Vuosikatsaus 2012 14.3.2012



Samankaltaiset tiedostot
Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

TIETOTURVAKATSAUS 2/2009

CERT-FI tietoturvakatsaus 2/2012

CERT-FI tietoturvakatsaus 1/2012

TIETOTURVAKATSAUS 3/2009

Toimialakatsaus Toimialakatsaus

TIETOTURVAKATSAUS

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Tietoturvavinkkejä pilvitallennuspalveluiden

Tietokoneiden ja mobiililaitteiden suojaus

TIETOTURVAKATSAUS 1/2011

TIETOTURVAKATSAUS 1/2009

TIETOTURVAKATSAUS 1/

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

Tietoturvakatsaus 1/

Verkkohyökkäysten tilannekuva ja tulevaisuuden verkkosuojauksen haasteet Timo Lehtimäki Johtaja Viestintävirasto

Avointen nimipalvelinten käyttäminen palvelunestohyökkäystyökaluna

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Hosting-palveluiden tietoturvahaasteet. Antti Kiuru CERT-FI

Abuse-seminaari

VUOSIKATSAUS

Varmaa ja vaivatonta viestintää kaikille Suomessa

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

F-SECURE SAFE. Toukokuu 2017

Tietoturvakatsaus 2/2013

Mobiililaitteiden tietoturva

SANS Internet Storm Center WMF-haavoittuvuuden tiedotus

DNSSec. Turvallisen internetin puolesta

Kyberturvallisuuskatsaus

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Viestintäviraston tilannekuvajärjestelmät. Timo Lehtimäki Tulosalueen johtaja Internet ja tietoturva/viestintävirasto

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

Tietokoneiden ja mobiililaitteiden tietoturva

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Tietoturvailmiöt 2014

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Fennian tietoturvavakuutus

Flash-haittaohjelmat

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Ohje tietoturvaloukkaustilanteisiin varautumisesta

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Kyberturvallisuus yritysten arkipäivää

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

IT BACKUP & RESTORE. Palvelimille, työasemille sekä mobiilipäätelaitteille

CERT-FIajankohtaiskatsaus

TIETOTURVALLISUUDESTA

Kattava tietoturva kerralla

Kohdistettujen hyökkäysten torjunta lisää tervettä järkeä!

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

Luottamusta lisäämässä

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

TIETOTURVAKATSAUS 2/2011

Määräys teletoiminnan tietoturvasta

Fi-verkkotunnus yksilöllinen ja suomalainen

Tietoturva SenioriPC-palvelussa

VUOSIKATSAUS

TIETOPAKETTI EI -KYBERIHMISILLE

PÄIVITÄ TIETOKONEESI

Varmaa ja vaivatonta viestintää kaikille Suomessa

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Käyttäjälähtöiset korttimaksamisen häiriötekijät

Määräys teletoiminnan tietoturvasta

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Ravintola Kalatorin tietosuojaseloste

Tietoturvaa verkkotunnusvälittäjille

F-Secure Anti-Virus for Mac 2015

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Tietoturvakatsaus 4/2013

PK-yrityksen tietoturvasuunnitelman laatiminen

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

MIKÄ ON KYBERPUOLUSTUKSESSA RIITTÄVÄ TASO? Riittävän ratkaisun rakentaminen

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

#kybersää helmikuu 2018

OpenSSL Heartbleed-haavoittuvuus

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

#kybersää maaliskuu 2018

Yleinen ohjeistus Windows tehtävään

YLIMÄÄRÄINEN. CERT-FI TIETOTURVAKATSAUS 2b/2008

Ohje salauskäytännöistä

Tämä tietosuojaseloste koskee Loikka Kontakti ry:n kaikkia palveluja, yhteystietorekisteriä, lipunmyyntiä ja verkkosivustoa.

Tietoturvakatsaus 3/2013. Tietoturvakatsaus 3/2013

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

VUOSIKATSAUS

Ohje sähköiseen osallistumiseen

Tammikuu 2019 #KYBERSÄÄ

TEEMME KYBERTURVASTA TOTTA

Joroisten kunnan sosiaalisen median ohje

Oman videon toimittaminen Tangomarkkinat laulukilpailuun 2015

Mobiilimaailma ja tietoturva. Erkki Mustonen, tietoturva-asiantuntija F-Secure Oyj

Kyberturvallisuus vuosi 2018, 2019 & #kybersää? VAHTI-päivä Tilannekuvapalveluiden ja yhteistyöverkostojen päällikkö Jarna Hartikainen

Palvelunestohyökkäykset

KRP Kyberkeskus Ryk. Ismo Rossi p

Transkriptio:

Vuosikatsaus 2012 14.3.2012

Sisällysluettelo Maatunnuksiin perustuvat verkkotunnukset kiinnostavat internet-rikollisia.. 4 Hyökkääjät ovat ohjanneet käyttäjät sotketuille sivuille... 4 Suomalaisillekin verkkosivuille on hyökätty... 5 Julkaisujärjestelmiin kohdistuneet tietomurrot... 5 Murtautuja töhrii www-sivuja ja levittää haittaohjelmia... 5 CERT-FI ohjaa käyttäjiä julkaisujärjestelmien turvalliseen ylläpitoon... 5 Verkkosivuihin kohdistuneet palvelunestohyökkäykset... 6 Tekojen motiivi, toteutus ja seuraukset... 6 Hyökkäyksen ennaltaehkäisy ja torjunta... 6 Kohdistetut haittaohjelmatartunnat... 7 Java-haavoittuvuus... 8 Tietokoneen lukitseva haittaohjelma yhä monen vaivana... 8 Kyse ei ole poliisin tiedotteesta, joten älä maksa... 8 Mac-tietokoneita bottiverkossa... 9 Nimipalvelimet hyökkäysten apuna... 9 CERT-FI Autoreporter -järjestelmä... 10 Viat ja häiriöt... 10 Luonnonilmiöt värittivät alkuvuotta... 10 Häiriötilanteet korjataan nopeasti... 10 Vuosikatsaus 2012 2

Vuosikatsaus 2012 Vuosi 2012 muistetaan erityisesti palvelunestohyökkäyksistä. Joulukuussa mediaan kohdistui Suomen mittakaavassa poikkeuksellisen laaja palvelunestohyökkäys, joka pimensi Yleisradion, Helsingin Sanomien, MTV3:n sekä Nelosen verkkosivut. Aiemmin syyskuussa hyökkäyksen kohteena olivat Sanoma oy:n verkkolehdet. Tapauksia perusteltiin hyökkääjän huomionhakuisuudella. Palvelunestohyökkäysten ohella Viestintäviraston CERT-FI-yksikköä työllistivät ohjelmistojen haavoittuvuudet, tietomurrot ja kiristyshaittaohjelmatartunnat. Esimerkiksi maatunnuksiin perustuvien verkkotunnusten (CC-TLD) nimipalveluihin hyökättiin niin Euroopassa kuin Aasiassakin. Myös tietokoneen lukitseva Revetonkiristyshaittaohjelma poiki lukuisia yhteydenottoja ja avunpyyntöjä. Lisäksi Viestintävirasto valvoi alkuvuodesta sekä Tapani-myrskyn että tykkylumen vaikutuksia eteläisessä Suomessa luonnonvoimien katkoessa ja häiritessä viestintäverkkojen ja -palvelujen toimintaa. Kaiken kaikkiaan yhteydenottoja CERT-FI:lle kertyi yhteensä 4208, eli 10 % enemmän kuin vuonna 2011. Jälleen yli puolet (2486) yhteydenotoista koski haittaohjelmia, mikä on ollut selkeä trendi vuodesta 2006 lähtien. Tietomurtotapauksia CERT-FI käsitteli 271, n. 74% enemmän kuin edellisvuonna. Aiempien vuosien tapaan CERT-FI on saanut tietoturvaloukkaushavaintoja myös kotimaisilta ja ulkomaisilta yhteistyökumppaneilta sekä kansalaisilta. CERT-FI:n Autoreporter-työkalulla välitettiin tieto 184 000 haittaohjelma- ja tietoturvaloukkaustapauksesta suomalaisissa tietoverkoissa. Edellisvuoden tietoturvaloukkausten perusteella on nähtävissä, että internet-rikolliset hyödyntävät hyökkäyksissään aktiivisesti www-sivujen julkaisu- ja sisällöntuotantojärjestelmien haavoittuvuuksia. Päivittämättömissä järjestelmissä voi haavoittuvuuksia hyödyntämällä esimerkiksi töhriä verkkosivuja tai levittää haittaohjelmia verkkosivujen mainosten kautta. CERT-FI julkaisi useita haavoittuvuustiedotteita koskien OpenX-mainosjakelujärjestelmää. Julkaisujärjestelmistä haavoittuvuuksia taas havaittiin toistuvasti esimerkiksi Joomlassa, Wordpressissä ja Drupalissa. Myös käyttäjätunnusvarkauksien riski on lisääntynyt huomattavasti. Suomessa vältyttiin vuonna 2012 merkittäviltä tietovuodoilta, mutta kansainvälisesti salasanojen ja muiden tietojen varkaudet ovat arkipäivää. Tästä kertovat esimerkiksi Yhdysvalloissa pankkeihin ja viranomaisiin kohdistuneet verkkohyökkäykset, joista vastuun on ottanut äänekäs Anonymous-hakkeriryhmittymä. Kohdistetun hyökkäyksen motiivina voi olla yrityksen tai valtion arkaluontoisten tietojen varastaminen. Vuonna 2012 julkisuuteen tulleista kohdistetuista hyökkäyksistä tunnetuimpia ovat Flame sekä loppuvuodesta otsikoihin noussut Red October, jonka aiheuttamia vahinkoja tutkitaan edelleen. Kaikkia kohdistettuja hyökkäyksiä tai niissä käytettyjä haittaohjelmia ei ole käsitelty tiedotusvälineissä. Vuosikatsaus 2012 3

Tavalliselle käyttäjälle parhaan suojan tietoturvaloukkauksia vastaan antavat edelleen tietokoneen ja käyttöjärjestelmän säännöllinen päivitys sekä oikein valitut ja säilötyt salasanat. On myös tärkeää huolehtia siitä, että tietokoneessa on ajantasainen virustorjunta, joka havaitsee ja poistaa tunnetut haittaohjelmat ajoissa. Maatunnuksiin perustuvat verkkotunnukset kiinnostavat internet-rikollisia Viime vuoden aikana tehtiin poikkeuksellisen paljon hyökkäyksiä, jotka vaikuttivat maakohtaisiin verkkotunnuksiin (CC-TLD, Country Code Top Level Domain). Suomen verkkotunnusjärjestelmää ei häiritty, mutta Pakistan (.pk), Romania (.ro), Serbia (.sr) sekä Irlanti (.ie) saivat osansa hyökkäyksistä omien maatunnustensa nimipalvelujärjestelmiin. Valtion sisäiset levottomuudet voivat johtaa tilanteisiin, joissa internet-yhteydet maan ulkopuolelle katkeavat tai ne katkaistaan. Näin kävi Syyrian 2-päiväisen verkkopimennon aikana, jolloin maasta raportoitiin kiivaista taisteluista. Vahvistettua syytä katkoksiin ei ole annettu, mutta tapauksella on yhtäläisyyksiä Egyptin tammikuussa 2011 tapahtuneen verkkopimennon kanssa. Tuolloin operaattorit todennäköisesti määrättiin lopettamaan liikenteen reitittäminen ulkomaille. Syyriassa internet-yhteydet oli katkaistu lopettamalla BGP-reittien mainostus ulkomaille. Käytännössä tämä tarkoitti sitä, että ulkomaiset yhteydenotot Syyriassa oleviin verkkoihin eivät löytäneet kohteeseensa. Internet-pimennon kerrottiin häirinneen myös matkapuhelinyhteyksiä. Egyptin tapauksessa verkkorikolliset käyttivät internet-pimentoa hyväkseen. He pystyivät valjastamaan maassa toimineiden operaattoreiden osoitteita omiin tarkoituksiinsa, kuten esimerkiksi roskapostin lähettämiseen tai haittaohjelmien levittämiseen. Tietojen mukaan Syyriassa pimento ei aiheuttanut samanlaista tilannetta, vaikka ennusmerkkejä siihen suuntaan oli olemassa. Hyökkääjät ovat ohjanneet käyttäjät sotketuille sivuille Yhteistä loppuvuoden maatunnushyökkäyksille ja tietomurroille ovat olleet pääsääntöisesti korkean profiilin kohteet kuten Googlen, Applen, Yahoon ja Microsoftin verkkosivustot. Näiden www-palveluiden käyttäjät ohjattiin erisisältöisille, sotketuille sivustoille. Hyökkääjät olivat päässeet käsiksi maatunnuksiin perustuville verkkosivustoille murtauduttuaan ensin maatunnuksista vastaavan rekisteröijän nimipalvelutietoihin. Kohteista saatujen raporttien mukaan hyökkäysten seuraukset jäivät sotkettuihin verkkosivuihin. Lievät vahingot olisivat voineet kehittyä vakavimmiksi, jos hyökkääjät olisivat ohjanneet verkkopalveluiden käyttäjät haittaohjelmia levittävälle sivustolle tai sähköpostitunnuksia urkkivalle tietojenkalastelusivustolle. Vuosikatsaus 2012 4

Suomalaisillekin verkkosivuille on hyökätty Operaattoreiden nimipalvelujärjestelmiin kohdistuneista hyökkäyksistä on raportoitu myös kotimaassa. Hyökkäykset ovat kuitenkin useimmiten jääneet yrityksiksi. Hyökkäyksistä ovat kärsineet vain hyökkäyksen kohteena olleen operaattorin asiakkaat. Suomen.fi-verkkotunnusten niin sanotuista juurinimipalvelimista vastaa Viestintävirasto. Fi-juurinimipalvelimet sijaitsevat eri puolella maailmaa, minkä vuoksi niiden teknistä toimintaa on vaikea vahingoittaa tai katkaista kokonaan. Julkaisujärjestelmiin kohdistuneet tietomurrot Verkkopalvelimiin kohdistuvista hyökkäyksistä voi syntyä uhkaavia tilanteita. Tästä esimerkkinä oli 27.11.2012 tapahtunut tietomurto, jonka seurauksena satoja webhotelli.fi-operaattorin asiakkaiden.fi-verkkosivuja sotkettiin. Operaattori ilmoitti tiedotteessaan (30.11.2012), että hyökkäyksen kohteena olivat haavoittuvat Wordpress- ja Joomla-pohjaiset sivustot. Yleisesti käytössä olevien julkaisujärjestelmien tunnettuja haavoittuvuuksia on toistuvasti käytetty www-palvelimien tietomurroissa. Tilanne on jatkunut samanlaisena vuosia. Vuoden 2012 aikana CERT-FI on tiedottanut sekä Tietoturva nyt!- että haavoittuvuustiedotteissaan useista julkaisujärjestelmiin kohdistuvista tietomurtotapauksista. Viimeaikaiset CERT-FI:n tietoon tulleet tapahtumat on havaittu Joomla, OpenX, Worpress ja Drupal -järjestelmissä. Murtautumiset ovat CERT-FI:n tietojen mukaan kohdistuneet järjestelmiin, joiden ohjelmistoja ei ole säännöllisesti päivitetty tai joiden salasanat ovat olleet helposti selvitettävissä. Murtautuja töhrii www-sivuja ja levittää haittaohjelmia Julkaisujärjestelmillä ylläpidetään useimpia julkisia www-sivuja. Niiden kautta voidaan hakea huomiota levittämällä epäasiallista sisältöä, tahraamalla sivun ylläpitäjän mainetta töhrimällä sivuja, tartuttamalla haittaohjelmia mainoslinkkien välityksellä tai valjastamalla palvelin palvelunestohyökkäykseen. Viimeaikaisissa tapahtumissa Joomla-palvelimia kaapattiin palvelunestohyökkäyksiin, OpenX:n kautta levitettiin haittaohjelmia mainoslinkeissä ja www-sivustojen sisältöä sutattiin. CERT-FI ohjaa käyttäjiä julkaisujärjestelmien turvalliseen ylläpitoon CERT-FI on raportoinut julkaisujärjestelmien haavoittuvuuksista ja niiden kautta järjestelmiin kohdistuneista murroista. Tiedotteiden yhteydessä CERT-FI on kuvannut toimenpiteitä, joilla järjestelmään kohdistunut tietomurto voidaan havaita ja tietomurron seuraukset korjata. CERT-FI:n tavoitteena on lisätä julkaisujärjestelmien käyttäjien tietoisuutta järjestelmän hyväksikäytön uhista, jotta ylläpitäjät pyrkisivät ennaltaehkäisemään tietomurtoja. Tätä pyritään avustamaan selkeillä ohjeilla, kuinka suojautua tietoturvamurroilta. CERT-FI on julkaissut ohjeen verkkopalvelun ohjelmistoalustan Vuosikatsaus 2012 5

valinnasta ja palvelun turvallisesta ylläpidosta (1/2011). Ohjeita annettu myös OpenX-mainosalustan ylläpitäjälle (4/2012). Verkkosivuihin kohdistuneet palvelunestohyökkäykset Verkossa tarjottaviin palveluihin kohdistuneet hyökkäykset nousivat mediahuomion kohteeksi useaan kertaan vuoden 2012 loppupuolella niin kotimassa kuin kansainvälisestikin Suurimman huomion sai kokonaisuutena Suomen laajamittaisin palvelunestohyökkäysten sarja, joka kohdistui merkittäviin kotimaisiin uutissivustoihin joulun välipäivinä 25.-28.12.2012. Kohteena olivat MTV3, Nelonen, YLE, Helsingin Sanomat, Ilta-Sanomat, Iltalehti ja uutisia kokoava Ampparit-sivusto. Hyökkäysten takana oli todennäköisesti sama toteuttaja johtuen kohteiden samankaltaisuudesta, toteutusten teknisestä yhteneväisyydestä ja ajoituksesta. Aiemmin syyskuussa Sanoma Oy:n verkkouutisiin (Helsingin Sanomat ja Ilta- Sanomat) kohdistui palvelunestohyökkäys. Lokakuussa myös Ruotsissa koettiin useita päiviä kestänyt hyökkäysten sarja. Hyökkäykset kohdistuivat uutispalveluihin, pankkeihin ja julkishallinnon palvelimiin mukaan lukien Ruotsin CERT-SE. Tekijöiksi ilmoittautui Anonymous -ryhmä. Tekojen taustalla ilmoitettiin olevan Julien Assangen tukeminen sekä PirateBayn toiminnan estäminen. Tekojen motiivi, toteutus ja seuraukset Palvelunestohyökkäysten motiivina on usein huomion herättäminen. Syy voi olla yksittäisen tahon huomionhakuisuus, näyttämisen halu tai laajemman yhteiskunnallisen aiheen esiin tuominen. Hyökkäyksen kohteena oleva palvelu voidaan ylikuormittaa kohdistamalla siihen samanaikaisesti useita yhteyksiä tai ylikuormittamalla tietoliikenneyhteyden kapasiteetti suurella liikennemäärällä. Palvelimen ohjelmistossa tai sivuston toteutuksessa voi olla myös haavoittuvuuksia, jotka altistavat palvelimen ylikuormitukselle. CERT-FI:n selvityksessä olleet viimeaikaiset suomalaisiin palveluihin kohdistuneet palvelunestohyökkäykset on toteutettu käskemällä kaapattujen tietokoneiden muodostamaa verkkoa (bottiverkkoa) tai murrettuja palvelimia ottamaan yhteyttä yhtäaikaisesti samaan kohteeseen väärennettyä lähdeosoitetta käyttäen. Palvelunestohyökkäyksen seurauksena palvelun käyttö estyy tai hidastuu merkittävästi. Verkkosivut eivät lataudu ja verkkopalveluihin (kuten pankkipalvelut) ei pääse kirjautumaan. Hyökkäyksen ennaltaehkäisy ja torjunta Väärennettyjen lähdeosoitteiden käyttäminen vaikeuttaa palvelunestohyökkäysten torjumista. Internet-yhteydentarjoaja voi tarkistaa verkosta lähtevän liikenteen osoitteet ja estää väärennettyjen osoitteiden ulospääsyn, eli rajoittaa verkosta lähtevää todennäköisesti haitalliseksi tarkoitettua liikennettä. Suuri osa maailman Vuosikatsaus 2012 6

verkko-operaattoreista on toteuttanut suositusten mukaiset suodatukset, mutta suodattamattomia verkkoja on yhä lukuisia. Suomessa internet-yhteydentarjoajien on noudatettava suodatuksiin liittyvää määräystä. Määräyksen mukaan asiakasliittymistä on suodatettava sellainen liikenne, jonka lähdeosoite on jokin muu kuin asiakasliittymälle tarkoitettu osoite. Tämän vuoksi palvelunestohyökkäyksen toteuttaminen väärennetyillä lähdeosoitteilla Suomesta käsin on vaikeaa. Palvelunestohyökkäyksen kohdistuessa verkossa tarjottavaan palveluun (esim. wwwsivut, verkkopalvelut) on olennaista havaita hyökkäys ajoissa ja estää haitallisen liikenteen pääsy palvelimelle. Kun palvelun kapasiteetin sietokyky on mitoitettu kohtuullisiin nousuihin ja palveluntarjontaa on hajautettu rakenteellisesti, palvelunestohyökkäyksen vaikutuksiin voidaan reagoida nopeammin ja tehokkaammin. Suomessa myös viestintäverkkoja ylläpitävillä teleyrityksillä on Viestintäviraston määräysten mukaan oltava tekninen valmius suodattaa verkkoon kohdistuvaa haitallista liikennettä. Kohdistetut haittaohjelmatartunnat Kohdistettu hyökkäys on tiettyyn toimijaan tai toimijajoukkoon suunnattu kohteen erityispiirteet huomioiva tietoturvaloukkaus. Hyökkääjä valikoi kohteensa tarkasti kohteen merkityksen tai kohteen hallussa olevien tietoaineistojen tai muiden vastaavien seikkojen perusteella. Hyökkääjän motiivina voi olla esimerkiksi yritysten tai valtioiden arkaluontoisten tietojen varastaminen. Kohteiden valikoimisesta johtuen hyökkäyksestä voi onnistuessaan aiheutua merkittäviä vahinkoja. Toukokuun lopussa tietoturvayhtiö Kaspersky julkisti tiedon löytämästään hyvin kehittyneestä haittaohjelmasta, jota kutsutaan nimillä Flame, Flamer tai Skywiper. Flame on etäohjattava tietoja varastava haittaohjelma, jonka epäillään luodun tiedustelutarkoituksiin. Se kerää saastuneen tietokoneen järjestelmä- ja verkkotietojen lisäksi käyttäjän kirjautumistietoja, kuvakaappauksia, video- ja äänitallenteita, tiedostolistauksia, sovelluksista tallennettuja dokumentteja ja kuvatiedostoja. Lisäksi ohjelma tutkii tiedostojen metatietoja, kuten dokumenttien tekijöitä ja kuvien paikkatietoja. Flame voi seurata myös tietokoneesta lähtevää sähköpostiliikennettä. Tuoreimpien tietojen mukaan haittaohjelman laatija on komentanut vielä jäljellä olevat Flame-ohjelmat poistamaan itsensä saastuttamistaan tietokoneista ilmeisesti siksi, että ohjelmien tarkempi tutkiminen vaikeutuisi. Tammikuussa 2013 venäläinen tietoturvayhtiö Kaspersky Lab on julkaissut raportin vakoiluohjelma Red Octoberista. Tartunnan saaneita tietokoneita on tunnistettu useita satoja eri puolilta maailmaa. Haittaohjelman tarkoituksena on ollut varastaa tiedostoja kohdeorganisaatioista. CERT-FI on varoittanut kohdistetuista haittaohjelmista vuodesta 2006 alkaen. Viime vuosien merkittävimpiä kohdistetuissa hyökkäyksissä käytettyjä haittaohjelmia ovat olleet Stuxnet (2010) ja Ghostnet (2009). Kohdistetun hyökkäyksen aiheuttamat vahingot jäävät sitä vähäisimmiksi mitä aikaisemmin hyökkäys havaitaan. Tämä on mahdollista esimerkiksi järjestelmien lokitietoja tai poikkeavaa toimintaa seuraamalla. Vuosikatsaus 2012 7

Java-haavoittuvuus CERT-FI julkaisi vuoden 2012 aikana useita artikkeleita, jotka liittyivät suorasti tai epäsuorasti Oracle:n Java-ajoympäristön haavoittuvuuksiin. Vuoden aikana Javasta korjattiin 62 haavoittuvuutta. Näistä 25 olivat sellaisia kriittisiä haavoittuvuuksia, jotka korjaamattomina voivat johtaa tietokoneen välittömään saastumiseen wwwselailun yhteydessä. Useampaa kriittistä haavoittuvuutta käytettiinkin laajasti hyväksi haittaohjelmien levittämiseen. Ongelma juontaa juurensa siitä, että verkkosivuilla oleva haittaohjelmakoodi pääsee tietokoneelle www-selaimeen asennetun Java-lisäosan (plugin) kautta. Juuri Javan haavoittuvuuksia hyödyntävää haittaohjelmakoodia on löytynyt myös monelta suomalaiselta www-sivuilta. Haitallinen koodi on yleensä ujutettu verkkosivulle esimerkiksi SQL-injektion mahdollistavan julkaisujärjestelmän haavoittuvuuden kautta. Haitallista koodia on levitetty myös sivulla näytettyjen kolmansien osapuolten mainosten kautta. Java on käyttöjärjestelmästä riippumaton, joten siinä olevia haavoittuvuuksia on mahdollista käyttää hyväksi hyvin laajasti. Haavoittuvuuksien avulla Windows-tietokoneille on jaettu pääosin tietokoneen lukitsevia kiristyshaittaohjelmia sekä tietoja varastavia haittaohjelmia (kuten Pony, ZeuS ja Citadel). Mac OS X -käyttöjärjestelmää on taas kiusannut Flashback-troijalainen, sekin Java-haavoittuvuuden avulla jaettu. Paras keino suojautua Javassa olevia haavoittuvuuksia vastaan on poistaa Javalisäosa selaimesta kokonaan. CERT-FI on elokuussa julkaissut Tietoturva nyt! -uutisen siitä, miten toimenpide tehdään eri selaimissa. Mikäli Javaa syystä tai toisesta ei voi poistaa, voi haavoittuvuuden hyväksikäyttöä vastaan suojautua Javan estävien lisäosien avulla (esim. NoScript Firefoxille ja tai ScriptSafe Chromelle). Tietokoneen lukitseva haittaohjelma yhä monen vaivana Ensimmäisen kerran CERT-FI julkaisi Tietoturva nyt! -uutisen poliisin nimissä rahaa vaatineesta kiristyshaittaohjelmasta 8.3.2012. Saman Reveton-haittaohjelman eri versiot ovat aiheuttaneet harmaita hiuksia monelle suomalaiselle tietokoneenkäyttäjälle koko loppuvuoden. CERT-FI on saanut asiasta runsaasti kysymyksiä, avunpyyntöjä sekä havaintoja haittaohjelman uusista versioista myös alkuvuonna 2013. Kyse ei ole poliisin tiedotteesta, joten älä maksa Kyseessä on niin sanottu ransomware eli haittaohjelma, jolla pyritään saamaan rahaa koneen käyttäjältä. Suomessa esiintyneessä versiossa "lunnaat" on ohjattu maksamaan kansainvälisen Paysafecard-maksujärjestelmän kautta. Kiristyshaittaohjelman eri versioita on levitetty myös muualla Euroopassa ja Australiassa. Euroopassa tietoja vastaavista havainnoista on tullut ainakin Saksasta ja Isosta-Britanniasta. Kaikkialla käyttäjä on saanut kiristysviestin koneensa näytölle omalla äidinkielellään. Yksi CERT-FI:n tutkima uusi haittaohjelmaversio latautui koneelle vanhentuneen Java-ajoympäristön vuoksi. Vuosikatsaus 2012 8

Mac-tietokoneita bottiverkossa Huhtikuun alkupuolella löytyi noin 600 000:n Apple Mac OS X -käyttöjärjestelmää käyttävän orjakoneen muodostama bottiverkko. Tietoja varastavaa Flashbackhaittaohjelmaa levitettiin pääasiassa murrettujen internet-sivustojen kautta. Bottiverkkoon kuului pahimmillaan arviolta vajaat 300 suomalaista Mac-tietokonetta. Nimipalvelimet hyökkäysten apuna DNS-nimipalvelimia käytettiin vuonna 2012 vahvistamaan palvelunestohyökkäyksiä tekemällä erityisesti ANY-tyyppisiä nimipalvelukysymyksiä. Hyökkäysten torjumiseksi palvelimen ylläpitäjä voi rajoittaa tai hidastaa vastaamista yksittäisestä IP-osoitteesta tai osoitelohkosta tuleviin toistuviin nimipalvelukyselyihin. Vuosikatsaus 2012 9

CERT-FI Autoreporter -järjestelmä CERT-FI Autoreporter on CERT-FI:n vuodesta 2006 alkaen tuottama palvelu, joka kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja ja raportoi niistä verkkojen ylläpitäjille. Järjestelmän kehittämisen myötä sisäinen tilastointi on tehostunut ja helpottunut. Yksi tilastointiin liittyvä uutuus on järjestelmän läpi kulkeneiden havaintojen julkistaminen avoimena datana. Vuonna 2012 järjestelmä käsitteli automaattisesti runsaat 184000 raporttia. Luku on lähes 6% pienempi kuin vuonna 2011. Valtaosa vuoden 2012 havainnoista liittyi haittaohjelmatartunnan saaneisiin tietokoneisiin, jotka on kaapattu bottiverkon osaksi. Verkkomadot tai verkkojen skannausyritykset ovat lukumäärältään jääneet marginaali-ilmiöiksi. Viat ja häiriöt Viestintäverkkojen ja -palvelujen häiriöiden näkökulmasta vuosi 2012 oli pääosin rauhallinen, alkuvuoden luonnonilmiöistä huolimatta. Vakavista häiriötilanteista teleyritykset ilmoittivat viestintävirastolle kiireellisesti 17 kertaa. Näihin kuuluivat häiriöt puhe- ja internet-yhteyspalveluissa sekä TV- ja radiopalveluissa. Ajoittaisia häiriöitä oli lisäksi sähköpostipalveluissa. Pääosin häiriöt ajoittuivat yöaikaan, eikä niillä ollut merkittäviä asiakasvaikutuksia. Luonnonilmiöt värittivät alkuvuotta Vuoden 2011 joulun välipäivinä laajasti koko eteläisen Suomen metsiä ravistellut Tapani-myrsky vaikutti viestintäverkkojen toimivuuteen useita päiviä. Tammikuun puolessa välissä tykkylumi kerääntyi puihin katkaisten jälleen sähkölinjoja. Kaakkois- Suomessa vaikutukset ulottuivat myös matkaviestinverkkojen tukiasemien sähkönsaantiin ja näin myös kaikkien merkittävien matkaviestiverkko-operaattoreiden palveluihin. Häiriötilanteet korjataan nopeasti Kestoltaan vakavista häiriöistä vain 3 kesti yli 6 tuntia ja peräti 40 % korjattiin alle tunnissa häiriön alkamisesta. Useiten häiriöitä aiheuttivat verkkojen muutostyöt. Joka neljäs häiriötilanne johtui verkkopäivityksistä, ohjelmistovirheistä tai konfigurointiongelmista. Viestintävirastolle raportoitujen häiriötilanteiden syyt ovat kuitenkin vaihdelleet, eikä merkittävää yksittäistä häiriönaiheuttajaa vuodelta 2012 ole noussut esille. Useamman vuoden aikavälillä tarkasteltuna häiriöiden merkittävimmät aiheuttajat ovat olleet luonnonilmiöiden (myrskyt, tykkylumi) aiheuttamat yleisen sähköverkon katkokset. Häiriöitä aiheuttavia sähkökatkoksia ei esiinny kovin usein, mutta häiriöiden keston vuoksi niiden vaikutukset ovat merkittäviä. Vuosikatsaus 2012 10

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute