TIETOTURVAKATSAUS 2/2011

Transkriptio

1 TIETOTURVAKATSAUS 2/

2 CERT-FI:n tietoturvakatsaus 2/2011 Johdanto Kuudennessa CERT-FI:n järjestämässä haavoittuvuustutkijoiden tapaamisessa kokoontuivat suomalaiset ohjelmistohaavoittuvuuksien tutkijat yliopistoista, valtionhallinnosta ja alan yrityksistä. Tietomurrot ja niiden tekijöiksi ilmoittautuneet ryhmittymät ovat saaneet paljon julkisuutta kevään aikana. Tietoturvaloukkauksia tehdään usein järjestelmällisesti ja ne kohdistetaan tiettyihin yrityksiin tai organisaatioihin. Motiivina voi olla julkisuuden tavoittelu tai esimerkiksi poliittiset tavoitteet. Huhtikuussa Sonyn eri palveluihin kohdistuneissa tietomurroissa vietiin yhteensä yli sadan miljoonan käyttäjän tiedot. Tietomurroista koitui yhtiölle sen oman ilmoituksen mukaan 170 miljoonan dollarin vahingot. Sony PlayStation Network- ja Sony Online Entertainment -palvelut olivat tietomurtojen vuoksi pitkään suljettuna. Tietoturvayhtiö RSA havaitsi maaliskuussa joutuneensa tietomurron kohteeksi. Tietomurrossa RSA:lta varastettiin tietoja, jotka vaikuttivat RSA SecurID-tuotteilla suojattujen järjestelmien tietoturvallisuuteen. RSA on ilmoittanut vaihtavansa kaikki ennen tietomurtoa käyttöön otetut avainlukugeneraattorit uusiin. Juhannuksen jälkeen CERT-FI:n tietoon tuli internetissä julkaistu lista yli kuudesta tuhannesta suomalaisen käyttäjän sähköpostiosoitteesta ja salasanasta, jotka ovat peräisin yli vuosi sitten tapahtuneen alypaa.com -pelisivustoon kohdistuneesta tietomurrosta. Viestintäviraston, huoltovarmuuskeskuksen ja liikenne- ja viestintäministeriön järjestämässä tietoturvaseminaarissa esiteltiin käytännössä menetelmä, jonka avulla voidaan purkaa GSM-verkon matkapuhelujen salaus. Havainnot myös muihin kuin Microsoft Windows -käyttöjärjestelmiä käyttäviin tietokoneisiin tarkoitetuista haittaohjelmista yleistyvät. Mac-tietokoneisiin on levinnyt MacDefender -niminen virustorjuntaohjelmistoksi naamioitunut haittaohjelma. 2

3 Tietomurtoja Sonyn palveluihin Ennen pääsiäistä Sony PlayStation Network -palveluun tehtiin tietomurto, jonka yhteydessä varastettiin 77 miljoonan PSN-pelipalvelun käyttäjän tietoja. Samoihin aikoihin murtauduttiin myös Sony Online Entertainment -verkkopelipalveluun, mikä johti 24 miljoonan käyttäjätunnuksen tietojen joutumiseen murtautujien käsiin. Yhteensä Sonyyn kohdistuneissa tietomurroissa vietiin yli sadan miljoonan käyttäjän tiedot, mikä tekee sitä varastettujen käyttäjätietojen määrän perusteella tähän saakka suurimman tiedossa olevan tietomurtotapauksen. Pelipalvelu suljettuna yli kolme viikkoa Sony sulki suositun PlayStation Network -palvelunsa havaittuaan, että Sonyn San Diegossa sijaitsevaan palvelinkeskukseen oli tehty tietomurto. Murto on tapahtunut todennäköisesti ja välisenä aikana. Sony kertoi sulkemisen syistä ja yksityiskohdista julkaisemassaan tiedotteessa. Sonyn mukaan tietomurron paljastamien puutteiden korjaaminen edellytti koko palvelun rakentamista uudelleen. Palvelun käyttäjille julkaistiin uusi tiedote, jossa kerrottiin tietomurron yhteydessä varastetuista tiedoista. Sonyn mukaan murtautujien haltuun olivat joutuneet käyttäjien nimen, syntymäajan, osoitetietojen ja sähköpostiosoitteiden lisäksi muun muassa käyttäjätunnukset ja salasanat. Sonyn julkaiseman tiedotteen mukaan ei ole näyttöä siitä, että luottokorttitietoja olisi anastettu. Lisäksi kerrottiin, että luottokorttitietoja säilytettiin palvelussa salatussa muodossa ja että käyttäjien salasanoista oli tallennettu vain niiden tiivisteet. On kuitenkin huomattava, että varsinkin heikot salasanat on melko helppo murtaa tiivisteen perusteella. Sony vahvisti myös, että FBI on mukana tapauksen tutkinnassa. Palvelussa paljon suomalaisia käyttäjiä Suomalaisia käyttäjiä Playstation Network -palvelussa on Sonyn mukaan noin CERT-FI julkaisi tietomurtojen johdosta varoituksen 1/ Playstation Network -palvelu avattiin Suomessa uudelleen toukokuun puolessa välissä. Samalla julkaistiin pakollinen ohjelmistopäivitys PlayStation 3 -pelikonsoleihin ja pakotettiin käyttäjät vaihtamaan salasanansa. Myös Sony Online Entertainment -palvelun käyttäjien tietoja varastettiin Toukokuun alussa Sony kertoi, että huhtikuisen palvelinkeskuksen tietomurron yhteydessä oli varastettu myös yli 24 miljoonan Sony Online Entertainment -verkkopelipalvelun käyttäjän tiedot. Tämän johdosta myös SOE-palvelu jouduttiin sulkemaan ja rakentamaan uudestaan. Palvelusta vietiin samoja tietoja kuin PlayStation Network -palvelustakin eli käyttäjään liittyviä henkilötietoja, käyttäjätunnuksia ja salasatiivisteitä. Lisäksi tietomurrossa varastettiin eurooppalaisen käyttäjän luottokorttitiedot vuodelta 2007 sekä käyttäjän suoralaskutustiedot. Palvelu palautettiin käyttöön Lähes 20 tietomurtoa Sonyn muihin sivustoihin Tietomurtojen saaman julkisuuden takia myös lukuisat muut Sonyn verkkopalvelut ja www-sivustot joutuivat erilaisten hyökkäysten kohteeksi. Näistä lähes 20 oli onnistuneita tietomurtoja, joissa onnistuttiin anastamaan käyttäjien tietoja. Näistä pahin tietovuoto seurasi Sony Pictures -palveluun kohdistuneesta hyökkäyksestä, jossa onnistuttiin anastamaan miljoonan käyttäjän selväkieliset salasanat. Suuret tappiot palvelujen ylläpitäjälle Sonyn oman ilmoituksen mukaan tietomurroista on koitunut yhteensä 170 miljoonan dollarin tappiot. Tappiot koostuvat tietomurtojen selvittämisen ja palve

4 lujen uudelleen rakentamisen kustannuksista sekä palvelukatkoista aiheutuneista tulonmenetyksistä. Sonyn tietoturvaa arvosteltu Onnistuneet tietomurrot ovat saaneet monet arvostelemaan Sonyn palvelujen toteutusta. Suuren maailmanlaajuisen teknologiayrityksen tietoturvakäytäntöjä on moitittu heikoiksi. Arvostelijoiden mukaan useimmat hyökkäyksistä olisi voitu torjua toimimalla tavanomaisten tietoturvallisten käytäntöjen mukaisesti. RSA vaihtaa SecurID-avainlukugeneraattorit uusiin Tietoturvayhtiö RSA havaitsi maaliskuussa joutuneensa tietomurron kohteeksi. Tietomurrossa RSA:lta varastettiin tietoja, jotka vaikuttivat RSA SecurID-tuotteilla suojattujen järjestelmien tietoturvallisuuteen. RSA ei ole vahvistanut, että mitä SecurIDtuotteisiin liittyviä tietoja varkaat ovat onnistuneet viemään. Sivullisten käsiin on todennäköisesti joutunut tietoja, joiden avulla käyttäjän tunnistamiseen käytettävät avainlukugeneraattorit eli tokenit voi yksilöidä. Näitä tietoja voi käyttää hyväksi tietomurtoyrityksissä. Varastettuja tietoja on todennäköisesti käytetty hyväksi toukokuun lopulla tietomurrossa yhdysvaltalaisen puolustusteollisuuden yrityksen Lockheed-Martinin järjestelmiin. RSA on ilmoittanut vaihtavansa ennen päivätyt avainlukugeneraattorit uusiin. RSA on ollut suoraan yhteydessä suurimpiin asiakkaisiinsa, kuten ITpalveluntarjoajiin ja palveluintegraattoreihin avainlukugeneraattorien vaihtamiseksi. Jos avainlukugeneraattorit on hankittu suoraan RSA:lta (nykyisin osa EMC Corporationia) eikä yritykseen ole oltu yhteydessä niiden vaihtamiseksi, yrityksen tulee itse olla aktiivinen uusien tokenien saamiseksi. Murtautuakseen SecurID-laitteilla suojattuihin järjestelmiin hyökkääjän tulee tietää avainlukugeneraattorin vaihtuvan avainluvun lisäksi myös käyttäjän normaali kirjautumistunnus järjestelmään 4 sekä henkilökohtainen SecurID:hen liitetty salasana. Hyökkääjä voi saada nämä tiedot haltuunsa esimerkiksi urkintasähköposteilla tai tietoa varastavien haittaohjelmien avulla. Yritysten on edelleen syytä tarkkailla mahdollisia väärinkäytön yrityksiä RSA:n SecurID-tuotteilla tapahtuvissa tunnistautumisissa yrityksen järjestelmiin sekä kiinnitettävä erityistä huomiota tunnistautumisessa käytettävien palvelinten tietoturvaan. CERT-FI on julkaissut varoituksen 2/ RSA:n SecurID-tuotteiden heikentyneen tietoturvan vuoksi. Varoitukseen on liitetty ohjeita sekä SecurID-tuotteita käyttävien organisaatioiden IT-henkilöstölle sekä SecurID-tuotteiden loppukäyttäjille. Älypää-tietomurrossa varastettuja tietoja on käytetty hyväksi Juhannuksen jälkeen CERT-FI:n tietoon tuli internetissä julkaistu lista yli kuudesta tuhannesta suomalaisen käyttäjän sähköpostiosoitteesta ja salasanasta. Myöhemmin osoittautui, että tiedot ovat peräisin yli vuosi sitten julkaistuista listoista alypaa.com -pelisivuston käyttäjien tiedoista. CERT-FI julkaisi Älypää-palvelun tietomurron vuoksi varoituksen 01/ viime vuoden maaliskuussa. Microsoftin hotmail.com- ja live.com -palveluihin liittyviä tunnuksia ja salasanoja on käytetty luvatta hyväksi paitsi kyseisissä palveluissa myös esimerkiksi Facebookissa, jos käyttäjällä on ollut sama salasana käytössä muissakin palveluissa. CERT-FI on ollut yhteydessä Microsoftiin tapauksen johdosta. Käyttäjien tulisi salasanan vaihtamisen lisäksi huolehtia, ettei samaa salasanaa ole käytössä muissa verkkopalveluissa

5 Lisääntynyt aktivismi näkyi tietomurtoina Viime kuukausina on tapahtunut paljon erilaisia tietoturvaloukkauksia, jotka ovat saaneet myös poikkeuksellisen paljon julkisuutta. Niiden tekijät ovat myös usein ilmoittautuneet, tosin nimimerkillä tai eri ryhmittymien nimissä. Tapahtumissa on nähtävissä järjestelmällisen verkkoaktivismin piirteitä. Onnistuneiden tietomurtojen määrä ja julkisuus kertovat siitä, ettei organisaatioissa ole varauduttu riittävästi tietoturvauhkiin. Tietovarkauksia suunnitellaan ja toteutetaan järjestelmällisesti ja pitkäjänteisesti. Varsinainen tietomurto ja luvaton tunkeutuminen järjestelmään voivat tapahtua pitkiäkin aikoja ennen varastettujen tietojen julkaisemista tai hyödyntämistä. Kohteiksi valittujen palvelujen tietoturvan heikkouksia käytetään nopeasti hyväksi. Salasanoja ja muita arkaluontoisia tietoja pyritään edelleen hankkimaan myös organisaatioihin kohdistettujen hyökkäysten avulla. Tällöin lähetetään aidon näköisiä viestejä rajatulle vastaanottajajoukolle ja liitetään mukaan tietoja varastavia haittaohjelmia. Motiivit vaihtelevat Tietomurtojen motiivina näyttää olevan perinteisen taloudellisen hyödyn tavoittelun lisäksi julkisuus tai suoranainen anarkismi. Erityisesti palvelunestohyökkäyksiä organisoineen Anonymous-ryhmittymän motiivit ovat poliittisia ja liittyvät etupäässä WikiLeaks-organisaation toiminnan tukemiseen. Vajaan kahden kuukauden ajan tietomurtoja näyttävästi julkaisseen LulzSec-ryhmittymän motiivina näyttää taas olleen julkisuuden tavoittelu. Toistaiseksi suurin osa julkisuutta saaneista hyökkäyksistä on kohdistunut Suomen ulkopuolelle. Suomalaisiin organisaatioihin kohdistettuja hyökkäyksiä ja kotimaisiin palveluihin kohdistuvia palvelunestohyökkäyksiä tulee kuitenkin ilmi jatkuvasti. 5 Palvelujen toteutuksissa puutteita Monet tietomurtojen kohteista ovat olleet sellaisia, joiden olisi voinut olettaa pystyvän vastustamaan hyökkäyksiä. Suurten yritysten, virastojen ja jopa pankkien tietojärjestelmistä on pystytty varastamaan suuria määriä arkaluontoista tietoa esimerkiksi SQL injection -tyyppisten hyökkäysten avulla. Uutisista, yritysten tiedotteista ja murtautujien julkaisemista tiedoista voi päätellä, ettei tietoturvallisuutta ole aina riittävästi huomioitu järjestelmiä suunniteltaessa, toteutettaessa ja ylläpidettäessä. Palvelujen käyttäjillä on vain vähän mahdollisuuksia vaikuttaa käyttämiensä palvelujen turvallisuuteen. Valitsemalla riittävän vaikeat salasanat ja käyttämällä eri palveluissa toisistaan poikkeavia salasanoja voi pyrkiä rajoittamaan mahdollisen tietomurron vaikutuksia. GSM-verkon salauksen purkamista esiteltiin tietoturvaseminaarissa Viestintävirasto, Huoltovarmuuskeskus ja liikenne- ja viestintäministeriö järjestivät toukokuun alussa tietoturvaseminaarin, jossa esiteltiin käytännössä menetelmä, jonka avulla voidaan purkaa GSMverkoissa puhelujen suojaamiseen käytettävä A5/1-salaus. A5/1-salausmenetelmä on käytössä GSMmatkapuhelinverkoissa matkapuhelinten ja tukiasemien välisessä viestinnässä. Sen heikkoudet ovat olleet tiedossa jo useiden vuosien ajan, mutta viime aikoina julkaistujen uusien menetelmien avulla salauksen murtaminen on mahdollista paljon aikaisempaa lyhyemmässä ajassa. Salauksen purkaminen on edelleen työlästä ja vaatii GSM-verkkojen tekniikan tuntemista ja esivalmisteluja. Salakuunneltavaa kohdetta täytyy tämän lisäksi pystyä seuraamaan. Puhelujen salakuuntelulta voi suojautua määrittelemällä matkapuhelin käyttämään pelkästään 3G-verkkoa, jossa käytetään kehittyneempää salausmenetelmää. 3Gpuhelimen ja tukiaseman välisen liiken-

6 teen salakuunteleminen ei ole mahdollista viestintäviraston tiedossa olevilla menetelmillä. Tietoturvaohjelmiksi naamioituvia haittaohjelmia myös Mactietokoneissa Havainnot myös muihin kuin Microsoft Windows -käyttöjärjestelmiä käyttäviin tietokoneisiin tarkoitetuista haittaohjelmista yleistyvät. Toukokuussa levisi monien Mac OS X -käyttäjien tietokoneisiin virustorjuntaohjelmistoksi tekeytynyt MacDefender-haittaohjelma. Haittaohjelmien tekijät ovat tähän mennessä käyttäneet Windows-haittaohjelmista tuttuja keinoja käyttäjien erehdyttämiseen. Erityisesti Mac OS X -käyttöjärjestelmää varten räätälöityjä tartuntatapoja ei ole toistaiseksi esiintynyt. Kaikki Mac OS X -käyttöjärjestelmään kohdistuneet haittaohjelmat ovat olleet sellaisia, jotka pyrkivät saamaan käyttäjän asentamaan itsensä jollakin verukkeella. Haittaohjelma voi esimerkiksi ilmoittaa, että videon näyttäminen ei onnistu ilman uuden soitto-ohjelman koodekin asentamista. Itsestään leviäviä haittaohjelmia eli matoja ei Mac-tietokoneista ole vielä tavattu. Mac OS X:n mukana tulevassa virustorjuntaohjelmistossa on MacDefenderhaittaohjelman tunnistuksen lisäämisen jälkeen sormenjäljet parillekymmenelle haittaohjelmalle. On todennäköistä, että Mac OS X-käyttöjärjestelmä sisältää suunnilleen yhtä paljon hyväksikäytettäviä haavoittuvuuksia kuin muutkin käyttöjärjestelmät. Jonkin verran lisäturvaa käyttäjälle tuovat käyttöjärjestelmän ohjelmia eristävät sandbox-ominaisuudet ja se, että Mactietokoneita harvoin käytetään pääkäyttäjän oikeuksin. CERT-FI kokosi haavoittuvuustutkijat yhteen CERT-FI järjesti jo kuudennen haavoittuvuustutkijatapaamisensa. Vuodesta 2008 järjestetyt tapaamiset kokoavat yhteen suomalaisia haavoittuvuustyötä tekeviä toimijoita yliopistoilta, yrityksistä ja valtionhallinnossa. Tapaaminen järjestettiin yhteistyössä Microsoftin kanssa. Osallistujia oli yli 30, ja käsiteltävät aiheet keskittyivät IPv6- tekniikkaan ja sulautettuihin järjestelmiin. Monimutkaisia verkkohaavoittuvuuksia Stonesoft Oy:n raportoimista IDS/IPStuotteiden tarjoamien suojausten ohitusmenetelmistä julkaistiin toinen haavoittuvuustiedote. Tähän päivään mennessä vain kolme valmistajaa on antanut lausuntonsa tuotteidensa alttiudesta ohitusmenetelmille. Ciscon IOS -käyttöjärjestelmästä löydettiin haavoittuvuus RTP-protokollan toteutuksista. RTP (Real Time Protocol) on erityisesti Internet-puheluissa äänen ja kuvan välittämiseen tarkoitettu yhteyskäytäntö. Haavoittuvuus koski vain laitteita, joissa RTP-tiedon käsittelyyn käytettiin tietyn valmistajan DSP-signaalinkäsittelypiiriä. CERT-FI:n vanhoihin haavoittuvuustiedotteisiin tulee edelleen päivityksiä kun viimeisetkin valmistajat julkaisevat päivityksiään. Tulevaisuuden näkymiä Lähiaikoina on syytä seurata verkossa tapahtuvan haitallisen toiminnan mahdollisia vaikutuksia kotimaisiin palveluihin. Paljon julkisuutta saaneet tietoturvaloukkaukset voivat lisätä tietomurtojen ja palvelunestohyökkäysten yrityksiä myös Suomessa. 6

7 CERT-FI-yhteydenotot nimikkeittäin 1-6/ /2010 Muutos Haastattelu % Haavoittuvuus tai uhka % Haittaohjelma % Neuvonta % Hyökkäyksen valmistelu % Tietomurto % Palvelunestohyökkäys % Muu tietoturvaongelma % Social Engineering % Yhteensä % CERT-FI:n käsittelemien haittaohjelmailmoitusten määrä on kasvanut edellisvuodesta voimakkaasti. 7