TIETOTURVAKATSAUS 3/

Samankaltaiset tiedostot
TIETOTURVAKATSAUS 1/

TIETOTURVAKATSAUS 1/2009

TIETOTURVAKATSAUS 3/2009

VUOSIKATSAUS

Tietokoneiden ja mobiililaitteiden suojaus

Hosting-palveluiden tietoturvahaasteet. Antti Kiuru CERT-FI

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

Tietokoneiden ja mobiililaitteiden tietoturva

Tietoturva SenioriPC-palvelussa

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille

Järjestelmäarkkitehtuuri (TK081702)

Ennen varmenteen asennusta varmista seuraavat asiat:

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

Turvallinen etäkäyttö Aaltoyliopistossa

Oma verkkokäyttäytyminen myös vaikuttaa olennaisesti tietoturvaan

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Turvallinen netin käyttö

Mobiilimaailma ja tietoturva. Erkki Mustonen, tietoturva-asiantuntija F-Secure Oyj

TIETOTURVALLISUUDESTA

TIETOTURVAKATSAUS

AirPrint-opas. Tämä käyttöopas koskee seuraavia malleja:

AirPrint-opas. Tämä käyttöopas koskee seuraavia malleja: MFC-J6520DW/J6720DW/J6920DW/J6925DW. Versio A FIN

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

SANS Internet Storm Center WMF-haavoittuvuuden tiedotus

Kymenlaakson Kyläportaali

TIETOTURVAOHJE ANDROID-LAITTEILLE

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

YHDISTYKSEN DIGITAALINEN VIESTINTÄ

TIETOTURVA. Miten suojaudun haittaohjelmilta

TIETOTURVAKATSAUS 2/2009

Directory Information Tree

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

3 Käyttöjärjestelmän asennus ja ylläpito

VISUAALINEN TIETOTURVASUUNNITELMA PENTTI LIIKANEN

Turvapaketti Omahallinta.fi ka ytto ohje

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Sonera Desktop Security Asennusohje 2005

Comet pysäköintimittarin asennus ja kytkeminen tietokoneeseesi (Windows XP) USB-kaapelilla.

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

CERT-FI tietoturvakatsaus 2/2012

Tuplaturvan tilaus ja asennusohje

Käyttöohje. Ticket Inspector. Versio 1.0. Sportum Oy

2. Modeemi- ja ISDN-yhteyden käyttöönotto

Moodle opiskelijan opas. Verkko oppimisympäristön käyttö

Taitaja 2015 Windows finaalitehtävä

Salausmenetelmät (ei käsitellä tällä kurssilla)

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Office ohjelmiston asennusohje

F-SECURE SAFE. Toukokuu 2017

Älypuhelimet. Sisällysluettelo

AsioEduERP v12 - Tietoturvaparannukset

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

Tiedostojen toimittaminen FINASiin 1(7)

Valtion yhteisen viestintäratkaisun (Vyvi) Työtila- ja Ryhmä-palvelun kirjautumisohje

Visma Avendon asennusohje

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

VIP Mobile Android. Opas asennukseen ja tärkeimpien toimintojen käyttöön

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

Verkkohyökkäysten tilannekuva ja tulevaisuuden verkkosuojauksen haasteet Timo Lehtimäki Johtaja Viestintävirasto

Verkkoasetusten ohjeet

Ohje sähköiseen osallistumiseen

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Fennian tietoturvavakuutus

TIETOTURVAKATSAUS 1/2011

XEROXIN TURVATIEDOTE XRX Versio 1.0 Muutettu viimeksi: 10/08/05

AirPrint-opas. Versio 0 FIN

Windows XP -tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille

AirPrint-opas. Tämä käyttöopas koskee seuraavia malleja: DCP-J132W/J152W/J172W/J552DW/J752DW, MFC-J285DW/ J450DW/J470DW/J475DW/J650DW/J870DW/J875DW

1. YLEISKUVAUS Palvelun rajoitukset PALVELUKOMPONENTIT Sähköpostipalvelu Sähköpostipalvelun lisäpalvelut...

Pidä tiedostot aina ulottuvilla

Pika-aloitusopas. Haku Voit etsiä sivustoja, henkilöitä tai tiedostoja. Sivuston tai uutisviestin luominen

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT

VIP Mobile Windows Phone. Opas asennukseen ja tärkeimpien toimintojen käyttöön

Tietoturvavinkkejä pilvitallennuspalveluiden

Copyright 2008 Hewlett-Packard Development Company, L.P.

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Javan asennus ja ohjeita ongelmatilanteisiin

Ohje sähköiseen osallistumiseen

VIRTUAALITOIMISTO. Käyttäjän opas

1. päivä ip Windows 2003 Server ja vista (toteutus)

Salatun sähköpostipalvelun käyttöohje

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Tarjouspalvelu.fi Pienhankintapalvelu.fi. Osallistu julkisiin hankintoihin helposti ja turvallisesti

AirPrint-opas. Versio 0 FIN

Tamico Yrityssähköposti

todenna.fi todenna.fi Käyttöohje Tässä käyttäohjeessa kerrotaan mikä on todenna.fi -kirjautumispalvelu ja miten sitä käytetään.

Salasanojen turvallinen tallentaminen KeePass ohjelmalla

Käyttöohje Social News

CLOUDBACKUP TSM varmistusohjelmiston asennus

Ohje Hosted.fi SharePoint

NÄIN OTAT F-SECURE SAFEN KÄYTTÖÖN

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

Omahallinta.fi itsepalvelusivusto

Sonera Yrityssähköposti. Outlook 2013 lataus ja asennus

Skype for Business ohjelman asennus- ja käyttöohje Sisällys

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Transkriptio:

TIETOTURVAKATSAUS 3/2010 14.10.2010 1

CERT-FI tietoturvakatsaus 3/2010 Johdanto Kesän 2010 aikana löydettiin laajalti levinnyt ja teknisesti erittäin kehittynyt Stuxnet-haittaohjelma, joka pystyy vaikuttamaan teollisuudessa käytettävien logiikkaohjainten toimintaan. Ei ole varmaa tietoa siitä, onko Stuxnet todella onnistunut vaikuttamaan teollisuuslaitosten toimintaan. Ohjelman varsinaista kohdetta, tekijöitä tai levittäjiä ei tiedetä, mutta eräiden arvioiden mukaan ohjelman tarkoituksena voisi olla sabotaasi. Facebook-yhteisöpalvelussa on nähty ensimmäiset suomenkieliset haittalinkit, joiden avulla pyrittiin huijaamaan käyttäjiä maksullisen tekstiviestipalvelun tilaajiksi. Käyttäjille huijaukseen lankeamisesta ei kuitenkaan koitunut kustannuksia. Verkkopankkiyhteyksien väärinkäytösten toteuttamiseen on kehitetty uusi apuväline. Matkapuhelimissa toimivan haittaohjelman avulla rikolliset voivat saada käsiinsä toimeksiantojen varmentamista varten lähetetyt tekstiviestit. Internetiin kytkettyjä VoIP-puhelinvaihteita etsitään verkkoskannauksella. Huonosti suojatun vaihteen kautta voidaan välittää luvatta puheluja, mikä voi tulla kalliiksi sen omistajalle. Aktivistit ovat suunnanneet palvelunestohyökkäyksiä tekijänoikeusjärjestöjen verkkosivustoja vastaan. CERT-FI on ollut mukana useiden vakavien ohjelmistohaavoittuvuuksien korjaamisen ja hallitun julkaisemisen koordinointityössä. Korjaamattomia ohjelmistohaavoittuvuuksia käytetään yleisesti haittaohjelmahyökkäyksissä. 2

Stuxnet-haittaohjelmaa on levitetty teollisuusautomaatiojärjestelmiin Kesäkuussa 2010 CERT-FI:n tietoon tulivat ensimmäiset havainnot uuden tyyppisestä, erityisesti teollisuusautomaatiojärjestelmiin kohdistetusta haittaohjelmasta. Stuxnet-nimellä tunnettua haittaohjelmaa on yleisesti luonnehdittu kaikista tähän saakka löydetyistä haittaohjelmista teknisesti edistyksellisimmäksi. Poikkeukselliseksi Stuxnet-haittaohjelman tekee se, että se pystyy vaikuttamaan prosessinohjausjärjestelmissä käytettävien ohjelmoitavien logiikkaohjainten (Programmable Logic Controller, PLC) toimintaan. Haittaohjelman avulla voitaisiin pyrkiä häiritsemään esimerkiksi voimalaitosten tai prosessiteollisuuden laitosten toimintaa. Käyttää hyväkseen useita haavoittuvuuksia Stuxnet-haittaohjelma käyttää hyväkseen useita eri ohjelmistohaavoittuvuuksia. Ohjelma käyttää leviämiseensä kahta sen löytymishetkellä korjaamatonta Windowskäyttöjärjestelmän ohjelmistohaavoittuvuutta. Lisäksi haittaohjelma käyttää hyväkseen kahta muuta korjaamatonta haavoittuvuutta, joiden avulla se laajentaa käyttövaltuutensa järjestelmän pääkäyttäjän tasolle. Neljän korjaamattoman haavoittuvuuden hyödyntäminen samassa haittaohjelmassa on poikkeuksellista. Stuxnet-haittaohjelma leviää pääasiassa USB-muistitikkujen kautta käyttämällä hyväksi Windows-käyttöjärjestelmän oikopolkutiedostojen käsittelyyn liittyvää haavoittuvuutta. Lisäksi haittaohjelma kykenee leviämään myös lähiverkossa käyttämällä hyväksi tulostinpalveluissa olevaa haavoittuvuutta tai samaa RPC-palvelun haavoittuvuutta, jonka avulla myös Conficker-verkkomato leviää verkossa. Microsoft on korjannut oikopolkulinkkeihin liittyvän haavoittuvuuden elokuun alussa julkaistussa ylimääräisessä ohjelmistopäivityksessä. Tulostinpalvelujen haavoittuvuuteen puolestaan julkaistiin korjaus syyskuussa. RPC-haavoittuvuus on korjattu jo vuonna 2008. Stuxnet on räätälöity tiettyyn järjestelmään Asennuttuaan tietokoneeseen Stuxnet etsii prosessinohjaukseen käytettävää Siemens SIMATIC PCS7 -ohjelmistoperhettä. Sen kohteena on erityisesti suunnitteluohjelmisto, jonka tietokantaan haittaohjelma pääsee käsiksi järjestelmän suunnitteluvirheen vuoksi. Tietokannassa olevia tietoja tutkimalla Stuxnet pyrkii päättelemään, liittyykö kyseinen työasema sen kohteeksi valittuun teollisuuslaitokseen. Tämän se tekee vertaamalla tietokantaan talletettuja suunnitteludokumentteja Stuxnetin tiedossa oleviin, valittuun kohteeseen liittyviin tietoihin. Tartunnan jälkeen Stuxnet ottaa yhteyttä internetissä olevaan komentopalvelimeen ja välittää sille perustiedot tartunnan saaneesta tietokoneesta. Ohjelma kykenee myös lataamaan tietokoneeseen lisää suoritettavia ohjelmatiedostoja. Stuxnet-haittaohjelma sisältää myös rootkit-ominaisuuden, jonka avulla se pystyy tartunnan jälkeen piilottamaan itsensä tietokoneessa. Stuxnet on levinnyt ainakin yli sataan tuhanteen tietokoneeseen, mutta se ei aktivoidu ellei koneesta löydy vaadittavia ohjelmistoja ja oikeita määrityksiä. Tämän vuoksi on päätelty, että ohjelma on voitu tehdä vaikuttamaan johonkin tiettyyn prosessiin tai teollisuuslaitokseen. Stuxnet pystyy vaikuttamaan tietokoneen ulkopuolelle Tähän saakka havaittujen haittaohjelmien vaikutukset ovat rajoittuneet tartunnan saaneeseen tietojärjestelmään. Stuxnet voi kuitenkin vaikuttaa myös tietokoneen ulkopuolisiin prosesseihin. Jos ohjelma havaitsee, että tietokonetta käytetään ohjelmoimaan tietyn tyyppisiä Siemensin valmistamia ohjelmoitavia logiikkaohjaimia, se ottaa haltuunsa niiden ohjelmointirajapinnan ja korvaa osan PLCohjaimen komennoista omillaan. Stuxnet voi myös hallita ohjelmiston ja logiikkaohjaimen välistä tietoliikennettä ja piilottaa tällä tavoin käyttäjältä tekemänsä muutokset. Niinpä Stuxnet-haittaohjelmaa voidaan pitää ensimmäisenä PLC-ohjainten rootkit-haittaohjelmana. 3

Paljon tutkittu haittaohjelma Viime kuukausien aikana useat eri tahot ovat tutkineet Stuxnet-ohjelmaa ja sen toiminta on selvitetty tarkasti. Kiinnostavampaa on, pystytäänkö sen tekijöitä tai levittäjiä selvittämään. Tämä voisi antaa viitteitä myös ohjelman varsinaisesta kohteesta. Havaintoja myös Suomesta Koska Stuxnet on teknisesti erityisen ansiokkaasti tehty haittaohjelma, sitä tullaan todennäköisesti käyttämään mallina uusien haittaohjelmien kehittelyssä. Lisäksi Stuxnetin ohjelmakoodista voi muokata muihinkin tarkoituksiin sopivia haittaohjelmia. Myös Suomesta on tavattu yksittäisiä Stuxnet-haittaohjelmatartuntoja. CERT- FI:n saamien tietojen mukaan niistä ei ole aiheutunut haittavaikutuksia teollisuusautomaatiojärjestelmille. Stuxnet-tapaukseen liittyviä tapahtumia 17.6.2010: Valkovenäläinen virustorjuntayhtiö VirusBlokAda löysi Windows-käyttöjärjestelmän linkkitiedostojen haavoittuvuutta hyväksikäyttävän uuden haittaohjelman, joka myöhemmin sai nimen Stuxnet ohjelmakoodista löytyvän kansionimen mukaan 15.7.2010: Useimmat virustorjuntaohjelmat tunnistivat heinäkuun puoleen väliin mennessä Stuxnet-haittaohjelman 16.7.2010: Microsoft julkaisi tiedotteen Stuxnetin leviämiseensä käyttämästä haavoittuvuudesta: "Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)" 20.7.2010: Symantec ryhtyi seuraamaan haittaohjelman komentoliikennettä tartunnan saaneista tietokoneista komentopalvelimelle 2.8.2010: Microsoft julkaisi ohjelmistopäivityksen MS10-046, joka korjasi Windowsin linkkitiedostoihin liittyvän haavoittuvuuden. 6.8.2010: Stuxnet-haittaohjelman kyky muokata teollisuusautomaation PLC-ohjainten toimintaa julkaistiin 14.9.2010: Microsoft julkaisi ohjelmistopäivityksen MS10-061, joka korjasi tulostinpalveluissa olevan haavoittuvuuden Kohdistetut hyökkäykset hyödyntävät korjaamattomia haavoittuvuuksia Niin sanottuja 0-day-haavoittuvuuksia, eli sellaisia haavoittuvuuksia, joihin ei ole julkaistu korjausta, käytetään hyväksi myös Stuxnet-tapausta yksinkertaisemmissa, tiettyyn kohteeseen kohdistetuissa hyökkäyksissä. Viime kuukausina korjaamattomia haavoittuvuuksia on löydetty Adoben ja Microsoftin tuotteiden lisäksi myös Linuxkäyttöjärjestelmän ytimestä. Kolmannen vuosineljänneksen aikana on haittaohjelmahyökkäyksissä käytetty esimerkiksi Adoben Acrobat- ja Reader-ohjelmistojen sekä Microsoftin Windows-käyttöjärjestelmän ja ASP.netin haavoittuvuuksia. Väärinkäytöksissä käytetään hyväksi ohjelmistovalmistajien julkaisuaikatauluja Ohjelmistojen päivitysajat ovat usein tiedossa etukäteen, esimerkiksi Microsoft julkaisee päivityksiä ohjelmistoihinsa yleensä kerran kuukaudessa Julkaisemalla haavoittuvuuksia ja niiden hyväksikäyttömenetelmiä juuri ennen ohjelmistoihin julkaistavia päivityksiä väärinkäytöksille pyritään varmistamaan mahdollisimman pitkä käyttöaika. Ajoittamalla julkaisu vain vähän ennen päivityksiä ohjelmistovalmistajalle ei jää aikaa korjata haavoittuvuutta. Jos haavoittuvuutta käytetään laajalti hyväksi tai haavoittuvuus on muuten vakava, voi ohjelmistovalmistaja joutua julkaisemaan ylimääräisen ohjelmistopäivityksen tavallisesta päivitysrytmistään poikkeavasti. Kaikissa hyökkäyksissä ei uusia haavoittuvuuksia Ennestään tuntemattomien haavoittuvuuksien löytäminen on vaikeampaa kuin tunnettujen ja jo aikaisemmin julkaistujen hyökkäysmenetelmien käyttäminen. Siksi osa hyökkäyksistä tehdään edelleen käyttämällä jotain jo tunnettua haavoittuvuutta. Kohdistettu hyökkäys toteutetaan tavallisesti sähköpostiviestinä, jonka lähettäjäkenttä on väärennetty. Viestin liitteenä olevassa tiedostossa on melko uutta tai toistaiseksi korjaamatonta haavoittuvuutta hyväkseen käyttävä haittaohjelma. 4

Uskottavuuteen panostetaan Kohdistetussa hyökkäyksessä vastaanottajien kiinnostus ja luottamus pyritään voittamaan monin eri keinoin. Lista viestin vastaanottajista on usein kaikkien nähtävillä eikä vastaanottajia ole kovin monta. Viestin sisällöstä pyritään tekemään mahdollisimman uskottava ja kiinnostava. Viesti voi sisältää esimerkiksi kohdeyrityksen toimialaan liittyvän kokouskutsun tai julkaisun. Kohdistettujen hyökkäysten tavoite ei ole kohdejärjestelmän liittäminen bottiverkon orjakoneeksi, vaan niiden kautta saavutettava tietosisältö. Yhteisöpalveluissa jo suomenkielisiäkin huijauksia Facebook-yhteisöpalvelussa on tavattu myös suomenkielisiä haittalinkkejä. Lokakuun alkupäivinä palvelussa levisi linkki, joka houkutteli katsomaan videotallennetta. Videon nähdäkseen käyttäjä huijattiin ensin käynnistämään Facebooksovellus, joka levitti linkkiä edelleen muille käyttäjille. Sen jälkeen käyttäjä ohjattiin sivulle, jossa pyydettiin syöttämään matkapuhelinnumero. Numeron syöttäminen tulkittiin maksullisen tekstiviestipalvelun tilaukseksi, mutta sopimusteksti oli sivulla hämäävän pienellä tekstillä. Kuluttajavirasto ja teleyritykset ovat sopineet, ettei käyttäjiä laskuteta huijaussivun kautta tilatusta palvelusta. Zeus-haittaohjelman puhelinversio kaappaa tekstiviestejä Pankkiyhteyksien väärinkäytöksiin erikoistuneeseen Zeus-haittaohjelmaperheeseen on ilmestynyt tekstiviestejä kaappaava versio. Haittaohjelma toimii esimerkiksi Nokian Symbian-käyttöjärjestelmää käyttävissä puhelimissa sekä etenkin Yhdysvalloissa yleisissä Blackberry-puhelimissa. Ohjelma leviää tekstiviestin kautta jaettavan latauslinkin avulla. Puhelimen käyttäjä houkutellaan lataamaan ja asentamaan haittaohjelma uskottelemalla, että kyseessä on puhelimen varmennepäivitys. Asennuksen jälkeen ohjelma välittää automaattisesti puhelimeen saapuvat tekstiviestit sivulliselle. Väärinkäytöksessä urkitaan ensin verkkopankkipalvelussa käytettävä tunnus ja salasana tietokoneeseen tartutetun haittaohjelman avulla ja kirjaudutaan verkkopankkiin käyttämällä uhrin tietokonetta 5 välityspalvelimena. Verkkopankissa tehdään luvaton tilisiirto, johon verkkopankki lähettää varmistuskoodin tekstiviestinä. Uhrin puhelimeen asennettu haittaohjelma välittää viestin edelleen, minkä jälkeen hyökkääjä voi saamallaan koodilla varmentaa verkkopankissa tilisiirron. Puhelimen haittaohjelmasovellusta voi myös rajoitetusti etähallita tekstiviesteillä. Viestit eivät näy puhelimessa. On hyvä muistaa, että myös älypuhelinten tietoturvallisuudesta on huolehdittava, jos tekstiviestejä käytetään verkkopankkitoimeksiantojen varmentamiseen. IP-puhelinvaihteiden turvallisuus kannattaa tarkistaa Internetiin kytkettyihin VoIP-puhelinvaihteisiin kohdistuu väärinkäyttöyrityksiä. CERT-FI:n tietoon on tullut tapauksia, joissa suomalaistenkin organisaatioiden vaihteita on murrettu ja niiden kautta on välitetty luvatta ulkomaanpuheluja. Vaihteisiin kohdistuvat hyväksikäyttöyritykset alkavat verkkoskannauksella, jonka avulla etsitään saavutettavissa olevia puhelinvaihteita. Kirjautumista järjestelmään yritetään kokeilemalla eri käyttäjätunnuksia ja salasanoja. Jos kirjautuminen onnistuu, puhelinvaihteen yhteyskapasiteettia voidaan kaupata luvatta edelleen. Murtautuja voi esimerkiksi myydä edullisia ulkomaanpuheluita, joiden maksajaksi joutuu kaapatun vaihteen omistava organisaatio. Rahalliset tappiot voivat kasvaa huomattaviksi lyhyessäkin ajassa. Vaihteiden ohjelmistojen tallettamia lokeja on syytä seurata ja pääsyä vaihteisiin rajoittaa tarpeen mukaan. Salasanojen valintaan on kiinnitettävä huomiota. Riittävän pitkät ja vaikeasti arvattavat salasanat vaikeuttavat vaihteeseen murtautumista. Joissakin tapauksissa on jätetty järjestelmän oletussalasanat vaihtamatta, jolloin hyökkääjät ovat saaneet järjestelmän helposti haltuunsa. Myös väliaikaiseksi tarkoitetut testijärjestelmät tulee myös suojata, jos niihin saa yhteyden internetistä. Aktivistien palvelunestohyökkäyksiä Nimettöminä pysyttelevät aktivistit ovat käynnistäneet palvelunestohyökkäyskampanjan, jonka kohteena ovat erityisesti tekijänoikeusjärjestöjen www-sivustot. Kampanja on julkaistu yhteisöpalveluissa

ja esimerkiksi suositulla The Pirate Bay - sivustolla. Sen tavoitteena on puolustaa tekijänoikeuksien suojaaman materiaalin vapaata levittämistä. Hyökkäykset ovat vaikuttaneet useiden suurten tekijänoikeusjärjestöjen sivustoihin ainakin Yhdysvalloissa, Australiassa, Isossa-Britanniassa ja Hollannissa. CERT- FI:n tietoon ei ole tullut, että hyökkäykset olisivat suuntautuneet tai ne olisivat muuten vaikuttaneet suomalaisiin sivustoihin. Haavoittuvuuskoordinointityö on ollut vilkasta Viime vuosineljänneksen aikana julkaistut CERT-FI:n koordinoimat haavoittuvuudet ovat liittyneet valtaosin virheisiin internetin perusprotokollien toteutuksissa. Haavoittuvuuksia on korjattu OpenLDAPhakemistopalvelusta, Ciscon verkkolaitteista, avoimen lähdekoodin Quagga-reitittimistä sekä bzip2-pakkauskirjastosta. OpenLDAP-hakemistopalvelussa vakavia haavoittuvuuksia OpenLDAP on paljon käytetty avoimen lähdekoodin LDAP-protokollatoteutus. Siitä löydettiin kaksi haavoittuvuutta, joista toinen voi mahdollistaa järjestelmän luvattoman haltuunoton. LDAP (Lightweight Directory Access Protocol) on hakemistoprotokolla, jota käytetään useimmin käyttäjien todennukseen, mutta sen avulla voidaan käsitellä myös esimerkiksi tietoja organisaation käyttäjistä, käyttäjäryhmistä ja muista resursseista. LDAP-hakemistoja käytetään myös Väestörekisterikeskuksen julkaisemien varmenteiden ja sulkulistojen hakemiseen. Quagga-ohjelmistolla voi vaikuttaa reititykseen Quagga-reititysohjelmistosta löydetyt haavoittuvuudet liittyvät internetin reititysprotokolla BGP:n (Border Gateway Protocol) käyttöön. Haavoittuvuuksien avulla voidaan muuttaa reititystietoja, jotka vaikuttavat siihen, mitä kautta tieto internetissä kulkee. Hyväksikäyttämistä rajoittaa se, että haavoittuvuuksia voi hyödyntää vain ennalta luotua BGP-naapuruutta käyttämällä valmiiksi yhteenliitettyjen verkkojen reitittimissä. Haavoittuvuuksia Ciscon tietoturvalaitteissa 6 Ciscon ASA (Adaptive Security Appliances) -laitteiden TLS-toteutuksista löydettiin haavoittuvuus, joka mahdollistaa palvelunestohyökkäyksen laitetta vastaan. ASA-laitteita käytetään esimerkiksi palomuureina, tunkeutumisen estojärjestelminä tai VPN-yhteyksien toteuttamiseen. TLS (Transport Layer Security) on muun muassa selaimen HTTPS-liikenteen salaamiseen käytetty protokolla. Pakkausmuodoista löytyy edelleen haavoittuvuuksia Tehokasta bzip2-pakkausmuotoa käytetään ohjelmistoissa useimmiten libbzip2- ohjelmakirjaston avulla. Pakkausta käytetään esimerkiksi ohjelmistopakettien hallintajärjestelmissä ja GnuPG (GNU Privacy Guard) -salausjärjestelmässä. Lisäksi tietosisältöä tutkivat järjestelmät, kuten virustarkistusohjelmat, avaavat bzip2-paketteja. Löydetyt haavoittuvuudet voivat mahdollistaa sovellusten käytön estämisen ja ohjelmakoodin suorittamisen kohdejärjestelmässä. Verkon suojaustekniikoiden ohitukset työllistävät CERT-FI koordinoi Stonesoft Oy:n raportoimien haavoittuvuuksien korjaamista ja julkaisemista yhdessä valmistajien kanssa. Haavoittuvuudet voivat mahdollistaa verkon suojaustekniikoiden ohittamisen. Conficker-madosta jatkuvasti uusia havaintoja CERT-FI:n tietoon tulee jatkuvasti uusia havaintoja Conficker-haittaohjelmatartunnoista. Confickerin ei edelleenkään tiedetä tekevän muuta kuin leviävän tietokoneiden välillä. Riski siitä, että se lataisi tietokoneeseen haitallista koodia, on kuitenkin edelleen olemassa. Tulevaisuuden näkymiä CERT-FI:n arvion mukaan kohdistetut hyökkäykset yleistyvät. Niitä voidaan käyttää teollisuusvakoiluun tai tietojen hankkimiseen valtiollisista organisaatioista. Stuxnet-haittaohjelman toimintamallia tai ohjelmakoodia tullaan luultavasti hyödyntämään muissakin haittaohjelmahyökkäyksissä. Internetissä on jo useita vuosia toiminut kauppapaikkoja, joissa kaupataan tietoja korjaamattomista haavoittuvuuksista eniten tarjoavalle. Tietoja voidaan käyttää hyväksi esimerkiksi tietojen varastamiseen pyrkivien haittaohjelmien ohjelmoimisessa.

CERT-FI-yhteydenotot nimikkeittäin 1-9/2010 1-9/2009 Muutos Haastattelu 73 78-6 % Haavoittuvuus tai uhka 148 107 + 38 % Haittaohjelma 2670 1451 + 84 % Neuvonta 330 250 + 32 % Hyökkäyksen valmistelu 32 29 + 10% Tietomurto 80 101-21% Palvelunestohyökkäys 32 63-49 % Muu tietoturvaongelma 49 82-40 % Social Engineering 216 59 + 266 % Yhteensä 3630 2279 + 59 % 4000 3500 3000 2500 2000 1500 Q4 Q3 Q2 Q1 1000 500 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 Haittaohjelmatapausten lisääntynyt määrä kolmannella vuosineljänneksellä johtuu pääosin uusien haittaohjelmatietoja välittävien tahojen tekemistä ilmoituksista. Jatkossa suuri osa näistä tapauksista pyritään käsittelemään automaattisesti. 7

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute