Tietoturvakatsaus 2/2013



Samankaltaiset tiedostot
Tietoturvakatsaus 3/2013. Tietoturvakatsaus 3/2013

Tietoturvakatsaus 4/2013

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Luottamusta lisäämässä. Toimintasuunnitelma

Kyberturvallisuuskatsaus

TIETOTURVAKATSAUS 1/

Viestintäviraston tilannekuvajärjestelmät. Timo Lehtimäki Tulosalueen johtaja Internet ja tietoturva/viestintävirasto

Luottamusta lisäämässä

Varmaa ja vaivatonta viestintää kaikille Suomessa

TIETOTURVAKATSAUS 3/2009

Mobiililaitteiden tietoturva

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

TIETOTURVAKATSAUS 1/2009

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

Turvallisempaa tietokoneen ja Internetin käyttöä

Abuse-seminaari

Tietoturvakatsaus 1/

Tietokoneiden ja mobiililaitteiden suojaus

PÄIVITÄ TIETOKONEESI

Julkisen ja yksityisen sektorin yhteistyö kyberturvallisuudessa. Johtaja Kirsi Karlamaa

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Verkkohyökkäysten tilannekuva ja tulevaisuuden verkkosuojauksen haasteet Timo Lehtimäki Johtaja Viestintävirasto

Varmaa ja vaivatonta viestintää

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

Tietoyhteiskuntakaaren käsitteistöä

TIETOTURVAKATSAUS

Kyberturvallisuuskatsaus

OpenSSL Heartbleed-haavoittuvuus

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Windows XP -tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille

Loppuraportti toimivuuden häiriötilanteesta

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Kansallinen CIP-seminaari. Jani Arnell Vanhempi tietoturva-asiantuntija CERT-FI

Viestintävirasto Varmaa ja vaivatonta viestintää kaikille Suomessa

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

Kyberturvallisuuskeskuksen palvelut ja vuosittainen automaatiokartoitus RAKLI Käyttö- ja ylläpitotoimikunta. Erika Suortti-Myyry

Vuosikatsaus

TIETOTURVAKATSAUS 2/2009

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Tietoturvailmiöt 2014

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Määräyksen 11 uudistaminen

Määräykset 66 ja 67. Uudet määräykset teletoiminnan häiriötilanteista ja tietoturvasta

CERT-FI tietoturvakatsaus 2/2012

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

PÄIVITÄ TIETOKONEESI

TEEMME KYBERTURVASTA TOTTA

Kyberturvallisuus vuosi 2018, 2019 & #kybersää? VAHTI-päivä Tilannekuvapalveluiden ja yhteistyöverkostojen päällikkö Jarna Hartikainen

Tämä ohje on laadittu Mozilla Firefoxin asetuksille versiossa

Ohje tietoturvaloukkaustilanteisiin varautumisesta

Ravintola Kalatorin tietosuojaseloste

Tietokoneiden ja mobiililaitteiden tietoturva

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Ajankohtaiset kyberuhat terveydenhuollossa

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Viestintäviraston Kyberturvallisuuskeskuksen palvelut tietoturvaloukkaustilanteissa. Kauto Huopio

Kyberturvallisuus yritysten arkipäivää

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

CERT-FIajankohtaiskatsaus

10 parasta vinkkiä tietokoneongelmiin

Viestinnän tulevaisuus

TIETOPAKETTI EI -KYBERIHMISILLE

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

XEROXIN TURVATIEDOTE XRX Versio 1.0 Muutettu viimeksi: 10/08/05

Live demo miten tietomurto toteutetaan?

Liittymän vikadiagnosointi

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Kyberturvallisuuden implementointi

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Flash-haittaohjelmat

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Hosting-palveluiden tietoturvahaasteet. Antti Kiuru CERT-FI

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Tietoturvavinkkejä pilvitallennuspalveluiden

VUOSIKATSAUS

1. päivä ip Windows 2003 Server ja vista (toteutus)

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

TEEMME KYBERTURVASTA TOTTA

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Asiakkailta saatavan tiedon hyödyntäminen Viestintävirastossa. Saara Punkka Tieto-ryhmän päällikkö

Tiedottaminen hätäliikenteen häiriöistä Viestintäviraston suosituksia

Televiestinnän tulonmuodostus, aiempien vuosien tiedot

Sisältö. Päivitetty viimeksi Sivu 2 / 14

DNSSec. Turvallisen internetin puolesta

TIETOTURVALLISUUDESTA

Tietosuojaseloste. Trimedia Oy

TEEMME KYBERTURVASTA TOTTA

Tietoturva. Luento yhteistyössä Enter Ry:n kanssa Mitä tietoturva on?

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Omahallinta.fi itsepalvelusivusto

F-SECURE SAFE. Toukokuu 2017

VUOSIKATSAUS

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

Poista tietokoneessasi olevat Javat ja asenna uusin Java-ohjelma

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

Verkostoautomaatiojärjestelmien tietoturva

Transkriptio:

Tietoturvakatsaus 2/2013

Sisältö Tietoturvakatsaus 2/2013... 3 1 Kauden merkittäviä tapahtumia... 4 1.1 Tietoturva nyt! 2013 -seminaari... 4 1.2 Uudet PGP-avaimet... 4 1.3 Valtionhallintoon kohdistuvien tietoturvaloukkausten käsittelyä tehostetaan... 4 1.4 Kyberturvallisuuskeskus... 5 2 Uudet ilmiöt... 5 2.1 Itella tietomurron kohteena... 5 2.2 Internet Census 2012 -projekti... 6 2.3 Sähköisen viestinnän luottamuksellisuus... 6 3 Pitkäkestoiset ilmiöt... 6 3.1 Kohdistettuja hyökkäyksiä havaitaan kaikkialla maailmassa... 6 3.2 Tietoturvaongelmia yleisesti käytetyissä ohjelmistoissa... 7 3.2.1 Www-selaimet... 7 3.2.2 Www-selaimien laajennukset... 7 3.2.3 Julkaisujärjestelmät ja niiden laajennukset... 8 4 Yleisen viestintäverkon poikkeamat... 8 4.1 CERT-FI tapahtumailmoitukset... 8 4.2 Autoreporter-tilastot... 9 4.2.1 Autoreporter-havainnot kategorioittain... 10 4.2.2 Verkkomadot - Conficker... 11 5.2.3 Zeus-haittaohjelmahavainnot... 12 4.3 Viestintäverkkojen vika- ja häiriöilmoitukset... 12 4.3.1 D-luokan häiriöt vuonna 2012... 13 4.3.2 Yöaika ja luonnonilmiöt pitkittävät viestintäverkkovikojen korjausaikoja... 14 Tietoturvakatsaus 2/2013 2

Tietoturvakatsaus 2/2013 Toisen vuosineljänneksen aikana CERT-FI käsitteli 1002 tietoturvatapausta sekä 55 merkittävää televerkkojen häiriöilmoitusta. Alkuvuonna 2013 CERT-FI:lle ilmoitettuja tietoturvatapauksia oli 1169, kun taas merkittäviä televerkkojen häiriötapauksia 34. 700 600 500 400 300 200 100 Q1 Q2 0 Kuva 1. CERT-FI:lle ilmoitetut tapaukset CERT-FI:n käsittelemistä tietoturvatapauksista huomiota herätti Itellan verkkopalvelujen luvaton hyväksikäyttö jo vuosia sitten vuotaneita salasanoja apuna käyttäen. Tapaus oli jälleen kerran hyvä muistutus siitä, että eri verkkopalveluissa on syytä käyttää eri käyttäjätunnuksia ja salasanoja. Autoreporterin kautta CERT-FI sai tietoonsa toisen neljänneksen aikana 147 334 haittaohjelmatartuntaa Suomessa. Keskimäärin ilmoituksia tuli 500 saastuneesta IP-osoitteesta päivittäin. Java-haavoittuvuuksien hyödyntäminen jatkuu edelleen. Ongelmalliseksi tilanteen tekee muun muassa se, ettei Oracle tuota haavoittuvuuksiin ajantasaisia päivityksiä. Myöskään Javaa käyttävät organisaatiot eivät asenna esimerkiksi työasemilleen Java-päivityksiä säännöllisesti. JAR-latausten rajoittaminen on hillinnyt merkittävästi Java-haavoittuvuuksien hyväksikäyttöä. Toisen neljänneksen aikana CERT-FI on saanut lunnaita vaativista haittaohjelmista vähemmän yhteydenottoja loppuvuoteen 2012 ja alkuvuoteen 2013 verrattuna. 29.5.2013 CERT-FI julkaisi Tietoturva nyt! -uutisen (Suomessakin Carna-bottiverkon saastuttamia laitteita), laajaa huomiota herättäneestä tutkimuksesta, joka liittyi Internet Census 2012 -projektiin. Tutkimuksessa verkon avoimia laajakaistaliittymien päätelaitteita ja internetiin liitettyjä digitv-vastaanottimia skannattiin Carna-bottiverkon avulla. Projektiin liittyvän raportin mukaan avoimia laitteita havaittiin myös Suomesta. Toisen vuosineljänneksen merkittäviin tapahtumiin kuului Viestintäviraston ja Huoltovarmuuskeskuksen järjestämä perinteikäs Tietoturva nyt! -seminaari, joka pidettiin toukokuun alussa Helsingissä Säätytalolla. Tällä kertaa seminaarissa keskityttiin kohdistettuihin hyökkäyksiin. Tietoturvakatsaus 2/2013 3

Merkittäviä olivat myös keskustelut Viestintävirastoon perustettavasta Kyberturvallisuuskeskuksesta ja GovCert-toiminnosta. Edward Snowden ja NSA-tietourkintakohu toivat puolestaan tietourkintatapaukset esille. 1 Kauden merkittäviä tapahtumia 1.1 Tietoturva nyt! 2013 -seminaari Viestintävirasto ja Huoltovarmuuskeskus järjestivät Tietoturva nyt! -seminaarin 8.5.2013 Säätytalolla Helsingissä. Paikalla oli noin 250 tietoturva-alan ammattilaista. Tietoturva nyt! 2013 -seminaarin keskeisenä sisältönä oli yritysten tietoturva ja kohdistetut hyökkäykset. Kohdistettuja hyökkäyksiä käsiteltiin laajasti muun muassa Dell SecureWorksin Joe Stewartin, Viestintäviraston Jussi Erosen ja Sauli Pahlmanin esityksissä. Puhujista Mark E. Smith käsitteli kriittistä infrastruktuuria, Suomen, EU:n ja Yhdysvaltojen kyberstrategioita sekä kyberturvallisuuden toimia. Joe Stewart puolestaan kertoi kohdistettujen hyökkäyksien toimintaperiaatteista ja esitteli toimia hyökkäyksien havainnointiin ja estämiseen. 1.2 Uudet PGP-avaimet CERT-FI uusi kaikki PGP-avaimensa 12.6.2013. Yksi avainten vaihdon syistä on aikaisemmissa avaimissa käytössä ollut turvaton SHA1-tiivistealgoritmi. 1.3 Valtionhallintoon kohdistuvien tietoturvaloukkausten käsittelyä tehostetaan Eduskunta hyväksyi 19.6.2013 lisätalousarviossaan GovCERT- ja GovHAVARO-palveluiden kehittämisen valtionhallinnon organisaatioiden käyttöön. GovCERT-asiantuntijapalvelun tuottaa Viestintävirasto, ja sitä tarjotaan valtion organisaatioille Valtion ITpalvelukeskuksen kautta 1.8.2013 alkaen. Yhteistyö virallistettiin 15.7.2013 päivitetyllä sopimuksella, joka on voimassa 31.12.2013 asti. Sopimuksen jatkosta päätetään myöhemmin tänä vuonna. GovCERT-palveluilla tarkoitetaan toimia, joiden tarkoituksena on ennaltaehkäistä, havainnoida ja ratkaista valtionhallinnon tieto- ja viestintäjärjestelmiin sekä organisaatioihin kohdistuvia tietoturvaloukkauksia. GovCERT-toiminnan myötä on mahdollista hyödyntää Viestintävirastossa vuonna 2014 aloittavan kyberturvallisuuskeskuksen tietoturvapalveluja koko valtionhallinnossa. GovHAVARO on valtionhallinnon tarpeisiin muokattu versio HAVAROsta, joka on Viestintäviraston tuottama teknisten tietoturvaloukkausten havainnointi- ja varoituspalvelu. HAVARO on ollut huoltovarmuuskriittisen elinkeinoelämän käytössä vuodesta 2011 alkaen, ja jatkossa sitä käytetään myös valtionhallinnon tarpeisiin. GovCERT ja GovHAVARO -palveluilla on tarkoitus parantaa valtionhallintoon kohdistuvien tietoturvaloukkausten käsittelyä. Tietoturvakatsaus 2/2013 4

1.4 Kyberturvallisuuskeskus Valtioneuvoston 24.1.2013 antaman Kyberturvallisuusstrategian mukaan Viestintäviraston kyberturvallisuuskeskuksen palveluja tullaan kehittämään. Palveluissa keskitytään pääasiassa tiedon keräämiseen ja välittämiseen sekä kyberturvallisuuden yhdistetyn tilannekuvan muodostamiseen ja jakamiseen. Lisäksi yhteistyöverkostojen toimintaa tullaan uudistamaan ja kehittämään. Kuva 2. Kyberturvallisuuspalvelut Kyberturvallisuuspalvelut tuovat lisäarvoa toimialoille seuraavilla tavoilla: 1. Jakamalla analysoitua tietoa toimialoille 2. Parantamalla tilannetietoisuutta 3. Tukemalla toimialojen reagointikykyä 4. Tukemalla toimialojen riskianalyysien muodostamista 5. Lisäämällä vuorovaikutteisuutta verkostoissa 6. Tarjoamalla tulevaisuudessa ympärivuorokautisen toimintakyvyn Kyberturvallisuuskeskuksen toimintojen suunnittelun yhtenä kokonaisuutena olivat sidosryhmille ja yhteistyökumppaneille järjestetyt työpajat syyskuun puolivälissä. Työpajojen tarkoituksena oli kuulla osallistujien ajatuksia Viestintäviraston nykyisistä ja tulevista kyberturvallisuuspalveluista ja yhteistyömalleista. Kyberturvallisuuskeskus aloittaa toimintansa Viestintävirastossa vuoden 2014 alussa. 2 Uudet ilmiöt 2.1 Itella tietomurron kohteena Itellan verkkopalveluja käytettiin luvattomasti huhtikuussa. Sivulliset pääsivät Itellan sähköisten kuluttajapalveluiden käyttäjien tileille jo useita vuosia sitten tapahtuneen tietomurron seurauksena. Murrossa varastettujen käyttäjätunnusten ja salasanojen listaa levitettiin internetissä. Samoja listassa mainittuja salasanoja oli käytetty myös muissa Itellan palveluissa. Itella lukitsi osan käyttäjätunnuksista varotoimenpiteenä. Tietoturvakatsaus 2/2013 5

2.2 Internet Census 2012 -projekti Internet Census 2012 -projektissa tietoturvatutkijat asensivat oman sovelluksensa sellaisiin laajakaistamodeemeihin ja digi-tv-vastaanottimiin, joiden oletussalasanaa ei ollut vaihdettu ja jotka oli kytketty internetiin. Laitteiden muodostamaa Carna-nimellä kutsuttua bottiverkkoa käytettiin Internet Census 2012 -projektin verkkoluotauksiin. Raportin mukaan Suomessa tehtiin 425 havaintoa. CERT-FI ei saanut käyttöönsä havaintoihin liittyviä iposoitteita, joten tietojen välittäminen bottiverkon saastuttamien laitteiden omistajille ei ollut mahdollista. 2.3 Sähköisen viestinnän luottamuksellisuus Kesäkuun alussa yhdysvaltalainen Edward Snowden julkaisi Yhdysvaltojen kansalliseen turvallisuusviranomaiseen NSA:han (National Security Agency) liittyviä tietoja yksityisyyttä loukkaavan sähköisen viestinnän seuraamisesta. Tapahtumien alkaessa CERT-FI julkaisi Tietoturva nyt! -artikkelin viestintäpalvelujen käytöstä sähköisessä viestinnässä. Keskustelu aiheesta jatkui mediassa koko kesän ja jatkuu edelleen. Tapauksen seurauksena mielenkiinto viestinnän luottamuksellisuuteen heräsi myös kotimaassa, mistä myös Viestintävirasto sai osansa lukuisina yhteydenottoina. Yksityisyyttä loukkaavasta sähköisen viestinnän seuraamisesta on keskusteltu aiemminkin. Tästä esimerkkinä vuosi 2007, kun Ruotsin Försvarets radioanstalt (FRA) sai oikeuden kuunnella kaikkea maansa rajat ylittävää tietoliikennettä terrorismin ja järjestäytyneen rikollisuuden torjunnan nimissä. FRA aloitti verkkoliikenteen seurannan vuonna 2009. Runsaat yhteydenotot kertovat, että viestintäpalvelujen käyttäjille ei ole täysin selvää, kuinka esimerkiksi luottamuksellisia tietoja tulisi välittää sähköisten palveluiden kautta. Selvää ei myöskään näytä olevan, kuinka luottamuksellista tietoa voi suojata ja salata. Tietoisuuden lisäämiseksi keskustelu aiheesta on tarpeellista, sillä käytännöt vaihtelevat merkittävästi eri palvelujen, niiden toteutustapojen ja eri maiden välillä. Viestintävirasto tulee julkaisemaan päivitetyn ohjeen oman viestinnän suojaamisesta syksyn aikana. 3 Pitkäkestoiset ilmiöt 3.1 Kohdistettuja hyökkäyksiä havaitaan kaikkialla maailmassa Huhtikuun alkupuolella Anonymous-ryhmittymä ilmoitti osallistuneensa palvelunestohyökkäyksiin, jotka kohdistuivat Israelin valtionhallinnon www-sivustoille ja Israelin.il-verkkotunnusta palveleviin juurinimipalvelimiin. Myös israelilaiset haktivistiryhmät kohdistivat palvelunestohyökkäyksiä Israelin vastustajien verkkosivuille. Tietoturvayhtiö Kaspersky Lab julkaisi huhti - kesäkuun aikana kaksi raporttia kohdistetuista hyökkäyskampanjoista. Yksi kampanjoista kohdistui videopeliteollisuuteen, kun Winnti-niminen ryhmittymä tavoitteli pelien lähdekoodin ja pelivalmistajien julkaisemien sovellusbinäärien allekirjoittamiseen käytettäviä allekirjoitusavaimia. Raportin mukaan Winntin pääasiallinen tarkoitus oli saada taloudellista hyötyä sekä allekirjoitusavaimia ryhmittymän omien ja muiden samankaltaisten ryhmien haittaohjelmien allekirjoittamiseen. Toinen Kasperskyn raportoima kohdistettu hyökkäyskampanja liittyi NetTraveler-nimiseen vakoiluhaittaohjelmaan. Ohjelma on ehtinyt saastuttaa yli 350 merkittävää kohdetta muun muassa Pohjois- Amerikassa, Itä-Euroopassa, Aasiassa, Australiassa ja muutamissa Keski-Euroopan valtioissa vuodesta 2004 alkaen. Tämän kohdennetun APT (Advanced Persistant Threat) -vakoilukampanjan kohteina ovat olleet Tietoturvakatsaus 2/2013 6

muun muassa aktivistit, öljyteollisuuden yritykset, tutkimuslaitokset, valtionhallinnon toimijat, lähetystöt sekä armeijan alihankkijat. Lisäksi tietoturvayhtiö Norman kertoi Operation Hangover -hyökkäyskampanjasta, kun taas Trend Micro raportoi kampanjasta nimeltään Safe. Molemmissa tapauksissa hyökkääjät tunkeutuivat kohteidensa infrastruktuuriin huijaamalla käyttäjiä avaamaan haittakoodia sisältävän tiedoston tai www-sivuston. Kampanjoiden tavoitteena oli urkkia tietoja kohteistaan ympäri maailmaa hyödyntämällä tietoja varastavaa haittaohjelmaa. CERT-FI saa vuosittain useita ilmoituksia myös Suomeen ja suomalaisiin organisaatioihin kohdistuvista kohdistetuista hyökkäyksistä. Toisen vuosineljänneksen aikana CERT-FI on välittänyt asianomistajille eijulkisia varoituksia kuuden eri tapauksen yhteydessä. Ensimmäisellä neljänneksellä ei-julkisia varoituksia jaettiin 11 kertaa. 3.2 Tietoturvaongelmia yleisesti käytetyissä ohjelmistoissa Yleisesti käytetyistä ohjelmistoista kuten muun muassa selaimista ja nettivideoiden toisto-ohjelmista löydetään uusia haavoittuvuuksia jatkuvasti. Haavoittuvuuksien avulla tietokone voidaan esimerkiksi saastuttaa haittaohjelmilla. On tärkeää, että ohjelmistot päivitetään säännöllisesti uusimpiin julkaistuihin versioihin. 3.2.1 Www-selaimet Käyttämällä hyväksi www-selaimissa ja niiden lisäosissa piileviä haavoittuvuuksia on mahdollista tartuttaa käyttäjän päätelaitteeseen haittaohjelma saastuneen verkkosivun kautta. Haittaohjelmatartunnan riski pienenee huomattavasti, kunhan selain ja sen lisäosat on päivitetty ajantasaiseen versioon. Www-selaimien haavoittuvuudet koskevat kaikkia yleisesti käytössä olevia selaimia. Kevätkesän aikana CERT-FI on julkaissut yhteensä 9 haavoittuvuustiedotetta ja Tietoturva nyt!-uutista Google Chrome-, Internet Explorer-, Mozilla Firefox-, Safari- ja Opera -selaimista useilla eri käyttöjärjestelmäalustoilla. Tammi-maaliskuussa vastaava luku oli 12. 3.2.2 Www-selaimien laajennukset Nykyisin www-selaimen kautta tapahtuva haittaohjelmatartunta saa useimmiten alkunsa haavoittuvasta selainlaajennuksesta. Yleisimmät www-selaimien laajennukset ovat Adoben Flash-Player, Oraclen Java ja Adoben Reader. Jotkin selainlaajennuksista, esimerkiksi tietyt työkalurivit (toolbar), asentuvat automaattisesti osana jotakin sovellusta ja osa puolestaan on tyypillisesti käyttäjän itsensä asentamia. Adobe Flash Player on maailmanlaajuisesti käytössä oleva yleinen www-selaimen liitännäinen, jonka avulla voidaan muun muassa toistaa Youtube-videoita ja näyttää www-sivujen mainoksia. Adoben Flash Playerin haavoittuvuuksia hyödynnetään aktiivisesti. Oraclen Java-haavoittuvuustiedotteita julkaistiin useita myös toisen vuosineljänneksen aikana. Mukana oli yksi 0 day -haavaan liittyvä Tietoturva Nyt! -uutinen (23.4.2013 Tietoturvayhtiö kertoo uudesta Oracle Java -haavoittuvuudesta). CERT-FI suosittelee yhä poistamaan Javan oman tietokoneen selaimesta, jollei se ole täysin välttämätön esimerkiksi omaa verkkopankkia käytettäessä. Tällaisissa tapauksissa on parempi pitää käytössä kahta eri selainta, joista vain toinen sisältää Java-lisäosan. Selaimien liitännäisten päivitykset unohtuvat helposti, vaikka käyttöjärjestelmän ja itse selaimen päivityksistä olisikin muistettu huolehtia. Tämä on ymmärrettävää, koska selainlaajennuksien päivittymiskäytännöt ovat melko kirjavia. Osa selainlaajennuksista päivittyy laajennuksen asentaneen sovelluksen mukana (esimerkiksi Java asentaa Java-selainlaajennuksen), osa taas automaattisesti selaimen Tietoturvakatsaus 2/2013 7

toimesta ja osa on päivitettävä itse hakemalla laajennuksesta uusin versio. Jos selainlaajennuksen asentanut sovellus ei päivity automaattisesti tai automaattipäivitys ei ole päällä, laajennuksen saa ajantasaiseksi ainoastaan päivittämällä laajennuksen asentaman sovelluksen. Hyötysovelluksien lisäksi www-selainten laajennusrajapinnat tarjoavat myös haittaohjelmille helpon tavan päästä lukemaan ja muokkaamaan käyttäjän www-liikennettä. Esimerkiksi jotkin pankkihaittaohjelmat ovat asentaneet saastuttamaansa järjestelmään omia haitallisia selainlaajennuksiaan. Lisäksi viime vuosina on tavattu muutamia selainlaajennuksia tai lisäosia, jotka on laadittu ainoastaan haitallisessa tarkoituksessa. Selainlaajennuksiin onkin syytä suhtautua kuin muihin sovelluksiin ja asentaa niitä ainoastaan luotetuista lähteistä. 3.2.3 Julkaisujärjestelmät ja niiden laajennukset Pääsääntöisesti julkaisujärjestelmillä ylläpidetään www-sivuja. Yleisesti käytössä olevien julkaisujärjestelmien tunnettuja haavoittuvuuksia käytetään toistuvasti hyväksi www-palvelimien tietomurroissa, kun tarkoituksena on esimerkiksi hakea huomiota töhrityillä tai herjaavaa sisältöä levittävillä www-sivuilla. CERT-FI on julkaissut tiedotteita julkaisujärjestelmien haavoittuvuuksista ja murretuista julkaisujärjestelmistä vuodesta 2006 alkaen. Kevätkesällä 2013 CERT-FI on julkaissut neljä haavoittuvuustiedotetta Worpress- ja Drupal-järjestelmistä. CERT-FI:n tietojen mukaan järjestelmät, joiden ohjelmistoja ei ole säännöllisesti päivitetty tai joiden salasanat ovat suositusten vastaisesti muodostettuja, ovat usein tietomurtojen kohteina. 4 Yleisen viestintäverkon poikkeamat Suomalaisten viestintäverkot toimivat hyvin myös huhti - kesäkuussa 2013. Toinen vuosineljännes ei nostanut esiin myöskään täysin uusia tietoturvauhkia, joista CERT-FI:lle ilmoitettiin. 4.1 CERT-FI tapahtumailmoitukset Huhti - kesäkuun aikana CERT-FI:lle toimitettiin 12 Viestintäviraston antaman määräyksen 9 (Määräys tietoturvaloukkausten ilmoittamisvelvollisuudesta yleisessä teletoiminnassa) mukaista tapahtumailmoitusta. Määräyksen tarkoituksena on määritellä sähköisen viestinnän tietosuojalain 21 :n mukaisten merkittävää tietoturvaloukkausta tai sen uhkaa koskevan ilmoituksen sisältö ja menettelytavat Viestintävirastolle. Pääsääntöisesti tapahtumailmoitukset koskivat tietomurtoja ja palvelunestohyökkäyksiä. Ilmoituksia saatiin myös laitteiden tietoturvaan liittyvistä haavoittuvuuksista. Tietoturvakatsaus 2/2013 8

8 7 6 5 4 3 2 1 0 Tammi-maaliskuu Huhti-kesäkuu Kuva 3. Määräys 9:n mukaiset tapahtumailmoitukset 4.2 Autoreporter-tilastot Autoreporter on CERT-FI:n tuottama palvelu, joka kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja ja raportoi niistä verkkojen ylläpitäjille. Palvelu on ollut käytössä vuodesta 2006 lähtien. Palvelun piirissä ovat kaikki suomalaiset verkkoalueet. Incidents daily -tilasto kertoo Autoreporter-työkalun päivittäin käsittelemät ilmoitukset haittaohjelmatartunnoista suomalaisissa IP-osoitteissa. Keskimäärin Autoreporter käsittelee noin 500 tapausta päivittäin. Kuva 4. Autoreporterin käsittelemät tapaukset 1.1-30.6.2013 Autoreporterin käsittelemät tapaukset lisääntyivät selvästi huhti - toukokuussa. Tilastopiikin aiheutti yksittäisen teleyrityksen asiakkailla havaittu spambot-haittaohjelma. Sitä, miksi kyseessä olevaa haittaohjelmaa ei esiintynyt muilla teleyrityksillä yhtä runsaasti, ei saatu selville. Tietoturvakatsaus 2/2013 9

4.2.1 Autoreporter-havainnot kategorioittain Autoreportterin käsittelemistä tapauksista suurin osa on erilaisten bot-haittaohjelmien tartuntoja. Kuva 5. Havainnot kategorioittain heinäkuu 2012 - kesäkuu 2013 Suspected Spambot Suspected spambot -kategoria kertoo lukumäärän eri IP-osoitteista, joista on havaittu lähetettävän roskapostiviestejä. Tällaisissa tapauksissa on syytä epäillä, että työasema, johon IP osoittaa, on haittaohjelman saastuttama ja sitä käytetään roskapostin lähetysalustana. Huhti - kesäkuun merkitävä kasvu spambot-havainnoissa johtui yksittäisen teleyrityksen asiakkaiden tartunnoista. Miksi tapaus ei koskenut myös muiden teleyritysten asiakkaita, ei ole selvinnyt. Bot Bot-kategoria kertoo niiden IP-osoitteiden lukumäärän, joissa on havaittu haittaohjelmalla saastunut työasema. Saastunut työasema liitetään yleensä osaksi hyökkääjän etähallitsemaa bot-verkkoa. Tällaisia bot-verkkoja käytetään muun muassa palvelunestohyökkäyksiin. Scan Scan-kategoriassa on kuvattu niiden IP-osoitteiden lukumäärä, joista on tehty ajattelemattomasti verkon tutkimustyötä tai kyseessä on väärissä käsissä oleva tietojärjestelmä tai haittaohjelmalla saastunut työasema. Tilaston mukaan suomalaisista IP-osoitteista tehdään aktiivisesti verkkojen tutkimusta. Other Other- ryhmässä on mukana seuraavat kategoriat: bruteforce: IP-osoitteesta on havaittu murtoyrityksiä yleisesti käytettyjä verkkopalveluja vastaan. Verkkopalveluiden tunnussanoja yritetään murtaa systemaattisesti joko satunnaisilla merkkijonoilla tai kokeilemalla sanakirjoista löytyviä sanoja. IP-osoitteessa oleva työasema on voinut päätyä tietomurron kohteeksi tai haittaohjelman saastuttamaksi. cc: Haittaohjelmalla saastunut työasema liitetään yleensä tavalla tai toisella osaksi hyökkääjän hallitsemaa bot-verkkoa. IP-osoitteessa on tunnistettu hallintapalvelin, jota käytetään tällaisten bot-verkkojen komentamiseen. Tietoturvakatsaus 2/2013 10

dameware: Vanhoissa DameWare Mini Remote Control -ohjelmistoissa on haavoittuvuus, jota voidaan hyväksikäyttää etäältä. Haavoittuvuuden kautta työasemalle voidaan asentaa esim. haittaohjelmia. IP-osoitteessa on havaittu DameWare-haavoittuvuuden mahdollisesti onnistunut hyväksikäyttö. ddos: Havainto listaa sekä palvelunestohyökkäyksiin osallistuvat työasemat että palvelunestohyökkäyksen kohteeksi joutuneita kohteita. defacement: IP-osoitteessa on töhritty verkkosivu. dipnet: Windows-työasemia saastuttava verkkomato, joka käyttää leviämisessä hyväksi LSASShaavoittuvuutta. fastflux: Nimipalvelintasolla toteutettu tapa piilottaa bot-verkon hallintapalvelimet, huijaustoimintaan osallistuvat verkkosivustot sekä haittaohjelmien levityssivut. Piilotus toimii niin, että nimipalvelin jatkuvasti palauttaa uusia IP-osoitteita tietylle verkkotunnukselle. Palautettujen IP-osoitteiden takaa löytyy useimmiten saastunut työasema, joka on osa bot-verkkoa. malware: IP-osoitteessa on jaeltu haittaohjelmaa. malweb: IP-osoitteessa on havaittu haitallinen verkkosivusto. Tyypillisimmin kyse on haitallisesta JavaScript-koodista, iframe-viittauksesta tai muusta verkkosivulle sisällytetystä haitallisesta osiosta. phishing: Kyseisessä IP-osoitteessa on havaittu urkintaan osallistuva verkkosivusto. Kyseessä on yleisimmin tietomurron kohteeksi joutunut työasema tai www-palvelin. proxy: Työasemasta tai palvelimesta on tehty avoin välityspalvelin, jota hyväksikäytetään. Hyväksikäyttö voi ilmetä esimerkiksi roskapostin lähettämisenä ja bot-verkkojen komentamisena. router: Verkon aktiivilaitteesta on tehty välityspalvelin, jota hyväksikäytetään. Hyväksikäyttö voi ilmetä monella eri tavalla. spreaders: Haittaohjelmilla on monia leviämismekanismeja, joista yksi on käyttöjärjestelmän haavoittuvuudet. IP-osoitteesta on havaittu haittaohjelman leviämisliikenteen tunnusmerkkejä. worm: IP-osoitteesta on havaittu verkkomadon leviämisyritys. Verkkomadot leviävät yleensä käyttämällä hyväksi jotakin verkkopalvelun haavoittuvuutta. 4.2.2 Verkkomadot - Conficker Useimmissa tapauksissa verkkomadot leviävät verkkopalvelujen haavoittuvuuksien kautta. Tunnettuja verkkomatoja ovat esimerkiksi vuonna 2003 tutuksi tullut Blaster, vuonna 2004 havaittu Sasser sekä vuonna 2008 tavattu Conficker. Verkkomatotapaukset ovat vähentyneet merkittävästi viime vuosina. Vielä vuonna 2006 Autoreporter raportoi noin 32 000 verkkomatotapauksesta Suomessa. Tammi-kesäkuussa 2013 Autoreporter havaitsi verkkomatoja runsaat 10. Conficker-haittaohjelmahavainnot eivät sisälly näihin lukuihin. Havainnot ovat vähentyneet muun muassa, siksi että nykyiset verkkomadot pyrkivät pysymään piilossa mahdollisimman pitkään. Myös termiä verkkomato käytetään aiempaa vähemmän. Tämän hetken yleisimpiä verkkomatoja edustaa Conficker. Alla olevassa tilastossa on kuvattu Autoreporterin havaitsemat Conficker- verkkomatotartunnat suomalaisissa IP-osoitteissa tammi - kesäkuussa 2013. Tietoturvakatsaus 2/2013 11

Kuva 6. Conficker-haittaohjelmahavainnot Vuonna 2011 Auroreporter havaitsi noin 300 Conficker-tartuntaa päivässä, 2012 havaintoja oli noin 200 päivittäin. Vuonna 2013 havaintoja on ollut noin alle 100 tapausta päivässä ensimmäisen puolen vuoden aikana. Autoreporter-havainnot Conficker-haittaohjelmasta ovat siis merkittävästi vähentyneet. 5.2.3 Zeus-haittaohjelmahavainnot Zeus daily -tilasto puolestaan kertoo Autoreporterin havaitsemista Zeus-haittaohjelmatartunnoista suomalaisissa IP-osoitteissa. Kuva 5. Zeus-haittaohjelmahavainnot Vuonna 2012 Autoreporter havaitsi noin 250 Zeus- haittaohjelmatartuntaa päivässä. Kuluvan vuoden tilastolukujen perusteella myös päivittäiset Zeus-haittaohjelmatartunnat näyttävät selvästi vähentyneen. 4.3 Viestintäverkkojen vika- ja häiriöilmoitukset Huhti - kesäkuun aikana Viestintävirasto vastaanotti yhteensä 58 teleyritysten vika- ja häiriöilmoitusta, jotka toimitettiin viraston määräyksen 57 mukaisesti. Häiriöistä yli 30 minuuttia kestäneitä kuluttajiin kohdistuvia laajoja A-vikoja olivat kesäkuiset Digitan kolme radiohäiriötä, pääosin Tampereen seudulla. Vaikutuksia havaittiin myös Jyväskylässä, Kuopiossa ja Kolilla. Digita havaitsi häiriöt nopeasti, ja tilanteet saatiin kuntoon noin kahdessa tunnissa. Tietoturvakatsaus 2/2013 12

Tammi- maaliskuuhun verrattuna A-vikojen määrä pysyi samana. Viat saatiin myös korjattua noin parissa tunnissa, siis yhtä pikaisesti kuin alkuvuonnakin. 4.3.1 D-luokan häiriöt vuonna 2012 Viestintävirasto kertoi vuoden 2013 ensimmäisessä osavuosikatsauksessaan ensi kertaa teleyrityksiltä kerätyistä laajoista häiriötilastoista. Kysely koski nimenomaisesti kohtuullisia tai pieniä häiriöitä, jotka vaikuttivat alle 1 000 asiakkaaseen tai vähintään yhteen asiakkaaseen yli puolen tunnin ajan. Nämä kohtuulliset ja pienet häiriöt määritellään Viestintäviraston määräyksessä 57 D-luokan häiriöiksi. Häiriöt ovat ilmoitettu lukumäärällisesti tapahtumien, ei kokonaiskäyttäjämäärän mukaan. Kiinteäverkko (data) Matkapuhelinverkko (data) Matkapuhelinverkko (puhe) Kiinteäverkko (puhe) DVB-C IP-TV muut Muu langaton verkko Tekstiviestipalvelu Kuva 8. Ilmoitettujen häiriötapahtumien osuudet palveluittain YHTEENSÄ - Sähköpostipalvelut Kokonaisuudessaan teleyritykset ilmoittivat yli 230 000 häiriöstä koskien matkaviestinverkon, kiinteän verkon ja joukkoviestintäverkon palveluita. Tapahtumamäärällisesti häiriöt koskivat eniten (60 %) kiinteän verkon yhteyspalveluita. Lähes 50 % ilmoitetuista tapahtumista koski kiinteän verkon internet-yhteyksiä (kiinteäverkkodata). Yhteensä noin 20 % häiriöistä ilmoitettiin koskeneen matkaviestinverkon puhe- ja internet-yhteyspalveluita. Kiinteän verkon puhepalveluiden osuus tapahtumista on noin 10 %. Joukkoviestintäpalveluiden (antenni-, kaapeli-tv ja IPTV) palvelujen osuus oli noin 10 % ja muiden palveluiden (esimerkiksi SMS, MMS, sähköposti) noin 5 % kokonaismäärästä. On huomioitava, että tapahtumien lukumäärät kuvaavat häiriötapahtumien kokonaismäärän, mutta eivät vaikutusten kohteina olleiden asiakkaiden määrää. Kiinteissä verkoissa ongelmat voivat keskittyä vain muutamaan tilaajayhteyteen kerrallaan, jolloin häiriöiden kokonaismäärä on suuri, mutta varsinainen kokonaiskäyttäjämäärä jää tapahtumakohtaisesti alhaiseksi. Matkaviestinverkoissa yksittäinen ongelma Tietoturvakatsaus 2/2013 13

vaikuttaa tyypillisesti kaikkiin yhden tai useamman tukiaseman alueella oleviin käyttäjiin ja yksittäisen tapahtuman käyttäjävaikutusmäärä voi olla laajempi. Puhepalveluita enemmän häiriöt liittyivät internetin yhteysongelmiin sekä kiinteissä verkoissa että matkaviestinverkoissa. Huomioitavaa on, että puheluliikenteen ongelmat olivat tapahtumamäärällisesti hieman yleisempiä matkaviestinverkoissa kuin lankaverkoissa. Lisäksi matkaviestinverkoissa on kiinteitä verkkoja tyypillisemmin laajoja häiriöitä, joiden käyttäjävaikutukset ylittävät 1000 asiakasta ja joista tiedotetaan Viestintävirastolle tapahtumahetkellä. Sen sijaan internet-yhteyksiin liittyvistä ongelmista ilmoitettiin kiinteissä verkoissa yli nelinkertainen määrä matkaviestinverkkoihin nähden. Laitevika Konfiguraatiovika Luonnonilmiö Ohjelmistovika Yleisen sähköverkon katkos Maanrakennustyöt Voimalaitejärjestelmän vika Lämpötilaongelma laitetilassa Vesivahinko Kuva 9. Häiriöiden taustasyyt 4.3.2 Yöaika ja luonnonilmiöt pitkittävät viestintäverkkovikojen korjausaikoja Häiriöiden syyt riippuvat paljon häiriön taustalla olevasta komponentista. Tilaajayhteyksien johtoihin ja siirtokaapeleihin vaikuttavat enimmäkseen luonnonilmiöt ja maanrakennustyöt, joista lukuisat teleyritykset raportoivat Viestintävirastolle. Kokonaisuudesta kuitenkin merkittävimpiä ovat laiteviat kolmanneksen osuudella sekä konfiguraatiovirheet, jotka muodostavat noin neljäsosan ilmoitetuista ja luokitelluista tapahtumista. Lisäksi ohjelmistovioista ilmoitettiin paljon. Tietoturvakatsaus 2/2013 14

100 % 90 % 80 % 70 % 60 % 50 % 40 % 30 % 20 % 21 vrk tai yli 7 vrk - <21 vrk 2 vrk - <7 vrk 12 h - <2 vrk 6 h - <12 h < 6 h 10 % 0 % kiinteä (puhe) kiinteä (data) Kuva 60. Häiriöiden korjausaikojen osuudet palveluittain kaapeli-tv sähköposti matka (puhe) matka (data) Lähes neljänneksen häiriöistä ilmoitetaan korjaantuvan ensimmäisen kuuden tunnin kuluessa sen havaitsemisesta. Pieni osuus häiriöistä poistetaan 6-12 tunnissa. Pitkä korjausaika johtuu usein siitä, että häiriö tapahtuu yöaikaan. Yli 60 % häiriöistä korjataan kahden vuorokauden kuluttua häiriön alkamisesta. Viikon kuluttua häiriöistä yli 90 % on korjattu. Näin siis alle 10 % häiriöistä kestää yli viikon. Huomion arvoista on, että vuoden 2012 tilastoihin vaikuttivat vielä Tapani-myrskyn jälkimainingit pitkittyneine yksittäisten liittymien viankorjauksineen etenkin loma-asutusalueilla. On tavallista, että matkaviestinhäiriöt (puhe ja data) korjataan alkuhetkellä ripeämmin kuin kiinteän verkon häiriöt (puhe ja data). Tosin korjausaikojen ero tasaantuu yli kahden vuorokauden kestävissä häiriöissä. Kyselyyn vastanneet teleyritykset ovat hyvin erikokoisia ja tarjoavat erityyppisiä palveluja. Vastauksista käy ilmi, että häiriöiden kirjaamiskäytännöt poikkeavat toisistaan ja vikojen kategorisoimiseen liittyvissä tulkinnoissa on eroja. Tästä syystä teleyritysten ilmoittamissa luvuissa on paljon vaihtelua. Viestintäviraston tavoitteena on selkeyttää tilastojen ilmoittamiskäytäntöjä vuoden 2013 aikana, jotta kerättävät tilastotiedot olisivat yhdenmukaisia. Näin kerätyt tiedot ovat jatkossa paremmin vertailukelpoisia. Tietoturvakatsaus 2/2013 15

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute