CERT-FI - Heinäkuu

30.07.2004

SSH-palveluun kohdistuneet hyökkäysyritykset lisääntyneet voimakkaasti

CERT-FI:lle on raportoitu useista eri lähteistä SSH-palveluun kohdistuneiden hyökkäysyritysten lisääntyneen voimakkaasti viime aikoina. Suurin osa hyökkäysyrityksistä ovat heikkojen salasanojen hyväksikäyttöyrityksiä, eikä niissä yritetä hyväksikäyttää varsinaisia ohjelmistohaavoittuvuuksia. Erityisesti salasana-arvaukset ovat kohdistuneet käyttäjätunnuksiin "test", "guest", "root" ja "admin". CERT-FI suosittelee ylläpitäjiä kiinnittämään huomiota käytössä olevien salasanojen turvallisuuteen erityisesti edellä mainittujen käyttäjätunnusten osalta.

28.07.2004

Zindos-mato hyökkää Microsoft.com:ia vastaan

Zindos-mato leviää alkuviikolla ilmestyneen Mydoom.M-viruksen saastuttamiin järjestelmiin avaaman takaportin kautta. Zindos-madon saastuttamat järjestelmät lataavat jatkuvasti sivua http://www.microsoft.com tarkoituksena ylikuormittaa Microsoft.com:n palvelimet. Toistaiseksi Zindos-mato ei ole levinnyt niin laajalle, että se aiheuttaisi merkittäviä ongelmia Microsoft.com-palvelun käytettävyydelle.

27.07.2004

Mydoom-viruksesta uusi variantti

Maanantaina leviämisen aloittaneen Mydoom-sähköpostiviruksen uusi variantti Mydoom.M on levinnyt jo varsin laajalle. Suomessa ei ole toistaiseksi havaittu varsinaista epidemiaa, mutta yksittäistapauksia on tullut CERT-FI:n tietoon. Mydoom.M-virusviestit sisältävät liitetiedoston, joka voi olla monessa eri formaatissa ja nimetty monella eri tavalla. Virusviestin otsake ja viestin sisältö on kirjoitettu englanniksi. Mydoom.M-virusviesti voi olla naamioitu virheilmoitukseksi viestistä, jota ei ole pystytty toimittamaan perille.

Mydoom.M-virukselta voidaan suojautua parhaiten välttämällä epäilyttävien sähköpostiliitetiedostojen avaamista ja käyttämällä ajantasaisella virustunnisteilla varustettua virustorjuntaohjelmistoa.

14.07.2004

Uusia vakavia haavoittuvuuksia Microsoftin tuotteissa

Microsoft on julkaissut 13.7.2004 seitsemän uutta tietoturvatiedotetta, joista osa on luonteeltaan kriittisiä. Haavoittuvuudet koskettavat useaa eri Windows-käyttöjärjestelmän komponenttia sekä Outlook Express -sähköpostiohjelmaa sekä IIS 4.0 -palvelinohjelmistoa. Microsoftin tietoturvatiedotteet ovat saatavilla osoitteesta:

http://www.microsoft.com/technet/Security/default.mspx

CERT-FI suosittaa kaikkien haavoittuvien tietojärjestelmien välitöntä päivittämistä Microsoftin tietoturvatiedotteiden mukaisesti. Kotitietojärjestelmiin koskettaviin haavoittuvuuksiin on mahdollista ladata korjaustiedostot suoraan osoitteesta:

http://windowsupdate.microsoft.com

CERT-FI on julkaissut Microsoftin haavoittuvuuksista varoitukset 48/2004, 49/2004, 50/2004 ja 51/2004.

13.07.2004

Uusi troijalainen leviää

CERT-FI:n saamien tietojen mukaan Internetissä leviää aktiivisesti uusi troijalaisen aiheuttama verkkohyökkäys. Heinäkuun 13. päivän aikana ko. trjoijalaista on messagelabsin mukaan pysäytetty jo muutamia tuhansia kappaleita. Troijalainen leviää sähköpostin välityksellä sisältäen IFRAME-linkin www-sivustolle, joka taas aktivoituessaan johtaa kolmannelle www-sivustolle. Messagelabsin mukaan VBS/INOR aktivoituu tässä vaiheessa ladaten kohdejärjestelmään ss.exe-nimisen uuden troijalaisen. Troijalainen lähettää tietoa takaisin hyökkääjälle, jonka perusteella hyökkääjän on mahdollista saavuttaa kohdetietojärjestelmän hallinnan.

Sähköpostit, jonka välityksellä haitallisen koodin sisältämä linkki toimitetaan käyttäjälle, sisältävät mm. seuraavia otsikkotietoja: Amateur swingers, Are you lonely?, Are you looking for companionship?, Are you looking for love?, Are you looking for romance?, Become a friend, Become a intruder, Can me make me beg for your love?, Can you let me be with you?, Can you let me in your dreams?

12.07.2004

Modeemiyhteyksien uudelleenohjaukset yleistyneet

Viestintäviraston CERT-FI on saanut tietoonsa uusia tapauksia modeemipohjaisten Internet-yhteyksien uudelleenohjauksista. Tyypillisesti uudelleenohjaukset toteutetaan jonkin www-sivustoilla olevan palvelun välityksellä niin, että käyttäjää neuvotaan valitsemaan uusi modeemisoittosarjan numero, jotta hän pystyisi käyttämään kyseenomaista palvelua. CERT-FI kehottaa modeemikäyttäjiä tarkkaavaisuuteen niiden Internetin www-sivustoilla olevien palveluiden kanssa, jotka vaativat modeemiyhteysasetuksien muuttamista sekä tutustumaan tarkoin näiden palveluiden käyttöehtoihin ennen ko. palveluiden käyttöä. Jos epäilet, että modeemiyhteytesi ei ohjaudu palveluntarjoajasi modeemisoittosarjaan, tarkista modeemiyhteysasetuksesi oikeellisuus käyttöjärjestelmän verkkoasetuksista.

08.07.2004

Taloudellista hyötyä tavoittelevat tietoverkkohyökkäykset yleistyvät

Internetin lieveilmiöt kohdistuvat yhä enenevässä määrin taloudellisen hyödyn tavoitteluun. Hyökkääjät kohdistavat toimiaan roskapostituksen lisäksi mm. luottokorttinumeroiden anastamiseen, erityyppiseen huijaus- ja kiristystoimintaan sekä verkkoasioinnissa käytettävien käyttäjätunnuksien ja salasanojen hankkimiseen.

Edellä mainituille seikoille yhteiseksi tekijäksi ovat nousemassa yhä useammin murretut kotitietojärjestelmät, joiden kautta ja joiden avulla voidaan mm. lähettää roskasähköpostia, ylläpitää hyökkääjän toimesta huijaustoimintaan tarkoitettuja www-sivustoja tai kohdistaa palvelunestohyökkäyksiä kolmansiin tietojärjestelmiin. Hyökkääjä voi tyypillisesti yrittää murtaa kotitietojärjestelmiä mm. haittaohjelman, ohjelmistohaavoittuvuuteen tehdyn hyödyntämismenetelmän tai kohdejärjestelmässä olevan heikon salasanan avulla. Käyttäjä voi myös saada haittaohjelmatartunnan huomaamattaan esimerkiksi Internetin suosituilta sivustoilta. Yhtenä uusimmista ilmiöistä Viestintävirasto on saanut tietoonsa tapauksia, joissa tietoja varastavia haittaohjelmia on levinnyt tunnettujen ja laillisten web-palveluiden kautta. Kyseessä ovat tällöin olleet heikosti ylläpidetyt palvelimet, joihin haittaohjelmaa levittävä koodi on ollut mahdollista asentaa - tällöin käyttäjällä ei välttämättä ole ollut mahdollisuutta ymmärtää olevansa riskissä saada haittaohjelma omalle koneelleen kyseisillä sivuilla vieraillessaan. Ongelman hankaluutta lisää se, että tietoja varastavat haittaohjelmat voivat toimia kohdejärjestelmässä hyödyntäen sallittuja ohjelmistorajapintoja - käyttäjällä ei siis välttämättä ole myöskään ollut keinoa havaita koneessa toimivaa vihamielistä ohjelmaa.

On tärkeää huomioida, että hyökkääjän murtautuessa kotitietietojärjestelmään tai haittaohjelman toimiessa kotitietokoneessa ovat kaikki sen sisältämät tiedot sekä sillä tehtävät toimet hyökkääjän hallittavissa. Verkkoasiointia harjoittaville yrityksille asia on ongelmallinen, sillä kyseessä on asiakkaan koneessa oleva ongelma, joka realisoituu sähköisessä palvelussa. Verkkoasiointia harjoittavat yritykset voivat osittain suojata palveluitaan myös kotikäyttäjien puolesta käyttämällä esimerkiksi kertakäyttöisiä salasanoja, jolloin yksittäisen salasanan joutuminen vääriin käsiin ei mahdollista koko palvelun avautumista hyökkääjälle. Turvallisen verkkoasioinnin ja muun kotitietojärjestelmän käytön takaamiseksi tulee kotikäyttäjän käyttää palomuuria, ajantasaista virustorjuntaohjelmistoa, sekä huolehtia käytössä olevien ohjelmien turvallisuudesta asentamalla niihin tietoturvapäivitykset.

06.07.2004

CERT-FI osallistuu kansainvälisiin tietoturva-alan foorumeihin

Viestintäviraston CERT-FI seuraa aktiivisesti kansainvälistä tietoturvatilannetta ja osallistuu myös eri tietoturva-alan foorumeihin ja työryhmiin, joista esimerkkeinä TERENAn TF-CSIRT sekä eurooppalaisten valtiollisten CERT-toimijoiden ryhmä EGC, joiden työssä keskitytään mm. tietoturvaloukkaustilanteiden ratkaisumallien kehittämiseen sekä yhteistyön tehostamiseen eri maiden CERT/CSIRT -toimijoiden kesken.