Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Katsaukset > 2008 > Tietoturvakatsaus 2/2008

Tietoturvakatsaus 2/2008

9.7.2008

WWW-palvelujen tietoturvallisuutta ja käytettävyyttä on koeteltu monin eri tavoin. Sivustoille on murtauduttu ja lisätty niille kuulumatonta sisältöä. Murrettuja sivustoja on käytetty haittaohjelmien levittämiseen tai niiden sisältöä on muuteltu. Useilla www-sivustoilla käyttäjää voi harhauttaa cross site scripting -haavoittuvuuksia hyödyntämällä. Palvelimia on myös pyritty ylikuormittamaan niin, että niiden käyttäminen estyisi.

Haittaohjelmien levittäminen tai salasanojen urkkiminen kohdistuu entistä tarkemmin. Kaikille levitettävien huijausten sijaan tiettyyn organisaatioon tai muuten rajattuun kohderyhmään tähdätyt väärinkäytökset ovat yleistymässä. Ilmiöstä on myös käyty aiempaa vilkkaampaa julkista keskustelua.

Pikaviestinohjelmistoja on käytetty haittaohjelmien levityskanavana. Kiinnostaviksi muotoillut viestit, jotka näyttävät tulevan toisilta käyttäjiltä, ovat houkutelleet käyttäjiä lataamaan haittaohjelmatiedostoja.

SQL injection -tyyppiset haavoittuvuudet mahdollistavat sivujen luvattoman muokkaamisen

Verkkosivustoista on tullut rakenteeltaan monimutkaisia ja vaikeita hallita. Käyttäjälle näkyvän julkisivun takana on usein sivuston sisältöön liittyviä taustajärjestelmiä, kuten tietokantoja ja sisällönhallintajärjestelmiä, joiden tietoihin käyttäjät pääsevät sivuston kautta.

Jos verkkosivuston syötteentarkistusta ja taustajärjestelmän tietokannan suojaamista ei ole tehty huolellisesti, sivustolle tai sen käyttämään tietokantaan voi olla mahdollista tallettaa haluamaansa sisältöä syöttämällä taustajärjestelmän tietokannalle sopiva SQL-lause www-sivuston kautta. SQL on tietokantakyselyihin ja tietokannan sisällön hallintaan tarkoitettu kyselykieli.

Muokattuja sivuja voidaan käyttää esimerkiksi ohjaamaan käyttäjä sellaiselle sivustolle, josta selaimeen latautuu jotain tunnettua haavoittuvuutta hyödyntävää hyökkäyskoodia. Tämä voidaan toteuttaa esimerkiksi lisäämällä sivulle pätkä JavaScript-koodia, joka lataa haittaohjelman toiselta palvelimelta. Tavoitteena voi olla tietoja vakoilevan haittaohjelman tartuttaminen käyttäjän koneeseen tai sen liittäminen bottiverkon orjakoneeksi. Murrettua sivustoa voidaan käyttää myös haittaohjelmien tai niiden asetustiedostojen jakamiseen.

Yksinkertaisempi tapa käyttää hyväksi sivustojen haavoittuvuuksia on siirtää sivuille esimerkiksi poliittista materiaalia, jolla pyritään vaikuttamaan yleisön mielipiteisiin. Kesäkuun loppupuolella Liettuassa oli laaja www-sivustojen töhrimiskampanja.

SQL injection -tyyppisiä haavoittuvuuksia on löydetty useilta www-sivustoilta. Microsoft ja OWASP ovat julkaisseet ohjeita ja työkaluja, jotka auttavat välttämään SQL injection -tyyppisiä haavoittuvuuksia Windows-palvelinympäristöissä.

Cross site scripting -haavoittuvuuksia löytyy yhä

Alkuvuodesta noussut innostus cross site scripting (XSS) -tyyppisten haavoittuvuuksien etsimiseksi jatkui. CERT-FI:n tietoon on tullut useita kymmeniä suomalaisia www-sivustoja, joille on ollut mahdollista käyttäjän avustuksella syöttää harhaanjohtavaa sisältöä. XSS-haavoittuvuuksia voi käyttää pilailu- ja töhrimistarkoituksen lisäksi myös esimerkiksi palvelussa käytettävien salasanojen keräilyyn käyttäjää harhauttamalla. CERT-FI on välittänyt tiedot haavoittuvuuksista palvelujen ylläpitäjille, jotka ovat suurimmaksi osaksi joko korjanneet haavoittuvuudet tai poistaneet haavoittuvan palvelun tilapäisesti käytöstä.

Palvelunestohyökkäysten vaikutukset jäivät vähäisiksi

Kesäkuun lopussa tehtiin muutamia suosittuja suomalaisia www-sivustoja vastaan vaikutuksiltaan melko vähäiseksi jääneitä palvelunestohyökkäyksiä. Mediayhtiöiden palveluja vastaan toteutetut hyökkäykset saivat kuitenkin paljon huomiota ja osoittivat, että palvelujen ylläpitäjien tulee varautua myös ylikuormitustilanteisiin, jos palvelujen katkokset halutaan välttää.

Haittaohjelmia levitettiin kohdistetusti

CERT-FI:n tietoon on tullut tapauksia, joissa suomalaisiin organisaatioihin on pyritty levittämään haittaohjelmia kohdistetusti. Haittaohjelmia on levitetty sähköpostiviestien liitetiedostoina erittäin rajatulle ja tarkkaan valitulle vastaanottajien joukolle. Viestien lähettäjäksi on väärennetty tunnettu taho, ja viestien aiheet ovat olleet uskottavia ja organisaation normaaliin toimintaan liittyviä. Tyypillinen haittaohjelman sisältävä liitetiedosto voi olla esimerkiksi kutsu kokoukseen tai konferenssiin.

Kohdistetuissa hyökkäyksissä käytetyt haittaohjelmat ovat yleensä olleet sellaisia versioita, joita virustorjuntaohjelmat eivät ole hyökkäyksen toteuttamisvaiheessa tunnistaneet. Ohjelmien tarkoituksena on ollut saada käyttäjän tietokone etähallittavaksi, jolloin sen kautta voidaan hankkia tietoja organisaation toiminnasta.

Käyttäjätunnuksia ja salasanoja on urkittu sähköpostiviesteillä

Käyttäjätunnuksia ja salasanoja on pyritty keräämään lähettämällä sähköpostiviestejä, joissa on pyydetty vahvistamaan käyttäjätunnus ja salasana. Merkille pantavaa viesteissä on se, että niitä on lähetetty keskitetysti kohteena olevien organisaatioiden käyttäjien sähköpostiosoitteisiin sen sijaan, että viestejä jaettaisiin sattumanvaraisesti valittuihin osoitteisiin.

Sähköpostipalvelimet ovat ajoittain kuormittuneet roskapostijakeluista

CERT-FI:n tietoon on tullut tapauksia, joissa sähköpostipalvelimet ovat ajoittain ylikuormittuneet postipalvelinten palauttamien virheilmoitusviestien vuoksi. Ylikuormitustilanne voi syntyä silloin, kun laajassa roskapostituskampanjassa käytetään väärennettyjä lähettäjän osoitteita, jotka kuuluvat samalle organisaatiolle tai sähköpostipalvelujen tarjoajalle. Koska merkittävä osa roskapostijakelun vastaanottajien osoitteista on aina virheellisiä, palautuu väärennettyyn lähettäjän osoitteeseen paljon postipalvelinten lähettämiä ilmoituksia perille toimittamattomista viesteistä.

Tilannetta voi olla vaikeata erottaa organisaatioon tai palveluntarjoajaan kohdistetusta palvelunestohyökkäyksestä, mutta toisaalta hyökkäys voidaan toteuttaa myös tällä tavoin epäsuorasti. Palvelimelle tulevaa sähköposti­liikennettä ei voi suodattaa IP-osoitteiden perusteella, sillä yhteydet tulevat sähköpostipalvelimilta, joilta voi tulla myös asiallisia viestejä.

Kuormitus voi kohdistua voimakkaasti myös yksittäiseen sähköpostiosoitteeseen, jos se on väärennetty laajan roskapostijakelun lähettäjäksi. Tällöin käyttäjä saa postilaatikkoonsa suuren määrän virheilmoituksia. Roskapostia voidaan myös pyrkiä lähettämään siten, että todellisena viestin kohteena onkin virheilmoituksen vastaanottaja, koska palvelinten lähettämät virheilmoitukset saattavat paremmin läpäistä roskapostisuodatuksen.

Messenger-pikaviestimellä levitettiin haittaohjelmalinkkejä

Windows Live Messenger -palvelussa on levitetty haittaohjelmaan osoittavia linkkejä, joiden mukana on ollut linkkiä klikkaamaan houkutteleva suomenkielinen teksti. Viestit näyttävät tulevan palvelun käyttäjiltä, mutta ovat todellisuudessa haittaohjelman lähettämiä. Linkit on muotoiltu siten, että kohteena näyttäisi olevan kuvatiedosto, mutta linkkiä seuraamalla työasemaan asentuukin haittaohjelma. Vastaavalla tavalla leviäviä haittaohjelmia havaittiin myöhemmin myös Norjassa.

Ohjelmistohaavoittuvuuksia julkaistiin hallitusti

Vakiintunut tapa tehdä ohjelmistoja on luoda ne pieni palanen kerrallaan, aiemmin luotuja osia hyödyntäen. Ohjelmistot koostuvatkin osin uusista, osin vanhoista ja osin vapaasti hyödynnettävistä ilmaisohjelmista tai muilta tuottajilta ostetuista osista.

Laajat ohjelmistot ovat hyvin monimutkaisia, joten niiden laadunvalvonta on haastavaa. Käytännöllisesti katsoen kaikista ohjelmistoista löytyykin virheitä. Haavoittuvuuksiksi kutsutaan sellaisia virheitä, jotka voivat vaarantaa ohjelmiston tietoturvan. Haavoittuvuuksia julkistettiin viime vuonna noin 8000. CERT-FI on julkaissut vuoden ensimmäisellä puoliskolla 79 tiedotetta merkittäviksi arvioiduista haavoittuvuuksista.

Haavoittuvuuksista tiedottamisen lisäksi CERT-FI on mukana haavoittuvuuksien korjausten koordinoinnissa, jossa määritetään haavoittuneet ohjelmistot tai komponentit ja luodaan yhteys haavoittuvuuden löytäjän ja valmistajan välille. CERT-FI:n tärkeimpänä tavoitteena on, että haavoittuvuus tulee julkisuuteen vasta, kun siihen on olemassa korjaus. Tämän vuoksi koordinointiprosessit voivat helposti pitkittyä.

Toukokuussa julkaistiin Codenomicon Oy:n löytämät haavoittuvuudet yleisesti käytetyistä OpenSSL ja GnuTLS -salausohjelmistoista. Ohjelmistojen tarjoamia SSL- ja TLS-protokollia käytetään asiakkaan ja palvelimen välisen ylemmän tason protokollien, kuten HTTP:n, päällä kulkevan liikenteen salaamiseen.

Haavoittuvien ohjelmistojen lähdekoodi on ilmaista, ja monet tuotteet käyttävät niitä tiedonsiirron salaukseen. Koordinoinnin yhteydessä otettiin yhteyttä muihinkin ohjelmistovalmistajiin, ja muun muassa monet Linux-jakelijat julkaisivat haavoittuvuuksiin korjaukset.

Sivua päivitetty 09.07.2008   Tulostusversio Tulostusversio