 |
| Etusivu |  |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
Tietoturvakatsaus 1/20063.4.2006Vuosineljänneksen lopussa uhkatasoa nostivat haavoittuvuuslöydöt www-selainohjelmistoista. Haavoittuvuuksia käytettiin myös tehokkaasti hyväksi, esimerkiksi botnet-haittaohjelmien asentamiseen kotikäyttäjien tietokoneisiin. Nykyaikainen www-selainohjelmisto on erittäin monimutkainen ja laaja kokonaisuus, joka on jo ohjelmakoodikokonsa takia altis ohjelmointivirheille. Yleisimpänä yksittäisenä sovellusten käyttöliittymänä selain on kohteena aktiiviselle haavoittuvuustutkimukselle ja haittaohjelmakehitykselle. Nordean verkkopankkiasiakkaisiin kohdistunut phishing-huijaussarja jatkui vielä tammikuussa, jonka jälkeen muita vastaavia yrityksiä ei raportoitu. Maailmanlaajuisesti tarkasteltuna phishing-huijaukset ovat edelleen kehittyvä ilmiö. Applen Mac OS X ‑käyttöjärjestelmälle julkistettiin vuosineljänneksen aikana kolme merkittävää tietoturvapäivitystä. Ensimmäisiä Apple-ympäristön haavoittuvuuksia hyödyntäviä esimerkinomaisia haittaohjelmia on raportoitu. Mac OS X ‑käyttöjärjestelmän tietoturvan ylläpito vaatii jatkuvaa päivitystoimintaa muiden käyttöjärjestelmien tapaan. OhjelmistohaavoittuvuudetWindows Metafile ‑kuvaformaatiin (WMF) käsittelyyn liittyvä haitallisesti hyödynnettävä ominaisuus aktivoi haittaohjelmakirjoittajat vuoden vaihteessa. Ensimmäiset haavoittuvuutta hyödyntävät haittaohjelmat laskettiin liikkeelle ennen kuin ohjelmistovalmistaja oli ehtinyt julkistaa ohjelmistokorjauksen. Haavoittuvuus koski kaikkia Windows-käyttöjärjestelmän versioita. Uusia WMF-haavoittuvuutta hyödyntäviä haittaohjelmia laaditaan edelleen, vaikka haavoittuvuudelle on ollut saatavissa ohjelmistokorjaus vuoden alusta alkaen. Ilmeisesti internet-verkkoon on kytketty edelleen suuri määrä päivittämättömiä tietojärjestelmiä, joissa haavoittuvuutta voidaan hyödyntää. Www-selainohjelmisto on yleisin käyttöliittymä internet-palveluihin. Samaa selainohjelmistoa käytetään usein myös yrityksen sisäisten palvelujen käyttöliittymänä. Erityisen vaarallisia ovat selainohjelmiston haavoittuvuudet, jotka mahdollistavat hyökkääjän oman ohjelmakoodin suorittamisen. Tyypillisesti haavoittuvuuden hyödyntämiseen riittää vierailu haavoittuvalla selainohjelmistolla haittatarkoituksessa laaditulla www-sivustolla. Maaliskuun lopulla Internet Explorer ‑selaimesta löydettiin neljä haavoittuvuutta. Näistä yhtä hyödynnettiin välittömästi sijoittamalla haitallista ohjelmakoodia sadoille www-sivustoille. Katsauksen julkaisuhetkellä haavoittuvuudet korjaavaa päivitystä ei ole vielä julkistettu. Apple julkaisi kolme merkittävää tietoturvapäivitystä Mac OS X ‑käyttöjärjestelmälle. Applen Safari-selainohjelmistossa ja Mail-sähköpostiohjelmistossa havaittiin helposti hyödynnettäviä haavoittuvuuksia. Näyttää ilmeiseltä, että Apple tietojärjestelmäympäristönä on osoittautumassa aiempaa kiinnostavammaksi haittaohjelmakirjoittajien ja haavoittuvuustutkijoiden kannalta. Phishing-huijauksetPhishingillä tarkoitetaan käyttäjien sähköisen identiteetin (käyttäjätunnukset, henkilötiedot) hankkimista hyökkääjän haltuun. Hyökkäykset toteutetaan tyypillisesti vaikuttamalla verkkopalvelun käyttäjän hyväuskoisuuteen tai auttamishaluun. Toisen henkilön sähköisen identiteetin kaappaamisesta pyritään hyötymään taloudellisesti. Nordean verkkopankin asiakkaisiin kohdistuneet phishing-huijaukset jatkuivat tammikuussa. Kyseinen huijaussarja on toistaiseksi merkittävin, joka on kohdistunut suomalaisiin taloudellista tietoa käsitteleviin internet-palveluihin. Kansainvälisesti tarkasteltuna phishing-toiminta laajenee jatkuvasti voimakkaasti. Kansainvälinen phishing-ilmiötä seuraava ryhmä, Anti-Phishing Working Group (APWG) raportoi tuoreimpien tammikuun tilastojen mukaan väärennettyjen www-sivustojen määrässä huomattavaa, jopa yli 30% kasvua. APWG:lle raportoitiin tammikuussa 9715 eri väärennettyä sivustoa. Phishing-ilmiö ei kosketa pelkästään pankkeja. Phishing-huijaajia kiinnostavat kaikki sähköiset identiteetit eri järjestelmiin. Yhdysvalloissa erityisesti veroviranomaisten verkkopalveluun ja muihin julkisiin asiointipalveluihin kohdistuneet phishing-hyökkäykset ovat lisääntyneet selvästi. APWG:n tietojen mukaan tietokoneen näppäimistöllä kirjoitetun tekstin kaappaaminen ja edelleenvälitys erityisen niin sanotun keylogger-haittaohjelman avustuksella on yleistymässä phishing-hyökkäysmenetelmänä. Botnet-haittaohjelmatHaittaohjelmilla saastutettujen tietokoneverkkojen käyttö on jo merkittävässä määrin ammattimaista toimintaa. Suurinta osaa saastuneista tietokoneista käytetään esimerkiksi mainosohjelmien asentamiseen saastuneelle koneelle, niin kutsuttuihin pay-per-click‑petoksiin, phishing-huijauksiin tai palvelunestohyökkäyksillä kiristämiseen. Tietojen varastaminen on nousemassa merkittäväksi käyttötarkoitukseksi. Haittaohjelmien rakenne on myös monimutkaistunut huomattavasti aikaisempaan verrattuna. Analysointia vaikeuttaakseen haittaohjelmakirjoittajat käyttävät yhä useammin haittaohjelmaverkon komentamiseen salattua komentokanavaa. Bot-verkon ylläpidossa käytetään muokattuja ja suojattuja palvelinohjelmistoja. Myös itse haittaohjelman koodirakennetta suojataan yhä useammin erilaisilla salausmenetelmillä ja niin sanotuilla loogisilla pommeilla. Haittaohjelman saastuttama kone halutaan nykyään pitää pidempään hyökkääjän hallinnassa. Tätä tavoitetta edistääkseen yhä useammin haittaohjelma hakee ja asentaa saastuttamalleen koneelle rootkit-ohjelmiston, jonka avulla hyökkääjä voi peittää haittaohjelman ja sen toiminnan aiheuttamat jäljet järjestelmässä. Rootkit-ohjelmiston avulla hyökkääjä voi piilottaa haluamansa prosessit pois turvaohjelmien ja käyttäjän näkyvistä. Rootkitin avulla on myös mahdollista käyttää tietokoneen verkkoyhteyttä ilman, että käyttäjä tai koneella mahdollisesti asennettuna oleva palomuuri havaitsee liikennettä. Kohdistetut hyökkäyksetInternet-nimipalvelujärjestelmä (DNS) tarjoaa maailmanlaajuisen hajautetun osoitetietokannan verkkotunnusten ja osoitteiden välisiä muunnoksia varten. Järjestelmään liitettyjä, liian avoimeksi määriteltyjä nimipalvelimia voidaan käyttää palvelunestoon tähtäävän haittaliikenteen tuottamiseen. Väärennetyllä lähdeosoitteella varustettu ja tietyllä tavalla muotoiltuun tietueeseen kohdistettu kysely tuottaa kyselyviestiä huomattavasti suuremman vastaussanoman. Lähettämällä pyyntö suurelle joukolle rekursiivisen kyselyliikenteen sallivia nimipalvelimia, saadaan aikaan väärennettyyn osoitteeseen huomattava määrä ei-toivottua vastaussanomaliikennettä. Järjestelmäylläpitäjien tulisikin huolehtia, että nimipalvelimet eivät vastaa oman palvelualueen ulkopuolelta tuleviin rekursiivisiin kyselyihin. Asiasta on ensimmäisen kerran raportoitu CERT/CC:n raportissa vuonna 2000. PHP-skriptikielellä toteutetut verkkopalvelut ovat suosittuja tietoturvahyökkäysten kohteita. Suosion syynä ovat hyökkäystyökalujen helppokäyttöisyys sekä hyökkäysten kohteena olevien www-palvelimien suhteellisen suuri verkkokapasiteetti. Havaitut haavoittuvuudet eivät tyypillisesti ole johtuneet itse PHP-kielen turvattomuudesta. Ongelmat ovat yleensä löytyneet PHP-sovellusten ohjelmointivirheistä tai PHP-pohjaisten sovellusten käyttämistä oheisohjelmistokirjastoista. Alkuvuodesta murtauduttiin useisiin suomalaisiin PHPbb-keskustelufoorumeihin, muuttaen etusivu uskonnollissävytteiseksi propagandaksi. Murtoketjulla on yhteys Tanskan pilakuvatapaukseen. Mikään ei viittaa siihen, että hyökkäykset olisi erityisesti kohdistettu suomalaisiin keskustelufoorumeihin. Murtojen yhteydessä töhrittiin tuhansien PHPbb-keskustelupalvelimien sivustoja kaikkialla maailmassa. Yleisin Unix-tyyppisiin tietojärjestelmiin kohdistuva hyökkäysmenetelmä on pääkäyttäjän käyttäjätunnuksen salasanan murtoyritys käyttäen SSH-suojattua pääteyhteyttä ja laajaa yleisimpien salasanojen luetteloa. Usein murtoyritykset voivat jatkua pitkäänkin, mikäli hyökkäyksen kohteena olevan tietojärjestelmän ylläpito ei aktiivisesti seuraa epätavallisia sisäänkirjautumisyrityksiä järjestelmän lokitiedostoista. Vika- ja häiriötilanteetAlkuvuoden aikana IP-runkoverkoissa oli muutama merkittävä vikatilanne, jotka vaikuttivat näihin verkkoihin pohjautuvien viestintäpalvelujen toimivuuteen. Lisäksi helmikuun alussa oli yksi vakava sähköpostipalvelua koskeva vikatilanne, joka vaikutti suureen määrään suomalaisia sähköpostiasiakkaita. Palvelutuotannon keskittyessä käytettävyyden varmistamiseen tulee kiinnittää erityistä huomiota, esimerkiksi kriittisiä palveluja hajauttamalla. Tulevaisuuden näkymätSelainohjelmistot tulevat pysymään haavoittuvuustutkijoiden ja haittaohjelmia laativien tahojen huomion keskipisteessä. Erityisen haasteellisia ovat tilanteet, joissa tietoa haavoittuvuudesta ei ensiksi toimiteta luottamuksellisesti ohjelmistovalmistajan tietoon asianmukaisen ohjelmistokorjauksen laatimista varten. Haavoittuvuusinformaation ja jopa haavoittuvuuksien hyödyntämismenetelmien myyminen kauppatavarana näyttää yleistyvän. Haittaohjelmien tehokas piiloutuminen käyttäen esimerkiksi rootkit-tekniikoita on selvästi voimistuva ilmiö. Rootkit-ohjelmistojen ominaisuuksia kehitetään jatkuvasti.
|
|
