Monipalveluverkot Tietoturvauhkia ja ratkaisuja Technical Manager Erkki Mustonen, F-Secure Oyj
F-Secure Oyj 1-9/2006 Nopeimmin kasvava julkinen virustentorjuntayritys maailmassa Virustentorjunta- ja tunkeutumisenesto Liikevaihto 58,6M (+34%) EBIT +9,6 M (+82%) Palvelukumppanuudet 125 kumppania 33 maassa Henkilöstö 464 (30.9.2006) kasvu vuodessa 90 henkilöä Maakonttorit 14 maassa uusin: tutkimus- ja tukiyksikkö Malesiassa Sivu 2
Lausuntoja Tietokirjailija Petteri Järvinen Tietokone-lehdessä 3/2006 Kaikki tähän mennessä tavatut virukset ovat olleet varsin helppoja torjua. Riittää kun muistaa kaksi sääntöä: 1. älä avaa tiedostoliitteitä ja 2. päivitä selain ja käyttöjärjestelmä säännöllisesti. Toimittaja Kari Ahokas MikroPC.netissä 30.10.2006 Kotikoneellani ei ole ollut virustorjuntaa kohta kolmeen vuoteen. Windowsin palomuuri ja automaattipäivitykset ovat riittäneet. Piru iski. Ollaan sitten ilman antivirusta. Järkeilin, että palomuurin ja automaattipäivitysten tuoman turvan pitäisi riittää, kun niitä vain muistaa pitää päällä. Etenkin jos jättää kummalliset sähköpostit avaamatta eikä vieraile arveluttavilla sivuilla. Sivu 3
Verkon haitat - terminologiaa Virus Troijalainen Mato Rootkit Spyware, vakoiluohjelma Riskware, riskiohjelma Hoax, huijausviesti Phishing, kalastelu Spam, roskaposti Bot, robotti Itsekopioituva haittaohjelma, dokumentti tms Ohjelma, joka sisältää haittaominaisuuksia Ohjelma, joka osaa levittää itseään automaattisesti Piilohaittaohjelma Ohjelma, joka kerää ja lähettää tietoja Mahdollisia turvauhkia sisältävä ohjelma Viesti, jonka sisältö ei ole totta (ketjukirje tms.) Tietojen keruu sähköpostin ja valesivustojen avulla Massoittain lähetetty sähköposti Etähallittava haittaohjelmaverkko Sivu 4
Haittaohjelmaepidemian toteutumisen perusteet Riittävästi toiminnallisuutta jotta haittaohjelma toimisi Riittävä kommunikointikyky ja liitettävyys jotta haittaohjelma leviäisi Riittävästi päätelaitteita jotta alusta kiinnostaisi haittaohjelmien tekijöitä Sivu 5
Mitä laitteita käytetään? Kysely F-Secure blogista Sivu 6
Haittaohjelmien määrä 200 000 180 000 160 000 140 000 120 000 100 000 80 000 60 000 40 000 Lähde: F-Secure Sivu 7 Malware 20 000 0 86 87 88 89 90 91 92 93 94 95 96 97 98 99 00 01 02 03 04 05 06 Number of mobile malware 350 300 250 200 150 100 50 0 PC-haittaohjelmat: 20v ja 190000 pöpöä Haittaohjelmat älypuhelimessa: 2,5v ja 330 pöpöä Platform 2004 2005 2006 Palm 3 3 3 PocketPC 2 2 3 Symbian 22 141 322 J2ME 0 0 2 All 27 146 330 15.6.2004 15.7.2004 15.8.2004 15.9.2004 15.10.2004 15.11.2004 15.12.2004 15.1.2005 15.2.2005 15.3.2005 15.4.2005 15.5.2005 15.6.2005 15.7.2005 15.8.2005 15.9.2005 15.10.2005 15.11.2005 15.12.2005 15.1.2006 15.2.2006 15.3.2006 15.4.2006 15.5.2006 15.6.2006 15.7.2006 15.8.2006 15.9.2006 15.10.2006
Rikollisuus verkossa yleistyy Haittaohjelmien motiivi = Neljä yleisintä tapaa tehdä rahaa vuokrattavat roskapostibotnetit vuokrattavat kalastelubotnetit vuokrattavat verkkohyökkäysbotnetit tiedon varastaminen ja edelleenmyyminen Perinteinen rikollisuus (uhkailu, varastaminen ja kiristys) ovat siirtyneet verkkoon kiinnijäämisriski verkossa oleellisesti pienempi Sivu 8
Botnet verkkorikollisen työkalu Kaapattujen koneiden verkko, jota voidaan käyttää roskapostin ja haittaohjelmien levittämiseen sekä laittomien verkkopalvelujen toteuttamiseen Tyypillinen koko: 500-10000 konetta Laajin tietämämme botnet-verkko 350000 konetta Marraskuussa 2005 17,000 botin hyökkäys F-Securea vastaan Sivu 9
Breplibot troijalainen rootkit Sivu 10
Rootkit toiminnassa Sivu 11
Phishing on ammattimaista toimintaa Tavoite tiedon hankinta ja myyminen Toimitustavat sähköpostitse varsinainen toteutus netissä Mitä kalastellaan? henkilö/luottokorttitiedot käyttäjätunnukset/salasanat sähköpostiosoitteet ja kaikki muu mahdollinen tieto Source: Anti-phishing.org Lähde: Anti-Phishing Working Group Sivu 12
Phishingin tehostaminen Domainväännöksiä kaupan Näitäkin voi ostaa: vísa.com, pàypal.com, paypàl.com Sivu 13
Roskapostitekniikat monimutkaistuvat Kaupallisen roskapostin määrä kasvaa Noin 2/3 kaikesta roskapostista lähetetään kaapatuista kotikoneista Kuvan ja tekstin yhdistäminen eri muunnoksin uutena haasteena Source: Nucleus Research, Ferris Research Sivu 14
Multimedia+Bluetoothmato - Commwarrior Sivu 15
Mobiilipöpöjen yleisimmät vaikutukset Akun tyhjeneminen Näytön sekoaminen Ei voida soittaa Aiheeton lasku Mieliharmi Puhelin korjattavaksi Sivu 16
Suojaustarve eri kanavissa Sähköpostisynkronointi Tiedostosiirrot Varmistukset Tiedostojen ja muun sisällön välittäminen Bluetooth Infrapuna Tiedostojen lataukset Sähköpostin liitteet MMS/WAP Sivu 17
Tulevaisuuden haasteet Organisaatioihin kohdistetut hyökkäykset havaintoja vain yksittäisistä paikoista Välineenä yhdistelmähaittaohjelma levittämiseen käytetään esimerkiksi phishingiä automaattisesti verkosta päivittyvä ja koko ajan muuttuva haittakoodi rootkit-tekniikan hyödyntäminen nollapäivähyökkäysten hyödyntäminen sallittuja verkkopalveluja käyttävä ohjelmisto välityskanavana (http, irc, im, chat, lan) => Ennakoivat menetelmät osaksi työaseman kokonaistietoturvaa Sivu 18
Perinteinen virustentorjunta vs. ennakoivuus Leviämisnopeus Tunnisteen jakelu Aika Ennakoiva suojaus Käyttäytymisanalyysi Tunnistepohjainen torjunta Virustentorjunta perinteisin menetelmin Verkkotasoinen suodatus Palomuuri: pakettisuodatus ja hyökkäysten esto Sivu 19
Viisi tietoturvateesiä 1. Työasemien ja verkon monitasoinen tekninen suojaus on välttämätöntä liiketoiminnan jatkuvuuden varmistamiseksi 2. Roskaposti ja huijausviestit eivät saa kuormittaa normaalia päivittäistä työskentelyä ja tietojärjestelmiä 3. Älypuhelimiin pitää suhtautua kuten tietokoneisiin - käyttöönotto pitää olla hallittua ja säädeltyä 4. (Liike)toimintaa uhkaavat hyökkäykset pitää pystyä selkeästi raportoimaan nopea reagointi ja toipuminen ovat avainasioita 5. Tietoturvan hankkiminen palveluna on mielekäs vaihtoehto, jos oma osaaminen puuttuu Muista paljon parjattu maalaisjärki!! Sivu 20