Tietoturvailmiöt 2014 1 Tietoturvailmiöt 2014
Heikkouksia internetin rakenteissa, nettihuijauksia ja kohdistettuja hyökkäyksiä Viestintäviraston Kyberturvallisuuskeskuksen havaintojen mukaan vuoden 2014 tietoturvailmiöt koskivat laajasti verkon käyttäjiä ja koostuivat hyvin monitasoisista kybermaailman uhkista. Suomessa nettihuijaukset olivat peruskäyttäjien riesana. Maailmanlaajuisesti pinnalle nousivat kohdistetut hyökkäykset aivan uudenlaisessa mittakaavassa, kun tietoturvayhtiöt julkaisivat tietoja lähes kilpajuoksulla. Laajimmin kaikkia verkon käyttäjiä ovat koskeneet liikenteen salauksiin liittyvät haavoittuvuudet, joista merkittävimmäksi nousi OpenSSL-kirjaston Heartbleed-nimellä tunnetuksi tullut haavoittuvuus. Lukuisista tietoverkkoihin kohdistuneista uhista huolimatta suomalaiset verkot ovat säilyneet maailman puhtaimmalla tasolla. Siitä kertoo myös kansainvälisessä vertailussa menestyminen. Helsingissä 31. joulukuuta 2014 Kirsi Karlamaa, Johtaja Viestintäviraston Kyberturvallisuuskeskus Sisällys Heikkouksia internetin rakenteissa, nettihuijauksia ja kohdistettuja hyökkäyksiä...2 Verkkohuijauksilla saaliiksi puoli miljoonaa euroa...3 Haittaohjelmahavainnoista 85 % peräisin yhden teleyrityksen verkosta...5 Kohdistetut hyökkäykset kiusaavat yrityksiä...6 Vuoden koukuttavimmat haavoittuvuudet: vuotava sydän ja taisteluväsymys...7 Suomalaiset verkot ovat edelleen puhtaimpien joukossa...8 Tietoturvailmiöt 2014 2
Verkkohuijauksilla saaliiksi puoli miljoonaa euroa Internetin käyttäjiin kohdistui keväällä 2014 pankkitunnuksia pyydystänyt suomenkielinen huijauskampanja. Se keräsi yli puoli miljoonaa euroa huijaamalla suomalaisilta tietoja väärennetyillä internetsivustoilla mm. pankin, postin ja tullin nimissä. Tehokas verkkohuijaus rantautui Suomeen Kevään huijauskampanja oli poliisin mukaan Suomen mittakaavassa eniten vahinkoa tuottanut kalastelukampanja ja Euroopankin mittakaavassa merkittävä. Kampanja jatkui useita kuukausia, asianomistajia on yli 400 ja rahanpesusta epäiltyjä henkilöitä yli 40. Ihmisten hyväuskoisuus, viestien hyvä kieliasu sekä tekstiviestien ja puheluiden hyödyntäminen tekivät kalastelusta entistä tehokkaampaa. Huijauskampanja saatiin loppumaan laaja-alaisella viranomaisyhteistyöllä elokuussa. Poliisi vastasi rikosten tutkimisesta ja Kyberturvallisuuskeskuksen vastuulla oli kalasteluun käytettyjen sivustojen raportointi tahoille, joilla oli mahdollisuus irtikytkeä ne verkoista. Urkintakampanjaan liittyviä internetsivustoja ja verkkotunnuksia oli pahimmillaan yli kymmenen viikossa, mutta ne saatiin irtikytkettyä parhaimmillaan minuuteissa tiedon saamisesta. Kaksi teosta epäiltyä on vangittuna. Molempien epäiltyjen kiinnioton jälkeen kalastelukampanja loppui. Nettihuijaukset ovat maailmalla vanha ja vakiintunut ilmiö. Suomalaisten on aiemmin ollut usein helppo tunnistaa huijaukset, koska niiden kieli on ollut muu kuin suomi, teksti on ollut huonosti käännettyä tai huijauksessa käytetyt tuotemerkit eivät ole olleet suomalaisille tuttuja. Nopeasti kasvavan kansainvälisen nettikaupan ja entistä paremman suomen kielen ansiosta huijausten odotetaan muodostuvan entistä vakavammaksi uhkaksi suomalaisille. Tietoturvailmiöt 2014 3
Haittaohjelmat varastavat henkilötietoja ja salasanoja Satunnaisten käyttäjien tietoja varastamaan pyrkivät haittaohjelmat muodostivat vuoden aikana suurimman yksittäisen uhan tavallisten käyttäjien tietoturvallisuudelle. Kyberturvallisuuskeskus sai vuoden aikana yhteensä yli 100 000 ilmoitusta suomalaisissa verkoissa havaituista tietoja varastavista haittaohjelmatartunnoista. Tietoja varastavat haittaohjelmat tarttuvat samoin kuin muutkin haittaohjelmat. Käyttäjä voidaan houkutella asentamaan sähköpostin liitetiedostona saapunut tai verkosta ladattu haittaohjelma. Haittaohjelma saattaa päätyä käyttäjän työasemaan myös siirrettävien muistilaitteiden välityksellä. Haittaohjelmat tarttuvat myös hyväksikäyttämällä käyttöjärjestelmän ja varusohjelmien haavoittuvuuksia. Tällöin käyttäjän on tyypillisesti vierailtava haitallisella tai murretulla internetsivulla, jolle on sivuston ylläpitäjän tietämättä lisätty haitallista sisältöä. Tietoja varastavat haittaohjelmat pyrkivät varastamaan muun muassa henkilötietoja ja kirjautumistietoja erilaisiin palveluihin. Varastettuja tietoja voidaan hyödyntää jatkorikosten tekemisessä esimerkiksi ostamalla tavaroita uhrin nimissä. Tietoturvailmiöt 2014 4
Haittaohjelmahavainnoista 85 % peräisin yhden teleyrityksen verkosta Teleyrityksen verkosta suuntautuvan haittaohjelmaliikenteen määrän kasvu huomattiin siitä, että aktiivisilla toimilla on merkitystä asiakkaiden päätelaitteiden tietoturvan kannalta. Kyberturvallisuuskeskuksen Autoreporter-palvelun avulla. Teleyritykselle raportoitujen haittaohjelmatartuntojen määrät olivat moninkertaiset normaalitilanteeseen verrattuna. Autoreporter on Viestintäviraston vuodesta 2006 käytössä ollut palvelu, jonka piiriin kuuluvat kaikki Kyseisen teleyrityksen ryhdyttyä tarvittaviin toimenpiteisiin asiakkaiden saastuneiden koneiden osuus kokonaismäärästä on palautunut vastaamaan sen markkinaosuutta. Tapaus on esimerkki suomalaiset verkkoalueet. Autoreporterista saatavien tilastotietojen avulla voidaan arvioida suomalaisissa verkoissa esiintyvien haittaohjelmien yleisyyttä. Autoreporterin avulla teleyritykset ja verkkojen omistajat saavat tiedon verkossaan olevista haittaohjelmatartunnoista ja voivat välittää tiedot asiakkailleen haittaohjelman poistoa varten. Autoreporterin haittaohjelmahavainnot kyseisen teleyrityksen osalta 1. vuosineljännes Kyberturvallisuuskeskuksen havainto ja selvitys teleyrityksen kanssa. 2. vuosineljännes Teleyrityksen toimenpiteet. 3. ja 4. vuosineljännes Tilanne normalisoitunut. 60000 50000 40000 30000 20000 10000 0 tammikuu helmikuu maaliskuu huhtikuu toukokuu kesäkuu heinäkuu elokuu syyskuu lokakuu marraskuu joulukuu Tietoturvailmiöt 2014 5
Kohdistetut hyökkäykset kiusaavat yrityksiä Kyberturvallisuuskeskus sai vuoden aikana tietoonsa uusia epäilyjä suomalaisiin organisaatioihin suunnatuista kohdistetuista hyökkäyksistä. Myös kohdistettujen hyökkäysten tekemiseen käytettyjä haittaohjelmaperheitä paljastui lisää. Valtionhallinnon ja yritysten näkökulmasta merkittävimmän uhkan muodostavat kohdistetut hyökkäykset. Pahimmassa tapauksessa hyökkääjä voi saada organisaation verkon haltuunsa kenenkään huomaamatta. Näin hyökkääjän on mahdollista päästä kiinni organisaation salattuihin tietoihin ja hyökkääjä voi verkon vallattuaan lymyillä siellä vuosikausiakin. Hyökkäysten havaitseminen tavallisilla menetelmillä on yleensä mahdotonta. Tietoturvatoimijat ovat julkaisseet vuoden aikana useita raportteja kohdistetuissa hyökkäyksissä käytetyistä haittaohjelmista. Esimerkiksi Norjan CERT-ryhmä julkaisi varoituksen energiasektoria vastaan kohdistetusta vakoiluun käytetystä Havex-haittaohjelmasta. Vuoden aikana on tunnistettu myös useita muita uusia haittaohjelmaperheitä: mm. Regin, Snake ja Sandworm. Kyberturvallisuuskeskuksen tiedossa on myös suomalaisia tapauksia, jotka viittaavat raporteissa mainittuihin haittaohjelmiin. Kyberturvallisuuskeskus on jakanut kohdistettujen hyökkäysten havaitsemisen mahdollistavia teknisiä tunnistetietoja organisaatioille, jotka ovat hyökkäysten todennäköisiä kohteita. Lisäksi tunnisteita on hyödynnetty Viestintäviraston vakavien tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä HAVARO:ssa. HAVARO-järjestelmään on saatu mukaan edustava joukko suomalaisia yhteiskunnan toiminnan kannalta tärkeitä organisaatioita. Järjestelmän tuottamien tietojen avulla organisaatiot ovat kyenneet välittömiin toimenpiteisiin tietoturvan kehittämiseksi. Tietoturvailmiöt 2014 6
Vuoden koukuttavimmat haavoittuvuudet: vuotava sydän ja taisteluväsymys OpenSSL-ohjelmistosta löytynyt laajavaikutteinen virhe, Heartbleed (suom. vuotava sydän) sai oivaltavan nimensä ja vetävänsä logonsa ansiosta runsaasti maailmanlaajuista näkyvyyttä suomalaiselle tietoturvaosaamiselle. Heartbleed-haavoittuvuuden sisältänyt koodi oli kolmen vuoden takaa, Sandworm-haavoittuvuus koski kaikkia viimeisen kymmenen vuoden aikana julkaistuja Windowsin versioita ja Shellshockhaavoittuvuus kantaa jo 25 vuoden taakse. Runsas julkisuus ruokkii usein spekulaatioita julkistuksen tehneiden salatuista tarkoitusperistä, niin myös tällä kertaa. Epäluulo johti poikkeukselliseen julkiseen väittelyyn haavoittuvuuden hyväksikäytön oletetusta helppoudesta ja sen myötä haavoittuvuuden todellisesta vakavuudesta. Viestintäviraston Kyberturvallisuuskeskus arvioi, Esimerkiksi tietoturvayritys Cloudflare esitti julkisen hakkerointihaasteen, johon myös Kyberturvallisuuskeskuksen tietoturva-asiantuntija osallistui ja onnistui pienellä vaivannäöllä ratkaisemaan esitetyn haasteen. Samalla hän osoitti, että haavoittuvuuden avulla hyökkääjän on mahdollista varastaa palvelimen muistista muun muassa että aiemmin vähälle huomiolle jääneiden keskeisten ohjelmakirjastojen ja ohjelmien tietoturvatutkimukseen kiinnitetään jatkossa tarkempaa huomiota. Tällaisten haavoittuvuuksien löytäminen käynnistää tulevaisuudessakin laajoja päivityskierroksia. Tähän liittyen Kyberturvallisuuskeskus uusii varoituskäytäntöjään vuoden 2015 aikana. salausavaimia. Heartbleedia ja sen vanavedessä seuranneita Shellshockia (suom. taisteluväsymys, Bashkomentotulkin haavoittuvuus) ja Sandwormia (suom. hiekkamato, Windowsin haavoittuvuus) yhdisti laajan vaikuttavuuden ohella se, että virheet olivat piilleet ohjelmakoodissa jo vuosien ajan ennen löytymistään. Tietoturvailmiöt 2014 7
Suomalaiset verkot ovat edelleen puhtaimpien joukossa Kyberturvallisuuskeskuksen käytettävissä olevien tietojen perusteella suomalaisissa tietokoneissa on ollut vähiten haittaohjelmatartuntoja maailmassa. Suomalaiset tietoverkot arvioitiin tuoreimmassa Microsoft Security Intelligence Report (SIR) 17 -raportissa vuoden 2014 alkupuoliskon aikana puhtaimmiksi maailmassa. Puhtautta mitataan arvioimalla kuinka usein verkkoon liitetyt järjestelmät kohtaavat haittaohjelmia. Raportin viimeisellä tarkastelujaksolla Suomessa vain 5,9 % verkkoihin liitetyistä koneista kohtasi haittaohjelmia. kohdanneet koneet eivät saastu, sillä useissa koneissa on päivitetyt ohjelmistot ja tietoturvaohjelmisto. Osa saastuneistakin koneista saadaan puhdistettua ennen kuin saastumisesta syntyy merkintä Microsoftin tilastoon. Suomessa 0,21 % verkkoon liitetyistä tietokoneista oli Microsoftin laskujen mukaan jouduttu puhdistamaan. Myös muiden Pohjoismaiden ja Japanin tietoverkot sijoittuivat vertailussa hyvin. Samaan aikaan kansainvälinen keskiarvo oli 19,1 %. Puhtautta mitataan myös sillä, kuinka usein haittaohjelmia poistetaan Microsoftin ajoittain suoritettavilla puhdistusohjelmilla. Kaikki haittaohjelmia Suomen hyvää sijoittumista selittää osaltaan teleyritysten aktiiviset toimet haittaohjelmahavaintojen suhteen sekä suomalaisten käyttäjien parantunut tietoturvatietämys. Käyttäjät pitävät ohjelmistojen päivitykset hyvin ajan tasalla, eikä jokaista tuntematonta linkkiä klikata. Microsoftin toimenpitein haittaohjelmista puhdistettujen tietokoneiden osuudet (lähde: SIR 17) Suomi 0,21% Alankomaat 0,43% Tanska Puola Ruotsi 0,28% 1,28% 0,34% Saksa Norja 0,57% 0,25% Viro 0,35% Liettua 0,83% Latvia 0,46% Valko-Venäjä 0,80% Venäjä 0,49%
Itämerenkatu 3 A, 00181 Helsinki Puhelin: 0295 390 100 (vaihde) Faksi: 0295 390 270 www.viestintävirasto.fi 9 Tietoturvailmiöt 2014