TIETOTURVAKATSAUS 2/

Transkriptio

1 TIETOTURVAKATSAUS 2/

2 CERT-FI tietoturvakatsaus 2/2010 Johdanto Facebook ja muut yhteisöpalvelut ovat entistä houkuttelevampia haitallisen sisällön levittämispaikkoja. Suosituissa palveluissa huijaukset näyttävät onnistuvan paremmin kuin esimerkiksi sähköpostin avulla. Internetin nimipalvelun DNSSEC-tietoturvalaajennuksen käyttöönotto on alkanut. DNSSEC otetaan käyttöön myös Viestintäviraston ylläpitämissä fi-verkkotunnuksissa. Tietoturvalaajennus tarjoaa suojaa verkkotunnusten väärentämistä ja nimipalveluun perustuvia harhautuksia vastaan. Google on kartoittanut kuvausautollaan Street View -palvelua varten myös langattomien WLAN-tukiasemien tietoja. Kartoituksen yhteydessä on tallennettu myös viestintäsalaisuuden piiriin kuuluvia viestisisältöjä. CERT-FI:n haavoittuvuuskoordinointi on ollut viime aikoina vilkasta. Viimeksi kuluneen vuosineljänneksen aikana julkaistiin neljän CERT-FI:n koordinoiman haavoittuvuuden korjaus- ja julkaisuprosessin tulokset. Asiakkaiden yhteydenotot CERT-FI:n lähettämät ilmoitukset /2010 CERT-FI:n käsittelemien yhteydenottojen määrä on laskenut jonkin verran edellisvuodesta. Automaattisesti lähetettyjen haittaohjelmailmoitusten määrä sen sijaan lisääntyy. 2

3 CERT-FI-yhteydenotot nimikkeittäin 1-6/ /2009 Muutos Haastattelu % Haavoittuvuus tai uhka % Haittaohjelma % Neuvonta % Hyökkäyksen valmistelu % Tietomurto ±0 % Palvelunestohyökkäys % Muu tietoturvaongelma % Social Engineering % Yhteensä % Q4 Q3 Q2 Q

4 Yhteisöpalveluissa levitetään myös haitallista sisältöä Erityisesti Facebookissa on viime aikoina levitetty useita haitallista ohjelmakoodia sisältäviä viestiketjuja. Haitallisten viestien toimintaperiaate on sama kuin sähköpostissa leviävissä, tietoa urkkivissa tai haitallisia linkkejä sisältävissä roskapostiviesteissä. Kaksi eri jakelutapaa Facebook-madot leviävät pääsääntöisesti haitallisten linkkien tai haitallisten Facebook-sovellusten avulla. Molempia menetelmiä voidaan nimittää likejackingkaappaukseksi. Nimitys johtuu Facebooksivuston "like" (tykkää) -toiminnosta, jonka avulla käyttäjät voivat kertoa pitävänsä toistensa julkaisemasta sisällöstä. Haitallinen linkki ohjaa käyttäjän verkkosivustolle, jolla oleva ohjelmakoodi kaappaa käyttäjän selaimessa hiiren kursorin haltuunsa. Sen jälkeen klikkaus mihin tahansa sivun osaan saa todellisuudessa aikaan "like"-napin painalluksen Facebookissa. Kun käyttäjä "tykkää" jostain linkistä tai sivustosta, kyseinen linkki kopioituu hänen omalle profiilisivulleen sekä kaikkien hänen Facebook-ystäviensä uutissyötteisiin. Harhautus voidaan toteuttaa myös niin, että haitallinen Facebook-sovellus pyytää käyttäjää antamaan sovellukselle oikeudet, jotka saavat aikaan vastaavanlaisen "like"-napin painalluksen. Facebook-madot voivat myös pyytää käyttäjää asentamaan esimerkiksi ohjelmapäivitykseksi naamioidun haittaohjelman käyttäjän koneelle. Lisäksi linkkien takaa löytyvillä sivuilla voi olla selainten haavoittuvuuksia hyväksikäyttäviä haittaohjelmia. Nettifiksuus auttaa pitkälle Yhteisöpalvelujen tarjoamiin linkkeihin kannattaa suhtautua epäilevästi siitä huolimatta, että ne näyttäisivät tulevan tutulta käyttäjältä. Jos lähetetyn linkin sisältö vaikuttaa saatetekstin perusteella vähänkin epäilyttävältä, on ennen linkin avaamista hyvä tarkistaa suoraan sen lähettäjältä, mistä on kysymys. 4 Harkinta on joskus vaikeaa, sillä Facebookin ja muiden yhteisöpalvelujen yleisiin käyttötapoihin kuuluu hauskojen ja viihdyttävien linkkien jakaminen kaverilistalle. Facebook-madon postittaman linkin erottaminen niistä ei ole aina helppoa. Tutustu Facebookin asetuksiin Facebook-sivuston sovelluksille annettavia oikeuksia tulisi myös harkita tarkkaan. Vaikka Facebookin yksityisyysasetuksia on moitittu vaikeiksi, on palvelussa melko monipuoliset mahdollisuudet rajoittaa omien tietojen näkymistä muille käyttäjille. Käyttäjän asentamat Facebooksovellukset voivat kuitenkin kysyä erikseen lupaa käyttäjän tietojen käyttämiseen, jolloin ne voivat kiertää asetettuja tietojen näkyvyysrajoituksia. Varovaisuus paikallaan myös muissa yhteisöpalveluissa Suosionsa takia Facebook on usein julkisuudessa. Kuitenkin kaikki palvelut, joiden kautta tavoittaa helposti suuren joukon ihmisiä, houkuttelevat myös väärinkäytöksiä. Haitallisia linkkejä on levitetty myös esimerkiksi lyhyisiin viesteihin perustuvassa Twitter-palvelussa. Palvelun erityisongelmana voidaan pitää siinä yleisesti jaettuja lyhennettyjä linkkiosoitteita, joiden todellinen kohde ei käy ilmi ennen kuin linkin avaa selaimella. Esimerkiksi bit.ly on tällainen verkko-osoitteen lyhennyspalvelu. Suomi24-sivuston tunnukset ja salasanat väärissä käsissä Suomi24-sivustolle murtauduttiin huhtikuun alussa käyttämällä Google-haun avulla löytynyttä SQL-injektiohaavoittuvuutta. Murtautujat onnistuivat varastamaan sivuston käyttäjätietokannan ja lisäsivät sivustolle linkin haittaohjelmaan. He pyrkivät myös hidastamaan tiedon leviämistä haittaohjelmasta poistamalla sivustolta aiheesta käytyä keskustelua. Suomi24 toimi nopeasti ja kehotti käyttäjiä vaihtamaan salasanansa. Sellaiset tunnukset, joiden salasanaa ei vaihdettu määräaikaan mennessä, lukittiin. Huolellisestikin ylläpidettyjen palvelujen tietoturva saattaa toisinaan vaarantua. Palvelujen ylläpitäjien tuleekin miettiä etukäteen tiedottamista ja muita toimenpiteitä kriisitilanteissa.

5 Nimipalvelun tietoturvalaajennuksen käyttöönotto on aloitettu Viestintävirasto ottaa käyttöön nimipalvelun DNSSEC-tietoturvalaajennuksen fipäätteisissä verkkotunnuksissa. Tietoturvalaajennus tarjoaa tehokkaan suojan verkkotunnusten väärentämistä ja nimipalveluun perustuvia harhautuksia vastaan. Sen tarkoituksena on osaltaan varmistaa, että internetin käyttäjät pääsevät juuri sille verkkosivulle, jolle heillä oli aikomus mennä. Juurinimipalvelimissa on jo DNSSECallekirjoitukset Tietoturvalaajennus otetaan käyttöön fiverkkotunnuksen juurinimipalvelimissa syksyllä 2010, mutta koekäyttö aloitetaan jo kesällä. Internetin käyttäjältä tai fiverkkotunnuksen haltijalta tämä ei edellytä toimenpiteitä, vaan tietoturvalaajennuksen käyttöönotosta vastaavat verkkooperaattorit. Palvelu avataan fi-verkkotunnusten käyttäjille maaliskuussa Internetin maailmanlaajuisilla juurinimipalvelimilla DNSSEC on ollut koekäytössä vuodenvaihteesta lähtien. Heinäkuun alusta alkaen juurinimipalvelinten tiedot on allekirjoitettu julkisesti saatavilla olevalla avaimella. Mikä on DNSSEC? DNSSEC (Domain Name System Security Extensions) on nimipalvelun laajennus, jonka tarkoituksena on parantaa nimipalvelun tietoturvaa. Kun DNSSEC on käytössä, nimipalvelinten vastaukset osoitekyselyihin on allekirjoitettu digitaalisesti. Tekniikan avulla voidaan varmistua siitä, että nimipalvelukyselyihin saadut vastaukset tulevat oikealta lähettäjältä eikä tietoja ole muokattu matkan varrella. DNSSEC toisin sanottuna varmentaa tietojen eheyden ja alkuperän. DNSSEC suojaa erityisesti DNS-välimuistin tietojen muokkaamiseen perustuvalta harhautukselta (DNS cache poisoning) varmistamalla sen, että osoitetieto tulee oikealta nimipalvelimelta eikä epäluotettavalta taholta. Digitaalisen allekirjoituksen luomiseen tarvitaan avainpari, joista toinen on yksityinen ja toinen julkinen. Yksityinen avain 5 on salainen ja se on ainoastaan omistajan hallussa. Julkinen avain julkaistaan nimipalvelussa omassa tietueessaan. Allekirjoitus voidaan varmentaa yksityistä avainta vastaavalla julkisella avaimella. DNSSEC ei suojaa kaikilta huijauksilta DNSSEC ei kuitenkaan suojaa varsinaisilta phishing-sivustoilta, jotka muistuttavat harhaanjohtavasti jotain toista sivustoa, mutta joilla on toinen verkkotunnus. On siis edelleen varmistuttava siitä, että on todella avannut aikomansa sivuston. Käyttäjää voidaan edelleen harhauttaa myös muiden sivustojen heikkouksien, kuten cross site scripting -haavoittuvuuksien avulla. Faktaa FI-vyöhykkeen DNSSEC-allekirjoittamisessa käytetään seuraavia parametreja: Tiivistefunktio: SHA-256 Allekirjoitusalgoritmi: RSA Allekirjoitusten voimassaoloaika: 14 vuorokautta Allekirjoitusten uusiminen: 5 vuorokautta ennen allekirjoituksen vanhenemista Allekirjoitusten voimassaoloajan satunnaisvaihtelu (jitter): 12h DNSKEY TTL: 3600s NSEC3PARAM: Opt-Out FI-vyöhykkeen DNSSEC-allekirjoittamiseen käytettävien avainten algoritmit ja eliniät ovat seuraavat: Zone Signing Key (ZSK): RSA 1024-bit Key Signing Key (KSK): RSA 2048-bit KSK-avaimella allekirjoitetaan ainoastaan vyöhykkeen DNSKEY-tietueryhmä, kun taas ZSK-avainta käytetään vyöhykkeen muiden nimipalvelutietueiden, kuten allekirjoitettujen alivyöhykkeiden DS-tietueiden sekä fi-vyöhykkeen autoratiivisten tietueiden, allekirjoittamiseen.

6 Googlen kuvausauto kartoitti myös langattomia lähiverkkoja Kevään mittaan kantautui julkisuuteen tietoja, joiden mukaan yhdysvaltalainen hakukoneyhtiö Google olisi kartoittanut myös langattomia lähiverkkoja samalla kun sen kuvausautot kiersivät ympäri maailmaa kuvaamassa tienäkymiä Street View -palvelua varten. Yhtiö myönsi julkisissa tiedotteissaan 1,2, että kuvausautot olivat passiivisin menetelmin keränneet tietoa langattomista lähiverkoista. WLANtukiasemien sijaintitietoja oli yrityksen mukaan tarkoitus käyttää tehostamaan paikannuspalvelujen kattavuutta ja tarkkuutta. Street View -auto kuvasi enimmän osan Suomea vuoden 2009 maaliskuun ja marraskuun välisenä aikana. Alun haparoinnin jälkeen Google myönsi, että tukiasematietojen kartoittamisen yhteydessä sen kuvausautot tallensivat myös viestisisältöjä. Viestisisällöt kuuluvat perustuslain takaaman viestintäsalaisuuden piiriin. Autot tallensivat liikkuessaan näytteitä WLAN-verkkojen liikenteestä. Näytteet sisälsivät lyhyitä pätkiä tukiaseman ja siihen kytkeytyneen päätelaitteen välisestä liikenteestä. Yhtiön kertoman mukaan sen oli tarkoitus hyödyntää ainoastaan protokollakehyksen otsikkokenttiä. Järjestelmä oli kuitenkin tallentanut kokonaisia kehyksiä viestisisältöineen. Googlen mukaan viestisisältöjä ei ole hyödynnetty mitenkään ja data on sittemmin eristetty pois yhtiön tuotantojärjestelmistä. Yhtiö on myös tarjoutunut tuhoamaan keräämänsä tiedot. Uusien WLANkartoitusten tekeminen on ilmoituksen mukaan keskeytetty. Tällä hetkellä useiden maiden viranomaiset selvittelevät Googlen toiminnan laillisuutta ja arvioivat sen seuraamuksia. Suomessa Tietosuojavaltuutetun toimisto on käynnistänyt selvitykset Googlen toimista. Myös Viestintävirasto on kuullut Googlen edustajia ja tekee yhteistyötä tietosuojavaltuutetun kanssa. 1 Data collected by Google cars ( ): ta-collected-by-google-cars.html 2 WiFi data collection: An update ( päivitetty 17.5.): 6 CERT-FI on julkaissut ohjeen 7/2002 langattomien lähiverkkojen turvallisuudesta 3. Ohjeessa todetaan, että langattoman lähiverkon kautta siirrettyä tietoliikennettä on teknisesti helppo salakuunnella, mikäli yhteyttä ei ole suojattu salakirjoituksella. CERT-FI suositteleekin kytkemään WLANradioyhteyden salauksen päälle aina, kun se on mahdollista. Radiolinkin suojaaminen ei siis vielä riitä. Viestintävirasto julkaisikin vuonna 2009 ohjeen sähköisen viestinnän suojaamisesta 4. Ohjeessa suositellaan käyttämään menettelyjä, joilla tietoliikenneyhteys suojataan koko matkan ajan - käyttäjän päätelaitteesta asiointikumppanin tietojärjestelmään. Haavoittuvuuskoordinoinnissa jatkuvasti uutta CERT-FI:n koordinoimien haavoittuvuuksien määrä näyttää nousseen pysyvästi korkealle tasolle. Viimeksi kuluneen vuosineljänneksen aikana julkaistiin neljän haavoittuvuuskoordinointiprojektin tulokset. Haavoittuvuuksia korjattiin Lexmarkin verkkotulostimista, sormenjälkitunnisteisiin perustuvista tietoturvaohjelmistoista, Linux-ytimen SCTP-toteutuksesta ja TIFFkuvaformaatin käsittelyyn käytettävästä LibTIFF-kirjastosta. Ohjelmistojen sormenjälkitunnisteiden käsittelyn haavoittuvuudet Ohjelmakoodin tunnistaminen tiedostossa tai datavirrassa esiintyvän "sormenjäljen" perusteella (signature-based recognition) perustuu tietyn yksilöllisen tunnisteen erottamiseen sisällöstä. Sormenjälkitunnisteisiin perustuvien tietoturvaohjelmistojen haavoittuvuus liittyy muun muassa virustorjuntaohjelmistojen ja tunkeutumisen havaitsemisjärjestelmien tapaan käsitellä pakattuja tiedostoja. Heikkoudet raportoinut taho on kyennyt luomaan salaamattomia, yleisten pakkausformaattien mukaisia tiedostoja, jotka ovat useimpien purkuohjelmistojen näkökulmasta virheettömiä, mutta sormenjälkitunnisteisiin perustuvat ohjelmistot eivät aina havaitse tiedostojen sisällä olevaa haitallista sisältöä

7 CERT-FI:n arvion mukaan vastaavan kaltaiset formaattien tulkintavirheisiin liittyvät suojauksen ohittamisen mahdollistavat haavoittuvuudet voivat olla luultua yleisempiä, sillä niitä ei aikaisemmin ole juuri tutkittu. Pakkausformaattien käsittelyn heikkkouksia on mahdollista käyttää hyväksi tunnetun haitallisen tiedoston - esimerkiksi haittaohjelman - piilottamisessa selväkielisten pakattujen tiedostojen sisälle. Erityisen vakava haavoittuvuus on ympäristöissä, joissa käytetään virustarkistusta verkon yhdyskäytävässä, kuten sähköpostipalvelimessa tai erillisessä virustorjuntakoneessa. Löydetyt heikkoudet 1 koskevat useimpia tietoturvaohjelmistojen valmistajia. Eri valmistajien ohjelmistokorjauksien julkaisu pyrittiin ajoittamaan samanaikaiseksi. TIFF-kuvien käsittelyn haavoittuvuudet ovat laajavaikutteisia Mediaformaatteihin liittyviä haavoittuvuuksia on löydetty paljon viime vuosina, ja niitä on myös käytetty hyväksi useissa tunnetuissa hyökkäyksissä. LibTIFF-kirjasto tai sen lähdekoodista johdettua koodia käyttävät tuotteet ovat käytössä varsin useissa TIFF-muotoisia kuvia tukevissa ohjelmistoissa. Tästä syystä kirjaston haavoittuvuudet vaikuttavat moniin esitys- ja kuvankäsittelyohjelmistoihin. Haavoittuvuuskoordinoinnin näkökulmasta tapaus on ratkaistu vasta, kun loppuasiakkaat ovat asentaneet haavoittuviin tuotteisiinsa päivitykset. Tämä on haastavaa yleisesti käytettyjen kirjastojen ja avoimen lähdekoodin järjestelmien tapauksissa, sillä päivitettäviä ohjelmistoja on yleensä paljon. Linux-ytimen SCTP-protokollan haavoittuvuus Linux-ytimen SCTP-haavoittuvuuksien korjausten seuraaminen oli helpompaa, sillä myös SIGTRAN-nimellä tunnettua SCTP-tiedonsiirtoprotokollaa käytetään yleensä vain puhelinjärjestelmäyhteyksissä html 7 Verkkotulostimien ja monitoimilaitteiden haavoittuvuudet Verkkotulostimiin ja monitoimilaitteisiin liittyviä haavoittuvuuksia ei osata vielä ottaa riittävästi huomioon. Aikaisemmin "tyhminä" asiakaslaitteina toimineista kirjoittimista on kehittynyt täysimittaisia palvelinlaitteita, jotka kytketään tavallisesti yrityksen sisäverkkoon. Toisin kuin muita palvelimia, kirjoittimia harvoin hallitaan keskitetysti tai päivitetään ja ylläpidetään säännöllisesti. Lexmarkin julkaisemat lausunnot 2,3 ja julkaistut päivitykset ovat hyvä esimerkki siitä, että monitoimilaitteet on otettava huomioon, kun verkkojen turvallisuutta varmistetaan. Verkkoselaimiin ja niiden lisäosiin liittyvät haavoittuvuudet edelleen keskeisiä Verkkoselaimet ovat tänä päivänä eniten käytettyjä ohjelmistoja. Selain on asennettu lähes jokaiseen päivittäisessä käytössä olevaan tietokoneeseen, samoin kuin moniin kannettaviin päätelaitteisiin. Selainohjelmistojen haavoittuvuudet ovat olleet jo useamman vuoden ajan varsin laajasti haittaohjelmalevittäjien kohteena. Niin sanottu drive by download on tapa levittää haittaohjelmia houkuttelemalla käyttäjä sivustolle, jonka haitallinen sisältö käyttää hyväksi jotain selaimen haavoittuvuutta. Näin käyttäjän tietokone saadaan tartutettua haittaohjelmalla. Kuluvan vuoden aikana on julkaistu lukuisia selainten tai niissä käytettävien lisäosien haavoittuvuuksia, joihin ei ole ollut julkaisuhetkellä saatavilla korjausta. Adoben valmistamaan selaimen Flashpluginiin liittyvät haavoittuvuudet koskevat lähes automaattisesti myös Adoben valmistamia PDF-tiedostojen käsittelemiseen tarkoitettuja ohjelmistoja, sillä ne sisältävät tuen PDF-dokumentteihin sulautetun Shockwave Flash -sisällön esittämistä varten. 2 =TE87&locale=EN&userlocale=EN_US 3

8 Tiedostojen käsittely vaatii ohjelmistoilta paljon Eri tiedostoformaatit voivat käytännössä sisältää lähes minkälaista sisältöä tahansa. Käyttäjän dokumenteiksi mieltävät tiedostot voivat sisältää esimerkiksi liikkuvaa kuvaa ja ääntä, erilaisia skriptejä tai suoritettavaa ohjelmakoodia - tai ne voivat käynnistää toisen sovelluksen sisällön käsittelemistä varten. Tiedostoformaatti on usein vain sisällön varastoimista varten luotu määrämuotoinen "säiliö" (container). Tiedoston nimeen liittyvästä päätteestä ei välttämättä voi päätellä sisällön laatua. Tiedostojen monipuolisuus on johtanut siihen, että myös niiden käsittelemiseen käytettävistä ohjelmistoista on kasvanut suuria ja niiden kehityksestä on tullut vaikeasti hallittavaa. Ohjelmistoista löydetäänkin jatkuvasti uusia virheitä ja haavoittuvuuksia. Erityisesti PDF-dokumentteja pidettiin aikaisemmin melko turvallisena vaihtoehtona. Nykyisin monet haittaohjelmahyökkäykset perustuvat juuri PDF-tiedostojen käsittelyyn käytettävien ohjelmistojen haavoittuvuuksiin. Virustorjuntaohjelman virhe esti käyttöjärjestelmän toiminnan Huhtikuussa McAfee-virustorjuntaohjelmiston haittaohjelmatietokannan päivitys johti siihen, että jotkin Windowsjärjestelmät eivät enää käynnistyneet normaalisti. Tämä johtui siitä, että ohjelmisto luuli päivityksen jälkeen käyttöjärjestelmän ohjelmatiedostoa haittaohjelmaksi ja esti sen käynnistämisen. Vian korjaaminen aiheutti paljon työtä järjestelmien ylläpitäjille, sillä virustorjuntaohjelman päivittämisen lisäksi karanteeniin siirretty tiedosto oli palautettava oikealle paikalleen. Keskustelujärjestelmän palvelinohjelmistossa takaportti Kesäkuussa löydettiin IRC-keskustelujärjestelmän Unreal-palvelinohjelmistosta takaportti, joka mahdollisti luvattoman pääsyn palvelimelle. Takaportti oli lisätty vapaasti jaettavaan ohjelman lähdekoodiin, josta suoritettava ohjelmatiedosto luodaan. Ylimääräisen ohjelmakoodin lisääminen onnistui, koska jaettavan ohjelmistopaketin sisällön koskemattomuutta ei ollut varmistettu tarkistussumman tai sähköisen allekirjoituksen avulla. Ohjelmiston valmistajat ovat ilmoittaneet ryhtyvänsä toimiin, joilla vastaavan toistuminen jatkossa estetään. Tulevaisuuden näkymiä Haittaohjelmia levitetään edelleen suosittujen verkkopalvelujen ja hakutulosten optimoinnin avulla. Kohdistetuissa haittaohjelmajakeluissa käytetään erityisesti sähköpostin liitteinä lähetettyjä PDF- ja Office-tiedostoja. 8