TIETOTURVAKATSAUS 2/

Samankaltaiset tiedostot
DNSSec. Turvallisen internetin puolesta

TIETOTURVAKATSAUS 3/2009

TIETOTURVAKATSAUS

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

TIETOTURVAKATSAUS 1/2009

Tietokoneiden ja mobiililaitteiden suojaus

Kymenlaakson Kyläportaali

VUOSIKATSAUS

TIETOTURVAKATSAUS 1/

Tietoturva SenioriPC-palvelussa

XEROXIN TURVATIEDOTE XRX Versio 1.0 Muutettu viimeksi: 10/08/05

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Kuvaus DNSSEC allekirjoitus- ja avaintenhallintakäytännöistä

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

PÄIVITÄ TIETOKONEESI

Tietosuojaseloste. Trimedia Oy

Tietoturvavinkkejä pilvitallennuspalveluiden

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

OpenSSL Heartbleed-haavoittuvuus

PÄIVITÄ TIETOKONEESI

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

Fi-verkkotunnus yksilöllinen ja suomalainen

YHDISTYKSEN DIGITAALINEN VIESTINTÄ

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen

ESET CYBER SECURITY Mac Pikaopas. Lataa tämän asiakirjan uusin versio napsauttamalla tätä

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Hosting-palveluiden tietoturvahaasteet. Antti Kiuru CERT-FI

Vaivattomasti parasta tietoturvaa

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Google-työkalut: Dokumenttien jakaminen ja kommentointi

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Muokkaa otsikon perustyyliä napsauttamalla

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Ti LÄHIVERKOT -erikoistyökurssi. X Window System. Jukka Lankinen

Langattoman kotiverkon mahdollisuudet

Luottamuksellinen sähköposti Lapin yliopistossa. Ilmoitusviesti

Tietoyhteiskunnan taudit ja rohdot 2000-luvulla Erkki Mustonen tietoturva-asiantuntija

Verkkohyökkäysten tilannekuva ja tulevaisuuden verkkosuojauksen haasteet Timo Lehtimäki Johtaja Viestintävirasto

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Järjestelmäarkkitehtuuri (TK081702)

WLAN-laitteen asennusopas

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Office ohjelmiston asennusohje

Asetusten avulla voit säätää tietokoneen suojaustasoja. Suojaustila ilmoittaa tietokoneen senhetkisen tietoturvan ja suojauksen tason.

Langaton Tampere yrityskäyttäjän asetukset

Tietotunti klo 12 ja 17. Aiheena sosiaalisen median sovellukset: Instagram, Twitter, WhatsApp ja Facebook

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

OHJE 1 (14) Peruskoulun ensimmäiselle luokalle ilmoittautuminen Wilmassa

TIETOTURVALLISUUDESTA

Toshiba EasyGuard käytännössä: Portégé M300

Luottamuksellinen sähköposti Trafissa

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Ohje digitaalisessa muodossa olevan aineiston siirtoon ja allekirjoittamiseen vaadittavien avainten muodostamisesta

Tiedostojen jakaminen turvallisesti

Googlen pilvipalvelut tutuksi / Google Drive

Titan SFTP -yhteys mittaustietoja varten

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

SÄHKÖPOSTIN SALAUSPALVELU

Käyttöjärjestelmät(CT50A2602)

Kirje -tasolla viestiliikenne suojataan automaattisesti SSL-salauksella, sekä viesti lukitaan Deltagon MessageLock -tekniikalla.

INTERNET-SIVUT. Intercity Uusikaupunki H. Cavén

Mobiililaitteiden tietoturva

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

F-SECURE SAFE. Toukokuu 2017

TIETOTURVAOHJE ANDROID-LAITTEILLE

Peruskyberturvallisuus. Arjessa ja vapaa-ajalla koskee jokaista meitä

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

Historiaa. Unix kirjoitettiin kokonaan uudestaan C-kielellä Unix jakautui myöhemmin System V ja BSDnimisiin. Kuutti, Rantala: Linux

Googlen pilvipalvelut tutuksi / Google Drive

Lahden kaupunginkirjasto ASIAKASKOULUTUKSET

Langattomien verkkojen tietosuojapalvelut

Open Badge -osaamismerkit

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Salasanojen hallinta. Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION

Salatun sähköpostipalvelun käyttöohje

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Pikaviestinnän tietoturva

RAY MOBIILIASIAKASKORTTI

Yhteisrakentamisverkoston uutiskirje 02/2018

TIETOTURVAKATSAUS 2/2009

1. YLEISKUVAUS Palvelun rajoitukset PALVELUKOMPONENTIT Sähköpostipalvelu Sähköpostipalvelun lisäpalvelut...

Visma L7 Visma Sign. Sähköinen allekirjoittaminen L7:ssä

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Ennen varmenteen asennusta varmista seuraavat asiat:

NTG CMS. Julkaisujärjestelm. rjestelmä

RAY MOBIILIASIAKASKORTTI

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

pikaohje selainten vianetsintään Sisällysluettelo 17. joulukuuta 2010 Sisällysluettelo Sisällys Internet Explorer 2 Asetukset Internet Explorer 8:ssa

SOPIMUSKONEEN SOPIMUSTEN SÄHKÖINEN ALLEKIRJOITTAMINEN PALVELUN TILAAMINEN JA KÄYTTÖ

ohjeita kirjautumiseen ja käyttöön

Tämä ohje on laadittu Mozilla Firefoxin asetuksille versiossa

Transkriptio:

TIETOTURVAKATSAUS 2/2010 7.7.2010 1

CERT-FI tietoturvakatsaus 2/2010 Johdanto Facebook ja muut yhteisöpalvelut ovat entistä houkuttelevampia haitallisen sisällön levittämispaikkoja. Suosituissa palveluissa huijaukset näyttävät onnistuvan paremmin kuin esimerkiksi sähköpostin avulla. Internetin nimipalvelun DNSSEC-tietoturvalaajennuksen käyttöönotto on alkanut. DNSSEC otetaan käyttöön myös Viestintäviraston ylläpitämissä fi-verkkotunnuksissa. Tietoturvalaajennus tarjoaa suojaa verkkotunnusten väärentämistä ja nimipalveluun perustuvia harhautuksia vastaan. Google on kartoittanut kuvausautollaan Street View -palvelua varten myös langattomien WLAN-tukiasemien tietoja. Kartoituksen yhteydessä on tallennettu myös viestintäsalaisuuden piiriin kuuluvia viestisisältöjä. CERT-FI:n haavoittuvuuskoordinointi on ollut viime aikoina vilkasta. Viimeksi kuluneen vuosineljänneksen aikana julkaistiin neljän CERT-FI:n koordinoiman haavoittuvuuden korjaus- ja julkaisuprosessin tulokset. Asiakkaiden yhteydenotot CERT-FI:n lähettämät ilmoitukset 2002 2003 2004 2005 2006 2007 2008 2009 1-6/2010 CERT-FI:n käsittelemien yhteydenottojen määrä on laskenut jonkin verran edellisvuodesta. Automaattisesti lähetettyjen haittaohjelmailmoitusten määrä sen sijaan lisääntyy. 2

CERT-FI-yhteydenotot nimikkeittäin 1-6/2010 1-6/2009 Muutos Haastattelu 49 61-20 % Haavoittuvuus tai uhka 104 65 +60 % Haittaohjelma 789 1055-25 % Neuvonta 244 188 +30 % Hyökkäyksen valmistelu 22 24-8% Tietomurto 65 65 ±0 % Palvelunestohyökkäys 22 40-45 % Muu tietoturvaongelma 31 46-33 % Social Engineering 69 59 +17 % Yhteensä 1395 842-12 % 4000 3500 3000 2500 2000 1500 Q4 Q3 Q2 Q1 1000 500 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 3

