lørdag 6. november 2010

Trenger vi NSM?

I siste halvdel av oktober ble Nobelkomitéens digitale infrastruktur offer for det som ble omtalt som et avansert, målrettet angrep.
Hva er et avansert, målrettet angrep?
« Targeted threat ... a class of malware destined for one specific organization...» 1
"... a type of offensive action characterized by preplanned co-ordinated employement of firepower and manoeuvre to close with and destroy the enemy." 2
Tygg litt på formuleringene; «destined for one specific organization» og «preplanned coordinated employement of firepower»!
Dette er helt andre formuleringer enn de vi vanligvis hører når sikkerhet og trusler i tilknytning til internett omtales - Virus og andre «trusler» på internett treffer tilfeldig - De er sjelden ment spesifikt for hverken Kari eller Ola men treffer tilfeldige maskiner som kanskje ikke er fullgodt beskyttet. Er de en trussel eller en risiko?
Hvorfor er det spesiellt at Nobelkomitéen blir en specific organization destined to be targeted by a preplanned and coordinated attack?
Totalbildet av et målrettet angrep er bygget opp av noen faktorer som kanskje kan hjelpe oss å forstå bedre. En slik angriper har:
  • Kapasitet. Teknisk kapasitet og nødvendig kompetanse til å anvende denne
  • Evne til å lede angrepet (planlegge og gjennomføre) - utøve "kommando og kontroll", K2.
  • VILJE til å projisere sin kapasitet og evne mot et mål.
  • Sist men ikke minst: EN INTENSJON! Angriperen ønsker å oppnå noe! 
Noen har omtalt angrepet på Nobelkomitéen som en "script-kiddie-like"-sak 3 men la det være helt klart - dette er mer alvorlig enn som så! Denne angriperen er ikke en «(usual) cyber criminal» på jakt etter profitt.
Hvis ikke profitt, hva er da angriperens intensjon?
Jeg kunne selvsagt vært forsiktig med å legge for mye i ordene «avansert» og «målrettet» men jeg antar at Aftenpostens kilde, Frank Stien i Telenor Security Operations Center (TSOC) i Arendal, har mer enn en indikator på at dette er riktig betegnelse på dette angrepet.
Jeg tror ikke TSOC bruker slike ord tilfeldig - Spesiellt i en sak der man i tillegg har funnet det nødvendig å varsle Nasjonal Sikkerhetsmyndighet (NSM) og dennes underbruk Norwegian Computer Emergency Response Team, NorCERT. TSOC og andre i Telenor har nok diskutert lenge før man har valgt denne formuleringen!
Og hvordan reagerte NSM?
– Vi gjør ikke noe spesielt, men følger med på sidene til Nobelinstituttet, sier informasjonssjef Kjetil Berg Veire i NSM til NTB.
Det er NorCERT, Norges nasjonale senter for håndtering av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon, som følger opp datasikkerheten i Norge. Organisasjonen drifter og organiserer et nasjonalt sensornettverk på internett for å forebygge og informere om alvorlige trusler på internett.
Nobelkomitéen kan neppe kategoriseres som samfunnskritisk infrastruktur men er i fjerde kvartal hvert år en av Norges viktigste internasjonale profiler. Det internasjonale samfunn har sannynsligvis betydelige problemer med å skille mellom Nobelkomitéen og det offisielle Norge (bl.a. utnevner Stortinget komitéens medlemmer, store deler av regjering og storting deltar på prisutdelingen etc etc).
Minst en fremmed stat - en svært kapabel i tillegg - har oppfattet årets fredspristildeling (til Liu Xiaobo) som en en pris fra den norske regjering, ikke en pris fra Nobelkomitéen.
Mot dette bakteppet; Hva betyr et angrep på Nobelkomitéen? Hvilken intensjon har angriperen?
Og NSM gjør ikke noe spesiellt! (men de la ut en sak om HVORDAN du blir angrepet, ikke hvorfor...)
Jeg har forsøkt å dykke ned i hva NSM og NorCERT er og kommet til følgende:
NSM, med sine ca 130 ansatte, fyller mange viktige funksjoner knyttet til nasjonal sikkerhet så som bl.a. informasjon, personkontroll og kryptoforvaltning. NSM som sådann er ikke problemet - problemet heter NorCERT!
NorCERT består av ca 20 personer - Muligens forsterket med et antall vernepliktige (!) - og bemanner et «Operasjonssenter». Operasjonssenter høres imponerende ut: Til enhver tid bemannet med minst tre personer: En hendelseskoordinator, en analytiker og en vakthavende.
For drift 24/7/365 hevdes det fra faghold at man må ha mellom seks og åtte skift for å drive iht Arbeidmiljøloven. HELE NorCERT er med andre ord opptatt med drift av operasjonssenteret... tre personer er på jobb, resten har pålagt fritid. Hvem skal da utøve NorCERTs andre funksjoner?
Hvorfor var det Telenor som avdekket angrepet på Nobelkomitéen, ikke NorCERT?
NorCERT som til enhver tid skal ha et oppdatert teknisk trusselbilde, som skal varsle om alvorlige angrep, trusler og sårbarheter, NorCERT som skal koordinere respons på alvorlige IT-sikkerhetsangrep mot viktig infrastruktur (hvem drifter serverne for Nobelkomitéen?), NorCERT som skal forebygge alvorlige angrep, og til slutt:
NorCERT som skal innhente informasjon om alvorlige sikkerhetstruende hendelser på Internett!
Men NSM/NorCERT «gjør ikke noe spesiellt...»
Når ble NSM/NorCERT varslet av TSOC og var angrepets omfang kjent på det tidspunktet?
Før omfanget var kjent må angrepet uansett falle inn i kategorien «alvorlige sikkerhetstruende hendelser på Internett» som potensiellt kunne ramme det offentlige Norge - hvor IT-sikkerhetskompetansen ikke kan sies å stå til troende. (DSS og FAD var nylig gjenstand for en smule oppmerksomhet knyttet til datasikkerhet – Av en alvorsgrad som ministeren mener departementet ikke er i stand til å håndtere selv!)
Når reagerte NorCERT - Hvor lang tid tok det fra TSOC varslet til NSM bestemte seg for ikke å gjøre noe spesiellt - Det å ikke gjøre noe er også en beslutning som bør gjennom de vanlige beslutningsprosessene! Innhentet NorCERT informasjon fra TSOC?
TSOCs nyhet ble etterhvert postet på bl.a. SANS4 og var «the talk of the town» den dagen. NorCERT, med tre personer på vakt hele døgnet, må ha fattet interesse for angrepet på Nobelkomitéen!


Nok om angrepet. NorCERTs bemanningsbilde og offentlige profil peker i retning av at organisasjonen er en IT-driftsrådgiver som fokuserer på virus-signaturer, patching og brannmurer, organisasjonen blir ikke trusselrettet, ikke fremadrettet - Den blir ikke forebyggende men reaktiv - Operasjonssenteret blir et reaksjonssenter! Og utøver funksjoner som kommersielle aktører gjør bedre og med større troverdighet. 

Trenger vi NSM/NorCERT?
God helg!
2 APP-6A - Military Symbols for Land Based Systems
3 http://techblog.avira.com/2010/10/27/new-firefox-exploit-in-the-wild/en/  "It is currently unclear why obviously a script-kiddie-like malware abuses such a valuable 0-day vulnerability; usually cyber criminals abuse them for profitable malware."
4 http://www.sans.org/

3 kommentarer:

Arthur Wellesley sa...

Hva var det som skjedde?

En god og grundig refleksjon av Vogt. Det er på det rene at NSM ikke er alene om å se lett på saken, slik Vogt peker på. Et eksempel er det tyske sikkerhetsselskapet Avira som konkluderer slik: "It is currently unclear why obviously a script-kiddie-like malware abuses such a valuable 0-day vulnerability; usually cyber criminals abuse them for profitable malware."

Avira konkluderer altså med at en såkalt zero-day-sårbarhet er utnyttet av script-kiddie-lignende malware og skjønner ikke at det er alvor fordi slike zero-day-sårbarheter utnyttes av cyberkriminelle for å stjele penger, kredittkort eller bedrive ID-tyveri. Det minner om den offisielle holdningen i Norge; sikrer du deg med antivirus, brannmur, oppdaterer operativsystem og lar være bruke Facebook og sosiale medier da går ikke noe galt. I de siste årene er det jo disse budskapene vi har hørt fra norske ofisielle sikkerhetsanstalter, NSM inkludert.

Hvis jeg har lest SANS, TSOCs blogg, andre sikkerhetsnettsider og Aftenposten korrekt så har altså en zero-day-sårbarhet blitt utnyttet til å åpne en bakdør. Det er beskrevet knytninger mot Taiwan sier TSOC som oppdaget hendelsen i følge Aftenposten. Men hva ble bakdøren brukt til?
Fra media og blogger leser jeg altså at det ikke lå jakt på id-tyveri eller kredittkortinfo bak angrepet, det var altså ikke "Crime", men hva var det da? Ikke har jeg klart å finne at den aktuelle zero-dayen i Firefox ble benyttet til noe annet enn denne ene hendelsen. En zero-day er verd store summer i cybercrime-miljøet, kunnskap om slike sårbarheter er salgsvare. Men de summene var altså ikke av interesse.

Hva vil skje ved utdelingen av Fredsprisen? Var det som skjedde natt til 26. oktober show of force? NSM "gjør ikke noe spesielt". Det er ofte nyttig å sette seg inn i den politiske konteksten har jeg hørt et sted.

Er det kanskje slik at vi trenger en cyberkapasitet og -kapabilitet, men at den slett ikke skal tilhøre eller være organisert i NSM? På den måten kan NSM være et forvaltningsorgan og ikke bedrive operativ reaktiv virksomhet i deler av døgnet.

/Arthur W.
Marshal


Avira:
http://techblog.avira.com/2010/10/27/new-firefox-exploit-in-the-wild/en

Zero-day-attacc
http://en.wikipedia.org/wiki/Zero-day_attack

Kjetil Berg Veire sa...

Til orientering: Hvordan NorCERT reagerer på ulike hendelser er veldig ulikt - i enkelte tilfeller blir vi orientert eller varslet, undersøker saken, og ser at den blir håndtert på en god måte og at det ikke trengs assistanse fra oss. I andre saker bruker vi kanskje uker og måneder på å assistere virksomheter som er rammet av ulike typer hendelser, blant annet på analyse av skadevare, eller bistand på andre måter. I dette tilfellet ble saken håndtert på en veldig god måte av Telenor Security Operation Center (TSOC) på vegne av Nobelinstituttet. Da holdt det for oss å være orientert om hva som ble gjort, og samtidig følge med på hendelsen nasjonalt og internasjonalt. Kjetil Berg Veire, informasjonssjef Nasjonal sikkerhetsmyndighet (NSM)

Jens-Christian Vogt sa...

Dette er ikke over. Sjekk fra F-secure;

http://www.f-secure.com/weblog/archives/00002061.html