CERT-FIajankohtaiskatsaus Alueellinen tietojärjestelmäalan varautumisseminaari Oulussa 15.11.2006 Erka Koivunen Yksikön päällikkö CERT-FI
Agenda CERT-FI:n esittely Haavoittuvuuksista Ajankohtaista
CERT-FI kansallinen CERT-viranomainen CERT == Computer Emergency Response Team koordinoitua tietoturvaloukkausten käsittelyä vaste usein reaktiivista jonkin herätteen pohjalta aktiivista tiedonhankintaa luottamuksellinen ennakkotiedon käsittely ja välittäminen kutsutaan myös nimillä: CSIRT, PSIRT, IRT.. CERT ei ole virustorjuntayhtiö haavoittuvuustestaaja esitutkintaviranomainen organisaation tietoturvavastuullinen 3
CERT-FI kansallinen CERT-viranomainen Viestintäviraston tehtävänä on: 1) valvoa tämän lain sekä sen nojalla annettujen säännösten ja määräysten noudattamista siltä osin kuin 32 :stä ei muuta johdu; 2) kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekä näiden palvelujen merkittävistä vikatilanteista ja häiriötilanteista; 3) selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä merkittäviä näiden palvelujen vikatilanteita ja häiriötilanteita; sekä 4) tiedottaa tietoturva-asioista. Sähköisen viestinnän tietosuojalaki (516/2004) 31 4
CERT-FI kansallinen CERT-viranomainen Keskeiset palvelut { tietoturvailmoitusten vastaanotto tietoturvaloukkausten käsittely kansallinen tietoturvallisuuden tilannekuva haavoittuvuuskoordinointi Toiminta järjestetty 24/7/365 5
CERT-FI kansallinen CERT-viranomainen Rahoituspohjan muutos 1.1.2007 alkaen teleyritykset 100 % 25 % (HE 111/2006) Huoltovarmuuskeskus 0 % 75 % (sopimusjärjestely) kokonaisrahoitus kaksinkertaistuu Toiminnan laajentaminen ja uudelleen suuntaaminen lisäresursseja yhteiskunnan elintärkeiden toimintojen turvaamiseen osallistuvien yritysten palvelemiseen (osalla lisäresursseista katetaan aiemmat vääristymät) jatkossakin toiminnan painopiste säilyy viestintäverkkojen ja -palveluiden tietoturvallisuuden ja toimivuuden varmistamisessa 6
Ohjelmistohaavoittuvuuksista Uudistuksia CERT-FI:n tietoturvatiedotteisiin OUSPG MoKB Microsoft-tiistai 14.11.
Uusi tiedoteryhmä: haavoittuvuudet Kohde (esitetään myös ikonina) [X] Palvelimet ja palvelinsovellukset [ ] Työasemat ja loppukäyttäjäsovellukset [ ] Verkon aktiivilaitteet [x] Matkaviestimet [ ] Sulautetut järjestelmät [ ] Muut Hyökkäystapa [X] Paikallisesti [X] Etäkäyttöisesti [X] Ilman käyttäjän toimenpiteitä [X] Ilman kirjautumista Hyväksikäyttö [X] Komentojen mielivaltainen suorittaminen [X] Käyttövaltuuksien laajentaminen [ ] Suojauksen läpäisy [X] Tietojen muokkaaminen [X] Luottamuksellisen tiedon hankkiminen [X] Palvelunestohyökkäys Ratkaisu [ ] Korjaava ohjelmistopäivitys [X] Ongelman rajoittaminen [ ] Ei päivitystä tai rajoitusmenetelmää 8
Haavoittuvuustutkimuksen tulevaisuus on Oulussa? Jo tänään? lähde: OUSPG 9
Month of Kernel Bugs - MoKB # MOKB-01-11-2006 MOKB-02-11-2006 MOKB-03-11-2006 MOKB-04-11-2006 MOKB-05-11-2006 MOKB-06-11-2006 MOKB-07-11-2006 MOKB-08-11-2006 MOKB-09-11-2006 MOKB-10-11-2006 MOKB-11-11-2006 MOKB-12-11-2006 MOKB-13-11-2006 MOKB-14-11-2006 Title Apple Airport 802.11 Probe Response Kernel Memory Corruption Linux 2.6.x squashfs double free FreeBSD 6.1 UFS filesystem ffs_mountfs() integer overflow Solaris 10 UFS filesystem alloccgblk denial of service Linux 2.6.x ISO9660 find_get_block_slow() denial of service Microsoft Windows kernel GDI local privilege escalation Linux 2.6.x zlib_inflate memory corruption FreeBSD 6.1 UFS filesystem ffs_rdextattr() integer overflow Mac OS X fpathconf() syscall denial of service Linux 2.6.x ext3fs_dirhash denial of service Broadcom Wireless Driver Probe Response SSID Overflow Linux 2.6.x ext2_check_page denial of service D-Link DWL-G132 Wireless Driver Beacon Rates Overflow Linux 2.6.x SELinux superblock_doinit denial of service Affected systems Mac OS X with Apple Airport 802.11 (Orinoco-based) Linux 2.6.x squashfs FreeBSD 6.1 (STABLE) and probably 7 (HEAD) SunOS 5.10 Generic_118855-19 and previous (not verified). Linux kernel 2.6.18 and previous (2.6.x). Probably 2.4.x (not verified). Microsoft Windows 2000 SP0-SP4, XP SP0-SP2. Linux kernel 2.6.18 and previous (2.6.x). FreeBSD 6.1 (STABLE) and probably 7 (HEAD) Mac OS X 10.3.x, 10.4.x. Linux kernel 2.6.18 and previous (2.6.x). Unpatched BCMWL5.SYS (ex. version 3.50.21.10) Linux kernel 2.6.18 and previous (2.6.x). Unpatched A5AGU.SYS (ex. version 1.0.1.41, DWL-G132 driver) Linux kernel 2.6.18 and previous (2.6.x). References CVE-2006-5710 CVE-2006-5701 CVE-2006-5679 CVE-2006-5726 CVE-2006-5757 CVE-2006-5758 CVE-2006-5823 CVE-2006-5824 CVE-NO-NAME CVE-NO-NAME CVE-NO-NAME CVE-NO-NAME CVE-NO-NAME CVE-NO-NAME lähde: http://projects.info-pull.com/mokb/ 10
Joko päivitit? (Microsoftin päivitysjulkaisut 14.11.2006) lähde: http://isc.sans.org/ 11
Ajankohtaista Phishing Botnetit Haxdoor
Phishing taipuu jo suomalaisenkin suuhun.. 13
Onnistunut phishing-huijaus on monimutkainen operaatio Hyökkääjä ei halua paljastaa omaa identiteettiään, joten hän pyrkii piiloutumaan. Ensiksi, hän perustaa oman hallintapalvelimen. CONTROLLER 14
Onnistunut phishing-huijaus on monimutkainen operaatio Hyökkääjä ei halua paljastaa omaa identiteettiään, joten hän pyrkii piiloutumaan. Ensiksi, hän perustaa oman hallintapalvelimen. Seuraavaksi, hän murtautuu usean kotikäyttäjän tietokoneisiin käyttäen tunnettua haavoittuvuutta. Nyt hän voi hallita tietokonejoukkoa (BOTNET). SLAVES CONTROLLER 15
Onnistunut phishing-huijaus on monimutkainen operaatio Yleisiä käyttökohteita bot-verkoille sähköpostin levitys (roskaposti, virukset, huijaukset) palvelunestohyökkäykset (tai niillä kiristäminen) phishing-huijaukset (viestit, palvelimet, tietojen keruu) sillanpääasemat ja ponnahduslaudat teollisuusvakoilu ja tiedustelu yleisesti arkaluontoisen tai laittoman tiedon jakelu kuuman tiedon välivarastointi tai julkaiseminen 16
Onnistunut phishing-huijaus on monimutkainen operaatio Bot-verkkoa käytetään houkutusviestien lähettämiseen SLAVES CONTROLLER 17
Tietojen urkkiminen käyttämällä tekaistua www-sivustoa www.paypal.com user@domain.com mysecretpassword FAKE www.paypal.com Huijauspalvelin X Tietojen kerääminen Käyttäjät huijataan väärälle sivustolle esim. roskapostissa olevalla linkillä 18
Phishingistä Pharmingiin 19
Tietojen vakoileminen aitoa www-sivustoa käytettäessä Koontipalvelin www.paypal.com www.paypal.com user@domain.com mysecretpassword Haxdoor vakoilee käyttäjän näppäilyjä Käyttäjä kirjautuu aitoon palveluun ja käyttää sitä 20
Tietojen vakoileminen aitoa www-sivustoa käytettäessä Kredentiaalien urkkimisesta ollaan siirtymässä sessioiden kaappaamiseen 21
Tietoturvan lääkehylly 1. Riskienhallinnan kontrollikori ehkäisevät kontrollit havaitsevat kontrollit vahinkoa rajaavat kontrollit topimusta edistävät kontrollit 2. Suojattavan edun määritteleminen Luottamuksellisuus Eheys Saatavuus 3. Minimikäyttövaltuusperiaate 4. Kolmen A:n periaate Todentaminen Valtuuttaminen Käytön valvonta KISS 22
Suositeltavaa lukemista 23
Puhelin: +358 (0)9 6966510 Sähköposti: WWW: CERT@FICORA.fi www.cert.fi CERT-FI:n julkiset varoitukset voi lukea: Sähköpostitse hälytyspalveluna SMS-hälytyspalveluna (maksullinen) CERT-FI:n WWW-sivuilta RSS-uutispalveluna Teksti-tv:n sivulta 848