Kyberturvallisuuskatsaus

Transkriptio

1 Kyberturvallisuuskatsaus 2/2014

2 Sisällysluettelo Johdanto... 3 Tietoturva tilastojen valossa Autoreporter Haittaohjelmat Suomen sijoitus maailmalla Havaro Kyberturvallisuuskeskuksen käsittelemät yhteydenotot Viestintäverkkojen viat ja häiriöt Viestintäverkkojen vika- ja häiriöilmoitukset Neljännesvuosikyselyn tuloksissa ei muutoksia edellisiin kausiin verrattuna... 8 Ajankohtaiset tietoturvailmiöt Windows XP -käyttöjärjestelmän tuotetuki loppui OpenSSL-kirjaston Heartbleed-haavoittuvus ravisteli tietoturvamaailmaa Taustaa Tilanneseuranta Heartbleed-havainnot HAVARO:ssa Tietojenkalastelukampanja jatkuu yhä... 15

3 Johdanto Tämä on Viestintäviraston Kyberturvallisuuskeskuksen osavuosikatsaus, joka käsittelee viestintäverkkojen häiriöitä, tietoturvapoikkeamia ja tapahtumia ajanjaksolla Kyberturvallisuuskatsaus on jaettu kahteen osaan: Tietoturva tilastojen valossa ja ajankohtaiset tietoturvailmiöt. Tietoturva tilastojen valossa käsittelee viestintäverkon vikoja ja häiriöitä, Autoreporter-tilastoja, HAVARO -tilastoja sekä Kyberturvallisuuskeskuksen käsittelemiä yhteydenottoja. Käsiteltävältä ajanjaksolta on poimittu kolme tärkeää tietoturvailmiötä: Windows XP -käyttöjärjestelmän tuotetuen loppuminen ja siihen liittyvä päivitetty Windows XP:n yleisyystilasto, OpenSSL-kirjaston Heartbleed -haavoittuvuus sekä Tullin, Itellan, perintäpalvelun ja Matkahuollon nimissä tehty tietojenkalastelukampanja. 3

4 Tietoturva tilastojen valossa 1 Autoreporter Autoreporter on Kyberturvallisuuskeskuksen tuottama palvelu, joka kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja ja raportoi niistä verkkojen ylläpitäjille. Palvelu on ollut käytössä vuodesta 2006 lähtien. Palvelun piirissä ovat kaikki suomalaiset verkkoalueet. Kertyneiden tilastojen perusteella voidaan arvioida muun muassa suomalaisissa verkoissa esiintyneiden haittaohjelmien esiintymistiheyttä. 1.1 Haittaohjelmat Autoreporter-tilastojen (Kuva 1) mukaan ZeroAccess-haittaohjelman osuus on pienentynyt merkittävästi vuoden alusta alkaen aina viikolle 13 saakka. Alkuvuoden tapahtumiin vaikuttavat luultavasti vuoden 2013 loppupuolella suoritetut ZeroAccessin vastaiset toimet. ZeroAccess kuitenkin aktivoitui uudelleen maaliskuun lopulla, jonka jälkeen sen havaintojen lukumäärä lähti uudelleen nousuun (viikot 14-18). Muiden haittaohjelmahavaintojen lukumäärä on laskenut jonkin verran vuoden alkuun verrattuna. Autoreporter -havaintojen lukumäärän vaihteluista ei kuitenkaan voi tehdä kovin tarkkoja päätelmiä, koska ajanjaksojen väliset vaihtelut saattavat johtua esimerkiksi uusista tietolähteistä tai tietolähteisiin lisätyistä uusista haittaohjelmien sormenjäljistä. ZeroAccess Citadel Muut Torpig Zeus Viikko Kuva 1 Autoreporterin käsittelemät tapahtumat viikoittain. Haittaohjelmien jakautuminen eri teleyritysten välillä ei ole tasapainossa (Kuva 2 ). Erot teleyritysten välillä johtuvat erikokoisista asiakasmääristä sekä teleyritysten omasta aktiivisuudesta torjua haittaohjelmia. 4

5 Kyberturvallisuuskeskuksen osavuosikatsaus I/2014 raportoi, että alkuvuodesta yksittäisen teleyrityksen verkosta oli lähtöisin noin 85 % kaikesta haittaohjelmaliikenteestä. Viestintävirasto on selvittänyt asiaa teleyrityksen kanssa. Ainakin osaksi havaintojen määrä näyttäisi selvityksen perusteella liittyvän Autoreporter-järjestelmän ja teleyritysten verkkototeutuksen yhteensopivuuteen, sekä teleyrityksen kykyyn ja mahdollisuuksiin tuottaa riittävän tarkkoja tietoja. Tilanne on korjaantumassa teleyrityksen toimenpiteiden ansiosta, mutta korjausliike ei näy vielä tämän raportin tilastossa. Tällä havainnointijaksoilla teleyrityksen verkoista oli lähtöisin 77 % kaikesta havaitusta haittaohjelmaliikenteestä. 0 % 3 % 2 % 9 % 9 % 77 % Teleyritys 1 Teleyritys 2 Teleyritys 3 Teleyritys 4 Teleyritys 5 Muut Kuva 2. Haittaohjelmien jakautumien suomalaisten teleyritysten kesken Häiriötapahtumiin liittyvät tarkemmat teleyrityskohtaiset tiedot ovat useimmiten salassa pidettäviä viranomaisen toiminnan julkisuutta koskevan lain perusteella. 1.2 Suomen sijoitus maailmalla Toukokuussa Microsoft julkaisi Security Intelligence Report (SIR) volume 16 - raportin, jossa käsitellään ja vertaillaan eri maiden tietoverkkojen tietoturvaa 1. Suomi sijoittui raportissa sijalle 2, kun edellisessä raportissa Suomi oli kärki- 1 /2/B/72B5DE91-04F4-42F4-A587-9D08C55E0734/Microsoft_Security_Intellige nce_report_volume_16_english.pdf maa. Nyt julkaistu raportti käsittelee ajanjaksoa heinäkuu-joulukuu Suomen sijoituksen heikkenemisen taustalla saattaa olla muiden maiden tekemien parannusten ohella teleyritysten muutokset kyvyssä reagoida ja ilmoittaa asiakkaille havaituista haittaohjelmista Autoreporter-ilmoitusten perusteella. Mahdolliset korjaustoimenpiteet näkyvät Microsoftin SIR-raporteissa viiveellä. Esimerkiksi kevään aikana tehdyt parannustoimet näkyvät vasta vuoden 5

6 2014 jälkimmäistä puoliskoa käsittelevässä Microsoftin SIR-raportissa, joka julkaistaan luultavasti keväällä Viestintäviraston Autoreporter -tilastoissa korjaustoimet näkyvät kuitenkin reaaliajassa. 2 Havaro HAVARO on huoltovarmuuskriittisille yrityksille suunnattu tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä. Järjestelmä on toteutettu yhdessä Huoltovarmuuskeskuksen kanssa. HAVARO-järjestelmän tarkoituksena on auttaa tarkemman tilannekuvan muodostamista suomalaisiin verkkoihin kohdistuvista tietoturvauhkista. HAVARO-järjestelmän havaitsemat punaiset tietoturvapoikkeamat, eli poikkeamat, jotka aiheuttivat välittömiä jatkotoimia, on koottu alla olevaan kuvaajaan (Kuva 3). Yhteensä punaisia havaintoja oli maaliskuun ja toukokuun välisellä jaksolla 514. Vuoden alusta havaintoja on tullut noin 47 viikossa. Viikon 15 havaintopiikin taustalla on Gameover Zeus -haittaohjelma ja Heartbleed-haavoittuvuus. Viikon 21 piikin taustalla on havaintoja yleisistä rikollisten käyttämistä haittaohjelmista. Kuvaajassa näkyy myös ensimmäisen vuosineljänneksen viikoille 6-10 osunut havaintojen keskittymä. Nämäkin ovat havaintoja yleisistä rikollisten käyttämistä haittaohjelmista. 300 Jatkotoimia aiheuttaneita havaintoja Viikko Kuva 3. HAVARO-järjestelmän punaiset hälytykset viikoittain 3 Kyberturvallisuuskeskuksen käsittelemät yhteydenotot Kyberturvallisuuskeskus vastaanotti 8 tietoturvailmoitusta, jotka perustuvat Viestintäviraston määräykseen 9 tietoturvaloukkausten ilmoitusvelvollisuudesta yleisessä teletoiminnassa. Edellisellä kaudella (joulu-helmikuu) vastaavia ilmoituksia tuli 4. 6

7 Kyberturvallisuuskeskuksen päivystäjä kävi vuoden toisella neljänneksellä viikoittain läpi keskimäärin 96 yhteydenottoa. Valtaosa yhteydenotoista liittyy haittaohjelmiin (Kuva 4). Haittaohjelmien lisäksi neuvonta ja tietomurrot olivat yleisiä yhteydenottoluokkia. Tarkasteltaessa yhteydenottoja viikkotasolla (Kuva 5), näkyy viikolla 19 keskimääräistä enemmän ilmoituksia haittaohjelmista. Suurin osa kyseisellä viikolla saapuneista haittaohjelmailmoituksista oli lähtöisin samasta tietolähteestä ja ilmoitukset koskivat melko vanhoja tietoturvaongelmia. Luultavasti kyseisen tietolähteen puskuriin oli jäänyt vanhoja ilmoituksia, jotka olivat purkautuneet viikolla 19. Ilmoitukset koskivat pääasiassa haitallista JavaScript-koodia sisältäviä sivustoja. 2 % 2 % 6 % 6 % 8 % 15 % 4 % 37 % Haittaohjelma Neuvonta Tietomurto Social engineering Muu tietoturvaongelma Haastattelu Haavoittuvuus tai uhka Hyökkäyksen valmistelu Palvelunestohyökkäys 20 % Kuva 4. Kyberturvallisuuskeskuksen käsittelemien yhteydenottojen jakauma

8 300 Kyberturvallisuuskeskuksen käsittelemät yhteydenotot Palvelunestohyökkäys Hyökkäyksen valmistelu Haavoittuvuus tai uhka Haastattelu Muu tietoturvaongelma Social engineering Tietomurto Neuvonta Haittaohjelma Viikko Kuva 5. Kyberturvallisuuskeskuksen käsittelemät yhteydenotot Viestintäverkkojen viat ja häiriöt 4.1 Viestintäverkkojen vika- ja häiriöilmoitukset Maalis-toukokuussa 2014 suurilta viestintäverkkojen häiriöiltä vältyttiin. Tämä käy ilmi teleyritysten Viestintäviraston Kyberturvallisuuskeskukselle toimittamista vika- ja häiriöilmoituksista, jotka perustuvat viraston määräykseen 57. Ilmoituksia merkittävistä viestintäverkkojen häiriöistä saatiin edelliskautena joulukuu helmikuu 2014, 41. Nyt luku oli 25. Näistä vain 1 luokiteltiin vakavaksi häiriöksi, joka saatiin nopeasti korjattua reilun tunnin kuluttua siitä, kun teleyritys oli häiriön havainnut. Kaudenaikaiset viat koskivat pääasiassa mobiili- (2G ja 3G) ja laajakaistapalveluja (xdsl). 4.2 Neljännesvuosikyselyn tuloksissa ei muutoksia edellisiin kausiin verrattuna Viestintävirasto on seurannut viestintäverkkojen ja -palveluiden toimivuutta teleyrityksille toimitetuilla neljännesvuosikyselyillä alkuvuodesta 2013 lähtien. Mihin palveluihin häiriöt vaikuttavat? Kauanko häiriöiden korjaaminen kestää? Mitkä syyt aiheuttavat häiriöitä? Näihin kysymyksiin kyselyillä haetaan vastauksia. Teleyritykset raportoivat vuoden ensimmäiseltä neljännekseltä (tammimaaliskuu) yhteensä n asiakkaiden teleyrityksille ilmoittamista häiriöistä. Ilmoitusten osuuksissa palveluittain ja korjausajoittain ei ole suuria muutoksia vuoden 2013 koosteisiin. Asiakasyhteydenotoista selkeästi suurin yhteisosuus liittyy internetyhteysongelmiin (Kuva 6): yli puolet (59 %) koskee kiinteän verkon internetyhteyksiä, ja neljänneksi yleisin yhteydenottojen syy (8 %) on matkaviestinverkon 8

9 internetyhteydet, yhteensä 66 %. Palvelukohtaisesti toiseksi eniten asiakkaat ovat yhteydessä kaapeli-tv:n ongelmista (11 %). Kolmanneksi eniten ongelmat liittyvät matkaviestinverkkojen (11 %) katkoksiin tai heikentyneen kuuluvuuden ongelmiin sisältäen sekä puhe- että datayhteydet. Ilmoitetuista ongelmista 8 % koskee kiinteän verkon puhepalveluita. Yhteydenotot muiden palveluiden ongelmista ovat vähäisiä. Pääsääntöisesti asiakkaiden kokemien häiriöiden kestot (Kuva 7) korjaantuvat n. 30 % tapauksissa kuuden tunnin kuluessa häiriön alkamisesta. Häiriöistä n. 60 % on korjattu kahden vuorokauden kuluessa ja viikon kuluessa jo reilut 90 %. Yli viikon kestäviä häiriöitä on vähän. Yleisesti nopeinta vikojen korjaus on langattomissa verkoissa, sisältäen sekä matkaviestinverkot että muut langattomat verkot. Kuva 6 Asiakkaiden ilmoittamien häiriöiden osuudet 9

10 Kuva 7 Asiakkaiden ilmoittamien häiriöiden kestot 10

11 Ajankohtaiset tietoturvailmiöt 5 Windows XP -käyttöjärjestelmän tuotetuki loppui Microsoft lopetti Windows XP -käyttöjärjestelmän tuotetuen Toukokuussa Windows XP -tietokoneiden osuus oli 9,33 % kaikista Windowsia käyttävistä tietokoneista, joita Suomen tietoverkkoihin on liitetty. (Kuva 8). Windows XP -koneiden määrä on vähentynyt tasaista vauhtia jo pidemmän aikaa, mutta erityisesti maalis-, huhti- ja toukokuun aikana XP -koneiden suosio on vähentynyt nopeammin. Vuoden 2014 tammi- ja toukokuun välillä XP-koneiden osuus on vähentynyt 43,3 %. Windows XP -käyttöjärjestelmän tuotetuen loppumisen jälkeen Microsoft tarjosi ennakkotiedoista poiketen päivityksen yhteen kriittiseen Internet Explorer -haavoittuvuuteen (CVE ) myös Windows XP:lle. Tämän jälkeen löytyneitä haavoittuvuuksia ei ainakaan toistaiseksi ole Windows XP:stä korjattu. Päivitysten sijaan Microsoft kehottaa Windows XP -käyttäjiä hyödyntämään EMET 4.x -ohjelmistoa (Enhanced Mitigation Experience Toolkit), jonka avulla tietokonetta voi pyrkiä suojaamaan haittaohjelmia vastaan. 80,00% 70,00% 60,00% 50,00% Windows 7 40,00% Windows XP 30,00% 20,00% 10,00% 26,94% 16,47% 15,36% 13,79% 10,97% 9,33% Windows Vista Windows 8 ja 8.1 Muut 0,00% Kuva 8. Suomalaisilla verkkosivuilla vierailevien Windows-käyttöjärjestelmien jakauma. Kuvaajaan on merkitty Windows XP:n prosenttiosuudet. Lähde: TNS Metrix 11

12 6 OpenSSL-kirjaston Heartbleed-haavoittuvus ravisteli tietoturvamaailmaa a/tietoturvanyt/2014/04/ttn html 6.1 Taustaa Suositusta salaukseen käytetystä OpenSSL-ohjelmakirjastosta löytyi vakava haavoittuvuus Haavoittuvuus vaarantaa salatun tietoliikenneyhteyden siten, että hyökkääjä voi kopioida palvelimen muistissa sillä hetkellä olevia tietoja, kuten käyttäjätunnuksia, salasanoja, sähköposteja, kriittisiä dokumentteja ja pikaviestejä. Haavoittuvuus tunnetaan julkisuudessa nimellä "Heartbleed". Viestintäviraston Kyberturvallisuuskeskus on kartoittanut haavoittuvien palveluiden lukumäärää haavoittuvuuden löytymisestä alkaen. Kaikista löydetyistä haavoittuvista palveluista on välitetty palveluiden ylläpitäjille viesti, jossa kehotetaan päivittämään palvelu mahdollisimman pian. Tarkempia taustatietoja löytyy Kyberturvallisuuskeskuksen julkaisemasta Heartbleed-raportista: 6.2 Tilanneseuranta Tärkeimmät palveluntarjoajat ovat korjanneet haavoittuvuuden ja loppujen haavoittuvien palveluiden ylläpitäjille on toistuvasti välitetty viesti haavoittuvuudesta. Pääosa jäljellä olevista haavoittuvista palveluista on yksittäisten kotikäyttäjien tiedostonjakoon tarkoitettuja NAS-laitteita. Haavoittuvien palveluiden yhteismäärä on vähentynyt 1127 palvelimeen, joka vastaa 0,25 prosenttia kaikista SSL -salausta käyttävistä palvelimista. Näistä palvelimista 569 tarjoaa salausta hyödyntäviä www-palveluita (7.5. tilanne). Alla oleviin kuvaajiin on piirretty haavoittuvien palveluiden suhteelliset osuudet (Kuva 9) sekä haavoittuvien palveluiden kehitys ajan funktiona (Kuva 10). Kuvassa 11 näkyvät haavoittuvien palveluiden lukumäärien kasvut ja johtuvat haavoittuvien palveluiden tutkimismenetelmän kehittymisestä. 12

13 Sähköposti (POP3S, 995) Session muodostus (SIP over TLS, 5061) Portti 4443 Portti 4433 Portti 8000 Portti 8080 Tiedostonsiirto (FTPS, 990) Hakemistopalvelu (LDAPS, 636) Sähköposti (IMAPS, 993) Sähköposti (SMTP, 587) Salattu www-liikenne (HTTPS, 443) Sähköposti (SMTP over SSL, 465) Sähköposti (SMTP, 25) Kuva 9 Heartbleed-haavoittuvuudelle alttiit palvelutyypit (suluissa palvelun portti), tilanne Haavoittuvia palvelimia yhteensä Salattu www-liikenne (HTTPS) Haavoittuvat muut palvelut Kuva 10 Heartbleed-haavoittuvat pavelimet ajan funktiona 13

14 6.3 Heartbleed-havainnot HAVARO:ssa Heartbleed-haavoittuvuus näkyi selkeästi myös Viestintäviraston Kyberturvallisuuskeskuksen HAVARO -järjestelmässä. Heartbleed-tunnisteet lisättiin HAVAROon 8.4., jolloin myös havaittiin ensimmäiset haavoittuvuuden hyödyntämisyritykset. Alla olevassa kuvaajassa (Kuva 11) näkyy, kuinka 8.4. haavoittuvuuden hyväksikäyttöyrityksiä oli vielä melko vähän, mutta niiden onnistumisprosentti (vihreä viiva) oli yli 40 %. Tähän syynä olivat päivittämät palvelimet. Ylläpitäjien palvelinpäivitysten ansiosta Heartbleed-hyväksikäytön onnistumisprosentti pieneni seuraavien päivien aikana merkittävästi. Heartbleed-haavoittuvuuden hyväksikäyttöyritysten huippu näkyy HAVARO -järjestelmässä Tähän mennessä suurin osa palvelimista oli kuitenkin jo ehditty päivittää, koska palvelinten antamien suurten vastauspakettien määrä laski kasvaneista hyväksikäyttöyrityksistä huolimatta Havaron tekemät Heartbleed-havainnot 45,0 % 40,0 % 35,0 % 30,0 % 25,0 % 20,0 % 15,0 % 10,0 % 5,0 % 0,0 % Havaittuja Heartbleed-haavoittuvuuden hyväksikäyttöyrityksiä Vastauspaketteja Heartbleed-pyyntöihin, jotka saattavat sisältää arkaluontoista tietoa (Large response) Hyväksikäyttöyritysten ja vastauspakettien suhde (prosenttia) Kuva 11 HAVARO-järjestelmän Heartbleed-havainnot 14

15 HAVARON havaitsemat Heartbleed -pyynnöt tulivat pääasiassa kiinalaisista ja venäläisistä internetosoitteista. Alla olevaan kuvaajaan (Kuva 12) on koottu yleisimmät Heartbleed-pyyntöjen lähdeosoitteet. Internetosoitteesta ei kuitenkaan voi suoraan päätellä tekijän alkuperää, koska hyökkäyksen tehnyttä palvelinta voi ohjata mistä päin maailmaa tahansa. Heartbleed-hyväksikäyttöyritysten lähdeosoite CN RU US FI DE NL RO FR Muut Kuva 12 Heartbleed-pyyntöjen lähdeosoite 7 Osa HAVARO:n rekisteröimistä Heartbleed-pyynnöistä on todennäköisesti peräisin tietoturvaviranomaisten, yliopistojen ja tietoturvayritysten Heartbleed-haavoittuvuuskartoituksista. Tilasto ei sisällä Viestintäviraston suorittamia haavoittuvien palveluiden kartoituksia. Tietojenkalastelukampanja jatkuu yhä Pankkitietojen kalastelu valheellisten sähköpostien, www-sivujen ja tekstiviestien avulla jatkuu yhä. Viestintäviraston Kyberturvallisuuskeskus sai ensimmäiset havainnot tietojenkalastelusta maaliskuussa. Kalastelu aloitettiin Tullin nimissä, jonka jälkeen kampanjaa on jatkettu Itellan, perintäpalvelun ja Matkahuollon nimissä. Poliisin mukaan mennessä kalastelukampanjan avulla on saatu pikaluottoja yhteensä yli euroa. Kesäkuun alkuun mennessä Kyberturvallisuuskeskus on raportoinut yhteensä 32:sta kampanjaan liittyvästä tietojenkalastelusivusta verkkopalveluiden ylläpitäjille. Pääsääntöisesti ylläpitäjät ovat reagoineet ilmoituksiin hyvin ja sulkeneet kalastelusivut nopeasti. 15

16 Yhden sivuston irtikytkemisen jälkeen kyberrikolliset ovat käytännössä perustaneet uuden sivuston eri osoitteen alle ja jatkaneet tietojenkalastelua. Irtikytkemisillä on kuitenkin voitu minimoida tietojenkalastelukampanjan laajuutta ja vaikutuksia. 16

17 Yhteystiedot Viestintävirasto PL 313 Itämerenkatu 3 A Helsinki Puh: (vaihde) kyberturvallisuuskeskus.fi viestintävirasto.fi