Tietoturvakatsaus 3/2013 Tietoturvakatsaus 3/2013
Sisällysluettelo 1. Tietoturvakatsaus 3/2013... 4 2. KAUDEN MERKITTÄVIÄ TAPAHTUMIA... 5 2.1 HAVARO-järjestelmä tarkkailee suomalaisten tietoverkkojen tietoturvaa... 5 2.2 Viestintäverkkojen viat ja häiriöt saavat visuaalisen muodon Viestintäviraston häiriökarttapalvelussa... 5 2.3 Tietomurto Belgacom-operaattorin sisäverkkoon... 7 3. UUDET ILMIÖT... 8 3.1 Palvelunestohyökkäysaalto Suomessa... 8 3.1.1 Hyökkäyksillä on ominaispiirteensä... 8 3.1.2 Hyökkäykselle voimaa bottiverkolla ja vahvistavalla peilaamisella... 8 3.1.3 Chargen-suodatus käyttöön... 9 3.2 Suomalaisten käyttäjien tunnuksia ja salasanoja varastettu tietomurtojen sarjassa... 9 3.2.1 Tietomurtokohteet tavoitettiin hyvin... 10 3.2.2 Ohjelmistojen päivittäminen ja avoin tiedottaminen on tärkeää... 10 3.3 Tietomurrot osana nykyaikaista tiedustelutoimintaa ja informaatio-operaatioita... 11 3.4 Mobiiliverkon SIM-korteissa haavoittuvuuksia... 11 3.5 IPMI-etähallintaprotokollassa useita haavoittuvuuksia... 12 3.6 Flash-SMS-huijausviestejä suomalaisille... 12 4. PITKÄKESTOISET ILMIÖT... 14 4.1 Selaimet, selainlisäosat ja julkaisujärjestelmät... 14 4.2 Ohjelmistohaavoittuvuudet koskevat myös älypuhelimia... 15 5. YLEISEN VIESTINTÄVERKON POIKKEAMAT... 16 5.1 Viestintäverkkojen vika- ja häiriöilmoitukset... 16 5.1.1 Verkkojen ja palveluiden toimivuutta on seurattu aiempaa tiiviimmin vuoden alusta alkaen... 16 5.1.1.1 Häiriöiden kohdistuminen viestintäpalveluihin... 16 5.1.1.2 Häiriöiden taustasyyt... 17
5.1.1.3 Häiriöiden korjausajat... 19 5.2 CERT-FI-tapahtumailmoitukset... 19 5.2.1 Autoreporter-havainnot eritellään omiksi kategorioikseen... 20 5.2.1.1 Suspected Spambot... 21 5.2.1.2 Bot... 21 5.2.1.3 Scan... 22 5.2.1.4 Other... 22 5.2.1.5 Autoreporterin päivittäiset Incidents daily -havainnot... 23 5.2.2 Autoreporterin haittaohjelmahavainnot... 23 5.2.2.1 Conficker... 23 5.2.2.2 Zero Access... 25 5.2.2.3 Tietoja varastavat haittaohjelmat Zeus ja Citadel... 25 Tietoturvakatsaus 3/2013 3
1. Tietoturvakatsaus 3/2013 Viestintäviraston poikkeamanhallinnan kolmas vuosineljännes, heinäkuusta syyskuuhun, vuonna 2013 oli jonkin verran edelliskautta rauhallisempi. Rauhallisuutta selittänee myös kaudelle ajoittuva kotimaan kesälomakausi. Tosin suurilta sähkölinjoja katkovilta myrskyiltäkin vältyttiin. Heinä elokuussa CERT-FI:hin otettiin yhteyttä yhteensä 872 kertaa, kun huhti kesäkuussa määrä oli hieman yli tuhat. Yhteydenotot liittyivät eniten haittaohjelmiin kuin myös edelliskausina. Tämä aihetrendi on jatkunut samankaltaisena jo vuodesta 2006. Kauden aikana CERT-FI:lle toimitettiin yhteensä 15 tietoturvailmoitusta, jotka perustuivat Viestintäviraston määräykseen 9. Huomion arvoista on, että tietoturvailmoitukset koskivat pääasiassa palvelunestohyökkäyksiä. Ero edelliskauteen on kiistaton, sillä maalis kesäkuussa ilmoituksia saatiin pääasiassa tietomurroista. Myös teleyritykset raportoivat viestintäverkkojensa vioista ja häiriöistä maltillisesti. Heinä-syyskuun aikana Viestintävirasto vastaanotti yhteensä 40 M 57:n mukaista vika- ja häiriöilmoitusta, joista laajoja vikoja raportoitiin virastolle 10. Kevätkesällä 2013 viestintäverkkojen vika- ja häiriötapauksia raportoitiin Viestintävirastolle 58. Vakavia A-vikoja tapahtui niin heinä syyskuussa kuin maalis kesäkuussa saman verran, yhteensä kolme. Tietoturvakatsaus 3/2013 on jaettu neljään eri osioon: merkittäviin kaudenaikaisiin tapahtumiin, uusiin ja pitkäkestoisiin ilmiöihin sekä yleisen viestintäverkon poikkeamatapauksiin. Kauden merkittävissä tapahtumissa kerrotaan HAVARO-järjestelmän kuulumisista sekä Viestintävirason häiriökarttapalvelun edistymisestä. Uudet ilmiöt -osiossa keskitytään muun muassa Suomessa tapahtuneeseen palvelunestohyökkäysaaltoon MTV3:n Katsomo-palvelua sekä Viestintäviraston cert.fisivustoa kohtaan. Uutena ilmiöinä esitellään myös mediakohua nostattanut kotimainen tietomurtosarja ja tuodaan esiin, kuinka tietomurrot ovat osa nykyaikaista tiedustelutoimintaa. Pitkäkestoisissa ilmiöissä puolestaan eritellään selaimien, selainlisäosien ja julkaisujärjestelmien sekä älypuhelinten haavoittuvuuksia, toisin sanoen tietoturvapuutteita. Lopuksi kerrotaan heinä syyskuussa Viestintävirastolle raportoiduista yleisen viestintäverkon poikkeamista, muun muassa CERT-FI:lle lähetetyistä tapahtumailmoituksista, CERT-FI:n Autoreporter-työkalun tekemistä haittaohjelmahavainnoista ja teleyritysten ilmoittamista viestintäverkkojen vika- ja häiriötapauksista. Tietoturvakatsaus 3/2013 4
2. KAUDEN MERKITTÄVIÄ TAPAHTUMIA 2.1 HAVARO-järjestelmä tarkkailee suomalaisten tietoverkkojen tietoturvaa HAVARO on alun perin kriittisen infrastruktuurin havainnointi- ja varoitusjärjestelmä. Järjestelmä perustuu erilaisiin haitallista liikennettä tunnistaviin osiin, joista tuotetaan huoltovarmuuskriittisille yrityksille tietoa sekä niiden tietoverkoista lähtevistä, että niiden tietoverkkoihin kohdistuvista uhkista. Haitallisen liikenteen havaitsemiseksi käytetään erilaisia tunnisteita, jotka perustuvat sekä Viestintäviraston omiin tutkimuksiin että viraston luotettujen kumppaneiden tuottamaan tietoon uhkista. Monet eurooppalaiset CERT-toimijat käyttävät vastaavia järjestelmiä asiakkaidensa verkoissa. Suomessa HAVARO-järjestelmä on ollut käytössä vuodesta 2011, ja sen asiakaspiiri on laajentunut. Järjestelmää pilotoidaan parhaillaan myös valtionhallinnon verkossa. Järjestelmä itsessään perustuu kaupallisiin tuotteisiin, avoimeen lähdekoodiin ja räätälöityihin ratkaisuihin. HAVARO-järjestelmää kehitetään edelleen vastaamaan kasvavan asiakasmäärän tarpeisiin. Myös sen kykyä havaita erilaisia uhkia parannetaan. Käytettävyyden merkitys järjestelmäkehityksessä on ollut suuri havaintomäärien kasvaessa. HAVARO on ensimmäisten toimintavuosiensa aikana osoittanut hyödyllisyytensä verkkouhkien havaitsemisessa. Järjestelmä karsii tehokkaasti esimerkiksi CERT-FIpäivystäjän tarkastettavaksi tulevaa tapausmäärää yhdistämällä samankaltaisia tapauksia yhdeksi kokonaisuudeksi. Tekniikka ei pysty kuitenkaan korvaamaan ihmistä havaintojen käsittelyssä. CERTpäivystäjän työ havaintojen arvioinnissa on olennaisen tärkeää, ja tämä vaatii pitkäjänteistä työtä. Havaintojen käsittely vaatii lisäksi päivystäjiltä jatkuvaa tietotaidon ylläpitoa. HAVARO-järjestelmä on hyödyttänyt CERT-FI:n toimintaa myös tarjoamalla ensikäden havaintolähteen verkon eri uhkiin ja trendeihin. Vastaavasti maailmalla tehtyjen havaintojen esiintymistä suomalaisissa verkoissa voidaan tarkkailla. 2.2 Viestintäverkkojen viat ja häiriöt saavat visuaalisen muodon Viestintäviraston häiriökarttapalvelussa Häiriökarttapalvelun tavoitteena on helpottaa käyttäjiä hahmottamaan viestintäverkkovikojen vaikutuksia niin ajallisesti kuin maantieteellisestikin. Palvelun tarkoitus on myös tukea teleyritysten tämänhetkisiä tiedottamiskäytäntöjä, jotka perustuvat Viestintäviraston määräykseen 57. Viestintäverkkojen häiriöiden seuranta on Viestintäviraston jatkuvaa, niin kutsuttua hiljaista työtä. Seurantatyön merkitys nousee esiin erityisesti vakavien myrskyjen aikaan. Virasto saa tiedon viestintäverkon häiriöstä, kun teleyritys lähettää tilanteesta vika- ja häiriöilmoituksen. Tarvittaessa, Ilmoituksen perusteella, Viestintävirasto voi laatia esimerkiksi julkisen vika- ja häiriötiedotteen häiriön vakavuuden sekä omien Tietoturvakatsaus 3/2013 5
tiedottamiskäytäntöjen mukaisesti. Viestintävirasto seuraa erityisesti vakavia ja laajoja sekä pitkäkestoisia häiriöitä ja häiriöiden alueellisia yhteisvaikutuksia esimerkiksi myrskyjen aikaan. Laajoista pitkäkestoisista häiriöistä tiedotetaan julkisesti häiriön jatkuessa yli kahdeksan tuntia. Usean teleyrityksen samanaikaisten häiriöiden yhteisvaikutuksista tiedotetaan julkisesti, kun kyseessä on laaja yhtenäinen alue. Jatkossa tiedottamistavat tulevat muuttumaan, kunhan Häiriökarttapalvelu otetaan käyttöön. Kuva 1 Häiriökarttapalvelun avulla voidaan seurata merkittäviä viestintäverkkojen häiriötilanteita ja vaikuttavuutta maantieteellisesti Vuosittain teleyritysten luokittelemia häiriöilmoituksia kertyy noin 200. Kutakin häiriöilmoitusta teleyritykset päivittävät sitä mukaa, kun vikatilanne muuttuu. Yksittäisten ilmoitusten perusteella luodaan kokonaiskuvaa häiriötilanteesta. Kun häiriö on ohi ja sen taustasyyt on selvitetty, teleyritys lähettää Viestintävirastoon loppuraportin. Palvelukohtaisesti ilmoittamiskynnykset ovat kuvattu Viestintäviraston määräyksessä 57. Esimerkiksi puhelinpalveluiden häiriöistä teleyrityksen on ilmoitettava virastolle, kun yli 1 000 asiakkaan puhelinpalvelu tietyllä alueella ei toimi häiriöittä (C-luokka). Häiriöilmoitus on tehtävä erityisen nopeasti, jos häiriö vaikuttaa yli 100 000 käyttäjään (A-luokka). Vikatilanteiden ilmoitusvelvollisuuden lisäksi teleyrityksien on tiedotettava asiakkaitaan kaikista yli tunnin kestävistä 250 käyttäjään vaikuttavista häiriöistä omilla verkkosivuillaan. Tietoturvakatsaus 3/2013 6
2.3 Tietomurto Belgacom-operaattorin sisäverkkoon Heinäkuussa Belgian merkittävin teleoperaattori Belgacom havaitsi omassa verkossaan kohdistetun haittaohjelmahyökkäyksen. Asiasta on käynnissä poliisitutkinta Belgiassa. Saksalaisen Der Spiegel -lehden julkaisemista Snowdendokumenteista käy ilmi hyökkäyksen mahdollinen yhteys Ison Britannian signaalitiedustelupalveluun (GCHQ). Tietoturvakatsaus 3/2013 7
3. UUDET ILMIÖT 3.1 Palvelunestohyökkäysaalto Suomessa Elo-syyskuun vaihteessa useisiin suomalaisiin verkkosivustoihin kohdistui palvelunestohyökkäysten sarja. Näistä julkisuudessa ovat olleet esillä MTV:n Katsomo-palvelu (katsomo.fi) sekä Viestintäviraston cert.fi-sivusto. Hyökkäysten aikana osa Katsomo-palvelun käyttäjistä ei päässyt kirjautumaan palveluun ja osalla kirjautuminen hidastui. Puolestaan Viestintäviraston www.cert.fi oli hetken tavoittamattomissa, kun sivustolle hyökättiin kahteen eri otteeseen 1.9.2013. Viestintävirasto teki hyökkäyksestä rikosilmoituksen. Hyökkääjäksi ilmoittautui Katsomo-palvelun Facebook-sivuilla tuntemattomaksi jäänyt nimimerkki, joka vaati Katsomon omistavalta MTV3:lta noin tuhannen euron korvausta hyökkäysten lopettamiseksi. 3.1.1 Hyökkäyksillä on ominaispiirteensä Palvelunestohyökkäyksissä tarkoituksena on kuormittaa kohdetta suurella liikennemäärällä, joka voi tukkia palvelimen tietoliikenneyhteyden sekä kuormittaa palvelinta. Lisäksi voidaan lähettää palvelimelle sellaisia pyyntöjä, jotka kuormittavat sitä vielä lisää. Elo-syyskuun vaihteen hyökkäyksissä nähtiin molempia piirteitä. Tyypillisenä piirteenä voidaan pitää myös sitä, että sekä hyökkääjät että heidän tarkoitusperänsä jäävät tuntemattomiksi. Taloudellisen edun tavoittelun sijaan, esimerkiksi nimimerkin takana piilottelevan hyökkääjän, motiivina pidetäänkin huomionhakuisuutta. Hyökkäykset suosittuja tai muuten näkyviä verkkopalveluja kohtaan ovat ilmiö, johon on syytä varautua. Suomessa kohteina ovat usein olleet juuri tiedotusvälineiden sivustot sekä toisinaan myös viranomaisten palvelut. Etenkin sähköisten tiedotusvälineiden verkkosivuihin kohdistuu palvelunestohyökkäysyrityksiä lähes jatkuvasti. Onneksi niistä vain harvat vaikuttavat palvelujen käytettävyyteen. Hyökkäysyritysten tekijät ja heidän motiivinsa jäävät myös useimmiten tuntemattomiksi. 3.1.2 Hyökkäykselle voimaa bottiverkolla ja vahvistavalla peilaamisella Viime aikoina suosituksi hyökkäystavaksi on tullut chargen-palvelun hyödyntäminen. Samaa hyökkäystapaa käytettiin myös palvelunestohyökkäyksissä katsomo.fi:tä ja cert.fi:tä vastaan. Alkujaan chargen on yhteyksien testaamiseen luotu palvelu, joka palauttaa chargenpalvelun käyttämään TCP- tai UDP-porttiin lähetetyn paketin vastaukseksi yhden tai useamman paketin. Palautunut paketti sisältää merkityksetöntä tekstiä. Koska palvelu toimii myös UDP:llä, sitä voidaan käyttää palvelunestohyökkäyksissä väärentämällä chargen-palveluun lähetetyn paketin lähdeosoitteeksi hyökkäyksen kohteena oleva osoite. Koska vastauspaketti on huomattavan paljon alkuperäistä yhteydenottoa suurempi, hyökkäykselle saadaan näin myös vahvistava vaikutus sen lisäksi, että hyökkääjän osoite ei paljastu. Tietoturvakatsaus 3/2013 8
Chargen on harvoin tarpeellinen, mutta se kuuluu useimpien TCP/IP-toteutusten peruspalveluihin, ja se on myös usein päällä, jos sitä ei erikseen kytketä pois. Varsinaisten tietokoneiden lisäksi chargen-palvelua voivat tarjota esimerkiksi laajakaistareitittimet. Tämän vuoksi internetistä löytyy paljon chargen-palvelua tarjoavia laitteita, minkä ovat huomanneet myös palvelunestohyökkäyksissä käytettäviä työkaluja ohjelmoivat toimijat. Muutkin UDP:tä käyttävät palvelut ovat hyökkääjien suosiossa. Internetin DNSnimipalvelimet ovat elintärkeä osa verkon infrastruktuuria, mutta niitäkin voidaan käyttää hyökkäysten vahvistimina. Resolveripalvelinten käyttö onkin syytä sallia vain tarpeellisille IP-osoitealueille. On odotettavissa, että sitä mukaa kun hyökkäyksissä käytettyjä palveluja kytketään pois päältä tai niiden käyttöä rajoitetaan, hyökkääjät siirtyvät käyttämään muitakin UDP:llä toimivia palveluja. 3.1.3 Chargen-suodatus käyttöön Viestintävirasto teki syyskuussa huoltovarmuuskriittisille toimijoille kyselyn, jossa tiedusteltiin valmiuksia ja mielipiteitä chargen-palvelun käyttämään porttiin kohdistuvan tietoliikenteen suodattamisesta. Suurin osa vastaajista katsoi, ettei suodattamisesta ole haittaa, ja osa teleoperaattoreista ja yrityksistä oli jo ottanut sen käyttöön. Viestintävirasto antoikin suosituksen, jonka mukaan chargen-liikennettä voi suodattaa, jos siitä ei aiheudu haittaa käyttäjille. Paras tapa estää UDP-protokollaan ja väärennettyihin lähdeosoitteisiin perustuvat hyökkäykset olisi se, että operaattorien verkoista voisi liikennöidä ulospäin vain operaattorin hallintaan kuuluvilla lähdeosoitteilla. Tämä on kuvattu IETF:n Best Current Practice -suosituksessa BCP38, jota on myöhemmin päivitetty dokumentilla RFC2827. Viestintäviraston määräyksessä internet-palvelujen tietoturvasta (M13) määrätään operaattoreita suodattamaan vieraista lähdeosoitteista peräisin oleva liikenne omista verkoistaan. Operaattoreilta edellytetään myös kykyä selvittää se, että mistä haitallista liikennettä heidän verkkoonsa tulee. 3.2 Suomalaisten käyttäjien tunnuksia ja salasanoja varastettu tietomurtojen sarjassa Syyskuussa Viestintävirasto sai käsiteltäväksi poliisilta teknisen aineiston, joka kuului tietomurrosta epäillylle henkilölle. Selvitykset osoittivat, että tietomurtoepäilty oli saanut haltuunsa satojen tuhansien ihmisten käyttäjätietoja yli sadan sivuston kautta. Murtojen sarja koski myös suurta joukkoa suomalaisia, mikä kävi ilmi tietomurtojen yhteydessä paljastuneiden käyttäjätietojen kokonaismäärästä. Koska murtautuja oli päässyt käsiksi sellaisiin käyttäjätunnuksiin ja salasanoihin, joita käytettiin muissakin palveluissa, murron vaikutukset ulottuivat myös muihin kuin varsinaisen tietomurron kohteena olleisiin palveluihin. Kohdesivustojen ja käyttäjätietojen määrän vuoksi teko Tietoturvakatsaus 3/2013 9
oli niin vakava, että Viestintävirasto julkaisi salasanojen käyttöön liittyvän varoituksen. Myös lista tietomurron kohteista julkaistiin varoituksen yhteydessä. 3.2.1 Tietomurtokohteet tavoitettiin hyvin Suomalaisten lisäksi murtosarja koski suurta ulkomaalaisjoukkoa. Viestintävirasto on välittänyt tiedot ulkomaisille kohteille maiden kansallisten CERT-toimijoiden kautta. Näissä tapauksissa tapauksen käsittely jatkuu paikallisesti. CERT-FI sai tavoitettua kaikki suomalaiset tietomurron tai -yrityksen kohteet tai kohteena olleiden palvelujen ylläpitäjät. Syyskuun lopussa noin 60 % CERT-FI:n informoimista kohteista vahvisti murron tapahtuneen tai kohde jakoi tietoa murron toteutuksesta CERT-FI:n kanssa. Osaa kohteista ei tavoitettu tietojen täsmentämiseksi. Yhteydenotot tietomurtokohteisiin jatkuvat yhä seuraavalla vuosineljänneksellä. Kun tietomurtosarja nousi julkisuuteen, Viestintävirastoa kritisoitiin siitä, ettei kaikkia murtokohteita sisältävää listaa julkaistu heti. Aluksi kattavan kohdelistan julkaisemisesta pidättäydyttiin, jotta mahdollisesti tietomurtoja suunnittelevat eivät aktivoituisi murtautumaan kyseisille sivuille uudelleen. Oli siis ensiarvoisen tärkeää antaa tietomurron kohteille aikaa selvittää tietoturvan puutteet ja suojata palvelunsa. Tarpeettomana pidettiin myös sellaisten murtokohteena olleiden palvelujen listaamista, jotka eivät enää olleet käytössä tai joissa murto ei ollut onnistunut eivätkä käyttäjätiedot olleet vaarantuneet. Myös murtokohteiden listan päivittäminen jatkuu. Poliisitutkinnan keskeneräisyyden vuoksi CERT-FI voi täydentää listaa vain, jos kohde antaa siihen julkaisuluvan. 3.2.2 Ohjelmistojen päivittäminen ja avoin tiedottaminen on tärkeää Yksittäinen tapaus osoittaa, että laajavaikutteisen ja vakavan tietomurtosarjan voi toteuttaa jopa vain yksi asiaan perehtynyt henkilö. Kaikki tietomurtotapaukset eivät koskaan paljastu, ja vaikka paljastuisivatkin, niistä tiedottaminen palvelun käyttäjille tai viranomaisille on hidasta ja puutteellista. Jos tapahtuneista tietomurroista tiedotetaan avoimesti, tietoisuus ilmiöstä lisääntyy ja jatkossa murrot voidaan havaita tehokkaammin. On erittäin suositeltavaa, että tietomurroista ja -epäilyistä raportoidaan CERT-FI:lle. Näin on mahdollista kerätä tapauksista tietoa, minkä avulla on todennäköisempää päästä tekijöiden jäljille. Tietomurtosarjatapaus nostaa esille myös ikuisuusongelman ohjelmistojen päivitysten tarpeellisuudesta. Suurimmassa osassa tapauksissa ajantasaiset ohjelmistopäivitykset olisivat estäneet tai merkittävästi hankaloittaneet tietomurtojen onnistumista. Myös yksilöllisten ohjelmistojen tietoturvan tasoa on jatkuvasti seurattava ja päivitettävä samoin kuin kaupallisia ohjelmistoja. Murrot oli toteutettu pääosin käyttäen SQL-injektioita. Lisäksi hyökkääjä oli hyödyntänyt muun muassa Cross Site Scritpingiä (XXS) ja sivustokohtaisia menetelmiä yksilöllisesti räätälöityihin palveluihin pääsemiseksi. Tietoturvakatsaus 3/2013 10
3.3 Tietomurrot osana nykyaikaista tiedustelutoimintaa ja informaatiooperaatioita Vakoilua ja propagandaa on pyritty hyödyntämään valtiollisessa ja poliittisessa toiminnassa lähes aina. Tekniikan kehittyessä ja maailman tietokoneistuessa on täysin luonnollista, että uusia menetelmiä ja työkaluja halutaan hyödyntää mahdollisimman innovatiivisella tavalla. Puolustusvoimien mukaan viime vuosina julkisuudessa olleissa, kybervakoiluksikin kutsutuissa, tapauksissa nousee esiin kaksi pääteemaa: taloudellis-poliittinen tiedustelu ja terrorismin torjunta. Valtiollinen toimija saattaa turvautua tietomurtoihin saadakseen käsiinsä sellaista informaatiota, joka edistäisi sen kansantaloudellista tai poliittista asemaa. Usein tällainen informaatio liittyy poliittisiin linjauksiin, sotilaallisiin suunnitelmiin tai kalliiseen tekniseen tuotekehitykseen. Koska nykyään lähes kaikki tieto on sähköisessä muodossa, sen anastaminen tietomurtojen avulla on erittäin kustannustehokasta esimerkiksi lahjontaan verrattuna. Terrorismin ehkäisyyn liittyvällä kybermenetelmien käytöllä pyritään tunnistamaan ja jäljittämään tiettyjä, niin sanotusti kiinnostaviksi määriteltyjä, yksilöitä sekä ryhmittymiä. Terroristiryhmittymät käyttävät internetiä kommunikointiin tavallisten kansalaisten tapaan, muun muassa siksi länsimaiset tiedusteluorganisaatiot panostavat paljon internetissä tapahtuvan toiminnan tarkkailuun. Tämän on osoittanut esimerkiksi kevätkesällä alkunsa saanut NSA-kohu. Toisaalta diktatuureissa valtion kontrolloima tietotekninen infrastruktuuri tekee mahdolliseksi myös toisinajattelijoiden seuraamisen. Oman poliittisen viestin levittäminen ja siten vastustajan tahdon heikentäminen on jo pitkään ollut merkittävä osa sodankäyntiä. Nyky-yhteiskunnassa niin kutsutun disinformaation levittäminen onnistuu melko helposti ja tehokkaasti sosiaalisen median kuin lentolehtisten avulla. Oman sanoman julkituomiseksi ei siis välttämättä tarvita tietomurtoja tai haittaohjelmien käyttöä, mutta myös näillä menetelmillä saadaan tuotua omaa asiaa julkisuuteen. Esimerkiksi Syyrian hallituksen sanomaa levittävä "Syrian Electronic Army" -ryhmittymä on noussut julkisuuteen muun muassa länsimaisiin mediataloihin kohdistetuilla tietomurroillaan. Sodankäynti ja sitä tukevat toimet ovat aina muokkautuneet vastaamaan vallitsevaa yhteiskuntaa. Yhä laajempaan ja syvempään tietoyhteiskuntaan siirryttäessä tulevat informaatiotekniset ilmiöt yhä kiinteämmäksi osaksi myös sotilaallista toimintaa. Useat länsimaiset sotilasorganisaatiot ovatkin julkisesti kertoneet panostavansa tietoteknisesti etevien yksilöiden rekrytointiin. 3.4 Mobiiliverkon SIM-korteissa haavoittuvuuksia Saksalainen tietoturvatutkija Karsten Nohl esitteli vuoden 2013 Black Hat - konferenssissa mobiiliverkon SIM-korteista löydettyjä haavoittuvuuksia. Tutkimukset osoittivat, että kahta haavoittuvuutta hyväksikäyttäen hyökkääjän on mahdollista Tietoturvakatsaus 3/2013 11
ottaa haltuun ja mahdollisesti kopioida yksittäinen SIM-kortti. Tutkijat arvioivat, että joka kahdeksas maailmalla käytössä oleva SIM-kortti olisi altis hyökkäyksille. Mobiiliverkon OTA-hallintaviestien (Over the air) käsittelymekanismiin liittyvä haavoittuvuus tekee mahdolliseksi sen, että hallinnan turvaamiseen käytettävä salausavain voidaan selvittää ja siten myös kortti voidaan ottaa haltuun. Haavoittuvuus esiintyy vain SIM-korteissa, joissa käytetään DES-salausta tai 112 bitin 3DES-salausta. Jotta hyökkäys voisi toteutua, hyökkääjällä pitää olla käytössään salauksen purkamista nopeuttavat etukäteen lasketut sateenkaaritaulukot. Toinen haavoittuvuus liittyy tiettyjen SIM-korttien Java-toiminnallisuuden niin sanottuun hiekkalaatikkosuojaukseen. Suojaus erottaa kortin eri sovellukset tietoineen toisistaan. Haavoittuvuutta hyödyntäen hyökkääjän on käytännössä mahdollista kloonata SIM-kortti. Viestintävirasto selvitti yhdessä matkapuhelinpalveluita tarjoavien teleoperaattoreiden kanssa ongelman laajuutta Suomessa. Selvitystyön tuloksena kävi ilmi, että haavoittuvia SIM-kortteja ei Suomessa ole merkittävässä määrin käytössä. Mahdollisia hyökkäysyrityksiä voi ehkäistä asetusmuutoksilla ja matkapuhelinverkossa tehtävillä suodatustoimenpiteillä. CERT-FI:n tietoon ei ole tullut haavoittuvuuksiin liittyviä hyökkäysyrityksiä. 3.5 IPMI-etähallintaprotokollassa useita haavoittuvuuksia Rapid 7 -tietoturvayhtiön heinäkuun alussa tekemän skannauksen tuloksena löytyi yli 100 000 internetiin kytkettyä palvelimen tai palvelinten hallintajärjestelmää, jotka olivat haavoittuvia yhdelle tai useammalle tammikuussa 2013 julkaistulle IPMIprotokollan haavoittuvuudelle. Löydettyjen haavoittuvuuksien avulla hyökkääjä voi päästä palvelimen hallintakäyttöliittymään. Liittymän avulla voi esimerkiksi varastaa käyttäjien tietoja, asentaa haittaohjelmia, tuhota tietoa tai lukita käyttäjiä ulos järjestelmästä. Haavoittuvuuksien hyväksikäyttömenetelmät on julkaistu osana Rapid 7:n haavoittuvuuksien testaamiseen käytettävää Metasploit-ohjelmistopakettia. IPMI-hallintaverkon ei tule olla kytketty suoraan julkiseen internetiin, jollei se ole aivan välttämätöntä. Sekä tutkijat että haavoittuvuuksia hyväksikäyttämään pyrkivät tahot tekevät jatkuvasti koko internetin laajuisia verkkoluotauksia. Haavoittuvat laitteet ja ohjelmistot löydetään joko hyväksikäyttömenetelmän julkaisun jälkeen tai jopa ennen sitä, koska haavoittuvuudet ovat ennen julkaisua usein pienemmän piirin tiedossa. 3.6 Flash-SMS-huijausviestejä suomalaisille Suomalaisiin matkapuhelimiin on lähetelty taas Flash-SMS-huijausviestejä. Viesteissä ilmoitettiin arpajaisvoitoista. Flash-SMS on matkapuhelinten ominaisuus, joka on tarkoitettu alunperin hätäviestien lähettämiseen. Ominaisuus on kuitenkin ollut lähinnä mainostajien käytössä. Flash-SMS-muotoinen tekstiviesti näkyy matkapuhelimen ruudulla mutta ei tallennu Tietoturvakatsaus 3/2013 12
varsinaisesksi tekstiviestiksi. Roskaposteihin kannattaa suhtautua tekniikasta riippumatta samalla tavoin: jättää ne huomiotta. Tietoturvakatsaus 3/2013 13
4. PITKÄKESTOISET ILMIÖT 4.1 Selaimet, selainlisäosat ja julkaisujärjestelmät Saastuneet työasemat ja murretut www-palvelimet ovat kyberrikollisuuden polttoainetta. Ilman näitä elementtejä tietoverkkorikollisuuden elintila olisi merkittävästi nykyistä vähäisempi. Sekä työasemilla että palvelimilla säilytetään tietoja, jotka ovat hyökkääjille rahanarvoisia joko itsessään tai muiden hyökkäysten mahdollistajina. Esimerkiksi eri julkaisujärjestelmät sisältävät vähintäänkin käyttäjien tunnuksia ja salasanoja. Suuri osa käyttäjistä käyttää tiedotuksesta ja valistuskampanjoista huolimatta samoja salasanoja useissa eri palveluissa. Kun käyttäjätunnukset vielä ovat usein sähköpostiosoitteiden muodossa, on hyökkääjän helppo kokeilla samaa salasanaa myös kyseiseen sähköpostitunnukseen. Sähköpostin kautta hyökkääjä pääsee kokeilemaan "unohdin salasanani" -toimintoa muihin palveluihin, jotka on liitetty kyseisiin palveluihin. Tunnusten avulla hyökkääjien on myös helpompi tehdä huijauksia muita käyttäjiä kohtaan, sillä käyttäjät luottavat yleensä helpommin tuttaviensa lähettämiin viesteihin. Tämänkaltaisten hyökkäysketjujen avulla hyökkääjän on mahdollista päästä yhä uusiin palveluihin ja tietoihin käsiksi. Www-palvelimet ovat myös tärkeässä roolissa haittaohjelmien levittämisessä työasemiin. Koska työasemien verkkoa kuuntelevien palveluiden haavoittuvuudet ovat käyneet varsin harvinaisiksi, täysin ilman käyttäjän toimia työasemia saastuttavat haittaohjelmat ovat käytännössä kadonneet. Tämä on pakottanut tietoverkkorikolliset hyväksikäyttämään haavoittuvuuksia laajemman hyökkäyspinta-alan tarjoavissa ohjelmistoissa, kuten www-selaimissa ja niiden lisäosissa ja laajennuksissa. Jotta haavoittuvuuksien hyväksikäyttäminen olisi mahdollista, on uhrit saatava ensin vierailemaan www-sivustolla, johon hyväksikäyttökoodi on asennettu. Tämä puolestaan tapahtuu helpoimmin murtamalla jokin mahdollisimman suosittu wwwsivusto ja lisäämällä sinne sivuston ylläpitäjän huomaamatta hyväksikäyttökoodi, joka asentaa haavoittuvia www-selaimia ja selainliitännäisiä käyttävään työasemaan haittaohjelman. Edellä mainituista syistä www-selaimet, selainlisäosat ja www-sisällön julkaisemiseen kehitetyt järjestelmät ovat olleet suosittu kohde haavoittuvuustutkijoiden ja tietoverkkorikollisten keskuudessa. Kokonaisuudesta tekee turvallisuushallinnan näkökulmasta haastavan se, että samanaikaisesti selainten ja selainlisäosien on kyettävä tulkitsemaan monimutkaisia ja paikoin nopeasti kehittyviä mediaformaatteja mahdollisimman vähän prosessoriaikaa ja muistia käyttäen. Julkaisujärjestelmien kohdalla keskeinen tietoturvallisuutta uhkaava tekijä on ollut julkaisujärjestelmien välinen kilpailu. Koska uusia helppokäyttöisiä toiminnallisuuksia on pyrittävä esittelemään mahdollisimman usein, muutoksia ohjelmistoturvallisuusvaikutuksien arviointiin ja ennaltaehkäisyyn ei ole käytetty riittävästi resursseja. Edellä mainittu toimintaympäristö on johtanut siihen, että myös kuluneen vuosineljänneksen aikana CERT-FI on uutisoinut useasti www-selainten, selainlisäosien ja julkaisujärjestelmien haavoittuvuuksista ja niiden hyväksikäytöstä. Tietoturvakatsaus 3/2013 14
Vaikka julkaisujärjestelmien kohdalla uutiskynnyksen ylittävät tyypillisesti vain laajasti hyväksikäytetyt tai suosittuihin julkaisujärjestelmiin liittyvät haavoittuvuudet, on syytä mainita että julkaisujärjestelmän taustalla käytettyyn ohjelmointikieleen katsomatta vain hyvin harva julkaisujärjestelmä on välttynyt haavoittuvuuslöydöksiltä viime vuosien aikana. Sama pätee myös selaimiin ja niiden lisäosiin. Mikään suosituimmista selaimista ei erotu merkittävästi joukosta haavoittuvuustilastoissa. Kuluneen vuosineljänneksen aikana haavoittuvuustiedotteita on julkaistu koskien Microsoft Internet Explorer, Google Chrome ja Mozilla Firefox -selaimia. Haavoittuvuudet ovat koskeneet kaikkia työasemakäyttöjärjestelmäalustoja. 4.2 Ohjelmistohaavoittuvuudet koskevat myös älypuhelimia Kilpailu eri valmistajien kesken on johtanut haavoittuvuuksien yleistymiseen myös älypuhelimissa. Uusia puhelinmalleja ja käyttöjärjestelmäversioita julkaistaan tiuhaan, ja puhelinten toiminnallisuudet ja täten niiden sisältämän koodin määrä kasvaa jatkuvasti. Kun koodia tuotetaan nopeasti suuria määriä, johtaa se lähes poikkeuksetta haavoittuvuuksien määrän kasvuun. CERT-FI julkaisi syyskuussa haavoittuvuuskoordinaatioprojektin, jossa Applen ioskäyttöjärjestelmästä korjattiin kahden haavoittuvuustutkijan raportoimia haavoittuvuuksia käyttöjärjestelmän TCP/IP-pinossa. Haavoittuvuuksia voi hyväksikäyttää verkon yli, ja niiden avulla hyökkääjän voi olla mahdollista yrittää suorittaa puhelimessa omia komentojaan. Älypuhelinten päivitysprosessit eivät ole saavuttaneet vielä samaa kehitystasoa kuin suurten massojen käyttämät käyttöjärjestelmät ja sovellukset tietokoneissa. Eri Android-valmistajilla on omat versionsa käyttöjärjestelmistä, ja näiden päivityskäytännöt vaihtelevat. Useisiin vanhoihin Android-malleihin ei ole saatavilla mitään tietoturvapäivityksiä. Microsoft julkaisee ohjelmistoistaan päivitykset joka kuukauden toinen tiistai, mutta tämä päivityssykli ei ole tähän mennessä koskenut puhelimissa käytettyä Windows Phone -käyttöjärjestelmää. Apple julkaisee korjauksia älypuhelimissa käyttämäänsä ios-alustan haavoittuvuuksiin säännöllisesti mutta melko hitaasti. Tosin on hyvä huomioida, että vanhoja puhelinmalleja poistetaan säännöllisesti päivitystuen piiristä. Päivitysten harvuutta ja hankaluutta kompensoidakseen Apple ja Microsoft ovat kehittäneet puhelinkäyttöjärjestelmiinsä haavoittuvuuksien hyväksikäyttämistä hankaloittavia mekanismeja. Älypuhelimia käytetään koko ajan enemmän, ja niihin tallennetaan käyttäjille tärkeitä tietoja. Tämä tekee puhelimista houkuttelevia kohteita niin haavoittuvuuksien etsijöille kuin kyberrikollisillekin. Useista ennusteista huolimatta haittaohjelmat eivät ole vieläkään levinneet älypuhelimissa laajasti. Kuitenkin Keski-Euroopassa jo viime vuosina yleistyneet maksun mobiilivarmennusta rikkomaan suunnitellut haittaohjelmat kuten Zitmo (ZeuS in the mobile) viittaavat siihen, että hyökkääjät ovat yhä enemmän kiinnostuneita älypuhelimista niihin liittyvien rahanansaintamahdollisuuksien vuoksi. Tietoturvakatsaus 3/2013 15
5. YLEISEN VIESTINTÄVERKON POIKKEAMAT 5.1 Viestintäverkkojen vika- ja häiriöilmoitukset Heinä-syyskuun aikana Viestintävirasto vastaanotti yhteensä 40 M 57:n mukaista vika- ja häiriöilmoitusta. Näistä laajoja A- (3) ja B-luokan (7) vikoja raportoitiin virastolle 10. Kevätkesään verrattuna (58 ilmoitusta) vika- ja häiriöilmoituksia oli nyt vähemmän, tosin A-vikojen määrä oli sama. Kaikki kauden A-viat ajoittuivat elokuulle. DNA:n yksittäinen mobiilipalveluihin vaikuttanut A-vika koski koko Suomea, kun taas Digitan kaksi katkosta vaikeuttivat radion kuuntelua muun muassa Hämeen ja Itä-Suomen seudulla. Hämeessä Digita sai korjattua vian noin kahdessa tunnissa. Myös DNA:n mobiilivika saatiin kuntoon samassa ajassa. Itä-Suomessa Digitan radioverkon kuntoon saamista odotettiin vuorokauden verran. 5.1.1 Verkkojen ja palveluiden toimivuutta on seurattu aiempaa tiiviimmin vuoden alusta alkaen Viestintävirasto on seurannut viestintäverkkojen ja -palveluiden toimivuutta teleyrityksille toimitetuin neljännesvuosikyselyin alkuvuodesta 2013 lähtien. Kyselyissä on selvitetty, mihin palveluihin häiriöt vaikuttavat, kauanko niiden korjaaminen kestää ja mitkä syyt aiheuttavat häiriöitä. Seuraavassa esitetään ensimmäisen puolen vuoden tulokset vuonna 2013 niin, että kausi on jaettu kahteen eri neljännekseen (Q1: tammi maaliskuu, Q2: huhti kesäkuu). Yhteensä häiriötapahtumia raportointiin tammi-maaliskuulta runsaat 12 000 ja huhtikesäkuulta lähes 17 000. Häiriömäärän kasvu voi johtua siitä, että teleyritykset ovat raportoineet vika- ja häiriötilanteistaan aiempaa tarkemmin. Toisaalta kevätkaudella vikatilanteita sattuu enemmän, kun esimerkiksi myrskyt tai tulvat katkovat sähköjä ja maanrakennustöiden vuoksi kaapelijohdot voivat mennä poikki. 5.1.1.1 Häiriöiden kohdistuminen viestintäpalveluihin Häiriöistä yli puolet on liittynyt kiinteän verkon internet-yhteyksiin sekä ensimmäisellä että toisella neljänneksellä. Tapahtumamäärällisesti seuraavaksi eniten häiriöt ovat koskeneet matkaviestinverkon yhteyksiä, kaapeli-tv-verkkoa ja kiinteän verkon puhepalveluita. Puolestaan noin 5 % häiriöistä on vaikuttanut matkaviestinverkon internet-yhteyksiin, kun taas IPTV-palvelujen häiriöillä on lähes 5 %:n osuus tapahtumista niin tammi maaliskuun kuin huhti kesäkuunkin aikana. Näiden lisäksi muiden palveluiden osuudet häiriöstä ovat olleet pieniä. Tietoturvakatsaus 3/2013 16
Kuva 3 Viestintäverkkohäiriöiden lukumäärät palveluittain tammi maaliskuun 2013 aikana Kuva 4 Viestintäverkkohäiriöiden lukumäärät palveluittain huhti heinäkuun 2013 aikana 5.1.1.2 Häiriöiden taustasyyt Teleyritysten mukaan tammi-maaliskuussa lähes neljännes häiriöistä johtui konfiguraatiovirheistä. Huhti kesäkuussa konfiguraatiovirheiden määrä on jäänyt vain kahteen prosenttiin. Selkeää syytä määrän pienenemiseen ei ole löytynyt. Sekä Tietoturvakatsaus 3/2013 17
ensimmäisen että toisen vuosineljänneksen aikana laiteviat (Q1: 21 % ja Q2: 17 %) ja ohjelmisto-ongelmat (Q1: 13 % ja Q2: 9 %) ovat vaikuttaneet häiriöiden syntyyn tasaisesti. Asiakkaat ilmoittavat yhteysongelmista teleyrityksilleen myös silloin, kun yhteysvika johtuu heidän omista laiteongelmistaan (Q1: 15 % ja Q2: 19 %). Merkittävä osuus asiakkaiden ilmoittamista häiriöistä korjaantuu itsestään ennen kuin tapausta ennätetään ratkaista ja varsinainen syy häiriölle jää epäselväksi (Q1: 8 % ja Q2: 21 %). Toisen vuosineljänneksen aikana epäselviä tapauksia on ilmoitettu huomattavasti ensimmäistä neljännestä enemmän. Eron syy voi olla se, että teleyritykset ovat alkaneet tilastoida juuri häiriöiden epäselviä taustasyitä säännöllisesti vasta kevään aikana. Kesäaikaan sateet ja ukkoset vaikuttavat selvästi teleyritysten vika- ja häiriöilmoitusten määrään. Toisen neljänneksen aikana häiriöt johtuivatkin pitkälti luonnonilmiöistä (Q1: 9 % ja Q2: 14 %) ja yleisen sähköverkon katkoksita (Q1: 4 % ja Q2: 8 %). Kesän aikana myös laitetilojen lämpötilaongelmat (Q1: 1 % ja Q2: 4 %) ja maanrakennustyöt (Q1: 1 % ja Q2: 2 %) ovat melko tyypillisiä häiriöiden taustasyitä. Kuva 5 Viestintäverkkohäiriöiden taustasyyt tammi maaliskuun 2013 aikana Tietoturvakatsaus 3/2013 18
Kuva 6 Viestintäverkkohäiriöiden taustasyyt huhti heinäkuun 2013 aikana 5.1.1.3 Häiriöiden korjausajat Häiriöistä yli 75 % korjataan kahden vuorokauden kuluessa tapahtuman alkamisesta. Viikon kuluessa jo 90 % häiriöistä on korjattu. Nopeimmin korjaantuvat langattomien verkkojen häiriöt (matkaviestimet ja muut langattomat). Ero kiinteisiin yhteyksiin kuitenkin tasaantuu, kun häiriöstä on kulunut kaksi vuorokautta. Yli kolmen viikon häiriöt eivät ole tavallisia. 5.2 CERT-FI-tapahtumailmoitukset Heinä syyskuun aikana CERT-FI:lle toimitettiin 15 Viestintäviraston määräyksen 9 mukaista tietoturvailmoitusta. Ilmoitukset koskivat pääasiassa palvelunestohyökkäyksiä. Tietomurto- ja haavoittuvuusilmoituksia saatiin huomattavasti edelliskautta (huhti kesäkuu) vähemmän. Tietoturvakatsaus 3/2013 19
8 7 6 5 4 3 Q1 Q2 Q3 2 1 0 Tietomurto Palvelunestohyökkäykset Haavoittuvuus/ uhka Kuva 7 Määräys 9:n mukaiset tapahtumailmoitukset Määräys 9:n tarkoituksena on määritellä sähköisen viestinnän tietosuojalain 21 :n mukaisten merkittävää tietoturvaloukkausta tai sen uhkaa koskevan ilmoituksen sisältö ja menettelytavat Viestintävirastolle. 5.2.1 Autoreporter-havainnot eritellään omiksi kategorioikseen Autoreporter on CERT-FI:n tuottama palvelu, joka kokoaa automaattisesti havaintoja suomalaisia verkkoja koskevista haittaohjelmista ja tietoturvaloukkauksista ja raportoi niistä verkkojen ylläpitäjille. Palvelu on ollut käytössä vuodesta 2006 lähtien. Palvelu havainnoi kaikkia suomalaisia verkkoalueita. Autoreporterin havaitsemista tapauksista suurin osa on erilaisia bothaittaohjelmatartuntoja. Seuraavassa palvelun havaintoja, jotka on kategorisoitu omiksi osioikseen: Tietoturvakatsaus 3/2013 20
100 % 90 % 80 % 70 % 60 % 50 % 40 % 30 % 20 % Other Scan Bot Suspected spambot 10 % 0 % Kuva 8 Havainnot kategorioittain lokakuu 2012 syyskuu 2013 5.2.1.1 Suspected Spambot Suspected spambot -kategoria kertoo lukumäärän eri IP-osoitteista, joista on havaittu lähetettävän roskapostiviestejä. Tällaisissa tapauksissa on syytä epäillä, että työasema, johon IP osoittaa, on haittaohjelman saastuttama ja sitä käytetään roskapostin lähetysalustana. Huhti-kesäkuussa spambot-havainnot lisääntyivät merkittävästi, mikä johtui yksittäisen teleyrityksen asiakkaiden haittaohjelmatartunnoista. Esimerkiksi toukokuussa Autoreporter havaitsi lähes 70 000 tartuntatapausta. Tämän jälkeen tartuntahavainnot ovat vähentyneet selvästi. Syyskuussa suspected spambot - havaintoja Autoreporter teki vain noin 100. 5.2.1.2 Bot Bot-kategoria kertoo niiden IP-osoitteiden lukumäärän, joissa on havaittu haittaohjelmalla saastunut työasema. Saastunut työasema liitetään yleensä osaksi hyökkääjän etähallitsemaa bottiverkkoa. Tällaisia bottiverkkoja käytetään muun muassa palvelunestohyökkäyksiin. ZeroAccess-haittaohjelmatartuntojen määrä kasvoi huomattavasti elokuussa. Tämä johtuu havaintokyvyn parantumisesta, eikä sinänsä kerro tartuntojen lisääntymisestä. Tietoturvakatsaus 3/2013 21
5.2.1.3 Scan Scan-kategoriassa on kuvattu niiden IP-osoitteiden lukumäärä, joista verkkoa on skannattu todennäköisesti vain ajattelemattomasti tai verkkoskannauksen takana on väärissä käsissä oleva tietojärjestelmä tai haittaohjelmalla saastunut työasema. Tilaston mukaan suomalaisista IP-osoitteista verkkoja skannataan aktiivisesti. 5.2.1.4 Other Other-ryhmässä ovat mukana seuraavat kategoriat: bruteforce: IP-osoitteesta on havaittu murtoyrityksiä yleisesti käytettyjä verkkopalveluja vastaan. Verkkopalveluiden tunnussanoja yritetään murtaa systemaattisesti joko satunnaisilla merkkijonoilla tai kokeilemalla sanakirjoista löytyviä sanoja. IP-osoitteessa oleva työasema on voinut päätyä tietomurron kohteeksi tai haittaohjelman saastuttamaksi. cc: Haittaohjelmalla saastunut työasema liitetään yleensä tavalla tai toisella osaksi hyökkääjän hallitsemaa bot-verkkoa. IP-osoitteessa on tunnistettu hallintapalvelin, jota käytetään tällaisten bot-verkkojen komentamiseen. dameware: Vanhoissa DameWare Mini Remote Control -ohjelmistoissa on haavoittuvuus, jota voidaan hyväksikäyttää etäältä. Haavoittuvuuden kautta työasemalle voidaan asentaa esim. haittaohjelmia. IP-osoitteessa on havaittu DameWare-haavoittuvuuden mahdollisesti onnistunut hyväksikäyttö. ddos: Havainto listaa sekä palvelunestohyökkäyksiin osallistuvat työasemat että palvelunestohyökkäyksen kohteeksi joutuneita kohteita. defacement: IP-osoitteessa on töhritty verkkosivu. dipnet: Windows-työasemia saastuttava verkkomato, joka käyttää leviämisessä hyväksi LSASS-haavoittuvuutta. fastflux: Nimipalvelintasolla toteutettu tapa piilottaa bot-verkon hallintapalvelimet, huijaustoimintaan osallistuvat verkkosivustot sekä haittaohjelmien levityssivut. Piilotus toimii niin, että nimipalvelin jatkuvasti palauttaa uusia IP-osoitteita tietylle verkkotunnukselle. Palautettujen IP-osoitteiden takaa löytyy useimmiten saastunut työasema, joka on osa bot-verkkoa. malware: IP-osoitteessa on jaeltu haittaohjelmaa. malweb: IP-osoitteessa on havaittu haitallinen verkkosivusto. Tyypillisimmin kyse on haitallisesta JavaScript-koodista, iframe-viittauksesta tai muusta verkkosivulle sisällytetystä haitallisesta osiosta. phishing: Kyseisessä IP-osoitteessa on havaittu urkintaan osallistuva verkkosivusto. Kyseessä on yleisimmin tietomurron kohteeksi joutunut työasema tai www-palvelin. proxy: Työasemasta tai palvelimesta on tehty avoin välityspalvelin, jota hyväksikäytetään. Hyväksikäyttö voi ilmetä esimerkiksi roskapostin lähettämisenä ja bot-verkkojen komentamisena. router: Verkon aktiivilaitteesta on tehty välityspalvelin, jota hyväksikäytetään. Hyväksikäyttö voi ilmetä monella eri tavalla. spreaders: Haittaohjelmilla on monia leviämismekanismeja, joista yksi on käyttöjärjestelmän haavoittuvuudet. IP-osoitteesta on havaittu haittaohjelman leviämisliikenteen tunnusmerkkejä. worm: IP-osoitteesta on havaittu verkkomadon leviämisyritys. Verkkomadot leviävät yleensä käyttämällä hyväksi jotakin verkkopalvelun haavoittuvuutta. Tietoturvakatsaus 3/2013 22
5.2.1.5 Autoreporterin päivittäiset Incidents daily -havainnot Incidents daily -tilasto kertoo Autoreporterin päivittäin keräämistä raporteista, jota koostuvat suomalaisten IP-osoitteista ilmoitetuista haittaohjelmatartunnoista. Kuva 9 Autoreporterin käsittelemät tapaukset 1.1. 30.9.2013 Tapaukset lisääntyivät selvästi huhti-toukokuussa sekä elokuusta lähtien. Huhtitoukokuussa tilastopiikin aiheutti yksittäisen teleyrityksen asiakkailla havaittu spambot-haittaohjelma. Elokuussa havaintokykymme parani sekä Zero Access että Citadel-nimisistä haittaohjelmista. 5.2.2 Autoreporterin haittaohjelmahavainnot Alla olevissa tilastossa on kuvattu Autoreporterin havaitsemat Conficker-, DNS- Changer-, Citadel- ja Zeus -verkkomatotartunnat suomalaisissa IP-osoitteissa. 5.2.2.1 Conficker Ensimmäiset Conficker-haittaohjelman havainnot tehtiin Suomessa tammikuussa 2009 ja Autoreporter-palvelu aloitti kyseisen haittaohjelman raportoinnin vielä saman kuun aikana. Tietoturvakatsaus 3/2013 23
tammi.09 huhti.09 heinä.09 loka.09 tammi.10 huhti.10 heinä.10 loka.10 tammi.11 huhti.11 heinä.11 loka.11 tammi.12 huhti.12 heinä.12 loka.12 tammi.13 huhti.13 heinä.13 12000 Conficker 10000 8000 6000 4000 Conficker 2000 0 Kuva 10 Autoreporterin Conficker-havainnot kuukausittain Conficker- tartunnat ovat vähentyneet runsaasti vuoden 2009 huippulukemista. Syyskuussa Autoreporter raportoi 12 Conficker-tartuntahavainnosta suomalaisissa IPosoitteissa. Maailmanlaajuisesti Conficker-tartunnat ovat myös vähenemässä. Alla on esitetty viimeisen vuoden ajalta Conficker Working Groupin havainnot Conficker-tartunnoista (http://www.confickerworkinggroup.org). Kuva 11 Conficker-havainnot maailmanlaajuisesti. Lähde: Conficker Working Group Tietoturvakatsaus 3/2013 24
tammi.09 huhti.09 heinä.09 loka.09 tammi.10 huhti.10 heinä.10 loka.10 tammi.11 huhti.11 heinä.11 loka.11 tammi.12 huhti.12 heinä.12 loka.12 tammi.13 huhti.13 heinä.13 Suomessa Conficker-haittaohjelmatartuntojen vähentymiseen ovat merkittävästi vaikuttaneet Autoreporterin kyky havainnoida tartuntoja, välittää tiedot teleyrityksille sekä teleyritysten aktiiviset toimet tartunnan saamien työasemien poistamiseksi. 5.2.2.2 Zero Access Zero Access -haittaohjelmaa käytetään hyödyksi niin sanotun digitaalisen valuutan, Bitcoinin, väärinkäytöksissä sekä klikkausten määrään perustuvien mainoksien laskutuksen väärinkäytöksissä. Syyskuussa Zero Access -haittaohjelmahavaintoja kertyi yli 24000 kappaletta. Tilastopiikkiä selittää jo aiemminkin mainittu Autoreporter-palvelun parantunut kyky havaita nimenomaisesti Zero Access - tapauksia. 25000 Zero Access 20000 15000 10000 Zero Access 5000 0 Kuva 12 Zero Access -havainnot tammikuusta 2009 heinäkuuhun 2013 5.2.2.3 Tietoja varastavat haittaohjelmat Zeus ja Citadel Suomalaiset verkkopankkien asiakkaat ovat jatkuvasti haittaohjelmien kohteina. Tavallisimmin huijausyrityksissä käytetään jotakin Zeus-haittaohjelmiin kuuluvaa versiota. Zeuksen lisäksi myös Citadel-haittaohjelman liikennöintiä on havaittu suomalaisista IP-osoitteista. Muun muassa suomalaisia pankkeja valvovan Finanssivalvonnan mukaan tammielokuussa pankeissa havaittuja haittaohjelmatapauksia on ollut hieman yli sata, ja ne ovat kohdistuneet pariinkymmeneen asiakkaaseen. Kuitenkin melkein kaikissa tapauksissa varojen menetykset saatiin estettyä. Vain yksi hieman yli 5 000 euron huijaus onnistui, mutta se korvattiin asiakkaalle. Pankkien näkemyksen mukaan trendi on selkeä: Suomessa haittaohjelmahyökkäykset ovat laantuneet vuoteen 2012 verrattuna. Tietoturvakatsaus 3/2013 25
tammi.09 huhti.09 heinä.09 loka.09 tammi.10 huhti.10 heinä.10 loka.10 tammi.11 huhti.11 heinä.11 loka.11 tammi.12 huhti.12 heinä.12 loka.12 tammi.13 huhti.13 heinä.13 Poliisin tietoon on tullut uusi, useisiin Euroopan maihin kohdistuva pankkihaittaohjelmakampanja, joka on ollut käynnissä kuluvan vuoden huhtikuusta lähtien. Myös Suomeen kohdistuneessa kampanjassa on levitetty muun muassa Citadel-pankkitroijalaista. Jos katsotaan tämänhetkistä pankkihaittaohjelmien avulla tehtyjen petosten määrää, voidaan todeta tilanteen olevan toistaiseksi varsin hyvä. Vuonna 2013 runsaan puolen vuoden aikana verkkopankkipetoksia ei poliisin tietoon saatettu. Ensimmäiset onnistuneet petostapaukset tulivat poliisin tietoon vasta elokuun lopulla. Tällöin pankeista ilmoitettiin kahdesta onnistuneesta sekä yhdestä, yrityksen asteelle jääneestä pankkihaittaohjelman avulla toteutetusta petoksesta. 16000 14000 12000 10000 8000 6000 Zeus Citadel 4000 2000 0 Kuva 13 Autoreporterin havainnointitietoja varastavista haittaohjelmista tammikuusta 2009 heinäkuuhun 2013 Viestintäviraston Autoreporter-raportit tukevat pankkien ja poliisien näkemystä tietoja varastavista haittaohjelmista. Zeus-haittaohjelmatapauksia Autoreporter havaitsi eniten lokakuussa 2012, jolloin havaintoja kertyi 14 010 kuukaudessa. Syyskuussa 2013 havaittiin 2 765 tapausta. Citadel-haittaohjelmasta havainnot ovat lisääntyneet huhtikuusta 2013 lähtien, syyskuussa niitä oli 7 650. Tietoturvakatsaus 3/2013 26