Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Katsaukset > 2010 > Tietoturvakatsaus 2/2010

Tietoturvakatsaus 2/2010

7.7.2010

Johdanto

Facebook ja muut yhteisöpalvelut ovat entistä houkuttelevampia haitallisen sisällön levittämispaikkoja. Suosituissa palveluissa huijaukset näyttävät onnistuvan paremmin kuin esimerkiksi sähköpostin avulla.

Internetin nimipalvelun DNSSEC-tie­to­turva­laajen­nuksen käyttöönotto on alkanut. DNSSEC otetaan käyttöön myös Viestintäviraston ylläpitämissä fi-verkko­tunnuksissa. Tietoturvalaajennus tarjoaa suojaa verkkotunnusten väärentämistä ja nimipalveluun perustuvia harhautuksia vastaan.

Google on kartoittanut kuvausautollaan Street View ‑palvelua varten myös langattomien WLAN-tukiasemien tietoja. Kartoituksen yhteydessä on tallennettu myös viestintäsalaisuuden piiriin kuuluvia viestisisältöjä.

CERT-FI:n haavoittuvuuskoordinointi on ollut viime aikoina vilkasta. Viimeksi kuluneen vuosineljänneksen aikana julkaistiin neljän CERT-FI:n koordinoiman haavoittuvuuden korjaus- ja julkaisuprosessin tulokset.

Yhteisöpalveluissa levitetään myös haitallista sisältöä

Erityisesti Facebookissa on viime aikoina levitetty useita haitallista ohjelmakoodia sisältäviä viestiketjuja. Haitallisten viestien toimintaperiaate on sama kuin sähköpostissa leviävissä, tietoa urkkivissa tai haitallisia linkkejä sisältävissä roskapostiviesteissä.

Kaksi eri jakelutapaa

Facebook-madot leviävät pääsääntöisesti haitallisten linkkien tai haitallisten Facebook-sovellusten avulla. Molempia menetelmiä voidaan nimittää likejacking-kaappaukseksi. Nimitys johtuu Facebook-sivuston "like" (tykkää) -toiminnosta, jonka avulla käyttäjät voivat kertoa pitävänsä toistensa julkaisemasta sisällöstä.

Haitallinen linkki ohjaa käyttäjän verkkosivustolle, jolla oleva ohjelmakoodi kaappaa käyttäjän selaimessa hiiren kursorin haltuunsa. Sen jälkeen klikkaus mihin tahansa sivun osaan saa todellisuudessa aikaan "like"-napin painalluksen Facebookissa. Kun käyttäjä "tykkää" jostain linkistä tai sivustosta, kyseinen linkki kopioituu hänen omalle profiilisivulleen sekä kaikkien hänen Facebook-ystäviensä uutissyötteisiin.

Harhautus voidaan toteuttaa myös niin, että haitallinen Facebook-sovellus pyytää käyttäjää antamaan sovellukselle oikeudet, jotka saavat aikaan vastaavanlaisen "like"-napin painalluksen.

Facebook-madot voivat myös pyytää käyttäjää asentamaan esimerkiksi ohjelmapäivitykseksi naamioidun haittaohjelman käyttäjän koneelle. Lisäksi linkkien takaa löytyvillä sivuilla voi olla selainten haavoittuvuuksia hyväksikäyttäviä haittaohjelmia.

Nettifiksuus auttaa pitkälle

Yhteisöpalvelujen tarjoamiin linkkeihin kannattaa suhtautua epäilevästi siitä huolimatta, että ne näyttäisivät tulevan tutulta käyttäjältä.

Jos lähetetyn linkin sisältö vaikuttaa saatetekstin perusteella vähänkin epäilyttävältä, on ennen linkin avaamista hyvä tarkistaa suoraan sen lähettäjältä, mistä on kysymys.

Harkinta on joskus vaikeaa, sillä Facebookin ja muiden yhteisöpalvelujen yleisiin käyttötapoihin kuuluu hauskojen ja viihdyttävien linkkien jakaminen kaverilistalle. Facebook-madon postittaman linkin erottaminen niistä ei ole aina helppoa.

Tutustu Facebookin asetuksiin

Facebook-sivuston sovelluksille annettavia oikeuksia tulisi myös harkita tarkkaan. Vaikka Facebookin yksityisyysasetuksia on moitittu vaikeiksi, on palvelussa melko monipuoliset mahdollisuudet rajoittaa omien tietojen näkymistä muille käyttäjille. Käyttäjän asentamat Facebook-sovellukset voivat kuitenkin kysyä erikseen lupaa käyttäjän tietojen käyttämiseen, jolloin ne voivat kiertää asetettuja tietojen näkyvyysrajoituksia.

Varovaisuus paikallaan myös muissa yhteisöpalveluissa

Suosionsa takia Facebook on usein julkisuudessa. Kuitenkin kaikki palvelut, joiden kautta tavoittaa helposti suuren joukon ihmisiä, houkuttelevat myös väärinkäytöksiä.

Haitallisia linkkejä on levitetty myös esimerkiksi lyhyisiin viesteihin perustuvassa Twitter-palvelussa. Palvelun erityisongelmana voidaan pitää siinä yleisesti jaettuja lyhennettyjä linkkiosoitteita, joiden todellinen kohde ei käy ilmi ennen kuin linkin avaa selaimella. Esimerkiksi bit.ly on tällainen verkko-osoitteen lyhennyspalvelu.

Suomi24-sivuston tunnukset ja salasanat väärissä käsissä

Suomi24-sivustolle murtauduttiin huhtikuun alussa käyttämällä Google-haun avulla löytynyttä SQL-injektiohaavoit­tu­vuutta. Murtautujat onnistuivat varastamaan sivuston käyttäjätietokannan ja lisäsivät sivustolle linkin haittaohjelmaan. He pyrkivät myös hidastamaan tiedon leviämistä haittaohjelmasta poistamalla sivustolta aiheesta käytyä keskustelua.

Suomi24 toimi nopeasti ja kehotti käyttäjiä vaihtamaan salasanansa. Sellaiset tunnukset, joiden salasanaa ei vaihdettu määräaikaan mennessä, lukittiin.

Huolellisestikin ylläpidettyjen palvelujen tietoturva saattaa toisinaan vaarantua. Palvelujen ylläpitäjien tuleekin miettiä etukäteen tiedottamista ja muita toimenpiteitä kriisitilanteissa.

Nimipalvelun tietoturvalaajennuksen käyttöönotto on aloitettu

Viestintävirasto ottaa käyttöön nimipalvelun DNSSEC-tietoturvalaajennuksen fi-päätteisissä verkkotunnuksissa. Tietoturvalaajennus tarjoaa tehokkaan suojan verkkotunnusten väärentämistä ja nimipalveluun perustuvia harhautuksia vastaan. Sen tarkoituksena on osaltaan varmistaa, että internetin käyttäjät pääsevät juuri sille verkkosivulle, jolle heillä oli aikomus mennä.

Juurinimipalvelimissa on jo DNSSEC-allekirjoi­tukset

Tietoturvalaajennus otetaan käyttöön fi-verkkotunnuksen juurinimipalvelimissa syksyllä 2010, mutta koekäyttö aloitetaan jo kesällä. Internetin käyttäjältä tai fi-verkko­tunnuksen haltijalta tämä ei edellytä toimenpiteitä, vaan tietoturvalaajennuksen käyttöönotosta vastaavat verkko-operaattorit. Palvelu avataan fi-verkko­tunnusten käyttäjille maaliskuussa 2011.

Internetin maailmanlaajuisilla juurinimipalvelimilla DNSSEC on ollut koekäytössä vuodenvaihteesta lähtien. Heinäkuun alusta alkaen juurinimipalvelinten tiedot on allekirjoitettu julkisesti saatavilla olevalla avaimella.

Mikä on DNSSEC?

DNSSEC (Domain Name System Security Extensions) on nimipalvelun laajennus, jonka tarkoituksena on parantaa nimipalvelun tietoturvaa. Kun DNSSEC on käytössä, nimipalvelinten vastaukset osoitekyselyihin on allekirjoi-tettu digitaalisesti. Tekniikan avulla voidaan varmistua siitä, että nimipalvelukyselyihin saadut vastaukset tulevat oikealta lähettäjältä eikä tietoja ole muokattu matkan varrella. DNSSEC toisin sanottuna varmentaa tietojen eheyden ja alkuperän.

DNSSEC suojaa erityisesti DNS-välimuistin tietojen muokkaamiseen perustuvalta harhautukselta (DNS cache poisoning) varmistamalla sen, että osoitetieto tulee oikealta nimipalvelimelta eikä epäluotettavalta taholta.

Digitaalisen allekirjoituksen luomiseen tarvitaan avainpari, joista toinen on yksityinen ja toinen julkinen. Yksityinen avain on salainen ja se on ainoastaan omistajan hallussa. Julkinen avain julkaistaan nimipalvelussa omassa tietueessaan. Allekirjoitus voidaan varmentaa yksityistä avainta vastaavalla julkisella avaimella.

DNSSEC ei suojaa kaikilta huijauksilta

DNSSEC ei kuitenkaan suojaa varsinaisilta phishing-sivustoilta, jotka muistuttavat harhaanjohtavasti jotain toista sivustoa, mutta joilla on toinen verkkotunnus. On siis edelleen varmistuttava siitä, että on todella avannut aikomansa sivuston. Käyttäjää voidaan edelleen harhauttaa myös muiden sivustojen heikkouksien, kuten cross site scripting -haavoit­tu­vuuk­sien avulla.

Faktaa

FI-vyöhykkeen DNSSEC-allekirjoittamisessa käytetään seuraavia parametreja:

  • Tiivistefunktio: SHA-256
  • Allekirjoitusalgoritmi: RSA
  • Allekirjoitusten voimassaoloaika: 14 vuorokautta
  • Allekirjoitusten uusiminen: 5 vuorokautta ennen allekirjoituksen vanhenemista
  • Allekirjoitusten voimassaoloajan satunnaisvaihtelu (jitter): 12h
  • DNSKEY TTL: 3600s
  • NSEC3PARAM:Opt-Out

FI-vyöhykkeen DNSSEC-allekirjoittamiseen käytettävien avainten algoritmit ja eliniät ovat seuraavat:

  • Zone Signing Key (ZSK): RSA 1024-bit
  • Key Signing Key (KSK): RSA 2048-bit
KSK-avaimella allekirjoitetaan ainoastaan vyöhykkeen DNSKEY-tietueryhmä, kun taas ZSK-avainta käytetään vyöhykkeen muiden nimipalvelutietueiden, kuten allekirjoitettujen alivyöhykkeiden DS-tietueiden sekä fi-vyöhykkeen autoratiivisten tietueiden, allekirjoittamiseen.

Googlen kuvausauto kartoitti myös langattomia lähiverkkoja

Kevään mittaan kantautui julkisuuteen tietoja, joiden mukaan yhdysvaltalainen hakukoneyhtiö Google olisi kartoittanut myös langattomia lähiverkkoja samalla kun sen kuvausautot kiersivät ympäri maailmaa kuvaamassa tienäkymiä Street View ‑palvelua varten. Yhtiö myönsi julkisissa tiedotteissaan (linkki1, linkki2) että kuvausautot olivat passiivisin menetelmin keränneet tietoa langattomista lähiverkoista. WLAN-tukiasemien sijaintitietoja oli yrityksen mukaan tarkoitus käyttää tehostamaan paikannuspalvelujen kattavuutta ja tarkkuutta. Street View -auto kuvasi enimmän osan Suomea vuoden 2009 maaliskuun ja marraskuun välisenä aikana.

Alun haparoinnin jälkeen Google myönsi, että tukiasematietojen kartoittamisen yhteydessä sen kuvausautot tallensivat myös viestisisältöjä. Viestisisällöt kuuluvat perustuslain takaaman viestintäsalaisuuden piiriin. Autot tallensivat liikkuessaan näytteitä WLAN-verkkojen liikenteestä. Näytteet sisälsivät lyhyitä pätkiä tukiaseman ja siihen kytkeytyneen päätelaitteen välisestä liikenteestä. Yhtiön kertoman mukaan sen oli tarkoitus hyödyntää ainoastaan 802.11-protokollakehyksen otsikkokenttiä. Järjestelmä oli kuitenkin tallentanut kokonaisia kehyksiä viestisisältöineen.

Googlen mukaan viestisisältöjä ei ole hyödynnetty mitenkään ja data on sittemmin eristetty pois yhtiön tuotantojärjestelmistä. Yhtiö on myös tarjoutunut tuhoamaan keräämänsä tiedot. Uusien WLAN-kartoitusten tekeminen on ilmoituksen mukaan keskeytetty. Tällä hetkellä useiden maiden viranomaiset selvittelevät Googlen toiminnan laillisuutta ja arvioivat sen seuraamuksia. Suomessa Tietosuojavaltuutetun toimisto on käynnistänyt selvitykset Googlen toimista. Myös Viestintävirasto on kuullut Googlen edustajia ja tekee yhteistyötä tietosuojavaltuutetun kanssa.

CERT-FI on julkaissut ohjeen 7/2002 langattomien lähiverkkojen turvallisuudesta. Ohjeessa todetaan, että langattoman lähiverkon kautta siirrettyä tietoliikennettä on teknisesti helppo salakuunnella, mikäli yhteyttä ei ole suojattu salakirjoituksella. CERT-FI suositteleekin kytkemään WLAN-radioyhteyden salauksen päälle aina, kun se on mahdollista. Radiolinkin suojaaminen ei siis vielä riitä. Viestintävirasto julkaisikin vuonna 2009 ohjeen sähköisen viestinnän suojaamisesta. Ohjeessa suositellaan käyttämään menettelyjä, joilla tietoliikenneyhteys suojataan koko matkan ajan - käyttäjän päätelaitteesta asiointi­kumppanin tietojärjestelmään.

Haavoittuvuuskoordinoinnissa jatkuvasti uutta

CERT-FI:n koordinoimien haavoittuvuuksien määrä näyttää nousseen pysyvästi korkealle tasolle. Viimeksi kuluneen vuosineljänneksen aikana julkaistiin neljän haavoittuvuuskoordinointiprojektin tulokset.

Haavoittuvuuksia korjattiin Lexmarkin verkkotulostimista, sormenjälkitunnisteisiin perustuvista tietoturvaohjelmistoista, Linux-ytimen SCTP-toteutuksesta ja TIFF-kuvaformaatin käsittelyyn käytettävästä LibTIFF-kirjastosta.

Ohjelmistojen sormenjälkitunnisteiden käsittelyn haavoittuvuudet

Ohjelmakoodin tunnistaminen tiedostossa tai datavirrassa esiintyvän "sormenjäljen" perusteella (signature-based recognition) perustuu tietyn yksilöllisen tunnisteen erottamiseen sisällöstä.

Sormenjälkitunnisteisiin perustuvien tietoturvaohjelmistojen haavoittuvuus liittyy muun muassa virustorjuntaohjelmistojen ja tunkeutumisen havaitsemisjärjestelmien tapaan käsitellä pakattuja tiedostoja.

Heikkoudet raportoinut taho on kyennyt luomaan salaamattomia, yleisten pakkausformaattien mukaisia tiedostoja, jotka ovat useimpien purkuohjelmistojen näkökulmasta virheettömiä, mutta sormenjälkitunnisteisiin perustuvat ohjelmistot eivät aina havaitse tiedostojen sisällä olevaa haitallista sisältöä.

CERT-FI:n arvion mukaan vastaavan kaltaiset formaattien tulkintavirheisiin liittyvät suojauksen ohittamisen mahdollistavat haavoittuvuudet voivat olla luultua yleisempiä, sillä niitä ei aikaisemmin ole juuri tutkittu.

Pakkausformaattien käsittelyn heikkkouksia on mahdollista käyttää hyväksi tunnetun haitallisen tiedoston - esimerkiksi haittaohjelman - piilottamisessa selväkielisten pakattujen tiedostojen sisälle. Erityisen vakava haavoittuvuus on ympäristöissä, joissa käytetään virustarkistusta verkon yhdyskäytävässä, kuten sähkö­postipalvelimessa tai erillisessä virus­torjuntakoneessa.

Löydetyt heikkoudet koskevat useimpia tietoturvaohjelmistojen valmistajia. Eri valmistajien ohjelmistokorjauksien julkaisu pyrittiin ajoittamaan samanaikaiseksi.

TIFF-kuvien käsittelyn haavoittu­vuu­det ovat laajavaikutteisia

Mediaformaatteihin liittyviä haavoittuvuuksia on löydetty paljon viime vuosina, ja niitä on myös käytetty hyväksi useissa tunnetuissa hyökkäyksissä.

LibTIFF-kirjasto tai sen lähdekoodista johdettua koodia käyttävät tuotteet ovat käytössä varsin useissa TIFF-muotoisia kuvia tukevissa ohjelmistoissa. Tästä syystä kirjaston haavoittuvuudet vaikuttavat moniin esitys- ja kuvankäsittelyohjelmistoihin.

Haavoittuvuuskoordinoinnin näkökulmasta tapaus on ratkaistu vasta, kun loppuasiakkaat ovat asentaneet haavoittuviin tuotteisiinsa päivitykset. Tämä on haastavaa yleisesti käytettyjen kirjastojen ja avoimen lähdekoodin järjestelmien tapauksissa, sillä päivitettäviä ohjelmistoja on yleensä paljon.

Linux-ytimen SCTP-protokollan haavoittuvuus

Linux-ytimen SCTP-haavoittuvuuksien korjausten seuraaminen oli helpompaa, sillä myös SIGTRAN-nimellä tunnettua SCTP-tiedonsiirtoprotokollaa käytetään yleensä vain puhelinjärjestelmäyhteyksissä.

Verkkotulostimien ja monitoimilaitteiden haavoittuvuudet

Verkkotulostimiin ja monitoimilaitteisiin liittyviä haavoittuvuuksia ei osata vielä ottaa riittävästi huomioon.

Aikaisemmin "tyhminä" asiakaslaitteina toimineista kirjoittimista on kehittynyt täysimittaisia palvelinlaitteita, jotka kytketään tavallisesti yrityksen sisäverkkoon. Toisin kuin muita palvelimia, kirjoittimia harvoin hallitaan keskitetysti tai päivitetään ja ylläpidetään säännöllisesti.

Lexmarkin julkaisemat lausunnot (linkki1, linkki2) ja julkaistut päivitykset ovat hyvä esimerkki siitä, että monitoimilaitteet on otettava huomioon, kun verkkojen turvallisuutta varmistetaan.

Verkkoselaimiin ja niiden lisäosiin liittyvät haavoittuvuudet edelleen keskeisiä

Verkkoselaimet ovat tänä päivänä eniten käytettyjä ohjelmistoja. Selain on asennettu lähes jokaiseen päivittäisessä käytössä olevaan tietokoneeseen, samoin kuin moniin kannettaviin päätelaitteisiin.

Selainohjelmistojen haavoittuvuudet ovat olleet jo useamman vuoden ajan varsin laajasti haittaohjelmalevittäjien kohteena. Niin sanottu drive by download on tapa levittää haittaohjelmia houkuttelemalla käyttäjä sivustolle, jonka haitallinen sisältö käyttää hyväksi jotain selaimen haavoittuvuutta. Näin käyttäjän tietokone saadaan tartutettua haittaohjelmalla.

Kuluvan vuoden aikana on julkaistu lukuisia selainten tai niissä käytettävien lisäosien haavoittuvuuksia, joihin ei ole ollut julkaisuhetkellä saatavilla korjausta.

Adoben valmistamaan selaimen Flash-pluginiin liittyvät haavoittuvuudet koskevat lähes automaattisesti myös Adoben valmistamia PDF-tiedostojen käsittelemiseen tarkoitettuja ohjelmistoja, sillä ne sisältävät tuen PDF-dokumentteihin sulautetun Shockwave Flash -sisällön esittämistä varten.

Tiedostojen käsittely vaatii ohjelmistoilta paljon

Eri tiedostoformaatit voivat käytännössä sisältää lähes minkälaista sisältöä tahansa. Käyttäjän dokumenteiksi mieltävät tiedostot voivat sisältää esimerkiksi liikkuvaa kuvaa ja ääntä, erilaisia skriptejä tai suoritettavaa ohjelmakoodia - tai ne voivat käynnistää toisen sovelluksen sisällön käsittelemistä varten.

Tiedostoformaatti on usein vain sisällön varastoimista varten luotu määrämuotoinen "säiliö" (container), Tiedoston nimeen liittyvästä päätteestä ei välttämättä voi päätellä sisällön laatua.

Tiedostojen monipuolisuus on johtanut siihen, että myös niiden käsittelemiseen käytettävistä ohjelmistoista on kasvanut suuria ja niiden kehityksestä on tullut vaikeasti hallittavaa. Ohjelmistoista löydetäänkin jatkuvasti uusia virheitä ja haavoittuvuuksia.

Erityisesti PDF-dokumentteja pidettiin aikaisemmin melko turvallisena vaihtoehtona. Nykyisin monet haittaohjelmahyökkäykset perustuvat juuri PDF-tiedostojen käsittelyyn käytettävien ohjelmistojen haavoittuvuuksiin.

Virustorjuntaohjelman virhe esti käyttöjärjestelmän toiminnan

Huhtikuussa McAfee-virustorjunta­ohjel­miston haittaohjelmatietokannan päivitys johti siihen, että jotkin Windows-järjestelmät eivät enää käynnistyneet normaalisti. Tämä johtui siitä, että ohjelmisto luuli päivityksen jälkeen käyttöjärjestelmän ohjelmatiedostoa haittaohjelmaksi ja esti sen käynnistämisen.

Vian korjaaminen aiheutti paljon työtä järjestelmien ylläpitäjille, sillä virustorjuntaohjelman päivittämisen lisäksi karanteeniin siirretty tiedosto oli palautettava oikealle paikalleen.

Keskustelujärjestelmän palvelinohjelmistossa takaportti

Kesäkuussa löydettiin IRC-keskustelu­järjestelmän Unreal-palvelinohjelmistosta takaportti, joka mahdollisti luvattoman pääsyn palvelimelle. Takaportti oli lisätty vapaasti jaettavaan ohjelman lähdekoodiin, josta suoritettava ohjelmatiedosto luodaan.

Ylimääräisen ohjelmakoodin lisääminen onnistui, koska jaettavan ohjelmistopaketin sisällön koskemattomuutta ei ollut varmistettu tarkistussumman tai sähköisen allekirjoituksen avulla. Ohjelmiston valmistajat ovat ilmoittaneet ryhtyvänsä toimiin, joilla vastaavan toistuminen jatkossa estetään.

Tulevaisuuden näkymiä

Haittaohjelmia levitetään edelleen suosittujen verkkopalvelujen ja hakutulosten optimoinnin avulla. Kohdistetuissa haittaohjelmajakeluissa käytetään erityisesti sähköpostin liitteinä lähetettyjä PDF- ja Office-tiedostoja.

Sivua päivitetty 15.07.2010   Tulostusversio Tulostusversio