Tietoturvakatsaus 1/2013 14.6.2013



Samankaltaiset tiedostot
Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

TIETOTURVAKATSAUS 3/2009

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

TIETOTURVAKATSAUS 1/2009

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

CERT-FI tietoturvakatsaus 2/2012

Abuse-seminaari

PÄIVITÄ TIETOKONEESI

Tietokoneiden ja mobiililaitteiden tietoturva

Tietoturvakatsaus 2/2013

TIETOTURVAKATSAUS

TIETOTURVAKATSAUS 1/2011

Ohje sähköiseen osallistumiseen

Tietoturvavinkkejä pilvitallennuspalveluiden

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

Ohje sähköiseen osallistumiseen

Vuosikatsaus

TIETOTURVALLISUUDESTA

TIETOTURVAKATSAUS 1/

Tietokoneiden ja mobiililaitteiden suojaus

Windows XP -tuen loppuminen aiheuttaa tietoturvariskejä yksityishenkilöille

TCP/IP-protokollat ja DNS

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Kyberturvallisuuskatsaus

Liittymän vikadiagnosointi

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

10 parasta vinkkiä tietokoneongelmiin

Tietoturvan haasteet grideille

Verkkohyökkäysten tilannekuva ja tulevaisuuden verkkosuojauksen haasteet Timo Lehtimäki Johtaja Viestintävirasto

TIETOTURVAKATSAUS 2/2009

Kattava tietoturva kerralla

Hosting-palveluiden tietoturvahaasteet. Antti Kiuru CERT-FI

TIETOTURVAOHJE ANDROID-LAITTEILLE

Ennen varmenteen asennusta varmista seuraavat asiat:

Tietoturvailmiöt 2014

Toimeentulotuen sähköinen asiointi - Käyttöohje

Viestintäviraston tilannekuvajärjestelmät. Timo Lehtimäki Tulosalueen johtaja Internet ja tietoturva/viestintävirasto

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

Omahallinta.fi itsepalvelusivusto

PÄIVITÄ TIETOKONEESI

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

IT-palvelujen ka yttö sa a nnö t

Luottamusta lisäämässä

#kybersää helmikuu 2018

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

Tietoturva SenioriPC-palvelussa

Langattoman kotiverkon mahdollisuudet

Turvallisempaa tietokoneen ja Internetin käyttöä

Ohje vanhemmille - näin alkuun Päikyssä

SANS Internet Storm Center WMF-haavoittuvuuden tiedotus

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

OpenSSL Heartbleed-haavoittuvuus

Open Badge -osaamismerkit

Tuplaturvan tilaus ja asennusohje

Suojaamattomien automaatiolaitteiden kartoitus 2016

Visma Nova. Visma Nova ASP käyttö ja ohjeet

WEBINAARIN ISÄNNÄT. Jarno Wuorisalo Cuutio.fi. Petri Mertanen Superanalytics.fi. Tomi Grönfors Brandfors.com

Oma verkkokäyttäytyminen myös vaikuttaa olennaisesti tietoturvaan

Mobiililaitteiden tietoturva

pikaohje selainten vianetsintään Sisällysluettelo 17. joulukuuta 2010 Sisällysluettelo Sisällys Internet Explorer 2 Asetukset Internet Explorer 8:ssa

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

UTIFLEET-VARAUSJÄRJESTELMÄ KÄYTTÄJÄN OHJE. Gospel Flight ry

OHJE Jos Kelaimeen kirjautuminen ei onnistu Mac-koneella Sisällys

Varmaa ja vaivatonta viestintää kaikille Suomessa

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Kymenlaakson Kyläportaali

Home Media Server. Home Media Server -sovelluksen asentaminen tietokoneeseen. Mediatiedostojen hallinta. Home Media Server

Historiaa. Unix kirjoitettiin kokonaan uudestaan C-kielellä Unix jakautui myöhemmin System V ja BSDnimisiin. Kuutti, Rantala: Linux

Comet pysäköintimittarin asennus ja kytkeminen tietokoneeseesi (Windows XP) USB-kaapelilla.

Kyberturvallisuus yritysten arkipäivää

1. YLEISKUVAUS Palvelun rajoitukset PALVELUKOMPONENTIT Sähköpostipalvelu Sähköpostipalvelun lisäpalvelut...

DNA Netti. Sisältö. DNA Netti - Käyttöohje v.0.1

SÄHKÖPOSTIOHJE Mikkelin ammattikorkeakoulu

Laajakaistaverkon turvallisuus Kiinteistoliitto / Turvallisuusilta / Netplaza Oy, Tommi Linna

Turvapaketti Omahallinta.fi ka ytto ohje

XEROXIN TURVATIEDOTE XRX Versio 1.0 Muutettu viimeksi: 10/08/05

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

IT-palveluiden käyttöperiaatteet. (työsopimuksen osa)

MALWAREBYTES ANTI-MALWARE

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

Kyberturvallisuus vuosi 2018, 2019 & #kybersää? VAHTI-päivä Tilannekuvapalveluiden ja yhteistyöverkostojen päällikkö Jarna Hartikainen

Avointen nimipalvelinten käyttäminen palvelunestohyökkäystyökaluna

Turvallinen netin käyttö

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

DNA Netti. DNA Netti - Käyttöohje v.1.0

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Toimeentulotuen sähköinen asiointi - Käyttöohje

#kybersää maaliskuu 2018

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Moodle opiskelijan opas. Verkko oppimisympäristön käyttö

Poista tietokoneessasi olevat Javat ja asenna uusin Java-ohjelma

2) Sisäverkon RJ45-portit kamerakäytössä (alk. S. 7) - kamera ei näy jossain modeemin takaseinän portissa tai se saa oudon näköisen IP-numeron

Transkriptio:

Tietoturvakatsaus 1/2013 14.6.2013

Sisällysluettelo Kooste Vuosiraportista 2012... 5 Alkuvuoden uudet tietoturvailmiöt... 5 Automaatiojärjestelmien tietoturva... 5 UPnP-haavoittuvuudet kodin viihdelaitteissa... 6 Valtioiden organisaatioihin kohdistettuja haittaohjelmahyökkäyksiä... 6 Levittämistapa... 7 Haittaohjelmatartunnan tunnistaminen... 7 Haittaohjelmien levinneisyys... 7 Havainnot Suomessa... 7 Haittaohjelmahyökkäykset Etelä-Koreassa... 7 Palvelunestohyökkäykset Tšekin tasavallassa... 7 Palvelunestohyökkäykset Spamhausia vastaan... 8 Varmennejärjestelmien ongelmat... 8 Tapaus TURKTRUST... 8 Tapaus Diginotar... 9 Tapaus Comodo... 9 Pitkäkestoiset tietoturvailmiöt... 10 Haittaohjelmatartunnat suomalaisissa IP-osoitteissa... 10 Kiristyshaittaohjelma Reveton... 11 Käyttäjätietojen kalastelu... 12 Haavoittuvuuksia yleisesti käytetyissä ohjelmistoissa... 12 Java... 12 Adoben Flash Player, Reader ja Acrobat... 13 Www-selaimet... 13 Yleisen viestintäverkon poikkeamat... 14 Viestintäverkkojen vika- ja häiriöilmoitukset... 14 Kooste vuoden 2012 viestintäverkkojen vioista ja häiriöistä... 14 Tietoturvakatsaus 1/2013 2

CERT-FI-tapahtumailmoitukset... 15 Kooste vuoden 2012 tietoturvapoikkeamista... 15 Tietoturvakatsaus 1/2013 3

Tietoturvakatsaus 1/2013 Ensimmäisen vuosineljänneksen aikana CERT-FI käsitteli 1 169 tietoturvatapausta sekä 34 merkittävää televerkkojen häiriötapausta. CERT-FI:n rekisteröimät tietoturvatapaukset jakautuivat seuraavasti: Kuva 1. CERT-FI:n käsittelemät tapaukset tammi-maaliskuulta 2013 Katsauksessa käsitellään muun muassa automaatiojärjestelmien tietoturvaaukkoja sekä valtionhallintoon kohdistettua vakoiluhaittaohjelmatapausta nimeltään Red October, jonka maailmanlaajuisista liikkeistä Kaspersky Lab raportoi tammikuussa. Katsauksessa nostetaan esiin myös keskeisiä ulkomailla tapahtuneita verkkohyökkäyksiä. Toistuvista ilmiöistä mainittakoon Zeus ja Conficker, jotka olivat maamme yleisimmät haittaohjelmat niin vuonna 2012 kuin myös tammi-maaliskuussa 2013. Poliisin nimissä kiertävä kiristyshaittaohjelma ei myöskään näytä laantumisen merkkejä. Toistuvina ilmiönä esiintyivät myös haavoittuvuudet yleisesti käytetyissä ohjelmistoissa kuten Javassa, Adoben Flash Playerissä sekä www-selaimissa. Suomalaisten viestintäverkot toimivat tammi-maaliskuussa hyvin. Alkuvuonna teleyhtiöt raportoivat yhteensä kolmesta kuluttaja-asiakkaisiin kohdistuneesta erittäin laajavaikutteisesta häiriöstä. Häiriöt keskittyivät pääasiassa matkaviestinverkon palveluihin. Merkittäviä pitkäkestoisia tai luonnonilmiöiden seurauksena useisiin teleyrityksiin vaikuttaneita häiriöitä ei alkuvuonna ollut lainkaan. Samoin alkuvuonna CERT-FI:lle toimitetuista seitsemästä Tietoturvakatsaus 1/2013 4

tapahtumailmoituksesta ei noussut esiin uusia, vakavia tietoturvauhkia. Ilmoitukset koskivat pääosin tietomurtoja, joiden haittavaikutukset jäivät pieniksi, koska tapaukset oli havaittu ja niihin oli puututtu ajoissa. Kooste Vuosiraportista 2012 Vuoden 2012 yleisimpiä tietoturvauhkia olivat palvelunestohyökkäykset ja haittaohjelmatartunnat. Varsinkin mediaan kohdistuneet palvelunestohyökkäykset, ohjelmistojen haavoittuvuudet, tietomurrot ja kiristyshaittaohjelmatartunnat työllistivät CERT-FI:tä. Viestintäverkkojen häiriöistä merkittävin yksittäinen tapaus koski tykkylumen aiheuttamaa sähköverkon häiriötä, joka aiheutti ongelmia useamman teleyrityksen matkaviestinverkoissa. Alkuvuoden uudet tietoturvailmiöt Automaatiojärjestelmien tietoturva Aalto-yliopiston tutkijat etsivät TEKES:in rahoittamassa DiSCI-projektissa verkosta saavutettavia automaatiojärjestelmiä Shodan-hakukoneella. Shodan luotaa internetiä löytääkseen avoimia laitteita, ottaa yhteyttä yleisimpiin portteihin löydetyissä laitteissa ja tallentaa saadut vastaukset tietokantaan. Shodanin tietokannasta voi etsiä tietoa sen läpikäymistä järjestelmistä avainsanoilla, joita voivat olla tietyt TCP- tai UDP-portit tai järjestelmän tunnisteet kuten valmistajan nimi. Suomalaisia automaatiojärjestelmiä tutkimuksessa löydettiin hieman alle 2 000. Laitteiden joukossa on ollut muun muassa teollisuusautomaatiojärjestelmiä, kiinteistöhallintajärjestelmiä ja verkkokameroita. IP-osoitteet on luovutettu CERT- FI:lle, joka on ilmoittanut tiedot edelleen laitteiden ylläpitäjille. Ylläpitäjät voivat poistaa suojaamattomat järjestelmät verkosta tai parantaa niiden suojaustasoa niin, että niihin ei pääse ottamaan yhteyttä kaikkialta. Suuri osa löydetyistä automaatiolaitteista on kytketty internetiin tietoisesti. On kuitenkin hyvä muistaa, että heikkojen salasanojen ja haavoittuvuuksien vuoksi laitteisiin voidaan murtautua. Shodan-palvelun avulla voi löytää myös haavoittuvia ohjelmistoja vertaamalla niitä esimerkiksi yhdysvaltalaisen ICS-CERTin haavoittuvuustiedotteisiin. Osa haavoittuvuustutkijoista ja laitteistojen testaajista ei toimi niin sanotun "responsible disclosure" periaatteen mukaisesti, jolloin tieto haavoittuvista automaatioohjelmistoista ja laitteistoista julkaistaan verkkoon niin, ettei ohjelmistovalmistajalla ole mahdollisuutta tai aikaa julkaista ohjelman korjaavaa päivitystä. Verkossa olevat avoimet laitteet altistuvat ohjelmistohaavoittuvuuksien lisäksi tietomurroille. Laitteistoissa voi olla perinteisen selainhallintaliittymän lisäksi myös esimerkiksi telnet-hallintaliittymä, jonka käyttöoikeuksia hallinnoidaan erillisillä tunnuksilla ja salasanoilla. Ohjelmistojen osana voidaan myös käyttää erilaisia kirjastoja, joista ajoittain löydetään ohjelmistohaavoittuvuuksia. Laitteistossa ajettava palvelinohjelmisto voidaan haavoittuvuuksia hyväksikäyttämällä saattaa palvelunestotilaan, jolloin sen käynnistäminen uudelleen voi pahimmassa tapauksessa vaatia virtojen kytkemistä pois ja takaisin päälle. Tietoturvakatsaus 1/2013 5

UPnP-haavoittuvuudet kodin viihdelaitteissa Päivittämättömät kodin viihdelaitteet voivat olla haavoittuvia, ja pahimmassa tapauksessa niitä voidaan käyttää hyväksi rikollisessa toiminnassa. CERT-FI on julkaissut aiheesta haavoittuvuustiedotteen "UPnP-haavoittuvuus miljoonissa kotiverkkojen reitittimissä" 30.1.2013. Etenkin kotikäyttöön tarkoitetuissa laitteissa (äly-tv:t, mediatoistimet, digiboxit, adsl- ja usb-modeemit) käytetään usein niin sanottua Universal Plug and Play -protokollaa (UPnP). Protokollan avulla esimerkiksi älytelevisio ottaa vastaan internetistä muiden laitteiden kuten mediatoistimien kutsupyyntöjä UDP-portista 1900. UPnP-tuki on oletusarvoisesti päällä Microsoft Windows-, Mac OS X- ja monissa Linuxkäyttöjärjestelmän versioissa. Jos laitteelle lähetetään tietyllä tavalla muokattuja paketteja, voidaan laitteen ohjelmisto saada kaadettua tai suoritettua laitteessa haitallista ohjelmakoodia. Tällä tavalla hyökkääjä voi saada laitteen hallintaansa tai muuttaa sen asetuksia. Suojaamattomina kodin laitteet ovat haavoittuvia ja yhtä lailla turvattomia kuin tietokone ilman kattavaa tietoturvaohjelmistoa. Tämän vuoksi on turvallisinta olettaa, että haavoittuvuus koskee omaa laitetta ja toimia sen mukaisesti. Suojautuminen haavoittuvuudelta voi olla kotikäyttäjälle työlästä ja edellyttää perehtymistä laitteen toimintaan. Ensisijaisesti on syytä varmistaa, ettei UPnP-palvelu ole saavutettavissa internetistä. Asetus löytyy useimpien laitteiden hallintakäyttöliittymästä. CERT-FI:n tietoon on tullut, että joidenkin laitteiden UPnP-palvelu ei kytkeydykään pois päältä, vaikka hallintanäkymässä siltä näyttäisi. Jos UPnP:lle ei ole erityistä tarvetta, on suositeltavaa kytkeä se kokonaan pois päältä. Jos UPnP:tä käyttävän laitteen ja internetin välissä on palomuuri, kannattaa sen avulla estää kokonaan yhteydet UDP-porttiin 1900. Haavoittuvuuden korjaaminen onnistuu vain päivittämällä laitteen ohjelmisto korjattuun versioon. Sekin tapahtuu tavallisesti saman hallintasivuston kautta. Vanhempiin laitteisiin korjauspäivitystä ei ole välttämättä edes saa. Tietoja ohjelmistopäivityksistä ja haavoittuvuuden korjaamisesta kannattaa etsiä laitteen valmistajan omilta tukisivuilta. Valtioiden organisaatioihin kohdistettuja haittaohjelmahyökkäyksiä Havainnot ennalta määritettyyn kohteeseen suunnatuista haittaohjelmatartunnoista ovat olleet kasvussa viime vuosina. Alkuvuodesta venäläinen tietoturvayhtiö Kaspersky Lab julkaisi kahteen haittaohjelmaan liittyen raportteja, joissa kerrottiin muun muassa valtionhallinnon organisaatioihin ja tutkimuslaitoksiin kohdistetuista haittaohjelmakampanjoista. Tammikuussa kerrottiin Red October -vakoiluohjelmasta (Rocra) ja helmikuussa Miniduke-haittaohjelmasta. Tietoturvakatsaus 1/2013 6

Levittämistapa Haittaohjelmien päätarkoituksena on ollut varastaa tiedostoja kohdeorganisaation tietokoneilta ja tietokoneisiin kytketyiltä älypuhelimilta. Molempia haittaohjelmia on levitetty sähköpostin liitetiedostojen välityksellä. Red Octoberissa käytettiin Word- ja Excel-tiedostoja, Minidukessa PDF-tiedostoja. Tiedostot sisälsivät haitallista koodia, joka hyödynsi tunnettuja ohjelmistohaavoittuvuuksia. Haittaohjelmatartunnan tunnistaminen CERT-FI on julkaissut molemmista haittaohjelmista tiedot hyökkäyksissä hyväksikäytetyistä ohjelmistohaavoittuvuuksista Tietoturva nyt! -artikkeleissa. Sekä Red Octoberin että Miniduken käyttämien komentopalvelimien tiedot on julkistettu. Lisäksi tartuntayritysten tunnistamiseksi Kaspersky Lab -raportit sisältävät esimerkkejä sähköpostiviesteistä ja liitetiedostoista, joita on käytetty haittaohjelmien levitykseen. Näiden tietojen perusteella on mahdollista havaita haittaohjelmatartunnat sellaisissa organisaatiossa, jotka epäilevät omien tietojärjestelmiensä vaarantuneen. Haittaohjelmien levinneisyys Kasperskyn raporttien mukaan Red October -tartuntoja on havaittu kokonaisuudessaan yli 300 yksittäistapausta useista kymmenistä valtioista, myös Suomesta. Miniduke-tartuntoja on löydetty liki 60, yhteensä 23 valtiosta, ei kuitenkaan Suomesta. Miniduke-havaintoja on tehty enimmäkseen Itä- Euroopan maissa, kun taas Red October -tartuntoja on havaittu ympäri maailmaa. Havainnot Suomessa CERT-FI otti tammikuussa yhteyttä Kasperskyyn ja pyysi tietoja Red October - raportissa mainitusta suomalaistartunnasta. Yritys toimittikin tietoja, joiden perusteella yhden suomalaisen tilaajaliittymän takana oleva tietokone olisi saanut haittaohjelmatartunnan. Samalla selvisi, että kyseessä oleva tapaus ei liittynyt Suomen julkiseen hallintoon. Haittaohjelmahyökkäykset Etelä-Koreassa Maaliskuun alussa Etelä-Korea joutui haittaohjelmahyökkäyksen kohteeksi. Kohteina oli useita pankkeja ja televisioasemia. Hyökkäyksellä ei ollut vaikutuksia Suomeen. Palvelunestohyökkäykset Tšekin tasavallassa Maaliskuun alussa merkittäviä verkkouutispalveluja joutui palvelunestohyökkäysten kohteeksi Tšekissä. Joulukuussa 2012 myös suomalaiset mediatalot joutuivat palvelunestohyökkäysten kohteiksi. Tietoturvakatsaus 1/2013 7

Palvelunestohyökkäykset Spamhausia vastaan Suomalaisia suojaamattomia nimipalvelimia käytettiin hyväksi yhdysvaltalaiseen palveluntarjoajaan kohdistuvassa laajassa palvelunestohyökkäyksessä maaliskuun lopulla. Hyökkäyksessä väärinkäytettiin avoimia resolverinimipalvelimia. Niiden avulla hyökkääjä kykeni vahvistamaan hyökkäysliikenteen volyymin moninkertaiseksi. Hyökkäysliikenteestä tunnistettiin yli sata suomalaista IP-osoitetta. CERT-FI on ollut yhteydessä suomalaisiin teleyrityksiin, jotta näiden hyödyntäminen palvelunestohyökkäyksessä saatiin estettyä. Hyökkäys Spamhausia vastaan loppui 27.3. Väärennettyjen osoitteiden käyttäminen voitaisiin torjua siten, että kaikki internetoperaattorit toteuttaisivat ns. BCP38 (Best Current Practices -dokumentti 38 ja sen korvannut versio 84, RFC 2827 ja 3704) mukaisen suodatuksen, jolloin kunkin operaattorin verkosta voisi liikennöidä ulospäin vain sellaisilla IP-lähdeosoitteilla, jotka kuuluvat sille itselleen tai sen asiakasverkoille. Valitettavasti läheskään kaikilla ulkomaisilla operaattoreilla tällaista suodatusta ei ole käytössä. Suomalaisia verkkoja on vaikea käyttää väärennettyjen lähdeosoitteisiin perustuvissa palvelunestohyökkäysissä, koska operaattorit estävät väärennetyillä lähettäjäosoitteilla välitetyn liikenteen asiakasliittymissä Viestintäviraston määräysten 13 ja 28 mukaisesti. Varmennejärjestelmien ongelmat Varmennejärjestelmien luotettavuus perustuu teknisten ratkaisujen lisäksi suurelta osin varmentajan toiminnan luotettavuuteen. Tapaus TURKTRUST Google Chrome -selaimeen sisäänrakennettu, Googlen omia varmenteita tarkkaileva mekanismi havaitsi väärän varmenteen jouluaattona 24.12.2012. Varmenne oli luotu osoitteille *.google.com eli kaikille google.com -loppuisille osoitteille. Varmenteen myöntäjänä oli turkkilainen varmenteita myöntävä taho TURKTRUST. TURKTRUST ilmoitti myöntäneensä vahingossa kaksi keskitason varmennetta, toisen *.EGO.VOG.TR-osoitteille ja toisen e- islem.kktcmerkezbankasi.org-osoitteelle. Näistä edellistä käytettiin myöntämään varmenne *.google.com -osoitteille. Tällä hetkellä ei vielä tiedetä, minkälaisissa hyökkäyksissä varmennetta on käytetty. Oikeudettomasti luotua varmennetta voidaan käyttää hyväksi muun muassa urkintahyökkäyksissä, koska muut selaimet eivät tunnista sivua väärennetyksi. Väärennettyjen sivustojen avulla olisi voitu urkkia käyttäjiltä esimerkiksi Googlen palvelujen käyttäjätunnuksia ja salasanoja tai toteuttaa SSL-MitM - tyyppinen hyökkäys, jossa tietoliikenteen salaus voidaan purkaa käyttäjän huomaamatta. Google ja Mozilla ovat ilmoittaneet poistaneensa varmenteet selaimistaan Chromesta ja Firefoxista. Myös Microsoft on poistanut ne Tietoturvakatsaus 1/2013 8

luotettujen varmenteiden listalta (CTL). Päivitys asentuu kaikkiin Windowsin tuettuihin versioihin automaattisesti. Tapaus Diginotar Alankomaalaisen Diginotar-varmenneyrityksen järjestelmiin tehty tietomurto paljastui elokuun 2011 lopussa. Tunkeutuja oli kyennyt luomaan useita varmenteita eri verkkotunnuksille ja www-osoitteille. Tunkeutujalla on todennäköisesti ollut pääsy järjestelmään kuukausien ajan ennen kuin tietomurto tuli ilmi. Alankomaiden viranomaiset ottivat Diginotarin toiminnan haltuunsa tieto murron tultua julki ja Diginotarin menetettyä näin luotettavuutensa varmenteiden myöntäjänä. Kävi ilmi, että yhtiö oli lyönyt laimin tietoturvasta huolehtimisen eikä ilmoittanut tapahtuneesta viranomaisille. Yritys on sittemmin haettu konkurssiin ja lopettanut toimintansa. Tapaus Comodo Oikeudettomasti luotuja varmenteita myönnettiin myös aiemmin huhtikuussa 2011 tietoturvayritys Comodon tytäryhtiöön tehdyn tietomurron seurauksena. Hyökkääjä onnistui varastetun salasanan avulla myöntämään itselleen yhdeksän väärää SSL-varmennetta. SSL-varmenteet myönnettiin seuraaviin seitsemään verkkopalveluun: mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com ja "global trustee". Comodon tiedotteen mukaan ainoastaan login.yahoo.com - palveluun myönnettyä varmennetta on todistettavasti käytetty hyväksi. Hyökkäyksen paljastuttua Comodo on mitätöinyt kaikki väärät varmenteet sulkulistan avulla. Luottamus on koko varmennejärjestelmän perusta, joten varmentajille on tärkeää toimia vastuullisesti murtoepäilytilanteissa ja tiedottaa aktiivisesti hyökkäyksistä ja niiden vaikutuksista. Suomessa laatuvarmennepalveluntarjoajien ja vahvan sähköisen tunnistamispalveluntarjoajien luotettavuus perustuu osaltaan viranomaisvalvontaan. Viestintäviraston antaman määräyksen 7 mukaan laatuvarmenteita ja vahvaa sähköistä tunnistamista tarjoavien varmentajien on tehtävä ilmoitus Viestintävirastolle palvelun tietoturvaan kohdistuvista merkittävistä uhkista tai häiriöistä sekä näiden korjaamiseksi tehdyistä toimenpiteistä ilman aiheetonta viivästystä. Tietoturvakatsaus 1/2013 9

Pitkäkestoiset tietoturvailmiöt Tietoverkoissa käytettyjen ohjelmistojen tietoturva-aukot ovat jokapäiväisiä uhkia, joita vastaan ohjelmistotoimittajat ja koko tietoturva-ala rakentavat paikkauksia ja ohjeistavat tietokoneen käyttäjiä turvallisempaan nettikäyttäytymiseen. Uusien ja yksittäisten tietoturvailmiöiden sijaan seuraavassa keskitytään niin sanottuihin pitkäkestoisiin ilmiöihin, joita trendeiksikin voisi nimittää. Haittaohjelmatartunnat suomalaisissa IP-osoitteissa CERT-FI Autoreporter on CERT-FI:n vuodesta 2006 alkaen tuottama palvelu, joka kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja ja raportoi niistä verkkojen ylläpitäjille. Tammimaaliskuussa järjestelmä käsitteli noin 61 500 raporttia, joissa esiintyi 27 400 eri IP-osoitetta. Alla olevassa tilastossa on esitetty alkuvuoden päivittäiset CERT-FI Autoreporterin käsittelemät haittaohjelmatartunnat. Tilasto ei ota huomioon sitä, esiintyykö sama haittaohjelman saanut kone raportissa useampana peräkkäisenä päivänä vai onko kyseessä joukko erillisiä tapauksia. Raporteissa esiintyvien IP-osoitteiden lukumäärä ei suoraan kerro yksittäisten haittaohjelmatartunnan saaneiden tietokoneiden lukumäärää. Tämä johtuu siitä, että laajakaistaliittymissä käytetään yleisesti vaihtuvia (dynaamisia) IP-osoitteita. Lisäksi yritysverkoissa on yleistä, että yhden julkisen IPosoitteen takaa voi löytyä useita tietokoneita. Kuva 2. Autoreporter-tilastot 1Q/2013. Päivämäärät ovat tilastossa muodossa vvvvkk-pp. Maaliskuun lopulla tilastossa näkyvä piikki johtuu erään teleyrityksen asiakkailla esiintyneiden, roskapostin välittämiseen käytettävien haittaohjelmatartuntojen suuresta määrästä. Teleyrityksen nopean reagoinnin ansiosta päivittäisten haittaohjelmahavaintojenmäärä laski nopeasti takaisin keskimääräiseen 600 tartunta tapaukseen. Tietoturvakatsaus 1/2013 10

Yleisimmät haittaohjelmat olivat tammi-maaliskuussa ZeuS (42 %) ja Conficker (16 %). Vuonna 2012 yleisimmät haittaohjelmat olivat myös ZeuS 35 %:n ja Conficker 18 %:n osuuksilla. Zeus-haittaohjelma urkkii verkkopankkitunnuksia pankkipalveluja käytettäessä. Vuonna 2012 Autoreporterin kautta lähetettiin runsaat 184 000 raporttia. Alkuvuoden lukumäärän perusteella voi arvioida, että raporttien kokonaismäärä tulee kasvamaan vuonna 2013. Kiristyshaittaohjelma Reveton Jos tietokone ei käynnisty normaalisti, vaan näytölle tulee ilmoitus, joka vaatii maksua lukituksen poistamiseksi, kyseessä on todennäköisesti kiristyshaittaohjelma (ransomware). Uskottavuutensa lisäämiseksi haittaohjelman ilmoitus on yleensä kirjoitettu poliisin nimissä. Lukituksen syyksi ilmoitetaan esimerkiksi käyttäjän väitetty vierailu laittomilla sivustoilla. Kiristyshaittaohjelmatartunnan voi saada esimerkiksi vierailemalla aikuisviihdesivustoilla. Kuva 3. Kuvaruutukaappaus lukitusilmoituksesta (lähde: F-Secure weblog) Todellisuudessa poliisi ei toimi näin, joten älä maksa. Haittaohjelmasta on liikkeellä lukuisia eri versioita, siksi ajantasaisia ja kaikkiin versioihin purevia puhdistusohjeita on lähes mahdotonta laatia. Ellei oma tietotaito riitä, saastunut kone on hyvä puhdistuttaa atk-huoltoliikkeessä. Kyseessä on 2000-luvun ilmiö, joka on aiheuttanut käyttäjille ongelmia jo useiden vuosien ajan muun muassa Suomessa, Venäjällä sekä Pohjois- ja Etelä-Amerikassa. Haittaohjelma tunnetaan myös nimellä Reveton. Kiristyshaittaohjelmasta liikkuu erilaisia versioita eri maihin ja eri kielialueille. Ilmoituksen sisältö vaihtelee sen mukaan, mihin maahan haittaohjelmaa on levitetty. Yhdysvalloissa käyttäjän koneen lukitsijan väitetään olevan FBI, Tietoturvakatsaus 1/2013 11

Argentiinassa taas PFA (Police Federal Argentine). Revetonia ja muita kiristyshaittaohjelmia kehitetään jatkuvasti, jotta tekijöiden rikollinen mutta tuottoisa toiminta voisi jatkua mahdollisimman pitkään. Helmikuussa 2013 Espanjan poliisi pidätti rikollisryhmän, jonka levittämä kiristyshaittaohjelma on päätynyt myös suomalaisten tietokoneisiin. Maailmanlaajuisesti pidätyksen merkitys jäänee melko vähäiseksi, koska samalla tavalla toimivia ryhmiä on muitakin. Ilmiön tunnettuudesta huolimatta esimerkiksi CERT-FI:n asiakaspalveluun tulee yhä viikoittain yhteydenottoja, joissa pyydetään neuvoja Revetonin lukituksen purkamiseksi. Aiheesta on julkaistu useita Tietoturva nyt! -uutisia, ja sitä on myös käsitelty CERT-FI:n 2012 vuosikatsauksessa. Käyttäjätietojen kalastelu CERT-FI:n tietoon tulee säännöllisesti käyttäjätietojen kalasteluyrityksiä, joilla pyritään urkkimaan esimerkiksi Twitterin ja Facebookin kirjautumistietoja. Mikroblogipalvelu Twitterissä on kiertänyt viestejä, joissa kysellään "Did you see this pic of you?". Viestissä on lyhytosoite, jota klikkaamalla käyttäjä päätyy sivustolle, joka näyttää erehdyttävästi Twitterin omilta sivuilta. Varastettuja kirjautumistietoja voidaan käyttää vastaavien viestien lähettämiseen muille Twitterin käyttäjille. On myös mahdollista, että myöhemmin lyhytosoitetta klikkaavan käyttäjän koneelle yritetään tartuttaa haittaohjelma. Vastaavanlaiset huijausyritykset ovat varsin yleisiä sosiaalisessa mediassa. Usein klikkauksilla yritetään kuitenkin ohjata käyttäjä asentamaan jokin Facebookin sovellus tai antamaan urkintasivustolle oikeuden käyttää palveluun tallennettuja yhteystietoja. Haavoittuvuuksia yleisesti käytetyissä ohjelmistoissa Yleisesti käytetyistä ohjelmistoissa löydetään jatkuvasti uusia haavoittuvuuksia. Niiden avulla voidaan esimerkiksi tartuttaa tietokoneeseen haittaohjelmia. Päivittämällä ohjelmistot uusimpiin julkaistuihin versioihin voidaan estää tunnettujen haavoittuvuuksien hyväksikäyttö. Java Java-ohjelmistojen haavoittuvuudet ovat toistuvasti otsikoissa. Uusilta tapauksilta ei ole vältytty myöskään alkuvuodesta 2013. Vuonna 2012 CERT-FI julkaisi Javasta yhteensä seitsemän haavoittuvuustiedotetta. Kuluvana vuonna tiedotteita on kertynyt jo neljä. Java-haavoittuvuuksia käytetään hyväksi esimerkiksi vakoiluohjelmien levittämisessä. Java on laaja laitteistoriippumaton ohjelmointikieli ja ohjelmistoalusta, joka on Tietoturvakatsaus 1/2013 12

saanut alkunsa vuonna 1995. Oraclen mukaan Java-alusta on käytössä noin neljässä miljardissa laitteessa aina hisseistä tietokoneisiin. Yleisyytensä vuoksi Java on hakkerille tehokas ja helppo kohde tieturva-aukkojen löytämiseksi ja lopulta niiden hyväksikäytölle. CERT-FI on kehottanut poistamaan Javan oman tietokoneen selaimesta, jollei sen käyttö ole välttämätöntä. Jos esimerkiksi verkkopankin käyttö ilman Javaa on mahdotonta, CERT-FI on suositellut pitämään käytössä kahta eri selainta, joista vain toinen sisältää Java-lisäosan. Adoben Flash Player, Reader ja Acrobat Adobe Flash Player -ohjelmistoa käytetään esimerkiksi Youtube-videoiden toistamiseen ja www-sivujen mainosten näyttämiseen. Adoben mukaan Flash Player on asennettuna yli 500 miljoonaan laitteeseen. Näiden ohjelmien päivitykset on syytä pitää ajan tasalla, sillä niiden haavoittuvuuksia hyödynnetään aktiivisesti. Alkuvuodesta 2013 CERT-FI on julkaissut Flash Playeristä neljä ja Adobe Readeristä sekä Acrobatista kaksi haavoittuvuustiedotetta. Luvut ovat huomattavia, sillä vuonna 2012 CERT-FI julkaisi yhdeksän Flash Player- sekä kolme Reader- ja Acrobat-tiedotetta. Www-selaimet Www-selainten haavoittuvuuksia hyväksikäyttämällä voidaan haittaohjelma tartuttaa käyttäjän päätelaitteeseen vain vierailemalla saastuneella verkkosivulla. Haittaohjelmatartunnan riski pienenee huomattavasti, jos käytetään selaimen päivitettyä versiota. CERT-FI on julkaissut tammi-maaliskuussa 12 selaimia koskevaa haavoittuvuustiedotetta. Tiedotteet ovat koskeneet Google Chrome-, Internet Explorer-, Mozilla Firefox-, Safari- ja Opera -selaimia. Vuonna 2012 julkaistiin yhteensä 45 selaimia koskevaa haavoittuvuustiedotetta. Tietoturvakatsaus 1/2013 13

Yleisen viestintäverkon poikkeamat Suomalaisten viestintäverkot toimivat tammi-maaliskuussa hyvin. Alkuvuonna teleyhtiöt raportoivat yhteensä kolmesta kuluttaja-asiakkaisiin kohdistuneesta erittäin laajavaikutteisesta häiriöstä. Samoin alkuvuonna CERT-FI:lle toimitetuista seitsemästä tapahtumailmoituksesta ei noussut esiin uusia, vakavia tietoturvauhkia. Ilmoitukset koskivat pääosin tietomurtoja, joiden haittavaikutukset jäivät pieniksi, koska tapaukset oli havaittu ja niihin oli puututtu ajoissa. Viestintäverkkojen vika- ja häiriöilmoitukset Alkukevään aikana teleyritykset ilmoittivat Viestintävirastolle kolme kuluttajaasiakkaisiin kohdistuvaa erittäin laajavaikutteista (A-vakavuusluokka) häiriötä, joita olivat 9.1. Elisa matkapuhelinverkon häiriö 5.2. DNA kiinteiden internet-yhteyksien häiriö 28.3. Elisa matkapuhelinverkon datayhteyksien häiriö Teleyritykset havaitsivat häiriöt ripeästi ja merkittävät asiakasvaikutukset poistettiin kaikissa tapauksissa noin tunnin kuluessa häiriön alkuhetkestä. Kyseisistä tapahtumista teleyritykset ovat julkaisseet verkkosivujensa häiriöilmoituksissa asiakastiedotteet ja raportoineet Viestintävirastolle asianmukaisesti. Lisäksi FST5-kanavan toimintaan Lapissa vaikutti yksi laaja häiriö ajoittuen onnekkaasti aikaan, jolloin kanavalla ei esitetty ohjelmaa. Kooste vuoden 2012 viestintäverkkojen vioista ja häiriöistä Viestintävirasto keräsi keväällä 2013 ensi kertaa teleyrityksiltä laajat tiedot viestintäverkkojen häiriöistä vuodelta 2012. Kysely koski laajuudeltaan kohtuullisia tai pieniä häiriöitä, jotka vaikuttivat tyypillisesti alle 1 000 asiakkaaseen yli puolen tunnin ajan. Tätä vakavimmista häiriöistä teleyritykset ilmoittavat Viestintävirastolle jatkuvasti. Tulosten tarkempaa analysointia jatketaan ja käsitellään seuraavassa neljännesvuosikatsauksessa. Tähän mennessä tehtyjen asiakasilmoitusten perusteella teleyrityksiä työllistävät merkittävimmin häiriöt matkaviestinverkoissa ja kiinteissä laajakaistayhteyksissä. Nämä ovat myös käytetyimmät asiakaskohtaiset palvelut. Yli neljänneksen todennetuista häiriöistä ilmoitetaan korjaantuvan kuuden tunnin kuluessa häiriön alkamisesta. Lisäksi yli puolet häiriöistä korjataan kahden päivän kuluessa häiriön havaitsemisesta. Vaikeammistakin häiriöistä merkittävä osuus saadaan korjatuksi alle viikossa. Viime vuoden yli viikon kestävien häiriöiden osuutta lisäsi 2011 loppuvuoden Tapani-myrsky. Sen korjaustyöt jatkuivat vielä viikkoja vuoden 2012 puolella Tietoturvakatsaus 1/2013 14

korjaustöiden laajuuden ja tilaajayhteyksien suuren lukumäärän vuoksi. Osa yhteysvirheistä havaittiin ja korjattiin vasta kevät-kesällä, kun ihmiset palasivat loma-asunnoilleen. Tyypillisimmin yksittäisen häiriön taustalla ovat maanrakennustyöt, joiden seurauksena katkeaa niin tilaajajohtoja kuin verkon kaapeleitakin. Myös muut kaapelivauriot häiritsevät usein asiakkaiden yhteyksiä. Verkon laitteista kiinteiden laajakaistaverkkojen keskittimet (DSLAM, Digital Subscriber Line Access Multiplexer) voivat olla toimintakelvottomia joko luonnonilmiöiden, ohjelmisto- tai laitevikojen seurauksena. Tällöin kaikki laitteen takana olevat tilaajayhteydet katkeavat. CERT-FI-tapahtumailmoitukset Tammi-maaliskuussa 2013 CERT-FI:lle toimitettiin yhteensä kahdeksan ilmoitusta teleyrityksiin kohdistuneista tietoturvaloukkauksista, joista seitsemän luokiteltiin sähköisen viestinnän tietosuojalain (SVTsL) 21 :n mukaisiksi ja siten aiheellisiksi tapahtumailmoituksiksi. Pääosin CERT-FI:n tapahtumailmoitukset koskivat tietomurtoja, yksittäisiä ilmoituksia toimitettiin myös ohjelmistohaavoittuvuuksista. Suurin osa tapauksista oli havaittu ajoissa, siksi tietoturvaloukkausten haittavaikutukset jäivät pieniksi. Haavoittuvien tietojärjestelmien lisäksi uhkaaviin tilanteisiin ajauduttiin myös inhimillisten virheiden kuten järjestelmien väärinkytkentöjen vuoksi. Kooste vuoden 2012 tietoturvapoikkeamista Teleyritykset raportoivat vuonna 2012 Viestintävirastolle 40 tietoturvaloukkausta tai tietoonsa saamaa tietoturvauhkaa, jotka ylittivät ilmoituskynnyksen. Vuoden aikana merkittävimpiä tietoturvaloukkauksia olivat teleoperaattorin toimitiloihin tehty murto, teleoperaattorin nimipalvelimiin kohdistunut tietomurto sekä operaattorin hallintaverkossa paljastunut haittaohjelmatartunta. Merkittävää oli myös palvelunestohyökkäysten kohdistuminen useisiin mediataloihin sekä tapaukset, joissa DNS-palvelimia käytettiin hyökkäystehon vahvistukseen. Myös VoIP-vaihteisiin kohdistuneet tietomurrot jatkuivat vuoden aikana ja aiheuttivat taloudellista vahinkoa tilaaja-asiakkaille ja teleyrityksille. Viestintävirasto julkaisi kaksi ohjetta VoIP-palvelujen tietoturvalliseen käyttöön. Viime vuosina yleistyneet haktivistityyppiset palvelunestohyökkäykset eli kansalaistottelemattomuuden ilmaiseminen tietoliikenteen ja tietojärjestelmien häirinnän keinoin näkyivät teleyritysten omissa ja ennen kaikkea asiakkaiden järjestelmissä. Tietoturvakatsaus 1/2013 15

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute