#kybersää marraskuu 2017 #kybersää kertoo kuukauden merkittävistä tietoturvapoikkeamista ja -ilmiöistä. Tarkoituksena on antaa lukijalle nopea kokonaiskuva siitä, mitä kyberturvallisuuskentällä on kauden aikana tapahtunut. Tilanne voi olla: rauhallinen huolestuttava vakava
#kybersää 11/2017 Palvelunestot Suomessa muutamia tapauksia, joissa palvelunestoilla uhkailtiin. Muuten melko rauhallista. Vakoilu NCSC-UK julkaisi raportin, jossa kerrotaan Turlaryhmän käyttämistä haittaohjelmatyökaluista. Wikileaks julkaisi lisää tietoa CIA:n käyttämistä haittaohjelmista. Haittaohjelmat & haavoittuvuudet Microsoft Office Equation Editor -apuohjelmasta on korjattu kriittinen haavoittuvuus, jonka avulla verkkorikollinen voi ujuttaa omaa koodiaan uhrinsa koneelle Office-tiedoston avaamisen yhteydessä. Verkkojen toimivuus Puhelut, internet ja muut viestintäpalvelut ovat toimineet suhteellisen hyvin. Marraskuussa 10 merkittävää häiriötä; edellisen vuoden keskiarvo oli noin 15. Huijaukset & kalastelut Eri tuotemerkkien nimissä kalastellaan pankkitunnuksia ja maksukorttitietoja. Toimitusjohtajahuijaukset yhä yleisiä. Rikolliset kalastelleet Office 365 tunnuksia, joita käyttävät mm. laskutushuijauksiin. IoT ENISAn raportti "Minimum security recommendations for IoT" - Hyvää luettavaa niin valmistajille kuin käyttäjillekin. Yhdysvaltain DHS:n asiantuntijat murtautuivat radioteitse Boeing 757 -lentokoneeseen.
Marraskuussa 2017 satoi ja paistoi Palvelunestohyökkäyksiä ei juurikaan nähty muutamaa uhkausta lukuunottamatta. Puhelut ja internet toimivat tavalliseen tapaan. Kun ENISA julkaisi raportin IoT:n parhaista käytännöistä, esineiden internetkin sai aurinkoa. Sen sijaan Microsoftin ja Applen tuotteiden vakavat haavoittuvuudet synkensivät kyberkelejä. Myös erilaiset tuotemerkkihuijaukset ja varastettujen Office 365 tunnusten hyödyntäminen mm. laskutushuijauksissa vähensivät poutapäiviä.
Palvelunestot
Palvelunestohyökkäystilastot Palvelunestohyökkäysten kuvaajat kerätään suoraan teleyrityksiltä, koska Viestintävirastoon ilmoitetaan vain murto-osa tapahtuneista palvelunestohyökkäyksistä.» Tilastoja kannattaa hyödyntää riskienhallinnassa. Lyhyet alle 15 min hyökkäykset ovat yleisimpiä (72 %), ja niitä on tuhansia vuodessa.» Booter- ja stresser-palveluiden ilmaishyökkäykset todennäköisin syy.» Onko teidän organisaatiossanne palveluita, jotka eivät saisi kaatua tai olla alhaalla edes lyhyitä aikoja? 60 % kaikista hyökkäyksistä ovat yli 1 Gbit/s. Viikoittain havaitaan myös yli 10 Gbit/s hyökkäyksiä Suomessa.» Kestääkö organisaationne infrastruktuuri volyymiltään yli 1 Gbt/s palvelunestohyökkäyksen? Suomeen kohdistuneiden palvelunestohyökkäysten volyymit ja kestot 2017/Q3. Keräämme tilaston suoraan teleyrityksiltä. Lähde: Telia. Seuraava tilasto: tammikuussa 2018
Palvelunestohyökkäykset ja niillä uhkailu Ahvenanmaata syys- ja lokakuussa piinanneet hyökkäykset ovat rauhoittuneet. Osa julkishallintoa kärsi marraskuussa palvelunestohyökkäyksistä, mutta näillä ei ollut vaikutuksia hallinnon palveluihin. Suomessa uhkailtiin palvelunestohyökkäyksillä Fancy Bearin ja Armada Collectiven nimissä. Uhkailujen yhteydessä tehtiin pieniä näytehyökkäyksiä, mutta varsinaista uhkausta ei toteutettu vaikka kiristysmaksun jätti maksamatta. Euroopassa on nähty isojakin hyökkäyksiä uhkailujen yhteydessä (volyymit n. 30 Gbit/s) Helsingin käräjäoikeudessa käsiteltiin mm. palvelunestohyökkäyksiä pankkeja ja Viestintävirastoa vastaan vuosina 2013-2015. Toinen miehistä tuomittiin vuoden ja 4 kuukauden pituiseen ehdolliseen vankeusrangaistukseen sekä maksamaan asianomistajille yhteensä 26 000 euron kustannukset. Toinen mies sai kolmen kuukauden ehdollisen vankeusrangaistuksen. Tuomiot eivät kirjoitushetkellä ole vielä lainvoimaisia. Suurimpia Suomessa lähiaikoina havaittuja palvelunestohyökkäyksiä: 2017/Q4: n. 57 Gbit/s (kesto alle 10 min) Hyökkäys jatkui 20 Gbit/s volyymillä n. 2 tuntia 2016: n. 280 Gbit/s (kesto 42 min)
Haittaohjelmat & haavoittuvuudet
Tietoturvapoikkeamat suomalaisissa verkoissa 2016 Havainnot 82 071 kpl Alankomaat 0,55 % Tanska 0,37 % Puola 0,77 % Saksa 0,43 % Norja 0,35 % Ruotsi 0,35 % Suomi 0,29 % Viro 0,92 % Liettua 1,30 % Latvia 1,30 % 2017 Havainnot tammimarraskuu 87 250 kpl Valko-Venäjä 2,31 % Venäjä 1,48 % Havaintojen määrä on keskimäärin vuoden 2015 tasolla. Mirai-botin leviäminen marrasjoulukuussa 2016 nosti lukemaa selvästi.
Haittaohjelmat ja haavoittuvuudet MacOS High Sierra käyttöjärjestelmän haavoittuvuus: käyttövaltuuksia on mahdollista korottaa suoraan koneelta ja tietyissä tapauksissa myös etänä. Microsoft Office toimisto-ohjelmiston Equation Editor -apuohjelmasta on korjattu kriittinen haavoittuvuus, jonka avulla hyökkääjä voi suorittaa omaa ohjelmakoodiaan kohteenaan olevalla koneella Officetiedoston avaamisen yhteydessä.» Haavoittuvuutta on jo käytetty hyökkäyksissä, mutta se on paikattu Microsoftin marraskuun päivityspaketissa. Haittaohjelmien levitys Microsoftin Office-ohjelmistojen ja sähköpostin DDE-toimintoa hyödyntämällä jatkuu. Aiemmin sama tehtiin makroilla.
Huijaukset & kalastelut
Huijaukset marraskuussa Kalasteltuja Office 365-tunnuksia on käytetty rikoksiin ja niiden valmisteluun» Tunnukset päätyvät rikollisten haltuun tietojenkalastelulla.» Tunnusten avulla rikollinen asentaa uhrinsa sähköpostiin uudelleenlähetyssäännön, jonka kautta saatuja tietoja hän voi käyttää esimerkiksi laskutushuijauksissa seuraavasti: 1. Yritys lähettää asiakkaalle laskun sähköpostiin. 2. Rikollinen seuraa laskuttavan yrityksen sähköpostia ja näkee laskuliikenteen. 3. Rikollinen lähettää saman laskun muutettuna omille tilitiedoilleen ja pahoittelee aiempaa virhettä. Vilpilliset verkkokaupat harhauttavat kuluttajia» Edes ylätason verkkotunnus ".fi" ei ole kotimaisuuden tai luotettavuuden tae. Huijausviestejä ja linkkejä tilausansoihin levitetty tekstiviesteitse Tietoja yritetään kalastella tunnettujen pankkien nimissä» Nordea, Danske Bank, OP ja S-pankki ovat edelleen yleisiä teemoja.» Myös Apple ID - ja PayPal-tunnuksia yritetään kalastella. Toimitusjohtajahuijaukset ovat edelleen yleisiä Tilausansat käyttivät luvatta tunnettuja tuotemerkkejä, esimerkiksi Prismaa, Giganttia, Netflixiä, HBO:ta, Postia ja Finnairia
Huijausyritykset 2017/06-11 90 80 70 60 50 Toimitusjohtajahuijaus Tilausansa Kalastelu 40 30 20 10 0 kesä heinä elo syys loka marras
Vakoilu
Verkkovakoilutilanteessa ajankohtaista Turla Iso-Britannian kyberturvallisuuskeskus NCSC-UK julkaisi kattavan teknisen raportin Turla-ryhmän käyttämistä työkaluista. NCSC-UK - Syyttää Venäjää kyberhyökkäyksistä. - Kehottaa kriittistä infrastruktuuria olemaan käyttämättä venäläisiä ohjelmistoja Vault 8 Wikileaks julkaisi lisää CIA:n käyttämiä kybervakoilutyökaluja. Tällä kertaa julkaistiin myös ohjemistojen lähdekoodeja. Viro Viro pidätti venäläisen miehen epäiltynä Viron valtionhallintoa vastaan suunnatun kyberhyökkäyksen valmistelusta.
Havainnointi- ja varoitusjärjestelmän (HAVARO) havainnot Vuosi 2016 Vuosi 2017 (tammi-marraskuu) Vakavuus Lukumäärä Punainen 395 Keltainen 3 541 Vihreä 22 281 Yhteensä 26 217 Vakavuus Lukumäärä Punainen 563 Keltainen 1069 Vihreä 61797 Yhteensä 63429 Syyskuussa verkkoja skannattiin erittäin aktiivisesti.
Verkkojen toimivuus
Viestintäverkkojen toimivuus Vuosi 2016 A-luokka: 20 kpl B-luokka: 24 kpl C-luokka: 107 kpl Kaikki häiriöt: 225 083 kpl Vuosi 2017 (tammi marraskuu) A-luokka: 8 kpl B-luokka: 17 kpl C-luokka: 51 kpl Kaikki häiriöt: 345 787 (Q1 Q3) Teleyritysten ilmoittamat merkittävien häiriöiden määrät ovat selvästi pienemmät kuin vuonna 2016. Pienten häiriöiden määrä sen sijaan on lisääntynyt huomattavasti.
Viestintäverkkojen toimivuus 180 160 140 120 100 80 60 40 20 0 155 128 117 107 107 97 42 43 46 42 51 33 26 18 17 20 24 13 14 17 8 2011 2012 2013 2014 2015 2016 2017 Satojatuhansia käyttäjiä (A) Kymmeniätuhansia käyttäjiä (B) Tuhansia käyttäjiä (C) Tässä tilastossa on esitetty ainoastaan A-, B- ja C-vakavuusluokan toimivuushäiriöt. Niitä on vuosittain 150 200. Pienempiä toimivuushäiriöitä teleyritykset korjaavat satoja päivittäin. Kaikkien häiriötilanteiden määrä on 200 000 350 000 vuodessa.
IoT
Esineiden internetin (IoT) marraskuun yhteenveto EU:n verkko- ja tietoturvavirasto ENISA:n asiantuntijaryhmä julkaisi IoT-laitteiden tietoturvaraportin, joka sisältää ehdotuksen laitteiden tietoturvan vähimmäisvaatimuksista. Raportti ei ole velvoittava, mutta se kuvaa hyvin IoT-maailman tämänhetkisiä ongelmia. https://www.enisa.europa.eu/news/enisa-news/definingand-securing-the-internet-of-things Yhdysvaltain kotimaan turvallisuuden virasto DHS:n asiantuntijat tekivät hallitun kokeen murtautua lentokentällä olevan Boeing 757 -lentokoneen tietojärjestelmiin radioteitse ja onnistuivat. Murtautuminen vaati ilmeisesti paljon aikaa, välineitä ja taitoa. Yksityiskohdat murtautumiskeinoista ovat salassa pidettäviä. https://www.bleepingcomputer.com/news/security/dhsteam-hacks-a-boeing-757/
Tietoturva-alan kehitys
Ajankohtaiset lakiasiat NIS-direktiivin täytäntöönpanon valmistelu jatkuu kotimaassa ja EU:ssa» HE laeiksi Euroopan Unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta (LVM/1616/03/2016) oli kuulemisella 20.10.2017 asti» EU:n komissio valmistelee täytäntöönpanoasetusta digitaalisten palveluiden tietoturva- ja ilmoitusvaatimuksista» Jäsenvaltioiden yhteistyötä kehitetään muun muassa CSIRT-verkostossa Tunnistus- ja luottamuspalvelulain (617/2009) vahvan sähköisen tunnistuspalvelun tarjoajia koskeva luottamusverkostosääntely tuli voimaan 1.5.2017» Lainmukaisen luottamusverkoston toimeenpano jatkuu» Tunnistuslakiin ehdotetut muutokset tulevat voimaan 15.12.2017 Ensitunnistamisen ketjuttamiselle enimmäishinnan asettaminen ja käytettävä menetelmä enimmäishinnan asettamiseksi Korjaus valvontamaksusäännökseen» Ensitunnistamisen ketjuttamisen enimmäishinnan asettamisen valmistelut aloitetaan 15.12.2017 jälkeen
Kyberasioihin liittyvää uutisointia maailmalta Tietoturva huolestuttaa laivojen konttien lastaussuunnitelmissa. Koska viestejä ei ole autentikoitu, lastattavan rahdin manipuloiminen on mahdollista esimerkiksi terroristisessa tai salakuljetustarkoituksessa. OVH-palveluntarjoajalla oli suurhäiriö Ranskassa 9.11.2017. 3 miljoonaa www-sivustoa oli tavoittamattomissa.
www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi