CERT-FIajankohtaiskatsaus

Transkriptio

1 CERT-FIajankohtaiskatsaus Alueellinen tietojärjestelmäalan varautumisseminaari Oulussa Erka Koivunen Yksikön päällikkö CERT-FI

2 Agenda CERT-FI:n esittely Haavoittuvuuksista Ajankohtaista

3 CERT-FI kansallinen CERT-viranomainen CERT == Computer Emergency Response Team koordinoitua tietoturvaloukkausten käsittelyä vaste usein reaktiivista jonkin herätteen pohjalta aktiivista tiedonhankintaa luottamuksellinen ennakkotiedon käsittely ja välittäminen kutsutaan myös nimillä: CSIRT, PSIRT, IRT.. CERT ei ole virustorjuntayhtiö haavoittuvuustestaaja esitutkintaviranomainen organisaation tietoturvavastuullinen 3

4 CERT-FI kansallinen CERT-viranomainen Viestintäviraston tehtävänä on: 1) valvoa tämän lain sekä sen nojalla annettujen säännösten ja määräysten noudattamista siltä osin kuin 32 :stä ei muuta johdu; 2) kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekä näiden palvelujen merkittävistä vikatilanteista ja häiriötilanteista; 3) selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä merkittäviä näiden palvelujen vikatilanteita ja häiriötilanteita; sekä 4) tiedottaa tietoturva-asioista. Sähköisen viestinnän tietosuojalaki (516/2004) 31 4

5 CERT-FI kansallinen CERT-viranomainen Keskeiset palvelut { tietoturvailmoitusten vastaanotto tietoturvaloukkausten käsittely kansallinen tietoturvallisuuden tilannekuva haavoittuvuuskoordinointi Toiminta järjestetty 24/7/365 5

6 CERT-FI kansallinen CERT-viranomainen Rahoituspohjan muutos alkaen teleyritykset 100 % 25 % (HE 111/2006) Huoltovarmuuskeskus 0 % 75 % (sopimusjärjestely) kokonaisrahoitus kaksinkertaistuu Toiminnan laajentaminen ja uudelleen suuntaaminen lisäresursseja yhteiskunnan elintärkeiden toimintojen turvaamiseen osallistuvien yritysten palvelemiseen (osalla lisäresursseista katetaan aiemmat vääristymät) jatkossakin toiminnan painopiste säilyy viestintäverkkojen ja -palveluiden tietoturvallisuuden ja toimivuuden varmistamisessa 6

7 Ohjelmistohaavoittuvuuksista Uudistuksia CERT-FI:n tietoturvatiedotteisiin OUSPG MoKB Microsoft-tiistai

8 Uusi tiedoteryhmä: haavoittuvuudet Kohde (esitetään myös ikonina) [X] Palvelimet ja palvelinsovellukset [ ] Työasemat ja loppukäyttäjäsovellukset [ ] Verkon aktiivilaitteet [x] Matkaviestimet [ ] Sulautetut järjestelmät [ ] Muut Hyökkäystapa [X] Paikallisesti [X] Etäkäyttöisesti [X] Ilman käyttäjän toimenpiteitä [X] Ilman kirjautumista Hyväksikäyttö [X] Komentojen mielivaltainen suorittaminen [X] Käyttövaltuuksien laajentaminen [ ] Suojauksen läpäisy [X] Tietojen muokkaaminen [X] Luottamuksellisen tiedon hankkiminen [X] Palvelunestohyökkäys Ratkaisu [ ] Korjaava ohjelmistopäivitys [X] Ongelman rajoittaminen [ ] Ei päivitystä tai rajoitusmenetelmää 8

9 Haavoittuvuustutkimuksen tulevaisuus on Oulussa? Jo tänään? lähde: OUSPG 9

10 Month of Kernel Bugs - MoKB # MOKB MOKB MOKB MOKB MOKB MOKB MOKB MOKB MOKB MOKB MOKB MOKB MOKB MOKB Title Apple Airport Probe Response Kernel Memory Corruption Linux 2.6.x squashfs double free FreeBSD 6.1 UFS filesystem ffs_mountfs() integer overflow Solaris 10 UFS filesystem alloccgblk denial of service Linux 2.6.x ISO9660 find_get_block_slow() denial of service Microsoft Windows kernel GDI local privilege escalation Linux 2.6.x zlib_inflate memory corruption FreeBSD 6.1 UFS filesystem ffs_rdextattr() integer overflow Mac OS X fpathconf() syscall denial of service Linux 2.6.x ext3fs_dirhash denial of service Broadcom Wireless Driver Probe Response SSID Overflow Linux 2.6.x ext2_check_page denial of service D-Link DWL-G132 Wireless Driver Beacon Rates Overflow Linux 2.6.x SELinux superblock_doinit denial of service Affected systems Mac OS X with Apple Airport (Orinoco-based) Linux 2.6.x squashfs FreeBSD 6.1 (STABLE) and probably 7 (HEAD) SunOS 5.10 Generic_ and previous (not verified). Linux kernel and previous (2.6.x). Probably 2.4.x (not verified). Microsoft Windows 2000 SP0-SP4, XP SP0-SP2. Linux kernel and previous (2.6.x). FreeBSD 6.1 (STABLE) and probably 7 (HEAD) Mac OS X 10.3.x, 10.4.x. Linux kernel and previous (2.6.x). Unpatched BCMWL5.SYS (ex. version ) Linux kernel and previous (2.6.x). Unpatched A5AGU.SYS (ex. version , DWL-G132 driver) Linux kernel and previous (2.6.x). References CVE CVE CVE CVE CVE CVE CVE CVE CVE-NO-NAME CVE-NO-NAME CVE-NO-NAME CVE-NO-NAME CVE-NO-NAME CVE-NO-NAME lähde: 10

11 Joko päivitit? (Microsoftin päivitysjulkaisut ) lähde: 11

12 Ajankohtaista Phishing Botnetit Haxdoor

13 Phishing taipuu jo suomalaisenkin suuhun.. 13

14 Onnistunut phishing-huijaus on monimutkainen operaatio Hyökkääjä ei halua paljastaa omaa identiteettiään, joten hän pyrkii piiloutumaan. Ensiksi, hän perustaa oman hallintapalvelimen. CONTROLLER 14

15 Onnistunut phishing-huijaus on monimutkainen operaatio Hyökkääjä ei halua paljastaa omaa identiteettiään, joten hän pyrkii piiloutumaan. Ensiksi, hän perustaa oman hallintapalvelimen. Seuraavaksi, hän murtautuu usean kotikäyttäjän tietokoneisiin käyttäen tunnettua haavoittuvuutta. Nyt hän voi hallita tietokonejoukkoa (BOTNET). SLAVES CONTROLLER 15

16 Onnistunut phishing-huijaus on monimutkainen operaatio Yleisiä käyttökohteita bot-verkoille sähköpostin levitys (roskaposti, virukset, huijaukset) palvelunestohyökkäykset (tai niillä kiristäminen) phishing-huijaukset (viestit, palvelimet, tietojen keruu) sillanpääasemat ja ponnahduslaudat teollisuusvakoilu ja tiedustelu yleisesti arkaluontoisen tai laittoman tiedon jakelu kuuman tiedon välivarastointi tai julkaiseminen 16

17 Onnistunut phishing-huijaus on monimutkainen operaatio Bot-verkkoa käytetään houkutusviestien lähettämiseen SLAVES CONTROLLER 17

18 Tietojen urkkiminen käyttämällä tekaistua www-sivustoa mysecretpassword FAKE Huijauspalvelin X Tietojen kerääminen Käyttäjät huijataan väärälle sivustolle esim. roskapostissa olevalla linkillä 18

19 Phishingistä Pharmingiin 19

20 Tietojen vakoileminen aitoa www-sivustoa käytettäessä Koontipalvelin mysecretpassword Haxdoor vakoilee käyttäjän näppäilyjä Käyttäjä kirjautuu aitoon palveluun ja käyttää sitä 20

21 Tietojen vakoileminen aitoa www-sivustoa käytettäessä Kredentiaalien urkkimisesta ollaan siirtymässä sessioiden kaappaamiseen 21

22 Tietoturvan lääkehylly 1. Riskienhallinnan kontrollikori ehkäisevät kontrollit havaitsevat kontrollit vahinkoa rajaavat kontrollit topimusta edistävät kontrollit 2. Suojattavan edun määritteleminen Luottamuksellisuus Eheys Saatavuus 3. Minimikäyttövaltuusperiaate 4. Kolmen A:n periaate Todentaminen Valtuuttaminen Käytön valvonta KISS 22

23 Suositeltavaa lukemista 23

24 Puhelin: +358 (0) Sähköposti: WWW: CERT-FI:n julkiset varoitukset voi lukea: Sähköpostitse hälytyspalveluna SMS-hälytyspalveluna (maksullinen) CERT-FI:n WWW-sivuilta RSS-uutispalveluna Teksti-tv:n sivulta 848