TIETOTURVAKATSAUS 3/2011

Samankaltaiset tiedostot
TIETOTURVAKATSAUS 1/

VUOSIKATSAUS

TIETOTURVAKATSAUS 3/2009

OpenSSL Heartbleed-haavoittuvuus

TIETOTURVAKATSAUS

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

TIETOTURVAKATSAUS 2/2011

TIETOTURVAKATSAUS 2/2009

TIETOTURVALLISUUDESTA

Hosting-palveluiden tietoturvahaasteet. Antti Kiuru CERT-FI

TIETOTURVAKATSAUS 1/2009

CERT-FI tietoturvakatsaus 2/2012

TIETOTURVAKATSAUS 1/2011

Verkkohyökkäysten tilannekuva ja tulevaisuuden verkkosuojauksen haasteet Timo Lehtimäki Johtaja Viestintävirasto

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

YLIMÄÄRÄINEN TIETOTURVAKATSAUS 3b/ Varmennejärjestelmän heikkouksista

Tietokoneiden ja mobiililaitteiden tietoturva

VUOSIKATSAUS

Avointen nimipalvelinten käyttäminen palvelunestohyökkäystyökaluna

Näin meitä huijataan! Verkossa yleisesti tavattuja huijausmenetelmiä

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

Tietoturvavinkkejä pilvitallennuspalveluiden

Muokkaa otsikon perustyyliä napsauttamalla

VUOSIKATSAUS

CERT-FI tietoturvakatsaus 1/2012

Fennian tietoturvavakuutus

Abuse-seminaari

AsioEduERP v12 - Tietoturvaparannukset

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Järjestelmäarkkitehtuuri (TK081702)

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Tietoturvailmiöt 2014

VUOSIKATSAUS

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

TIETOTURVAKATSAUS 3/

Kymenlaakson Kyläportaali

Tietoturva SenioriPC-palvelussa

DNSSec. Turvallisen internetin puolesta

Tietokoneiden ja mobiililaitteiden suojaus

Mobiilimaailma ja tietoturva. Erkki Mustonen, tietoturva-asiantuntija F-Secure Oyj

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Minkä takia S-ryhmä on tarjonnut asiakkailleen langatonta verkkoyhteyttä asiakasomistajatunnuksilla?

Laajakaistaverkon turvallisuus Kiinteistoliitto / Turvallisuusilta / Netplaza Oy, Tommi Linna

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

SantaCare Managed WebSecurity Palvelu turvallista Web-liikennettä varten. Mikko Tammiruusu Security Consultant

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

Varmaa ja vaivatonta viestintää kaikille Suomessa

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Vuosikatsaus

Verkkopalkka. Palvelukuvaus

Näin salasanasi murretaan jopa muutamassa minuutissa ja se on yllättävän helppoa, sanoo asiantuntija

Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

Windows XP -tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

McAfee epolicy Orchestrator Pre-Installation Auditor 2.0.0

Ohje tietoturvaloukkaustilanteisiin varautumisesta

Salakirjoitusmenetelmiä

Neljännen sukupolven mobiiliverkon tietoturvakartoitus Operaattorin näkökulma

Verkostoautomaatiojärjestelmien tietoturva

T Harjoitustyöluento

TEKNINEN OHJE VAIHTOTASETIETOJEN TIEDOSTORAPORTOINTIIN EXCEL-TYÖKIRJALLA

Verkkopalkan palvelukuvaus

#kybersää 09/2018 #kybersää

Turvallinen netin käyttö

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

TIETOTURVA. Miten suojaudun haittaohjelmilta

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

Tietoturvakatsaus 1/

Tietomurroista opittua

Kieku-tietojärjestelmä Työasemavaatimukset

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Turvaa langattomat laitteesi ja verkkosi. Harri Koskinen Rossum Oy

Salasanat haltuun. Neuvoja salasanojen käyttöön ja hallintaan

Sosiaali- ja terveyspalvelukeskuksen TIETOTURVA

Kyberhygieniaopas. Kuinka pitää huolta kyberturvallisuudesta?

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

OHJE Jos Kelaimeen kirjautuminen ei onnistu Mac-koneella Sisällys

Suojaamattomien automaatiolaitteiden kartoitus 2016

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

B U S I N E S S O U L U

Kyberturvallisuuskatsaus

Mobiililaitteiden tietoturva

#kybersää helmikuu 2018

HAAVOITTUVUUSPALKINTO- OHJELMAN SÄÄNNÖT JA EHDOT

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Autentikoivan lähtevän postin palvelimen asetukset

Kyberturvallisuus yritysten arkipäivää

Raporttiarkiston (RATKI) käyttöohjeet Ohjeet

Transkriptio:

TIETOTURVAKATSAUS 3/2011 18.10.2011 1

CERT-FI:n tietoturvakatsaus 3/2011 Johdanto Alankomaalaisen Diginotar-varmenneyrityksen järjestelmiin tehty tietomurto paljastui elokuun lopussa. Tunkeutuja oli kyennyt luomaan useita varmenteita eri verkkotunnuksille ja www-osoitteille. Luvatta myönnettyjä varmenteita voi käyttää SSL-suojattujen yhteyksien vakoiluun, yhteyksien kaappaamiseen tai tietojen urkkimiseen huijaussivustojen avulla. Tunkeutujalla on todennäköisesti ollut pääsy järjestelmään kuukausien ajan ennen kuin tietomurto tuli ilmi. Tietoturvatutkijat esittelivät syyskuussa tekniikan, jonka avulla voi kaapata HTTPS-protokollalla suojatun www-istunnon. Menetelmän kehittäjä on antanut menetelmälle nimen BEAST (Browser Exploit Against SSL/TLS). Hyökkäyksen toteuttaminen edellyttää monen ehdon toteutumisen samalla kertaa mikä osaltaan pienentää riskiä. Zeus- ja Torpig-haittaohjelmien määrittelytiedostoista on löytynyt useiden suomalaisten pankkien tietoja. Tietojen ilmestyminen haittaohjelmiin ennakoi usein sitä, että niitä pyritään lähiaikoina käyttämään yhteyksien tai tietojen kaappaamiseen. Lisäksi verkkopankkitunnuksia on pyritty kaappaamaan ja tekemään luvattomia tilisiirtoja phishing-urkintasivustojen avulla. Toisen sukupolven matkaviestinverkot (GSM) ovat edelleen salauksen murtajien kohteena. Puheyhteyksien lisäksi myös GPRS-datayhteyksien salaus on murrettu. Siirtyminen kolmannen sukupolven verkkoihin on yksinkertaisin tapa päästä eroon salauksen murtamiseen liittyvistä uhkista. RSA SecurID-avainlukugeneraattoreiden vaihtoprosessi on Suomessa vielä kesken. Osa laitteista vaihdetaan vasta vuoden 2012 ensimmäisen puoliskon aikana. CERT-FI järjestää yhdessä Huoltovarmuuskeskuksen ja VTT:n kanssa sarjan teollisuusautomaation tietoturvaa käsitteleviä työpajoja. 2

Diginotarin järjestelmiin murtautunut loi luvatta SSL-varmenteita Elokuun lopulla kävi ilmi, että Googlen palveluja varten oli luotu luvatta SSL-varmenteita. Varmenteiden avulla www-selaimet toteavat www-sivustojen aitouden. Tunnistaminen perustuu luottamusketjuun, jossa selainohjelmistot luottavat rajattuun joukkoon juurivarmenteita ja edelleen juurivarmenteiden haltijoiden myöntämiin sivustokohtaisiin varmenteisiin. Osoittautui, että alankomaalaisen Diginotar-varmenneyrityksen järjestelmiin oli murtauduttu, ja että murtautuja oli kyennyt luomaan useita varmenteita eri verkkotunnuksille ja www-osoitteille. Alankomaiden viranomaiset ottivat Diginotarin toiminnan haltuunsa tietomurron tultua julki. Yritys on sittemmin haettu konkurssiin ja lopettanut toimintansa. Selainohjelmistoihin ja käyttöjärjestelmiin on julkaistu ohjelmistopäivitykset, joissa Diginotarin varmenne on poistettu luotettujen varmentajien luettelosta. Muitakin varmentajia kohteena Vuoden 2011 aikana on tullut julki muitakin varmenteita myöntäviin yrityksiin kohdistuneita tietomurtoja. Diginotarin tietomurron tekijäksi on julkisesti ilmoittautunut nimimerkin suojissa esiintyvä taho. Maaliskuussa 2011 julki tulleessa Comodo-yhtiön tietomurrossa olivat alihankkijan tunnukset joutuneet ulkopuolisen haltuun. Hyökkääjä ei päässyt käsiksi itse varmennejärjestelmään, mutta pystyi luomaan varmenteita. Myönnetyt varmenteet havaittiin kuitenkin nopeasti ja yritys tiedotti tapahtuneesta heti. Kesäkuussa 2011 yritettiin murtautua Startcom-nimisen varmentajan järjestelmiin. Julkisuudessa olleiden tietojen mukaan yritys kuitenkin epäonnistui. Diginotarin palvelimille murtautunut taho ilmoitti tapauksen tultua julki murtautuneensa myös Globalsign-yhtiön järjestelmiin, minkä johdosta yritys lopetti varmenteiden myöntämisen tutkimusten ajaksi. Muutamassa päivässä kävi ilmi, 3 että vain yrityksen www-palvelimille oli murtauduttu ja Globalsign jatkoi toimintaansa normaalisti. Väärennetyllä varmenteella voi vakoilla tai huijata käyttäjiä Väärennetyn varmenteen avulla voi toteuttaa man-in-the-middle -tyyppisen hyökkäyksen (MiTM) ja kaapata yhteyden palvelun ja sen käyttäjän välillä. Tällöin verkkoinfrastruktuurin tai nimipalvelimen on oltava hyökkääjän hallinnassa tai hyökkääjän oltava samassa paikallisverkossa uhrinsa kanssa. Esimerkiksi avoimet WLAN-verkot voivat tarjota sopivan ympäristön hyökkäysten toteuttamiselle. Käyttäjää voidaan erehdyttää myös ohjaamalla nimipalvelua manipuloimalla wwwyhteydet osoitteeseen, joka sisältää väärennetyn sivuston ja varmenteen. Aidolta näyttävällä sivustolla voidaan urkkia käyttäjän tietoja, kuten käyttäjätunnuksia ja salasanoja. On esitetty arvioita, joiden mukaan luvattomasti luotuja varmenteita olisi käytetty iranilaisten internet-käyttäjien tietoliikenteen tarkkailuun. TLS-protokollan salauksen murtamiseen kehitettiin BEASTmenetelmä Tietoturvatutkijat esittelivät syyskuussa tekniikan, jonka avulla sivullinen voi kaapata HTTPS-protokollalla suojatun wwwistunnon. Menetelmästä käytetään löytäjänsä antamaa nimitystä BEAST (Browser Exploit Against SSL/TLS). Aikaisemmin esitellyt SSL/TLS-protokolliin kohdistuneet hyökkäykset ovat pääosin perustuneet palvelinvarmenteiden väärentämiseen ja man-in-the-middle -tyyppiseen liikenteen kaappaamiseen. Näistä poiketen BEAST keskittyy protokollan salauksen murtamiseen ja HTTPS-istuntokohtaisen seurantaevästeen (session cookie) kaappaamiseen. Hyökkäyksen onnistumiselle useita reunaehtoja Onnistuneen BEAST-hyökkäyksen toteuttamiseksi pitää hyökkääjän kyetä ujutta-

maan uhrin selaimeen omaa ohjelmakoodiaan. Sen avulla hyökkääjä generoi suuria määriä tunnettua liikennettä, jota voi käyttää apuna salauksen murtamisessa. Lisäksi hyökkääjän pitää pystyä kuuntelemaan hyökkäyksen kohteen verkkoliikennettä. BEAST-hyökkäyksen avulla voi murtaa vain TLS-protokollan versiota 1.0 käyttäviä www-yhteyksiä. Hyökkäyksessä käytetään hyväksi protokollan lohkosalauksen toteutuksista löytyviä haavoittuvuuksia, joten hyökkäykseltä voi suojautua siirtymällä käyttämään esimerkiksi RC4- jonosalausalgoritmia. Tällöin sekä selaimen että palvelimen on tuettava käytettävää algoritmia. Hyökkäyksen toteuttamiseen vaadittavat olosuhteet rajoittavat käytännössä varsin tehokkaasti menetelmän hyväksikäyttömahdollisuuksia. Tapaus on kuitenkin herättänyt tietoturvayhteisön pohtimaan laajassa käytössä olevan TLS 1.0-protokollan korvaamista turvallisemmilla vaihtoehdoilla. Nopea siirtyminen uusimpaan TLS 1.2-versioon on kuitenkin vaikeaa, sillä uudemman version tuki puuttuu edelleen useista www-selaimista ja -palvelinohjelmistoista. Lyhyemmän aikavälin ratkaisuna selainvalmistajat ovat julkaisseet päivityksiä selaimiin, joilla BEAST-hyökkäys voidaan nykyiselläkin TLS-versiolla torjua. CERT-FI on julkaissut BEAST-hyökkäyksestä myös Tietoturva nyt! -artikkelin 1 27.9.2011. Suomalaiset verkkopankit haittaohjelmien kohteina Kesän aikana CERT-FI:n tietoon tuli, että sekä Zeus- että Torpig-haittaohjelmien määrittelytiedostoissa esiintyi useiden suomalaisten verkkopankkien osoitteita. Tietyn kohdesivuston ilmestyminen määrittelytiedostoihin voi ennakoida haittaohjelman myöhempää käyttämistä tietojen varastamiseen. 1 http://www.cert.fi/tietoturvanyt/2011/09/ttn201109 271116.html 4 Haittaohjelmien toimintaa ohjataan tietokoneelle tallennetun, salakirjoituksella suojatun määrittelytiedoston avulla. Tiedostossa haittaohjelmalle kerrotaan ne www-osoitteet, joiden selailuliikenteestä tietoja varastetaan. Tietojen varastamisen lisäksi haittaohjelmat osaavat myös ujuttaa omaa sisältöä suoraan wwwistuntoihin. Näin ne voivat urkkia saastuneen tietokoneen käyttäjältä myös sellaisia tietoja, joita muutoin ei kysyttäisi. Zeus- ja Torpig-haittaohjelmien määrityksissä suomalaisia verkkopankkisivustoja Heinäkuun puolessa välissä CERT-FI vastaanotti tietoturvaloukkausilmoituksen, jossa epäiltiin verkkopankkitunnusten urkintaa. Verkkopankin asiakkaalta oli pankkiin kirjautumisen yhteydessä poikkeuksellisesti kysytty kerralla useita kymmeniä vaihtuvia tunnuslukuja. Lyhyen ajan sisällä vastaavia urkintailmoituksia tuli myös kahden muun pankin verkkopankkikäyttäjiltä. Heräsi epäilys, että uusi tietoja varastava haittaohjelma olisi aktivoitunut. CERT-FI sai yhden urkinnan kohteeksi joutuneen henkilön tietokoneen tutkittavaksi. Tietokoneessa olevasta ajantasaisesta virustorjuntaohjelmistosta huolimatta koneelle oli piiloutunut aiemmin tuntematon versio Zeus-haittaohjelmasta. Zeus on laajalle levinnyt tietoja varastava haittaohjelma. Se varastaa saastuneelta tietokoneelta henkilökohtaisia varmenteita ja ohjelmistojen tallentamia salasanoja esimerkiksi FTP-ohjelmista, Internet Explorerista ja Outlookista. Haittaohjelma osaa tämän lisäksi varastaa usean eri selaimen kautta esimerkiksi www-lomakkeisiin syötettyjä tietoja. Tutkimuksissa ei paljastunut koska ja miten haittaohjelma oli päässyt tietokoneeseen. Haittaohjelman määrittelytiedostosta kuitenkin kävi ilmi, että se oli räätälöity suomalaisten pankkien käyttäjien vakoilemiseen. Määrittelytiedostossa listattiin kahdeksan eri suomalaista verkkopankkia, joiden asiakkaiden pankkitunnuksia haittaohjelma oli ohjelmoitu varastamaan.

Torpig on toinen käyttäjien tietoja varastava haittaohjelma. Myös Torpig-ohjelman toimintaa ohjaavista määrittelytiedostoista löydettiin elokuun loppupuolella osuus, joka ohjaa haittaohjelman keräämään suomalaisen verkkopankin sivustolle syötettyjä tietoja. Käytettävissä olevien tietojen perusteella Torpig-haittaohjelman tartuntamäärät Suomessa eivät toistaiseksi ole merkittävästi kasvaneet. Värvätyt muulit välittävät varastetut rahat rikollisille Saastuneiden tietokoneiden lisäksi rikolliset tarvitsevat paikallisen rahanvälittäjien eli muulien verkoston. Välittäjien tehtävä on siirtää urkittujen pankkitunnusten kautta varastetut rahat rikollisten tileille. Palkaksi muulit saavat pitää pienen osan siirtämistään varoista. Rahamuuleja värvätään kohdemaista yleensä sähköpostiviesteillä, joissa tarjotaan helppoa ja tuottoisaa osapäivätyötä. Rahamuulina toimiminen on rikollista. Uhkiin varaudutaan yhteistyössä CERT-FI vaihtoi tapausten selvittelyn yhteydessä tietoja pankki- ja vakuutusalan tietoturvallisuudesta vastaavien tahojen kanssa muun muassa siitä, miten pankit omilla verkkopankkipalvelimillaan voivat tunnistaa haittaohjelmalla saastuneen asiakkaan tietokoneen ja estää luvattomat rahansiirrot ennalta. Lisäksi CERT-FI välitti näytteen Zeushaittaohjelmasta virustorjuntayhtiöille. Pari päivää näytteen jakamisen jälkeen useimmat virustorjuntatuotteet tunnistivat ja torjuivat kyseisen haittaohjelmaversion. Ei tiedetä varmasti, miten laajalle heinäkuussa havaittu haittaohjelmaversio on levinnyt. On kuitenkin oletettava, että saastuneita koneita on vähintään satoja, ellei jopa tuhansia. Syksyllä uusia urkintaviestejä Syyskuussa levitettiin sähköpostiviesteissä linkkejä sivustoille, joiden avulla pyrittiin tunkeutumaan suomalaisten verkkopankkikäyttäjien tileille. Aitoa verkkopankkisivustoa varsin tarkasti jäljittelevät sivustot pyysivät käyttäjiltä palveluun kirjautumiseen tarvittavia käyttäjätunnuksia ja tunnuslukuja sekä tilisiirtojen vahvistamiseen tarvittavia varmistustunnuksia. Sivustojen käyttäytyminen antoi viitteitä siitä, että ainakin joissakin tapauksissa oli kyse niin sanotusta man-in-the-middle - hyökkäyksestä, jossa rikollinen seurasi liikennettä tosiaikaisesti ja pyrki tekemään luvattomia tilisiirtoja käyttäjän syöttämien tunnuslukujen avulla. Sähköpostiviesteissä, joilla käyttäjät houkuteltiin huijaussivustoille, käytettiin tökeröä suomen kieltä, mutta itse sivustot olivat hyvin aidon näköisiä. Näin ollen käyttäjän erehdyttäminen oli mahdollista. Urkintaviestien kohteina olivat ainakin Nordean ja Osuuspankin asiakkaat. Matkapuhelinverkkojen turvallisuus tutkimuksen kohteena Edellisessä tietoturvakatsauksessa kerroimme, että GSM-puhelujen salaamiseen käytetty A5/1-algoritmi on tietyissä tapauksissa murrettavissa. Toisen sukupolven matkapuhelinverkkoihin (GSM) suuntautuvan jatkuvan kiinnostuksen vuoksi eurooppalaiset teleoperaattorit tutkivat tällä hetkellä, voitaisiinko 2Gverkkoihin tehdä sellaisia muutoksia, jotka parantaisivat niiden turvallisuutta. Suomalaiset teleoperaattorit eivät tiettävästi suunnittele tekevänsä 2G-verkkoihin suuria muutoksia. Käyttäjät ovat jo siirtymässä 3G-verkkoihin, joissa samoja turvallisuusongelmia ei ole. Myös GPRS-dataliikenne ja Tetra-verkot kohteena Matkaviestinnän tietoturvatutkimus on suuntautumassa uusiin kohteisiin. GSMverkkojen GPRS-dataliikenteen suojana käytettävä GEA/1-salausalgoritmi on osittain murrettu. Salaus on toteutettu tavalla, joka mahdollistaa sen algebrallisen murtamisen. Siten etukäteen laskettuja niin sanottuja sateenkaaritauluja (rainbow tables) ei tarvita, toisin kuin A5/1:n murtamisessa. 5

On huomattava, että osa operaattoreista ei käytä GPRS-liikenteessä salausta lainkaan. Verkon käyttäjien tulisikin salata tietoliikenteensä sovellustasolla tai salatuilla VPN-yhteyksillä. Samat tahot, jotka ovat tuottaneet avoimen lähdekoodin ohjelmistoja GSM-verkkojen tutkimista ja salauksen murtamista varten, ovat julkaisseet työkaluja myös GRPS-liikenteen tutkimiseen. Myös viranomaisverkoissa käytettävien Tetra-verkkojen toimintaa ja mahdollisia turvallisuuspuutteita tutkitaan aktiivisesti. Yhteyden päästä päähän tapahtuvan salauksen käyttäminen Tetra-päätelaitteiden välillä on tämän vuoksi tärkeää. RSA:n SecurID-laitteiden vaihto Suomessa kesken Maaliskuussa tietomurron kohteeksi joutunut RSA ilmoitti kesäkuussa vaihtavansa RSA SecurID-avainlukugeneraattorit uusiin. CERT-FI:n tekemän suppoean kyselyn mukaan vaihtoprosessi on Suomessa vielä kesken. Osa avainlukugeneraattoreista vaihdetaan vasta vuoden 2012 ensimmäisen puoliskon aikana. Vaihtoprosessi on osalle asiakkaista maksullinen ja voi vaatia toimenpiteitä laitteiden käyttäjäorganisaatiolta. Laitteiden vaihdon maksullisuuteen vaikuttavat muun muassa laitteiden määrät sekä niiden voimassaoloaika. Teollisuuden tietoturvatyöpajat alkoivat Viestintävirastossa järjestettiin syyskuussa ensimmäinen teollisuusautomaation tietoturvatyöpaja. Huoltovarmuuskeskuksen, VTT:n ja CERT-FI:n toteuttaman projektin tavoitteena on teollisuuden tietoturvallisuuden kehittäminen. Projektin kohderyhmänä ovat suomalaisen teollisuuden käytännön toimijat, kuten tuotantolaitosten automaatiosta vastaavat insinöörit ja järjestelmien hankinnasta vastaavat toimihenkilöt. Työpajoja järjestetään vuoden 2012 loppuun asti. Avoimen lähdekoodin ohjelmistojen tietoturvaa parannetaan Suomalainen testausyhtiö Codenomicon Oy testaa CROSS-projektissaan avoimen lähdekoodin ohjelmistoja. CERT-FI on koordinoinut projektissa löydettyjen ohjelmistohaavoittuvuuksien korjauksia. Viimeisimmät korjatut haavoittuvuudet liittyvät Quagga-reititysohjelmiston BGPja OSPF-reititysprotokollien käsittelyyn. BGP-protokollaa (Border Gateway Protocol) käytetään internet-reititysprotokollana, kun taas OSPF-protokolla (Open Shortest Path First) on tarkoitettu reitityksen hallintaan sisäverkossa. Korjatut viisi haavoittuvuutta voivat johtaa IPv4- ja IPv6-reitityksen häiriötiloihin ja sitä kautta katkoksiin liikenteessä. Jotkin haavoittuvuuksista voivat teoriassa mahdollistaa liikenteen ohjailun hyökkääjän haluamalla tavalla. Haavoittuvuuksien hyväksikäyttö voi vaatia olemassa olevaa BGP-naapuruussuhdetta kohdejärjestelmän ja hyökkääjän välillä. CERT-FI on koordinoinut Quagga-ohjelmiston haavoittuvuuksien korjaamista myös vuonna 2010. Rustock-bottiverkon tartunnat vähenemässä Roskapostia lähettävä Rustock-bottiverkko ajettiin Microsoftin toimesta alas maaliskuun puolivälissä. Microsoft otti haltuunsa bottiverkon käyttämät komentopalvelimet ja ryhtyi keräämään havaintoja saastuneista tietokoneista. CERT-FI on saanut käyttöönsä Suomea koskevat tiedot ja on välittänyt operaattoreille tiedot niistä tietokoneista, jotka ovat olleet osallisina tätä bottiverkkoa. Seuraavasta kuvaajasta käy ilmi miten tartuntoja on vuoden aikana saatu kitkettyä. Kuvaajaan on vertailun vuoksi piirretty myös CERT-FI:n tietoon tulleet havainnot Conficker-haittaohjelmasta. Populaatiot näyttäisivät olevan erillisiä - molempien haittaohjelmien tartunnan saaneita koneita on ollut enintään kourallinen. 6

Tilastotietoja CERT-FI:n käsittelemistä yhteydenotoista CERT-FI-yhteydenotot nimikkeittäin 1-9/2011 1-9/2010 Muutos Haastattelu 94 73 + 29 % Haavoittuvuus tai uhka 120 148-19 % Haittaohjelma 1873 2670-30 % Neuvonta 327 330-1 % Hyökkäyksen valmistelu 48 32 + 50 % Tietomurto 66 80-18 % Palvelunestohyökkäys 50 32 + 56 % Muu tietoturvaongelma 56 49 + 14 % Social Engineering 168 216-22 % Yhteensä 2802 3630-23 % 7

8

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute