VUOSIKATSAUS

Transkriptio

1 VUOSIKATSAUS

2 vuosikat- CERT-FI saus 2010 Johdanto Vuoden merkittävin tietoturvailmiö oli kesällä julkisuuteen tullut uuden tyyppinen ja erityisesti teollisuusautomaatiojärjestelmien sabotointiin luotu haittaohjelma. Stuxnet-nimellä kutsuttua ohjelmistoa on useissa lähteissä luonnehdittu tähän mennessä havaituista haittaohjelmista teknisesti edistyneimmäksi. Poikkeuksellista on sen kyky vaikuttaa teollisuuden prosessinohjausjärjestelmien ohjelmoitaviin logiikkaohjaimiin ja sitä kautta teollisuuslaitosten toimintaan. Internetiä on pyritty käyttämään poliittisen vaikuttamisen välineenä myös laittomin keinoin. Vuoden mittaan muutettiin luvatta useiden poliitikkojen ja muiden julkisuuden henkilöiden wwwsivustojen sisältöä. WikiLeaks-sivustoon liittyvä kohu on aktivoinut ihmisiä hyödyntämään palvelunestohyökkäyksiä mielipiteen ilmaisun ja kansalaistottelemattomuuden välineenä. Hyökkäyksiä on tapauksesta riippuen voinut tulkita käynnistetyn sekä WikiLeaksin puolesta että sitä vastaan. Käyttäjätietojen luottamuksellisuus on vaarantunut useissa tietomurroissa kotimaassa ja ulkomailla. Vuoden ainoan julkisen varoituksensa CERT-FI julkaisi Sanoma-konsernin Älypää-pelisivustolta varastettujen tunnusten ja salasanojen vuoksi. Yhteisöpalveluissa ja roskapostiviesteissä tapahtuvat käyttäjien huijausyritykset ovat yhä useammin suomenkielisiä ja siten aiempaa uskottavia. Huijausviestien ohella organisaatioiden avainhenkilöihin kohdistetaan hyökkäyksiä, joissa näiden tietokoneet pyritään saastuttamaan räätälöidyillä haittaohjelmilla. Haittaohjelmat toimitetaan kohteeseensa useimmiten PDF- tai Microsoft Office -dokumenttiin piilotettuna tai USBmassamuistin avulla. Tiivistyneen kansainvälisen yhteistyön avulla tietoturvaa vaarantavaa toimintaa on pystytty hillitsemään jonkin verran, mutta pysyvien tulosten saaminen on edelleen haastavaa. Ohjelmistohaavoittuvuudet ovat nykyisin yhä useammin myös laitteistojen haavoittuvuuksia. Laitteiden sisältämiin ohjelmistoihin liittyvien haavoittuvuuksien korjaaminen on yleensä tietokoneohjelmistoja hankalampaa. 2

3 Stuxnet vuoden merkittävin haittaohjelma Kesäkuun lopussa valkovenäläinen virustorjuntayhtiö VirusBlokAda raportoi uuden tyyppisestä, erityisesti teollisuusautomaatiojärjestelmiin kohdistetusta Stuxnethaittaohjelmasta. Stuxnetin monimutkainen rakenne, ammattimainen toteutus ja kohteen tarkka määrittely viittaavat siihen, että Stuxnetin takana on mahdollisesti valtiollinen toimija tai joku muu taho, jolla on ollut mahdollisuus käyttää paljon resursseja kehitystyöhön. Stuxnet hyödyntää useita Windows-haavoittuvuuksia leviämiseen Stuxnet-haittaohjelma leviää tietokoneiden välillä käyttämällä hyväkseen useita Windows-käyttöjärjestelmän haavoittuvuuksia. Kun haittaohjelma havaittiin, neljään sen käyttämään haavoittuvuuteen ei ollut saatavilla korjausta. Ensimmäinen korjaus julkaistiin yli kuukausi Stuxnetin löytämisen jälkeen ja viimeinen haavoittuvuuksista korjattiin vasta joulukuussa. Stuxnet lukee järjestelmän tiedot ja piiloutuu käyttäjältä Siemensin ohjelmisto tallettaa käyttämänsä tiedot tietokantaan, jonka salasanaa ei voi ohjelmistossa muuttaa. Näin Stuxnet pääsee koneeseen tartuttuaan helposti käsiksi automaatiojärjestelmää koskeviin tietoihin. CERT-FI julkaisi tämän vuoksi heinäkuussa haavoittuvuustiedotteen 117/2010. Lisäksi Stuxnet korvaa osan prosessiohjaimen koodista omilla haitallisilla komennoillaan. Uudet komennot muokkaavat koko järjestelmän toimintaa ja piilottavat muutokset prosessin valvojilta. Kohteena todennäköisesti uraanirikastamo Stuxnetin sisältämistä tiedoista on päätelty, että se on tarkkaan kohdistettu tiettyä teollisuuslaitosta vastaan. Kohteen uskotaan yleisesti olevan Iranin Natanzissa sijaitseva uraanirikastamo. Saastutettuaan työaseman Stuxnet tutkii, ohjataanko koneella tietynlaisia Siemensin prosessiohjaimia. Mikäli näin on, haittaohjelma tarkastaa, hallitaanko niillä haittaohjelmalle ennalta opetettua laitekokonaisuutta. Haittaohjelman etsimässä Kohteessa täytyy olla noin tuhat taajuusmuuttajaa, joiden pyörimisnopeutta Stuxnetin prosessiohjaimiin syöttämä haitallinen koodi muuttaa. Ilmeisenä tarkoituksena on rikkoa taajuusmuuttajia käyttävä sentrifugi, jota käytetään uraanin rikastamisessa. Osa kohteena olevista taajuusmuuttajista on suomalaisen Vacon Oy:n valmistamia. Paljon tutkittu malliesimerkki Stuxnet on osoittanut, että teollisuusautomaatiojärjestelmien toimintaan voidaan vaikuttaa tietoverkkojen kautta tapahtuvan hyökkäyksen avulla. Stuxnet on rakenteeltaan modulaarinen ohjelma, jota voidaan muokata eri tarpeisiin ja erilaisia kohteita vastaan. Sen ohjelmakoodia ja toimintamallia on tutkittu paljon ja siitä on löydetty vähänlaisesti varsinaisia ohjelmointivirheitä. On mahdollista, että sitä tullaan käyttämään esikuvana myös tulevissa tietoverkkohyökkäyksissä. Suomessa muutamia tartuntoja Suomesta on löydetty yksittäisiä Stuxnethaittaohjelmatartuntoja, mutta ne eivät ole vaikuttaneet suomalaisten teollisuuslaitosten toimintaan. Verkkopalvelut kohteena tietomurtojen Vuoden mittaan tuli tietoon useita tapauksia, joissa julkisuuden henkilöiden, kuten poliitikkojen, www-sivustoille oli syötetty luvattomasti sisältöä. Näyttää siltä, että sivujen muuttamisen motiivina on ollut pyrkimys huomion herättämiseen. Sivujen muokkaamiseksi on hyökkääjän kyettävä murtautumaan palvelimelle. Osassa tapauksista sivuston taustajärjestelmän tietokantaan oli päästy käyttämällä hyväksi sivuston puutteellista syötteentarkistusta. Toisissa tapauksissa palvelimen ylläpitotunnuksen salasanan löytäminen 3

4 esimerkiksi arvaamalla on mahdollistanut sivustojen sisällön lukemisen ja muokkaamisen niiden normaalin ylläpitokäyttöliittymän avulla. Käyttäjien tietoja vääriin käsiin Älypää-pelisivustolta varastettiin maaliskuussa yli käyttäjätunnusta, salasanaa ja sähköpostiosoitetta. Huhtikuussa joutuivat Suomi24-sivuston tunnukset ja salasanat vääriin käsiin SQLinjektion avulla tehdyssä tietomurrossa. Helmikuussa kävi ilmi, että helsinkiläisen kahvilan murretusta tietokoneesta oli viety yli luottokortin tiedot. Käyttäjätunnuksia, salasanoja ja sähköpostiosoitteita on vuoden mittaan varastettu myös monista ulkomaisista verkkopalveluista. Palvelimelle murtautujaa kiinnostavat yleensä juuri sen käyttäjiin liittyvät tiedot, kuten käyttäjätunnukset, salasanat ja sähköpostiosoitteet. Vaikka salasanat olisivatkin palvelimella salakirjoitetussa muodossa, suuri osa salasanoista on todennäköisesti helposti murrettavissa. Salasanojen murtoyritykset yleisiä Internetiin liitettyihin palvelimiin kohdistuu jatkuvasti murtautumisyrityksiä, joissa hyökkääjä yrittää automatisoidusti arvata palvelimella käytettäviä tunnuksia ja salasanoja. WWW-palvelinten FTP-ylläpitotunnusten lisäksi koestetaan SSH-palvelinten sekä VoIP-puhelinpalvelinten salasanoja. Tavallisesti murtautumisyrityksissä pyritään arvaamaan erityisen heikkoja salasanoja tai ohjelmistojen tunnettuja oletussalasanoja. Murrettuja palvelimia voidaan käyttää hyväksi pyrittäessä edelleen tunkeutumaan muihin verkossa oleviin palvelimiin. IP-puhelinvaihteet ovat houkutteleva kohde Erityisesti puhelinverkkoon liitettyjen VoIP-palvelinten helposti arvattavat salasanat voivat koitua kalliiksi, sillä murtautujat voivat käyttää palvelinta joko luvattomaan puhelujen välittämiseen tai hallitsemiinsa ulkomaisiin maksullisiin numeroihin soittamiseen. 4 CERT-FI:n tietoon on tullut tapauksia, joissa murrettujen VoIP-palvelinten omistajille on aiheutunut huomattavia taloudellisia menetyksiä. ADSL-päätelaitteita käytettiin peittämään jälkiä Laajakaistaliittymien päätelaitteiden haavoittuvuuksia tai murrettuja salasanoja on käytetty hyväksi lataamalla niihin huonosti suojatun ylläpitokäyttöliittymän välityksellä ohjelmisto, joka mahdollistaa luvattoman kirjautumisen laitteeseen ja tietoliikenneyhteyksien kierrättämisen sen kautta. Hyökkäämällä muihin tietokoneisiin tai palveluihin murretun laitteen kautta väärinkäytösten tekijät saattoivat peittää tehokkaasti jälkensä, sillä laitteeseen tehdyt muutokset katosivat kun ADSL-reitittimestä katkaistiin virta. Tietoturvaohjelmiston vika haittasi Windows-tietokoneiden toimintaa Tietoturvaohjelmistot voivat toimintaperiaatteensa vuoksi vaikuttaa merkittävästi tietokoneiden toimintaan. Jos ohjelmisto toimii virheellisesti, se voi antaa väärän kuvan sen suojaamiskyvystä, mutta myös jopa estää kokonaan järjestelmän toiminnan. McAfeen ohjelmiston huhtikuisen virustunnistetietokannan virheellisen päivityksen vuoksi ohjelma erehtyi luulemaan käyttöjärjestelmän osaa haittaohjelmaksi, esti tiedoston käyttämisen ja näin ollen myös järjestelmän käynnistymisen. Vaikka yhtiö korjasikin virheen nopeasti, siitä aiheutui paljon työtä niiden järjestelmien ylläpitäjille, joihin vika ehti vaikuttaa. Suomenkieliset huijausyritykset ovat yleistyneet Sekä yhteisöpalveluissa että roskapostiviesteissä esiintyvät huijausyritykset ovat yhä useammin suomenkielisiä, jolloin niiden onnistumisen todennäköisyys on suurempi. Roskapostiviesteissä on yritetty

5 kysellä esimerkiksi palvelujen tunnuksia ja salasanoja. Yhteisöpalvelujen suuri suosio on tehnyt niistä houkuttelevia väärinkäytösyritysten kohteita. Huijausten tavoitteena on yleensä haittaohjelmien tartuttamisen tai koneen kaappaamisen sijaan hankkia henkilöön tai hänen verkostoonsa liittyviä tietoja, joita voidaan edelleen käyttää esimerkiksi roskapostin lähettämiseen.. Acrobat ja selainohjelmistot usein hyökkäysten kohteina PDF-dokumenttien näyttämiseen ja käsittelemiseen tarkoitettu Adobe Acrobat -ohjelmisto on usein haavoittuvuuksia hyväkseen käyttävien hyökkäysten kohteena. Varsinkin organisaatioihin kohdistetuissa hyökkäyksissä haitallinen sisältö on usein liitetty PDF-dokumentteihin. Sähköpostiviestien mukana lähetettävät dokumentit voivat sisältää esimerkiksi tietoja varastavan haittaohjelman. Haittaohjelma asentuu tietokoneelle taustaprosessina samalla kun PDF-dokumentti avataan luettavaksi. Myös selainohjelmistojen ja niiden lisäosien haavoittuvuuksia käytetään edelleen haittaohjelmien levittämiseen houkuttelemalla käyttäjä avaamaan haitallista sisältöä sisältävän sivun. Tällaiselle sivulle voi joutua esimerkiksi murretulle sivustolle asennetun JavaScript-ohjauksen kautta. Ohjelmistovalmistajat pyrkivät jatkuvasti parantamaan ohjelmistojen turvallisuutta, mutta hyökkäysten ohjelmoijat pystyvät usein kiertämään ohjelmistoihin ja käyttöjärjestelmiin rakennetut suojausmenetelmät. Palvelunestohyökkäykset aktivistien työkaluina Arkaluontoisten tietojen julkaisemiseen erikoistunut web-sivusto WikiLeaks ilmoitti julkaisevansa suuren määrän Yhdysvalloista saamiaan luottamuksellisia dokumentteja. Tämän jälkeen WikiLeakssivustoa kohtaan suunnattiin palvelunestohyökkäyksiä, joiden perusteella sivusto ja sen tiedot poistettiin Amazonverkkopalvelusta ja EveryDNS-nimipalvelusta. 5 Palvelunestohyökkäyksissä käytetyn ohjelman tekijäksi on ilmoittautunut nimimerkillä The Jester esiintyvä WikiLeaksin toimintaa kritisoinut ohjelmoija. Hyökkäysten jälkeen WikiLeaks-sivuston sisältö on hajautettu lukuisille eri wwwpalvelimille, myös Suomeen. Järjestelyn tavoitteena on varmistaa, että ainakin osa palvelimista säilyisi toimintakykyisenä myös hyökkäyksen alla. Operation Payback tuki WikiLeakssivustoa Nimellä Anonymous tunnettu löyhähkö yhteenliittymä on kesästä lähtien organisoinut palvelunestohyökkäyksiä jakamalla eri keskustelufoorumien kautta vapaaehtoisille käyttäjille hyökkäyksissä käytettäviä apuohjelmia ja kehottamalla käyttämään niitä tiettyjä kohteita vastaan. Kesän ja syksyn aikana Operation Payback -nimellä tunnetun toiminnan kohteena ovat olleet mediayritysten ja tekijänoikeusjärjestöjen sivustot. Hyökkäyksillä on pyritty vastustamaan tekijänoikeuksiin liittyvää lainsäädäntöä ja sen tiukentamispyrkimyksiä vastaan. Loppuvuodesta hyökkäysten painopiste siirtyi tukemaan WikiLeaks-sivuston ja sen perustajiin kuuluvan Julian Assangen toimintaa. Kohteina ovat olleet esimerkiksi MasterCardin ja Bank of American palvelimet sekä syyttäjäviranomaisten sivustot Hollannissa ja Ruotsissa. Vapaaehtoista toimintaa Toiminta on poikennut tavanomaisesta, suurten, murretuista tietokoneista koostuvien bottiverkkojen avulla tehdystä palvelunestohyökkäyksestä, sillä hyökkäyksiin osallistuneet ovat asentaneet ja käyttäneet hyökkäystyökaluja tietoisesti ja vapaaehtoisesti. Suomi ainakin toistaiseksi sivuosassa Toistaiseksi hyökkäysten vaikutukset ovat jääneet vähäisiksi ja lyhytaikaisiksi. Enimmillään hyökkäyksiin on osallistunut joitakin tuhansia tietokoneita. Hyökkäysten kohteina ei CERT-FI:n tietojen mukaan ole ollut suomalaisia sivustoja

6 eikä hyökkäyksiin tiettävästi ole osallistunut kovin paljon suomalaisia käyttäjiä. CERT-FI muistutti joulukuussa, että palvelunestohyökkäys on käytännössä tietoliikenteen häirintää ja siten rikollista toimintaa. Nimipalvelun DNSSEC-tietoturvalaajennus käyttöön Viestintävirasto on aloittanut nimipalvelun DNSSEC-tietoturvalaajennuksen käyttöönoton fi-verkkotunnuksissa. Tietoturvalaajennus tarjoaa tehokkaan suojan verkkotunnusten väärentämistä ja nimipalveluun perustuvia harhautuksia vastaan. Sen tarkoituksena on osaltaan varmistaa, että internetin käyttäjät pääsevät juuri sille verkkosivulle, jolle heillä oli aikomus mennä. Palvelu avataan fi-verkkotunnusten käyttäjille maaliskuussa Suomen juurinimipalvelimissa on jo nyt DNSSEC-allekirjoitukset. Kansainvälinen tietoturvayhteistyö oli tuloksellista Vuonna 2010 huomattavan moni haitalliseen toimintaan tai tietoturvaloukkauksiin käytetty palvelualusta pystyttiin sulkemaan tai palvelun toimintaa pystyttiin vaikeuttamaan merkittävästi. Taustalla on yhä aktiivisempi kansainvälinen tietoturvayhteistyö alan toimijoiden keskuudessa. Suomeen kohdistuneeseen toimintaan pystyttiin puuttumaan ripeästi Vuoden alussa CERT-FI:n tietoon tuli suomalaisen verkkopankin käyttäjiin kohdistuneita väärinkäytöksiä. Pankkiyhteyksiä kaappaava haittaohjelma tunnistettiin nopeasti ja aktiivisen kansainvälisen yhteistyön avulla selvisi, että haittaohjelman kohteita oli useissa maissa. Tapauksen tutkinta on edelleen kesken. Vuoden mittaan suljettiin useita haitallisia palvelimia Helmikuussa pidätettiin Espanjassa ja Sloveniassa Mariposa-bottiverkon ylläpitäjiä. Verkkoa käytettiin luottokorttitietojen varastamiseen ja palvelunestohyökkäyksiin. 6 Verkon komentopalvelimet eristettiin vuoden 2009 lopulla. Roskapostin levittämiseen käytetty Waledac-bottiverkko eristettiin Microsoftin toimesta helmikuussa ottamalla oikeuden päätöksellä haltuun verkon käyttämät 273 verkkotunnusta. Näin voitiin eristää kymmenet tuhannet Waledac-haittaohjelmalla saastuneet tietokoneet verkon komentopalvelimista. Elokuussa pyrittiin sulkemaan Cutwailbottiverkon komentopalvelimia. Tietoturvatutkijoiden ryhmä ei kuitenkaan saanut kaikkia komentopalvelimille tietoliikenne ja konesalipalveluja tuottavia yrityksiä katkaisemaan yhteyksiä, joten bottiverkon ylläpitäjät pystyivät palauttamaan komentoyhteydet muutamassa päivässä. Cutwail-verkkoa pidetään yhtenä aktiivisimmista roskapostin levitysverkoista ja sen kautta on levitetty Bredolabhaittaohjelmaa. Tietoja varastavaan Zeus-haittaohjelmaan liittyviä rahanvälittäjiä pidätettiin syyskuussa Yhdysvalloissa, Isossa-Britanniassa ja Ukrainassa. Zeus-bottiverkkoa on käytetty erityisen aktiivisesti USA:n alueella yrityksien käyttämiin maksujärjestelmiin tunkeutumiseen. Rahamuuleja tarvitaan kotiuttamaan maksujärjestelmistä rikollisesti siirrettyjä varoja. Marraskuussa FBI pidätti Mega-D-bottiverkon ylläpitäjän. Mega-D on yksi merkittävimmistä roskapostin levittämiseen käytettävistä bottiverkoista. Bottiverkot keskittymässä? On havaittu joitakin merkkejä siitä, että bottiverkkoja ylläpitävät tahot olisivat tiivistämässä yhteistyötään. Tietyn haittaohjelman levittäminen ei enää välttämättä rajoitu vain yhteen verkkoon. Tämä voi johtua myös siitä, että haittaohjelmia ja bottiverkon infrastruktuuripalveluja myydään ryhmittymien välillä. Suomalaisiin bottiverkkojen koneisiin pyritään puuttumaan heti CERT-FI on aktiivisesti mukana bottiverkkoihin liittyvien tietoturvaloukkausten selvittämisessä. Tieto suomalaisista verkoista tunnistetuista botnet-haittaohjelmatartun-

7 noista ja komentopalvelimista välitetään teleyrityksille jatkotoimenpiteitä varten. Kansainvälistä tilannetta seurataan tarkasti, jotta Suomeen kohdistuva haitallinen toiminta voitaisiin havaita ja torjua mahdollisimman varhain. Matkapuhelimiin uusia haittaohjelmia Haittaohjelmien yleistymistä matkapuhelimissa on ennustettu jo pitkään. Ne ovat edelleen harvinaisia, mutta vuoden aikana on tavattu joitakin uusia älypuhelimissa toimivia ohjelmia. Zeus "Mitmo" Symbian S60 -käyttöjärjestelmää käyttävissä puhelimissa ja Yhdysvalloissa yleisissä Blackberry-puhelimissa toimiva Zeus-haittaohjelmaperheen uusi versio välittää puhelimeen tulevat tekstiviestit edelleen sivullisille. Ohjelma mahdollistaa myös puhelimen etähallinnan. Ohjelman päätarkoitus on verkkopankkipalveluissa käytettävien varmistustekstiviestien kaappaaminen ja sitä levitetään tekstiviestin kautta jaettavan, varmennepäivitykseksi naamioidun latauslinkin avulla. Geinimi Android-käyttöjärjestelmää käyttävistä puhelimista on tavattu botnet-tyyppinen Geinimi-haittaohjelma, jota on levitetty ainakin kiinalaisissa Android-sovelluskaupoissa myytävien pelien mukana. Tartunnan jälkeen Geinimi ottaa yhteyttä ennalta määriteltyihin komentopalvelimiin, mikä mahdollistaa puhelimen etähallinnan. Langattomien verkkojen turvallisuudelle uusia haasteita Salaamattomien langattomien verkkojen liikenteen tarkkailusta on tullut entistä helpompaa erityisesti Facebook-yhteyksien kaappaamiseen tarkoitetun Firesheep-ohjelman julkaisemisen myötä. Ohjelman avulla voi kaapata palvelun istuntokohtaisen evästeen (cookie), jonka perusteella palvelun käyttäjä tunnistetaan kirjautumisen jälkeen. 7 Yhteyden kaappaamismenetelmä ei ole uusi keksintö, mutta helppokäyttöinen ohjelma tekee siitä merkittävästi helpompaa kuin tähän saakka on ollut. Yhteyksien kaappaamiselta tai salakuuntelemiselta voi suojautua käyttämällä salattua WLAN-yhteyttä tai SSL-suojattua www-palvelua. Googlen kuvausauto kartoitti myös langattomia lähiverkkoja Yhdysvaltalainen hakukoneyhtiö Google kartoitti myös langattomia lähiverkkoja samalla kun sen kuvausautot kiersivät kuvaamassa tienäkymiä StreetView-palvelua varten. Tukiasematietojen kartoittamisen yhteydessä sen kuvausautot tallensivat tukiaseman ja siihen kytkeytyneen päätelaitteen välisestä liikenteestä lyhyitä näytteitä, jotka kuuluvat perustuslain takaaman viestintäsalaisuuden piiriin. Yhtiön kertoman mukaan sen oli tarkoitus hyödyntää ainoastaan protokollakehyksen otsikkokenttiä. Järjestelmä oli kuitenkin tallentanut kokonaisia kehyksiä viestisisältöineen. Tietosuojavaltuutetun toimisto on käynnistänyt selvitykset Googlen toimista. Myös Viestintävirasto on kuullut Googlen edustajia ja tekee yhteistyötä tietosuojavaltuutetun kanssa. Haavoittuvuuksia laitteissa ja ohjelmistoissa Vaikutuksiltaan laajimmat CERT-FI:n haavoittuvuuskoordinointiprojektit koskivat haavoittuvuuksia verkon turvalaitteissa ja turvallisuusohjelmistoissa, kuten IDS- ja IPS-laitteissa sekä virustorjuntaohjelmistoissa. CERT-FI on ollut yhteydessä kymmeniin ohjelmistojen ja laitteiden valmistajiin. Suuri osa niistä haavoittuvuuksista, joiden julkaisemista ja korjaamista CERT-FI on ollut koordinoimassa, koskevat verkossa toimivia laitteita eivätkä pelkästään tietokoneissa toimivia ohjelmistoja. Eniten huomiota ovat herättäneet Stonesoftin löytämät haavoittuvuudet IDS- ja IPSlaitteista.

8 Uusia koordinointiprojekteja käynnistettiin useita. Niiden tulokset julkaistaan aikanaan CERT-FI:n web-sivuilla. Puutteita IDS/IPS-laitteistojen ja ohjelmistojen protokollatoteutuksissa IDS/IPS-laitteistoja käytetään havaitsemaan ja estämään verkon kautta tapahtuvia hyökkäyksiä, usein jonkin toisen ratkaisun kuten palomuurin ohella. Stonesoft Oy raportoi CERT-FI:lle löytäneensä tutkimuksissaan tapoja ohittaa näiden järjestelmien suojausmekanismit muokkaamalla viestejä siten, etteivät IDS/IPS-laitteet enää tunnista niiden sisältämää haitallista tietoa. Ohjelmistojen sormenjälkitunnisteiden ja pakkausmuotojen käsittelyn haavoittuvuudet Ohjelmakoodin tunnistaminen tiedostossa tai datavirrassa esiintyvän "sormenjäljen" perusteella (signature-based recognition) perustuu tietyn yksilöllisen tunnisteen erottamiseen sisällöstä. Sormenjälkitunnisteisiin perustuvista tietoturvaohjelmistoista on löydetty haavoittuvuuksia, jotka vaikuttavat niiden kykyyn havaita haitallista sisältöä pakatuista tiedostoista. Haavoittuvuudet raportoinut taho on kyennyt luomaan salaamattomia, yleisten pakkausformaattien mukaisia tiedostoja, jotka ovat useimpien purkuohjelmistojen näkökulmasta virheettömiä, mutta sormenjälkitunnisteisiin perustuvat ohjelmistot eivät aina havaitse tiedostojen sisällä olevaa haitallista sisältöä. Pakkausmuotojen käsittelystä on myös löydetty haavoittuvuuksia, jotka voivat myös mahdollistaa sovellusten käytön estämisen ja ohjelmakoodin suorittamisen kohdejärjestelmässä. CERT-FI kokosi valmistajat yhteen CERT-FI järjesti lokakuussa ensimmäistä kertaa suomalaisille ohjelmistoja laitevalmistajien tuoteturvallisuudesta vastaaville suunnatun FI-VENDORS-seminaarin. Seminaarin puheenvuorot käsittelivät tuotteiden tietoturvallisuutta sekä tuoteturvallisuuden hallintaan ja prosesseihin liittyviä käytäntöjä. Tulevaisuuden näkymiä Tietoturvahaasteisiin voi vastata vain tiivistämällä yhteistyötä. Tähän saakka on saavutettu hyviä tuloksia esimerkiksi viranomaisten, tietoturvayhteisön ja teleoperaattorien välisen joustavan yhteistyön tuloksena. Laitteistojen ja ohjelmistojen haavoittuvuuksien hallitseminen on mahdollista vain tietoturvatutkijoiden ja valmistajien välisen yhteistoiminnan avulla. Myös valmistajien kesken tapahtuva tietojen vaihto on tärkeää. Internetin kansainvälisen luonteen takia yhteistyön viranomaisten ja tietoturvatoimijoiden kesken tulee toimia myös valtakuntien rajojen yli. Verkostomaisesta toiminnasta onkin saatu rohkaisevia kokemuksia. 8

9 CERT-FI-yhteydenotot nimikkeittäin Muutos Haastattelu % Haavoittuvuus tai uhka % Haittaohjelma % Neuvonta % Hyökkäyksen valmistelu % Tietomurto % Palvelunestohyökkäys % Muu tietoturvaongelma % Social Engineering % Yhteensä % Q4 Q3 Q2 Q Erityisesti CERT-FI:n käsittelemien haittaohjelmailmoitusten määrä on lisääntynyt edellisvuodesta. 9

10 CERT-FI:n havaintojen mukaan Conficker on yleisin bot-tyyppinen haittaohjelma. Lähetettyjen haittaohjelmailmoitusten määrä laski loppuvuotta kohti. 10