Maaliskuu

29.03.2007

Windowsin animoitujen kursorien haavoittuvuutta käytetään hyväksi

Windowsin animoitujen kursoritiedostojen käsittelystä löytynyttä haavoittuvuutta käytetään jo haittaohjelmien levittämiseksi. Huomaamattoman tartunnan saamiseksi riittää, että vierailee selaimella vihamielisellä sivustolla ja lataa hyökkäyskoodia sisältävän tiedoston. Tartunnan voi saada myös avaamalla tai esikatselemalla sähköpostiviestissä tulleen liitetiedoston.

28.03.2007

Microsoft julkaisi työkalun muutosten havainnointiin Windows XP-järjestelmissä

Microsoftin julkaiseman Change Analysis Diagnostic -työkalun avulla käyttäjä saa tietoa käyttöjärjestelmän sekä asennettujen ajurien, ohjelmistojen, ActiveX-komponenttien sekä selainlaajennusten muutoksista järjestelmässä. Työkalun avulla voi olla mahdollista havaita esimerkiksi haittaohjelman asentuminen järjestelmään. Microsoft on suunnannut työkalun erityisesti teknisen tuen apukeinoksi. Työkalu on ladattavissa osoitteesta:

http://support.microsoft.com/kb/924732

28.03.2007

Laaja verkkourkinta jatkuu

Nordean verkkopankin asiakkaiden tietoja urkkiva 21.3. alkanut phishing-kampanja on osoittautunut laajaksi eikä kaikkia huijaussivustoja ole vieläkään saatu suljetuksi. Sivuille ohjaavia sähköpostiviestejä arvioidaan lähetetyn jopa miljoonia. Sivuilla kysellään suomalaisten lisäksi Norjan, Ruotsin, Tanskan, Saksan, Viron, Liettuan, Luxembourgin, Latvian ja Puolan palvelujen tunnuksia.

Toistaiseksi on tiedossa ainakin seuraavat huijauksessa käytettävät verkkotunnukset:

a5audi.cc, bludh6.tv, coit.hk, custid.hk, ddibb.hk, ddjde.hk, df4dd.hk, dllsdk.hk, dllsid.hk, dsdhh3.hk, dsjue3.hk, ehhfhs.hk, ere4.hk, erw3d.hk, file7.hk, fjd3a.hk, hddh6.ws, hkpermanent.hk, hktech.hk, hsa.hk, ident.hk, ident1.hk, idname.hk, idrt.hk, idusers.hk, it-cl.hk, itdo.hk, itprodll.hk, itsup.hk, jhshs.hk, kfiaudi.ms, kletro.hk, k44jd.hk, lltco.hk, louf3.hk, lovlive.be, myhdyd.nu, pdasell.hk, pddfd.hk, reuser.hk, sdjsa.hk, seem.hk, serkft.hk, sndhsu.hk, sstrack.hk, stackdr.hk, techhk.hk, tenret.hk, tokret.hk, tokretweb.hk, toptenret.hk, troniek.hk, troniekweb.hk, uee7hf.hk

Käyttäjän hämäämiseksi on selaimessa näkyvään osoitteeseen lisätty näennäisesti Nordeaan viittaava osa, esimerkiksi:

http://www.nordea.com.sitemod.session672033840.lltco.hk/client.aspx

Tämänkertaiseen huijausoperaatioon on käytetty ainakin seitsemää eri palvelinta Virossa, Romaniassa, Bulgariassa, Koreassa, Chilessä ja Yhdysvalloissa. Näistä neljä on vielä toiminnassa tätä kirjoitettaessa:

• 85.130.89.181 (Bulgaria)
• 211.40.23.210 (Korea)
• 219.251.166.157 (Korea)
• 80.97.64.230 (Romania)

CERT-FI:n tietojen mukaan samoja palvelimia käytetään samanaikaisesti kymmenien tai jopa satojen huijaussivustojen tarjoamiseen. Toteutustapa viittaa siihen, että siinä on käytetty ns. Rock Phish -verkkourkintatyökalua, jota voi käyttää valesivustojen luomiseen.

Suomalaiset palvelut yleistyvät kohteina

Ulkomaisiin verkkopalveluihin kohdistuvia huijausyrityksiä esiintyy jatkuvasti, mutta myös suomalaisten pankkien ja muiden yritysten asiakkaiden tunnusten urkkimisyritykset ovat yleistymässä. Palvelujen toteuttajien ja niiden käyttäjien täytyy ottaa huomioon, että myös kotimaisiin palveluihin kohdistuva phishing on arkipäivää.

• pyri kaikin tavoin varmistumaan siitä, että todella selailet oikeita sivuja - jos sivut näyttävät muuttuneen, ole erityisen tarkkana
  
• älä syötä sivuille useita kertakäyttösalasanoja tai varmistuskoodeja kerrallaan - oikeissa palveluissa niistä tarvitaan vain yhtä
• jos kuitenkin erehdyt syöttämään tunnukset epäilyttävälle sivustolle, ota heti yhteyttä palvelun ylläpitäjään
  
• älä käytä samaa tunnusta ja salasanaa useissa eri palveluissa
• palvelujen ylläpitäjät eivät tarvitse salasanaasi mihinkään eivätkä kysele sitä sähköpostitse
  

CERT-FI seuraa myös phishing-ilmiön kehittymistä ja avustaa huijaussivustojen löytämisessä ja sulkemisessa.

26.03.2007

Hyväksikäyttömenetelmä Windowsin MDAC-haavoittuvuuteen (MS07-009)

Windowsin helmikuussa korjaamaan MDAC-haavoittuvuuteen on julkistettu hyväksikäyttömenetelmä, joka mahdollistaa hyökkääjän suorittavan kohdejärjestelmässä omia komentojaan. Haavoittuvuutta tullaan hyvin todennäköisesti käyttämään hyväksi aktiivisesti.

CERT-FI julkaisi helmikuun haavoittuvuuksista varoituksen 04/2007. Päivitä haavoittuvat järjestelmät valmistajan ohjeiden mukaisesti.

26.03.2007

Tilastoja ja julkaisuja tietovuodoista

Tietovuodot ovat saaneet viime kuukausina mediassa runsaasti huomiota. Henkilötietojen lisääntyvä siirtäminen verkkopalveluissa ja sähköisissä tietokannoissa käsiteltäviksi tulee yhdessä kiristyvän lainsäädännön kanssa vain lisäämään vuotojulkistusten määrää.

Sähköisten palveluiden tarjoajien voikin olla hankala arvioida säilyttämiensä tietojen arvoa ja niihin liittyvää riskiä. Listat ja tilastot julkistetuista tietovuodoista voivat olla apuna henkilötietoihin liittyvässä riskienhallinnassa. CERT-FI pyrkii kokoamaan julkisista lähteistä saatavilla olevia tietoja, joista lyhyt kooste alla.

Listoja julkistetuista tietovuodoista:

• http://privacyrights.org/ar/ChronDataBreaches.htm
• http://attrition.org/dataloss/dldos.html
• http://idtheft.about.com/od/databreaches2007/a/Databreaches07.htm
• http://idtheft.about.com/od/dataandstat1/a/2006_breaches.htm

Analyysejä tietovuotojen syistä ja kustannuksista:

• http://www.wiareport.org/documents/jcmcfullpaper.pdf
• http://www.projects.ncassr.org/storage-sec/papers/storagess06.pdf
  
• http://www.computerworld.com/pdfs/PGP_Annual_Study_PDF.pdf
  

26.03.2007

Korjaamattomat Microsoft-haavoittuvuudet

Kaikkiin viime kuukausien aikana julkistettuihin Microsoft-haavoittuvuuksia ei ole julkaistu korjauksia. ISC SANS ja eEye jäljittävät näitä korjaamattomia haavoittuvuuksia sivuillaan. ISC merkitsee haavoittuvuuksiin myös arviot niiden vakavuuksista.