Yhteisöpalveluissa levitetään myös haitallista sisältöä Erityisesti Facebookissa on viime aikoina levitetty useita haitallista ohjelmakoodia sisältäviä viestiketjuja. Haitallisten viestien toimintaperiaate on sama kuin sähköpostissa leviävissä, tietoa urkkivissa tai haitallisia linkkejä sisältävissä roskapostiviesteissä. Kaksi eri jakelutapaa Facebook-madot leviävät pääsääntöisesti haitallisten linkkien tai haitallisten Facebook-sovellusten avulla. Molempia menetelmiä voidaan nimittää likejackingkaappaukseksi. Nimitys johtuu Facebooksivuston "like" (tykkää) -toiminnosta, jonka avulla käyttäjät voivat kertoa pitävänsä toistensa julkaisemasta sisällöstä. Haitallinen linkki ohjaa käyttäjän verkkosivustolle, jolla oleva ohjelmakoodi kaappaa käyttäjän selaimessa hiiren kursorin haltuunsa. Sen jälkeen klikkaus mihin tahansa sivun osaan saa todellisuudessa aikaan "like"-napin painalluksen Facebookissa. Kun käyttäjä "tykkää" jostain linkistä tai sivustosta, kyseinen linkki kopioituu hänen omalle profiilisivulleen sekä kaikkien hänen Facebook-ystäviensä uutissyötteisiin. Harhautus voidaan toteuttaa myös niin, että haitallinen Facebook-sovellus pyytää käyttäjää antamaan sovellukselle oikeudet, jotka saavat aikaan vastaavanlaisen "like"-napin painalluksen. Facebook-madot voivat myös pyytää käyttäjää asentamaan esimerkiksi ohjelmapäivitykseksi naamioidun haittaohjelman käyttäjän koneelle. Lisäksi linkkien takaa löytyvillä sivuilla voi olla selainten haavoittuvuuksia hyväksikäyttäviä haittaohjelmia. Nettifiksuus auttaa pitkälle Yhteisöpalvelujen tarjoamiin linkkeihin kannattaa suhtautua epäilevästi siitä huolimatta, että ne näyttäisivät tulevan tutulta käyttäjältä. Jos lähetetyn linkin sisältö vaikuttaa saatetekstin perusteella vähänkin epäilyttävältä, on ennen linkin avaamista hyvä tarkistaa suoraan sen lähettäjältä, mistä on kysymys. 4 Harkinta on joskus vaikeaa, sillä Facebookin ja muiden yhteisöpalvelujen yleisiin käyttötapoihin kuuluu hauskojen ja viihdyttävien linkkien jakaminen kaverilistalle. Facebook-madon postittaman linkin erottaminen niistä ei ole aina helppoa. Tutustu Facebookin asetuksiin Facebook-sivuston sovelluksille annettavia oikeuksia tulisi myös harkita tarkkaan. Vaikka Facebookin yksityisyysasetuksia on moitittu vaikeiksi, on palvelussa melko monipuoliset mahdollisuudet rajoittaa omien tietojen näkymistä muille käyttäjille. Käyttäjän asentamat Facebooksovellukset voivat kuitenkin kysyä erikseen lupaa käyttäjän tietojen käyttämiseen, jolloin ne voivat kiertää asetettuja tietojen näkyvyysrajoituksia. Varovaisuus paikallaan myös muissa yhteisöpalveluissa Suosionsa takia Facebook on usein julkisuudessa. Kuitenkin kaikki palvelut, joiden kautta tavoittaa helposti suuren joukon ihmisiä, houkuttelevat myös väärinkäytöksiä. Haitallisia linkkejä on levitetty myös esimerkiksi lyhyisiin viesteihin perustuvassa Twitter-palvelussa. Palvelun erityisongelmana voidaan pitää siinä yleisesti jaettuja lyhennettyjä linkkiosoitteita, joiden todellinen kohde ei käy ilmi ennen kuin linkin avaa selaimella. Esimerkiksi bit.ly on tällainen verkko-osoitteen lyhennyspalvelu. Suomi24-sivuston tunnukset ja salasanat väärissä käsissä Suomi24-sivustolle murtauduttiin huhtikuun alussa käyttämällä Google-haun avulla löytynyttä SQL-injektiohaavoittuvuutta. Murtautujat onnistuivat varastamaan sivuston käyttäjätietokannan ja lisäsivät sivustolle linkin haittaohjelmaan. He pyrkivät myös hidastamaan tiedon leviämistä haittaohjelmasta poistamalla sivustolta aiheesta käytyä keskustelua. Suomi24 toimi nopeasti ja kehotti käyttäjiä vaihtamaan salasanansa. Sellaiset tunnukset, joiden salasanaa ei vaihdettu määräaikaan mennessä, lukittiin. Huolellisestikin ylläpidettyjen palvelujen tietoturva saattaa toisinaan vaarantua. Palvelujen ylläpitäjien tuleekin miettiä etukäteen tiedottamista ja muita toimenpiteitä kriisitilanteissa.

