Tietoturvakatsaus 2/2013

Transkriptio

1 Tietoturvakatsaus 2/2013

2 Sisältö Tietoturvakatsaus 2/ Kauden merkittäviä tapahtumia Tietoturva nyt! seminaari Uudet PGP-avaimet Valtionhallintoon kohdistuvien tietoturvaloukkausten käsittelyä tehostetaan Kyberturvallisuuskeskus Uudet ilmiöt Itella tietomurron kohteena Internet Census projekti Sähköisen viestinnän luottamuksellisuus Pitkäkestoiset ilmiöt Kohdistettuja hyökkäyksiä havaitaan kaikkialla maailmassa Tietoturvaongelmia yleisesti käytetyissä ohjelmistoissa Www-selaimet Www-selaimien laajennukset Julkaisujärjestelmät ja niiden laajennukset Yleisen viestintäverkon poikkeamat CERT-FI tapahtumailmoitukset Autoreporter-tilastot Autoreporter-havainnot kategorioittain Verkkomadot - Conficker Zeus-haittaohjelmahavainnot Viestintäverkkojen vika- ja häiriöilmoitukset D-luokan häiriöt vuonna Yöaika ja luonnonilmiöt pitkittävät viestintäverkkovikojen korjausaikoja Tietoturvakatsaus 2/2013 2

3 Tietoturvakatsaus 2/2013 Toisen vuosineljänneksen aikana CERT-FI käsitteli 1002 tietoturvatapausta sekä 55 merkittävää televerkkojen häiriöilmoitusta. Alkuvuonna 2013 CERT-FI:lle ilmoitettuja tietoturvatapauksia oli 1169, kun taas merkittäviä televerkkojen häiriötapauksia Q1 Q2 0 Kuva 1. CERT-FI:lle ilmoitetut tapaukset CERT-FI:n käsittelemistä tietoturvatapauksista huomiota herätti Itellan verkkopalvelujen luvaton hyväksikäyttö jo vuosia sitten vuotaneita salasanoja apuna käyttäen. Tapaus oli jälleen kerran hyvä muistutus siitä, että eri verkkopalveluissa on syytä käyttää eri käyttäjätunnuksia ja salasanoja. Autoreporterin kautta CERT-FI sai tietoonsa toisen neljänneksen aikana haittaohjelmatartuntaa Suomessa. Keskimäärin ilmoituksia tuli 500 saastuneesta IP-osoitteesta päivittäin. Java-haavoittuvuuksien hyödyntäminen jatkuu edelleen. Ongelmalliseksi tilanteen tekee muun muassa se, ettei Oracle tuota haavoittuvuuksiin ajantasaisia päivityksiä. Myöskään Javaa käyttävät organisaatiot eivät asenna esimerkiksi työasemilleen Java-päivityksiä säännöllisesti. JAR-latausten rajoittaminen on hillinnyt merkittävästi Java-haavoittuvuuksien hyväksikäyttöä. Toisen neljänneksen aikana CERT-FI on saanut lunnaita vaativista haittaohjelmista vähemmän yhteydenottoja loppuvuoteen 2012 ja alkuvuoteen 2013 verrattuna CERT-FI julkaisi Tietoturva nyt! -uutisen (Suomessakin Carna-bottiverkon saastuttamia laitteita), laajaa huomiota herättäneestä tutkimuksesta, joka liittyi Internet Census projektiin. Tutkimuksessa verkon avoimia laajakaistaliittymien päätelaitteita ja internetiin liitettyjä digitv-vastaanottimia skannattiin Carna-bottiverkon avulla. Projektiin liittyvän raportin mukaan avoimia laitteita havaittiin myös Suomesta. Toisen vuosineljänneksen merkittäviin tapahtumiin kuului Viestintäviraston ja Huoltovarmuuskeskuksen järjestämä perinteikäs Tietoturva nyt! -seminaari, joka pidettiin toukokuun alussa Helsingissä Säätytalolla. Tällä kertaa seminaarissa keskityttiin kohdistettuihin hyökkäyksiin. Tietoturvakatsaus 2/2013 3

4 Merkittäviä olivat myös keskustelut Viestintävirastoon perustettavasta Kyberturvallisuuskeskuksesta ja GovCert-toiminnosta. Edward Snowden ja NSA-tietourkintakohu toivat puolestaan tietourkintatapaukset esille. 1 Kauden merkittäviä tapahtumia 1.1 Tietoturva nyt! seminaari Viestintävirasto ja Huoltovarmuuskeskus järjestivät Tietoturva nyt! -seminaarin Säätytalolla Helsingissä. Paikalla oli noin 250 tietoturva-alan ammattilaista. Tietoturva nyt! seminaarin keskeisenä sisältönä oli yritysten tietoturva ja kohdistetut hyökkäykset. Kohdistettuja hyökkäyksiä käsiteltiin laajasti muun muassa Dell SecureWorksin Joe Stewartin, Viestintäviraston Jussi Erosen ja Sauli Pahlmanin esityksissä. Puhujista Mark E. Smith käsitteli kriittistä infrastruktuuria, Suomen, EU:n ja Yhdysvaltojen kyberstrategioita sekä kyberturvallisuuden toimia. Joe Stewart puolestaan kertoi kohdistettujen hyökkäyksien toimintaperiaatteista ja esitteli toimia hyökkäyksien havainnointiin ja estämiseen. 1.2 Uudet PGP-avaimet CERT-FI uusi kaikki PGP-avaimensa Yksi avainten vaihdon syistä on aikaisemmissa avaimissa käytössä ollut turvaton SHA1-tiivistealgoritmi. 1.3 Valtionhallintoon kohdistuvien tietoturvaloukkausten käsittelyä tehostetaan Eduskunta hyväksyi lisätalousarviossaan GovCERT- ja GovHAVARO-palveluiden kehittämisen valtionhallinnon organisaatioiden käyttöön. GovCERT-asiantuntijapalvelun tuottaa Viestintävirasto, ja sitä tarjotaan valtion organisaatioille Valtion ITpalvelukeskuksen kautta alkaen. Yhteistyö virallistettiin päivitetyllä sopimuksella, joka on voimassa asti. Sopimuksen jatkosta päätetään myöhemmin tänä vuonna. GovCERT-palveluilla tarkoitetaan toimia, joiden tarkoituksena on ennaltaehkäistä, havainnoida ja ratkaista valtionhallinnon tieto- ja viestintäjärjestelmiin sekä organisaatioihin kohdistuvia tietoturvaloukkauksia. GovCERT-toiminnan myötä on mahdollista hyödyntää Viestintävirastossa vuonna 2014 aloittavan kyberturvallisuuskeskuksen tietoturvapalveluja koko valtionhallinnossa. GovHAVARO on valtionhallinnon tarpeisiin muokattu versio HAVAROsta, joka on Viestintäviraston tuottama teknisten tietoturvaloukkausten havainnointi- ja varoituspalvelu. HAVARO on ollut huoltovarmuuskriittisen elinkeinoelämän käytössä vuodesta 2011 alkaen, ja jatkossa sitä käytetään myös valtionhallinnon tarpeisiin. GovCERT ja GovHAVARO -palveluilla on tarkoitus parantaa valtionhallintoon kohdistuvien tietoturvaloukkausten käsittelyä. Tietoturvakatsaus 2/2013 4

5 1.4 Kyberturvallisuuskeskus Valtioneuvoston antaman Kyberturvallisuusstrategian mukaan Viestintäviraston kyberturvallisuuskeskuksen palveluja tullaan kehittämään. Palveluissa keskitytään pääasiassa tiedon keräämiseen ja välittämiseen sekä kyberturvallisuuden yhdistetyn tilannekuvan muodostamiseen ja jakamiseen. Lisäksi yhteistyöverkostojen toimintaa tullaan uudistamaan ja kehittämään. Kuva 2. Kyberturvallisuuspalvelut Kyberturvallisuuspalvelut tuovat lisäarvoa toimialoille seuraavilla tavoilla: 1. Jakamalla analysoitua tietoa toimialoille 2. Parantamalla tilannetietoisuutta 3. Tukemalla toimialojen reagointikykyä 4. Tukemalla toimialojen riskianalyysien muodostamista 5. Lisäämällä vuorovaikutteisuutta verkostoissa 6. Tarjoamalla tulevaisuudessa ympärivuorokautisen toimintakyvyn Kyberturvallisuuskeskuksen toimintojen suunnittelun yhtenä kokonaisuutena olivat sidosryhmille ja yhteistyökumppaneille järjestetyt työpajat syyskuun puolivälissä. Työpajojen tarkoituksena oli kuulla osallistujien ajatuksia Viestintäviraston nykyisistä ja tulevista kyberturvallisuuspalveluista ja yhteistyömalleista. Kyberturvallisuuskeskus aloittaa toimintansa Viestintävirastossa vuoden 2014 alussa. 2 Uudet ilmiöt 2.1 Itella tietomurron kohteena Itellan verkkopalveluja käytettiin luvattomasti huhtikuussa. Sivulliset pääsivät Itellan sähköisten kuluttajapalveluiden käyttäjien tileille jo useita vuosia sitten tapahtuneen tietomurron seurauksena. Murrossa varastettujen käyttäjätunnusten ja salasanojen listaa levitettiin internetissä. Samoja listassa mainittuja salasanoja oli käytetty myös muissa Itellan palveluissa. Itella lukitsi osan käyttäjätunnuksista varotoimenpiteenä. Tietoturvakatsaus 2/2013 5

6 2.2 Internet Census projekti Internet Census projektissa tietoturvatutkijat asensivat oman sovelluksensa sellaisiin laajakaistamodeemeihin ja digi-tv-vastaanottimiin, joiden oletussalasanaa ei ollut vaihdettu ja jotka oli kytketty internetiin. Laitteiden muodostamaa Carna-nimellä kutsuttua bottiverkkoa käytettiin Internet Census projektin verkkoluotauksiin. Raportin mukaan Suomessa tehtiin 425 havaintoa. CERT-FI ei saanut käyttöönsä havaintoihin liittyviä iposoitteita, joten tietojen välittäminen bottiverkon saastuttamien laitteiden omistajille ei ollut mahdollista. 2.3 Sähköisen viestinnän luottamuksellisuus Kesäkuun alussa yhdysvaltalainen Edward Snowden julkaisi Yhdysvaltojen kansalliseen turvallisuusviranomaiseen NSA:han (National Security Agency) liittyviä tietoja yksityisyyttä loukkaavan sähköisen viestinnän seuraamisesta. Tapahtumien alkaessa CERT-FI julkaisi Tietoturva nyt! -artikkelin viestintäpalvelujen käytöstä sähköisessä viestinnässä. Keskustelu aiheesta jatkui mediassa koko kesän ja jatkuu edelleen. Tapauksen seurauksena mielenkiinto viestinnän luottamuksellisuuteen heräsi myös kotimaassa, mistä myös Viestintävirasto sai osansa lukuisina yhteydenottoina. Yksityisyyttä loukkaavasta sähköisen viestinnän seuraamisesta on keskusteltu aiemminkin. Tästä esimerkkinä vuosi 2007, kun Ruotsin Försvarets radioanstalt (FRA) sai oikeuden kuunnella kaikkea maansa rajat ylittävää tietoliikennettä terrorismin ja järjestäytyneen rikollisuuden torjunnan nimissä. FRA aloitti verkkoliikenteen seurannan vuonna Runsaat yhteydenotot kertovat, että viestintäpalvelujen käyttäjille ei ole täysin selvää, kuinka esimerkiksi luottamuksellisia tietoja tulisi välittää sähköisten palveluiden kautta. Selvää ei myöskään näytä olevan, kuinka luottamuksellista tietoa voi suojata ja salata. Tietoisuuden lisäämiseksi keskustelu aiheesta on tarpeellista, sillä käytännöt vaihtelevat merkittävästi eri palvelujen, niiden toteutustapojen ja eri maiden välillä. Viestintävirasto tulee julkaisemaan päivitetyn ohjeen oman viestinnän suojaamisesta syksyn aikana. 3 Pitkäkestoiset ilmiöt 3.1 Kohdistettuja hyökkäyksiä havaitaan kaikkialla maailmassa Huhtikuun alkupuolella Anonymous-ryhmittymä ilmoitti osallistuneensa palvelunestohyökkäyksiin, jotka kohdistuivat Israelin valtionhallinnon www-sivustoille ja Israelin.il-verkkotunnusta palveleviin juurinimipalvelimiin. Myös israelilaiset haktivistiryhmät kohdistivat palvelunestohyökkäyksiä Israelin vastustajien verkkosivuille. Tietoturvayhtiö Kaspersky Lab julkaisi huhti - kesäkuun aikana kaksi raporttia kohdistetuista hyökkäyskampanjoista. Yksi kampanjoista kohdistui videopeliteollisuuteen, kun Winnti-niminen ryhmittymä tavoitteli pelien lähdekoodin ja pelivalmistajien julkaisemien sovellusbinäärien allekirjoittamiseen käytettäviä allekirjoitusavaimia. Raportin mukaan Winntin pääasiallinen tarkoitus oli saada taloudellista hyötyä sekä allekirjoitusavaimia ryhmittymän omien ja muiden samankaltaisten ryhmien haittaohjelmien allekirjoittamiseen. Toinen Kasperskyn raportoima kohdistettu hyökkäyskampanja liittyi NetTraveler-nimiseen vakoiluhaittaohjelmaan. Ohjelma on ehtinyt saastuttaa yli 350 merkittävää kohdetta muun muassa Pohjois- Amerikassa, Itä-Euroopassa, Aasiassa, Australiassa ja muutamissa Keski-Euroopan valtioissa vuodesta 2004 alkaen. Tämän kohdennetun APT (Advanced Persistant Threat) -vakoilukampanjan kohteina ovat olleet Tietoturvakatsaus 2/2013 6

7 muun muassa aktivistit, öljyteollisuuden yritykset, tutkimuslaitokset, valtionhallinnon toimijat, lähetystöt sekä armeijan alihankkijat. Lisäksi tietoturvayhtiö Norman kertoi Operation Hangover -hyökkäyskampanjasta, kun taas Trend Micro raportoi kampanjasta nimeltään Safe. Molemmissa tapauksissa hyökkääjät tunkeutuivat kohteidensa infrastruktuuriin huijaamalla käyttäjiä avaamaan haittakoodia sisältävän tiedoston tai www-sivuston. Kampanjoiden tavoitteena oli urkkia tietoja kohteistaan ympäri maailmaa hyödyntämällä tietoja varastavaa haittaohjelmaa. CERT-FI saa vuosittain useita ilmoituksia myös Suomeen ja suomalaisiin organisaatioihin kohdistuvista kohdistetuista hyökkäyksistä. Toisen vuosineljänneksen aikana CERT-FI on välittänyt asianomistajille eijulkisia varoituksia kuuden eri tapauksen yhteydessä. Ensimmäisellä neljänneksellä ei-julkisia varoituksia jaettiin 11 kertaa. 3.2 Tietoturvaongelmia yleisesti käytetyissä ohjelmistoissa Yleisesti käytetyistä ohjelmistoista kuten muun muassa selaimista ja nettivideoiden toisto-ohjelmista löydetään uusia haavoittuvuuksia jatkuvasti. Haavoittuvuuksien avulla tietokone voidaan esimerkiksi saastuttaa haittaohjelmilla. On tärkeää, että ohjelmistot päivitetään säännöllisesti uusimpiin julkaistuihin versioihin Www-selaimet Käyttämällä hyväksi www-selaimissa ja niiden lisäosissa piileviä haavoittuvuuksia on mahdollista tartuttaa käyttäjän päätelaitteeseen haittaohjelma saastuneen verkkosivun kautta. Haittaohjelmatartunnan riski pienenee huomattavasti, kunhan selain ja sen lisäosat on päivitetty ajantasaiseen versioon. Www-selaimien haavoittuvuudet koskevat kaikkia yleisesti käytössä olevia selaimia. Kevätkesän aikana CERT-FI on julkaissut yhteensä 9 haavoittuvuustiedotetta ja Tietoturva nyt!-uutista Google Chrome-, Internet Explorer-, Mozilla Firefox-, Safari- ja Opera -selaimista useilla eri käyttöjärjestelmäalustoilla. Tammi-maaliskuussa vastaava luku oli Www-selaimien laajennukset Nykyisin www-selaimen kautta tapahtuva haittaohjelmatartunta saa useimmiten alkunsa haavoittuvasta selainlaajennuksesta. Yleisimmät www-selaimien laajennukset ovat Adoben Flash-Player, Oraclen Java ja Adoben Reader. Jotkin selainlaajennuksista, esimerkiksi tietyt työkalurivit (toolbar), asentuvat automaattisesti osana jotakin sovellusta ja osa puolestaan on tyypillisesti käyttäjän itsensä asentamia. Adobe Flash Player on maailmanlaajuisesti käytössä oleva yleinen www-selaimen liitännäinen, jonka avulla voidaan muun muassa toistaa Youtube-videoita ja näyttää www-sivujen mainoksia. Adoben Flash Playerin haavoittuvuuksia hyödynnetään aktiivisesti. Oraclen Java-haavoittuvuustiedotteita julkaistiin useita myös toisen vuosineljänneksen aikana. Mukana oli yksi 0 day -haavaan liittyvä Tietoturva Nyt! -uutinen ( Tietoturvayhtiö kertoo uudesta Oracle Java -haavoittuvuudesta). CERT-FI suosittelee yhä poistamaan Javan oman tietokoneen selaimesta, jollei se ole täysin välttämätön esimerkiksi omaa verkkopankkia käytettäessä. Tällaisissa tapauksissa on parempi pitää käytössä kahta eri selainta, joista vain toinen sisältää Java-lisäosan. Selaimien liitännäisten päivitykset unohtuvat helposti, vaikka käyttöjärjestelmän ja itse selaimen päivityksistä olisikin muistettu huolehtia. Tämä on ymmärrettävää, koska selainlaajennuksien päivittymiskäytännöt ovat melko kirjavia. Osa selainlaajennuksista päivittyy laajennuksen asentaneen sovelluksen mukana (esimerkiksi Java asentaa Java-selainlaajennuksen), osa taas automaattisesti selaimen Tietoturvakatsaus 2/2013 7

8 toimesta ja osa on päivitettävä itse hakemalla laajennuksesta uusin versio. Jos selainlaajennuksen asentanut sovellus ei päivity automaattisesti tai automaattipäivitys ei ole päällä, laajennuksen saa ajantasaiseksi ainoastaan päivittämällä laajennuksen asentaman sovelluksen. Hyötysovelluksien lisäksi www-selainten laajennusrajapinnat tarjoavat myös haittaohjelmille helpon tavan päästä lukemaan ja muokkaamaan käyttäjän www-liikennettä. Esimerkiksi jotkin pankkihaittaohjelmat ovat asentaneet saastuttamaansa järjestelmään omia haitallisia selainlaajennuksiaan. Lisäksi viime vuosina on tavattu muutamia selainlaajennuksia tai lisäosia, jotka on laadittu ainoastaan haitallisessa tarkoituksessa. Selainlaajennuksiin onkin syytä suhtautua kuin muihin sovelluksiin ja asentaa niitä ainoastaan luotetuista lähteistä Julkaisujärjestelmät ja niiden laajennukset Pääsääntöisesti julkaisujärjestelmillä ylläpidetään www-sivuja. Yleisesti käytössä olevien julkaisujärjestelmien tunnettuja haavoittuvuuksia käytetään toistuvasti hyväksi www-palvelimien tietomurroissa, kun tarkoituksena on esimerkiksi hakea huomiota töhrityillä tai herjaavaa sisältöä levittävillä www-sivuilla. CERT-FI on julkaissut tiedotteita julkaisujärjestelmien haavoittuvuuksista ja murretuista julkaisujärjestelmistä vuodesta 2006 alkaen. Kevätkesällä 2013 CERT-FI on julkaissut neljä haavoittuvuustiedotetta Worpress- ja Drupal-järjestelmistä. CERT-FI:n tietojen mukaan järjestelmät, joiden ohjelmistoja ei ole säännöllisesti päivitetty tai joiden salasanat ovat suositusten vastaisesti muodostettuja, ovat usein tietomurtojen kohteina. 4 Yleisen viestintäverkon poikkeamat Suomalaisten viestintäverkot toimivat hyvin myös huhti - kesäkuussa Toinen vuosineljännes ei nostanut esiin myöskään täysin uusia tietoturvauhkia, joista CERT-FI:lle ilmoitettiin. 4.1 CERT-FI tapahtumailmoitukset Huhti - kesäkuun aikana CERT-FI:lle toimitettiin 12 Viestintäviraston antaman määräyksen 9 (Määräys tietoturvaloukkausten ilmoittamisvelvollisuudesta yleisessä teletoiminnassa) mukaista tapahtumailmoitusta. Määräyksen tarkoituksena on määritellä sähköisen viestinnän tietosuojalain 21 :n mukaisten merkittävää tietoturvaloukkausta tai sen uhkaa koskevan ilmoituksen sisältö ja menettelytavat Viestintävirastolle. Pääsääntöisesti tapahtumailmoitukset koskivat tietomurtoja ja palvelunestohyökkäyksiä. Ilmoituksia saatiin myös laitteiden tietoturvaan liittyvistä haavoittuvuuksista. Tietoturvakatsaus 2/2013 8

9 Tammi-maaliskuu Huhti-kesäkuu Kuva 3. Määräys 9:n mukaiset tapahtumailmoitukset 4.2 Autoreporter-tilastot Autoreporter on CERT-FI:n tuottama palvelu, joka kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja ja raportoi niistä verkkojen ylläpitäjille. Palvelu on ollut käytössä vuodesta 2006 lähtien. Palvelun piirissä ovat kaikki suomalaiset verkkoalueet. Incidents daily -tilasto kertoo Autoreporter-työkalun päivittäin käsittelemät ilmoitukset haittaohjelmatartunnoista suomalaisissa IP-osoitteissa. Keskimäärin Autoreporter käsittelee noin 500 tapausta päivittäin. Kuva 4. Autoreporterin käsittelemät tapaukset Autoreporterin käsittelemät tapaukset lisääntyivät selvästi huhti - toukokuussa. Tilastopiikin aiheutti yksittäisen teleyrityksen asiakkailla havaittu spambot-haittaohjelma. Sitä, miksi kyseessä olevaa haittaohjelmaa ei esiintynyt muilla teleyrityksillä yhtä runsaasti, ei saatu selville. Tietoturvakatsaus 2/2013 9

10 4.2.1 Autoreporter-havainnot kategorioittain Autoreportterin käsittelemistä tapauksista suurin osa on erilaisten bot-haittaohjelmien tartuntoja. Kuva 5. Havainnot kategorioittain heinäkuu kesäkuu 2013 Suspected Spambot Suspected spambot -kategoria kertoo lukumäärän eri IP-osoitteista, joista on havaittu lähetettävän roskapostiviestejä. Tällaisissa tapauksissa on syytä epäillä, että työasema, johon IP osoittaa, on haittaohjelman saastuttama ja sitä käytetään roskapostin lähetysalustana. Huhti - kesäkuun merkitävä kasvu spambot-havainnoissa johtui yksittäisen teleyrityksen asiakkaiden tartunnoista. Miksi tapaus ei koskenut myös muiden teleyritysten asiakkaita, ei ole selvinnyt. Bot Bot-kategoria kertoo niiden IP-osoitteiden lukumäärän, joissa on havaittu haittaohjelmalla saastunut työasema. Saastunut työasema liitetään yleensä osaksi hyökkääjän etähallitsemaa bot-verkkoa. Tällaisia bot-verkkoja käytetään muun muassa palvelunestohyökkäyksiin. Scan Scan-kategoriassa on kuvattu niiden IP-osoitteiden lukumäärä, joista on tehty ajattelemattomasti verkon tutkimustyötä tai kyseessä on väärissä käsissä oleva tietojärjestelmä tai haittaohjelmalla saastunut työasema. Tilaston mukaan suomalaisista IP-osoitteista tehdään aktiivisesti verkkojen tutkimusta. Other Other- ryhmässä on mukana seuraavat kategoriat: bruteforce: IP-osoitteesta on havaittu murtoyrityksiä yleisesti käytettyjä verkkopalveluja vastaan. Verkkopalveluiden tunnussanoja yritetään murtaa systemaattisesti joko satunnaisilla merkkijonoilla tai kokeilemalla sanakirjoista löytyviä sanoja. IP-osoitteessa oleva työasema on voinut päätyä tietomurron kohteeksi tai haittaohjelman saastuttamaksi. cc: Haittaohjelmalla saastunut työasema liitetään yleensä tavalla tai toisella osaksi hyökkääjän hallitsemaa bot-verkkoa. IP-osoitteessa on tunnistettu hallintapalvelin, jota käytetään tällaisten bot-verkkojen komentamiseen. Tietoturvakatsaus 2/

11 dameware: Vanhoissa DameWare Mini Remote Control -ohjelmistoissa on haavoittuvuus, jota voidaan hyväksikäyttää etäältä. Haavoittuvuuden kautta työasemalle voidaan asentaa esim. haittaohjelmia. IP-osoitteessa on havaittu DameWare-haavoittuvuuden mahdollisesti onnistunut hyväksikäyttö. ddos: Havainto listaa sekä palvelunestohyökkäyksiin osallistuvat työasemat että palvelunestohyökkäyksen kohteeksi joutuneita kohteita. defacement: IP-osoitteessa on töhritty verkkosivu. dipnet: Windows-työasemia saastuttava verkkomato, joka käyttää leviämisessä hyväksi LSASShaavoittuvuutta. fastflux: Nimipalvelintasolla toteutettu tapa piilottaa bot-verkon hallintapalvelimet, huijaustoimintaan osallistuvat verkkosivustot sekä haittaohjelmien levityssivut. Piilotus toimii niin, että nimipalvelin jatkuvasti palauttaa uusia IP-osoitteita tietylle verkkotunnukselle. Palautettujen IP-osoitteiden takaa löytyy useimmiten saastunut työasema, joka on osa bot-verkkoa. malware: IP-osoitteessa on jaeltu haittaohjelmaa. malweb: IP-osoitteessa on havaittu haitallinen verkkosivusto. Tyypillisimmin kyse on haitallisesta JavaScript-koodista, iframe-viittauksesta tai muusta verkkosivulle sisällytetystä haitallisesta osiosta. phishing: Kyseisessä IP-osoitteessa on havaittu urkintaan osallistuva verkkosivusto. Kyseessä on yleisimmin tietomurron kohteeksi joutunut työasema tai www-palvelin. proxy: Työasemasta tai palvelimesta on tehty avoin välityspalvelin, jota hyväksikäytetään. Hyväksikäyttö voi ilmetä esimerkiksi roskapostin lähettämisenä ja bot-verkkojen komentamisena. router: Verkon aktiivilaitteesta on tehty välityspalvelin, jota hyväksikäytetään. Hyväksikäyttö voi ilmetä monella eri tavalla. spreaders: Haittaohjelmilla on monia leviämismekanismeja, joista yksi on käyttöjärjestelmän haavoittuvuudet. IP-osoitteesta on havaittu haittaohjelman leviämisliikenteen tunnusmerkkejä. worm: IP-osoitteesta on havaittu verkkomadon leviämisyritys. Verkkomadot leviävät yleensä käyttämällä hyväksi jotakin verkkopalvelun haavoittuvuutta Verkkomadot - Conficker Useimmissa tapauksissa verkkomadot leviävät verkkopalvelujen haavoittuvuuksien kautta. Tunnettuja verkkomatoja ovat esimerkiksi vuonna 2003 tutuksi tullut Blaster, vuonna 2004 havaittu Sasser sekä vuonna 2008 tavattu Conficker. Verkkomatotapaukset ovat vähentyneet merkittävästi viime vuosina. Vielä vuonna 2006 Autoreporter raportoi noin verkkomatotapauksesta Suomessa. Tammi-kesäkuussa 2013 Autoreporter havaitsi verkkomatoja runsaat 10. Conficker-haittaohjelmahavainnot eivät sisälly näihin lukuihin. Havainnot ovat vähentyneet muun muassa, siksi että nykyiset verkkomadot pyrkivät pysymään piilossa mahdollisimman pitkään. Myös termiä verkkomato käytetään aiempaa vähemmän. Tämän hetken yleisimpiä verkkomatoja edustaa Conficker. Alla olevassa tilastossa on kuvattu Autoreporterin havaitsemat Conficker- verkkomatotartunnat suomalaisissa IP-osoitteissa tammi - kesäkuussa Tietoturvakatsaus 2/

12 Kuva 6. Conficker-haittaohjelmahavainnot Vuonna 2011 Auroreporter havaitsi noin 300 Conficker-tartuntaa päivässä, 2012 havaintoja oli noin 200 päivittäin. Vuonna 2013 havaintoja on ollut noin alle 100 tapausta päivässä ensimmäisen puolen vuoden aikana. Autoreporter-havainnot Conficker-haittaohjelmasta ovat siis merkittävästi vähentyneet Zeus-haittaohjelmahavainnot Zeus daily -tilasto puolestaan kertoo Autoreporterin havaitsemista Zeus-haittaohjelmatartunnoista suomalaisissa IP-osoitteissa. Kuva 5. Zeus-haittaohjelmahavainnot Vuonna 2012 Autoreporter havaitsi noin 250 Zeus- haittaohjelmatartuntaa päivässä. Kuluvan vuoden tilastolukujen perusteella myös päivittäiset Zeus-haittaohjelmatartunnat näyttävät selvästi vähentyneen. 4.3 Viestintäverkkojen vika- ja häiriöilmoitukset Huhti - kesäkuun aikana Viestintävirasto vastaanotti yhteensä 58 teleyritysten vika- ja häiriöilmoitusta, jotka toimitettiin viraston määräyksen 57 mukaisesti. Häiriöistä yli 30 minuuttia kestäneitä kuluttajiin kohdistuvia laajoja A-vikoja olivat kesäkuiset Digitan kolme radiohäiriötä, pääosin Tampereen seudulla. Vaikutuksia havaittiin myös Jyväskylässä, Kuopiossa ja Kolilla. Digita havaitsi häiriöt nopeasti, ja tilanteet saatiin kuntoon noin kahdessa tunnissa. Tietoturvakatsaus 2/

13 Tammi- maaliskuuhun verrattuna A-vikojen määrä pysyi samana. Viat saatiin myös korjattua noin parissa tunnissa, siis yhtä pikaisesti kuin alkuvuonnakin D-luokan häiriöt vuonna 2012 Viestintävirasto kertoi vuoden 2013 ensimmäisessä osavuosikatsauksessaan ensi kertaa teleyrityksiltä kerätyistä laajoista häiriötilastoista. Kysely koski nimenomaisesti kohtuullisia tai pieniä häiriöitä, jotka vaikuttivat alle asiakkaaseen tai vähintään yhteen asiakkaaseen yli puolen tunnin ajan. Nämä kohtuulliset ja pienet häiriöt määritellään Viestintäviraston määräyksessä 57 D-luokan häiriöiksi. Häiriöt ovat ilmoitettu lukumäärällisesti tapahtumien, ei kokonaiskäyttäjämäärän mukaan. Kiinteäverkko (data) Matkapuhelinverkko (data) Matkapuhelinverkko (puhe) Kiinteäverkko (puhe) DVB-C IP-TV muut Muu langaton verkko Tekstiviestipalvelu Kuva 8. Ilmoitettujen häiriötapahtumien osuudet palveluittain YHTEENSÄ - Sähköpostipalvelut Kokonaisuudessaan teleyritykset ilmoittivat yli häiriöstä koskien matkaviestinverkon, kiinteän verkon ja joukkoviestintäverkon palveluita. Tapahtumamäärällisesti häiriöt koskivat eniten (60 %) kiinteän verkon yhteyspalveluita. Lähes 50 % ilmoitetuista tapahtumista koski kiinteän verkon internet-yhteyksiä (kiinteäverkkodata). Yhteensä noin 20 % häiriöistä ilmoitettiin koskeneen matkaviestinverkon puhe- ja internet-yhteyspalveluita. Kiinteän verkon puhepalveluiden osuus tapahtumista on noin 10 %. Joukkoviestintäpalveluiden (antenni-, kaapeli-tv ja IPTV) palvelujen osuus oli noin 10 % ja muiden palveluiden (esimerkiksi SMS, MMS, sähköposti) noin 5 % kokonaismäärästä. On huomioitava, että tapahtumien lukumäärät kuvaavat häiriötapahtumien kokonaismäärän, mutta eivät vaikutusten kohteina olleiden asiakkaiden määrää. Kiinteissä verkoissa ongelmat voivat keskittyä vain muutamaan tilaajayhteyteen kerrallaan, jolloin häiriöiden kokonaismäärä on suuri, mutta varsinainen kokonaiskäyttäjämäärä jää tapahtumakohtaisesti alhaiseksi. Matkaviestinverkoissa yksittäinen ongelma Tietoturvakatsaus 2/

14 vaikuttaa tyypillisesti kaikkiin yhden tai useamman tukiaseman alueella oleviin käyttäjiin ja yksittäisen tapahtuman käyttäjävaikutusmäärä voi olla laajempi. Puhepalveluita enemmän häiriöt liittyivät internetin yhteysongelmiin sekä kiinteissä verkoissa että matkaviestinverkoissa. Huomioitavaa on, että puheluliikenteen ongelmat olivat tapahtumamäärällisesti hieman yleisempiä matkaviestinverkoissa kuin lankaverkoissa. Lisäksi matkaviestinverkoissa on kiinteitä verkkoja tyypillisemmin laajoja häiriöitä, joiden käyttäjävaikutukset ylittävät 1000 asiakasta ja joista tiedotetaan Viestintävirastolle tapahtumahetkellä. Sen sijaan internet-yhteyksiin liittyvistä ongelmista ilmoitettiin kiinteissä verkoissa yli nelinkertainen määrä matkaviestinverkkoihin nähden. Laitevika Konfiguraatiovika Luonnonilmiö Ohjelmistovika Yleisen sähköverkon katkos Maanrakennustyöt Voimalaitejärjestelmän vika Lämpötilaongelma laitetilassa Vesivahinko Kuva 9. Häiriöiden taustasyyt Yöaika ja luonnonilmiöt pitkittävät viestintäverkkovikojen korjausaikoja Häiriöiden syyt riippuvat paljon häiriön taustalla olevasta komponentista. Tilaajayhteyksien johtoihin ja siirtokaapeleihin vaikuttavat enimmäkseen luonnonilmiöt ja maanrakennustyöt, joista lukuisat teleyritykset raportoivat Viestintävirastolle. Kokonaisuudesta kuitenkin merkittävimpiä ovat laiteviat kolmanneksen osuudella sekä konfiguraatiovirheet, jotka muodostavat noin neljäsosan ilmoitetuista ja luokitelluista tapahtumista. Lisäksi ohjelmistovioista ilmoitettiin paljon. Tietoturvakatsaus 2/

15 100 % 90 % 80 % 70 % 60 % 50 % 40 % 30 % 20 % 21 vrk tai yli 7 vrk - <21 vrk 2 vrk - <7 vrk 12 h - <2 vrk 6 h - <12 h < 6 h 10 % 0 % kiinteä (puhe) kiinteä (data) Kuva 60. Häiriöiden korjausaikojen osuudet palveluittain kaapeli-tv sähköposti matka (puhe) matka (data) Lähes neljänneksen häiriöistä ilmoitetaan korjaantuvan ensimmäisen kuuden tunnin kuluessa sen havaitsemisesta. Pieni osuus häiriöistä poistetaan 6-12 tunnissa. Pitkä korjausaika johtuu usein siitä, että häiriö tapahtuu yöaikaan. Yli 60 % häiriöistä korjataan kahden vuorokauden kuluttua häiriön alkamisesta. Viikon kuluttua häiriöistä yli 90 % on korjattu. Näin siis alle 10 % häiriöistä kestää yli viikon. Huomion arvoista on, että vuoden 2012 tilastoihin vaikuttivat vielä Tapani-myrskyn jälkimainingit pitkittyneine yksittäisten liittymien viankorjauksineen etenkin loma-asutusalueilla. On tavallista, että matkaviestinhäiriöt (puhe ja data) korjataan alkuhetkellä ripeämmin kuin kiinteän verkon häiriöt (puhe ja data). Tosin korjausaikojen ero tasaantuu yli kahden vuorokauden kestävissä häiriöissä. Kyselyyn vastanneet teleyritykset ovat hyvin erikokoisia ja tarjoavat erityyppisiä palveluja. Vastauksista käy ilmi, että häiriöiden kirjaamiskäytännöt poikkeavat toisistaan ja vikojen kategorisoimiseen liittyvissä tulkinnoissa on eroja. Tästä syystä teleyritysten ilmoittamissa luvuissa on paljon vaihtelua. Viestintäviraston tavoitteena on selkeyttää tilastojen ilmoittamiskäytäntöjä vuoden 2013 aikana, jotta kerättävät tilastotiedot olisivat yhdenmukaisia. Näin kerätyt tiedot ovat jatkossa paremmin vertailukelpoisia. Tietoturvakatsaus 2/