 |
| Etusivu |  |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
Vuosikatsaus 200530.1.2006Vuonna 2005 tietoturvaloukkausten tavoitteena oli yhä useammin taloudellinen hyöty ja kohteena tietoturvallisuuden heikoin lenkki, tietokonetta käyttävä ihminen. Suomalaisen ja ruotsalaisen kielialueen aiemmin säästäneet phishing-huijaukset rantautuivat lokakuussa Suomeen. Phishingillä tarkoitetaan taloudellisesti hyödynnettävien tietojen, kuten henkilötietojen tai maksuvälinetietojen, hankkimista laittomiin käyttötarkoituksiin. Tyypillisessä phishing-huijauksessa pyritään siihen, että käyttäjä luovuttaa tiedot itse. Haittaohjelmat jatkoivat edelleen suojaamattomien internetiin kytkettyjen tietojärjestelmien valtaamista. Nykyaikaiset haittaohjelmat ovat etähallittavia ja ‑päivitettäviä. CERT-FI:n havaintojen mukaan etähallittavien eli bot-tyyppisten haittaohjelmien uhreina oli jatkuvasti satoja tai jopa tuhansia suomalaisia tietokoneita. Haltuunotettujen tietokoneiden sisältämät tiedot ja tietoliikenneyhteys alistetaan haitalliseen toimintaan bot-verkkojen eli robottiverkkojen osina. Maailmanlaajuisesti on raportoitu useita miljoonia uhreja. Palvelinjärjestelmien puolella laajimmin hyödynnetyt haavoittuvuudet löytyivät www-palveluissa yleisesti käytetystä PHP-tekniikasta tai sen avulla toteutetuista palvelinsovelluksista. CERT-FI saa myös edelleen ilmoituksia pääteyhteyspalvelimiin kohdistuneista automatisoiduista salasanojen arvausyrityksistä sekä tapauksista, joissa salasanoja on kerätty palvelimiin asennettujen troijalaisohjelmistojen avulla. Loppuvuonna useiden suomalaisorganisaatioiden suojaamattomia nimipalvelimia hyödynnettiin maailmanlaajuisen palvelunestohyökkäyksen toteuttamisessa. Varsinkin vuoden lopulla oli nähtävissä, että tietoturvallisuudesta on tullut median vakiouutisvirtaa ja että aihe myös kiinnostaa yleisöä. Laajakaistaliittymien yleistyessä internet ei enää ole pelkästään teknisesti edistyneiden käyttäjien etuoikeus. Tiedotuksella on keskeinen merkitys pyrittäessä kohentamaan kansalaisten valmiuksia tietoverkkojen turvalliseen käyttöön. Haavoittuvuuksien hyväksikäyttöElokuussa julkaistu Windows-käyttöjärjestelmän Universal Plug and Play ‑alijärjestelmän (uPnP) haavoittuvuus osoittautui vuoden laajimmin hyväksikäytetyksi. Verkkomadot saastuttivat tuhansia suomalaisten kotikäyttäjien tietokoneita ja aiheuttivat jo pelkällä leviämisellään eriasteisia toimintahäiriöitä lukuisille yritysverkoille. Toinen laajasti hyödynnetty Windows-haavoittuvuus perustui Windows Metafile ‑kuvaformaatista (WMF) löydettyyn suunnitteluvirheeseen. Ensimmäiset haavoittuvuutta hyödyntävät haittaohjelmat oli laskettu liikkeelle jo ennen kuin ohjelmistovalmistaja oli ehtinyt julkistaa korjausta. Haavoittuvuus altisti tietokoneiden käyttäjät haittaohjelmatartunnoille muun muassa www:n, sähköpostin, pikaviestimien ja vertaisverkkojen välityksellä. Ongelman laajuudesta kertoo sekin, että vika koski kaikkia Windows-versioita. Haavoittuvuuden hyväksikäyttö on toistaiseksi osoittautunut ennusteita vähäisemmäksi, vaikkakin laajaksi. Useimmille tutuista asiakasohjelmistoista, kuten www-selaimista, pikaviesti- ja internet-puheluohjelmistoista sekä multimediaohjelmista löytyi lukuisia tietoturvaongelmia. Pelkästään selainohjelmistoille julkaistiin useita kymmeniä tietoturvaongelmiin liittyviä korjauksia. Www-selainten heikkouksia onkin hyödynnetty jo usean vuoden ajan tietoliikennesuodatukset läpäisevänä ja muut tietoturvakontrollit kiertävänä hyökkäysreittinä. Samasta syystä pikaviestiohjelmat ja vertaisverkkoihin pohjautuvat sovellukset ovat haittaohjelmahyökkäysten laatijoiden kannalta merkittävä tutkimus- ja hyödyntämisalue. CERT-FI julkaisi vuoden aikana kaikkiaan 12 tiedotetta, joissa varoitettiin keskeisten valmistajien virustorjuntatuotteista löytyneistä haavoittuvuuksista. Useimmat haavoittuvuuksista koskivat tiedostopakkausten käsittelyä. CERT-FI:n tiedossa ei ole, että haavoittuvuuksia olisi käytetty tietokoneiden suojausten ohittamiseksi. Haavoittuvuuksien hyväksikäyttöä vaikeutti todennäköisesti se, että virustorjuntaohjelmistot päivittyvät yleensä automaattisesti ilman tietokoneen käyttäjän aktiivisia toimenpiteitä. Www-pohjaisten keskustelupalstojen ja blogien määrän kasvaessa yleistyvät myös niihin kohdistuvat tietoturvaloukkaukset. PHP-tekniikkaa käyttävistä järjestelmistä löytyneitä haavoittuvuuksia hyödynnettiin laajasti. CERT-FI julkaisi alkuvuonna suosittuun phpBB-ohjelmistoon liittyviä varoituksia ja seurasi XML-RPC-haavoittuvuuksien hyödyntämisyrityksiä. CERT-FI julkisti marraskuussa varoituksen lukuisista ISAKMP-protokollatoteutuksista löytyneistä haavoittuvuuksista. Haavoittuvuustutkimusta ja korjausten julkaisua oli koordinoitu lähes vuoden alusta asti luottamuksellisessa yhteistyössä kymmenien ohjelmistovalmistajien, haavoittuvuuksien tutkinnassa käytetyn testausjärjestelmän kehittäneen Oulun yliopiston OUSPG-ryhmän, CERT-FI:n ja isobritannialaisen NISCC:n kanssa. Haavoittuvien ohjelmisto- ja laitevalmistajien luetteloa on päivitetty useaan otteeseen alkuperäisen julkaisun jälkeen valmistajien julkistaessa uusia korjauspäivityksiä. CERT-FI:n tiedossa ei ole tapauksia, joissa julkistettuja haavoittuvuuksia olisi hyödynnetty onnistuneesti. Tammikuussa 2005 IP-verkkojen runkoreitittimissä käytetyistä ohjelmistoista löytyneet haavoittuvuudet kyettiin korjaamaan ja päivitykset asentamaan hyvissä ajoin ennen kuin vikaa hyödyntävää hyökkäystä ehdittiin käynnistämään. Luottamuksellinen yhteistyö ohjelmistovalmistajien, keskeisten turvallisuustoimijoiden ja teleyritysten välillä koettiin tärkeäksi ja tuotti tulosta. Haittaohjelmien kehitysHaittaohjelmien kehityksen painopiste on siirtynyt yhä enemmän perinteisistä virus- ja matotyyppisistä ohjelmista etähallittaviin ja ominaisuuksiltaan monipuolisiin bot-haittaohjelmiin. Bot-haittaohjelmia kirjoitetaan lähes yksinomaan Windows-alustoille, mitä ilmeisimmin käyttöjärjestelmän laajan levinneisyyden vuoksi. Phishing-huijausten, roskasähköpostien levityksen, vakoiluohjelmistojen ja palvelunestohyökkäysten taustalta löytyy lähes poikkeuksetta bot-tekniikoilla hallittuja haittaohjelmia. Yksi osuva esimerkki ilmiön mittasuhteista on lokakuinen Alankomaissa julkistettu kolmen henkilön pidätys. Kyseiset henkilöt pitivät hallussaan varovaisten arvioiden mukaan 1,5 miljoonan Toxbot-haittaohjelmalla saastuneen tietojärjestelmän verkostoa. Haittaohjelmien hyödyntämiseen liittyvä toiminta on ammattimaista ja osoittaa selviä järjestäytyneisyyden merkkejä. Toiminnassa on mukana omaan tehtäväänsä erikoistuneita henkilöitä eri tasoilla: haavoittuvuustutkijoita, haittaohjelmakirjoittajia, bot-verkkojen ylläpitäjiä ja toiminnasta saadun taloudellisen hyödyn edelleenvälittäjiä. On olemassa näyttöä siitä, että haittaohjelmistojen vakiotoiminnallisuuksiin kuuluu yhä useammin kyky piiloutua tietokoneen käyttäjiltä ja virustorjuntaohjelmistolta. Vuoden kuluessa havaittiin laajalle levinneitä haittaohjelmia, joista julkaistiin uusia muunnelmia pahimmillaan useita kertoja vuorokaudessa. Versioinnin nimenomaisena tarkoituksena oli pitää uhrien koneita suojaavat torjuntaohjelmistot askeleen haittaohjelmien jäljessä. Muita piiloutumistapoja ovat turvaohjelmiston turmeleminen toimintakyvyttömäksi sekä ohjelman toiminnan piilottaminen ns. rootkit-tekniikoiden avulla. Matkaviestimille kirjoitetut haittaohjelmat eivät aiheuttaneet merkittäviä tietoturvaongelmia vuonna 2005. Huomionarvoista oli haittaohjelmien kyky monikanavaiseen leviämiseen lyhyen kantaman bluetooth-radioyhteyden ja multimediaviestien välityksellä. Epidemiavaaraa on toistaiseksi hillinnyt se, että kaikkien tunnettujen haittaohjelmien asentuminen edellyttää puhelimen käyttäjältä myöntävää vastausta asennuskyselyyn. Bluetooth-leviäminen on tehokkainta massatilaisuuksissa, kuten havaittiin elokuussa Helsingissä järjestettyjen yleisurheilun maailmanmestaruuskisojen aikana. Tuolloin CERT-FI:n tietoon saatettiin parikymmentä tartuntatapausta. Phishing-huijausten maihinnousu SuomeenPhishing-ilmiön leviämistä englanninkielisistä maista pienemmille kielialueille ennakoitiin CERT-FI:n tilannekatsauksessa 3/2005 huijausten levittyä saksankieliselle kielialueelle. Vuoden 2005 viimeisellä neljänneksellä ilmiö levisi myös pohjoismaihin. Ensimmäinen suomalaisiin verkkopankkiasiakkaisiin kohdistettu phishing-hyökkäys käynnistyi lokakuun lopussa. Lisää vastaavantyyppisiä hyökkäyksiä nähtiin vielä kolmeen otteeseen marras- ja joulukuun aikana. Ensimmäisissä hyökkäyksissä käytettiin englanninkielisiä roskasähköpostiviestejä, mutta viestien kieli vaihtui myöhemmin kankeaksi suomeksi. Viestien määrä yksittäistä huijauskampanjaa kohti oli arviolta vähintään 500 000 ja käyttäjätunnusten keräilyyn käytetyt sivustot oli hajautettu murrettuihin www-palvelimiin ympäri maailmaa. Toistaiseksi suomalaiset pankit ja maksuvälinetietoja internet-palveluissa käsittelevät yhtiöt eivät ole laajemmin joutuneet vastaavanlaisten huijausten kohteeksi. Kohdistetut hyökkäyksetCERT-FI:lle ilmoitetut suomalaisiin organisaatioihin kohdistetut tietomurrot eivät lisääntyneet viime vuonna. Tiedonhankinnassa käytettiin aikaisempia vuosia enemmän kohdetta varten räätälöityjä haittaohjelmia, joita lähetettiin kohdeorganisaation käyttäjille sähköpostin liitetiedostoina. Vaihtoehtoinen tunkeutumistapa yksittäisen organisaation sisäverkon työasemaan oli houkutella käyttäjä tietylle www-sivustolle, jonka kautta asennettiin haittaohjelmia työasemassa olleita heikkouksia hyväksikäyttämällä. Maailmalla raportoitiin aikaisempien vuosien tavoin lukuisista tietomurtotapauksista, joissa hyökkääjä sai haltuunsa muun muassa suuria määriä luottokorttinumeroita, käyttäjätunnuksia tai muita henkilötunnisteita, myös suomalaisten henkilöiden tietoja. Tiedot oli saatu huijaamalla ne käyttäjiltä itseltään, varastamalla tietokoneelle asennetun vakoiluohjelman avulla tai murtautumalla kauppapalvelun tai maksunvälittäjän tietokantaan. CERT-FI:n tietoon saatetut suomalaisiin organisaatioihin kohdistuneet palvelunestohyökkäykset on suunnattu etupäässä www- ja irc-palveluihin. Maailmanlaajuiseen tilanteeseen verrattuna hyökkäysten määrä ja koko sekä aiheutetut vahingot ovat olleet vaatimattomia. Loppuvuonna nähtiin viitteitä maailmanlaajuisesta palvelunestohyökkäyksestä, jossa käytettiin hyödyksi nimenselvitykseen käytettyjen DNS-palvelinten avoimuutta sekä laajakaistaverkkojen puutteellista suojaa väärennettyjen osoitteiden käyttöä vastaan. Vaikka hyökkäykset eivät varsinaisesti kohdistuneet Suomeen, myös useita suomalaisia nimipalvelimia käytettiin hyökkäyksen vahvistamiseen. Hyökkäyksessä käytettiin yli viisi vuotta aiemmin raportoitua, mutta edelleen ajankohtaista DNS-järjestelmän heikkoutta. CERT-FI ja teleyritykset välittivät ilmoituksia ja suojautumisohjeita tiedoksi nimipalvelinten ylläpitäjille. Vika- ja häiriötilanteetVuoden merkittävimmät puheenvälitykseen käytettyjen viestintäverkkojen vikatilanteet liittyivät haja-asutusalueiden varmistamattomien runkoverkkoyhteyksien katkoksiin sekä vaikeista sääolosuhteista johtuneiden pitkäkestoisten alueellisten sähkökatkosten aiheuttamiin ongelmiin. IP-pohjaisten suurikapasiteettisten runkoverkkojen häiriöt aiheuttivat erityisesti tammi- ja helmikuussa yhteyskatkoksia, joiden vaikutus tuntui laajoilla maantieteellisillä alueilla. Vaikutukset koskivat etupäässä dataliikennettä. Häiriöiden aiheuttajia olivat yleensä olleet muutostöiden yhteydessä käyttöön otetut virheelliset verkkomääritykset, ohjelmistovirheet tai näiden yhteisvaikutus. Myös laiterikkojen aiheuttamia merkittäviä tietoliikennehäiriöitä raportoitiin. Tulevaisuuden näkymätTietokoneen sijasta sen käyttäjään kohdistuvat tietoturvaloukkaukset jatkuvat alkaneena vuonna. Huijauskirjeet tehdään entistä vakuuttavamman näköisiksi. Onnistuneiden huijausten toteuttaminen ei ole toistaiseksi edellyttänyt järin edistyksellistä tekniikkaa. Kansainvälisen maksunvälityksen nopeutuminen ja sähköisen laskutuksen lisääntyminen rohkaisee myös tietoteknisesti toteutettaviin väärinkäytöksiin. Pankkipalveluiden ohella huijauksille ovat alttiita myös sellaiset sähköiset asiointipalvelut, joissa käsitellään maksuvälinetietoja tai muita taloudellisesti hyödynnettäviä tietoja. Suunnitelmalliset hyökkäykset toteutetaan jatkossakin etupäässä Suomen rajojen ulkopuolella sijaitsevien tietojärjestelmien kautta. Tällä pyritään osaltaan vaikeuttamaan tapausten selvittämistä. CERT-FI jatkaa jo ennestään kattavan kansallisen ja kansainvälisen yhteistyöverkoston kehittämistä. Laajakaistayhteyksien määrän voimakas kasvu korostaa automatisoitujen tietoturvaprosessien merkitystä verkonhallinnassa. Tarkoituksenmukaisten suojautumistoimenpiteiden opastaminen asiakkaalle jo ennen palvelun toimittamista on erityisen tärkeää tietoturvauhkien kohdistuessa nimenomaan loppukäyttäjiin. Uudet käyttöjärjestelmät ovat jatkossa turvallisempia käyttöoikeusrajoitusten ja muiden valmiina tulevien tietoturvaominaisuuksien osalta. Tästä syystä haittaohjelmat keskittynevät käyttäjän huijaamisen lisäksi hyödyntämään tietoliikennesuojaukset läpäisevistä sovelluksista löytyviä ohjelmistohaavoittuvuuksia. Tällaisia sovelluksia voivat olla selainten ja pikaviestinten lisäksi tiedostonjako-ohjelmat sekä vertaisverkkotekniikkaa hyödyntävät ohjelmistot. Suositeltavaa olisikin, että bot-haittaohjelmien toimintaa vaikeutettaisiin rajoittamalla tietojärjestelmistä ulos lähtevää tietoliikennettä. Samalla myös kyky haittaohjelmien havaitsemiseen paranisi. Viestintävirasto antoi vuoden lopussa määräyksen 13/2005 internet-yhteyspalvelujen tietoturvasta ja toimivuudesta. Määräys ja sitä tukeva suositus selkiyttävät internet-palveluntarjoajien oikeuksia ja velvollisuuksia palvelujen tietoturvasta huolehtimiseksi. Määräykseen on kirjattu verkkoturvallisuuden parhaita käytäntöjä. Liittymän toimitusvaiheen tietoturvallisuusasioihin on kiinnitetty erityistä huomiota. Määräys täydentää jo aiemmin julkaistua sähköpostijärjestelmien turvallisuutta koskevaa määräystä 11/2004. Sääntelyllä halutaan varmistaa, että suomalaisten viestintäpalveluiden tietoturvallisuus on jatkossakin kansainvälistä huipputasoa.
|
|