Nimipalvelun tietoturvalaajennuksen käyttöönotto on aloitettu Viestintävirasto ottaa käyttöön nimipalvelun DNSSEC-tietoturvalaajennuksen fipäätteisissä verkkotunnuksissa. Tietoturvalaajennus tarjoaa tehokkaan suojan verkkotunnusten väärentämistä ja nimipalveluun perustuvia harhautuksia vastaan. Sen tarkoituksena on osaltaan varmistaa, että internetin käyttäjät pääsevät juuri sille verkkosivulle, jolle heillä oli aikomus mennä. Juurinimipalvelimissa on jo DNSSECallekirjoitukset Tietoturvalaajennus otetaan käyttöön fiverkkotunnuksen juurinimipalvelimissa syksyllä 2010, mutta koekäyttö aloitetaan jo kesällä. Internetin käyttäjältä tai fiverkkotunnuksen haltijalta tämä ei edellytä toimenpiteitä, vaan tietoturvalaajennuksen käyttöönotosta vastaavat verkkooperaattorit. Palvelu avataan fi-verkkotunnusten käyttäjille maaliskuussa 2011. Internetin maailmanlaajuisilla juurinimipalvelimilla DNSSEC on ollut koekäytössä vuodenvaihteesta lähtien. Heinäkuun alusta alkaen juurinimipalvelinten tiedot on allekirjoitettu julkisesti saatavilla olevalla avaimella. Mikä on DNSSEC? DNSSEC (Domain Name System Security Extensions) on nimipalvelun laajennus, jonka tarkoituksena on parantaa nimipalvelun tietoturvaa. Kun DNSSEC on käytössä, nimipalvelinten vastaukset osoitekyselyihin on allekirjoitettu digitaalisesti. Tekniikan avulla voidaan varmistua siitä, että nimipalvelukyselyihin saadut vastaukset tulevat oikealta lähettäjältä eikä tietoja ole muokattu matkan varrella. DNSSEC toisin sanottuna varmentaa tietojen eheyden ja alkuperän. DNSSEC suojaa erityisesti DNS-välimuistin tietojen muokkaamiseen perustuvalta harhautukselta (DNS cache poisoning) varmistamalla sen, että osoitetieto tulee oikealta nimipalvelimelta eikä epäluotettavalta taholta. Digitaalisen allekirjoituksen luomiseen tarvitaan avainpari, joista toinen on yksityinen ja toinen julkinen. Yksityinen avain 5 on salainen ja se on ainoastaan omistajan hallussa. Julkinen avain julkaistaan nimipalvelussa omassa tietueessaan. Allekirjoitus voidaan varmentaa yksityistä avainta vastaavalla julkisella avaimella. DNSSEC ei suojaa kaikilta huijauksilta DNSSEC ei kuitenkaan suojaa varsinaisilta phishing-sivustoilta, jotka muistuttavat harhaanjohtavasti jotain toista sivustoa, mutta joilla on toinen verkkotunnus. On siis edelleen varmistuttava siitä, että on todella avannut aikomansa sivuston. Käyttäjää voidaan edelleen harhauttaa myös muiden sivustojen heikkouksien, kuten cross site scripting -haavoittuvuuksien avulla. Faktaa FI-vyöhykkeen DNSSEC-allekirjoittamisessa käytetään seuraavia parametreja: Tiivistefunktio: SHA-256 Allekirjoitusalgoritmi: RSA Allekirjoitusten voimassaoloaika: 14 vuorokautta Allekirjoitusten uusiminen: 5 vuorokautta ennen allekirjoituksen vanhenemista Allekirjoitusten voimassaoloajan satunnaisvaihtelu (jitter): 12h DNSKEY TTL: 3600s NSEC3PARAM: Opt-Out FI-vyöhykkeen DNSSEC-allekirjoittamiseen käytettävien avainten algoritmit ja eliniät ovat seuraavat: Zone Signing Key (ZSK): RSA 1024-bit Key Signing Key (KSK): RSA 2048-bit KSK-avaimella allekirjoitetaan ainoastaan vyöhykkeen DNSKEY-tietueryhmä, kun taas ZSK-avainta käytetään vyöhykkeen muiden nimipalvelutietueiden, kuten allekirjoitettujen alivyöhykkeiden DS-tietueiden sekä fi-vyöhykkeen autoratiivisten tietueiden, allekirjoittamiseen.

Googlen kuvausauto kartoitti myös langattomia lähiverkkoja Kevään mittaan kantautui julkisuuteen tietoja, joiden mukaan yhdysvaltalainen hakukoneyhtiö Google olisi kartoittanut myös langattomia lähiverkkoja samalla kun sen kuvausautot kiersivät ympäri maailmaa kuvaamassa tienäkymiä Street View -palvelua varten. Yhtiö myönsi julkisissa tiedotteissaan 1,2, että kuvausautot olivat passiivisin menetelmin keränneet tietoa langattomista lähiverkoista. WLANtukiasemien sijaintitietoja oli yrityksen mukaan tarkoitus käyttää tehostamaan paikannuspalvelujen kattavuutta ja tarkkuutta. Street View -auto kuvasi enimmän osan Suomea vuoden 2009 maaliskuun ja marraskuun välisenä aikana. Alun haparoinnin jälkeen Google myönsi, että tukiasematietojen kartoittamisen yhteydessä sen kuvausautot tallensivat myös viestisisältöjä. Viestisisällöt kuuluvat perustuslain takaaman viestintäsalaisuuden piiriin. Autot tallensivat liikkuessaan näytteitä WLAN-verkkojen liikenteestä. Näytteet sisälsivät lyhyitä pätkiä tukiaseman ja siihen kytkeytyneen päätelaitteen välisestä liikenteestä. Yhtiön kertoman mukaan sen oli tarkoitus hyödyntää ainoastaan 802.11-protokollakehyksen otsikkokenttiä. Järjestelmä oli kuitenkin tallentanut kokonaisia kehyksiä viestisisältöineen. Googlen mukaan viestisisältöjä ei ole hyödynnetty mitenkään ja data on sittemmin eristetty pois yhtiön tuotantojärjestelmistä. Yhtiö on myös tarjoutunut tuhoamaan keräämänsä tiedot. Uusien WLANkartoitusten tekeminen on ilmoituksen mukaan keskeytetty. Tällä hetkellä useiden maiden viranomaiset selvittelevät Googlen toiminnan laillisuutta ja arvioivat sen seuraamuksia. Suomessa Tietosuojavaltuutetun toimisto on käynnistänyt selvitykset Googlen toimista. Myös Viestintävirasto on kuullut Googlen edustajia ja tekee yhteistyötä tietosuojavaltuutetun kanssa. 1 Data collected by Google cars (27.4.2010): http://googlepolicyeurope.blogspot.com/2010/04/da ta-collected-by-google-cars.html 2 WiFi data collection: An update (14.5.2010 - päivitetty 17.5.): http://googleblog.blogspot.com/2010/05/wifi-datacollection-update.html 6 CERT-FI on julkaissut ohjeen 7/2002 langattomien lähiverkkojen turvallisuudesta 3. Ohjeessa todetaan, että langattoman lähiverkon kautta siirrettyä tietoliikennettä on teknisesti helppo salakuunnella, mikäli yhteyttä ei ole suojattu salakirjoituksella. CERT-FI suositteleekin kytkemään WLANradioyhteyden salauksen päälle aina, kun se on mahdollista. Radiolinkin suojaaminen ei siis vielä riitä. Viestintävirasto julkaisikin vuonna 2009 ohjeen sähköisen viestinnän suojaamisesta 4. Ohjeessa suositellaan käyttämään menettelyjä, joilla tietoliikenneyhteys suojataan koko matkan ajan - käyttäjän päätelaitteesta asiointikumppanin tietojärjestelmään. Haavoittuvuuskoordinoinnissa jatkuvasti uutta CERT-FI:n koordinoimien haavoittuvuuksien määrä näyttää nousseen pysyvästi korkealle tasolle. Viimeksi kuluneen vuosineljänneksen aikana julkaistiin neljän haavoittuvuuskoordinointiprojektin tulokset. Haavoittuvuuksia korjattiin Lexmarkin verkkotulostimista, sormenjälkitunnisteisiin perustuvista tietoturvaohjelmistoista, Linux-ytimen SCTP-toteutuksesta ja TIFFkuvaformaatin käsittelyyn käytettävästä LibTIFF-kirjastosta. Ohjelmistojen sormenjälkitunnisteiden käsittelyn haavoittuvuudet Ohjelmakoodin tunnistaminen tiedostossa tai datavirrassa esiintyvän "sormenjäljen" perusteella (signature-based recognition) perustuu tietyn yksilöllisen tunnisteen erottamiseen sisällöstä. Sormenjälkitunnisteisiin perustuvien tietoturvaohjelmistojen haavoittuvuus liittyy muun muassa virustorjuntaohjelmistojen ja tunkeutumisen havaitsemisjärjestelmien tapaan käsitellä pakattuja tiedostoja. Heikkoudet raportoinut taho on kyennyt luomaan salaamattomia, yleisten pakkausformaattien mukaisia tiedostoja, jotka ovat useimpien purkuohjelmistojen näkökulmasta virheettömiä, mutta sormenjälkitunnisteisiin perustuvat ohjelmistot eivät aina havaitse tiedostojen sisällä olevaa haitallista sisältöä. 3 http://www.cert.fi/ohjeet/2002/p_6.html 4 http://www.ficora.fi/viestinsuojaus/

CERT-FI:n arvion mukaan vastaavan kaltaiset formaattien tulkintavirheisiin liittyvät suojauksen ohittamisen mahdollistavat haavoittuvuudet voivat olla luultua yleisempiä, sillä niitä ei aikaisemmin ole juuri tutkittu. Pakkausformaattien käsittelyn heikkkouksia on mahdollista käyttää hyväksi tunnetun haitallisen tiedoston - esimerkiksi haittaohjelman - piilottamisessa selväkielisten pakattujen tiedostojen sisälle. Erityisen vakava haavoittuvuus on ympäristöissä, joissa käytetään virustarkistusta verkon yhdyskäytävässä, kuten sähköpostipalvelimessa tai erillisessä virustorjuntakoneessa. Löydetyt heikkoudet 1 koskevat useimpia tietoturvaohjelmistojen valmistajia. Eri valmistajien ohjelmistokorjauksien julkaisu pyrittiin ajoittamaan samanaikaiseksi. TIFF-kuvien käsittelyn haavoittuvuudet ovat laajavaikutteisia Mediaformaatteihin liittyviä haavoittuvuuksia on löydetty paljon viime vuosina, ja niitä on myös käytetty hyväksi useissa tunnetuissa hyökkäyksissä. LibTIFF-kirjasto tai sen lähdekoodista johdettua koodia käyttävät tuotteet ovat käytössä varsin useissa TIFF-muotoisia kuvia tukevissa ohjelmistoissa. Tästä syystä kirjaston haavoittuvuudet vaikuttavat moniin esitys- ja kuvankäsittelyohjelmistoihin. Haavoittuvuuskoordinoinnin näkökulmasta tapaus on ratkaistu vasta, kun loppuasiakkaat ovat asentaneet haavoittuviin tuotteisiinsa päivitykset. Tämä on haastavaa yleisesti käytettyjen kirjastojen ja avoimen lähdekoodin järjestelmien tapauksissa, sillä päivitettäviä ohjelmistoja on yleensä paljon. Linux-ytimen SCTP-protokollan haavoittuvuus Linux-ytimen SCTP-haavoittuvuuksien korjausten seuraaminen oli helpompaa, sillä myös SIGTRAN-nimellä tunnettua SCTP-tiedonsiirtoprotokollaa käytetään yleensä vain puhelinjärjestelmäyhteyksissä. 1 http://cert.fi/haavoittuvuudet/2010/haavoittuvuus- 2010-102.html 7 Verkkotulostimien ja monitoimilaitteiden haavoittuvuudet Verkkotulostimiin ja monitoimilaitteisiin liittyviä haavoittuvuuksia ei osata vielä ottaa riittävästi huomioon. Aikaisemmin "tyhminä" asiakaslaitteina toimineista kirjoittimista on kehittynyt täysimittaisia palvelinlaitteita, jotka kytketään tavallisesti yrityksen sisäverkkoon. Toisin kuin muita palvelimia, kirjoittimia harvoin hallitaan keskitetysti tai päivitetään ja ylläpidetään säännöllisesti. Lexmarkin julkaisemat lausunnot 2,3 ja julkaistut päivitykset ovat hyvä esimerkki siitä, että monitoimilaitteet on otettava huomioon, kun verkkojen turvallisuutta varmistetaan. Verkkoselaimiin ja niiden lisäosiin liittyvät haavoittuvuudet edelleen keskeisiä Verkkoselaimet ovat tänä päivänä eniten käytettyjä ohjelmistoja. Selain on asennettu lähes jokaiseen päivittäisessä käytössä olevaan tietokoneeseen, samoin kuin moniin kannettaviin päätelaitteisiin. Selainohjelmistojen haavoittuvuudet ovat olleet jo useamman vuoden ajan varsin laajasti haittaohjelmalevittäjien kohteena. Niin sanottu drive by download on tapa levittää haittaohjelmia houkuttelemalla käyttäjä sivustolle, jonka haitallinen sisältö käyttää hyväksi jotain selaimen haavoittuvuutta. Näin käyttäjän tietokone saadaan tartutettua haittaohjelmalla. Kuluvan vuoden aikana on julkaistu lukuisia selainten tai niissä käytettävien lisäosien haavoittuvuuksia, joihin ei ole ollut julkaisuhetkellä saatavilla korjausta. Adoben valmistamaan selaimen Flashpluginiin liittyvät haavoittuvuudet koskevat lähes automaattisesti myös Adoben valmistamia PDF-tiedostojen käsittelemiseen tarkoitettuja ohjelmistoja, sillä ne sisältävät tuen PDF-dokumentteihin sulautetun Shockwave Flash -sisällön esittämistä varten. 2 http://support.lexmark.com/index?page=content&id =TE87&locale=EN&userlocale=EN_US 3 http://support.lexmark.com/index?page=content&id=te88&locale=en&userlocale=en_us

Tiedostojen käsittely vaatii ohjelmistoilta paljon Eri tiedostoformaatit voivat käytännössä sisältää lähes minkälaista sisältöä tahansa. Käyttäjän dokumenteiksi mieltävät tiedostot voivat sisältää esimerkiksi liikkuvaa kuvaa ja ääntä, erilaisia skriptejä tai suoritettavaa ohjelmakoodia - tai ne voivat käynnistää toisen sovelluksen sisällön käsittelemistä varten. Tiedostoformaatti on usein vain sisällön varastoimista varten luotu määrämuotoinen "säiliö" (container). Tiedoston nimeen liittyvästä päätteestä ei välttämättä voi päätellä sisällön laatua. Tiedostojen monipuolisuus on johtanut siihen, että myös niiden käsittelemiseen käytettävistä ohjelmistoista on kasvanut suuria ja niiden kehityksestä on tullut vaikeasti hallittavaa. Ohjelmistoista löydetäänkin jatkuvasti uusia virheitä ja haavoittuvuuksia. Erityisesti PDF-dokumentteja pidettiin aikaisemmin melko turvallisena vaihtoehtona. Nykyisin monet haittaohjelmahyökkäykset perustuvat juuri PDF-tiedostojen käsittelyyn käytettävien ohjelmistojen haavoittuvuuksiin. Virustorjuntaohjelman virhe esti käyttöjärjestelmän toiminnan Huhtikuussa McAfee-virustorjuntaohjelmiston haittaohjelmatietokannan päivitys johti siihen, että jotkin Windowsjärjestelmät eivät enää käynnistyneet normaalisti. Tämä johtui siitä, että ohjelmisto luuli päivityksen jälkeen käyttöjärjestelmän ohjelmatiedostoa haittaohjelmaksi ja esti sen käynnistämisen. Vian korjaaminen aiheutti paljon työtä järjestelmien ylläpitäjille, sillä virustorjuntaohjelman päivittämisen lisäksi karanteeniin siirretty tiedosto oli palautettava oikealle paikalleen. Keskustelujärjestelmän palvelinohjelmistossa takaportti Kesäkuussa löydettiin IRC-keskustelujärjestelmän Unreal-palvelinohjelmistosta takaportti, joka mahdollisti luvattoman pääsyn palvelimelle. Takaportti oli lisätty vapaasti jaettavaan ohjelman lähdekoodiin, josta suoritettava ohjelmatiedosto luodaan. Ylimääräisen ohjelmakoodin lisääminen onnistui, koska jaettavan ohjelmistopaketin sisällön koskemattomuutta ei ollut varmistettu tarkistussumman tai sähköisen allekirjoituksen avulla. Ohjelmiston valmistajat ovat ilmoittaneet ryhtyvänsä toimiin, joilla vastaavan toistuminen jatkossa estetään. Tulevaisuuden näkymiä Haittaohjelmia levitetään edelleen suosittujen verkkopalvelujen ja hakutulosten optimoinnin avulla. Kohdistetuissa haittaohjelmajakeluissa käytetään erityisesti sähköpostin liitteinä lähetettyjä PDF- ja Office-tiedostoja. 8

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute