CERT-FI tietoturvakatsaus 1/2012

Transkriptio

1 CERT-FI tietoturvakatsaus 1/2012

2 Johdanto Toukokuussa löydetty Flame-haittaohjelma on erittäin monipuolinen, etäohjattava haittaohjelma. Flamen avulla voi tarkkailla tietokoneen käyttöä ja siitä lähtevää tietoliikennettä sekä varastaa koneen kiintolevylle varastoituja tietoja. Lähi-idästä löytynyttä Flame-haittaohjelmaa ei ole tavattu Suomessa. Ohjelma on ilmeisesti laajin ja monipuolisin koskaan tavattu tietoja varastava haittaohjelma. Se on myös ensimmäisenä onnistunut käyttämään Windows-käyttöjärjestelmän päivitysmekanismia leviämiseen lähiverkossa. DNSchanger-haittaohjelma muuttaa tietokoneen nimipalveluasetuksia siten, että nimipalvelukyselyt ohjautuvat haittaohjelman tekijöiden hallitsemille nimipalvelimille. Tällä tavoin rikolliset voivat ohjata käyttäjän selaimen haluamilleen sivuille. Käytännössä www-sivuilla on voinut näkyä haittaohjelman liikkeelle laskijoiden haluamia mainoksia. Ohjelman tekijät on pidätetty ja nimipalvelimet ovat nyt FBI:n hallussa asti, minkä jälkeen tartunnan saaneiden tietokoneiden internetkäyttö häiriintyy kunnes haittaohjelma ja sen tekemät asetukset on poistettu tietokoneesta. Suomessa on tavattu varsin vähän DNSchangerhaittaohjelmatartuntoja. Haittaohjelmia esiintyy tietokoneiden lisäksi myös digibokseissa, laajakaistareitittimissä ja muissa verkkoon liitettävissä laitteissa. Salasanojen alustamisen ja muiden tietoturva-asetusten laiminlyönti laitteen käyttöönoton yhteydessä saattaa altistaa koneen haittaohjelmatartunnoille. Haittaohjelmat poistuvat kun laitteen virta katkaistaan, mutta se ei estä uutta tartuntaa kytkettäessä laite taas päälle. On yleistä, että haittaohjelmien avulla pyritään kaappaamaan myös suomalaisten verkkopankkien käyttäjien yhteyksiä. Tavallisimmin huijausyrityksissä käytetään jotain Zeus-haittaohjelmaversiota. OpenX on avoimeen lähdekoodiin perustuva mainosten välitysohjelmisto. OpenXmainosalustan kautta voi jakaa mainoksia keskitetysti useille verkkosivustoille. Käyttämällä hyväksi ohjelmiston haavoittuvuutta mainosjakelun kautta on levitetty myös haittaohjelmia. Poliisin nimissä rahaa vaatinut kiristyshaittaohjelma lukitsi käyttäjien tietokoneet ja pyysi maksua lukituksen poistamiseksi. Saman haittaohjelman eri versioita levitettiin samaan aikaan muuallakin Euroopassa. Haittaohjelmatartunnan on voinut saada verkkosivustojen mainosten kautta. Mac-tietokoneetkaan eivät ole jääneet paitsi haittaohjelmatartunnoista. Huhtikuussa löytyi noin Apple-tietokoneen muodostama bottiverkko. Tietoja varastavaa Flashback-haittaohjelmaa levitettiin pääasiasssa murrettujen verkkosivustojen kautta, jolloin tartunnan voi saada vieraillessaan haitallista sisältöä jakavalla sivustolla. Tekijänoikeusjärjestöt, valtionhallinnon sivustot ja suuryritykset ovat olleet verkossa tapahtuvan protestoinnin, tietomurtojen ja palvelunestohyökkäyksen kohteina sekä Tietoturvakatsaus 1/2012 2

3 Suomessa että ulkomailla. Hyökkäysten verrattain runsaasta lukumäärästä huolimatta niiden aiheuttamat vahingot ovat jääneet vähäisiksi. Nimipalvelimia käytetään yleisesti hyväksi palvelunestohyökkäyksissä. Hyökkäysten tehoa voi pienentää rajoittamalla nimipalvelimen liikennettä osoitekohtaisesti. Useisiin yrityksiin ja palveluihin on onnistuttu murtautumaan niin, että myös käyttäjien tietoja on varastettu. Yhdysvaltalaisen Stratfor-yhtiön tietomurron seurauksena käyttäjien tietoja ja sähköpostiviestejä julkaistiin internetissä. Mukana oli myös suomalaisten tietoja. Murtautujaksi epäilty on sittemmin pidätetty Yhdysvalloissa. Yleinen menetelmä tietojen varastamiseksi verkkopalveluista on palvelun taustajärjestelmän tietokantaan murtautuminen. Murtautuminen on mahdollista, jos sivustolla ei tarkisteta käyttäjän antamaa syötettä tai URL-osoitetta riittävän huolellisesti. Sivustojen heikkouksia voidaan etsiä järjestelmällisesti tarkoitusta varten tehdyillä työkaluohjelmistoilla. IP-puhelinvaihteisiin murtautuminen ja niiden luvaton käyttö on aiheuttanut taloudellisia menetyksiä vaihteiden ylläpitäjille. Murtautujat välittävät vaihteiden kautta luvatta ulkomaanpuheluja tai soittavat maksullisiin numeroihin. Viestintäviraston ja operaattorien yhteistyöryhmä on koonnut ohjeita VoIP-palvelujen turvalliseen käyttöön. CERT-FI ja Huoltovarmuuskeskus ovat käynnistäneet huoltovarmuuskriittisille yrityksille suunnatun tietoturvaloukkausten havainnointi- ja varoitusjärjestelmän. Ensimmäiset käyttäjät on kytketty HAVARO-järjestelmään vuodenvaihteessa. Käyttäjien määrän odotetaan kasvavan vuoden loppuun mennessä. Haavoittuvuuksien korjaamisen ja julkaisemisen koordinointityö on alkuvuonna johtanut kuuden eri ohjelmistohaavoittuvuuden julkaisemiseen kolmessa eri projektissa. Vuoden 2011 lopussa on julkaistu menetelmiä GSM-verkkojen puhelujen ja GPRSdataliikenteen salauksen murtamiseksi. CERT-FI:n tietoon on tullut joitakin huijauskampanjoita, joissa erityisesti matkapuhelinten käyttäjille on tullut tekstiviestejä tai puheluja, joiden takana on erilaisia huijauksia. Tietoturvakatsaus 1/2012 3

4 Kehittynyt Flame-haittaohjelma löydettiin Toukokuun lopussa tietoturvayhtiö Kaspersky julkisti tiedon löytämästään hyvin kehittyneestä haittaohjelmasta, jota kutsutaan nimillä Flame, Flamer tai Skywiper. Flame on etäohjattava tietoja varastava haittaohjelma, jonka epäillään luodun tiedustelutarkoituksiin. Suomesta Flame-ohjelmaa ei ole tavattu. Flame on modulaarinen ohjelmisto, joka on tarkoitettu tietojen keräämiseen ja niiden toimittamiseen edelleen komentopalvelinten kautta. Se on haittaohjelmaksi poikkeuksellisen suurikokoinen, sillä sen sisältämät moduulit sisältävät paljon ohjelmakoodia. Ohjelma on myös toiminnaltaan poikkeuksellisen monipuolinen. Se kerää saastuneen tietokoneen järjestelmä- ja verkkotietojen lisäksi käyttäjän kirjautumistietoja, kuvakaappauksia, video- ja äänitallenteita, tiedostolistauksia, sovelluksista tallennettuja dokumentteja ja kuvatiedostoja. Lisäksi ohjelma tutkii tiedostojen metatietoja, kuten dokumenttien tekijöitä ja kuvien paikkatietoja. Flame voi seurata myös tietokoneesta lähtevää sähköpostiliikennettä. Flame on ilmeisesti ensimmäinen haittaohjelma, joka on onnistunut käyttämään leviämismenetelmänään Windows-käyttöjärjestelmän päivitysmekanismia (Windows Update). Tartunnan saanut tietokone tekeytyy Windows Update -palvelimeksi, johon muut lähiverkon tietokoneet ottavat yhteyttä. Onnistuakseen huijauksessa ohjelman tekijät ovat kyenneet luomaan ohjelmistovarmenteen, johon Windowskäyttöjärjestelmä luottaa. Windows Terminal Server -ohjelmiston varmenteessa on ollut tarpeettoman laajat valtuudet ja Flamen päivitysmekanismissa on käytetty sitä hyväksi. Microsoft on julkaissut päivityksen, jossa kyseiset varmenteet on poistettu käytöstä. Tuoreimpien tietojen mukaan haittaohjelman laatija on komentanut vielä jäljellä olevat Flame-ohjelmat poistamaan itsensä saastuttamistaan tietokoneista ilmeisesti siksi, että ohjelmien tarkempi tutkiminen vaikeutuisi. DNSchanger ei ongelma Suomessa DNSchanger-haittaohjelma on ollut varsin pitkäikäinen ilmiö. Ensimmäiset viitteet sillä saastuneista tietokoneista on nähty Suomessa jo vuonna Haitallisia nimipalvelimia ylläpitäneet tahot ottivat muutettavien vastausten joukkoon erään suomalaisen pankin verkkopalvelujen käyttämiä IP-osoitteita. Tilanne näkyi pankin käyttäjille rikkinäisiltä näyttävinä www-sivuina. Aluksi epäiltiin, että kyseessä olisi pankkiin kohdistunut tietojen kalasteluoperaatio. Jälkeenpäin tilanne osoittautui huijareiden tekemäksi virheasetukseksi DNSchanger-nimipalvelimissa. Suomalaisille käyttäjille DNSchangerista ei ehtinyt missään vaiheessa muodostua suurta ongelmaa. CERT-FI on saanut kansainvälisen yhteysverkostonsa kautta jatkuvasti tietoja Suomesta haitallisille palvelimille suuntautuneista nimipalvelukyselyistä heti DNSchanger-huijareiden pidätysten jälkeen. Tietoja käsitellään ja jaetaan edelleen teleyrityksille CERT-FI:n Autoreporter-palvelun kautta. Tietoturvakatsaus 1/2012 4

5 Alkuvaiheessa Suomesta tuli päivittäin noin 300 havaintoa saastuneista reitittimistä tai tietokoneista, tällä hetkellä havaintoja tulee noin 100. Maailmanlaajuisesti haittaohjelmatartunnan saaneita järjestelmiä havaitaan päivittäin noin Mistä DNSchangerissä on kyse? Internetin nimipalvelujärjestelmä on tavallaan kuin verkon hajautettu puhelinluettelo. Nimipalvelimet selvittävät tietokoneiden tekemien kyselyjen perusteellaverkkotunnuksiin liittyviä IP-osoitteita ja sähköpostin reititystietoja. Nimipalvelujärjestelmän moitteeton toiminta on internet-palvelujen käytön perusedellytys. Rikolliset tahot ovat useiden vuosien ajan levittäneet haittaohjelmia, jotka ohjaavat tietokoneiden tekemät nimipalvelukyselyt rikollisten hallitsemille nimipalvelimille. Ne antavat tarkoituksellisesti osittain vääriä vastauksia haittaohjelmatartunnan saaneen tietokoneen tekemiin IP-osoitekyselyihin. Toiminnan motiivina on ollut ansaita rahaa muuttamalla verkkosivustojen mainospalveluihin liittyviä nimipalveluvastauksia siten, että haittaohjelmatartunnan saaneiden tietokoneiden käyttäjille näytetään haittaohjelmia ylläpitäneiden tahojen määrittelemiä mainoksia. Toiminta on ollut käyttäjän kannalta varsin huomaamatonta: kaikki internet-palvelut näyttävät toimivan normaalisti, vain sivustoilla näkyvät mainokset on vaihdettu. DNSchanger on poikkeuksellinen haittaohjelma, sillä se toimii useissa eri käyttöjärjestelmissä. Siitä on omat versiot sekä Windows- että MacOS-ympäristöihin. Haittaohjelma voi vaikuttaa myös internet-liittymän laajakaistareitittimien asetuksiin, jolloin kaikkien kyseistä reititintä käyttävien tietokoneiden nimipalvelukyselyt ohjautuvat huijareiden hallussa oleville palvelimille kohtalon päivä saastuneille koneille DNSchanger-haittaohjelmaa ja siihen liittyviä nimipalvelimia ylläpitänyt organisaatio pidätettiin kansainvälisen poliisioperaation tuloksena Yhdysvaltalainen oikeusistuin antoi FBI:lle oikeuden ylläpitää täysin oikeita nimipalveluvastauksia antavia nimipalvelimia samoissa IP-osoitteissa, joihin DNSchanger-haittaohjelma aikaisemmin ohjasi tartunnan saaneiden työasemien nimipalvelukyselyt. Tällä tavoin voidaan havaita tartunnan saaneet tietokoneet ja varoittaa niiden käyttäjiä. Oikeuden määräys annettiin määräaikaisena asti, mutta määräaikaa on nyt jatkettu aina saakka. Tämän määräajan päättymisen jälkeen ne tietokoneet, joissa yhä on DNSchanger-haittaohjelma, eivät enää saa vastauksia nimipalvelusta. Käyttäjälle tilanne näkyy siten, että käytännössä kaikki internet-palvelut lakkaavat toimimasta. Tarkista koneesi! CERT-FI pitää yllä tarkistuspalvelua, jonka avulla voi tarkistaa, ovatko käytettävän järjestelmän nimipalveluasetukset kunnossa vai menevätkö kyselyt DNSchangerhaittaohjelman käyttämille palvelimille. Palvelu on osoitteissa ja Tietoturvakatsaus 1/2012 5

6 Haittaohjelmia muissakin laitteissa kuin tietokoneissa Tietokoneiden lisäksi on yhä tärkeämpää kiinnittää huomiota myös muiden koti- tai yritysverkkoon tai suoraan internetiin kytkettävien laitteiden suojaamiseen. Yksi kodin internet-verkkoon kytkettyjä laitteita hyväksikäyttävä haittaohjelma on DNSchanger, joka muuttaa esimerkiksi kotiverkon ja internetin välissä olevan reitittimen asetuksia siten, että nimipalvelukyselyt ohjautuvat huijareiden palvelimelle. Kotitalouksien muiden IP-verkkoon kytkettävien laitteiden tietoturvaan ei ole kuitenkaan välttämättä kiinnitetty riittävästi huomiota. Myös laitteiden ohjelmistojen päivittäminen voi olla vaikeaa tai jopa mahdotonta. Haittaohjelma digiboksissa Viime kuukausina on tullut esiin tapauksia, joissa haittaohjelma on löytynyt televisioon liitettävästä digiboksista. Tartunnan saanutta laitetta voi käyttää tietokoneen tavoin lähes mihin tahansa haitalliseen toimintaan, kuten haittaohjelmien levittämiseen, uusien murtautumiskohteiden etsimiseen, palvelunestohyökkäyksiin tai roskapostin levittämiseen. Laitteesta voi tehdä myös avoimen välityspalvelimen (proxy) ja käyttää sitä jälkiensä peittämiseen. Tietoomme tulleissa tapauksissa haittaohjelmaa ei ole tallennettu laitteeseen pysyvästi, vaan se on poistunut muistista, kun laite on käynnistetty uudelleen. Tämän jälkeen tartunta on tosin voinut tapahtua uudelleen. Näin voi käydä, jos laitteen ylläpitotunnus ja salasana ovat murtautujan tiedossa. Joidenkin laitteiden ylläpitosalasana on tyhjä tai sama kaikissa laitteissa, jos sitä ei muuteta otettaessa laite käyttöön. Ylläpitoyhteyden voi laitteesta riippuen muodostaa selaimella tai telnetyhteydellä. Joidenkin laitteiden asetuksia voi lisäksi muokata myös upnp-protokollan avulla. Murtautumisia on tapahtunut sekä operaattorin toimittamiin niin sanottuihin IPTVlaitteisiin että sellaisiin tavallisiin digibokseihin, jotka kytketään verkkoon ohjelmistopäivityksiä tai etähallintaa varten. Jälkimmäisissä tapauksissa pääkäyttäjän salasanaa ei ollut vaihdettu ennen laitteen liittämistä verkkoon. Suomalaiset verkkopankit haittaohjelmien kohteina Suomalaiset verkkopankit ovat jatkuvasti haittaohjelmien kohteina. Tavallisimmin huijausyrityksissä käytetään jotain Zeus-haittaohjelmaperheen versiota. Alkuvuoden aikana on tavattu haittaohjelmia, joiden asetustiedostoissa on ollut useita suomalaisia verkkopankkisivustoja. Haittaohjelmien liikkeellelaskijat muokkaavat asetuksia jatkuvasti eri haittaohjelmaversioita ja verkkopankkisivustoja varten. CERT-FI:n tietoon tulee jatkuvasti uusia haittaohjelmien asetustiedostoja, joissa kohteina ovat myös suomalaiset verkkopankkien käyttäjät. Tiedostoista löytyvien Tietoturvakatsaus 1/2012 6

7 tietojen avulla voidaan toisinaan varoittaa verkkopankin käyttäjiä ja tunnistaa haittaohjelmatartunnan saaneita tietokoneita. Zeus-ohjelmien lisäksi myös muiden haittaohjelmien lisääntymisestä on nähty merkkejä. SpyEye-ohjelmaa on ensimmäistä kertaa havaittu levitettävän myös suomalaisille käyttäjille. Lisäksi on havaittu Citadel-, Ice-IX ja Hermeshaittaohjelmaversioita. Haittaohjelmien komentopalvelinten käyttämiä IP-osoitteita ja verkkotunnuksia pyritään jatkuvasti poistamaan verkosta. Zeus, Citadel ja Ice-IX ovat läheistä sukua toisilleen. Niiden käyttämä webinjects-konfigurointi on helposti muokattavissa troijalaisperheestä toiseen. OpenX-mainosjakelun kautta levitettiin haittaohjelmia OpenX on avoimeen lähdekoodiin perustuva mainosten välitysohjelmisto. OpenXmainosalustan kautta voi jakaa mainoksia keskitetysti useille verkkosivustoille. Huhtikuun puolessa välissä CERT-FI sai tiedon tietomurrosta, jossa murtautuja oli onnistunut lisäämään OpenX-järjestelmään uuden pääkäyttäjätunnuksen. Aluksi epäiltiin, että hyökkäyksessä olisi hyödynnetty OpenX-ohjelmiston versiosta löytynyttä SQL injection -tyyppistä haavoittuvuutta. CERT-FI:n tietoon tuli myös ulkomailla tapahtuneita OpenX-järjestelmään kohdistuneita hyökkäyksiä. Myöhemmin varmistui, että myös OpenX-ohjelmiston versiossa oli niin sanottu Cross-site request forgery -tyyppinen haavoittuvuus (CSRF). Haavoittuvuuden avulla järjestelmän hallintasivulle kirjautuneen käyttäjän istunnon voi kaapata komentojen suorittamiseksi kohteena olevassa järjestelmässä. Näin murtautuja onnistui luomaan itselleen uuden pääkäyttäjätunnuksen OpenX-järjestelmään ja lisäämään palvelimelle niin sanottuja takaovia myöhempää käyttöä varten. Myös OpenX-ohjelmiston jakelijan palvelimelle lisättiin haitallista koodia, jota käytettiin apuna muihin OpenX-palvelimiin murtautumisessa. Murrettuja palvelimia käytettiin haittaohjelmien levittämiseen verkkosivustojen mainosten kautta. Toukokuun alussa Fimnet julkaisi tiedotteen tietomurrosta lääkäriportaalin sivulle. Tietomurto oli tehty hyödyntämällä OpenX-ohjelmiston haavoittuvuutta. Myös opiskelijoille tarkoitettu Lyyra-portaali joutui samantyyppisen hyökkäyksen kohteeksi. OpenX julkaisi 11.5 korjatun version OpenX-ohjelmistosta. CERT-FI avusti haavoittuvuuden löytämisessä ja korjaamisessa toimittamalla valmistajalle tietomurtoihin liittyviä tietoja. CERT-FI julkaisi Tietoturva nyt! -artikkelien ja haavoittuvuustiedotteen lisäksi Ohjeen 4/2012 OpenX-palvelinten ylläpitäjille. Lisäksi CERT-FI otti suoraan yhteyttä noin kolmeenkymmeneen OpenX-alustaa käyttävän sivuston ylläpitäjään. Tietoturvakatsaus 1/2012 7

8 Kiristyshaittaohjelma yritti estää tietokoneen käytön Suomessa levisi maalis-huhtikuun aikana poliisin nimissä rahaa vaatinut kiristyshaittaohjelma. Haittaohjelma lukitsi tietokoneen sen käynnistyessä ja yritti saada käyttäjän maksamaan lukituksen poistamisesta. Maksu tuli suorittaa kansainvälisen Paysafecard-maksujärjestelmän kautta. Kiristyshaittaohjelmien pyyttämiä maksuja ei tule suorittaa eikä maksaminen tässä tapauksessa edes poistanut haittaohjelmaa tai lukitusta. Saman haittaohjelman eri versioita levitettiin samaan aikaan muuallakin Euroopassa. Tietoja vastaavista haittaohjelmista tuli ainakin Saksasta ja Isosta-Britanniasta. Haittaohjelma oli lokalisoitu. Se otti yhteyden rikollisten hallitsemalle komentopalvelimelle, joka tunnisti IP-osoitteen perusteella käyttäjän kotimaan. Käyttäjälle näytettävän kiristysviestin kieli valittiin sen mukaisesti. Haittaohjelmaa on todennäköisesti levitetty ainakin murrettujen aikuisviihdesivustojen kautta. Murtautujat ovat lisänneet näille sivustoille käyttäjän tietokoneessa ja selaimessa olevia haavoittuvuuksia hyödyntävää sisältöä. Päivittämällä käyttöjärjestelmän ja selainohjelmiston säännöllisesti voi pienentää tämän kaltaisen haittaohjelmatartunnan todennäköisyyttä. Suomessa esiintyneen haittaohjelman lukitus oli kohtuullisen helppo ohittaa, jolloin myös haittaohjelman voi poistaa. CERT-FI sai haittaohjelman johdosta runsaasti kysymyksiä ja avunpyyntöjä asiasta. Ohjeessa 1/2012 julkaistiin ohjeita haittaohjelman poistamiseksi. Viestintävirastolla ei ole mahdollisuuksia tarjota henkilökohtaista opastusta tämänkaltaisissa tapauksissa. Mac-tietokoneita bottiverkossa Huhtikuun alkupuolella löytyi noin :n Apple Mac OS X -käyttöjärjestelmää käyttävän orjakoneen muodostama bottiverkko. Tietoja varastavaa Flashbackhaittaohjelmaa levitettiin pääasiassa murrettujen internet-sivustojen kautta. Käyttäjä sai tartunnan vieraillessaan kyseisillä sivustoilla eli kyseessä oli niin sanottu drive-bydownload -tyyppinen tartunta. Mac-tietokoneissa leviävän Flashback-haittaohjelman aikaisempia versioita on havaittu jo vuoden 2011 jälkipuoliskolla. Sen uusi versio levisi pääasiassa automaattisesti käyttämällä hyväksi Java-ohjelmiston haavoittuvuutta. Haavoittuvuus julkistettiin jo helmikuussa, mutta Applen käyttöjärjestelmiin haavoittuvuuden korjaava ohjelmistopäivitys julkaistiin vasta huhtikuussa, kun Flashbacktartuntojensuuri määrä kävi ilmi. Bottiverkkoon kuului pahimmillaan arviolta vajaat 300 suomalaista Mac-tietokonetta. Tietoturvakatsaus 1/2012 8

9 Vilkasta verkkoaktivismia Vuoden alkupuoliskolla on nähty lukuisia tietomurtoja ja palvelunestohyökkäyksiä, joiden tekijöiksi on ilmoittautunut joku nimimerkin suojissa toimiva henkilö tai ryhmä. Osalle hyökkäyksistä on kerrottu poliittinen tai muu motiivi. Hyökkäysten kohteita on ollut monenlaisia, internetin infrastruktuurista valtiollisiin kohteisiin, järjestöihin ja suuryrityksiin. Verkkohyökkäyksiä on tehty useiden eri maiden valtionhallinnon organisaatioihin. Palvelunestohyökkäyksillä on osoitettu mieltä uusia tekijänoikeussopimuksia vastaan. Anonymous SOPAa vastaan Tammikuussa hakkeriryhmä Anonymous esti palvelunestohyökkäyksellä pääsyn muun muassa Yhdysvaltain oikeusministeriön, RIAA:n (Recording Industry Association of America), MPAA:n (Motion Picture Association of America) ja Universal Music - yrityksen verkkosivuille. Hyökkäysten motiiviksi mainittiin organisaatioiden tuki suunnitteilla olleelle SOPA-lakiehdotukselle (Stop Online Piracy Act), jonka tavoitteena oli verkkopiratismin kitkeminen. Hyökkäyksiä nähtiin myös Euroopan maissa, muun muassa Suomessa, Itävallassa ja Puolassa. Suomessa näkyvimmät hyökkäykset liittyivät internetoperaattori Elisan toteuttamaan The Pirate Bay -palvelun suodatukseen. Musiikkituottajien sivusto ja Tekijänoikeuden tiedotus- ja valvontakeskus ry:n (TTVK) sivustot olivat palvelunestohyökkäyksien vuoksi saavuttamattomissa. Anonymous-ryhmittymän nimissä ilmoitettiin myös, että maaliskuun lopussa järjestettäisiin palvelunestohyökkäys internetin juurinimipalvelimia vastaan. Operation Global Blackout -hyökkäyksen vaikutukset jäivät kuitenkin olemattoman pieniksi. Valtionhallinnot hyökkäysten kohteena Huhtikuun alkupuolella palvelunestohyökkäyksillä estettiin pääsy useiden maiden valtionhallinnon verkkopalveluihin. Kohteina olivat muun muassa Ison-Britannian sisäasiainministeriön, pääministerin ja oikeusministeriön internetsivut. Erityyppisiä valtionhallintoon kohdistuneita verkkohyökkäyksiä tehtiin myös Tanskassa, Romaniassa ja Saksassa. TeaMp0isoN-nimellä tunnettu hakkeriryhmä herätti huomiota ylikuormittamalla Ison-Britannian MI6:n terrorisminvastaisen yksikön puhelinpalvelun. Yhdysvalloissa kyberturvallisuuslakia kohtaan tukensa osoittaneet United States Telecom Association ja TechAmerica joutuivat hyökkäysten kohteiksi. Kiinassa Anonymous China -ryhmittymän raportoitiin sotkeneen useita valtionhallinnon internetsivustoja. Hakkeriryhmittymä Anonymous viestitti huhtikuussa YouTube-videon avulla vastustavansa Euroopan maiden liittymistä immateriaalioikeuksien suojaamiseen tähtäävään ACTA-kauppasopimukseen. Suuryritysten verkkosivustot kohteena Toukokuun alussa hakkeriryhmittymä aiheutti palvelunestotilan Virgin Median verkkosivustolla. Hyökkäyksen motiiviksi mainittiin palveluntarjoajan Tietoturvakatsaus 1/2012 9

10 liikenteensuodatus tiedostonjakopalvelu The Pirate Bayhin, joka puolestaan luonnehti tekoa sensuroinniksi. The Pirate Bay joutui itsekin 16. toukokuuta palvelunestohyökkäyksen kohteeksi. Hakkeriryhmä Anonymous kiirehti ilmoittamaan, ettei ollut jälkimmäisen hyökkäyksen takana. TheWikiBoat-nimellä esiintynyt ryhmä ilmoitti toukokuussa käynnistävänsä palvelunestohyökkäyksen useita merkittävien organisaatioiden verkkosivustoja vastaan. OpNewSon-nimisen hyökkäyksen kohteiksi mainittiin muun muassa Apple, Bank of America, British Telecom ja Bank of China. Toukokuun 25. päiväksi suunniteltu hyökkäys ei aiheuttanut merkittävää vahinkoa. Vahingot ovat olleet vähäisiä Suunniteltujen ja toteutettujen palvelunestohyökkäysten suurehkosta lukumäärästä huolimatta todelliset vahingot kohteina oleville organisaatioille ja palveluille ovat jääneet varsin pieniksi. Nimipalvelimet hyökkäysten apuna DNS-nimipalvelimia on viime aikoina käytetty vahvistamaan palvelunestohyökkäyksiä. Hyökkäys perustuu siihen, että nimipalvelimelle lähetetään nimipalvelukysely väärennetyllä IP-lähdeosoitteella, jolloin palvelin lähettää vastauksensa kyseiseen osoitteeseen. Tämä on mahdollista, koska nimipalvelun käyttämä UDP-protokolla ei vaadi kaksisuuntaista yhteyttä. Koska palvelimen vastaus sisältää enemmän dataa kuin sille lähetetty kysymyspaketti, tuloksena on hyökkäyksen vahvistuminen siihen verrattuna, että hyökkäyspaketit lähetettäisiin suoraan kohteeseen. Palvelimen hyväksikäyttämistä tämän kaltaisissa hyökkäyksissä voi rajoittaa palvelimen asetuksilla, mutta kaikissa tapauksissa sitä ei voi kokonaan torjua. Silloin kun palvelin on kyselyn kohteena olevan verkkotunnuksen auktoritatiivinen nimipalvelin, sen on voitava antaa kyselyihin vastauksia. Viime aikoina nimipalvelimille on suunnattu erityisesti ANY-tyyppisiä nimipalvelukyselyjä. Kyselyt ovat ajoittain aiheuttaneet palvelinten ylikuormittumista. Hyökkäysten torjumiseksi palvelimen ylläpitäjä voi rajoittaa tai hidastaa vastaamista yksittäisestä IP-osoitteesta tai osoitelohkosta tuleviin toistuviin nimipalvelukyselyihin. Stratfor-tietomurrossa myös suomalaisten tietoja Amerikkalainen turvallisuusalan yhtiö Strategic Forecasting, Inc. (Stratfor) joutui tietomurron kohteeksi vuoden 2011 joulukuussa. Murtautujat saivat haltuunsa haltuunsa suuren määrän asiakastietoja, jotka sisälsivät muun muassa luottokorttitietoja, sähköpostiosoitteita, salasanoja ja sähköpostiviestejä. Murtautujat julkaisivat tietomurrosta saadut henkilö- ja luottokorttitiedot internetissä. He saivat haltuunsa yli sähköpostiosoitetta ja salasanaa sekä noin luottokortin tiedot. Julkaistujen tietojen joukossa oli myös usean sadan suomalaisen asiakkaan tiedot ja lähes sadan suomalaisen asiakkaan luottokorttitiedot. CERT-FI Tietoturvakatsaus 1/

11 välitti tietomurrossa anastettujen suomalaisten luottokorttitiedot luottokorttiyhtiöille korttien luvattoman käytön estämiseksi. Tietomurrosta hankituilla luottokorttitiedoilla tehtiin muun muassa hyväntekeväisyyslahjoituksia ja tilauksia verkkokaupoista. Arvioiden mukaan varastetuilla luottokorttitiedoilla tehtiin luvattomia ostoksia noin dollarin arvosta. Tietomurrossa vuotaneita sähköpostiosoitteita käytettiin myös tietojen urkkimiseen. Osoitteisiin lähetettiin Statforin nimissä viestejä, joiden tarkoituksena oli huijata vastaanottajaa asentamaan haittaohjelma omalle tietokoneelleen. Viesti sisälsi PDFliitetiedoston, jossa kehotettiin lataamaan tietystä osoitteesta tietoturvaohjelmisto, joka todellisuudessa oli haittaohjelma. Stratfor-tietomurrossa varastettiin myös sähköpostiviestejä Murtautujat ilmoittivat saaneensa haltuunsa Stratforin asiakkaiden sähköpostiviestejä, mutta niitä ei kuitenkaan julkaistu verkossa muiden asiakastietojen yhteydessä. Myöhemmin kävi kuitenkin ilmi, että tietomurron tekijät olivat toimittaneet sähköpostiviestit WikiLeaksille, joka julkaisi osan viesteistä helmikuussa Yhdysvaltain liittovaltion poliisi FBI on asettanut Jeremy Hammondin syytteeseen Stratfor-tietomurrosta. Hammond jäi kiinni FBI:n laajemmassa operaatiossa, jossa aikaisemmin kiinni jäänyt hakkeriryhmän jäsen auttoi FBI:ta tunnistamaan ja saamaan ryhmän muita jäseniä kiinni. Tietokannat murtautujien kohteena Viime aikoina ovat yleistyneet tietomurrot, joissa murtautujan tavoitteena on päästä käsiksi verkkopalvelujen käyttäjien tietoihin. Tiedot voidaan sen jälkeen julkaista internetissä tai niiden avulla voidaan käyttää palvelua varastetulla tunnuksella. Jos käyttäjän salasana paljastuu, samaa salasanaa voidaan kokeilla myös muissa suosituissa palveluissa, kuten Facebook tai Hotmail. Käyttäjien tiedot ovat useimmissa yleisesti käytetyissä palvelinohjelmistoissa taustajärjestelmän tietokannassa. Murtautujien tavoitteena onkin selvittää, että onko sivusto haavoittuva niin sanotulle SQL injection -tyyppiselle hyökkäykselle. Hyökkäys perustuu sivuston puutteelliseen syötteentarkistukseen, jonka ohittamalla taustalla olevalle tietokannalle voidaan sivuston kautta antaa komentoja. Hyökkääjän tavoitteena on tavallisesti käyttäjätunnusten, salasanojen tai salasanatiivisteiden ja muiden käyttäjäkohtaisten tietojen kuten sähköpostiosoitteiden listaaminen tietokannasta. Taustatietokantaa käyttävien sivustojen testaamista tai murtamista varten on olemassa työkaluja, kuten SQLMap. Työkalut kokeilevat järjestelmällisesti sivustoilla käytettäviin kenttiin erilaisia hyökkäyksissä käytettyjä syötteitä ja niiden yhdistelmiä. Ammattimainen hyökkääjä löytää syötteentarkistukseen liittyvät haavoittuvuudet työkaluja paremmin. Tietoturvakatsaus 1/

12 Salasanojen säilytyksessä puutteita Palveluissa käytettävien salasanojen käsittely on useissa tietomurtotapauksissa osoittautunut puutteelliseksi. Kaikkein huonoimmissa tapauksissa salasanat ovat olleet tietokannassa selväkielisinä, jolloin tietokannan rakenteen selvittänyt, oikeat taulut löytänyt sekä sivuston suojauksen ohittanut murtautuja on voinut suoraan listata palvelun käyttäjätunnukset ja salasanat. Myös sellaisten palvelujen salasanoja on joutunut vääriin käsiin, joissa salasanoista on tallennettu vain sitä vastaava tiiviste (hash). Helppojen ja lyhyiden salasanojen tiivisteet on suhteellisen helppo murtaa sanakirjahyökkäyksellä tai laskemalla kaikki mahdolliset salasanaa vastaavat tiivisteet ja vertaamalla niitä tietokannasta löytyneeseen tiivisteeseen. Yleisesti saatavilla on myös useiden teratavujen suuruisia taulukoita, joissa on valmiiksi laskettuja tiivisteitä eri salasanoista. Salasanojen auki laskemista voi huomattavasti vaikeuttaa lisäämällä niihin ns. suolamerkkijonon. Suolaamista käytetään sanakirjahyökkäysten vaikeuttamiseksi. Suola on satunnaismerkkijono, joka lisätään tiivistesummaa laskettaessa mukaan. Tällöin samasta salasanasta tulee eri käyttäjille erilainen lopputulos eikä valmiiksi laskettuja sanakirjatauluja voi käyttää salasanan murtamiseen, vaikka salasanojen tiivisteet joutuisivatkin vääriin käsiin. Käytettävällä tiivistefunktiolla on myös merkitystä. Yleisesti käytetyn MD5- tiivistefunktion kehittäjät ovat itse todenneet, ettei sitä enää tulisi käyttää, koska nykyisten tietokoneiden laskentakapasiteetilla sen murtaminen on liian helppoa. Nykyisin suositellaan käytettäväksi tiivistefunktioita, jotka on suunniteltu hitaiksi ja paljon laskentakapasiteettia vaativiksi. Hyökkäykset hidastuvat merkittävästi, kun hyökkääjä joutuu käyttämään runsaasti aikaa yksittäisen tiivisteen laskemiseen. Sanakirjataulujen laskeminen näiden funktioiden tiivisteistä voi olla miltei mahdotonta. Hitaita tiivistefunktioita ovat esimerkiksi scrypt, bcrypt ja PBKDF2. Ennen hitaan tiivistefunktion käyttöönottoa kannattaa varmistaa, että verkkopalvelun resurssit riittävät palvelun tavallisen käyttäjämäärän aiheuttaman todennustapahtumien kuorman. Ohjeita VoIP-väärinkäytösten torjuntaan Puutteellisesti suojatun ja yleiseen puhelinverkkoon kytketyn järjestelmän tai päätelaitteen kautta voidaan välittää luvatta puheluja esimerkiksi kalliisiin palvelunumeroihin tai ulkomaille. Tästä voi aiheutua suuria kuluja järjestelmää käyttävälle yritykselle. Suomessa tapahtuneissa VoIP-järjestelmien väärinkäytöksissä vahingot ovat olleet jopa kymmeniä tuhansia euroja pelkästään yhden viikonlopun ajalta. Viestintävirasto on julkaissut Ohjeen 2/2012 VoIP-järjestelmien ylläpidosta ja Ohjeen 3/2012 VoIP-päätelaitteiden suojaamisesta. Tietoturvakatsaus 1/

13 HAVARO-järjestelmä otettu käyttöön HAVARO on huoltovarmuuskriittisille yrityksille suunnattu tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä. Järjestelmä on toteutettu yhdessä Huoltovarmuuskeskuksen kanssa. HAVARO-järjestelmän tarkoituksena on auttaa tarkemman tilannekuvan muodostamista suomalaisiin verkkoihin kohdistuvista tietoturvauhkista. Järjestelmän tuottaman tiedon avulla pyritään havaitsemaan tietoturvaan vaikuttavat ilmiöt mahdollisimman varhaisessa vaiheessa, jolloin tarvittavat suojaustoimenpiteet voidaan aloittaa ajoissa ja suunnata oikein. Ensimmäiset yritykset on jo kytketty HAVARO-järjestelmään, ja ne osallistuvat järjestelmän koekäyttöön. Kuluvan vuoden aikana järjestelmään liitetään edelleen lisää käyttäjiä. Liittyminen on yrityksille vapaaehtoista, ja ne joutuvat itse vastaamaan siihen liittyvistä laitehankinnoista. HAVARO-järjestelmän avulla yritykset voivat verrata sisäverkkonsa tilaa sen ulkopuolelta HAVAROn avulla saataviin tietoihin. Järjestelmän avulla tuotetaan raportteja esimerkiksi yrityksen verkosta lähtöisin olevasta tai siihen suuntautuvasta, haitalliseksi tunnistetusta tai muuten poikkeavasta verkkoliikenteestä. Osa järjestelmän havainnoista perustuu CERT-FI:n yhteistyöverkoston kautta saatuihin tietoihin, joita ei ole saatavilla julkisesti tai kaupallisten palveluntarjoajien kautta. Haavoittuvuuksia avoimen lähdekoodin ohjelmistoissa CERT-FI on koordinoinut kolmessa eri haavoittuvuuskoordinointiprojektissa avoimen lähdekoodin sovelluksista löytyneiden haavoittuvuuksien korjaamista ja julkaisemista. Codenomiconin CROSS-projekti raportoi CERT-FI:lle kahdeksan haavoittuvuutta. Näistä yksi koski Apache Traffic Server -ohjelmistoa, viisi Imagemagickkuvankäsittelyohjelmistoa, yksi Strongswan-VPN-ohjelmistoa ja yksi OpenSSLkirjastoa. Apache-projektin Traffic Serveriä käytetään muun muassa kuormantasaajana suosittujen www-palveluiden kanssa. Ohjelmiston haavoittuvuus mahdollisti hyökkääjän oman ohjelmakoodin ajamisen Traffic Server -palvelimella tai palvelunestohyökkäyksen. Imagemagickin haavoittuvuudet saattoivat mahdollistaa hyökkääjän oman ohjelmakoodin ajamisen ohjelmistoa käyttävässä järjestelmässä tai ohjelmiston toiminnan estämisen ja palvelunestotilan. Salattujen VPN-yhteyksien muodostamiseen käytetyssä Strongswan-ohjelmistossa oli haavoittuvuus RSA-allekirjoituksen tarkastamisessa. Allekirjoitusta käytetään varmentamaan salatun yhteyden toinen osapuoli. Haavoittuvuuden vuoksi tyhjä tai pelkkää nollaa sisältävä allekirjoitus hyväksyttiin aina. Haavoittuvuuden avulla hyökkääjä saattoi esiintyä kenenä tahansa salatun yhteyden osapuolena. Tietoturvakatsaus 1/

14 Heikkouksia SSL/TLS -protokollissa SSL/TLS-protokolla (Secure Socket Layers, uudempi versio Transport Layer Security) ja varmenteet ovat turvallisen verkkoviestinnän kulmakiviä. Protokollat salakirjoittavat yhteyden, jolloin sitä ei voi salakuunnella tai muokata luvatta. Varmenteet puolestaan tarjoavat mahdollisuuden tarkistaa tiedot esimerkiksi verkkosivuston tarjoajasta. Suojausmenetelmissä on kuitenkin eroja. Heikoiksi havaittujen protokollien, salakirjoitusmenetelmien tai varmenteiden käyttö voi mahdollistaa hyökkäyksen myös SSL/TLS-suojattua yhteyttä vastaan. Parhaiden käytäntöjen mukaan palvelimen SSL/TLS-asetuksissa tulisi tukea vain SSLv3-protokollaa tai tätä uudempia protokollaversioita. SSLv2-protokollaa ei tulisi käyttää. Useat Linux-jakelijat ovat jo poistaneet SSLv2-protokollaversion käytöstä perusasetuksissaan. On suositeltavaa siirtyä tulevaisuudessa uudempiin TLS-protokollan versioihin 1.1 ja 1.2. Uudemmat protokollaversiot ovat muun muassa paremmin varautuneet joihinkin hyökkäyksiin salausta vastaan (esimerkiksi BEAST-hyökkäys). Tällä hetkellä eri palvelimien ja selainten tuki uusille protokollaversioille on kuitenkin puutteellinen. CERT-FI:n koordinoima OpenSSL-haavoittuvuus liittyi TLS 1.1- ja 1.2- sekä DTLSversioiden toteutukseen. Hyökkääjä voi aiheuttaa kyseisiä protokollia käyttävässä asiakas- tai palvelinohjelmistossa palvelunestotilan lähettämällä sille tietyllä tavalla muokatun viestin. On luultavaa, että uusissa toiminnallisuuksissa on muitakin toteutusvirheitä, jotka paljastuvat vasta laajemman käytön myötä. Salakirjoitusmenetelmien (cipher suite) osalta on suositeltavaa siirtyä avainpituudeltaan 128-bittisten tai sitä vahvempien menetelmien sekä SHA-pohjaisten tiivistefunktioiden käyttöön. Varmennejärjestelmän heikkouksien osalta CERT-FI on julkaissut ylimääräisen tietoturvakatsauksen 3b/2011. GSM-salausmenetelmä murrettu Vuoden 2011 lopussa julkaistiin uusi hyväksikäyttötapa toisen GSM-verkoissa käytettävän A5/1-salausmenetelmän heikkouksille. Jos saa selville puheluun liittyvän salausavaimen, voi esiintyä verkossa kohteena olevan käyttäjän päätelaitteena. Tämä mahdollistaa puhelujen soittamisen tai tekstiviestien lähettämisen siten, että ne näyttävät tulevan jonkun muun puhelinnumerosta. Myös GSM-verkkojen GPRS-dataliikenteen suojana käytettävä GEA/1-salausalgoritmi on pystytty osittain murtamaan algebrallisesti. Huijausviestejä ja -puheluja Talven mittaan CERT-FI:n tietoon on tullut joitakin huijauskampanjoita, joissa erityisesti matkapuhelinverkon tilaajille on tullut tekstiviestejä tai puheluita, joiden takana on erilaisia huijausyrityksiä. Soittajan numero voi olla ulkomainen, mutta tekstiviesteissä on esiintynyt myös kotimaisia palvelunumeroita. Tietoturvakatsaus 1/

15 Huijauksissa on yleensä tarkoituksena houkutella liittymän haltija soittamaan tai lähettämään tekstiviesti maksulliseen numeroon, joka on huijarin hallussa. Suomessa esiintyneissä tekstiviestihuijauksissa tai roskapostiviestien mainoksissa on myös viestejä tai linkkejä, joiden kautta tulee tilanneeksi maksullisen, kuukausiveloitteisen palvelun. Tekstiviesteissä voi olla myös haittaohjelmiin johtavia linkkejä, mutta ne näyttävät olevan Suomessa harvinaisia. Huijauksen uhriksi joutuneiden kannattaa ensisijaisesti olla yhteydessä omaan teleoperaattoriin ja mahdollisesta petoksesta voi tehdä poliisille rikosilmoituksen. Tietoturvakatsaus 1/