 |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
Tietoturvakatsaus 3/20063.10.2006Vuoden 2006 kolmannella vuosineljänneksellä CERT-FI reagoi tietoturvallisuustapahtumiin julkaisemalla 36 ajankohtaisartikkelia ja toimittamalla kohdennettuja tiedotteita. Tapausten määrä on aika tavanomainen, mutta myös joitakin uusia ilmiöitä havaittiin. CERT-FI sai tiedon tapauksesta, jossa kymmenien suomalaisten Internet-käyttäjien tietoja oli joutunut sivullisten haltuun. Tiedot oli hankittu käyttäjien työasemat saastuttaneen Haxdoor-vakoiluohjelmiston avulla. Nyt paljastuneessa tapauksessa oli maailmanlaajuisesti kymmeniä tai jopa satoja tuhansia uhreja. Heinäkuusta lähtien useat tahot ovat julkaisseet lukuisia työasemasovellusten haavoittuvuuksia, joihin ei julkaisuhetkellä ole ollut saatavilla korjausta. Monia haavoittuvuuksia hyödynnettiin haittaohjelmien levittämiseksi. Haittaohjelmia jakavat sivustot sijaitsivat huomattavan usein samojen palveluntarjoajien verkoissa. Syyskuussa Helsingissä järjestetyn ASEM-huippukokouksen aikana ei raportoitu merkittäviä tietoturvallisuutta vaarantaneita tapauksia. Internet-huijauksetNordea-pankin ruotsalaisten asiakkaiden tietoja pyrittiin varastamaan verkkopankin sivuja muistuttavien phishing-huijaussivustojen avulla. Huijauksella ei tavoiteltu suomalaisia verkkopankkiasiakkaita. Roskapostin mukana jaetaan kuitenkin jatkuvasti linkkejä huijaussivustoille, jotka koskevat myös suomalaisia internet-käyttäjiä. Esimerkiksi eBay- ja PayPal-palveluiden asiakkaina on paljon myös suomalaisia. Käyttäjien tietoja voidaan varastaa myös vakoilemalla käyttäjän verkkoliikennettä aidoille palvelusivustoille. Haxdoor‑vakoiluohjelma varastaa käyttäjän www-sivujen lomakkeille syöttämiä tietoja, kuten käyttäjätunnuksia ja luottokorttitietoja, ja lähettää ne edelleen hyökkääjän ylläpitämälle keräilypalvelimelle. Maailmalta on raportoitu lähes sadasta tuhannesta Haxdoorilla murretusta tietokoneesta. CERT-FI:n tietoon tuli joitakin tapauksia, joissa myös suomalaisten palvelujen käyttäjien tietoja oli paljastunut kevään ja kesän aikana. Mikään ei viittaa siihen, että huijauksella olisi tavoiteltu nimenomaisesti suomalaisten käyttäjien tai sähköisten asiointipalvelujen tietoja. Tieto tapauksista on välitetty palvelujen tarjoajille ja tietosuojavaltuutetulle. Haxdoor, kuten samalla tavalla käyttäytyvät Torpig ja BZub, on esimerkki siitä, kuinka tietomurron tarkoituksena on kerätä tietoja, joita hyökkääjä toivoo voivansa käyttää taloudellisesti hyväkseen. Jo tapahtunutta tietokoneen Haxdoor-tartuntaa on varsin vaikeata havaita, mutta yleisesti käytössä olevat ja ajan tasalla pidetyt virustorjuntaohjelmat estävät tartunnan. Työasemien haavoittuvuudetMetasploit-projektista tunnetuksi tullut H. D. Moore ilmoitti weblogissaan julkaisevansa heinäkuun aikana yhden korjausta vailla olevan ennalta tuntemattoman selainhaavoittuvuuden kuukauden jokaisena päivänä teemalla "The Month of Browser Bugs". Mooren lisäksi myös muut tahot julkaisivat haavoittuvuuksia, joista osa on edelleen korjaamatta. Sekä Windows-käyttöjärjestelmästä että Microsoft Office ‑ohjelmistoista löydettiin useita työasemakäyttäjien turvallisuuteen vaikuttavia haavoittuvuuksia. Osa niistä mahdollisti hyökkääjän valitseman ohjelmakoodin suorittamisen käyttäjän tietokoneessa. Niiden korjaamiseksi valmistaja on julkaissut korjaavat ohjelmistopäivitykset. CERT-FI:n tietojen mukaan osaa haavoittuvuuksista on käytetty aktiivisesti hyväksi. Vuosineljänneksen lopulla löytyi Windows-käyttöjärjestelmästä kaksi haavoittuvuutta, joiden hyödyntämiseksi riittää, että Internet Explorer -selaimen käyttäjä houkutellaan hyökkäykseen käytettävälle www-sivulle. Toiseen haavoittuvuuksista julkaistiin korjaus poikkeuksellisen nopeasti, mutta haavoittuvuuden käyttäminen hyväksi päivittämättömiä työasemia vastaan on edelleen mahdollista. Toiseen ei ole toistaiseksi saatavilla korjausta, ja sitä käytetään hyväksi haittaohjelmien levittämiseksi. Sitä vastaan voi suojautua Windowsin asetuksia muuttamalla. McAfee Security Center -ohjelmistosta löytyi haavoittuvuus, jota voi käyttää hyväksi tietyllä tavalla muokattujen www-sivujen kautta. Tietoturvaohjelmien viat voivat estää haittaohjelmien tai murtautumisyritysten havaitsemisen. Kannettavissa tietokoneissa käytettävien langattomien verkkokorttien (WLAN) laiteajureista löytyi haavoittuvuuksia. Ajurien haavoittuvuudet voivat mahdollistaa hyökkääjän oman ohjelmakoodin ajamisen tietokoneessa. Hyökkäykset ovat mahdollisia vain työaseman WLAN-kortin kuuluvuusalueella, mikä rajoittaa haavoittuvuuksien hyväksikäyttöä. Haavoittuviin järjestelmiin on julkaistu korjatut laiteajurit. Palvelinten ja verkkolaitteiden haavoittuvuudetVuosineljänneksen aikana löytyi myös internet-yhteyksien ja verkkopalvelujen tarjoajiin vaikuttavia haavoittuvuuksia. Juniper-reititinlaitteiden JunOS-käyttöjärjestelmän virhe mahdollisti palvelunestohyökkäyksen IP-protokollan version 6 -pakettien käsittelyssä olevan virheen takia. Cisco-reitittimien IOS-käyttöjärjestelmän joidenkin versioiden oletusasetukset sallivat reitittimen asetusten muokkaamisen pääkäyttäjän oikeuksilla. Palvelunestohyökkäyksen mahdollistava haavoittuvuus löytyi Ciscon tunkeutumisenestojärjestelmästä. Internetin nimipalvelussa (DNS) yleisimmin käytettävästä palvelinohjelmistosta (BIND) löytyi kaksi palvelunestohyökkäyksen mahdollistavaa haavoittuvuutta. Kaikkiin haavoittuvuuksiin on olemassa korjaavat ohjelmistopäivitykset. Oracle-tietokantaohjelmasta julkaistiin korjauksia suureen joukkoon haavoittuvuuksia. Monien web-sivujen sisällöntuottamiseen ja sivujen julkaisemiseen tarkoitettujen ohjelmistojen tietoturvallisuudessa on puutteita, joista osa voi johtua turvattomista oletusasetuksista. Hyökkääjä voi käyttää haavoittuvuuksia hyväkseen esimerkiksi pyrkimällä muuttamaan sivujen sisältöä, mutta myös hyökkääjän ohjelmakoodin suorittaminen web-palvelimella voi olla mahdollista. Vapaasti saatavilla olevat julkaisujärjestelmät kuten Joomla ja Mambo ovat yleistyneet yksityistenkin henkilöiden sivustojen ylläpidon apuvälineinä. Kohdistetut hyökkäyksetMaailmalta raportoitiin Microsoft PowerPoint -esitysgrafiikkaohjelmiston haavoittuvuuden kohdistetusta hyväksikäytöstä. CERT-FI:n tietoon on tullut myös suomalaisia yrityksiä kohtaan suunnattuja hyökkäyksiä ja oppilaitokseen kohdistunut tietomurto. Tulevaisuuden näkymätVihamielinen toiminta on keskittynyt käyttäjiin liittyvien tietojen hankkimiseen. Haittaohjelmien valmistamisen kynnys on madaltunut ja vaatii vähemmän kokemusta ja ohjelmointitaitoa kuin aikaisemmin. Ohjelmia ja niiden levityspalvelua voi ostaa internetistä suhteellisen edulliseen hintaan. Osa verkko-operaattoreista tarjoaa yhteyksiä ja verkkotunnusten rekisteröintiä haittaohjelmien levitystä ja myyntiä tai huijaussivustoja varten eikä vastaa väärinkäytösilmoituksiin. Tällaisia operaattoreita on esimerkiksi Yhdysvalloissa, Venäjällä ja Kiinassa. Sähköpostin välitystä vaikeuttavat sulkulistat, joille kerätään roskapostia levittäviä postipalvelimia. Palvelinten ylläpitäjät käyttävät listoja kieltäytyäkseen ottamasta vastaan viestejä roskapostittajiksi listatuilta palvelimilta. Myös silloin, kun palvelin on aiheettomasti joutunut listalle, sähköpostia ei ole välttämättä voitu toimittaa perille. Viestintävirasto kerää suomalaisia postipalvelimia luotettavien sähköpostipalvelinten listalle. Palvelinten ylläpitäjät voivat sallia viestien välittämisen listalla olevilta palvelimilta mahdollisesta sulkulistoille joutumisesta huolimatta. Käynnissä on myös vastaavia kansainvälisiä hankkeita. Kansainvälisiä suurtapahtumia varten rekisteröityjä verkkotunnuksia muistuttavia nimiä rekisteröidään usein pilailu-, kiusanteko-, propaganda- tai huijaustarkoituksissa tai täydentämään virallisten sivujen sisältöä asiasta kiinnostuneiden ylläpitämänä. On mahdotonta rekisteröidä kaikkia aiheeseen tai tapahtumaan liittyviä verkkotunnuksia, joita voidaan käyttää varsinaisen verkkotunnuksen rinnalla.
|
|
