|
www.viestintävirasto.fi |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
Vuosikatsaus 20064.1.2007Vuoden 2006 aikana tietoturvaloukkausten tavoitteena oli edelleen taloudellisen hyödyn saavuttaminen hankkimalla ja käyttämällä hyväksi tietokoneiden ja tietoverkkojen sähköisten asiointipalvelujen käyttäjien henkilö- ja maksuvälinetietoja. Uutena ilmiönä yleistyi vakoiluohjelmien levittäminen murrettuihin tietokoneisiin. Ohjelmia käytetään urkkimaan tietokoneiden käyttäjien www-sivuille syöttämiä tietoja ja välittämään niitä edelleen sivullisille. Käyttäjien tietoja kerätään siis yhteyden aikana aitoja verkkopalveluja käytettäessä eikä luomalla niitä jäljitteleviä huijaussivustoja. Ohjelmat voivat kaapata esimerkiksi henkilötietoja, käyttäjätunnuksia, salasanoja ja luottokorttinumeroita. Toiminta oli laajamittaista ja järjestelmällistä, mutta CERT-FI:n tietoon tuli vain vähän sellaisia tapauksia, joissa suomalaisten sähköisten asiointipalvelujen käyttäjien tietoja oli joutunut vääriin käsiin. Keskeinen käyttäjän tietojen urkkimiseen käytetty haittaohjelma on Haxdoor. CERT-FI osallistui Haxdoor-vakoiluohjelman toiminnan analysointiin ja julkaisi ohjelman, jolla haittaohjelmatartunta voidaan poistaa tietokoneelta. Suomen EU-puheenjohtajuuskauteen tai Suomen järjestämiin kansainvälisiin kokouksiin liittyviä erityisiä tietoturvallisuuteen liittyviä tapauksia ei havaittu. Ohjelmistohaavoittuvuuksista vuoden aikana olivat esillä erityisesti yleisimmin käytettyihin www-selaimiin, Windows-käyttöjärjestelmään ja MS Office -ohjelmistoihin liittyvät haavoittuvuudet. Niiden lisäksi haavoittuvuuksia löytyi muistakin käyttöjärjestelmistä ja ohjelmistoista. Haittaohjelmien levittämisestä ja hyödyntämisestä aiheutuvien taloudellisten uhkien merkitys on suuri. Haittaohjelmia levitetään ja käytetään järjestelmällisesti rahallisen hyödyn saavuttamiseksi. Toiminnan havaitseminen ja sen logiikan tai tekijöiden selvittäminen vaatii usein eri viranomaisten, yritysten ja tietoturvatoimijoiden välistä kansainvälistä yhteistyötä. Huijaussivustoista tietoliikenteen vakoilemiseenVuoden mittaan CERT-FI:n tietoon tuli lukuisia aitoja sähköisiä asiointipalvelusivuja jäljitteleviä web-sivustoja, joilla pyrittiin keräämään käyttäjien tietoja (phishing). Yleisimpiä kohteita olivat huutokauppasivustot (esim. eBay), verkkomaksupalvelut (esim. PayPal) ja eri pankkien sivustot. Suomalaisista sivustoista esiintyi Nordea-pankin palveluja jäljitteleviä sivustoja, mutta myös yleisemmin huijauksissa käytetyillä kansainvälisillä palveluilla on paljon suomalaisia käyttäjiä. Aitoja verkkopalveluja jäljittelevien phishing-sivujen lisäksi palvelujen käyttäjien tunnuksia, salasanoja, luottokorttinumeroita ja muita luottamuksellisia tietoja pyrittiin hankkimaan myös urkkimalla käyttäjien aitoihin verkkopalveluihin syöttämiä tietoja. Tietojen kaappaamista varten käyttäjän tietokoneeseen pyrittiin tartuttamaan web-yhteyksiä tarkkailevia vakoiluohjelmia, jotka kaappaavat tietoja ja välittävät niitä ulkopuoliselle tietojen väärinkäyttäjälle. Ero huijaussivustojen ja vakoiluohjelmien välillä on merkittävä muun muassa siksi, että phishing-sivut on usein mahdollista tunnistaa yhteyden aikana, mutta vakoiluohjelman avulla tapahtuvaa tietojen urkkimista ei käyttäjä välttämättä havaitse lainkaan. Ohjelmat käyttävät ns. rootkit-tekniikoita piiloutuakseen käyttäjältä ja virustorjuntaohjelmilta. Jos tartunta ehtii tapahtua ennen kuin virustorjuntaohjelma päivitetään tunnistamaan haittaohjelma, voi sen havaitseminen myöhemmin olla erittäin vaikeaa. WWW-yhteyden suojaaminen SSL-yhteydellä ei estä tietojen urkkimista, sillä ohjelma kaappaa tiedot jo ennen niiden salaamista verkkoyhteydellä välitettäväksi. CERT-FI:n tietoon tuli ensimmäisiä havaintoja Haxdoor-nimisestä vakoiluohjelmasta helmikuussa. Haxdoor on ohjelma, joka tartuttuaan tietokoneeseen piiloutuu käyttäjältä ja tietoturvaohjelmilta ja sen jälkeen kerää käyttäjän www-sivujen lomakkeisiin syöttämiä tietoja ja välittää ne verkon kautta edelleen kokoojapalvelimelle. Haxdoor on keskeinen käyttäjän tietojen keräämiseen käytetty haittaohjelma. CERT-FI osallistui Haxdoor-ohjelman toiminnan analysointiin ja kehitti ohjelman, jolla Haxdoor-tartunta voidaan poistaa tietokoneelta. Ohjelma julkaistiin lokakuussa. Heinäkuussa CERT-FI sai kansainvälisen yhteistyöverkostonsa kautta tiedon kymmenien suomalaisten sähköisten asiointipalvelujen käyttäjien tietojen joutumisesta sivullisten käsiin. Mikään ei kuitenkaan viittaa siihen, että tietojen kerääminen olisi kohdistunut erityisesti Suomeen, vaan suurin osa vakoiluohjelmilla kaapatuista tiedoista koski muita kuin suomalaisia käyttäjiä ja palveluja. CERT-FI:n havaintojen mukaan haittaohjelmia jakavat sivustot sijaitsevat huomattavan usein samojen internet-palveluntarjoajien verkoissa. Kansainvälinen yhteistyön kehittäminen toiminnan torjumiseksi onkin erityisen tärkeää. Ohjelmistohaavoittuvuuksien hyväksikäyttöOhjelmistojen virheistä johtuvat haavoittuvuudet voivat mahdollistaa haittaohjelmien tartuttamisen tietokoneeseen. Ohjelmistohaavoittuvuuksia etsitään järjestelmällisesti ja etsintää varten kehitetään myös automaattisia testausmenetelmiä. Yksi haavoittuvuuksien löytämiseksi käytettävä tekniikka on fuzzing: testataan ohjelmiston kykyä selviytyä odottamattomasta syötteestä käymällä systemaattisesti läpi suuri määrä "rikkinäisiä" käyttötapauksia esimerkiksi ohjelmiston käyttämien tiedostojen sisältöä tahallisesti manipuloimalla. CERT-FI on aktiivisesti pyrkinyt läheisempään yhteistyöhön haavoittuvuustutkijoiden kanssa tavoitteena hallittu ketju vikojen havaitsemisesta niiden korjaamiseen ja vastuulliseen julkaisemiseen. Vuoden uhkaavin yksittäinen ohjelmistohaavoittuvuustapaus oli Windows metafile -tiedostojen käsittelystä löydetty kaikkia Windows-käyttöjärjestelmän versioita koskeva ohjelmistovirhe, jota ehdittiin käyttää alkuvuodesta laajasti hyväksi ennen kuin korjaava ohjelmistopäivitys julkaistiin ja järjestelmät päivitettiin. Haavoittuvuudelta suojautuminen oli vaikeaa ja sen hyödyntäminen helppoa www-sivujen, sähköpostin, pikaviestimien ja vertaisverkkojen välityksellä. Vian vaikutukset jäivät kuitenkin pelättyä vähäisemmiksi. CERT-toimijoiden, teleyritysten, virustorjuntayhtiöiden ja ohjelmistovalmistaja Microsoftin välinen yhteistyö oli ratkaisevassa roolissa haavoittuvuuden haittavaikutuksia torjuttaessa. Vuoden mittaan julkaistiin lukuisia muitakin haavoittuvuuksia laajalti käytetyistä ohjelmistoista kuten Windows-käyttöjärjestelmästä, Microsoft Office -ohjelmistoista ja www-selaimista. Osaa näistä haavoittuvuuksista käytettiin myös aktiivisesti hyväksi haittaohjelmien levittämiseksi. Vuoden aikana paljastui haavoittuvuuksia myös Internetin toiminnan kannalta tärkeissä laitteissa ja sovelluksissa, kuten reititinvalmistajien Ciscon ja Juniperin käyttöjärjestelmissä, Sendmail-sähköpostipalvelinohjelmistossa sekä nimipalvelimissa käytettävässä BIND-ohjelmistossa. CERT-FI toimi yhteistyössä laite- ja ohjelmistovalmistajien sekä Internet-operaattoreiden kanssa haavoittuvuuksia koskevien tietojen koordinoimisessa. Haavoittuvuuksia ei ehditty käyttää laajasti hyväksi ennen kuin ohjelmistot oli korjattu. Haavoittuvuuksien julkaiseminen politisoitumassaNäyttää siltä, että osa haavoittuvuustutkijoista on muuttamassa haavoittuvuuksien julkaisulinjaa radikaalimmaksi niin, että haavoittuvuudet julkaistaan jo ennen kuin ohjelmistovalmistaja ehtii korjata vikaa. Tavoitteena voi olla ohjelmistovalmistajien painostaminen korjaamaan ohjelmistojensa virheet nykyistä nopeammin. Heinäkuussa H. D. Moore julkaisi blogissaan joka päivä uuden, aikaisemmin julkaisemattoman, haavoittuvuuden web-selainohjelmista teemalla "The Month of Browser Bugs". Marraskuussa jatkoi samalla linjalla "The Month of Kernel Bugs". Kuukauden jokaisena päivänä julkaistiin johonkin käyttöjärjestelmään liittyvä haavoittuvuus. Kohteena olivat Windowsin lisäksi Linux, MacOS X, FreeBSD, Solaris ja eri langattomien verkkolaitteiden ohjelmistot ja laiteajurit. Tietoturvatutkija Cecar Cerrudo aikoi julkaista tietokantaohjelmistoja valmistavan Oraclen haavoittuvuuksia otsikolla "The Week of Oracle DataBase Bugs" osoittaakseen Oraclen ohjelmien turvattomuuden ja arvostellakseen yhtiön hitautta ohjelmistovirheiden korjaamisessa, mutta perui myöhemmin aikeensa. Kohdistetut hyökkäyksetHaittaohjelmien levittäminen voi kohdistua myös rajattuun joukkoon käyttäjiä, esimerkiksi tietyn yrityksen henkilökuntaan tai sen tuottamiin palveluihin. Hyökkäysten tarkoituksena voi olla esimerkiksi organisaation toimintakyvyn selvittäminen poikkeuksellisessa tilanteessa tai yrityksen sisäisten tietojen hankkiminen, mutta myös henkilökohtaiset motiivit. CERT-FI:n tietoon tuli joitakin yksittäisiä suomalaisia yrityksiä tai palveluja kohtaan suunnattuja hyökkäyksiä. Yleisesti ottaen niiden määrä ei näyttäisi kasvaneen, mutta osa niistä oli luonteeltaan sellaisia, että ne ovat erityisen vaikeasti torjuttavissa. Hyökkäysmenetelmänä käytettiin tyypillisesti asialliselta vaikuttavan sähköpostiviestin liitetiedostoksi naamioitua haittaohjelmaa, joka oli laadittu kyseistä hyökkäystä varten eikä ollut virustorjuntaohjelmien tunnistama. Ohjelma käytti hyväkseen haavoittuvuutta, joka ei ollut ohjelmistovalmistajan tiedossa. Hyökkäyksiä kohdistettiin myös organisaatioiden julkisiin palveluihin kuten web-sivustoihin tai sähköpostipalvelimiin. Vika- ja häiriötilanteetTietoliikenneyhteyksien häiriöistä merkittävimpiä ovat olleet katkokset haja-asutusalueiden matkapuhelinverkon toiminnassa. Osa häiriöistä on liittynyt sähkönjakelun katkoksiin ja osa tietoliikenneyhteyksien ongelmiin, joiden syynä ovat olleet joko laiteviat tai konfiguraatiovirheet. Viat on korjattu suhteellisen nopeasti ja katkokset ovat yleensä jääneet lyhyiksi. Vuoden loppupuolella CERT-FI:n tietoon tuli havaintoja, jotka kertoivat roskapostin määrän voimakkaasta kasvusta ja sähköpostin mukana levitettävistä haittaohjelmista. Tulevaisuuden näkymiäTietokoneiden käyttäjiin kohdistuvat tietoturvaloukkaukset jatkuvat edelleen. Tietomurtojen painopiste pysyy julkisten tai yritysten palvelinten sijaan tavallisten käyttäjien tietokoneissa, joihin pyritään levittämään haittaohjelmia käyttämällä hyväksi ohjelmistoista ja käyttöjärjestelmistä löytyviä haavoittuvuuksia. Levityskanavina voidaan edelleen käyttää muun muassa sähköpostia, sopivasti muokattuja sähköpostin liitetiedostoja tai selainten haavoittuvuuksia hyödyntäviä web-sivustoja. Roskapostiviestien lähettäjät pyrkivät kehittämään uusia keinoja läpäistä roskapostisuodattimia ja pyrkivät muodostamaan viestinsä siten, että ne läpäisevät teleoperaattorien ja yritysten sähköpostipalvelimilla yleisimmin käytetyt suodatusohjelmistot mahdollisimman hyvin, tai siten, että viesteillä pyritään haittaamaan suodattimien toimintaa. Haittaohjelmat ja niiden hyödyntämiseksi luodut komentopalvelimet ja -yhteydet kehittyvät edelleen ja niiden muodostamien botnet-verkkojen ja ohjelmien toiminnan selvittäminen tulee vaikeammaksi. Haittaohjelmat piiloutuvat käyttöjärjestelmältä ja tietoturvaohjelmistoilta entistä tehokkaammin. Lähiaikoina on tapahtumassa merkittävä määrä käyttöjärjestelmäpäivityksiä kun Windows-käyttöjärjestelmän uusi versio "Vista" julkaistaan. Uuteen järjestelmään siirtyminen voi kasvattaa uusien haavoittuvuuksien löytymisen ja hyväksikäyttämisen riskiä. Sanastoa:Haittaohjelma = engl. malware, yleisnimitys haitalliseen toimintaan tarkoitetusta "vihamielisestä" ohjelmasta. Haittaohjelmat voivat muun muassa kerätä tietoja, levittää roskapostia, skannata tietoverkkoja, hyökätä palvelimia vastaan tai hukata käyttäjän tietoja . Phishing = Käyttäjän tietojen "kalastelua" houkuttelemalla käyttäjä syöttämään niitä aidolta näyttävään verkkopalveluun, joka on kuitenkin tietojen urkkijan hallussa. Aitoja palveluja jäljitteleville phishing-sivustoille voidaan houkutella esimerkiksi sähköpostina levitettävien linkkien avulla. Itse palvelimet sijaitsevat usein aivan tavallisten kotikäyttäjien murretuissa tietokoneissa joihin murtautuja on etäkäyttöisesti asentanut palvelinohjelmiston. Vakoiluohjelma = Käyttäjän tietokoneeseen asennettava haittaohjelma, joka kerää tietoja käyttäjän www-selailua tai tietoliikennettä tarkkailemalla. Ohjelma kaappaa esimerkiksi web-lomakkeisiin syötetyt tiedot ja välittää ne verkkoyhteyden kautta urkkijan hallussa olevalle kokoojapalvelimelle. Rootkit = Yleisnimitys tekniikoille ja ohjelmistotyökaluille, joiden avulla haittaohjelmalle saadaan laajimmat mahdolliset käyttöoikeudet tietokoneessa, ja joiden avulla se voi piiloutua käyttäjältä, käyttöjärjestelmältä ja muilta ohjelmilta - kuten myös virustorjuntaohjelmilta - ja ohittaa esimerkiksi ohjelmistopalomuurin suojaukset. Haxdoor = Vakoiluohjelma, joka käyttää myös rootkit-tekniikkaa piiloutuakseen käyttäjältä ja tietoturvaohjelmilta. Palvelunestohyökkäys = Pyrkimys vaikeuttaa tai estää palvelimen tai palvelun toiminta ylikuormittamalla sitä. Hyökkääjällä voi olla hallinnassaan suuri joukko murrettuja tietokoneita, jotka osallistuvat kohteen kuormittamiseen esimerkiksi aiheuttamalla suuren määrän verkkoliikennettä tai yhteysyrityksiä palvelimeen. Botnet = Murrettujen tietokoneiden ja niihin yhteydessä olevien komentopalvelinten verkosto. Murretut tietokoneet ovat etähallittavissa ja käytettävissä esimerkiksi roskapostin lähettämiseen tai
|
|
