Tietoturvakatsaus 1/

Transkriptio

1 Tietoturvakatsaus 1/

2 Sisällysluettelo Kooste Vuosiraportista Alkuvuoden uudet tietoturvailmiöt... 5 Automaatiojärjestelmien tietoturva... 5 UPnP-haavoittuvuudet kodin viihdelaitteissa... 6 Valtioiden organisaatioihin kohdistettuja haittaohjelmahyökkäyksiä... 6 Levittämistapa... 7 Haittaohjelmatartunnan tunnistaminen... 7 Haittaohjelmien levinneisyys... 7 Havainnot Suomessa... 7 Haittaohjelmahyökkäykset Etelä-Koreassa... 7 Palvelunestohyökkäykset Tšekin tasavallassa... 7 Palvelunestohyökkäykset Spamhausia vastaan... 8 Varmennejärjestelmien ongelmat... 8 Tapaus TURKTRUST... 8 Tapaus Diginotar... 9 Tapaus Comodo... 9 Pitkäkestoiset tietoturvailmiöt Haittaohjelmatartunnat suomalaisissa IP-osoitteissa Kiristyshaittaohjelma Reveton Käyttäjätietojen kalastelu Haavoittuvuuksia yleisesti käytetyissä ohjelmistoissa Java Adoben Flash Player, Reader ja Acrobat Www-selaimet Yleisen viestintäverkon poikkeamat Viestintäverkkojen vika- ja häiriöilmoitukset Kooste vuoden 2012 viestintäverkkojen vioista ja häiriöistä Tietoturvakatsaus 1/2013 2

3 CERT-FI-tapahtumailmoitukset Kooste vuoden 2012 tietoturvapoikkeamista Tietoturvakatsaus 1/2013 3

4 Tietoturvakatsaus 1/2013 Ensimmäisen vuosineljänneksen aikana CERT-FI käsitteli tietoturvatapausta sekä 34 merkittävää televerkkojen häiriötapausta. CERT-FI:n rekisteröimät tietoturvatapaukset jakautuivat seuraavasti: Kuva 1. CERT-FI:n käsittelemät tapaukset tammi-maaliskuulta 2013 Katsauksessa käsitellään muun muassa automaatiojärjestelmien tietoturvaaukkoja sekä valtionhallintoon kohdistettua vakoiluhaittaohjelmatapausta nimeltään Red October, jonka maailmanlaajuisista liikkeistä Kaspersky Lab raportoi tammikuussa. Katsauksessa nostetaan esiin myös keskeisiä ulkomailla tapahtuneita verkkohyökkäyksiä. Toistuvista ilmiöistä mainittakoon Zeus ja Conficker, jotka olivat maamme yleisimmät haittaohjelmat niin vuonna 2012 kuin myös tammi-maaliskuussa Poliisin nimissä kiertävä kiristyshaittaohjelma ei myöskään näytä laantumisen merkkejä. Toistuvina ilmiönä esiintyivät myös haavoittuvuudet yleisesti käytetyissä ohjelmistoissa kuten Javassa, Adoben Flash Playerissä sekä www-selaimissa. Suomalaisten viestintäverkot toimivat tammi-maaliskuussa hyvin. Alkuvuonna teleyhtiöt raportoivat yhteensä kolmesta kuluttaja-asiakkaisiin kohdistuneesta erittäin laajavaikutteisesta häiriöstä. Häiriöt keskittyivät pääasiassa matkaviestinverkon palveluihin. Merkittäviä pitkäkestoisia tai luonnonilmiöiden seurauksena useisiin teleyrityksiin vaikuttaneita häiriöitä ei alkuvuonna ollut lainkaan. Samoin alkuvuonna CERT-FI:lle toimitetuista seitsemästä Tietoturvakatsaus 1/2013 4

5 tapahtumailmoituksesta ei noussut esiin uusia, vakavia tietoturvauhkia. Ilmoitukset koskivat pääosin tietomurtoja, joiden haittavaikutukset jäivät pieniksi, koska tapaukset oli havaittu ja niihin oli puututtu ajoissa. Kooste Vuosiraportista 2012 Vuoden 2012 yleisimpiä tietoturvauhkia olivat palvelunestohyökkäykset ja haittaohjelmatartunnat. Varsinkin mediaan kohdistuneet palvelunestohyökkäykset, ohjelmistojen haavoittuvuudet, tietomurrot ja kiristyshaittaohjelmatartunnat työllistivät CERT-FI:tä. Viestintäverkkojen häiriöistä merkittävin yksittäinen tapaus koski tykkylumen aiheuttamaa sähköverkon häiriötä, joka aiheutti ongelmia useamman teleyrityksen matkaviestinverkoissa. Alkuvuoden uudet tietoturvailmiöt Automaatiojärjestelmien tietoturva Aalto-yliopiston tutkijat etsivät TEKES:in rahoittamassa DiSCI-projektissa verkosta saavutettavia automaatiojärjestelmiä Shodan-hakukoneella. Shodan luotaa internetiä löytääkseen avoimia laitteita, ottaa yhteyttä yleisimpiin portteihin löydetyissä laitteissa ja tallentaa saadut vastaukset tietokantaan. Shodanin tietokannasta voi etsiä tietoa sen läpikäymistä järjestelmistä avainsanoilla, joita voivat olla tietyt TCP- tai UDP-portit tai järjestelmän tunnisteet kuten valmistajan nimi. Suomalaisia automaatiojärjestelmiä tutkimuksessa löydettiin hieman alle Laitteiden joukossa on ollut muun muassa teollisuusautomaatiojärjestelmiä, kiinteistöhallintajärjestelmiä ja verkkokameroita. IP-osoitteet on luovutettu CERT- FI:lle, joka on ilmoittanut tiedot edelleen laitteiden ylläpitäjille. Ylläpitäjät voivat poistaa suojaamattomat järjestelmät verkosta tai parantaa niiden suojaustasoa niin, että niihin ei pääse ottamaan yhteyttä kaikkialta. Suuri osa löydetyistä automaatiolaitteista on kytketty internetiin tietoisesti. On kuitenkin hyvä muistaa, että heikkojen salasanojen ja haavoittuvuuksien vuoksi laitteisiin voidaan murtautua. Shodan-palvelun avulla voi löytää myös haavoittuvia ohjelmistoja vertaamalla niitä esimerkiksi yhdysvaltalaisen ICS-CERTin haavoittuvuustiedotteisiin. Osa haavoittuvuustutkijoista ja laitteistojen testaajista ei toimi niin sanotun "responsible disclosure" periaatteen mukaisesti, jolloin tieto haavoittuvista automaatioohjelmistoista ja laitteistoista julkaistaan verkkoon niin, ettei ohjelmistovalmistajalla ole mahdollisuutta tai aikaa julkaista ohjelman korjaavaa päivitystä. Verkossa olevat avoimet laitteet altistuvat ohjelmistohaavoittuvuuksien lisäksi tietomurroille. Laitteistoissa voi olla perinteisen selainhallintaliittymän lisäksi myös esimerkiksi telnet-hallintaliittymä, jonka käyttöoikeuksia hallinnoidaan erillisillä tunnuksilla ja salasanoilla. Ohjelmistojen osana voidaan myös käyttää erilaisia kirjastoja, joista ajoittain löydetään ohjelmistohaavoittuvuuksia. Laitteistossa ajettava palvelinohjelmisto voidaan haavoittuvuuksia hyväksikäyttämällä saattaa palvelunestotilaan, jolloin sen käynnistäminen uudelleen voi pahimmassa tapauksessa vaatia virtojen kytkemistä pois ja takaisin päälle. Tietoturvakatsaus 1/2013 5

6 UPnP-haavoittuvuudet kodin viihdelaitteissa Päivittämättömät kodin viihdelaitteet voivat olla haavoittuvia, ja pahimmassa tapauksessa niitä voidaan käyttää hyväksi rikollisessa toiminnassa. CERT-FI on julkaissut aiheesta haavoittuvuustiedotteen "UPnP-haavoittuvuus miljoonissa kotiverkkojen reitittimissä" Etenkin kotikäyttöön tarkoitetuissa laitteissa (äly-tv:t, mediatoistimet, digiboxit, adsl- ja usb-modeemit) käytetään usein niin sanottua Universal Plug and Play -protokollaa (UPnP). Protokollan avulla esimerkiksi älytelevisio ottaa vastaan internetistä muiden laitteiden kuten mediatoistimien kutsupyyntöjä UDP-portista UPnP-tuki on oletusarvoisesti päällä Microsoft Windows-, Mac OS X- ja monissa Linuxkäyttöjärjestelmän versioissa. Jos laitteelle lähetetään tietyllä tavalla muokattuja paketteja, voidaan laitteen ohjelmisto saada kaadettua tai suoritettua laitteessa haitallista ohjelmakoodia. Tällä tavalla hyökkääjä voi saada laitteen hallintaansa tai muuttaa sen asetuksia. Suojaamattomina kodin laitteet ovat haavoittuvia ja yhtä lailla turvattomia kuin tietokone ilman kattavaa tietoturvaohjelmistoa. Tämän vuoksi on turvallisinta olettaa, että haavoittuvuus koskee omaa laitetta ja toimia sen mukaisesti. Suojautuminen haavoittuvuudelta voi olla kotikäyttäjälle työlästä ja edellyttää perehtymistä laitteen toimintaan. Ensisijaisesti on syytä varmistaa, ettei UPnP-palvelu ole saavutettavissa internetistä. Asetus löytyy useimpien laitteiden hallintakäyttöliittymästä. CERT-FI:n tietoon on tullut, että joidenkin laitteiden UPnP-palvelu ei kytkeydykään pois päältä, vaikka hallintanäkymässä siltä näyttäisi. Jos UPnP:lle ei ole erityistä tarvetta, on suositeltavaa kytkeä se kokonaan pois päältä. Jos UPnP:tä käyttävän laitteen ja internetin välissä on palomuuri, kannattaa sen avulla estää kokonaan yhteydet UDP-porttiin Haavoittuvuuden korjaaminen onnistuu vain päivittämällä laitteen ohjelmisto korjattuun versioon. Sekin tapahtuu tavallisesti saman hallintasivuston kautta. Vanhempiin laitteisiin korjauspäivitystä ei ole välttämättä edes saa. Tietoja ohjelmistopäivityksistä ja haavoittuvuuden korjaamisesta kannattaa etsiä laitteen valmistajan omilta tukisivuilta. Valtioiden organisaatioihin kohdistettuja haittaohjelmahyökkäyksiä Havainnot ennalta määritettyyn kohteeseen suunnatuista haittaohjelmatartunnoista ovat olleet kasvussa viime vuosina. Alkuvuodesta venäläinen tietoturvayhtiö Kaspersky Lab julkaisi kahteen haittaohjelmaan liittyen raportteja, joissa kerrottiin muun muassa valtionhallinnon organisaatioihin ja tutkimuslaitoksiin kohdistetuista haittaohjelmakampanjoista. Tammikuussa kerrottiin Red October -vakoiluohjelmasta (Rocra) ja helmikuussa Miniduke-haittaohjelmasta. Tietoturvakatsaus 1/2013 6

7 Levittämistapa Haittaohjelmien päätarkoituksena on ollut varastaa tiedostoja kohdeorganisaation tietokoneilta ja tietokoneisiin kytketyiltä älypuhelimilta. Molempia haittaohjelmia on levitetty sähköpostin liitetiedostojen välityksellä. Red Octoberissa käytettiin Word- ja Excel-tiedostoja, Minidukessa PDF-tiedostoja. Tiedostot sisälsivät haitallista koodia, joka hyödynsi tunnettuja ohjelmistohaavoittuvuuksia. Haittaohjelmatartunnan tunnistaminen CERT-FI on julkaissut molemmista haittaohjelmista tiedot hyökkäyksissä hyväksikäytetyistä ohjelmistohaavoittuvuuksista Tietoturva nyt! -artikkeleissa. Sekä Red Octoberin että Miniduken käyttämien komentopalvelimien tiedot on julkistettu. Lisäksi tartuntayritysten tunnistamiseksi Kaspersky Lab -raportit sisältävät esimerkkejä sähköpostiviesteistä ja liitetiedostoista, joita on käytetty haittaohjelmien levitykseen. Näiden tietojen perusteella on mahdollista havaita haittaohjelmatartunnat sellaisissa organisaatiossa, jotka epäilevät omien tietojärjestelmiensä vaarantuneen. Haittaohjelmien levinneisyys Kasperskyn raporttien mukaan Red October -tartuntoja on havaittu kokonaisuudessaan yli 300 yksittäistapausta useista kymmenistä valtioista, myös Suomesta. Miniduke-tartuntoja on löydetty liki 60, yhteensä 23 valtiosta, ei kuitenkaan Suomesta. Miniduke-havaintoja on tehty enimmäkseen Itä- Euroopan maissa, kun taas Red October -tartuntoja on havaittu ympäri maailmaa. Havainnot Suomessa CERT-FI otti tammikuussa yhteyttä Kasperskyyn ja pyysi tietoja Red October - raportissa mainitusta suomalaistartunnasta. Yritys toimittikin tietoja, joiden perusteella yhden suomalaisen tilaajaliittymän takana oleva tietokone olisi saanut haittaohjelmatartunnan. Samalla selvisi, että kyseessä oleva tapaus ei liittynyt Suomen julkiseen hallintoon. Haittaohjelmahyökkäykset Etelä-Koreassa Maaliskuun alussa Etelä-Korea joutui haittaohjelmahyökkäyksen kohteeksi. Kohteina oli useita pankkeja ja televisioasemia. Hyökkäyksellä ei ollut vaikutuksia Suomeen. Palvelunestohyökkäykset Tšekin tasavallassa Maaliskuun alussa merkittäviä verkkouutispalveluja joutui palvelunestohyökkäysten kohteeksi Tšekissä. Joulukuussa 2012 myös suomalaiset mediatalot joutuivat palvelunestohyökkäysten kohteiksi. Tietoturvakatsaus 1/2013 7

8 Palvelunestohyökkäykset Spamhausia vastaan Suomalaisia suojaamattomia nimipalvelimia käytettiin hyväksi yhdysvaltalaiseen palveluntarjoajaan kohdistuvassa laajassa palvelunestohyökkäyksessä maaliskuun lopulla. Hyökkäyksessä väärinkäytettiin avoimia resolverinimipalvelimia. Niiden avulla hyökkääjä kykeni vahvistamaan hyökkäysliikenteen volyymin moninkertaiseksi. Hyökkäysliikenteestä tunnistettiin yli sata suomalaista IP-osoitetta. CERT-FI on ollut yhteydessä suomalaisiin teleyrityksiin, jotta näiden hyödyntäminen palvelunestohyökkäyksessä saatiin estettyä. Hyökkäys Spamhausia vastaan loppui Väärennettyjen osoitteiden käyttäminen voitaisiin torjua siten, että kaikki internetoperaattorit toteuttaisivat ns. BCP38 (Best Current Practices -dokumentti 38 ja sen korvannut versio 84, RFC 2827 ja 3704) mukaisen suodatuksen, jolloin kunkin operaattorin verkosta voisi liikennöidä ulospäin vain sellaisilla IP-lähdeosoitteilla, jotka kuuluvat sille itselleen tai sen asiakasverkoille. Valitettavasti läheskään kaikilla ulkomaisilla operaattoreilla tällaista suodatusta ei ole käytössä. Suomalaisia verkkoja on vaikea käyttää väärennettyjen lähdeosoitteisiin perustuvissa palvelunestohyökkäysissä, koska operaattorit estävät väärennetyillä lähettäjäosoitteilla välitetyn liikenteen asiakasliittymissä Viestintäviraston määräysten 13 ja 28 mukaisesti. Varmennejärjestelmien ongelmat Varmennejärjestelmien luotettavuus perustuu teknisten ratkaisujen lisäksi suurelta osin varmentajan toiminnan luotettavuuteen. Tapaus TURKTRUST Google Chrome -selaimeen sisäänrakennettu, Googlen omia varmenteita tarkkaileva mekanismi havaitsi väärän varmenteen jouluaattona Varmenne oli luotu osoitteille *.google.com eli kaikille google.com -loppuisille osoitteille. Varmenteen myöntäjänä oli turkkilainen varmenteita myöntävä taho TURKTRUST. TURKTRUST ilmoitti myöntäneensä vahingossa kaksi keskitason varmennetta, toisen *.EGO.VOG.TR-osoitteille ja toisen e- islem.kktcmerkezbankasi.org-osoitteelle. Näistä edellistä käytettiin myöntämään varmenne *.google.com -osoitteille. Tällä hetkellä ei vielä tiedetä, minkälaisissa hyökkäyksissä varmennetta on käytetty. Oikeudettomasti luotua varmennetta voidaan käyttää hyväksi muun muassa urkintahyökkäyksissä, koska muut selaimet eivät tunnista sivua väärennetyksi. Väärennettyjen sivustojen avulla olisi voitu urkkia käyttäjiltä esimerkiksi Googlen palvelujen käyttäjätunnuksia ja salasanoja tai toteuttaa SSL-MitM - tyyppinen hyökkäys, jossa tietoliikenteen salaus voidaan purkaa käyttäjän huomaamatta. Google ja Mozilla ovat ilmoittaneet poistaneensa varmenteet selaimistaan Chromesta ja Firefoxista. Myös Microsoft on poistanut ne Tietoturvakatsaus 1/2013 8

9 luotettujen varmenteiden listalta (CTL). Päivitys asentuu kaikkiin Windowsin tuettuihin versioihin automaattisesti. Tapaus Diginotar Alankomaalaisen Diginotar-varmenneyrityksen järjestelmiin tehty tietomurto paljastui elokuun 2011 lopussa. Tunkeutuja oli kyennyt luomaan useita varmenteita eri verkkotunnuksille ja www-osoitteille. Tunkeutujalla on todennäköisesti ollut pääsy järjestelmään kuukausien ajan ennen kuin tietomurto tuli ilmi. Alankomaiden viranomaiset ottivat Diginotarin toiminnan haltuunsa tieto murron tultua julki ja Diginotarin menetettyä näin luotettavuutensa varmenteiden myöntäjänä. Kävi ilmi, että yhtiö oli lyönyt laimin tietoturvasta huolehtimisen eikä ilmoittanut tapahtuneesta viranomaisille. Yritys on sittemmin haettu konkurssiin ja lopettanut toimintansa. Tapaus Comodo Oikeudettomasti luotuja varmenteita myönnettiin myös aiemmin huhtikuussa 2011 tietoturvayritys Comodon tytäryhtiöön tehdyn tietomurron seurauksena. Hyökkääjä onnistui varastetun salasanan avulla myöntämään itselleen yhdeksän väärää SSL-varmennetta. SSL-varmenteet myönnettiin seuraaviin seitsemään verkkopalveluun: mail.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com ja "global trustee". Comodon tiedotteen mukaan ainoastaan login.yahoo.com - palveluun myönnettyä varmennetta on todistettavasti käytetty hyväksi. Hyökkäyksen paljastuttua Comodo on mitätöinyt kaikki väärät varmenteet sulkulistan avulla. Luottamus on koko varmennejärjestelmän perusta, joten varmentajille on tärkeää toimia vastuullisesti murtoepäilytilanteissa ja tiedottaa aktiivisesti hyökkäyksistä ja niiden vaikutuksista. Suomessa laatuvarmennepalveluntarjoajien ja vahvan sähköisen tunnistamispalveluntarjoajien luotettavuus perustuu osaltaan viranomaisvalvontaan. Viestintäviraston antaman määräyksen 7 mukaan laatuvarmenteita ja vahvaa sähköistä tunnistamista tarjoavien varmentajien on tehtävä ilmoitus Viestintävirastolle palvelun tietoturvaan kohdistuvista merkittävistä uhkista tai häiriöistä sekä näiden korjaamiseksi tehdyistä toimenpiteistä ilman aiheetonta viivästystä. Tietoturvakatsaus 1/2013 9

10 Pitkäkestoiset tietoturvailmiöt Tietoverkoissa käytettyjen ohjelmistojen tietoturva-aukot ovat jokapäiväisiä uhkia, joita vastaan ohjelmistotoimittajat ja koko tietoturva-ala rakentavat paikkauksia ja ohjeistavat tietokoneen käyttäjiä turvallisempaan nettikäyttäytymiseen. Uusien ja yksittäisten tietoturvailmiöiden sijaan seuraavassa keskitytään niin sanottuihin pitkäkestoisiin ilmiöihin, joita trendeiksikin voisi nimittää. Haittaohjelmatartunnat suomalaisissa IP-osoitteissa CERT-FI Autoreporter on CERT-FI:n vuodesta 2006 alkaen tuottama palvelu, joka kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja ja raportoi niistä verkkojen ylläpitäjille. Tammimaaliskuussa järjestelmä käsitteli noin raporttia, joissa esiintyi eri IP-osoitetta. Alla olevassa tilastossa on esitetty alkuvuoden päivittäiset CERT-FI Autoreporterin käsittelemät haittaohjelmatartunnat. Tilasto ei ota huomioon sitä, esiintyykö sama haittaohjelman saanut kone raportissa useampana peräkkäisenä päivänä vai onko kyseessä joukko erillisiä tapauksia. Raporteissa esiintyvien IP-osoitteiden lukumäärä ei suoraan kerro yksittäisten haittaohjelmatartunnan saaneiden tietokoneiden lukumäärää. Tämä johtuu siitä, että laajakaistaliittymissä käytetään yleisesti vaihtuvia (dynaamisia) IP-osoitteita. Lisäksi yritysverkoissa on yleistä, että yhden julkisen IPosoitteen takaa voi löytyä useita tietokoneita. Kuva 2. Autoreporter-tilastot 1Q/2013. Päivämäärät ovat tilastossa muodossa vvvvkk-pp. Maaliskuun lopulla tilastossa näkyvä piikki johtuu erään teleyrityksen asiakkailla esiintyneiden, roskapostin välittämiseen käytettävien haittaohjelmatartuntojen suuresta määrästä. Teleyrityksen nopean reagoinnin ansiosta päivittäisten haittaohjelmahavaintojenmäärä laski nopeasti takaisin keskimääräiseen 600 tartunta tapaukseen. Tietoturvakatsaus 1/

11 Yleisimmät haittaohjelmat olivat tammi-maaliskuussa ZeuS (42 %) ja Conficker (16 %). Vuonna 2012 yleisimmät haittaohjelmat olivat myös ZeuS 35 %:n ja Conficker 18 %:n osuuksilla. Zeus-haittaohjelma urkkii verkkopankkitunnuksia pankkipalveluja käytettäessä. Vuonna 2012 Autoreporterin kautta lähetettiin runsaat raporttia. Alkuvuoden lukumäärän perusteella voi arvioida, että raporttien kokonaismäärä tulee kasvamaan vuonna Kiristyshaittaohjelma Reveton Jos tietokone ei käynnisty normaalisti, vaan näytölle tulee ilmoitus, joka vaatii maksua lukituksen poistamiseksi, kyseessä on todennäköisesti kiristyshaittaohjelma (ransomware). Uskottavuutensa lisäämiseksi haittaohjelman ilmoitus on yleensä kirjoitettu poliisin nimissä. Lukituksen syyksi ilmoitetaan esimerkiksi käyttäjän väitetty vierailu laittomilla sivustoilla. Kiristyshaittaohjelmatartunnan voi saada esimerkiksi vierailemalla aikuisviihdesivustoilla. Kuva 3. Kuvaruutukaappaus lukitusilmoituksesta (lähde: F-Secure weblog) Todellisuudessa poliisi ei toimi näin, joten älä maksa. Haittaohjelmasta on liikkeellä lukuisia eri versioita, siksi ajantasaisia ja kaikkiin versioihin purevia puhdistusohjeita on lähes mahdotonta laatia. Ellei oma tietotaito riitä, saastunut kone on hyvä puhdistuttaa atk-huoltoliikkeessä. Kyseessä on 2000-luvun ilmiö, joka on aiheuttanut käyttäjille ongelmia jo useiden vuosien ajan muun muassa Suomessa, Venäjällä sekä Pohjois- ja Etelä-Amerikassa. Haittaohjelma tunnetaan myös nimellä Reveton. Kiristyshaittaohjelmasta liikkuu erilaisia versioita eri maihin ja eri kielialueille. Ilmoituksen sisältö vaihtelee sen mukaan, mihin maahan haittaohjelmaa on levitetty. Yhdysvalloissa käyttäjän koneen lukitsijan väitetään olevan FBI, Tietoturvakatsaus 1/

12 Argentiinassa taas PFA (Police Federal Argentine). Revetonia ja muita kiristyshaittaohjelmia kehitetään jatkuvasti, jotta tekijöiden rikollinen mutta tuottoisa toiminta voisi jatkua mahdollisimman pitkään. Helmikuussa 2013 Espanjan poliisi pidätti rikollisryhmän, jonka levittämä kiristyshaittaohjelma on päätynyt myös suomalaisten tietokoneisiin. Maailmanlaajuisesti pidätyksen merkitys jäänee melko vähäiseksi, koska samalla tavalla toimivia ryhmiä on muitakin. Ilmiön tunnettuudesta huolimatta esimerkiksi CERT-FI:n asiakaspalveluun tulee yhä viikoittain yhteydenottoja, joissa pyydetään neuvoja Revetonin lukituksen purkamiseksi. Aiheesta on julkaistu useita Tietoturva nyt! -uutisia, ja sitä on myös käsitelty CERT-FI:n 2012 vuosikatsauksessa. Käyttäjätietojen kalastelu CERT-FI:n tietoon tulee säännöllisesti käyttäjätietojen kalasteluyrityksiä, joilla pyritään urkkimaan esimerkiksi Twitterin ja Facebookin kirjautumistietoja. Mikroblogipalvelu Twitterissä on kiertänyt viestejä, joissa kysellään "Did you see this pic of you?". Viestissä on lyhytosoite, jota klikkaamalla käyttäjä päätyy sivustolle, joka näyttää erehdyttävästi Twitterin omilta sivuilta. Varastettuja kirjautumistietoja voidaan käyttää vastaavien viestien lähettämiseen muille Twitterin käyttäjille. On myös mahdollista, että myöhemmin lyhytosoitetta klikkaavan käyttäjän koneelle yritetään tartuttaa haittaohjelma. Vastaavanlaiset huijausyritykset ovat varsin yleisiä sosiaalisessa mediassa. Usein klikkauksilla yritetään kuitenkin ohjata käyttäjä asentamaan jokin Facebookin sovellus tai antamaan urkintasivustolle oikeuden käyttää palveluun tallennettuja yhteystietoja. Haavoittuvuuksia yleisesti käytetyissä ohjelmistoissa Yleisesti käytetyistä ohjelmistoissa löydetään jatkuvasti uusia haavoittuvuuksia. Niiden avulla voidaan esimerkiksi tartuttaa tietokoneeseen haittaohjelmia. Päivittämällä ohjelmistot uusimpiin julkaistuihin versioihin voidaan estää tunnettujen haavoittuvuuksien hyväksikäyttö. Java Java-ohjelmistojen haavoittuvuudet ovat toistuvasti otsikoissa. Uusilta tapauksilta ei ole vältytty myöskään alkuvuodesta Vuonna 2012 CERT-FI julkaisi Javasta yhteensä seitsemän haavoittuvuustiedotetta. Kuluvana vuonna tiedotteita on kertynyt jo neljä. Java-haavoittuvuuksia käytetään hyväksi esimerkiksi vakoiluohjelmien levittämisessä. Java on laaja laitteistoriippumaton ohjelmointikieli ja ohjelmistoalusta, joka on Tietoturvakatsaus 1/

13 saanut alkunsa vuonna Oraclen mukaan Java-alusta on käytössä noin neljässä miljardissa laitteessa aina hisseistä tietokoneisiin. Yleisyytensä vuoksi Java on hakkerille tehokas ja helppo kohde tieturva-aukkojen löytämiseksi ja lopulta niiden hyväksikäytölle. CERT-FI on kehottanut poistamaan Javan oman tietokoneen selaimesta, jollei sen käyttö ole välttämätöntä. Jos esimerkiksi verkkopankin käyttö ilman Javaa on mahdotonta, CERT-FI on suositellut pitämään käytössä kahta eri selainta, joista vain toinen sisältää Java-lisäosan. Adoben Flash Player, Reader ja Acrobat Adobe Flash Player -ohjelmistoa käytetään esimerkiksi Youtube-videoiden toistamiseen ja www-sivujen mainosten näyttämiseen. Adoben mukaan Flash Player on asennettuna yli 500 miljoonaan laitteeseen. Näiden ohjelmien päivitykset on syytä pitää ajan tasalla, sillä niiden haavoittuvuuksia hyödynnetään aktiivisesti. Alkuvuodesta 2013 CERT-FI on julkaissut Flash Playeristä neljä ja Adobe Readeristä sekä Acrobatista kaksi haavoittuvuustiedotetta. Luvut ovat huomattavia, sillä vuonna 2012 CERT-FI julkaisi yhdeksän Flash Player- sekä kolme Reader- ja Acrobat-tiedotetta. Www-selaimet Www-selainten haavoittuvuuksia hyväksikäyttämällä voidaan haittaohjelma tartuttaa käyttäjän päätelaitteeseen vain vierailemalla saastuneella verkkosivulla. Haittaohjelmatartunnan riski pienenee huomattavasti, jos käytetään selaimen päivitettyä versiota. CERT-FI on julkaissut tammi-maaliskuussa 12 selaimia koskevaa haavoittuvuustiedotetta. Tiedotteet ovat koskeneet Google Chrome-, Internet Explorer-, Mozilla Firefox-, Safari- ja Opera -selaimia. Vuonna 2012 julkaistiin yhteensä 45 selaimia koskevaa haavoittuvuustiedotetta. Tietoturvakatsaus 1/

14 Yleisen viestintäverkon poikkeamat Suomalaisten viestintäverkot toimivat tammi-maaliskuussa hyvin. Alkuvuonna teleyhtiöt raportoivat yhteensä kolmesta kuluttaja-asiakkaisiin kohdistuneesta erittäin laajavaikutteisesta häiriöstä. Samoin alkuvuonna CERT-FI:lle toimitetuista seitsemästä tapahtumailmoituksesta ei noussut esiin uusia, vakavia tietoturvauhkia. Ilmoitukset koskivat pääosin tietomurtoja, joiden haittavaikutukset jäivät pieniksi, koska tapaukset oli havaittu ja niihin oli puututtu ajoissa. Viestintäverkkojen vika- ja häiriöilmoitukset Alkukevään aikana teleyritykset ilmoittivat Viestintävirastolle kolme kuluttajaasiakkaisiin kohdistuvaa erittäin laajavaikutteista (A-vakavuusluokka) häiriötä, joita olivat 9.1. Elisa matkapuhelinverkon häiriö 5.2. DNA kiinteiden internet-yhteyksien häiriö Elisa matkapuhelinverkon datayhteyksien häiriö Teleyritykset havaitsivat häiriöt ripeästi ja merkittävät asiakasvaikutukset poistettiin kaikissa tapauksissa noin tunnin kuluessa häiriön alkuhetkestä. Kyseisistä tapahtumista teleyritykset ovat julkaisseet verkkosivujensa häiriöilmoituksissa asiakastiedotteet ja raportoineet Viestintävirastolle asianmukaisesti. Lisäksi FST5-kanavan toimintaan Lapissa vaikutti yksi laaja häiriö ajoittuen onnekkaasti aikaan, jolloin kanavalla ei esitetty ohjelmaa. Kooste vuoden 2012 viestintäverkkojen vioista ja häiriöistä Viestintävirasto keräsi keväällä 2013 ensi kertaa teleyrityksiltä laajat tiedot viestintäverkkojen häiriöistä vuodelta Kysely koski laajuudeltaan kohtuullisia tai pieniä häiriöitä, jotka vaikuttivat tyypillisesti alle asiakkaaseen yli puolen tunnin ajan. Tätä vakavimmista häiriöistä teleyritykset ilmoittavat Viestintävirastolle jatkuvasti. Tulosten tarkempaa analysointia jatketaan ja käsitellään seuraavassa neljännesvuosikatsauksessa. Tähän mennessä tehtyjen asiakasilmoitusten perusteella teleyrityksiä työllistävät merkittävimmin häiriöt matkaviestinverkoissa ja kiinteissä laajakaistayhteyksissä. Nämä ovat myös käytetyimmät asiakaskohtaiset palvelut. Yli neljänneksen todennetuista häiriöistä ilmoitetaan korjaantuvan kuuden tunnin kuluessa häiriön alkamisesta. Lisäksi yli puolet häiriöistä korjataan kahden päivän kuluessa häiriön havaitsemisesta. Vaikeammistakin häiriöistä merkittävä osuus saadaan korjatuksi alle viikossa. Viime vuoden yli viikon kestävien häiriöiden osuutta lisäsi 2011 loppuvuoden Tapani-myrsky. Sen korjaustyöt jatkuivat vielä viikkoja vuoden 2012 puolella Tietoturvakatsaus 1/

15 korjaustöiden laajuuden ja tilaajayhteyksien suuren lukumäärän vuoksi. Osa yhteysvirheistä havaittiin ja korjattiin vasta kevät-kesällä, kun ihmiset palasivat loma-asunnoilleen. Tyypillisimmin yksittäisen häiriön taustalla ovat maanrakennustyöt, joiden seurauksena katkeaa niin tilaajajohtoja kuin verkon kaapeleitakin. Myös muut kaapelivauriot häiritsevät usein asiakkaiden yhteyksiä. Verkon laitteista kiinteiden laajakaistaverkkojen keskittimet (DSLAM, Digital Subscriber Line Access Multiplexer) voivat olla toimintakelvottomia joko luonnonilmiöiden, ohjelmisto- tai laitevikojen seurauksena. Tällöin kaikki laitteen takana olevat tilaajayhteydet katkeavat. CERT-FI-tapahtumailmoitukset Tammi-maaliskuussa 2013 CERT-FI:lle toimitettiin yhteensä kahdeksan ilmoitusta teleyrityksiin kohdistuneista tietoturvaloukkauksista, joista seitsemän luokiteltiin sähköisen viestinnän tietosuojalain (SVTsL) 21 :n mukaisiksi ja siten aiheellisiksi tapahtumailmoituksiksi. Pääosin CERT-FI:n tapahtumailmoitukset koskivat tietomurtoja, yksittäisiä ilmoituksia toimitettiin myös ohjelmistohaavoittuvuuksista. Suurin osa tapauksista oli havaittu ajoissa, siksi tietoturvaloukkausten haittavaikutukset jäivät pieniksi. Haavoittuvien tietojärjestelmien lisäksi uhkaaviin tilanteisiin ajauduttiin myös inhimillisten virheiden kuten järjestelmien väärinkytkentöjen vuoksi. Kooste vuoden 2012 tietoturvapoikkeamista Teleyritykset raportoivat vuonna 2012 Viestintävirastolle 40 tietoturvaloukkausta tai tietoonsa saamaa tietoturvauhkaa, jotka ylittivät ilmoituskynnyksen. Vuoden aikana merkittävimpiä tietoturvaloukkauksia olivat teleoperaattorin toimitiloihin tehty murto, teleoperaattorin nimipalvelimiin kohdistunut tietomurto sekä operaattorin hallintaverkossa paljastunut haittaohjelmatartunta. Merkittävää oli myös palvelunestohyökkäysten kohdistuminen useisiin mediataloihin sekä tapaukset, joissa DNS-palvelimia käytettiin hyökkäystehon vahvistukseen. Myös VoIP-vaihteisiin kohdistuneet tietomurrot jatkuivat vuoden aikana ja aiheuttivat taloudellista vahinkoa tilaaja-asiakkaille ja teleyrityksille. Viestintävirasto julkaisi kaksi ohjetta VoIP-palvelujen tietoturvalliseen käyttöön. Viime vuosina yleistyneet haktivistityyppiset palvelunestohyökkäykset eli kansalaistottelemattomuuden ilmaiseminen tietoliikenteen ja tietojärjestelmien häirinnän keinoin näkyivät teleyritysten omissa ja ennen kaikkea asiakkaiden järjestelmissä. Tietoturvakatsaus 1/