TIETOTURVAKATSAUS 1/2011

Transkriptio

1 TIETOTURVAKATSAUS 1/

2 CERT-FI:n tietoturvakatsaus 1/2011 Johdanto Yhdysvaltalainen tietoturvayhtiö RSA ilmoitti maaliskuun puolessa välissä joutuneensa tietomurron uhriksi. Tietovuoto voi vaikuttaa SecurID-tuotteiden turvallisuuteen. Tuotteita käytetään monissa yrityksissä käyttäjien tunnistamiseen. Niitä voi edelleen käyttää tietyin ehdoin, mutta tapaus vaatii käyttäjiltä aikaisempaa enemmän huolellisuutta. Myös tietoturvayhtiö Comodon eurooppalainen yhteistyökumppani joutui tietomurron kohteeksi. Murtautuja onnistui luomaan seitsemälle olemassaolevalle verkkopalvelulle uudet SSL-varmenteet, joiden avulla käyttäjän harhauttaminen on mahdollista. Varmenteet on jo mitätöity eivätkä uusimmat selainversiot enää hyväksy niitä. Egyptin levottomuuksien kiihtyessä tammikuun lopulla maan hallitus sulki useiden päivien ajaksi tietoliikenneyhteydet Egyptistä ulkomaille. Rikoslain muutoksen myötä suojaamattoman WLAN-verkon käyttäminen ei ole enää rangaistavaa. Uusi laki tuli voimaan Verkkokauppojen verkkomaksutoteutuksista on löydetty haavoittuvuuksia, joissa ohjelmisto ei ole tarkastanut vahvistusta maksun suorittamisesta kyllin huolellisesti. Haavoittuvuuksia on käytetty hyväksi petoksissa, joiden takia jotkut yritykset ovat kärsineet taloudellisia tappioita. Android Market -sovelluskauppaan oli lisätty maaliskuussa haittaohjelman sisältäviä versioita sovelluksista. Haittaohjelman avulla oli mahdollista saada puhelimeen pääkäyttäjäoikeudet (root) ja muun muassa varastaa tietoja puhelimen käyttäjiltä. Suuren Rustock-bottiverkon komentopalvelimet poistettiin maaliskuun lopulla verkosta Microsoftin sekä Yhdysvaltojen ja Hollannin viranomaisten yhteisen operaation tuloksena. Samassa yhteydessä tuli tietoon myös suomalaisten käyttäjien koneita, jotka oli kaapattu bottiverkon osaksi. EU:n komission tietojärjestelmissä havaittiin maaliskuussa haittaohjelma. Pääsy komission sähköpostipalveluihin ja eri toimielinten sisäisiin intranet-palveluihin suljettiin tapauksen vuoksi tilapäisesti. Yhdysvaltalainen tietoturvayhtiö HBGary on pyrkinyt selvittämään Anonymousryhmittymän avainhenkilöitä ja heidän toimintaansa. Vastatoimena Anonymous murtautui yrityksen palvelimille ja sai haltuunsa yhtiön tiedostoja ja sähköpostiviestejä, jotka se julkaisi internetissä. 2

3 RSA-tietoturvayhtiön SecurIDtuotteiden tietoja on paljastunut tietomurrossa Yhdysvaltalainen tietoturvayhtiö RSA ilmoitti maaliskuun puolessa välissä julkisesti joutuneensa tietomurron kohteeksi. Tietomurron yhteydessä yhtiöltä varastettiin tietoja, jotka voivat vaikuttaa RSA:n SecurID-tuotteiden turvallisuuteen. RSA on tiedottanut tapauksesta varsin rajoitetusti. RSA SecurID on erityisesti yrityskäyttäjille suunnattu käyttäjien todentamisratkaisu. Järjestelmä perustuu käyttäjän hallussa olevaan fyysiseen avainlukugeneraattoriin ja yrityksen hallussa olevaan todennuspalvelimeen. SecurID-järjestelmää käyttävään palveluun kirjautumiseen tarvitaan tavallisesti palvelun osoite, käyttäjätunnus, käyttäjän oma salasana sekä avainlukugeneraattorin luoma kertakäyttöinen ja voimassaoloajaltaan rajoitettu koodi. Todennuspalvelin tarkistaa käyttäjätunnukseen liitetyn salasanan ja avainlukugeneraattorin antaman koodin. RSA on kertonut, että tietomurrossa on käytetty haittaohjelmaa, joka on lähetetty sen työntekijöille sähköpostiviestin liitteenä. Haittaohjelmakoodia sisältänyt Exceltiedosto hyödynsi Adoben Flashsovelluksen haavoittuvuutta 1. RSA:n työntekijöille oli lähetetty sähköpostiviestejä, joiden otsikkona oli "2011 Recruitment Plan". Suurin osa viesteistä oli suodatettu roskapostikansioihin, mutta osa työntekijöistä oli avannut tiedostoliitteen ja sen seurauksena saanut haittaohjelmatartunnan koneelleen. Haittaohjelman avulla murtautujat pääsivät käsiksi työntekijöiden käyttäjätileihin. He kaappasivat useita tilejä, kunnes löysivät sellaisen tilin, jolla oli pääsy tietomurron kohteena oleviin tiedostoihin. Tämän jälkeen hyökkääjät siirsivät tiedostot hallinnassaan olevalle palvelimelle. RSA ei ole kertonut, mitä tietoja on varastettu. 1 CERT-FI haavoittuvuustiedote 038/2011 RSA havaitsi tietomurron verkkoliikenteen perusteella. Verkkoa ei kuitenkaan saatu suojattua riittävän nopeasti ja murtautujat ehtivät varastaa tiedot. SecurID-järjestelmän käyttäminen ilman avainlukugeneraattorin vaihtuvan koodin lisäksi annettavaa henkilökohtaista salasanaa ei ole suositeltavaa. Lisäksi on syytä ottaa käyttöön tunnuksen ja käyttäjätilin lukitseminen liian monen väärän arvauksen jälkeen. RSA on tiedottanut tietomurrosta myös suoraan omille asiakkailleen. Asiakkaiden kannattaakin seurata yhtiön lähettämiä tiedotteita. Tällä hetkellä RSA suosittelee käyttämään 8-merkkistä henkilökohtaista PIN-koodia ja käyttäjätilin lukitsemista kolmen epäonnistuneen yrityksen jälkeen. SecurID-palvelimen lokitietoja tarkkailemalla voi havaita murtoyritykset. Koska tarkkaa tietoa tietomurron vaikutuksista ei ole, SecurID-käyttäjien tulee kiinnittää erityistä huomiota henkilökohtaisten salasanojen tai PIN-koodien turvallisuuteen. Yhtä koodia tulee käyttää vain yhdessä järjestelmässä. Jos epäilee, että PIN-koodi on joutunut vääriin käsiin, se tulee vaihtaa välittömästi. PIN-koodin turvallisuudesta tulee huolehtia erityisesti siksi, että tietomurron kohteeksi on voinut joutua sellaisia tietoja, joiden avulla SecurID-generaattorin luomia lyhytikäisiä ja kertakäyttöisiä avainlukuja voisi arvata. Väärennettyjä varmenteita tietomurron seurauksena Tietoturvayhtiö Comodon eurooppalainen yhteistyökumppani joutui tietomurron kohteeksi. Tietomurto tehtiin käyttämällä varastettua käyttäjätunnusta ja salasanaa. Murtautuja onnistui luomaan seitsemälle olemassa olevalle verkkopalvelulle uudet SSL-varmenteet, joita käytetään suojatuissa selainyhteyksissä (HTTPS) verkkopalveluihin. Väärennettyjen SSL-varmenteiden avulla hyökkääjän on periaatteessa mahdollista varastaa käyttäjien tunnuksia ja salasanoja. Tämän voi tehdä man-in-the-middletyyppisellä hyökkäyksellä, jossa hyökkääjä 3

4 kaappaa verkkopalvelun ja käyttäjän välisen tietoliikenteen, tai ohjaamalla nimipalvelukyselyt DNSChanger-tyyppisellä haittaohjelmalla hyökkääjän hallitsemalle nimipalvelimelle ja siten harhauttamalla käyttäjä väärennetylle sivustolle. Comodo on mitätöinyt murtautujan luomat väärät varmenteet. Useat ohjelmistoja käyttöjärjestelmävalmistajat ovat julkaisseet ohjelmistoistaan uudet versiot, joihin on kovakoodattu esto myönnetyille varmenteille. Selaimet voivat käyttää myös erityisiä varmenteiden estolistoja. Kun käyttäjä vierailee suojatulla sivustolla, selain tarkistaa verkosta, onko käytetty SSLvarmenne mitätöity. Huomionarvoista on, ettei estolistojen käyttö ole selaimissa oletuksena päällä. Tietomurron toteuttajaksi ilmoittautunut henkilö on julkisuudessa kertonut murtautuneensa myös kahden muun Comodon yhteistyökumppanin verkkoon. Comodo on vahvistanut tiedot ja kertonut, ettei näiden tietomurtojen seurauksena ole tehty lisää väärennettyjä varmenteita. Palvelut, joille väärät varmenteet luotiin ensimmäisen tietomurron yhteydessä, olivat mail.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com sekä "Global Trustee". Matkapuhelinkäyttöjärjestelmä Androidin ohjelmistokaupassa haittaohjelmia Googlen Android-mobiilikäyttöjärjestelmän Android Market -sovelluskauppaan lisättiin maaliskuussa uusia, ilmaisia versioita olemassa olevista maksullisista sovelluksista. Ilmaiset versiot sisälsivät haittaohjelman, jonka avulla puhelimeen oli mahdollista saada pääkäyttäjän oikeudet ja varastaa tietoja puhelimen käyttäjiltä. Ohjelmat ehtivät olla jaossa vain muutamia päiviä, mutta niitä ehdittiin sinä aikana ladata yhteensä useita kymmeniä tuhansia kertoja. Google poisti haitallisten ohjelmistojen latausmahdollisuuden kauppapaikasta ja on myös käyttänyt sovellushallintaohjelmistoaan poistaakseen 4 rootkit-ominaisuudet sisältävät sovellukset käyttäjien puhelimista. Google on myös ilmoittanut blogissaan lisäävänsä palveluun suojauksia vastaavien tapausten estämiseksi. Matkapuhelinten haittaohjelmat yleistyvät hitaasti ZeuS ja SpyEye -haittaohjelmista on myös matkapuhelimissa toimivat versiot, joita on käytetty tietokoneelle asentuvan haittaohjelman lisäksi. Niiden avulla esimerkiksi pankkien lähettämät tilisiirtojen tai kirjautumisten varmennustekstiviestit on voitu ohjata eteenpäin hyökkääjälle. Toistaiseksi haittaohjelmien mobiiliversioita ei ole käytetty suomalaisia verkkopalveluja vastaan. Ilman käyttäjän omia toimia leviävää, matotyyppistä haittaohjelmaa ei matkapuhelimista ole tavattu. Näyttää kuitenkin siltä, että matkapuhelinten haittaohjelmat ovat yleistymässä. Tämä voi johtua siitä, että puhelinta käytetään jo nyt entistä enemmän muuhunkin kuin puhumiseen tai tekstiviesteihin, esimerkiksi verkkosivujen selailuun ja sähköpostikirjeenvaihtoon. Pienten ostosten maksamiseen liittyvät sovellukset voivat lisätä haittaohjelmien tekijöiden kiinnostusta matkapuhelimia kohtaan. Rustock- ja SpyEye-tartuntoja raportoitu suomalaisille operaattoreille Suuren Rustock-bottiverkon komentopalvelimet poistettiin maaliskuun lopulla verkosta Microsoftin sekä Yhdysvaltojen ja Hollannin viranomaisten yhteisen operaation tuloksena. Rustock on erityisesti roskapostin lähettämiseen tehty haittaohjelma, jonka saastuttamia tietokoneita on ollut maailmalla joidenkin arvioiden mukaan jopa miljoona. CERT-FI on saanut tietoja suomalaisista Rustock-haittaohjelmatartunnoista ja tiedot on välitetty edelleen verkkooperaattoreille. Suomalaisille operaattoreille raportoitiin yhteensä 2246 Rustocktartuntaa, jotka jakautuivat 47 eri verkkoalueeseen (Autonomous System).

5 Roskapostin määrää tilastoivan Spamcopin mukaan roskapostin määrä notkahti bottiverkon alasajon seurauksena noin kolmanneksen. Viimeksi samankaltainen notkahdus nähtiin vuoden 2008 lopulla, kun yhdysvaltalainen palveluntarjoaja McColo kytkettiin irti internetistä. McColon palvelintiloissa oli useiden eri bottiverkkojen, kuten Srizbin, Mega-D:n ja Rustockin komentopalvelimia. Rikolliset onnistuivat tuolloin siirtämään komentopalvelimet uusiin palvelinhotelleihin ja roskapostin määrä palasi nopeasti entiselle tasolle. Rustock-bottiverkon osoitteiden lisäksi CERT-FI raportoi maaliskuussa yli 200 SpyEye-haittaohjelmatartuntaa kotimaisille operaattoreille. SpyEye on haittaohjelma, jonka avulla voi varastaa käyttäjätunnuksia ja salasanoja. EU:n komission järjestelmissä haittaohjelma EU:n komission ja sen External Action Service -elimen tietojärjestelmissä havaittiin maaliskuussa haittaohjelma. Ohjelman levittäjästä tai mahdollisesti sivullisille joutuneiden tietojen luonteesta tai määrästä ei ole julkaistu tietoja. Pääsy komission sähköpostipalveluihin ja eri toimielinten sisäisiin intranetpalveluihin on haittaohjelmatartunnan vuoksi tilapäisesti suljettu. Käyttäjien salasanat on myös vaihdettu. Verkkoaktivismi ja palvelunestohyökkäykset jatkuivat Anonymous-ryhmittymän ympärille keskittyneet palvelunestohyökkäykset ja muut tietoturvaloukkaukset saivat julkisuutta myös alkuvuonna. Yhdysvaltalainen tietoturvayhtiö HBGary on pyrkinyt selvittämään Anonymousryhmittymän avainhenkilöitä ja heidän toimintaansa. Yhtiön toimitusjohtaja Aaron Barr aikoi julkaista raportin aiheesta San Franciscossa pidetyssä RSAtietoturvakonferenssissa. Barr kuitenkin perui esiintymisensä. Myöhemmin kävi ilmi, että Anonymous oli onnistunut murtautumaan yrityksen palvelimille ja saanut haltuunsa yhtiön dokumentteja ja sähköpostiviestejä. Murtautujat julkaisivat noin yhtiön sähköpostiviestiä internetissä. Käyttämällä apunaan haltuunsa saamaansa HBGaryn sähköpostipalvelinta murtautujat saivat haltuunsa myös yhtiön omistajan Greg Hoglundin ylläpitämän rootkit.com-sivuston palvelimen pääkäyttäjän salasanan. Myöhemmin sivuston käyttäjätietokanta julkaistiin verkossa. Suomeenkin kohdistuu palvelunestohyökkäyksiä CERT-FI:n tietoon tulee säännöllisesti myös suomalaisiin verkkoihin tai palveluihin kohdistuvia palvelunestohyökkäyksiä. Hyökkäykset ovat yleensä lyhytaikaisia eivätkä kovin voimakkaita. Egypti irrottautui levottomuuksien aikana internetistä Egyptin levottomuuksien kiihtyessä tammikuun lopulla maan hallitus sulki useiden päivien ajaksi tietoliikenneyhteydet Egyptistä ulkomaille. Egyptin kansainvälisiä yhteyksiä tarjoavien operaattoreiden tietoliikenneyhteydet ulkomaille katkaistiin, minkä johdosta Egypti käytännöllisesti katsoen katosi internetistä. Jo ennen yhteyksien katkaisemista Egyptin internet-liikennettä suodatettiin siten, että esimerkiksi Twitter- ja Facebookpalveluihin ei päässyt ja nimipalvelun (DNS) toiminta oli pyritty estämään. Internet-yhteyksien katkaisemiseksi tehtiin useita toimenpiteitä. Suurin osa yhteyksistä katkaistiin yhdellä kertaa katkaisemalla yhteydet suuressa operaattorien yhdysliikennepisteessä. Tällä tavoin pudotettiin verkosta noin 90 % kaikista Egyptin osoitteista. Seuraavien päivien aikana suljettiin vähitellen lähes kaikki muutkin yhteydet. 5

6 Matkapuhelinverkon puheyhteydet pääosin toimivat levottomuuksien aikana. Tekstiviestejä pystyi lähettämään ulkomaille, mutta Egyptin sisäisten viestien välitys oli estetty. Internet-yhteydet olivat poikki useita päiviä. Egyptin kautta Euroopan ja Aasian välillä kulkeviin siirtoyhteyksiin tai tietoliikennekaapeleihin tehdyillä toimenpiteillä ei ollut vaikutusta. Aikaisemmin internet-yhteydet on kytketty irti mm. Nepalissa ja Burmassa. Osittaista internet-liikenteen suodattamista on tehty useissa eri maissa. Suojaamattomien WLAN-verkkojen käyttö ei ole enää rangaistavaa Suojaamattoman langattoman verkko käyttäminen ei ole enää luvatonta käyttöä. Rikoslain 28. luvun 7. pykälää muutettiin Säännöksen muuttamista pidettiin tarpeellisena, koska aiemmin oikeuskäytännössä oli katsottu, että ilman omistajan lupaa tapahtuva suojaamattoman WLAN-verkon ja internet-yhteyden käyttäminen voi täyttää kyseisen rikoksen tunnusmerkistön. Muutoksen perusteluissa todetaan, että WLAN-tyyppisten suojaamattomien langattomien verkkojen käytön rangaistavuudesta oli aiheutunut monia ongelmia. Erityisesti todettiin, ettei yhteyden käyttäjä voi ennalta tietää, onko verkon omistaja tarkoittanut verkon vapaasti käytettäväksi vai ei. Käyttäjä voi myös estää luvattoman käytön yksinkertaisesti suojaamalla verkkoyhteytensä. Tämä on suositeltavaa, sillä äskettäin on julkaistu entistä helppokäyttöisempiä työkaluja verkkoyhteyksien kaappaamiseen. Suojatussa verkossa yhteyksien kaappaaminen ei onnistu. Verkkokauppasovellusten tietoturvassa puutteita Poliisin ja CERT-FI:n tietoon on tullut tapauksia, joissa verkkokauppasovellusten maksujen käsittelyyn liittyviä puutteita on käytetty hyväksi. Haavoittuvuuksien vuoksi verkkokauppasovellusta on voitu erehdyttää luulemaan, että maksuvälitys on tapahtunut, vaikka näin ei todellisuudessa olisikaan. Haavoittuvuudet johtuvat siitä, ettei verkkokauppasovellus tarkista esimerkiksi maksutapahtuman paluuosoitetta tai tarkistussummaa ostosten maksamisen yhteydessä. Haavoittuvuuksia on käytetty hyväksi petoksissa, joiden yhteissumma on lähes euroa. Kyseessä ei ole yksittäisen sovelluksen tai tietyn sovellusvalmistajan ohjelmistoissa oleva tietoturvaongelma, vaan kauppapaikkojen toteutustavasta johtuva haavoittuvuus. Erilaiset toteutustavat voivat johtaa siihen, ettei pankkien tai muiden maksuliikennepalveluita tarjoavien tahojen teknisiä määrittelyitä noudateta täysin ohjeiden mukaisesti. On myös tärkeää huomata, etteivät väärinkäyttömahdollisuudet vaaranna kuluttajan tietoturvaa verkkokaupoissa asioidessa. Verkkokaupan tietoturva on kauppiaan vastuulla. Haavoittuvuuskoordinoinnin näkökulmasta verkkokauppojen haavoittuvuuksien löytäminen ja korjaaminen on hankalaa toimijoiden suuren määrän ja sovellusmarkkinoiden pirstaleisuuden vuoksi. Suurimmat ohjelmistotoimittajat ja verkkokauppaintegraattorit ovat helpommin tavoitettavissa kuin yhden henkilön pitämät verkkokaupat, joita Suomessakin on näkemyksemme mukaan paljon. CERT-FI on tehnyt yhteistyötä suomalaisen tietoturvayhtiö Nixu Oy:n, Helsingin poliisin ja Suomen elektronisen kaupankäynnin yhdistys ry:n kanssa tiedon levittämiseksi ohjelmistojen valmistajille ja verkkokauppiaille. Älypuhelinhaavoittuvuuksia CERT-FI:n koordinoitavana Vaatimukset älypuhelimien luotettavuudelle ja tietoturvalle kasvavat. Tietoteknisten rajapintojen muodostamien uhkien lisäksi puhelimiin kohdistuu myös muita uhkia. Puhelinten fyysiset suojamekanismit ovat tärkeitä sellaisissa tilanteissa, joissa laite joudutaan luovuttamaan sivullisen haltuun. 6

7 Ensimmäinen CERT-FI:n koordinoima ja julkaistu älypuhelinhaavoittuvuus koski Nokian E75-puhelimen suojakoodin ohitusmenetelmää. Ohjelmistohaavoittuvuuksien korjaaminen on usein hidasta CERT-FI koordinoi useiden eri ohjelmistojen haavoittuvuuksien korjaamista ja julkaisemista. Käynnissä olevien projektien tulosten julkistaminen voi kestää ohjelmistokehitykseen ja korjausprosesseihin liittyvien viivytysten takia jopa useita kuukausia. IDS/IPS-laitteistojen ja ohjelmistojen puutteiden selvittely jatkuu Viime vuoden lopulla julkistetussa haavoittuvuuskoordinointiprojektissa valmistajat tutkivat IDS/IPS-tuotteidensa haavoittuvuutta suojausmekanismeja ohittamaan pyrkiville protokollasanomille. Aikaisemmista haavoittuvuuksista kertonut Stonesoft Oy on raportoinut uusista suojausmekanismien ohitustavoista. CERT- FI on ollut näiden johdosta yhteydessä laitteiden ja ohjelmistojen valmistajiin. Suojausten ohitusmenetelmät saattavat vaikuttaa muihinkin verkkoliikenteen sisältöä tutkiviin järjestelmiin, kuten uuden sukupolven palomuureihin (NGFW) ja UTM (Unified Threat Management) -järjestelmiin. Tulevaisuuden näkymiä CERT-FI seuraa tietoja varastavien haittaohjelmien ja älypuhelimiin liittyvien haavoittuvuuksien ja haittaohjelmien kehittymistä. Viime aikoina on tapahtunut useita tietovuotoja eri palveluista. Esimerkiksi asiakastietojen mukana vääriin käsiin joutuneita sähköpostiosoitteita voidaan käyttää hyväksi roskapostihuijauksissa. On luultavaa, että tietojen joukossa on myös suomalaisten käyttäjien tietoja. CERT-FI-yhteydenotot nimikkeittäin Q1/2011 Q1/2010 Muutos Haastattelu % Haavoittuvuus tai uhka % Haittaohjelma % Neuvonta % Hyökkäyksen valmistelu % Tietomurto % Palvelunestohyökkäys % Muu tietoturvaongelma % Social Engineering % Yhteensä % 7

8 Q4 Q3 Q2 Q CERT-FI:n käsittelemien tapausten lukumäärä oli vuoden ensimmäisellä neljänneksellä edellisvuosien tasolla. Haittaohjelmailmoituksia on kaikista tapauksista kaksi kolmannesta, vaikka valtaosa niistä käsitellään Autoreporter-järjestelmällä automaattisesti. 8