Varmaa ja vaivatonta viestintää kaikille Suomessa

Transkriptio

1 Varmaa ja vaivatonta viestintää kaikille Suomessa Kohdistetut hyökkäykset Viipyilevä uhka.. Tähän joku aloituskuva, esim. ilmapallopoika

2 Kohdistetut hyökkäykset ( APT )! Tiettyyn toimijaan tai toimijajoukkoon kohdistettu tietoturvaloukkaus! Tavoitteena tyypillisesti laiton tiedon hankinta» avaa myös mahdollisuuksia sabotaasiin, tieto-, viestintä- ja automaatiojärjestelmien hallinnan kaappamiseen sekä niiden sisältämän tiedon manipulointiin! Muita nimityksiä:» kohdistettu hyökkäys» suunnattu hyökkäys» laiton tiedonhankinta» vakoilu» Advanced Persistent Threat (APT)» en riktad attack CERT-FI on alkaen Kyberturvallisuuskeskus

3 Kohdistetun hyökkäyksen vaiheistus Maalitus, kartoitus, välineistön valinta Tunkeutuminen kohteeseen soitto kotiin, jalansijan varmistaminen Kohteen tekninen kartoitus ja vaikutusalueen laajentaminen Tietojen varastaminen ja "kotiuttaminen" Jälkien peittäminen, koteloituminen kohteeseen CERT-FI on alkaen Kyberturvallisuuskeskus

4 Yleisimmät sisääntulovektorit! 0-päivähaavoittuvuuksia vain todelliseen tarpeeseen» kohdeorganisaation päivityskäytännöt tiedossa! Myrkytetyt aidon näköiset dokumenttitiedostot» Microsoft Office -dokumentit» PDF-tiedostot! Haittaohjelmia jakelevat www-palvelimet» Watering Hole! Haittaohjelma tai latauslinkki levitetään yleensä sähköpostissa tai sen liitteenä» myös USB-muistitikut! Myyrät ja muu HUMINT..? CERT-FI on alkaen Kyberturvallisuuskeskus

5 Advanced? Persistent? Threat?! Viittaa ensisijaisesti operaatioon kokonaisuutena» kunkin vaiheen toteutukseen erikoistuneita tiimejä» huolellinen kohdeympäristön kartoittaminen» kohteen heikkouksien mukaan räätälöidyt haittaohjelmat» kyky piiloutua ja poistua jälkiä jättämättä» ei rönsyilyä ja koheltamista! Haittaohjelmista ja hyökkäystyökaluista näkee ammattilaisen olleen asialla» ei virheetöntä, mutta laatutyötä kuitenkin! Tekijään viittaavat jäljet pyritty peittämään» ei savuavaa asetta tai "osoittavaa sormea" CERT-FI on alkaen Kyberturvallisuuskeskus

6 Advanced? Persistent? Threat?! Piilossa pysyminen tärkeintä» tukiorganisaatio tuottaa uusia ominaisuuksia ja bugikorjauksia pitkin operaatiota! Kiireettömyys on hyve, kohteeseen tullaan olemaan, ei käymään» dataa saattaa lähteä ensi hetkestä alkaen, mutta lypsävän lehmän luokse kannattaa jäädä» on tavanomaista, että organisaatioiden järjestelmissä ollaan oltu jopa vuosien ajan! Pääsy kohdejärjestelmiin juurrutetaan hankkimalla pääkäyttäjäoikeudet ja ottamalla haltuun hallintajärjestelmät! Redundanssia ja diversiteettiä» yhden osion paljastuminen ei riitä tietomurtokokonaisuuden selvittämiseen» yhden kohdeorganisaation paljastuminen ei riitä paljastamaan vastaavaa hyökkäystä muissa kohteissa CERT-FI on alkaen Kyberturvallisuuskeskus

7 Advanced? Persistent? Threat?! Kohteeksi ei valikoiduta sattumalta! Erityisen kiinnostavat toimialat» valtionhallinto» puolustusteollisuus» korkean teknologian yritykset..! Avainhenkilöt:» johtajat» neuvottelijat, valmistelijat, sihteerit» kohdejärjestelmien tekninen ylläpito» alihankkijat CERT-FI on alkaen Kyberturvallisuuskeskus

8 Kontrollikori ja suojattava etu Ehkäisevät Havaitsevat Vahinkoa rajaavat Toipumista edistävät Luottamuksellisuus Eheys Saatavuus CERT-FI on alkaen Kyberturvallisuuskeskus

9 Kohdistetut hyökkäykset Suomessa CERT-FI on alkaen Kyberturvallisuuskeskus

10 Kohdistetut hyökkäykset Suomessa! Havaintoja ainakin vuodesta 2004! Tapaukset tulevat tietoon yleensä ulkomaisten vihjeiden perusteella» CERT-FI:n HAVARO-pavelu (tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä) on tuonut merkittävän lisän kansalliseen havainnointikykyyn! Tammikuussa 2013 julki tullut tapaus Red October lisäsi tietoisuutta aiheesta CERT-FI on alkaen Kyberturvallisuuskeskus

11 Erityisasiakkaille toimitettuja tunnusmerkistöjä Ilmiö: Kohdistetut hyökkäykset, CERT-FI:n materiaali Qatarin verkkotunnukset palautettu Re: Qatarin (.QA) verkkotunnusjärjestelmä mahdollisesti väärissä käsissä Quatarin (.QA) verkkotunnusjärjestelmä mahdollisesti väärissä käsissä Mielenkiintoinen artikkeli Antwerpin satamaan kohdistuneista kyberhyökkäyksistä Der Spiegeliltä: Belgacomin GRX-infraan tunkeutuminen Varastetulla varmenteella allekirjoitettu haittaohjelmia Re: [FICORA #749915] Haitallisia linkkejä sisältäviä viestejä lähetetty Presidentti Niinistön Twitter-tilille [FICORA #749915] Haitallisia linkkejä sisältäviä viestejä lähetetty Presidentti Niinistön Twitter-tilille [FICORA #749527] Tietoa kohdistetuista hyökkäyksistä SIM-korttien haavoittuvuuksista esitys Black Hatissa Lisätietoja SIM-korteissa havaituista haavoittuvuuksista Mobiiliverkon SIM-korteista löydetty haavoittuvuuksia [FICORA #742647] Tietoa kohdistetuista hyökkäyksistä Linkedin-tapaus johtui todennäköisesti virheestä Heads-up! linkedin.com ja muut Network Solutionsin kautta rekisteröidyt verkkotunnukset Tietomurtoja IBM-järjestelmiin Kohdennettuja hyökkäyksiä Epäilyttävä sähköpostiviesti Tunnusmerkistöjä kohdistetuista hyökkäyksistä [FICORA #732782] Kohdistettujen hyökkäyksien sähköposteja Huijausviestejä Europe Computer Emergency Response Team (EUCER.EU) nimissä - VARO! [FICORA #726712] malware.lu:n tuleva APT1-aiheinen raportti Varovaisuutta sähköpostin liitetiedostojen aukaisuun (Liittyen Etelä-Koreaan) Kaspersky julkaissut raportin vakoiluohjelma TeamSpy:stä [FICORA #724965] Tietoa kohdistetusta hyökkäyksestä Miniduke-haittaohjelmasta Kalasteluviesti (myös) valtionhallintoon Kohdistettujen hyökkäyksien sähköposteja Kohdistetusta hyökkäyksestä Re: [FICORA #714407] Kaspersky julkaisi raportin vakoiluhaittaohjelmasta Kaspersky julkaisi raportin vakoiluhaittaohjelmasta Turkkilainen CA "korkattu"; väärennettyjä varmenteita jaossa CERT-FI on alkaen Kyberturvallisuuskeskus

12 Erityisasiakkaille toimitettuja tunnusmerkistöjä Kohdistettuja hyökkäyksiä [FICORA #702274] Mahdollinen ETYJ-tietovuoto Kohdistettu haittaohjelmahyökkäys väittää olevansa Adobe Flash -päivitys tietohallinnolta Kohdistettuja hyökkäyksiä Re: Kohdistettuja hyökkäyksiä Kohdistettuja hyökkäyksiä Seurattava: Dorifel-haittaohjelma - keskittynyt Hollannin julkisen sektoriin? Japanin valtiovarainministeriö tietoja varastavien haittaohjelmien kohteena Tietoa kohdistetuista hyökkäyksistä sähköpostilla Kohdistettuja hyökkäyksiä Stuxnet- ja Flame-haittaohjelma uutisia Valtionhallintoon kohdistuneita hyökkäyksiä Päivitys aikaisempaan viestiin kohdistetuista haittaohjelmasähköposteista Haittaohjelmia levitetään kohdistetuissa sähköpostijakeluissa Tiedoksi: Haittaohjelmia sisältäviä sähköposteja [FICORA #632693] Tiedoksi: Haittaohjelman sisältävä sähköposti Stratforilta varastettuja sähköposteja julkaistu verkossa HP Dataprotectorin haavoittuvuutta käytetty hyväksi Pastebinissä julkaistu muutamia Stratforin posteiksi väitettyjä viestejä CERT-FI on alkaen Kyberturvallisuuskeskus

13 Erityisasiakkaille toimitettuja tunnusmerkistöjä YK:n verkkopalvelusta varastettu käyttäjätunnuksia ja salasanoja Kohdistetuissa hyökkäyksissä käytettyjä osoitteita Kohdistettuja hyökkäyksiä DigiNotar tilannekatsaus Kyselyn yhteenveto; RSA SecureID-laitteiden käytöstä ja vaihdosta uusiin Suomessa DigiNotarin myöntämistä vääristä SSL-varmenteista DigiNotarilla tehdyt väärät Google-varmenteet Väärennetty Google-varmenne luotu Diginotarin palvelussa Euroopan maiden valtionhallintoon kohdistettuja hyökkäyksiä Suojauskeinoja kohdistettujen hyökkäysten torjumiseksi GOVCERT.NL:n factsheet RSA SecurID-tuotteisiin ja turvallisuuteen liittyen Kohdistettuja hyökkäyksiä Tietoa RSA SecurID tokenien vaihtoprosessista Harkinnassa CERT-FI varoitus 3/2011 RSA SecurID-casen kehityksen johdosta RSA tarjoaa SecurID-tokenien vaihtoa Lockheed-Martinin tietomurtoyrityksen vuoksi Yhdysvaltalainen L-3 Communications SecurID-murtoyritysten kohteena RSA-murron tietoja mahdollisesti käytetty hyväksi Tietoa kohdennetusta haittaohjelmasta [FICORA #498330] RSA-murto - murtoyritysten havainnointi Comodon SSL-varmenteet ja hakkerin vastaus kirjoituksiin Skype ja Comodon SSL-varmenteet Lista Comodon julkaisemista vääristä sertifikaateista julkistettu Microsoftin tiedotteessa [FICORA #498330] RSA:lta päivitetty tietoturvatiedote RSA SecurID-tietoturvatilanne [FICORA #498761] Tietomurto RSA:n järjestelmiin voi vaikuttaa SecurID-asiakkaisiin Ranskan valtionvarainministeriön tietomurrot uutisissa HBGaryb bisneksistä Yhdysvaltain valtionhallinnon kanssa Tapaus HBGary: tee niin kuin minä sanon, älä niinkuin minä teen McAfeen julkistama tietomurtotapaus öljy-, energia- ja petrokemiateollisuuden yrityksiin Saksan sisäministeri lausuu kummia Stuxnetistä Hollantilaisten kollegojemme tietoturvaraportteja saatavilla englanniksi Uutislinkki: "Mysterious "Spy" Computer In Parliament Works Differently Than Being Reported, Tech Expert Says Euroopan unionin päästökauppa suljettu tietomurron vuoksi CERT-FI on alkaen Kyberturvallisuuskeskus

14 Paljastamisesta! Lokeja tarvitaan.. huolehdi niiden elinkaaresta ja hyödyntämisestä» synnyttäminen, kerääminen, analysoiminen, havaintojen korrelointi! Lokeja.. mistä?» Proxy, palomuurit ja muut suodatus- ja sisällöntarkistuslaitteet sekä verkon aktiivilaitteet» DNS, Passive DNS» usein sisään tulevaa liikennettä kiinnostavampaa on verkosta ulos lähtevä! Suunnittele verkkosi siten, että sitä voi hallita» hyvin määritelty "luotettu" liikenne vs. selittämättömät poikkeamat» knoppikysymys: tiedätkö mikä on työasemiesi selainten user-agent?!! Pakota verkkoosi sisään päässyt tunkeutuja ottamaan riskejä ja paljastamaan itsensä» päivitä, kovenna, yllätä muutoksilla, kerää lokeja, valvo CERT-FI on alkaen Kyberturvallisuuskeskus

15 Mitä jos..? CERT-FI on alkaen Kyberturvallisuuskeskus

16 Mitä jos..?! Älä hätiköi!» kiireinen rymistely tuhoaa todistusaineistoa ja paljastaa vastapuolelle aikeesi, jolloin jahtaat pelkkiä haamuja! Varmista, että todistusaineisto saadaan talteen» vastassasi on muistinvaraisia ja häirinnän tunnistavia ohjelmistoja, salakirjoitusta, erikoisia ajureita, muokattuja tiedostojärjestelmiä à oletko aivan varmasti samalla viivalla vastustajasi kanssa? CERT-FI on alkaen Kyberturvallisuuskeskus

17 Mitä jos..?! Kiinnostavia talteen otettavia tietoja» verkko- ja järjestelmälokit» tunkeutujan käyttämät työkalut, ml. haittaohjelmat» komentopalvelinten osoitteet (IP, DNS, URL..)» user-agent- ja referer-tiedot! Aikajanan rakentaminen CERT-FI on alkaen Kyberturvallisuuskeskus

18 Mistä apua?! Viestintävirasto: tietoturvaloukkausepäilyn vahvistaminen, viitteet APT:sta! Poliisiviranomaiset: rikostutkinta CERT-FI on alkaen Kyberturvallisuuskeskus

19 Varmaa ja vaivatonta viestintää kaikille Suomessa HAVARO Tietoturvaloukkausten HAvainnointi ja VAROitusjärjestelmä Tähän joku aloituskuva, esim. ilmapallopoika

20 HAVARO = Tietoturvaloukkausten HAvannointi- ja VAROitusjärjestelmä Viestintäviraston palvelu: HAVARO-järjestelmään liitettyjen asiakasorganisaatioiden lähtevästä ja saapuvasta tietoliikenteestä etsitään jälkiä sähköisen viestinnän tietosuojalain tarkoittamasta tietoturvaa vaarantavasta liikenteestä. CERT-FI on alkaen Kyberturvallisuuskeskus

21 Tietoturvaloukkausten havaintoja saadaan eriarvoisista lähteistä 1. ensisijaiset: CERT-FI:n omistamat ja operoimat havainnointijärjestelmät à HAVARO (2011 à ) ja GovHAVARO (2013 à ) 2. toissijaiset: kolmansien osapuolten tuottamat havainnot, joiden muodostumisperiaate tunnetaan hyvin à CERT-FI Autoreporter (2011 à ) 3. kolmassijaiset: kolmansien osapuolten tuottamat havainnot ("as-is") à CERT-FI Autoreporter (2005 à ) CERT-FI on alkaen Kyberturvallisuuskeskus

22