Varmaa ja vaivatonta viestintää kaikille Suomessa Kohdistetut hyökkäykset Viipyilevä uhka.. Tähän joku aloituskuva, esim. ilmapallopoika
Kohdistetut hyökkäykset ( APT )! Tiettyyn toimijaan tai toimijajoukkoon kohdistettu tietoturvaloukkaus! Tavoitteena tyypillisesti laiton tiedon hankinta» avaa myös mahdollisuuksia sabotaasiin, tieto-, viestintä- ja automaatiojärjestelmien hallinnan kaappamiseen sekä niiden sisältämän tiedon manipulointiin! Muita nimityksiä:» kohdistettu hyökkäys» suunnattu hyökkäys» laiton tiedonhankinta» vakoilu» Advanced Persistent Threat (APT)» en riktad attack CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 2
Kohdistetun hyökkäyksen vaiheistus Maalitus, kartoitus, välineistön valinta Tunkeutuminen kohteeseen soitto kotiin, jalansijan varmistaminen Kohteen tekninen kartoitus ja vaikutusalueen laajentaminen Tietojen varastaminen ja "kotiuttaminen" Jälkien peittäminen, koteloituminen kohteeseen CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 3
Yleisimmät sisääntulovektorit! 0-päivähaavoittuvuuksia vain todelliseen tarpeeseen» kohdeorganisaation päivityskäytännöt tiedossa! Myrkytetyt aidon näköiset dokumenttitiedostot» Microsoft Office -dokumentit» PDF-tiedostot! Haittaohjelmia jakelevat www-palvelimet» Watering Hole! Haittaohjelma tai latauslinkki levitetään yleensä sähköpostissa tai sen liitteenä» myös USB-muistitikut! Myyrät ja muu HUMINT..? CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 4
Advanced? Persistent? Threat?! Viittaa ensisijaisesti operaatioon kokonaisuutena» kunkin vaiheen toteutukseen erikoistuneita tiimejä» huolellinen kohdeympäristön kartoittaminen» kohteen heikkouksien mukaan räätälöidyt haittaohjelmat» kyky piiloutua ja poistua jälkiä jättämättä» ei rönsyilyä ja koheltamista! Haittaohjelmista ja hyökkäystyökaluista näkee ammattilaisen olleen asialla» ei virheetöntä, mutta laatutyötä kuitenkin! Tekijään viittaavat jäljet pyritty peittämään» ei savuavaa asetta tai "osoittavaa sormea" CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 5
Advanced? Persistent? Threat?! Piilossa pysyminen tärkeintä» tukiorganisaatio tuottaa uusia ominaisuuksia ja bugikorjauksia pitkin operaatiota! Kiireettömyys on hyve, kohteeseen tullaan olemaan, ei käymään» dataa saattaa lähteä ensi hetkestä alkaen, mutta lypsävän lehmän luokse kannattaa jäädä» on tavanomaista, että organisaatioiden järjestelmissä ollaan oltu jopa vuosien ajan! Pääsy kohdejärjestelmiin juurrutetaan hankkimalla pääkäyttäjäoikeudet ja ottamalla haltuun hallintajärjestelmät! Redundanssia ja diversiteettiä» yhden osion paljastuminen ei riitä tietomurtokokonaisuuden selvittämiseen» yhden kohdeorganisaation paljastuminen ei riitä paljastamaan vastaavaa hyökkäystä muissa kohteissa CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 6
Advanced? Persistent? Threat?! Kohteeksi ei valikoiduta sattumalta! Erityisen kiinnostavat toimialat» valtionhallinto» puolustusteollisuus» korkean teknologian yritykset..! Avainhenkilöt:» johtajat» neuvottelijat, valmistelijat, sihteerit» kohdejärjestelmien tekninen ylläpito» alihankkijat CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 7
Kontrollikori ja suojattava etu Ehkäisevät Havaitsevat Vahinkoa rajaavat Toipumista edistävät Luottamuksellisuus Eheys Saatavuus CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 8
Kohdistetut hyökkäykset Suomessa CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 9
Kohdistetut hyökkäykset Suomessa! Havaintoja ainakin vuodesta 2004! Tapaukset tulevat tietoon yleensä ulkomaisten vihjeiden perusteella» CERT-FI:n HAVARO-pavelu (tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä) on tuonut merkittävän lisän kansalliseen havainnointikykyyn! Tammikuussa 2013 julki tullut tapaus Red October lisäsi tietoisuutta aiheesta CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 10
Erityisasiakkaille toimitettuja tunnusmerkistöjä 2013 31.10.2013 Ilmiö: Kohdistetut hyökkäykset, CERT-FI:n materiaali 19.10.2013 Qatarin verkkotunnukset palautettu 19.10.2013 Re: Qatarin (.QA) verkkotunnusjärjestelmä mahdollisesti väärissä käsissä 19.10.2013 Quatarin (.QA) verkkotunnusjärjestelmä mahdollisesti väärissä käsissä 18.10.2013 Mielenkiintoinen artikkeli Antwerpin satamaan kohdistuneista kyberhyökkäyksistä 20.9.2013 Der Spiegeliltä: Belgacomin GRX-infraan tunkeutuminen 5.9.2013 Varastetulla varmenteella allekirjoitettu haittaohjelmia 19.8.2013 Re: [FICORA #749915] Haitallisia linkkejä sisältäviä viestejä lähetetty Presidentti Niinistön Twitter-tilille. 16.8.2013 [FICORA #749915] Haitallisia linkkejä sisältäviä viestejä lähetetty Presidentti Niinistön Twitter-tilille. 15.8.2013 [FICORA #749527] Tietoa kohdistetuista hyökkäyksistä 1.8.2013 SIM-korttien haavoittuvuuksista esitys Black Hatissa 25.7.2013 Lisätietoja SIM-korteissa havaituista haavoittuvuuksista 22.7.2013 Mobiiliverkon SIM-korteista löydetty haavoittuvuuksia 5.7.2013 [FICORA #742647] Tietoa kohdistetuista hyökkäyksistä 20.6.2013 Linkedin-tapaus johtui todennäköisesti virheestä 20.6.2013 Heads-up! linkedin.com ja muut Network Solutionsin kautta rekisteröidyt verkkotunnukset 18.6.2013 Tietomurtoja IBM-järjestelmiin 13.6.2013 Kohdennettuja hyökkäyksiä 24.5.2013 Epäilyttävä sähköpostiviesti 7.5.2013 Tunnusmerkistöjä kohdistetuista hyökkäyksistä [FICORA #732782] 2.4.2013 Kohdistettujen hyökkäyksien sähköposteja 2.4.2013 Huijausviestejä Europe Computer Emergency Response Team (EUCER.EU) nimissä - VARO! 28.3.2013 [FICORA #726712] malware.lu:n tuleva APT1-aiheinen raportti 22.3.2013 Varovaisuutta sähköpostin liitetiedostojen aukaisuun (Liittyen Etelä-Koreaan) 21.3.2013 Kaspersky julkaissut raportin vakoiluohjelma TeamSpy:stä 18.3.2013 [FICORA #724965] Tietoa kohdistetusta hyökkäyksestä 28.2.12013 Miniduke-haittaohjelmasta 12.2.2013 Kalasteluviesti (myös) valtionhallintoon 1.2.2013 Kohdistettujen hyökkäyksien sähköposteja 30.1.2013 Kohdistetusta hyökkäyksestä 15.1.2013 Re: [FICORA #714407] Kaspersky julkaisi raportin vakoiluhaittaohjelmasta 14.1.2013 Kaspersky julkaisi raportin vakoiluhaittaohjelmasta 4.1.2013 Turkkilainen CA "korkattu"; väärennettyjä varmenteita jaossa CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 11
Erityisasiakkaille toimitettuja tunnusmerkistöjä 2012 21.12.2012 Kohdistettuja hyökkäyksiä 5.11.2012 [FICORA #702274] Mahdollinen ETYJ-tietovuoto 31.10.2012 Kohdistettu haittaohjelmahyökkäys väittää olevansa Adobe Flash -päivitys tietohallinnolta 24.10.2012 Kohdistettuja hyökkäyksiä 20.9.2012 Re: Kohdistettuja hyökkäyksiä 19.9.2012 Kohdistettuja hyökkäyksiä 11.8.2012 Seurattava: Dorifel-haittaohjelma - keskittynyt Hollannin julkisen sektoriin? 25.7.2012 Japanin valtiovarainministeriö tietoja varastavien haittaohjelmien kohteena 19.7.2012 Tietoa kohdistetuista hyökkäyksistä sähköpostilla 13.7.2012 Kohdistettuja hyökkäyksiä 3.6.2012 Stuxnet- ja Flame-haittaohjelma uutisia 11.4.2012 Valtionhallintoon kohdistuneita hyökkäyksiä 19.3.2012 Päivitys aikaisempaan viestiin kohdistetuista haittaohjelmasähköposteista 19.3.2012 Haittaohjelmia levitetään kohdistetuissa sähköpostijakeluissa 15.3.2012 Tiedoksi: Haittaohjelmia sisältäviä sähköposteja 12.3.2012 [FICORA #632693] Tiedoksi: Haittaohjelman sisältävä sähköposti 27.2.2012 Stratforilta varastettuja sähköposteja julkaistu verkossa 31.1.2012 HP Dataprotectorin haavoittuvuutta käytetty hyväksi 18.1.2012 Pastebinissä julkaistu muutamia Stratforin posteiksi väitettyjä viestejä CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 12
Erityisasiakkaille toimitettuja tunnusmerkistöjä 2011 30.11.2011 YK:n verkkopalvelusta varastettu käyttäjätunnuksia ja salasanoja 14.11.2011 Kohdistetuissa hyökkäyksissä käytettyjä osoitteita 29.9.2011 Kohdistettuja hyökkäyksiä 15.9.2011 DigiNotar tilannekatsaus 2.9.2011 Kyselyn yhteenveto; RSA SecureID-laitteiden käytöstä ja vaihdosta uusiin Suomessa 2.9.2011 DigiNotarin myöntämistä vääristä SSL-varmenteista 30.8.2011 DigiNotarilla tehdyt väärät Google-varmenteet 30.8.2011 Väärennetty Google-varmenne luotu Diginotarin palvelussa 16.8.2011 Euroopan maiden valtionhallintoon kohdistettuja hyökkäyksiä 25.7.2011 Suojauskeinoja kohdistettujen hyökkäysten torjumiseksi 13.7.2011 GOVCERT.NL:n factsheet RSA SecurID-tuotteisiin ja turvallisuuteen liittyen 8.7.2011 Kohdistettuja hyökkäyksiä 17.6.2011 Tietoa RSA SecurID tokenien vaihtoprosessista 13.6.2011 Harkinnassa CERT-FI varoitus 3/2011 RSA SecurID-casen kehityksen johdosta 7.6.2011 RSA tarjoaa SecurID-tokenien vaihtoa Lockheed-Martinin tietomurtoyrityksen vuoksi 1.6.2011 Yhdysvaltalainen L-3 Communications SecurID-murtoyritysten kohteena 30.5.2011 RSA-murron tietoja mahdollisesti käytetty hyväksi 12.4.2011 Tietoa kohdennetusta haittaohjelmasta 31.3.2011 [FICORA #498330] RSA-murto - murtoyritysten havainnointi 28.3.2011 Comodon SSL-varmenteet ja hakkerin vastaus kirjoituksiin 25.3.2011 Skype ja Comodon SSL-varmenteet 23.3.2011 Lista Comodon julkaisemista vääristä sertifikaateista julkistettu Microsoftin tiedotteessa 22.3.2011 [FICORA #498330] RSA:lta päivitetty tietoturvatiedote 19.3.2011 RSA SecurID-tietoturvatilanne [FICORA #498761] 18.3.2011 Tietomurto RSA:n järjestelmiin voi vaikuttaa SecurID-asiakkaisiin 7.3.2011 Ranskan valtionvarainministeriön tietomurrot uutisissa 24.2.2011 HBGaryb bisneksistä Yhdysvaltain valtionhallinnon kanssa 17.2.2011 Tapaus HBGary: tee niin kuin minä sanon, älä niinkuin minä teen 11.2.2011 McAfeen julkistama tietomurtotapaus öljy-, energia- ja petrokemiateollisuuden yrityksiin 27.1.2011 Saksan sisäministeri lausuu kummia Stuxnetistä 25.1.2011 Hollantilaisten kollegojemme tietoturvaraportteja saatavilla englanniksi 21.1.2011 Uutislinkki: "Mysterious "Spy" Computer In Parliament Works Differently Than Being Reported, Tech Expert Says 20.1.2011 Euroopan unionin päästökauppa suljettu tietomurron vuoksi CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 13
Paljastamisesta! Lokeja tarvitaan.. huolehdi niiden elinkaaresta ja hyödyntämisestä» synnyttäminen, kerääminen, analysoiminen, havaintojen korrelointi! Lokeja.. mistä?» Proxy, palomuurit ja muut suodatus- ja sisällöntarkistuslaitteet sekä verkon aktiivilaitteet» DNS, Passive DNS» usein sisään tulevaa liikennettä kiinnostavampaa on verkosta ulos lähtevä! Suunnittele verkkosi siten, että sitä voi hallita» hyvin määritelty "luotettu" liikenne vs. selittämättömät poikkeamat» knoppikysymys: tiedätkö mikä on työasemiesi selainten user-agent?!! Pakota verkkoosi sisään päässyt tunkeutuja ottamaan riskejä ja paljastamaan itsensä» päivitä, kovenna, yllätä muutoksilla, kerää lokeja, valvo CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 14
Mitä jos..? CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 15
Mitä jos..?! Älä hätiköi!» kiireinen rymistely tuhoaa todistusaineistoa ja paljastaa vastapuolelle aikeesi, jolloin jahtaat pelkkiä haamuja! Varmista, että todistusaineisto saadaan talteen» vastassasi on muistinvaraisia ja häirinnän tunnistavia ohjelmistoja, salakirjoitusta, erikoisia ajureita, muokattuja tiedostojärjestelmiä à oletko aivan varmasti samalla viivalla vastustajasi kanssa? CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 16
Mitä jos..?! Kiinnostavia talteen otettavia tietoja» verkko- ja järjestelmälokit» tunkeutujan käyttämät työkalut, ml. haittaohjelmat» komentopalvelinten osoitteet (IP, DNS, URL..)» user-agent- ja referer-tiedot! Aikajanan rakentaminen CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 17
Mistä apua?! Viestintävirasto: tietoturvaloukkausepäilyn vahvistaminen, viitteet APT:sta! Poliisiviranomaiset: rikostutkinta CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 18
Varmaa ja vaivatonta viestintää kaikille Suomessa HAVARO Tietoturvaloukkausten HAvainnointi ja VAROitusjärjestelmä Tähän joku aloituskuva, esim. ilmapallopoika
HAVARO = Tietoturvaloukkausten HAvannointi- ja VAROitusjärjestelmä Viestintäviraston palvelu: HAVARO-järjestelmään liitettyjen asiakasorganisaatioiden lähtevästä ja saapuvasta tietoliikenteestä etsitään jälkiä sähköisen viestinnän tietosuojalain tarkoittamasta tietoturvaa vaarantavasta liikenteestä. CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 20
Tietoturvaloukkausten havaintoja saadaan eriarvoisista lähteistä 1. ensisijaiset: CERT-FI:n omistamat ja operoimat havainnointijärjestelmät à HAVARO (2011 à ) ja GovHAVARO (2013 à ) 2. toissijaiset: kolmansien osapuolten tuottamat havainnot, joiden muodostumisperiaate tunnetaan hyvin à CERT-FI Autoreporter (2011 à ) 3. kolmassijaiset: kolmansien osapuolten tuottamat havainnot ("as-is") à CERT-FI Autoreporter (2005 à ) CERT-FI on 1.1.2014 alkaen Kyberturvallisuuskeskus 2013-11-06 21
www.viestintävirasto.fi