Verkkohyökkäysten tilannekuva ja tulevaisuuden verkkosuojauksen haasteet 2008-09-16 Timo Lehtimäki Johtaja Viestintävirasto
Ajankohtaista Verkkohyökk kkäyksistä 2
Tietoturvaloukkausten lyhyt historia ennen 1970: uhkakuvana reaalimaailma (ydinsota ARPANET) 1988: Morris Worm CERT/CC 1990-luku: virukset, spam, internetin kaupallistuminen 3
Tietoturvaloukkausten lyhyt historia vuosituhannen vaihde: rikollinen bisnes löytää tietoverkot 2000-2003: verkkomadot lamauttavat verkkoja 2004: haittaohjelmat soittavat kotiin 2005: bottiverkoista tulee krooninen ongelma, DDoS, phishing.. 2006: rootkitit ja tietoa varastavat haittaohjelmat, tietoverkkorikolliset kohtaavat basaareilla, bullet-proof-hosting.. 4
Tietoturvaloukkausten lyhyt historia 2007: istuntoja kaappaavat haittaohjelmat kohdistetut hyökkäykset haittaohjelmien tuotteistaminen EU havahtuu ongelmaan... 2008-: CIP-kohteet matkaviestimet ubiikkiuhat laajavaikutuksiset haavoittuvuudet yksityisyyden menettäminen vastatoimet, infosota..?? 5
Suomalaiseen käyttäjään kohdistuneen tietoturvauhan aiheuttaja on tyypillisesti ulkomailla Sähköisten asiointipalvelujen käyttäjätietojen lisäksi kiinnostavat raha sekä rahanpesu Pankki- ja verkkokauppasivustojen lisäksi erilaisissa virtuaalimaailmoissa ja verkkopeleissä liikkuu rahaa. Siksi niissä esiintyy myös huijaustoimintaa ja niitä käytetään rahanpesutoimissa 6
Tämän vuoden trendit Tietoja vakoilevat haittaohjelmat ja niiden levittämistavat kehittyvät Social engineering kehittyy (Tatjana, lentoliput...) Haavoittuvuuksien tartuttaminen kehittyy Haittaohjelmien levittämiskoneisto kasvaa Web-lomakkeiden tiedot vapaata riistaa vakoiluohjelmille Tietojen kaappaamisesta siirrytään istuntojen kaappaamiseen Man in the middle, Man in the browser Ohjelmat tarkkailevat käyttäjän kaikkia toimia Palvelukohtaisesti per pankki räätälöidyt ohjelmat Kehitys on vasta alussa! 7
Tämän vuoden trendit Internet-infrastruktuuria käytetään käyttäjän harhauttamiseen DNS cache poisoning teki nimipalvelusta akuutisti epäluotettavan Vika on kuitenkin järjestelmän rakenteessa, korjaaminen vaatii isomman remontin Vastaavanlaisia tekniikoita voidaan käyttää myös reitityksessä BGP-reititysprotokollassa luotetaan naapureiden rehellisyyteen ammattitaitoon 8
Tämän vuoden trendit Sähköpostissa ei mitään yleisesti käytettyä autentikointia Domain-nimen rekisteröijäksi käy hyvin Aku Ankka verkkotunnusten määrää ollaan kasvattamassa, nimestä ei voi päätellä mainetta... (no ehkä.fi) Haitallisten palvelujen tarjoamiseen erikoistuneita (tai oikeastaan palvelujen laadusta piittaamattomia) hostingyrityksiä yritysten omistussuhteet saattavat olla epäilyttäviä 9
Tämän vuoden trendit Väärinkäytösten mekanismit monimutkaistuvat, esimerkki: Botnetin kaappaama kone lähettää roskapostin, jonka mukana on linkki sivustolle, joka sisältää javascriptiä, joka lataa iframen, joka sisältää haitallista sisältöä, joka tartuttaa käyttäjän koneeseen haittaohjelman, joka vakoilee www-istuntoja ja lähettää salasanat dropsitelle, josta ne noudetaan ja etsitään helmet (kuten luottokorttinumerot), jotka myydään blackhatfoorumeilla... 10
Tämän vuoden trendit... haittaohjelmia jakavien tai huijaavien palvelinten domain on rekisteröity tekaistuin tiedoin ja nimistä ratkeava ip-osoite vaihtelee nimipalvelussa sekunnin välein ja ip-osoitteet osoittavat murretuille, viattomien sivullisten koneille... Väärinkäytökset ovat liiketoimintaa, joka toteutetaan usein kansainvälisellä verkostolla, jossa palvelun osat ovat teknisesti ja toteuttajiltaan erillisiä, jolloin koko kuvion ja tekijöiden selvittäminen on erittäin vaikeaa Tavallisella käyttäjällä vähän keinoja suojautua yhä vakuuttavampia huijauksia virustorjuntaohjelmille liian uusia haittaohjelmia 11
Tapauksia vuoden 2008 alusta alkaen Tapauksia käsittelyjonossa Suomalaisia uhreja yhteensä Keskimäärin uhreja / tapaus Suurin yksittäinen tapaus tapauksia, joissa >10 uhria 34 kpl 462 kpl 14 uhria 104 uhria 9 kpl Suurin yksittäinen palveluntarjoaja 223 kpl 48 % Verkkopankkien uhreja yhteensä 49 kpl 11 % Pankki A 16 kpl 3,5 % Pankki B 15 kpl 3,2 % Pankki C 11 kpl 2,4 % Pankki D 4 kpl 0,9 % Pankki E 2 kpl 0,4 % Pankki F 1 kpl 0,2 % Muita uhreja 190 kpl 41 % 12
Haittaohjelmien kehitys kehittyy Haittaohjelmien kehittäjät tähtäävät sähköisten asiointipalvelujen heikoimpaan lenkkiin loppukäyttäjien hallussa olevat tietojärjestelmien heikkoudet ( päivitä, kovenna, käytä suojatekniikoita, varmuuskopioi ) huoleton käyttökulttuuri ( nettifiksuus ) Kohdistetut hyökkäykset Social Engineering -menetelmät viety huippuunsa hyödynnetään ohjelmistohaavoittuvuuksia, joihin ei ole korjauksia Laajamittaiset ohjelmistohaavoittuvuudet CERT-FI Haavoittuvuus 034/2008 julkaistu 17.3.2008 CERT-FI Haavoittuvuus 061/2008 julkaistu 19.5.2008 CERT-FI Haavoittuvuus 063/2008 julkaistu 28.5.2008 CERT-FI Haavoittuvuus 088/2008 julkaistu 8.7.2008 13
Tulevaisuuden haasteet Lainsäädäntö vs. hyökkääjien keräämät tiedot ja niiden hyväksikäyttäminen Rikokset ylittävät maiden rajat, viranomaiset toimivat kansallisella tasolla Huijauspalvelimet helppo siirtää maasta toiseen tai operoida maissa, jossa niitä ei saada alas 14
Mitä voimme tehdä? Yhteistyön tehostaminen yhteistyön kulttuuri yhteistyön esteiden poistaminen Loppukäyttäjän tietoturvasta huolehtiminen Tietoverkkorikollisuuteen liittyvien ilmiöiden ja toimenpiteiden tehon mittaaminen 15
Kuinka ennaltaehkäistä ongelmia Aktiivinen tietoturvallisuustilanteen seuranta CERT-FI haavoittuvuustiedotteet laite- ja ohjelmistovalmistajien tiedotteet Verkon ja palvelujen rakenne kuntoon kyky havaita poikkeavia tapahtumia minimikäyttöoikeusperiaate työasemien perusasetukset Käyttäjien ohjeistus turvallisesta verkkopalvelujen käytöstä aktiivisuus poikkeavien ilmiöiden raportointiin minne työpaikan koneella on fiksua mennä ja minne ei 16
Puhelin: +358 9 6966 510 Sähköposti: www: cert@ficora.fi www.cert.fi CERT-FI:n julkiset varoitukset voi lukea: Sähköpostitse hälytyspalveluna SMS-hälytyspalveluna (maksullinen) CERT-FI:n www-sivuilta RSS-uutispalveluna YLE:n teksti-tv:n sivulta 848 17