microsoft.

– Det som benyttes i målrettede angrep havner ikke på topp ti-lista, fordi angrepene er få, og  målrettede.

Men det er mulig å gjøre noe med de målrettede angrepene, sa Pretorius, med enkle virkemidler.

- Vi ser at man stort sett bruker kjente sårbarheter for å bryte seg inn i datasystemer. Hadde norske bedrifter gjort hjemmeleksa, og oppdatert dataprogrammer når oppdateringene kommer, hadde vi tatt ned tallene betraktelig, sa Pretorius.

Ansatte som sensorer

Tore Orderløkken fra NorSIS deltok også på pressesamlingen. NorSIS har et brukerperspektiv, og jobber mot små- og mellomstore bedrifter. De ser en økning i såkalte phishing-angrep, hvor målet er å få vanlige brukere til å gi fra seg informasjon ved å trykke på en lenke på en epost eller legge igjen informasjon på et skjema.

- Vi har fått flere henvendelser i det siste. Mange tar kontakt etter at de allerede har gitt fra seg informasjon, men skjønner de har gjort noe dumt, sa han. Sensorer for å se hva som skjer i nettverkene er bra, sa han.

- Men de ansatte er også gode sensorer. De må læres opp i hva de skal se etter og hjelpe til med å stoppe angrepene.

Hvordan stoppe angrepene?

Lurer du på hvordan du skal stoppe mesteparten av dataangrepene mot bedriften din? Les veilederne under. De inneholder helt enkle tiltak, som stopper 80 – 90 prosent av alle dataangrep, men som alt for få har implementert foreløpig.

Fire effektive tiltak mot dataangrep.

Ti viktig tiltak mot dataangrep.

 

Posted in Uncategorized | 1 Comment

Det er ikke teknologien som forsøker å lure deg, det er mennesker!

Vi gjør stadige nye teknologiske fremskritt, men det er jo ikke slik at teknologien utvikler seg selv. Det står mennesker bak utviklingen som for mange av oss går raskere og raskere. Tilbake står de fleste av oss som passive tilskuere eller ivrige brukere, men jeg påstår at de færreste av oss forstår teknologien vi omgås og bruker i det daglige. Vi er analoge mennesker i en digital verden!

I følge Politidirektoratets nylige fremlagte rapport om «Tendenser i kriminalitet – Utfordringer i Norge» forventes det en økning i IKT-kriminalitet, både i omfang og profesjonalitet. Den teknologiske utviklingen utfordrer oss som mennesker på godt og vondt. Men også i det digitale rom må den enkelte ta ansvar for egen atferd og utvise et så godt skjønn som mulig. Dessverre blir vår analoge atferd stadig et lett bytt for kyniske digitale krefter.

Nettfiske?
Faste lesere av sikkerhetsbloggen har helt sikkert hørt om «Phishing» eller «nettfiske» på «godt norsk» Men det betyr ikke at alle som bruker internett har hørt om eller forstår hva det er. Uansett har de fleste av oss med en e-post adresse eller to, med stor sannsynlighet mottatt en eller flere e-poster som har vært forsøk på nettfiske! Nettfiske er et samlebegrep som beskriver hvordan mennesker blir lurt til å gi fra seg sensitiv informasjon eller penger på Internett.

Hver eneste dag sendes det ut nye e-poster fra kriminelle organisasjoner og miljøer som har til hensikt å lure deg til å gjøre noe som er dumt for deg, men innbringende for andre. Vi ser tegn på at de kriminelle blir dyktigere til å produsere og pakke inn sine svindelforsøk. De utnytter og bruker menneskelige behov og følelser som fristelser, frykt og tillit som sine våpen. Så lenge nye e-poster blir sendt ut er det dessverre et godt tegn på at denne virksomheten lønner seg.

I slutten av mars måned i år kom det en bølge av e-poster som angivelig så ut til å komme fra Skatteetaten og i samme periode mottok mange e-poster fra Den Danske Bank. Ingen av de to organisasjonene var avsender og Skatteetaten har politianmeldt svindelforsøket. Begge e-postene hadde til hensikt å få mottakeren til å utlevere personlig og finansiell informasjon som senere kunne utnyttes til å skaffe seg økonomisk gevinst på din, min og samfunnets bekostning.

Ble så mottakerne av disse e-postene utsatt for «phishing» eller «nettfiske»? Glem begrepene fra den abstrakte «digitale verden» og flytt hendelsene over til den eneste verden vi har, den virkelige! E-postene fra «Skatteetaten» og «Den Danske Bank» var et forsøk på å lure oss, for så å begå svindel, bedrageri eller tyveri for å bruke noen kjente begreper fra den virkelige verden.

Illusjonen om den digitale verden.
Vi som arbeider med teknologi og sikkerhet har vært «flinke» til å finne nye spennende navn på alt som følger i kjølvannet av den teknologiske utviklingen. Fra før har de som driver med markedsføring av teknologien kommet med «gode» bidrag som heller ikke har gjort det enklere for den analoge forbrukeren.

Vi har bidratt til å skape illusjonen om at det eksisterer to verdener. Den virkelige verden og den digitale verden. Mange virker til å tro at deres digitale atferd ikke medfører konsekvenser i den virkelige verden og deres atferd er deretter.

Se for deg at du møter en fremmed mann på gaten. Han spør om han kan få ta et bilde av deg – om han kan få låne mobiltelefonen din for å lese alle meldingene du sender og hvem du har i kontaktlisten din. Han spør om han kan få se i lommeboken eller håndvesken din før han avslutter med spørsmålet om å få være med deg hjem for lese i dagboken din. Hvem av oss sier ja til den fremmede mannen som spør? Ikke mange tror jeg, men samtidig er det noe smått tragikomisk at de fleste av oss som sier nei til mannen på gaten, går hjem eller på jobb hvor vi bruker pc, nettbrett eller mobil til å utlevere mye av den samme informasjonen – bare med den forskjellen at denne informasjonen nå er søkbar og tilgjengelig på nettet for nesten hele verden. Men det er jo kanskje ikke noe problem, for det skjer jo i den digitale verden?

Hva ville du ha gjort i den virkelige verden?
Du kan gjøre det lettere for deg selv ved å flytte situasjoner bort fra den digitale verden og over til den virkelige verden.

Istedenfor en e-post fra banken din som ber deg utlevere navn, personnummer, kontonummer og kredittkortnummer så tenk deg at det ringer på døren din – du åpner og der står der en mann i dress som påstår at han kommer fra banken din. Du spør personen om legitimasjon, men det kan han ikke vise deg, så du har ingen bevis på at han er den han sier han er og at han representerer banken din. Men likevel forteller han deg at banken din har store problemer med oversikten over en rekke bankkontonummer og av den grunn er det ønskelig at DU viser legitimasjon, oppgir kontonummer og gjerne et par passord i samme slengen! Glemte han å si at det haster?

Godaften Frue! Det er fra banken deres!

Godaften Frue! Det er fra banken deres!


Ville de fleste av oss ha gitt denne personen noe som helst? Eller ville vi ha avslørt personen som stod utenfor døren vår for den han virkelig var? – En svindler!

Den ene dagen er det problemer med banken din, den andre dagen er det muligheten til å tjene store penger, bare du hjelper en nigeriansk prins med midlertidige likviditetsproblemer og den tredje dagen er det skatteetaten som ønsker så raskt som mulig å gi deg skattepengene dine, men du må handle raskt! Er det mulig å ha slik flaks? Lite trolig! Det er få ting i livet som er gratis og det er sjelden du finner dem på Internett! I hvert fall i form av en tilsendt e-post.

Vi må bli enda bedre til å forstå at det ikke er teknologien som forsøker å stjele våre penger, identitet eller informasjon, Det er mennesker som bevisst gjør dette mot oss, teknologien er bare et hjelpemiddel. Glem teknologien! Gjør situasjonen analog! Flytt hendelsen over til den virkelige verden og tenk på hva du ville ha gjort dersom du ble utsatt for dette på gaten istedenfor i det digitale rom.

Det finnes kun en verden og det du gjør på nett har konsekvenser i det virkelige liv.

Posted in Identitetstyveri, Informasjonssikkerhet, Sosial manipulasjon | 1 Comment