CERT-FI Tietoturvakatsaus 2010-10-11 TIVA-seminaari, Oulu Jussi Eronen Tietoturva-asiantuntija CERT-FI
CERT-FI kansallinen CERT-viranomainen ted Coordina CERT == Computer Emergency Response Team koordinoitua tietoturvaloukkausten käsittelyä vaste usein reaktiivista jonkin herätteen pohjalta aktiivista tiedonhankintaa luottamuksellinen tietoturvauhkiin liittyvän ennakkotiedon käsittely ja välittäminen tietoturvallisuuden tilannekuva CERT ei ole virustorjuntayhtiö haavoittuvuustestaaja esitutkintaviranomainen organisaation tietoturvavastuullinen
CERT-FI:n rahoituspohja ja asiakaskunta jne... % ~1,2 M /a 75 25 % Teleyritykset + Rahoitus pa ITlu l ve je n ta Palvelut a rjo jat Kansalaiset (& valtionhallinto) Kriittinen infrastruktuuri Energia Finanssi Logistiikka Perusteollisuus
Viranomaisten vastuualueet Kansallinen POC (Point Of Contact) Tiedon edelleen jakelu Uhrien palveluntarjoajien kontaktointi Muiden viranomaisten tukeminen Rekisterinpitäjien valvonta Lausunnot Tuomioistuinlaitos Ennalta ehkäiseminen Selvittäminen Syyteharkintaan saattaminen
Tiedonsaantikanavat CERT FI:n tiedonsaantikanavat SVTsL 21 nojalla tehdyt ilmoitukset Oma tiedonhankinta Julkiset lähteet Muut lähteet Yhteistyöverkosto SVTsL 33
Tiedon jakelu CERT FI:n tiedonjakelukanavat Teleyritykset Kansainvälinen yhteistyöverkosto Yksityishenkilöt Valtionhallinto 24/7 Tietoturvalouk kausten uhrit Poliisi Finanssi CIP toimijat Energia TSV Logistiikka Teollisuus
Tilannekuvapalvelut 2010 Julkiset tiedotteet yhteensä 159 kpl Kohdennetut tiedotteet 1 79 274 FI-CIP 76 FI-NSP (ISP) +24 FI-HOSTING +1 FI-FINANSSI +23 FI-ENERGIA +21 FI-LOGISTIIKKA +1 FI-TEOLLISUUS +3 FI-GOVCERT +8 FI-VENDORS +2 FI-ICS ajalla 1.1.2010 26.10.2010
Palvelukuvaus
Suomessa on maailman PUHTAIMMAT verkot Häh?!
Finnish Networks and Other Assets By Finnish networks we mean: Autonomous Systems in Finnish soil, operated or owned by Finnish organisations or otherwise important to Finnish interests. Domains under.fi and.ax DNS root Public telephone networks with +358 prefix Other networks operated or owned by Finnish organisations By Finnish network services we mean: Services located in Finnish networks Services operated or owned by Finnish organisations Other assets we consider Finnish Finnish Credit Card Prefixes Bank Account Numbers Finnish Brand Names ; ; ; ; ; ; ; ; FI-ASNs / compiled 2006-12-14-1600 / kh This is a list of Autonomous System Numbers rel Finnish organisations. As a national CSIRT for act as a proxy in case some of these organisati contacted in timely and/or confidential manner. 375 EU TIETOTIE-AS Finnish State Comp 544 EU SONERA-FUNET-TRANSIT Sonera Co 565 EU Technical Research Centre of F 719 FI ELISA-AS Elisa Oyj 761 EU TIETORAITTI-AS Seinajoen Tieto 764 EU FI-PMO-AS Prime Minister_s Off 790 EU EUNETFI EUnet Finland 1234 EU FORTUM-AS Fortum 1248 EU NOKIANET_ESPOO NOKIANET HQ aut 1342 EU Fujitsu Invia Finland IP-netwo 1732 FI MIKROK-AS Mikrokonsultit Oy 1738 EU OKOBANK-AS OKOBANK - Departmen 1739 EU TUTNET TUT Autonomous system 1741 EU FUNETAS FUNET autonomous syste 1748 EU FINNAIR-AS FINNAIR 1759 FI SONERA-TRANSIT-AS Sonera 1780 EU VALNET Valmet Corporation 1923 EU Tampere Telelphone Company 1926 EU UTANET-AS University of Tamper 2016 EU OTANET Otaniemi Science Park 2112 EU VALIODATA ValioData Oy 3222 EU CORENETFI Corenet Oy 3238 EU ALCOM Alands Datakommunikation 3246 EU TDCSONG TDC Song 3274 EU CYGATE Cygate Oy 3336 FI ELISA-AS Elisa Oyj 4457 EU NESTE-NET NESTE Corporation 4458 EU CCNET CarelComp Oy 4588 EU FINNPAP-MRS FinnPap 5420 EU KemNet Autonomous system 5469 EU AGNET A. Ahlstrom Corporate Gl 5473 EU SONERA-MEDIA-LAB Medialaborato 5487 FI Elisa Oyj 5515 FI SONERA-GLOBAL-IP Sonera Soluti 5543 FI SVIANED BV 5574 FI SONG Song Networks Svenska AB 5575 FI TM-POP-FI 5589 FI 5590 FI 6667 FI EUNET-FINLAND EUnet Finland Ba 6766 FI Tampere City autonomous system 6781 FI Telecom Finland Oy 6793 FI TELIVO-AS Song Communications 8230Kansallinen FI tietoturvaviranomainen KCC Europe 8236 FI Telia Finland
Haittaohjelmatilanne suomalaisissa verkoissa 2006 2007 2008 2009 lähde: www.microsoft.com/sir
Haittaohjelmatilanne suomalaisissa verkoissa 2006 2007 Mostly harmless? 2008 2009 lähde: www.microsoft.com/sir
Ajankohtaista tietoturvarintamalla 13
Verkkosivujen töhrintä (Defacement) MIKÄ verkkosivujen sisältöjä (yleensä pelkkä etusivu) muokataan luvatta MIKSI kiusanteko henkilön/yhdistyksen/yrityksen mustamaalaaminen poliittisen/uskonnollisen sanoman levittäminen MITEN työkalupohjainen massamurtautuminen verkkopalvelimille palvelinohjelmistossa olevan haavoittuvuuden avulla sisältöjen luvaton muokkaaminen käyttäen verkkopalvelimen ylläpitokäyttöliittymää: arvaamalla tarvittava salasana kokeilemalla toisessa yhteydessä vuotanutta salasanaa käyttäen tietoja varastavan haittaohjelman nappaamaa salasanaa 14
Verkkosivujen töhrintä (Defacement)
SQL-injektio MIKÄ www-sivujen kautta päästään käsiksi kyseisen verkkopalvelun taustajärjestelmään ja tietovarastoon palvelinta ei siis murreta perinteisessä mielessä MIKSI tavoitteena muokata www-sivujen sisältöjä (esim. lisäämällä selainhaavoittuvuuksia hyväksikäyttävää koodia) taustajärjestelmässä olevien tietojen varastaminen (esim. verkkopalvelun käyttäjien yhteystietoja ja tunnussanoja) MITEN väärinkäytetään verkkopalvelun lomakejärjestelmää, foorumeita, hakukenttää tai esim. kirjautumisruutua hyökkääjä kokeilee odottamattomia syötteitä siinä toivossa, että syöte menee suodattamattomana taustajärjestelmään asti syöte räätälöidään esim. SQL-hakukomennoksi, joka saa taustajärjestelmän palauttamaan jotain mitä sen ei pitäisi 16
Tietoja varastavat haittaohjelmat MIKÄ tietokoneen taustalla pyörivä ohjelma joka seuraa esim. www- palveluihin syötettyjä tietoja tai näppäimistön painalluksia MIKSI tekijällä yleensä mielessä taloudellisen hyödyn tavoittelu esim. varastamalla pankkitunnuksia ja luottokorttitietoja tai kiristämällä varastetuilla verkkopelien käyttäjätunnuksilla MITEN tietoja varastavia haittaohjelmia levitetään esim.: roskapostin välityksellä www-selainten haavoittuvuuksia hyväksikäyttäen houkuttelemalla käyttäjä lataamaan koneelleen tarvittava lisäohjelma (esim. videopätkän katsomista varten) haittaohjelma lataa varastetut tiedot palvelimelle ( dropsite ) varastetut tiedot joko myydään eteenpäin tai niitä käytetään tekijän toimesta väärin 17
Tietoja varastavat haittaohjelmat / rooleja 18
Tietoja varastavat haittaohjelmat/prosessi 19
Tietoja varastavien haittaohjelmien suomalaiset uhrit ajalla 1.1.2008 30.8.2009
Tapausten ajallinen jakaantuminen Tapausten ajallinen jakautuminen 1400 1200 1000 800 1371 600 400 200 0 227 37 16 100 23 6 0 Q1 2008 Q2 2008 Q3 2008 Q4 2008 Q1 2009 Q2 2009 Q3 2009 Q4 2009
22
23
Hajautettu palvelunestohyökkäys (DDOS) MIKÄ ylikuormitetaan tietty verkkopalvelu turhilla kyselyillä verkkopalvelun palvelutaso laskee tai toiminta estyy kokonaan MIKSI kiusanteko tai kosto (esim. netissä ilkkuminen) rahallinen kiristys kilpailijan toiminnan vaikeuttaminen MITEN tarvitaan paljon hyökkäysvoimaa, joten hyökkäyksen taustalla on yleensä kaapattuja koneita ( bottiverkko ) hyökkäysaikaa myydään alamaailman foorumeilla palveluna hyökkääjän löytäminen vaikeaa koska hyökkääjän oma tietokone ei suoranaisesti osallistu itse hyökkäykseen 24
Kohdistettu hyökkäys MIKÄ tiettyä henkilöä tai yritystä vastaan tehty hyökkäys MIKSI tavoitteena päästä käsiksi henkilön tai yrityksen tietoihin MITEN sähköpostin välityksellä sähköposti lähetetään vain muutamalle avainhenkilölle (esim. toimitusjohtaja, talouspäällikkö tai suurlähettiläs) lähettäjäksi väärennetään vastaanottajan tuntema henkilö tai taho sähköpostin aiheeksi valitaan ajankohtainen aihe (esim. pörssiyhtiön osavuosikatsaus) sähköpostin liitteenä esim. Excel-taulukkoon tai PDF-/Officedokumenttiin upotettu, yleensä etähallittava, haittaohjelma USB-massamuistin avulla tiputetaan haittaohjelmalla saastunut USB-tikku esim. yrityksen parkkihalliin 25
Stuxnet Teknisesti kehittynein haittaohjelma Tarkasti kohdistettu tiettyä teollisuusautomaatiojärjestelmää vastaan Havaittiin kesäkuussa 2010, on ollut aktiivisena huomattavasti aikaisemmin Eniten tutkittu haittaohjelma, tullaan varmasti käyttämään mallisuorituksena tulevissa operaatioissa
Tapaus Stuxnetin käsittely Ensihavainto oli yhteistyökumppanin maininta VirusBlokAdan artikkelista Valtaosa tutkimustiedosta julkista Muutama rajoitetun jakelun selvitys Heinä-elokuussa tutkimuksen pääpaino virustorjuntayhtiöiden tekemässä Windows-analyysissä Syys-lokakuussa painotus siirtyi teollisuusautomaatioon perehtyneiden yritysten tekemään PLC-analyysiin Yhteistyö on voimaa Vanhoja kontakteja hyödynnettiin uusien luomiseen Suomea koskevia tietoja saatiin Symantecilta ja F- Securelta 27
Stuxnet ja Suomi 3 tunnistettua tapausta 1 heinäkuulta, 2 syyskuulta Perustuu Symantecin kaappaamaan komentoliikenteeseen CERT-FI on ollut yhteydessä asianomaisiin yrityksiin 28
Stuxnetin jälkeläiset Toimintaperiaatteesta tullaan ottamaan mallia Jakelukanavien hyväksikäyttö (alihankkijat, konsultit, tekninen tuki) Teknisistä ominaisuuksista tullaan ottamaan mallia Multimodaalinen leviäminen PLC-manipulointi Osaksi automaattisia haittaohjelma-alustoja shllnk-moduuli Metasploitissa 29
Suosituksia Teollisuusautomaatiojärjestelmät ovat hyökkäysten kohteena Ohjelmistojen ja laitteiden valmistajilla on suuri vastuu Ostajan pitää vaatia päivitysmahdollisuutta ja tietoturvakomponenttien sallimista Tunne järjestelmäsi, huomaa poikkeamat 30
Puhelin: +358 9 6966 510 Sähköposti: cert@ficora.fi www: www.cert.fi CERT-FI:n julkiset varoitukset voi lukea: Sähköpostitse hälytyspalveluna SMS-hälytyspalveluna (maksullinen) CERT-FI:n www-sivuilta RSS-uutispalveluna YLE:n teksti-tv:n sivulta 848