Kyberturvallisuuskatsaus



Samankaltaiset tiedostot
Kyberturvallisuuskatsaus

OpenSSL Heartbleed-haavoittuvuus

Windows XP -tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille

Viestintäviraston tilannekuvajärjestelmät. Timo Lehtimäki Tulosalueen johtaja Internet ja tietoturva/viestintävirasto

Tietoturvailmiöt 2014

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

Abuse-seminaari

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

Luottamusta lisäämässä. Toimintasuunnitelma

Luottamusta lisäämässä

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Tietoturvavinkkejä pilvitallennuspalveluiden

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Tietoyhteiskuntakaaren käsitteistöä

Laajakaistaverkon turvallisuus Kiinteistoliitto / Turvallisuusilta / Netplaza Oy, Tommi Linna

TIETOTURVAKATSAUS 1/

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

Kyberturvallisuuskeskuksen vuosikatsaus

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Tietoturva SenioriPC-palvelussa

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

#kybersää maaliskuu 2018

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

1 YLEISKUVAUS Valokaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Viestintäviraston julkiset toimialatiedot. Viestintäviraston tietoseminaari

Kyberturvallisuus vuosi 2018, 2019 & #kybersää? VAHTI-päivä Tilannekuvapalveluiden ja yhteistyöverkostojen päällikkö Jarna Hartikainen

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Mobiililaitteiden tietoturva

Tietoturvakatsaus 2/2013

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

MARKKINAKATSAUS 4/2012. Teletoiminta Suomessa

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

#kybersää 04/2018 #kybersää

Viestintävirasto Varmaa ja vaivatonta viestintää kaikille Suomessa

Julkisen ja yksityisen sektorin yhteistyö kyberturvallisuudessa. Johtaja Kirsi Karlamaa

Kyberturvallisuuskeskuksen vuosikatsaus

Kirja on jaettu kahteen osaan: varsinaiseen- ja lisätieto-osioon. Varsinainen

Viestinnän tulevaisuus

MIKÄ ON KYBERPUOLUSTUKSESSA RIITTÄVÄ TASO? Riittävän ratkaisun rakentaminen

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

1. päivä ip Windows 2003 Server ja vista (toteutus)

1 YLEISKUVAUS Laajakaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

TIETOSUOJASELOSTEET. Lieksan Kehitys Oy LieKe

Sähköpostilaatikoiden perustaminen

Fennian tietoturvavakuutus

Määräys PUHELINNUMERON SIIRRETTÄVYYDESTÄ. Annettu Helsingissä 23 päivänä tammikuuta 2006

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Kansallinen CIP-seminaari. Jani Arnell Vanhempi tietoturva-asiantuntija CERT-FI

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä 24 päivänä toukokuuta 2011

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Vaivattomasti parasta tietoturvaa

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Kyberturvallisuuden implementointi

Abuse-toiminnan ajankohtaiset ilmiöt

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Tieto ja turvallisuus SOTE:n ytimessä. 3T-tapahtuma, Jyväskylä, Perttu Halonen

Kyberturvallisuus yritysten arkipäivää

Varmaa ja vaivatonta viestintää kaikille Suomessa

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Viestintäviraston Kyberturvallisuuskeskuksen palvelut tietoturvaloukkaustilanteissa. Kauto Huopio

Tiedottaminen hätäliikenteen häiriöistä Viestintäviraston suosituksia

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Televiestinnän tulonmuodostus, aiempien vuosien tiedot

Miksi kyberturvallisuus on tärkeää? Ajankohtaiset uhat ja niiltä suojautuminen Mikko Viitaila

Viestintäviraston tilannekuvahanke TIKU2012+ Pertti Hölttä

CERT-FI tietoturvakatsaus 2/2012

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Autentikoivan lähtevän postin palvelimen asetukset

PÄIVITÄ TIETOKONEESI

Fi-verkkotunnus yksilöllinen ja suomalainen

Määräykset 66 ja 67. Uudet määräykset teletoiminnan häiriötilanteista ja tietoturvasta

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

#kybersää helmikuu 2018

TEOLLISUUSAUTOMAATION TIETOTURVA. Jarkko Holappa Kyber-INKA Roadshow, Solo Sokos Hotel Torni, Tampere

PAS-RATKAISUN PALVELUKUVAUS

Koko Kanta-Hämeen asukasluku väheni viime vuonna 668 hengellä. Kunnanhallitukselle on toimitettu yhteenveto verotilityksestä.

Yhteenveto, opiskelijoiden tieto- ja viestintätekniikan käyttö opiskelussa

Johtuuko tämä ilmastonmuutoksesta? - kasvihuoneilmiön voimistuminen vaikutus sääolojen vaihteluun

Tikon Ostolaskujenkäsittely versio SP1

Tietoturvaa verkkotunnusvälittäjille

DNSSec. Turvallisen internetin puolesta

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Ohje tietoturvaloukkaustilanteisiin varautumisesta

HALLITSE HAAVOITTUVUUKSIA

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

CERT-FIajankohtaiskatsaus

Näin meitä huijataan! Verkossa yleisesti tavattuja huijausmenetelmiä

TIETOTURVAKATSAUS 1/2009

Viestintävirasto 1 (5) Viestintämarkkinat ja palvelut

TIETOTURVAKATSAUS

Transkriptio:

18.6.2014 Kyberturvallisuuskatsaus 2/2014

Sisällysluettelo Johdanto... 3 Tietoturva tilastojen valossa... 4 1 Autoreporter... 4 1.1 Haittaohjelmat... 4 1.2 Suomen sijoitus maailmalla... 5 2 Havaro... 6 3 Kyberturvallisuuskeskuksen käsittelemät yhteydenotot... 6 4 Viestintäverkkojen viat ja häiriöt... 8 4.1 Viestintäverkkojen vika- ja häiriöilmoitukset... 8 4.2 Neljännesvuosikyselyn tuloksissa ei muutoksia edellisiin kausiin verrattuna... 8 Ajankohtaiset tietoturvailmiöt... 11 5 Windows XP -käyttöjärjestelmän tuotetuki loppui 8.4.2014... 11 6 OpenSSL-kirjaston Heartbleed-haavoittuvus ravisteli tietoturvamaailmaa 12 6.1 Taustaa... 12 6.2 Tilanneseuranta 7.5.2014... 12 6.3 Heartbleed-havainnot HAVARO:ssa... 14 7 Tietojenkalastelukampanja jatkuu yhä... 15

Johdanto Tämä on Viestintäviraston Kyberturvallisuuskeskuksen osavuosikatsaus, joka käsittelee viestintäverkkojen häiriöitä, tietoturvapoikkeamia ja tapahtumia ajanjaksolla 1.3.2014 31.5.2014. Kyberturvallisuuskatsaus on jaettu kahteen osaan: Tietoturva tilastojen valossa ja ajankohtaiset tietoturvailmiöt. Tietoturva tilastojen valossa käsittelee viestintäverkon vikoja ja häiriöitä, Autoreporter-tilastoja, HAVARO -tilastoja sekä Kyberturvallisuuskeskuksen käsittelemiä yhteydenottoja. Käsiteltävältä ajanjaksolta on poimittu kolme tärkeää tietoturvailmiötä: Windows XP -käyttöjärjestelmän tuotetuen loppuminen ja siihen liittyvä päivitetty Windows XP:n yleisyystilasto, OpenSSL-kirjaston Heartbleed -haavoittuvuus sekä Tullin, Itellan, perintäpalvelun ja Matkahuollon nimissä tehty tietojenkalastelukampanja. 3

Tietoturva tilastojen valossa 1 Autoreporter Autoreporter on Kyberturvallisuuskeskuksen tuottama palvelu, joka kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja ja raportoi niistä verkkojen ylläpitäjille. Palvelu on ollut käytössä vuodesta 2006 lähtien. Palvelun piirissä ovat kaikki suomalaiset verkkoalueet. Kertyneiden tilastojen perusteella voidaan arvioida muun muassa suomalaisissa verkoissa esiintyneiden haittaohjelmien esiintymistiheyttä. 1.1 Haittaohjelmat Autoreporter-tilastojen (Kuva 1) mukaan ZeroAccess-haittaohjelman osuus on pienentynyt merkittävästi vuoden alusta alkaen aina viikolle 13 saakka. Alkuvuoden tapahtumiin vaikuttavat luultavasti vuoden 2013 loppupuolella suoritetut ZeroAccessin vastaiset toimet. ZeroAccess kuitenkin aktivoitui uudelleen maaliskuun lopulla, jonka jälkeen sen havaintojen lukumäärä lähti uudelleen nousuun (viikot 14-18). Muiden haittaohjelmahavaintojen lukumäärä on laskenut jonkin verran vuoden alkuun verrattuna. Autoreporter -havaintojen lukumäärän vaihteluista ei kuitenkaan voi tehdä kovin tarkkoja päätelmiä, koska ajanjaksojen väliset vaihtelut saattavat johtua esimerkiksi uusista tietolähteistä tai tietolähteisiin lisätyistä uusista haittaohjelmien sormenjäljistä. ZeroAccess Citadel Muut Torpig Zeus 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Viikko Kuva 1 Autoreporterin käsittelemät tapahtumat viikoittain. Haittaohjelmien jakautuminen eri teleyritysten välillä ei ole tasapainossa (Kuva 2 ). Erot teleyritysten välillä johtuvat erikokoisista asiakasmääristä sekä teleyritysten omasta aktiivisuudesta torjua haittaohjelmia. 4

Kyberturvallisuuskeskuksen osavuosikatsaus I/2014 raportoi, että alkuvuodesta yksittäisen teleyrityksen verkosta oli lähtöisin noin 85 % kaikesta haittaohjelmaliikenteestä. Viestintävirasto on selvittänyt asiaa teleyrityksen kanssa. Ainakin osaksi havaintojen määrä näyttäisi selvityksen perusteella liittyvän Autoreporter-järjestelmän ja teleyritysten verkkototeutuksen yhteensopivuuteen, sekä teleyrityksen kykyyn ja mahdollisuuksiin tuottaa riittävän tarkkoja tietoja. Tilanne on korjaantumassa teleyrityksen toimenpiteiden ansiosta, mutta korjausliike ei näy vielä tämän raportin tilastossa. Tällä havainnointijaksoilla teleyrityksen verkoista oli lähtöisin 77 % kaikesta havaitusta haittaohjelmaliikenteestä. 0 % 3 % 2 % 9 % 9 % 77 % Teleyritys 1 Teleyritys 2 Teleyritys 3 Teleyritys 4 Teleyritys 5 Muut Kuva 2. Haittaohjelmien jakautumien suomalaisten teleyritysten kesken 1.3.2014-31.5.2014. Häiriötapahtumiin liittyvät tarkemmat teleyrityskohtaiset tiedot ovat useimmiten salassa pidettäviä viranomaisen toiminnan julkisuutta koskevan lain perusteella. 1.2 Suomen sijoitus maailmalla Toukokuussa Microsoft julkaisi Security Intelligence Report (SIR) volume 16 - raportin, jossa käsitellään ja vertaillaan eri maiden tietoverkkojen tietoturvaa 1. Suomi sijoittui raportissa sijalle 2, kun edellisessä raportissa Suomi oli kärki- 1 http://download.microsoft.com/download/7 /2/B/72B5DE91-04F4-42F4-A587-9D08C55E0734/Microsoft_Security_Intellige nce_report_volume_16_english.pdf maa. Nyt julkaistu raportti käsittelee ajanjaksoa heinäkuu-joulukuu 2013. Suomen sijoituksen heikkenemisen taustalla saattaa olla muiden maiden tekemien parannusten ohella teleyritysten muutokset kyvyssä reagoida ja ilmoittaa asiakkaille havaituista haittaohjelmista Autoreporter-ilmoitusten perusteella. Mahdolliset korjaustoimenpiteet näkyvät Microsoftin SIR-raporteissa viiveellä. Esimerkiksi kevään aikana tehdyt parannustoimet näkyvät vasta vuoden 5

2014 jälkimmäistä puoliskoa käsittelevässä Microsoftin SIR-raportissa, joka julkaistaan luultavasti keväällä 2015. Viestintäviraston Autoreporter -tilastoissa korjaustoimet näkyvät kuitenkin reaaliajassa. 2 Havaro HAVARO on huoltovarmuuskriittisille yrityksille suunnattu tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä. Järjestelmä on toteutettu yhdessä Huoltovarmuuskeskuksen kanssa. HAVARO-järjestelmän tarkoituksena on auttaa tarkemman tilannekuvan muodostamista suomalaisiin verkkoihin kohdistuvista tietoturvauhkista. HAVARO-järjestelmän havaitsemat punaiset tietoturvapoikkeamat, eli poikkeamat, jotka aiheuttivat välittömiä jatkotoimia, on koottu alla olevaan kuvaajaan (Kuva 3). Yhteensä punaisia havaintoja oli maaliskuun ja toukokuun välisellä jaksolla 514. Vuoden alusta havaintoja on tullut noin 47 viikossa. Viikon 15 havaintopiikin taustalla on Gameover Zeus -haittaohjelma ja Heartbleed-haavoittuvuus. Viikon 21 piikin taustalla on havaintoja yleisistä rikollisten käyttämistä haittaohjelmista. Kuvaajassa näkyy myös ensimmäisen vuosineljänneksen viikoille 6-10 osunut havaintojen keskittymä. Nämäkin ovat havaintoja yleisistä rikollisten käyttämistä haittaohjelmista. 300 Jatkotoimia aiheuttaneita havaintoja 250 200 150 100 50 0 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Viikko Kuva 3. HAVARO-järjestelmän punaiset hälytykset viikoittain 3 Kyberturvallisuuskeskuksen käsittelemät yhteydenotot Kyberturvallisuuskeskus vastaanotti 8 tietoturvailmoitusta, jotka perustuvat Viestintäviraston määräykseen 9 tietoturvaloukkausten ilmoitusvelvollisuudesta yleisessä teletoiminnassa. Edellisellä kaudella (joulu-helmikuu) vastaavia ilmoituksia tuli 4. 6

Kyberturvallisuuskeskuksen päivystäjä kävi vuoden toisella neljänneksellä viikoittain läpi keskimäärin 96 yhteydenottoa. Valtaosa yhteydenotoista liittyy haittaohjelmiin (Kuva 4). Haittaohjelmien lisäksi neuvonta ja tietomurrot olivat yleisiä yhteydenottoluokkia. Tarkasteltaessa yhteydenottoja viikkotasolla (Kuva 5), näkyy viikolla 19 keskimääräistä enemmän ilmoituksia haittaohjelmista. Suurin osa kyseisellä viikolla saapuneista haittaohjelmailmoituksista oli lähtöisin samasta tietolähteestä ja ilmoitukset koskivat melko vanhoja tietoturvaongelmia. Luultavasti kyseisen tietolähteen puskuriin oli jäänyt vanhoja ilmoituksia, jotka olivat purkautuneet viikolla 19. Ilmoitukset koskivat pääasiassa haitallista JavaScript-koodia sisältäviä sivustoja. 2 % 2 % 6 % 6 % 8 % 15 % 4 % 37 % Haittaohjelma Neuvonta Tietomurto Social engineering Muu tietoturvaongelma Haastattelu Haavoittuvuus tai uhka Hyökkäyksen valmistelu Palvelunestohyökkäys 20 % Kuva 4. Kyberturvallisuuskeskuksen käsittelemien yhteydenottojen jakauma 1.3. - 31.5.2014 7

300 Kyberturvallisuuskeskuksen käsittelemät yhteydenotot 250 200 150 100 50 Palvelunestohyökkäys Hyökkäyksen valmistelu Haavoittuvuus tai uhka Haastattelu Muu tietoturvaongelma Social engineering Tietomurto Neuvonta Haittaohjelma 0 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Viikko Kuva 5. Kyberturvallisuuskeskuksen käsittelemät yhteydenotot 1.3. - 31.5.2014 4 Viestintäverkkojen viat ja häiriöt 4.1 Viestintäverkkojen vika- ja häiriöilmoitukset Maalis-toukokuussa 2014 suurilta viestintäverkkojen häiriöiltä vältyttiin. Tämä käy ilmi teleyritysten Viestintäviraston Kyberturvallisuuskeskukselle toimittamista vika- ja häiriöilmoituksista, jotka perustuvat viraston määräykseen 57. Ilmoituksia merkittävistä viestintäverkkojen häiriöistä saatiin edelliskautena joulukuu 2013 - helmikuu 2014, 41. Nyt luku oli 25. Näistä vain 1 luokiteltiin vakavaksi häiriöksi, joka saatiin nopeasti korjattua reilun tunnin kuluttua siitä, kun teleyritys oli häiriön havainnut. Kaudenaikaiset viat koskivat pääasiassa mobiili- (2G ja 3G) ja laajakaistapalveluja (xdsl). 4.2 Neljännesvuosikyselyn tuloksissa ei muutoksia edellisiin kausiin verrattuna Viestintävirasto on seurannut viestintäverkkojen ja -palveluiden toimivuutta teleyrityksille toimitetuilla neljännesvuosikyselyillä alkuvuodesta 2013 lähtien. Mihin palveluihin häiriöt vaikuttavat? Kauanko häiriöiden korjaaminen kestää? Mitkä syyt aiheuttavat häiriöitä? Näihin kysymyksiin kyselyillä haetaan vastauksia. Teleyritykset raportoivat vuoden ensimmäiseltä neljännekseltä (tammimaaliskuu) yhteensä n. 50 000 asiakkaiden teleyrityksille ilmoittamista häiriöistä. Ilmoitusten osuuksissa palveluittain ja korjausajoittain ei ole suuria muutoksia vuoden 2013 koosteisiin. Asiakasyhteydenotoista selkeästi suurin yhteisosuus liittyy internetyhteysongelmiin (Kuva 6): yli puolet (59 %) koskee kiinteän verkon internetyhteyksiä, ja neljänneksi yleisin yhteydenottojen syy (8 %) on matkaviestinverkon 8

internetyhteydet, yhteensä 66 %. Palvelukohtaisesti toiseksi eniten asiakkaat ovat yhteydessä kaapeli-tv:n ongelmista (11 %). Kolmanneksi eniten ongelmat liittyvät matkaviestinverkkojen (11 %) katkoksiin tai heikentyneen kuuluvuuden ongelmiin sisältäen sekä puhe- että datayhteydet. Ilmoitetuista ongelmista 8 % koskee kiinteän verkon puhepalveluita. Yhteydenotot muiden palveluiden ongelmista ovat vähäisiä. Pääsääntöisesti asiakkaiden kokemien häiriöiden kestot (Kuva 7) korjaantuvat n. 30 % tapauksissa kuuden tunnin kuluessa häiriön alkamisesta. Häiriöistä n. 60 % on korjattu kahden vuorokauden kuluessa ja viikon kuluessa jo reilut 90 %. Yli viikon kestäviä häiriöitä on vähän. Yleisesti nopeinta vikojen korjaus on langattomissa verkoissa, sisältäen sekä matkaviestinverkot että muut langattomat verkot. Kuva 6 Asiakkaiden ilmoittamien häiriöiden osuudet 9

Kuva 7 Asiakkaiden ilmoittamien häiriöiden kestot 10

Ajankohtaiset tietoturvailmiöt 5 Windows XP -käyttöjärjestelmän tuotetuki loppui 8.4.2014 Microsoft lopetti Windows XP -käyttöjärjestelmän tuotetuen 8.4.2014.. Toukokuussa Windows XP -tietokoneiden osuus oli 9,33 % kaikista Windowsia käyttävistä tietokoneista, joita Suomen tietoverkkoihin on liitetty. (Kuva 8). Windows XP -koneiden määrä on vähentynyt tasaista vauhtia jo pidemmän aikaa, mutta erityisesti maalis-, huhti- ja toukokuun aikana XP -koneiden suosio on vähentynyt nopeammin. Vuoden 2014 tammi- ja toukokuun välillä XP-koneiden osuus on vähentynyt 43,3 %. Windows XP -käyttöjärjestelmän tuotetuen loppumisen jälkeen Microsoft tarjosi ennakkotiedoista poiketen päivityksen yhteen kriittiseen Internet Explorer -haavoittuvuuteen (CVE-2014-1776) myös Windows XP:lle. Tämän jälkeen löytyneitä haavoittuvuuksia ei ainakaan toistaiseksi ole Windows XP:stä korjattu. Päivitysten sijaan Microsoft kehottaa Windows XP -käyttäjiä hyödyntämään EMET 4.x -ohjelmistoa (Enhanced Mitigation Experience Toolkit), jonka avulla tietokonetta voi pyrkiä suojaamaan haittaohjelmia vastaan. 80,00% 70,00% 60,00% 50,00% Windows 7 40,00% Windows XP 30,00% 20,00% 10,00% 26,94% 16,47% 15,36% 13,79% 10,97% 9,33% Windows Vista Windows 8 ja 8.1 Muut 0,00% Kuva 8. Suomalaisilla verkkosivuilla vierailevien Windows-käyttöjärjestelmien jakauma. Kuvaajaan on merkitty Windows XP:n prosenttiosuudet. Lähde: TNS Metrix 11

6 OpenSSL-kirjaston Heartbleed-haavoittuvus ravisteli tietoturvamaailmaa https://www.viestintavirasto.fi/tietoturv a/tietoturvanyt/2014/04/ttn201404301 533.html 6.1 Taustaa Suositusta salaukseen käytetystä OpenSSL-ohjelmakirjastosta löytyi vakava haavoittuvuus 7.4.2014. Haavoittuvuus vaarantaa salatun tietoliikenneyhteyden siten, että hyökkääjä voi kopioida palvelimen muistissa sillä hetkellä olevia tietoja, kuten käyttäjätunnuksia, salasanoja, sähköposteja, kriittisiä dokumentteja ja pikaviestejä. Haavoittuvuus tunnetaan julkisuudessa nimellä "Heartbleed". Viestintäviraston Kyberturvallisuuskeskus on kartoittanut haavoittuvien palveluiden lukumäärää haavoittuvuuden löytymisestä alkaen. Kaikista löydetyistä haavoittuvista palveluista on välitetty palveluiden ylläpitäjille viesti, jossa kehotetaan päivittämään palvelu mahdollisimman pian. Tarkempia taustatietoja löytyy Kyberturvallisuuskeskuksen julkaisemasta Heartbleed-raportista: 6.2 Tilanneseuranta 7.5.2014 Tärkeimmät palveluntarjoajat ovat korjanneet haavoittuvuuden ja loppujen haavoittuvien palveluiden ylläpitäjille on toistuvasti välitetty viesti haavoittuvuudesta. Pääosa jäljellä olevista haavoittuvista palveluista on yksittäisten kotikäyttäjien tiedostonjakoon tarkoitettuja NAS-laitteita. Haavoittuvien palveluiden yhteismäärä on vähentynyt 1127 palvelimeen, joka vastaa 0,25 prosenttia kaikista SSL -salausta käyttävistä palvelimista. Näistä palvelimista 569 tarjoaa salausta hyödyntäviä www-palveluita (7.5. tilanne). Alla oleviin kuvaajiin on piirretty haavoittuvien palveluiden suhteelliset osuudet (Kuva 9) sekä haavoittuvien palveluiden kehitys ajan funktiona (Kuva 10). Kuvassa 11 näkyvät haavoittuvien palveluiden lukumäärien kasvut 11.4. ja 24.4. johtuvat haavoittuvien palveluiden tutkimismenetelmän kehittymisestä. 12

Sähköposti (POP3S, 995) Session muodostus (SIP over TLS, 5061) Portti 4443 Portti 4433 Portti 8000 Portti 8080 Tiedostonsiirto (FTPS, 990) Hakemistopalvelu (LDAPS, 636) Sähköposti (IMAPS, 993) Sähköposti (SMTP, 587) Salattu www-liikenne (HTTPS, 443) Sähköposti (SMTP over SSL, 465) Sähköposti (SMTP, 25) Kuva 9 Heartbleed-haavoittuvuudelle alttiit palvelutyypit (suluissa palvelun portti), 7.5.2014 tilanne. 4000 3500 3000 2500 2000 1500 1000 500 0 8.4.2014 9.4.2014 10.4.2014 11.4.2014 12.4.2014 13.4.2014 14.4.2014 15.4.2014 16.4.2014 17.4.2014 18.4.2014 19.4.2014 20.4.2014 21.4.2014 22.4.2014 23.4.2014 24.4.2014 25.4.2014 26.4.2014 27.4.2014 28.4.2014 29.4.2014 30.4.2014 1.5.2014 2.5.2014 3.5.2014 4.5.2014 5.5.2014 6.5.2014 7.5.2014 Haavoittuvia palvelimia yhteensä Salattu www-liikenne (HTTPS) Haavoittuvat muut palvelut Kuva 10 Heartbleed-haavoittuvat pavelimet ajan funktiona 13

6.3 Heartbleed-havainnot HAVARO:ssa Heartbleed-haavoittuvuus näkyi selkeästi myös Viestintäviraston Kyberturvallisuuskeskuksen HAVARO -järjestelmässä. Heartbleed-tunnisteet lisättiin HAVAROon 8.4., jolloin myös havaittiin ensimmäiset haavoittuvuuden hyödyntämisyritykset. Alla olevassa kuvaajassa (Kuva 11) näkyy, kuinka 8.4. haavoittuvuuden hyväksikäyttöyrityksiä oli vielä melko vähän, mutta niiden onnistumisprosentti (vihreä viiva) oli yli 40 %. Tähän syynä olivat päivittämät palvelimet. Ylläpitäjien palvelinpäivitysten ansiosta Heartbleed-hyväksikäytön onnistumisprosentti pieneni seuraavien päivien aikana merkittävästi. Heartbleed-haavoittuvuuden hyväksikäyttöyritysten huippu näkyy HAVARO -järjestelmässä 11.4. Tähän mennessä suurin osa palvelimista oli kuitenkin jo ehditty päivittää, koska palvelinten antamien suurten vastauspakettien määrä laski kasvaneista hyväksikäyttöyrityksistä huolimatta. 350 300 250 200 150 100 50 0 Havaron tekemät Heartbleed-havainnot 45,0 % 40,0 % 35,0 % 30,0 % 25,0 % 20,0 % 15,0 % 10,0 % 5,0 % 0,0 % Havaittuja Heartbleed-haavoittuvuuden hyväksikäyttöyrityksiä Vastauspaketteja Heartbleed-pyyntöihin, jotka saattavat sisältää arkaluontoista tietoa (Large response) Hyväksikäyttöyritysten ja vastauspakettien suhde (prosenttia) Kuva 11 HAVARO-järjestelmän Heartbleed-havainnot 14

HAVARON havaitsemat Heartbleed -pyynnöt tulivat pääasiassa kiinalaisista ja venäläisistä internetosoitteista. Alla olevaan kuvaajaan (Kuva 12) on koottu yleisimmät Heartbleed-pyyntöjen lähdeosoitteet. Internetosoitteesta ei kuitenkaan voi suoraan päätellä tekijän alkuperää, koska hyökkäyksen tehnyttä palvelinta voi ohjata mistä päin maailmaa tahansa. Heartbleed-hyväksikäyttöyritysten lähdeosoite CN RU US FI DE NL RO FR Muut Kuva 12 Heartbleed-pyyntöjen lähdeosoite 7 Osa HAVARO:n rekisteröimistä Heartbleed-pyynnöistä on todennäköisesti peräisin tietoturvaviranomaisten, yliopistojen ja tietoturvayritysten Heartbleed-haavoittuvuuskartoituksista. Tilasto ei sisällä Viestintäviraston suorittamia haavoittuvien palveluiden kartoituksia. Tietojenkalastelukampanja jatkuu yhä Pankkitietojen kalastelu valheellisten sähköpostien, www-sivujen ja tekstiviestien avulla jatkuu yhä. Viestintäviraston Kyberturvallisuuskeskus sai ensimmäiset havainnot tietojenkalastelusta maaliskuussa. Kalastelu aloitettiin Tullin nimissä, jonka jälkeen kampanjaa on jatkettu Itellan, perintäpalvelun ja Matkahuollon nimissä. Poliisin mukaan 21.5.2014 mennessä kalastelukampanjan avulla on saatu pikaluottoja yhteensä yli 230 000 euroa. Kesäkuun alkuun mennessä Kyberturvallisuuskeskus on raportoinut yhteensä 32:sta kampanjaan liittyvästä tietojenkalastelusivusta verkkopalveluiden ylläpitäjille. Pääsääntöisesti ylläpitäjät ovat reagoineet ilmoituksiin hyvin ja sulkeneet kalastelusivut nopeasti. 15

Yhden sivuston irtikytkemisen jälkeen kyberrikolliset ovat käytännössä perustaneet uuden sivuston eri osoitteen alle ja jatkaneet tietojenkalastelua. Irtikytkemisillä on kuitenkin voitu minimoida tietojenkalastelukampanjan laajuutta ja vaikutuksia. 16

Yhteystiedot Viestintävirasto PL 313 Itämerenkatu 3 A 00181 Helsinki Puh: 0295 390 100 (vaihde) kyberturvallisuuskeskus.fi viestintävirasto.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute