Den siste tiden har det vært store dataangrep i Norge: Både mot regjering, bedrifter, media og politi. Omfanget og metodene de ondsinnede hackerne har brukt, varierer mye. Men målet er det samme: De ønsker å få tilgang til informasjon som de enten kan selge videre eller bruke selv i videre angrep.
Om en angriper klarer å sende epost som domene til organisasjoner som andre stoler på og har tillit til, for eksempel en offentlig myndighet, er det stor sjanse for at folk lar seg lure.
Våre etiske hackere har testet hvor lett det er å sende epost som domene til ulike statlige, offentlige og private bedrifter i Norge. Resultatet viser at sikkerhetsnivået er for lavt i samtlige sektorer.
En angriper vil alltid lete etter den enkleste veien inn i systemet ditt, og denne veien er ofte gjennom dine ansatte og deres epost – også kjent som Phishing. Å sørge for god epost-sikkerhet er derfor svært viktig for å sikre seg mot angrep utenfra. Utfordringen er at veldig mange virksomheter har satt opp epost-sikkerheten feil, som gjør at det blir enkelt å sende epost som domenet deres.
I vår test av epost-sikkerhet har vi tatt for oss ulike bransjer og sektorer, og sammenliknet hvor mange som har implementert alt riktig, hvor mange som ikke har ting på plass, og ikke minst hvor mange som har feilkonfigurert sitt epost-oppsett. Vi ser at det er veldig mange virksomheter har etablert mekanismer for å hindre misbruk, slik som SPF, DKIM og DMARC, men problemet er at det ikke er konfigurert riktig.
Vi har undersøkt sikkerheten hos utvalgte virksomheter i disse bransjene/sektorene:
Banker, sykehus, politiske partier, departementer, Stortinget, Regjeringen, etterretning / politi /forsvar og IT-sikkerhetsvirksomheter.
Epost er en veldig stor del av den daglige kommunikasjonen mellom mennesker, bedrifter og myndigheter. Samfunnet vil i dag ikke fungere uten den formen for digital kommunikasjon. E-post som ikke har korrekt konfigurerte tekniske sikringstiltak og som ikke har tilstrekkelig opplæring av ansatte i trygg bruk, vil ha en høy sikkerhetsrisiko.
Vår analyse viser at 63% av alle domener kan misbrukes, og at over 40% ikke har DMARC konfigurert i det hele tatt. DMARC brukes som sagt for å forbedre sikkerheten rundt epost i virksomheter.
Utfordringen med epost, er at dersom sikkerheten ikke er tilstrekkelig konfigurert, er det enkelt å sende ut falske eposter (phishing) som andre sitt domene. Angriperen kan da bruke dette til å skaffe seg ytterligere informasjon som kan resultere i tilganger til andre systemer og sensitiv informasjon. Konsekvensene kan med andre ord bli store.
Vi har funnet domene for de ulike bransjene/sektorene fra Norid og Wikipedia. Det er viktig å påpeke at vi har brukt hoveddomene, og ikke underdomene. Etter at vi har laget en lang liste med domener, har vi brukt et program for å analysere hvert domene. Dette programmet vil analysere om SPF og DMARC er satt opp, om de er feilkonfigurerte og om det er mulig å sende ut falske eposter fra domenet.
Ifølge Wikipedia er det 144 forskjellige domener knyttet opp mot banker i Norge. Dette er forretningsbanker, sparebanker og utenlandske banker som bruker foretaksformen «Norskregistrert utenlandsk foretak» og trenger konsesjon fra Finanstilsynet
SPF-konfigurert |
DMARC-konfigurert |
Domener som kan misbrukes |
132 av 144 (91.67%) |
121 av 144 (84.03%) |
103 / 144 (71.53%) |
Netsecurity sin analyse viser at hele 103 av 144 banker ikke er godt nok sikret. I praksis betyr det at det er enkelt for en angriper å sende ut falske eposter som disse bankene. Når vi driller ned i tallene, kan vi se at av 103 domener, er det 67 av dem der angripere kan sende falske eposter fra hoveddomenet og 5 fra underdomenet, de resterende er enten feilkonfigurerte eller mangler DMARC.
Ifølge Wikipedia er det 64 unike sykehus i Norge. Flere av sykehusene bruker samme domene. Siden flere av disse benytter samme domene, er antallet domener vi har undersøkt, 30 stykker.
SPF-konfigurert |
DMARC-konfigurert |
Domener som kan misbrukes |
29 av 30 (96.67%) |
29 av 30 (96.67%) |
9 / 30 (30%) |
Som vi kan se, er det 9 domener som ikke er fullstendig sikret, og som en angriper derfor kan bruke i angrep. Siden mange sykehus bruker det samme domenet, er det i realiteten hele 16 sykehus som ikke er godt nok sikret mot forfalsking av eposter.
Vi har valgt å se på alle hoveddomenene til alle de politiske partiene på Stortinget, samt de som er registrert på følgende organisasjoner i Norid.no – til sammen 126 domener:
SPF-konfigurert |
DMARC-konfigurert |
Domener som kan misbrukes |
120 av 126 (95.24%) |
97 av 126 (76.98%) |
34 / 126 (26.98%) |
Tallene viser at 1/4 av alle domenene kan bli utnyttet av en angriper – og de kommer derfor best ut av de sektorene vi har undersøkt. Men flere av partiene, samt kritiske domener som Stortinget og regjeringen benytter, er sårbare for angrep. De fleste er sårbare på hoveddomene-nivå.
Som utgangspunkt for denne sektoren, valgte vi å bruke domenene som er registrert på disse organisasjonsnumrene i Norid.no til sammen 183 domener fordelt på fire organisasjonsnummer:
SPF-konfigurert |
DMARC-konfigurert |
Domener som kan misbrukes |
58 av 183 (31.69%) |
36 av 183 (20.77%) |
166 / 183 (90.71%) |
Listen over leverandører er laget basert på treff etter leverandører av «penetrasjonstesting», «sikkerhetstesting» og «datasikkerhet». Resultatet var en liste på 46 forskjellige domener. Det er langt flere bedrifter som leverer sikkerhetstjenester enn 46, så dette er et utvalg.
SPF-konfigurert |
DMARC-konfigurert |
Domener som kan misbrukes |
42 av 46 (91.30%) |
35 av 46 (76.09%) |
21 / 46 (45.65%) |
Det er alvorlig at nesten 50% av selskapene ikke har kontroll på sin e-postsikkerhet. Gjennom blant annet Personopplysningsloven og Sikkerhetsloven, er disse virksomhetene lovpålagt både tekniske og organisatoriske sikringstiltak av digitale verdier.
Når vi sammenlikner alle domenene som kan misbrukes, ser vi at det er mange feilkonfigurasjoner. I denne testen har vi analysert 529 domener. Av disse er det 333 som kan misbrukes.
211 av de 333 domenene som kan misbrukes, har ikke konfigurert DMARC i det hele tatt. I praksis betyr det at en angriper kan sende ut falske eposter “forkledd som” domenet.
108 av de 333 domener har satt en regel i DMARC som sier «p=none» der «P» står for «policy». Når den står til None, betyr det at man ønsker å få rapporter på epost-flyten til domenet, men om noen misbruker domenet, skal ikke epostsystemet til mottakeren av eposten avvise den. Dette betyr at du ikke er sikret, selv om SPF og DKIM er riktig satt opp.
De resterende domenene har sikret hoveddomenet sitt, men ikke underdomenene. Dette betyr for eksempel at angriper ikke kan sende eposter som @selskap.no, men kan sende som @lonn.selskap.no. I DMARC vil dette typisk se slik ut: «v=DMARC1; p=reject; rua=mailto:postmaster@selskap.no; sp=none;»
Det er også flere virksomheter som bruker et konfigurasjonsvalg i DMARC kalt «pct». Det står for prosent (percent), og sier noe om hvor mange prosent av eposter DMARC-regelen skal gjelde for. Om noen har «pct=50», betyr det at 50% av alle eposter som blir misbrukt, ikke vil bli blokkert i mottaker sitt epostsystem, og derfor likevel blir levert til mottaker.
Formålet med denne analysen er å belyse hvor sårbare vi er både teknisk og organisatorisk, og ikke minst hvor viktig det er å tenke sikkerhet i alle ledd av en organisasjon. Det er ingen tvil om at det krever innsats hver dag og av alle, fra datarom til styrerom. IT-sikkerhet har for lengst blitt et ledelsesansvar, men fagekspert, ansatte, du og jeg må vise årvåkenhet og bidra. Sammen kan vi bygge et solid, digitalt forsvar.
Les mer om Netsecurity | Trygghet i en digital verden
Domenene er hentet ut fra følgende kilder: