TIETOTURVAKATSAUS

Transkriptio

1 TIETOTURVAKATSAUS

2 CERT-FI tietoturvakatsaus 3/2008 Internetin nimipalvelua koskeva haavoittuvuus julkaistiin kesällä. Korjaamattomana haavoittuvuus mahdollistaa käyttäjän harhauttamisen tai sähköpostin ohjaamisen väärään osoitteeseen syöttämällä väärennettyjä tietoja nimenselvitysvälimuistiin (cache). CERT-FI julkaisi haavoittuvuuden johdosta kuluvan vuoden ensimmäisen varoituksen. Haavoittuvuus sai runsaasti julkisuutta tietoturvafoorumeilla, ja ohjelmistot päivitettiin turvallisempiin versioihin nopeasti. Näin ollen tätä ns. DNS cache poisoning -haavoittuvuutta ei ehditty käyttää laajamittaisesti hyväksi. Useiden suomalaisten www-palvelinten sisältöä on luvattomasti muokattu käyttämällä hyväksi palvelinohjelmistojen haavoittuvuuksia. Murrettujen palvelinten sisältämiä www-sivuja on töhritty tai niiden kautta on jaettu haitallista sisältöä. Haitallista sisältöä tarjoavien operaattorien käyttämissä verkko-osoitteissa on tapahtunut muutoksia. Eräät yhdysvaltalaiset internetoperaattorit ovat kieltäytyneet tarjoamasta yhteyksiä pahamaineisimmille yrittäjille. Nimipalvelun haavoittuvuus mahdollistaa käyttäjän harhauttamisen tai sähköpostin kaappaamisen Internetin nimipalvelu on hajautettu tietokanta, jonka avulla muunnetaan palvelinten nimet ja verkkotunnukset numeerisiksi ip-osoitteiksi yhteyden muodostamista varten. Myös sähköpostin välitys tapahtuu nimipalvelimilta löytyvien tietojen perusteella. Nimipalvelusta käytetään myös lyhennettä DNS (domain name service). Yksittäisen DNS-tietueen tai kokonaisten verkkotunnusten tietojen väärentäminen antaisi mahdollisuuden käyttäjän harhauttamiseen, sähköpostiliikenteen kaappaamiseen tai haitallisen sisällön syöttämiseen loppukäyttäjien tietokoneille. IP-osoitteen kertovan ns. A-tietueen väärentäminen mahdollistaisi esimerkiksi suositulle www-sivustolle suuntautuvan liikenteen ohjaamisen huijarin haluamaan osoitteeseen. Huijarin hallitsemalta palvelimelta tarjottava 1 sisältö voisi olla esimerkiksi selaimen haavoittuvuutta hyödyntävä tai ohjelmistopäivitykseksi naamioitu haittaohjelma, käyttäjätietoja urkkiva sivusto tai sovellusistunnon kaappaava välityspalvelin. Sähköpostin ohjauksessa käytettävien MXtietueiden väärentämisellä voitaisiin harhauttaa kohteena olevan yrityksen osoitteisiin matkalla olevat sähköpostiviestit huijarin hallussa olevalle palvelimelle. Verkkotunnuksen viralliset nimipalvelimet listaavien NS-tietueiden väärentämisellä taas voitaisiin ohjata kaikki tiettyä verkkotunnusta koskevat nimipalvelukyselyt huijarin hallussa olevalle palvelimelle, jolloin hän käytännössä olisi kaapannut koko verkkotunnuksen tiedot haltuunsa. DNS cache poisoning on väärennettyjen tietojen syöttämistä nimipalveluohjelmistojen välimuistiin Kesällä julkaistiin tietoja nimipalvelujärjestelmän eri osien toteutukseen liittyvistä haavoittuvuuksista, jotka saattavat altistaa resolverinimipalvelinten, välityspalvelinkomponenttien sekä asiakasohjelmistojen käyttämän nimenselvitysvälimuistin (cache) oikeudettomalle, ulkopuolisen tahon suorittamalle muokkaukselle. Hyökkäystekniikasta käytetään yleisnimeä "DNS cache poisoning". Julkaistu haavoittuvuus ja sen hyväksikäyttöohjeet mahdollistavat aiemmin tuntemattoman tavan toteuttaa em. hyökkäys. Haavoittuvuus liittyy siihen, kuinka nimipalvelukyselyihin liittyvät vastaukset tunnistetaan. Hyökkääjänä toimiva kolmas osapuoli pyrkii arvaamaan vastaukseen liittyvän tunnisteen ja siten syöttämään kysyvälle järjestelmälle haluamansa tiedot. Haavoittuvissa ohjelmistoissa tunnisteet eivät ole olleet riittävän satunnaisia, joten niiden arvaaminen ja siten vastausten väärentäminen on ollut mahdollista. Arvaamalla oikein hyökkääjä voi syöttää hyökkäyksen kohteena olevan järjestelmän välimuistiin haluamansa nimipalvelutietueen, jolloin sitä kysyvät järjestelmät saavat jatkossa vastaukseksi väärennetyn tiedon. Hyökkäyksen piirissä ovat vain ne käyttäjät ja tietojärjestelmät, jotka ovat myrkytetyn nimipalvelun välittömässä vaikutuspiirissä, eli tekevät rekursiivisia kyselyitä väärennettyä tietoa sisältävältä nimipalvelimelta. Esimerkiksi jos laajakaistaoperaattorin käyttämät nimipal-

3 velimet olisivat hyökkäyksen kohteena, sen vaikutukset kohdistuisivat kaikkiin kyseisen operaattorin laajakaista-asiakkaisiin. Vastaavasti yrityksen sisäverkossa oleva nimipalvelin jakaisi virheellisiä tietoja sitä käyttäville yrityksen työasemille. Haavoittuvuuden torjumiseksi CERT-FI suositteli ohjelmistojen päivittämistä sellaiseen versioon, jossa luvattomien nimipalveluvastausten syöttämistä on vaikeutettu kyselyihin liittyvän tunnisteen satunnaisuutta parantamalla. Lisäksi rekursiiviset nimipalvelukyselyt tulisi sallia vain niistä verkoista, joista palvelinta on tarkoitus käyttää nimenselvityksiin. Nimipalvelussa ei toistaiseksi ole laajasti käytössä varsinaista sisäänrakennettua vastausten varmennusmenetelmää, joten vastausten väärentäminen on teoriassa edelleen mahdollista. Riskiä pyritään edellä esitetyillä torjuntakeinoilla lieventämään. Yhtenä ratkaisuna on esitetty DNSSEC-järjestelmän ottamista käyttöön. Haavoittuvuudelle alttiita palvelimia etsittiin suomalaisista verkoista CERT-FI selvitti elokuun alussa, kuinka hyvin suomalaisten fi-päätteisten verkkotunnusten nimipalvelimet on suojattu. Selvityksen yhteydessä testattiin 4260 nimipalvelinta, joiden suojausta ja päivitystasoa samalla arvioitiin. Haavoittuvuutta käytettiin hyväksi Suomessa CERT-FI:n tietoon on tullut tapaus, jossa nimipalvelun haavoittuvuutta on konkreettisesti käytetty hyväksi kohdistamalla hyökkäys yrityksen sisäverkon nimipalveluun. Hyökkääjä onnistui syöttämään yrityksen sisäverkossa olleen nimipalvelimen välimuistiin uuden, pitkällä vanhenemisajalla (TTL) varustetun A-tietueen. Tietueeseen liittyvä nimitieto oli muodoltaan sellainen, että yrityksen wwwselaimet automaattisesti käyttivät sitä selaimen välimuistimääritysten asettamiseen (ns. web proxy autodiscovery). Hyökkääjän hallitsema asetuspalvelin määritti www-selaimen käyttämään hyökkääjän hallitsemaa www-välimuistipalvelinta (proxy). Näin kaikki www-selailuun liittyvä verkkoliikenne ohjattiin kulkemaan hyökkääjän määrittelemän IP-osoitteen kautta. Tässä tapauksessa IP-osoite osoitti yrityksen sisäverkossa olleeseen murrettuun wwwpalvelimeen, jonka avulla yritettiin urkkia käyttäjien Windows-käyttäjätunnuksia ja salasanoja. Tutkituista palvelimista 1180 eli 28 prosenttia todettiin puutteellisesti suojatuiksi siten, että ne tarjoavat mahdollisuuden suorittaa rekursiivisia kyselyitä mistä tahansa internetistä. Näistä palvelimista 602 todettiin vaikuttavan päivittämättömältä ja tästä syystä mahdolliselta onnistuneen hyväksikäytön kohteelta. Fiverkkotunnuksen juuripalvelimet suojattiin heti, kun korjaavat ohjelmistopäivitykset olivat saatavilla. Suurimpien teleyritysten palvelimet suojattiin niin ikään nopeasti Q4 Q3 Q2 Q1 CERT-FI lähestyi haavoittuvien palvelinten omistajia infokirjeellä. Kirjeessä kehotettiin ylläpitäjiä asentamaan palvelimiinsa uusimmat tietoturvapäivitykset ja harkitsemaan, onko verkkotunnuksen autoritatiiviseksi (ensisijaiseksi) nimipalvelimeksi määritellyn palvelimen ensinkään syytä sallia rekursiivisia kyselyjä. Kaksi viikkoa infokirjeiden lähettämisen jälkeen sama tutkimus toistettiin. Infokirjeiden todettiin vaikuttaneen haavoittuvien palvelimien kokonaismäärään hieman, mutta haavoittuvalta vaikuttavia palvelimia löytyi vielä CERT-FI:n tapahtumanhallintajärjestelmään on kirjattu kuluvan vuoden syyskuun loppuun mennessä hieman enemmän tapauksia kuin edellisvuonna yhteensä. 2

4 Hyökkäyksiä www-sivustoille WWW-palvelinten toteutuksista löytyneitä haavoittuvuuksia on edelleen käytetty hyväksi. Vain pieni osa CERT-FI:n tietoon tulleista murretuista palvelimista on sijainnut Suomessa. Kuluvan vuoden keväällä havaittiin laajassa mittakaavassa uusi ilmiö, jossa SQL injection -hyökkäyksille haavoittuvia verkkosivustoja käytetään haittaohjelmien levittämiseen. Ilmiö jatkui kesällä. Myös suomalaisia haavoittuvia sivustoja on ajoittain valjastettu väärinkäytöksiin. SQL injection -haavoittuvuus johtuu siitä, ettei verkkosivuston syötteentarkistusta ja taustajärjestelmän tietokannan suojaamista tehdä riittävän huolellisesti. Tällöin haavoittuvalle sivustolle tai sen käyttämään tietokantaan voi olla mahdollista tallettaa haluamaansa sisältöä syöttämällä taustajärjestelmän tietokannalle sopiva SQL-lause www-sivuston kautta. Haavoittuvan sivuston taustalla olevasta tietokannasta voi myös olla mahdollista saada haltuunsa luottamuksellisia tietoja. Myös Remote File Inclusion -hyökkäyksiä on tavattu säännöllisesti. Hyökkäykset mahdollistaa virhe PHP-ohjelmointikielellä toteutettujen web-sovellusten konfiguroimisessa, jolloin hyökkääjän on mahdollista lisätä palvelimen suoritettavaksi omaa ohjelmakoodiaan. Hyökkäyksissä on käytetty useita valmiita haittaohjelmapaketteja, joiden avulla voi muun muassa lähettää roskapostia. Suosituista web-sisällön hallintaan sekä keskustelufoorumien ja blogien ylläpitoon käytetyistä ohjelmistoista löytyneiden haavoittuvuuksien avulla hyökkääjä voi joissain tapauksissa asettaa uudelleen tai saada selville websovelluksen hallintaan käytetyn tunnuksen salasanan. Tämä antaa hyökkääjälle mahdollisuuden lisätä haavoittuvaa sovellusalustaa käyttävälle web-sivustolle valitsemaansa sisältöä. Haavoittuvuuksia on käytetty hyväksi myös suomalaisia web-palvelimia vastaan tehdyissä hyökkäyksissä, joissa palvelimia on valjastettu muun muassa phishing-sivustojen alustoiksi. Suomalainen palvelin jakoi toistuvasti haittaohjelmia CERT-FI:n tietoon on tullut suomalainen wwwpalvelin, jota käytettiin toistuvasti haittaohjelmien jakamiseen. Palvelimella olleiden haavoittuvuuksien vuoksi palvelimelle saatiin jatkuvasti lisättyä uusia haitallisia ohjelmistoja, 3 vaikka niitä aika ajoin myös poistettiin. Tutkimukset palvelimen ylläpitäjän roolista tapauksessa ovat kesken. Haittaohjelmat voivat esiintyä myös tietoturvaohjelmistoina Viime aikoina useat haittaohjelmat ovat yrittäneet saada käyttäjät asentamaan itsensä naamioitumalla virustorjuntaohjelmistoiksi. Haittaohjelmien web-sivut on rakennettu muistuttamaan virustorjuntayhtiön myyntisivuja, joissa tarjotaan kaupallisen version lisäksi myös ilmaisversiota. Osalle näistä sivustoista löytää vain hakukoneen kautta. Haittaohjelman levittäminen houkuttelemalla käyttäjä asentamaan se itse saattaa olla tehokkaampaa kuin ohjelmistohaavoittuvuuksien käyttäminen haittaohjelman tartuttamiskeinona. Georgian konfliktilla ei ollut vaikutuksia suomalaisten verkkojen toimivuuteen Georgiassa tapahtuneeseen aseelliseen konfliktiin liittyi myös tietoverkoissa tapahtuvaa aktivismia ja verkkohyökkäyksiä. Hyökkäykset kohdistuivat muun muassa uutissivustoihin. Hyökkäyksillä ei ollut välittömiä vaikutuksia suomalaisten verkkojen toimivuuteen tai turvallisuuteen. Haitallisen verkkoliikenteen keskittymiin muutoksia Internetverkossa esiintyvät haitalliset ilmiöt, kuten haittaohjelmien levitys, tietoa keräävien haittaohjelmien tiedontallennuspalvelimet ja botnet-verkkojen komentopalvelimet tarvitsevat palvelinresursseja toimiakseen tehokkaasti. Hosting-palveluntarjoajien joukossa on yrittäjiä, joiden käytössä olevista verkko-osoitteista tavataan keskimääräistä enemmän haitalliseksi luettavaa sisältöä tai liikennettä. Syy haitallisen sisällön keskittymiseen voi olla yrityksen välinpitämätön linja asiakkaittensa tarjoamien palvelujen laatuun. Joillekin tämä saattaa olla myös tarkoituksellisesti ylläpidetty kilpailuetu. Eräs usein esiin tullut palveluntarjoaja oli San Franciscossa toiminut Intercage, jonka hallitsemat verkkolohkot ovat tulleet usein esiin haittaohjelmatapausten yhteydessä. Sen asiakkaana on ollut Estdomains-niminen verkko-

5 tunnusten tarjoaja, joka liittyy moneen haitallisessa käytössä olleeseen verkkotunnukseen. Tietoturvayhteisön painostuksen vuoksi Intercagelle verkkoyhteyksiä tarjonneet operaattorit katkaisivat sen yhteydet syyskuun lopussa. Estdomains jatkaa toimintaansa käyttäen muiden palveluntarjoajien yhteyksiä. Osa Intercagen käyttämistä verkko-osoitteista on siirtynyt toisille palveluntarjoajille. Aikaisemmin on ollut esillä myös pietarilaisen Russian Business Network -palveluntarjoajan toiminta. RBN poistui verkosta marraskuussa Intercagen ja RBN:n tyyppisiä palveluntarjoajia on kuitenkin tälläkin hetkellä toiminnassa useita. Lisää mahdollisesti laajavaikutteisia haavoittuvuuksia julkaistaan lähiaikoina Viime aikoina on saanut paljon julkisuutta mahdollinen TCP-protokollatoteutusten haavoittuvuus, joka julkisuudessa esiintyneiden tietojen mukaan mahdollistaisi palvelunestohyökkäyksen pienilläkin liikennemäärillä. CERT-FI koordinoi haavoittuvuuden vaikutusten arviointia, mahdollisia korjaustoimia ja julkaisua yhdessä ohjelmistovalmistajien ja haavoittuvuuden löytäjän kanssa. Lisätietoja haavoittuvuudesta julkaistaan vastuullisen haavoittuvuusjulkaisuprosessin periaatteiden mukaisesti. Tietyt palveluntarjoajat ovat niin keskittyneitä haitallisen sisällön tarjoamiseen, että jos suomalaisista verkoista suuntautuu liikennettä niiden käyttämiin osoitteisiin, on perusteltua epäillä haittaohjelmatartuntaa liikennöivässä työasemassa. Vastaavia haitallisten palveluiden keskittymiä ei ole havaittu Suomesta eikä muista pohjoismaista. CERT-FI-yhteydenotot nimikkeittäin 7-9/ / /2008 Yhteensä 1-9/2007 Muutos Haastattelu % Haavoittuvuus tai uhka % Haittaohjelma % Neuvonta % Hyökkäyksen valmistelu % Tietomurto % Palvelunestohyökkäys % Muu tietoturvaongelma % Social Engineering % Yhteensä % Haavoittuvuuksista tai tietoturvauhkista tehdyt ilmoitukset ovat lisääntyneet huomattavasti edellisvuoteen verrattuna. Ilmoitusten lukumäärän kasvuun vaikuttavat erityisesti aktiivisesti etsityt wwwsivustojen haavoittuvuudet, jotka näkyvät selvästi myös toteutuneiksi ilmoitettujen tietomurtojen luvussa. 4