 |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
Tietoturvakatsaus 2/20063.7.2006Edellisen vuosineljänneksen lopussa löydettyjen www-selainohjelmistojen haavoittuvuuksien hyväksikäyttäminen jatkui toisella vuosineljänneksellä. Korjauksia Internet Explorer -selaimen haavoittuvuuksiin julkaistiin huhtikuun keskivaiheilla. Selainohjelmistojen haavoittuvuudet säilyivät edelleen yleisesti käytettynä keinona ottaa tietojärjestelmiä haltuun. CERT-FI sai useita ilmoituksia suomalaisissa verkoissa olleista murretuista palvelimista, joita käytettiin huijaustarkoituksiin (phishing). Huijaustapausten määrä ei ole välttämättä kasvanut, mutta phishingistä kärsivät yritykset ovat ryhtyneet aktiivisemmin raportoimaan tapauksista. Suomalaisiin Nordean verkkopankkiasiakkaisiin kohdistunut phishing-huijaussarja jatkui huhtikuun alussa. Muita suomalaisten verkkopankkien asiakkaisiin kohdistuneita huijausyrityksiä ei raportoitu toisen vuosineljänneksen aikana. OhjelmistohaavoittuvuudetEdellisen tarkastelukauden lopulla Internet Explorer ‑selaimesta löydettiin neljä haavoittuvuutta. Yhtä näistä haavoittuvuuksista hyödynnettiin välittömästi sijoittamalla haitallista ohjelmakoodia sadoille www-sivustoille. Microsoft julkaisi haavoittuvuudet korjaavan päivityksen 11.4.2006. Toisen vuosineljänneksen aikana Microsoft korjasi myös useita muita Internet Explorer -selainohjelmiston haavoittuvuuksia sekä Windows-käyttöjärjestelmän ja Office-ohjelmistojen haavoittuvuuksia. Tilannekatsauksen julkaisuun mennessä kaikkia tiedossa olevia Office-haavoittuvuuksia ei ole vielä korjattu ja niitä käytetään edelleen hyväksi. Tarkastelukauden aikana monista tietokantaohjelmistoista löydettiin useita kriittiseksi luokiteltavia haavoittuvuuksia. Useisiin yleisesti käytettyihin ohjelmistoihin julkaistiin korjaavia päivityksiä. Tietokantaohjelmien haavoittuvuudet voivat mahdollistaa pääsyn järjestelmiin, joihin on varastoitu luottamuksellista tietoa. Apple julkaisi useita tärkeitä tietoturvapäivityksiä Mac OS X ‑käyttöjärjestelmään. Korjatuista haavoittuvuuksista merkittävimmät mahdollistavat hyökkääjän oman ohjelmakoodin suorittamisen haavoittuvassa tietojärjestelmässä. Haavoittuvuuksia etsitään aktiivisesti myös muista kuin Windows-käyttöjärjestelmistä, ja on todennäköistä, että niitä myös käytetään laajemmin hyväksi. Mozilla-ohjelmistoista, kuten Firefox-selainohjelmistosta ja Thunderbird-sähköpostiohjelmasta löydettiin useita haavoittuvuuksia, joista monet olivat vakavia. Ohjelmistoihin julkaistiin myös korjaukset. Sendmail -sähköpostiohjelmistosta löydettiin signaloinnin käsittelyyn liittyvä haavoittuvuus, joka muodosti vakavan uhkan sähköpostijärjestelmien tietoturvalle. Haavoittuvuuden hyväksikäyttö on kuitenkin teknisesti niin vaikeaa, että hyökkäystyökalua ei ole julkaistu. Haavoittuviksi osoittautuivat myös Microsoft Exchange -sähköpostipalvelinohjelmiston iCal- ja vCal-kalenteritietoja käsittelevät komponentit. Eri kuvaformaattien käsittelyyn liittyviä haavoittuvuuksia löytyi huomattava määrä. Vanhemmat Windows-versiot saivat korjaukset alkuvuoden WMF-haavoittuvuuksiin. Phishing-huijauksetCERT-FI sai useita ilmoituksia suomalaisissa verkoissa olleista murretuista palvelimista, joita käytettiin huijaustarkoituksiin (phishing). Suomalaisia palvelimia käyttäneet huijaukset ovat kohdistuneet ulkomaisten verkkopalveluiden käyttäjiin. Tutkittuja huijaustapauksia on yhdistänyt se, että huijaussivustot on perustettu murtautumalla palvelimille, joihin on asennettu Horde-palvelu. Horde on palvelinohjelmisto, jonka avulla voi rakentaa www-selaimella käytettävän sähköpostipalvelun. Myös PHP-skriptikielellä toteutetut verkkopalvelut ovat olleet edelleen suosittuja tietoturvahyökkäysten kohteita. CERT-FI:n havaintojen mukaan useiden www-palvelimilla käytettyjen sovellusten ongelmana on säännöllisen ylläpidon ja päivitysrutiinien puute, jolloin ne ovat hyökkääjälle helppoja kohteita. Tarkastelukauden alussa Nordean suomalaisiin verkkopankin asiakkaisiin kohdistui uusi phishing-huijauskampanja. Huijausyrityksessä käytettiin jälleen englanninkielisiä roskasähköpostiviestejä. Myös Nordean ruotsalaisiin asiakkaisiin kohdistui phishing-huijauskampanja toukokuun alkupuolella. Kyseisessä hyökkäyksessä käytettiin huonolla ruotsinkielellä kirjoitettuja roskasähköpostiviestejä. Näiden hyökkäysten tekijät eivät välttämättä ole samoja tekotavoissa havaituista eroavaisuuksista päätellen. Botnet-haittaohjelmatTarkastelujaksolla havaittiin entistä useammin käytössä muita kuin IRC-protokollaa käyttäviä haittaohjelmia, kuten P2P-pohjaista kommunikointia käyttäviä haittaohjelmia. Peer-to-Peer protokollan avulla voidaan ehkäistä verkon hajoaminen komentopalvelinten alasajon yhteydessä. Yhä useammin havaittiin myös muokattua IRC-protokollaa käyttäviä haittaohjelmia. Haittaohjelmia käytetään edelleen taloudellisen hyödyn tavoitteluun. Tietojen kerääminen on ammattimaistunut, ja kerätyn tiedon määrä on kasvanut. Havaitsemisen estämiseksi haittaohjelmat eivät ole välttämättä jatkuvassa yhteydessä komentopalvelimeensa, vaan lähettävät sinne tietoa sykäyksittäin, jolloin tiedonsiirto voi jäädä käyttäjältä huomaamatta. Kohdistetut hyökkäyksetToukokuun loppupuoliskolla uutisoitiin varsin laajasti Microsoft Word -ohjelmiston haavoittuvuudesta johon julkaistiin korjaus vasta 13.6.2006. Haavoittuvuutta käytettiin hyökkäyksissä yksittäisiä yrityksiä ja yhteisöjä kohtaan. CERT-FI:n tietoon ei kuitenkaan ole tullut suomalaisiin organisaatioihin kohdistuneita tapauksia, jossa olisi käytetty kyseistä haavoittuvuutta. Tulevaisuuden näkymätUseat CERT-toimijat ovat raportoineet ilmoitettujen tapausten määrän laskeneen, mikä saattaa viitata kohdennettujen hyökkäysten osuuden kasvuun. Hyökkäyksiltä puolustautuminen ja niiden havaitseminen on entistä vaikeampaa. Hyökkäykset suunnitellaan ohittamaan organisaatioiden tavallisimmat puolustusmekanismit, kuten esimerkiksi virustorjunnan ja palomuurin. Valitusta kohteesta ennakkoon hankittujen tietojen avulla voidaan luoda uskottavampia sähköpostiviestejä kohdennettujen hyökkäysten toteuttamiseksi. Tunnistamismenetelmien kehittyessä hyökkäykset pyrkivät käyttäjätunnusten kaappaamisen sijaan käyttäjän yhteyden sisällön kaappaamiseen. Välityspalvelimiksi asentuvat haittaohjelmat, jotka pyrkivät kaappaamaan pankkitunnuksia ja muita yhteyden aikana välitettäviä luottamuksellisia tietoja, ovat esimerkki tästä.
|
|
