Tietoyhteiskunnan taudit ja rohdot 2000-luvulla 29.1.2004 Erkki Mustonen tietoturva-asiantuntija
Virusten lyhyt evoluutio 1981 ja alussa oli Elk Cloner (Apple II) 1983 akateemista tutkimusta Fred Cohen (VAX 11/750) 1986 nimensä mukaisesti Brain (MS-DOS) 1988 joku ihmeen sähköpostimato Morris Worm (sendmail) 1991 ajureita levykkeillä Form (MS-DOS) 1995 helppoa tekstinkäsittelyä makroilla Concept (Winword 95) 1999 sähköpostia helposti kavereille Melissa (Outlook) 2000 ihmisiähän kaikki ollaan LoveLetter (Outlook) 2001 webmasterin päivätorkut Code Red (IIS) 2003 tietokantoja verkossa Slammer (SQL Server) 2003 matoja spammereiden työkaluna Sobig 03/02/2004 Page 2
Vuosi 2003 historian pahin virusvuosi Vakavat virushälytykset F-Secure Radar Radar Level 2 => 28 hälytystä vakavia haittoja toiminnalle Radar Level 1 => 7 hälytystä toiminnan keskeytyksiä, yhteiskunnallisia vaikutuksia 9.5 Fizzer 19.5 Sobig.B 1.6 Sobig.C 5.6 Bugbear.B 11.8 Lovsan/MSBlast 19.8 Sobig.F 18.9 Swen Kokonaisvahingot 2003 44 mrd Lähde: Trend Micro 03/02/2004 Page 3
Vuosi 2004 vauhti kasvaa? 9.1.2004 Xombe (2) 19.1.2004 Bagle (1) 24.1.2004 Dumary.Y (2) 27.1.2004 Mydoom.A (1) joka 12 sähköpostiviesti oli saastunut 27.1.2004 (lähde: Messagelabs) toimii 12.2.2004 asti, jättää takaportin koneeseen hyökkäys sco.comia kohtaan 1.2.2004 16:09:18 (UTC) SCOn kaikki web-palvelut pois käytöstä 12.2. asti 28.1.2004 Mydoom.B (2) toimii 1.3.2004 asti hyökkäys sco.comia 1.2.2004 16:09:18 (UTC) hyökkäys microsoft.comia vastaan 3.2.2004 13:09:18 (UTC), lopputulos? estää pääsyn virustorjuntayritysten palveluihin 03/02/2004 Page 4
Tilanne 29.1.2004 klo 05:55 03/02/2004 Page 5
Matojen leviämisnopeus Verkkomadot voivat levitä jopa 15 minuutissa läpi Internetin (Slammer 25.1.2003) Virustentorjunta ei ehdi reagoida uhkaan Virusturvaan tulee lisätä palomuuri ja hyökkäyksenesto 03/02/2004 Page 6
Nopeat verkkomadot - Slammer 03/02/2004 Page 7
Matojen hakkeritekniikat Madot hakkeroituvat automaattisesti tietokoneeseen (CodeRed, Nimda, Slammer, MSBlast, Welchi) perinteinen virustentorjunta ei pysty estämään verkkomatojen leviämistä => Virustentorjuntaan tulee yhdistää palomuuri ja hyökkäyksenestotoiminnallisuus 03/02/2004 Page 8
Madot ohi virustorjunnasta Tavallisesti vain sähköposti ja työasemat on suojattu viruksilta => uusimmat madot ja virukset etsivät suojaamattomia kanavia leviämiseen: Instant Messaging, vertaisverkot, irc jne. IRC KAZAA IM WINMX IRC KAZAA IM WINMX Tietokoneet tulee suojata palomuurilla ja sovellustenhallinnalla 03/02/2004 Page 9
Ei-sallitut ohjelmistot organisaatiossa Organisaatioissa käytettäviä ohjelmia valvotaan puutteellisesti tai ei ollenkaan laittomat ohjelmistot shareware/freeware adware/spyware verkkoskannerit vertaisverkko-ohjelmat Tietokoneissa tulee olla keskitetysti hallittu sovelluskontrolli 03/02/2004 Page 10
Liikkuvat käyttäjät Liikkuvat käyttäjät altistuvat tietoturvaongelmille, joilta organisaation palomuuri ei suojaa suojaamattomat yhteydet laajakaistaliittymät => Kannettavat tietokoneet suojataan palomuurilla sekä hyökkäyksenestolla 03/02/2004 Page 11
Social Engineering? 03/02/2004 Page 12
Miten tähän on jouduttu? Inhimilliset ja sosiaaliset tekijät tiedon puute työnantajan vastuu: 8-16 ei toimi 2000-luvulla tietotekniikassa Tekniset syyt verkkojen ajantasaisuus käyttöjärjestelmien ajantasaisuus sovellusten ja sähköpostijärjestelmien ajantasaisuus laajakaistayhteyksien nopea leviäminen kotikäytössä Kustannustekijät tietoturva = ylimääräinen kustannus it-hankinnoissa! tarjontaa on miten hankitaan oikea ratkaisu? 03/02/2004 Page 13
Miten edetään? Ensiksi valistus käyttäjä tietää riskit valistus käyttäjä osaa perusasiat tietoturvasta valistus käyttäjä tuntee vastuunsa käyttöjärjestelmät ja sovellukset ajan tasalle Toiseksi tekniikka, joka palvelee käyttäjää parhaiten automaattisesti päivittyvä virustentorjunta myös sähköpostille automaattinen palomuurisuoja automaattinen verkkohyökkäysten esto automaattinen luvattomien verkkosovellusten valvonta yksinkertainen ja ymmärrettävä näkymä tietoturvaan 03/02/2004 Page 14
Muita vaikuttavia tekijöitä Kansallinen yhteistyö CERT Operaattorit Tietoturvayritykset Viranomaiset Tekniset menetelmät tietoliikenteen rajoittaminen sähköpostiliikenteen suodattaminen allekirjoitusten käyttöönotto sähköpostijärjestelmissä privaatti internet? 03/02/2004 Page 15
Perinteinen virustorjunta ei enää riitä! 03/02/2004 Page 16
MUTTA TÄRKEIMPÄNÄ TIETOTURVASSA ON Käyttäjien valistus Kansalliset tietoturvatalkoot 11.2.2004 03/02/2004 Page 17
Kiitos! Kysymyksiä? Erkki.Mustonen@F-Secure.com