VUOSIKATSAUS

Transkriptio

1 VUOSIKATSAUS

2 vuosi- CERT-FI:n katsaus 2011 Tiivistelmä Vuotta 2011 sävyttivät useat paljon julkisuutta saaneet tietomurrot, joissa saatuja tietoja on levitetty julkisesti internetissä. Sekä koti- että ulkomaisten palvelujen käyttäjätunnuksia, salasanoja ja muita tietoja on julkaistu näyttävästi keskustelupalstoilla ja tiedostonjakopalveluissa. Sonyn palveluihin kohdistunutta tietovarkautta voidaan pitää kaikkien aikojen laajimpana tietovuotona. Murrosta koitui yhtiölle merkittäviä taloudellisia menetyksiä. Varmennejärjestelmän luotettavuus on ollut koetuksella juurivarmenteita tuottaviin yrityksiin suuntautuneiden tietomurtojen ja niiden yritysten vuoksi. Tapaukset ovat kiinnittäneet huomiota varmenneyritysten tietoturvallisuuden tasoon ja järjestelmän heikkouksiin yleisesti. Salaisia matkapuhelinnumeroita päätyi operaattorin virheen vuoksi julkiseen jakeluun kevään ja kesän aikana. Virheestä johtuen salaisiksi tarkoitettuja numeroita oli väliaikaisesti Suomen Numeropalvelun valtakunnallisessa tietokannassa. Virhe koski noin DNA:n asiakasta, jotka vaihtoivat liittymätyyppiä huhtikuun 10. päivän ja kesäkuun 28. päivän välisenä aikana. Yhdysvaltalaisen RSA-tietoturvayhtiön vahvan tunnistamisen SecurID-laitteisiin liittyviä tietoja varastettiin yhtiöön kohdistuneessa tietomurrossa. Laitteita käytetään laajalti myös Suomessa. Tarkkoja tietoja sivullisten käsiin joutuneista tiedoista ei ole julkaistu. Niiden avulla oletetaan periaatteessa olevan mahdollista kopioida laitteen toiminnallisuus ja käyttää kopioitua laitetta kirjautumisessa. Tapahtuneen johdosta RSA on vaihtanut asiakkaiden käytössä olleet SecurID-avainlukugeneraattorit uusiin. Suomalaisia pankkeja on esiintynyt yhä useammin pankkiyhteyksiä kaappaavien haittaohjelmien ohjaustiedostoissa. Suomalaisten pankkien asiakkaisiin kohdistui monenlaisia huijausyrityksiä, joissa käytettiin haittaohjelmia ja huijaussivustoja. Erityisesti man-in-the-middle-tyyppiset hyökkäykset ja selainyhteyksiä kaappaavat ohjelmat yleistyivät myös Suomessa. Haittaohjelmat ovat olleet pääsääntöisesti Zeus-haittaohjelmaperheen eri versioita. Puutteet verkkokauppasovellusten toteutuksissa ovat joissakin tapauksissa mahdollistaneet väärinkäytöksiä, joissa tavaran tilaaja on voinut uskotella suorittaneensa maksun tilaamistaan tuotteista. CERT-FI on koordinoinut useiden ohjelmistohaavoittuvuuksien korjausta. Eniten julkisuutta saivat Stonesoft-yhtiön löytämät suojausten ohitusmenetelmät. CERT-FI järjesti vuonna 2011 kaksi suomalaisten haavoittuvuustutkijoiden tapaamista. Toisen sukupolven GSM-matkapuhelinverkoissa käytettäviä puhelujen ja dataliikenteen salakirjoitusmenetelmiä ei voi enää pitää täysin turvallisina. Puhelujen salakuunteleminen tai toisen identiteetillä verkossa esiintyminen vaativat edelleen asiantuntemusta, mutta ovat jo teknisesti mahdollisia yleisesti saatavilla olevien työkalujen avulla. GPRS-dataliikenteen turvallisuutta voi parantaa sovellustason salakirjoitusmenetelmien avulla, puheliikenteen turvallisuutta parantaa siirtyminen 3G-verkon käyttöön. 2

3 Merkittäviä tietomurtoja kotija ulkomaisiin palveluihin Vuonna 2011 tehtiin useita paljon julkisuutta saaneita tietomurtoja, joissa varastettiin käyttäjien henkilötietoja, luottokorttitietoja ja luottamuksellisia dokumentteja. Lukuisat onnistuneet tietomurrot ovat osoittaneet, että verkkopalvelujen turvalliseen toteuttamiseen ja ylläpitoon ei kiinnitetä riittävästi huomiota. Tietojen varastaminen järjestelmistä onnistuu usein yleisesti saatavilla olevien, haavoittuvuuksia etsivien ja niitä hyväksi käyttävien ohjelmistojen avulla. Murtautujien julkaisemista tiedoista voi päätellä, että käyttäjien salasanat ovat usein liian helposti murrettavissa. Lisäksi samaa salasanaa käytetään eri palveluissa, mikä moninkertaistaa varastettujen tietojen hyväksikäyttämiseen liittyvän riskin. Tietomurrot herättivät keskustelua siitä, voidaanko käyttäjätunnusta ja salasanaa pitää riittävän turvallisena tapana palveluihin kirjautumiseksi. Salasanojen käyttämiselle ei kuitenkaan ole tarjolla riittävän laajasti käytettävissä olevaa vaihtoehtoa. Vuoden aikana CERT-FI julkaisi useita Tietoturva nyt! artikkeleita muun muassa turvallisen salasanan valinnasta sekä ohjeen 1/ verkkopalvelun ohjelmistoalustan valinnasta ja palvelun turvallisesta ylläpidosta. Useita kotimaisia palveluja tietomurtojen kohteena Kotimaisiin verkkopalveluihin kohdistui tietomurtoja varsinkin vuoden jälkipuoliskolla. Tietomurroissa varastettuja tietoja julkaistiin internetissä keskustelupalstoilla ja tiedostojen latauspalvelusivustoilla. Lokakuussa julkaistiin Kansallinen vastarinta -nimisen ryhmittymän jäsenhakemuksiin liittyviä tietoja. Tietomurron avul- 1 la hankitut tiedot sisälsivät jäsenyyttä hakeneiden henkilöiden nimen, iän ja yhteystiedot. Marraskuussa julkaistiin suomalaisella keskustelupalstalla linkki noin suomalaisen henkilötietoja sisältävään tiedostoon. Tiedot käsittivät henkilötunnuksen, täydellisen nimen, kotiosoitteen, sähköpostiosoitteen ja puhelinnumeron. Lista oli koostettu useasta eri lähteestä. Tietomurtojen ajankohdasta tai tekotavasta ei ole täyttä varmuutta. Tapaus on poliisitutkinnassa. Marraskuussa julkaistiin lista, jolle oli kerätty yli puolen miljoonan suomalaisen sähköpostiosoitteet. Listalla olevista osoitteista osa on sellaisia, jotka eivät todennäköisesti ole olleet pitkään aikaan käytössä. Lista on luultavasti koostettu useasta eri lähteestä pitemmän ajan kuluessa. Terve-sivustoryhmään kuuluvan keskustelupalstan helistin.fi käyttäjätietokanta joutui vääriin käsiin tietomurrossa. Käyttäjätietokanta sisälsi yli käyttäjän tunnuksen, salasanan ja sähköpostiosoitteen. Samoilla tunnuksilla voi kirjautua myös muihin Darwin Median palveluihin, joita ovat tohtori.fi, poliklinikka.fi, kimallus.fi, huoltamo.com, terve24.fi, mustapippuri.fi, terkkari.fi ja verkkoklinikka.fi. Edellisten tapausten lisäksi myös napsu.fija netcar.fi-verkkopalveluiden käyttäjätunnukset, salasanat ja käyttäjien sähköpostiosoitteet julkaistiin tiedostonjakopalvelussa. Lista sisälsi yli käyttäjän tiedot. Netcar.fi sivuston vastaavat käyttäjätiedot julkaistiin myös verkossa. Lista sisälsi käyttäjän tunnuksen, salasanan ja sähköpostiosoitteen. Tekijät tuntemattomia Useiden tietovuotojen ja tietomurtojen tekijäksi on ilmoittautunut Anonymous Finland -nimellä esiintyvä ryhmittymä. Tarkkaa tietoa tekijöistä ei kuitenkaan ole. Ainakin kaksi eri lähdettä on ilmoittanut toimivansa Anonymous-ryhmän nimissä. Ryhmittymien tapoihin kuuluu julkaista Twitter-viestejä sekä pidempiä tekstejä, kuten käyttäjätunnuslistoja ja muita viestejä eri tiedostonjakopalveluissa. 3

4 Tietomurtojen ja tietovuotojen lisäksi myös useita verkkosivustoja on töhritty lisäämällä sivuille luvatta niille kuulumatonta sisältöä. Tietomurroista ilmoittaminen on yhteisötilaajille vapaaehtoista. Teletoimintailmoituksen tehneillä yrityksillä ja yhteisöillä on velvollisuus ilmoittaa niihin kohdistuneista tietoturvaloukkauksista ja hyökkäysyrityksistä. CERT-FI on myös saanut ilmoituksia muista verkossa julkaistuista käyttäjätunnusja salasanalistoista. Useissa tapauksissa listat ovat olleet peräisin jo aikaisemmin tapahtuneista tietomurroista. On todennäköistä, että samankaltaisia listoja julkaistaan jatkossakin. Joulun jälkeen julkaistiin nimen lista, johon oli liitetty myös luottokorttitietoja. Lista todettiin pian tekaistuksi. Sonyn tietomurrot koskivat myös suomalaisia Ulkomaisiin palveluihin tehdyistä tietomurroista eniten julkisuutta saivat Sonyn eri palveluihin kohdistuneet tietomurrot, joiden vaikutukset ulottuivat myös palvelujen suomalaisiin käyttäjiin. Ennen pääsiäistä Sony PlayStation Network -palveluun tehtiin tietomurto, jonka yhteydessä varastettiin 77 miljoonan PSNpelipalvelun käyttäjän tiedot. Samoihin aikoihin murtauduttiin myös Sony Online Entertainment -verkkopelipalveluun, mikä johti 24 miljoonan käyttäjätunnuksen tietojen joutumiseen murtautujien käsiin. Yhteensä Sonyyn kohdistuneissa tietomurroissa vietiin yli sadan miljoonan käyttäjän tiedot, mikä tekee sitä varastettujen käyttäjätietojen määrän perusteella tähän saakka suurimman tiedossa olevan tietomurtotapauksen. Suomalaisia käyttäjiä Playstation Network -palvelussa oli Sonyn mukaan noin CERT-FI julkaisi huhtikuun lopulla tietomurtojen johdosta varoituksen 1/ Tietomurtojen saaman julkisuuden myötä myös lukuisat muut Sonyn verkkopalvelut ja verkkosivustot joutuivat erilaisten hyökkäysten kohteeksi. Näistä lähes 20 oli onnistuneita tietomurtoja, joissa onnistuttiin anastamaan käyttäjien tietoja. Sonyn oman ilmoituksen mukaan tietomurroista koitui yhteensä 170 miljoonan dollarin tappiot. Asiantuntijoiden mukaan useimmat hyökkäyksistä olisi voitu torjua toimimalla tavanomaisten tietoturvallisten käytäntöjen mukaisesti. Salaisia puhelinnumeroita vahingossa julki DNA:n asiakkaiden salaisia puhelinnumeroita päätyi järjestelmäpäivityksen yhteydessä tapahtuneen virheen johdosta julkiseen jakeluun kevään ja kesän aikana. Virhe koski osaa yrityksen asiakkaista, jotka vaihtoivat teleyrityksen sisällä liittymätyyppiä huhtikuun 10. päivän ja kesäkuun 28. päivän välisenä aikana. Kyseessä olevana ajanjaksona tehtiin yli liittymävaihdosta. Virheestä johtuen salaisiksi tarkoitettuja liittymien numeroita oli väliaikaisesti Suomen Numeropalvelun valtakunnallisessa tietokannassa. Numeropalveluyritykset käyttävät tietokantaa omien tietojensa päivittämiseen. Virheen havaitsemisen jälkeen DNA korjasi julkisiksi muuttuneet tiedot uudelleen salaisiksi. Kaikille asiakkaille, joiden tiedot saattoivat tapauksen yhteydessä muuttua, lähetettiin asiasta kertova kirje. Lisäksi DNA tiedotti asiasta sähköisen viestinnän tietosuojalain mukaisesti Viestintävirastoa. Sähköisen viestinnän tietosuojadirektiivejä muutettiin keväällä 2011 siten, että teleyritykset velvoitettiin ilmoittamaan myös teletoimintaan liittyviin henkilötietoihin kohdistuneista tietoturvaloukkauksista. Suomen tilanteeseen muutoksella ei ollut merkittävää vaikutusta, sillä ilmoitusvel

5 vollisuus sisältyi jo voimassaolevaan yleiseen ilmoitusvelvoitteeseen. GSM-verkon turvallisuus koetuksella GSM-verkossa käytettävän A5/1- salausmenetelmän heikkoudet ovat olleet tiedossa jo useiden vuosien ajan, mutta viime aikoina julkaistujen uusien menetelmien avulla salauksen murtaminen on mahdollista paljon lyhyemmässä ajassa kuin aikaisemmin. Salausmenetelmästä löytyneitä heikkouksia voidaan käyttää hyväksi puheluun liittyvän salausavaimen löytämiseksi. Avaimen avulla voidaan paitsi purkaa puhelun salaus, myös esiintyä verkossa kohteena olevan käyttäjän päätelaitteena. Tämä mahdollistaa puhelujen soittamisen tai tekstiviestien lähettämisen siten, että ne näyttävät tulevan jonkun muun puhelinnumerosta. Sekä puhelujen purkaminen että toisen liittymän identiteetillä esiintyminen vaativat hyvää GSM-tekniikan ja työkalujen tuntemusta. Lisäksi hyökkäyksen tekijän on oltava kohteena olevan käyttäjän lähistöllä. Verkon suojauksen heikkouksiin on esitetty useita ratkaisuja, joista osa on myös jo standardoitu. Kaikkia esitettyjä korjauksia ei todennäköisesti toteuteta suomalaisten operaattoreiden verkoissa, sillä niissä ollaan siirtymässä 3G-verkkoihin, joita ei tällä hetkellä tiedossa olevilla menetelmillä salakuunnella. GPRS-dataliikenteen ja Tetra-verkkojen tietoturvaan liittyviä tutkimustuloksia on myös julkaistu vuoden 2011 aikana. GSMverkkojen GPRS-dataliikenteen suojana käytettävä GEA/1-salausalgoritmi on pystytty osittain murtamaan algebrallisesti. GRPS-liikenteen salauksen suojaaminen sovellustasolla tai salatuilla VPNyhteyksillä on suositeltavaa, koska osa operaattoreista ei käytä GPRS-liikenteessä lainkaan salausta. Ulkomaiset matkapuhelinoperaattorit käyttivät seurantatyökalua Eräät kansainväliset matkapuhelinoperaattorit ovat myöntäneet asentaneensa asiakkaidensa päätelaitteisiin Carrier IQ -nimisen seurantatyökalun. Ohjelmistoa on käytetty ainakin Android- ja Apple ios -käyttöjärjestelmällä varustetuissa laitteissa. Sovelluksen avulla operaattori voi kerätä muun muassa matkapuhelimen suorituskykyyn liittyviä tietoja. Joissakin tapauksissa puhelimesta lähetetyt raportit ovat kuitenkin myös sisältäneet käyttäjän yksityiseksi tarkoittamaa tietoa, kuten tekstiviestejä, näppäinpainalluksia ja selailuhistoriaa. Ohjelmiston käytön tultua ilmi ovat muutamat operaattorit ilmoittaneet luopuvansa siitä. Apple on myös ilmoittanut, ettei yhtiön ios 5 -käyttöjärjestelmä enää sisällä Carrier IQ:n ohjelmakoodia. Suomalaiset matkapuhelinoperaattorit ovat ilmoittaneet, etteivät he käytä sovellusta. Ohjelmistosta ei myöskään ole versiota Nokian valmistamille puhelimille. Varmenteiden myöntäjien luotettavuus kärsi tietomurtojen vuoksi Vuoden 2011 mittaan on luottamus varmennejärjestelmään heikentynyt useiden runsaasti julkisuutta saaneiden tietomurtojen ja niiden yritysten vuoksi. Murtautujien haltuun saamia käyttövaltuuksia on käytetty palvelinvarmenteiden luomiseen luvatta kolmansien osapuolten nimissä. Ohjelmistovalmistajat ovat joutuneet julkaisemaan tuotteisiinsa päivityksiä, koska varmenneteknologian suunnittelussa ei ole otettu huomioon tilanteita, joissa hierarkian ylin taso eli juurivarmentaja muuttuu epäluotettavaksi. Alankomaalaisen DigiNotarin järjestelmiin onnistuttiin murtautumaan kesän aikana. Murtautuja onnistui luomaan useita palvelinvarmenteita Googlen palveluihin. Nimimerkillä Comodohacker esiintynyt taho otti nimiinsä myös aiemmin maaliskuussa 5

6 Comodo-nimisen varmentajan alihankkijaan kohdistuneen hyökkäyksen sekä Globalsign-yhtiöön kohdistuneen epäonnistuneen murtoyrityksen. Varmenteiden avulla voidaan muun muassa todeta verkkosivuston aitous. Sen lisäksi varmenteita käytetään ohjelmistojen tai ohjelmistopäivitysten aitouden varmistamiseen ja henkilöiden tunnistamiseen. Ohjelmistoallekirjoitusten merkitys on kasvamassa muun muassa Windows 7- käyttöjärjestelmän ja älypuhelinsovellusten myötä. Tunnistaminen perustuu luottamusketjuun, jossa ohjelmistot luottavat rajattuun joukkoon juurivarmenteita ja edelleen juurivarmenteiden haltijoiden myöntämiin varmenteisiin. Tästä seuraa yksi varmennejärjestelmän suurimmista heikkouksista: juurivarmenteiden välillä ei ole mitään hierarkiaa, vaan jokainen juurivarmenne kelpaa kaikkien sivustojen varmenteiden allekirjoittajaksi. Vaikka palveluntarjoaja hankkisi varmenteen joltakulta tietyltä varmentajalta, minkä tahansa muun luotettavaksi määritellyn varmentajan myöntämä varmenne on sen kanssa samanarvoinen. Juurivarmennelistalle päästääkseen täytyy varmentajan läpäistä tietoturva-auditointi, mikä ei kuitenkaan ole taannut riittävää tietoturvan tasoa. Väärennetyn varmenteen avulla voi toteuttaa man-in-the-middle-tyyppisen hyökkäyksen (MiTM) eli kaapata yhteyden palvelun ja sen käyttäjän välillä. Tällöin hyökkääjän on hallittava myös verkkoinfrastruktuuria, nimipalvelimen on oltava hyökkääjän hallinnassa tai hyökkääjän on oltava samassa paikallisverkossa kuin hyökkäyksen kohde. Esimerkiksi avoimet WLAN-verkot voivat tarjota sopivan ympäristön hyökkäysten toteuttamiselle. Käyttäjää voidaan erehdyttää myös ohjaamalla nimipalvelua manipuloimalla verkkoyhteydet osoitteeseen, joka sisältää väärennetyn sivuston ja varmenteen. Aidolta näyttävällä sivustolla voidaan urkkia käyttäjän tietoja, kuten käyttäjätunnuksia ja salasanoja. Tietoturvatutkijat ja ohjelmistokehittäjät ovat kehittäneet monia rinnakkaisia ratkaisuja varmenteiden turvallisuuden parantamiseksi. Osa ratkaisuista on kuitenkin varsin hankalakäyttöisiä ja vaatii käyttäjiltä perehtyneisyyttä asiaan. RSA SecurID -laitteet vaihdettiin tietomurron vuoksi Tietoturvayhtiö RSA ilmoitti maaliskuussa joutuneensa tietomurron kohteeksi. Tietomurto tehtiin lähettämällä haittaohjelmakoodia sisältävä Excel-tiedosto joukolle RSA:n työntekijöitä. Tiedosto sisälsi hyväksikäyttömenetelmän Adoben Flashtiedostojen näyttämiseen tarkoitetun ohjelmiston haavoittuvuuteen. Hyökkääjät saivat näin haltuunsa käyttäjätilejä, joiden avulla RSA:n järjestelmistä varastettiin tietoja. RSA ei ole kertonut, mitä tietoja on joutunut murtautujien käsiin, mutta on myöntänyt että tiedot liittyvät SecurIDtuotteisiin. Julkisuudessa on arveltu, että hyökkääjät ovat onnistuneet varastamaan niin sanotut seed- eli siemenlukutiedostot, joita tarvitaan, kun SecurID-avainlukugeneraattoreita otetaan käyttöön. Siemenlukutietojen avulla voi periaatteessa luoda kopioita käytössä olevista avainlukugeneraattoreista. SecurID-avainlukugeneraattoreita käytetään käyttäjien vahvaan tunnistamiseen kirjauduttaessa organisaatioiden palveluihin. Laite luo uuden numerosarjan esimerkiksi kerran minuutissa. Kirjautuakseen SecurID:llä suojattuun järjestelmään täytyy käyttäjän syöttää käyttäjätunnus, henkilökohtainen salasana ja vaihtuva, generaattorin näyttämä numerosarja. SecurID-laitteita on käytössä maailmanlaajuisesti noin 40 miljoonaa. Näiden lisäksi noin 2,5 miljoonaa käyttäjää käyttää sovelluspohjaista ratkaisua. Hyökkäyksen vuoksi RSA ilmoitti uusivansa ennen tietomurtoa valmistetut SecurID-avainlukugeneraattorit. Osalle asiakkaita vaihtoprosessi on ollut maksuton eikä vaihtoprosessin aloitus ole vaatinut oma-aloitteisuutta. Suomessa oli vuodenvaihteeseen mennessä vaihdettu lähes 6

7 kaikki niistä avainlukugeneraattoreista, joiden käyttäjät ovat halunneet vaihtoa. Vaihtoprosessin kustannukset riippuvat muun muassa käytössä olevien SecurIDlaitteiden määrästä ja iästä. CERT-FI:n kriittisen infrastruktuurin toimijoille elokuussa tekemän sähköpostikyselyn perusteella yli puolet vastanneista oli vaihtamassa tai jo vaihtanut SecurID-laitteet uusiin. Vastaajista joka viides ilmoitti, ettei aio vaihtaa laitteita tai on jo ottanut käyttöön vaihtoehtoisen tekniikan. Tietomurrossa varastettuja tietoja käytettiin todennäköisesti hyväksi toukokuun lopulla tapahtuneessa tietomurtoyrityksessä yhdysvaltalaisen puolustusteollisuuden yrityksen Lockheed-Martinin tietojärjestelmiin. Lockheed-Martin ilmoitti torjuneensa hyökkäyksen. CERT-FI julkaisi RSA-tietomurron tultua julki varoituksen 2/ SecurIDtuotteiden heikentyneestä tietoturvasta. Varoitukseen on liitetty ohjeita SecurID:tä käyttäville organisaatioille ja yksittäisille käyttäjille. Suomalaisten verkkopankkien käyttäjät haittaohjelmien kohteena CERT-FI:n tietoon on vuoden aikana tullut useita tapauksia, joissa suomalaisia tietokoneita on saastutettu verkkopankkien käyttäjiä vastaan suunnatuilla haittaohjelmilla. Haittaohjelmat ovat vaihdelleet yksinkertaisista, kirjautumisen jälkeen urkintasivustoja näyttävistä haittaohjelmista edistyneempiin, selaimen sisällä JavaScriptillä toimiviin haittaohjelmiin. Ainakin yhden haittaohjelman ominaisuuksiin on kuulunut niin sanottu saldokorjausominaisuus. Haittaohjelma on siis osannut laskea verkkosivulla näytettävän tilin saldon uudelleen piilottaen tällä tavalla rikollisen tekemät siirrot. Edistyneempiin haittaohjelmaversioihin kuuluvat myös niin sanotut Man-In-The- Middle-toiminnallisuuden sisältävät haittaohjelmat. Haittaohjelma näyttää verkko- 3 pankkiin kirjauduttaessa käyttäjälle ruudun, jossa pyydetään odottamaan samalla kun "verkkopankin turvallisuutta parannetaan". Haittaohjelman avulla rikollinen voi seurata verkkopankin käyttäjän tietoliikennettä ja käyttää tilisiirtojen vahvistamiseen verkkopankin käyttäjän syöttämiä tunnuslukuja. Havaitut haittaohjelmat ovat olleet pääsääntöisesti Zeus-haittaohjelmaperheen eri versioita. Haittaohjelmien versiot ovat myös olleet aiemmin tuntemattomia eivätkä virustorjuntaohjelmistot ole aluksi tunnistaneet niitä. Virustorjuntaohjelmistojen valmistajille on kuitenkin toimitettu nopeasti näytteet haittaohjelmista, minkä jälkeen virustorjuntaohjelmistot ovat tunnistaneet haittaohjelmat. CERT-FI:n tietoon on tullut erilaisia suomalaisia verkon käyttäjiä sisältäviä bottiverkkoja, jotka ovat käyttäneet Zeushaittaohjelman eri versioita. Bottiverkkoihin kuuluvien tietokoneiden osoitteet on raportoitu niiden omistajien internetoperaattoreille. Bottiverkkojen komentopalvelinten osoitteet on puolestaan raportoitu CERT-FI:n ulkomaisille yhteistyökumppaneille. Verkkopankkien käyttäjiä myös verkkourkinnan kohteena Suomalaisten verkkopankkien käyttäjien tietoja on myös yritetty urkkia vuoden jälkimmäisen puoliskon aikana huomattavasti aiempaa enemmän. Rikolliset ovat lähettäneet urkinnan kohteille sähköpostiviestejä, joissa oleva linkki on vienyt yleensä tietomurron kohteeksi joutuneelle www-palvelimelle. Viestissä uhataan käyttäjän verkkopankkitunnusten tai tilin sulkeutuvan, jos hän ei seuraa linkkiä. Sähköpostiviestit eivät ole yleensä olleet kovin uskottavia, sillä vaikka ne onkin kirjoitettu suomeksi, niiden kieliasu on ollut melko tökerö ja teksti on sisältänyt kirjoitusvirheitä. Joissain tapauksissa rikolliset ovat rekisteröineet tarkoitusta varten verkkopankkien verkkotunnuksilta näyttäviä verkkotunnuksia. Urkintasivustot on tehty ottamalla kopio verkkopankin kirjautumissivustosta. 7

8 Verkkokauppasovellusten tietoturvassa puutteita Poliisin ja CERT-FI:n tietoon tuli tapauksia, joissa verkkokauppasovelluksissa olevia suunnitteluvirheitä tai haavoittuvuuksia on käytetty hyväksi petoksissa. Joistakin verkkokaupoista on näiden virheiden vuoksi voinut tilata tavaraa maksamatta. Verkkokauppasovelluksen on voinut erehdyttää luulemaan, että maksu on suoritettu. Haavoittuvuuksia on tiettävästi käytetty hyväksi petoksissa, joiden yhteissumma on yli euroa. Kyseessä ei ole ollut yksittäisen sovelluksen tai tietyn sovellusvalmistajan tuotteissa oleva tietoturvaongelma, vaan kauppapaikkojen toteutustavasta johtuva haavoittuvuus. Kaikki verkkokauppojen toteutukset eivät ole noudattaneet pankkien tai muiden maksuliikennepalveluita tarjoavien teknisiä määrittelyjä täysin ohjeiden mukaisesti. Verkkokaupan tietoturvasta vastaa kauppias. Haavoittuvuudet eivät ole koskeneet verkosta ostavia asiakkaita eivätkä väärinkäyttömahdollisuudet ole vaarantaneet kuluttajan tietoturvaa verkkoostoksia tehdessä. CERT-FI teki yhteistyötä tietoturvayhtiö Nixu Oy:n, Helsingin poliisin ja Suomen elektronisen kaupankäynnin yhdistys ry:n kanssa tiedon levittämiseksi ohjelmistojen valmistajille ja verkkokauppiaille. Vastaavan kaltaisia haavoittuvuuksia ja niihin liittyviä hyväksikäyttöyrityksiä tulee todennäköisesti löytymään jatkossa lisää. BEAST-hyökkäys osoitti puutteita SSL/TLS-yhteyksien tietoturvassa Syyskuussa esitelty BEAST (Browser Exploit Against SSL/TLS) -menetelmä osoitti, että TLS 1.0 -protokollaa käyttävä wwwistunto on tiettyjen reunaehtojen toteutuessa sivullisen kaapattavissa. Onnistuneen hyökkäyksen toteuttaminen edellyttää, että TLS-istunnossa käytetään lohkosalausta. Lisäksi hyökkääjän pitää ujuttaa uhrin selaimeen omaa ohjelmakoodiaan sekä pystyä kuuntelemaan uhrin verkkoliikennettä. Siirtymällä käyttämään TLS 1.2 -protokollaa voidaan tehokkaasti suojautua BEAST-hyökkäykseltä. Käytännössä siirtymäkausi nykyisestä protokollasta saattaa kestää pitkään, koska uudemman protokollaversion tuki puuttuu edelleen useista selaimista ja palvelinohjelmistoista. Selainvalmistajat ovat tuoneet tuotteisiinsa täsmäpäivityksiä, jotka torjuvat BEASThyökkäyksen hyväksikäyttöyritykset. Haavoittuvuuskoordinointityö monipuolista CERT-FI koordinoi vuoden 2011 aikana hyvin erilaisten haavoittuvuuksien korjaamista ja julkaisua. Kiinnostus avoimen lähdekoodin ohjelmistojen turvallisuuden tutkimiseen näkyy myös CERT-FI:lle raportoiduissa haavoittuvuuksissa. Esimerkki avoimen lähdekoodin ohjelmistoprojektista on Chrome-selain. Sen virheiden raportoinnista palkkioita myöntävä bug bounty -ohjelma on tuottanut runsaasti löydettyjä haavoittuvuuksia. Suomalaisista tutkijoista ovat haavoittuvuuksien löytämisessä kunnostautuneet muun muassa Oulun yliopiston tietoturvaryhmä OUSPG:n tutkijat Aki Helin ja Atte Kettunen. Yhteistyö OUSPG:n kanssa on ollut tiivistä ja tuloksellista lähes CERT-FI:n perustamisesta saakka. Kymmenen vuotta sitten julkaistu SNMP-protokollan haavoittuvuus herätti laajalti huomiota ja sen jälkeen useiden eri ohjelmistohaavoittuvuuksien korjauksia ja julkaisuja on koordinoitu yhdessä. Suojausten ohitusmenetelmät työllistivät alkuvuonna Tietoturvayhtiö Stonesoft Oy:n tutkimien suojausten ohitusmenetelmien vuoksi CERT-FI on vuoden mittaan ollut yhteydessä useisiin ohjelmisto- ja laitevalmistajiin. Haavoittuvuudessa on kysymys protokollasanomista, joiden avulla voidaan ohittaa eri IDS/IPS -laitteiden tarjoamat suojaukset. 8

9 Vain harvat laite- ja ohjelmistovalmistajat ovat raportoineet tuotteidensa alttiudesta kyseisille ohitusmenetelmille tai tuotteisiin mahdollisesti tehdyistä korjauksista. Loppukäyttäjien onkin vaikea selvittää, tarvitsevatko heidän tuotteensa päivityksiä ohitusmenetelmien vuoksi. Kiinnostus älypuhelinten turvallisuuteen kasvussa Ensimmäinen CERT-FI:n koordinoima älypuhelinhaavoittuvuus liittyi Nokian E75- mallin suojakoodin ohitusmenetelmään. Tietokoneiden ja puhelinten fyysistä hallintaa vaativat haavoittuvuudet on viime vuosina alettu ottaa vakavasti. Tämä voi johtua kiristyneistä turvallisuusvaatimuksista. Erilaiset tiedonsiirtoverkot tutkimuksen kohteena CERT-FI oli mukana monenlaisten haavoittuvuuksien julkaisuprosessissa. Eri verkoissa toteutuksissa esiintyy edelleen samanlaisia haavoittuvuuksia, mikä kielii taustalla piilevistä samoista toteutusvirheistä, etenkin syötteen tarkistuksessa ja muistin käsittelyssä. Linux-käyttöjärjestelmän Bluetoothtyökaluista korjattiin haavoittuvuus. Bluetooth on verkkotekniikka, jota käytetään erilaisten laitteiden, kuten puhelinten ja kuulokkeiden, yhdistämiseen langattomasti. Levyjärjestelmien kytkemiseen käytetyn iscsi-protokollan Solaris-käyttöjärjestelmän toteutuksen haavoittuvuus korjattiin. Protocol) -suoratoistopalveluiden haavoittuvuus. RTP ja RTSP ovat yleisesti käytettyjä protokollia internet-puheluiden sekä videon ja äänen suoratoiston toteutuksissa. Tapaamisia valmistajien ja tutkijoiden kanssa Helmikuussa CERT-FI osallistui San Franciscossa pidetyn RSA-konferenssin yhteydessä pidettyyn yhdysvaltalaisen CERT/CC:n (CERT Coordination Center) järjestämään valmistajatapaamiseen, johon osallistui useita ohjelmistovalmistajia. Samalla matkalla CERT-FI tapasi myös useiden ohjelmistovalmistajien edustajia Piilaaksossa. CERT-FI järjesti vuonna 2011 kaksi suomalaisten haavoittuvuustutkijoiden tapaamista. Ensimmäinen kokoontuminen pidettiin Espoossa yhteistyössä Microsoftin kanssa, toinen Oulussa VTT:n tiloissa. Tapaamiset kokosivat yli 30 tuotteiden teknisen toteutuksen tietoturvasta kiinnostunutta tahoa. Vuoden 2012 näkymiä Internetin sääntelyyn liittyvät lainsäädäntöhankkeet ovat herättäneet vastustusta ja protesteja myös verkossa. On todennäköistä, että verkkohyökkäyksiä käytetään myös tulevana vuonna protestoinnin välineenä. On odotettavissa, että puutteellisesti suojatuista verkkopalveluista pyritään edelleen varastamaan käyttäjien tietoja, joita voidaan joko pyrkiä käyttämään hyväksi erilaisissa väärinkäytöksissä tai julkaisemaan internetissä. IP-verkkojen reititykseen käytetyn Quagga-ohjelmiston reititysprotokollatoteutukset saivat korjauksia loppuvuodesta. Viimeisimmät korjatut haavoittuvuudet liittyvät Quagga-reititysohjelmiston BGP- ja OSPF-reititysprotokollien käsittelyyn. Alkuvuodesta korjattiin Ciscon tuotteista RTP-protokollan (Real-time Transport Protocol) haavoittuvuus. Vuoden jälkipuoliskolla korjauksen sai VLC-mediasoittimen videokuvan RTSP (Real-time Signaling 9

10 Tilastotietoja CERT-FI:n käsittelemistä yhteydenotoista CERT-FI-yhteydenotot nimikkeittäin Muutos Haastattelu % Haavoittuvuus tai uhka % Haittaohjelma % Neuvonta % Hyökkäyksen valmistelu % Tietomurto % Palvelunestohyökkäys % Muu tietoturvaongelma % Social Engineering % Yhteensä % 10