• http://isc.sans.org/diary.html?storyid=1940
• http://research.eeye.com/html/alerts/zeroday/index.html
  

Secunia on vastaavasti listannut korjaamattomia haavoittuvuuksia Internet Explorer 7:sta.

• http://secunia.com/product/12366/?task=advisories

22.03.2007

Nordean verkkopankin käyttäjätunnukset ja salasanat phishingin kohteena

Viime yönä on levitetty roskapostiviestejä, joissa on mukana linkki huijaussivustolle, jolla kysellään Nordean verkkopankin käyttäjien käyttäjätunnuksia ja tunnuslukuja. Sähköpostiviestissä oleva linkki näyttää osoittavan Nordean sivuille, mutta todellisuudessa vie huijaussivustolle, jonka osoite alkaa www.nordea.com, jatkuu satunnaisella sessionumerolla ja päättyy Hong Kongiin rekisteröityyn verkkotunnukseen.

Huijaussivusto on englanninkielinen, mutta huijausyritys kohdistuu myös Nordean suomalaisiin asiakkaisiin. Sivuilla pyydetään ensin valitsemaan maa ja syöttämään sivuille oma nimi, puhelinnumero, pankkipalvelun käyttäjätunnus ja kymmenen seuraavaa käyttämätöntä kertakäyttösalasanaa.

14.03.2007

"Ikuinen" palvelunestohyökkäys - tapaus Allaple ja outo ICMP-liikenne

CERT-FI on käsitellyt heinäkuusta 2006 lähtien tapausta, jossa suomalainen organisaatio on ollut sitkeän palvelunestohyökkäyksen kohteena.

Tapaukseen liittyen on viime aikoina useilla tietoturva-aiheisilla foorumeilla käyty keskustelua ICMP-protokollaliikenteen kohonneista määristä. Määrän kasvun uskotaan suureksi osaksi selittyvän Allaple-verkkomadon aiheuttamalla verkon skannauksella. CERT-FI on seurannut tilannetta hyvin aktiivisesti jo kahdeksan kuukauden ajan. Olemme myös tehneet aktiivista yhteistyötä hyökkäyksen kohteena olleiden suomalaisorganisaatioiden kanssa. CERT-FI julkaisi tapaukseen liittyen Tietoturva nyt! -artikkelin viime joulukuussa.

Allaple on polymorfinen verkkomato, joten jokainen haittaohjelman esiintymä poikkeaa muista esiintymistä. Haittaohjelmassa ei ole komentokanavaa, joten haittaohjelmaa ei voi etäohjata. Allaplen ensimmäiset versiot levisivät Radmin-etähallintaohjelmien heikkoja salasanoja arvaten. Myöhemmät versiot käyttävät hyväkseen Windowsissa olevia vanhoja haavoittuvuuksia. Kaikkiin tähän asti tunnistettuihin Allaple-varianttien käyttämiin hyökkäysvektoreihin on saatavilla haavoittuvuuden poistava korjaus. Jokainen haittaohjelman versio etsii kovalevyltä html-tiedostoja, ja lisää OBJECT-tagin viittamaan itseensä. Tällä tavoin haittaohjelma pyrkii varmistamaan aktivoitumisen.

Lisääntyneen ICMP-protokollaliikenteen lisäksi haittaohjelma aiheuttaa palvelunestohyökkäyksen kolmea sivustoa kohtaan. Yksi sivustoista sijaitsee suomalaisen palveluntarjoajan verkossa. Komentokanavan puuttuminen aiheuttaa sen, että palvelunestohyökkäys tulee jatkumaan niin kauan kun verkossa on haittaohjelman saastuttamia koneita. Palvelunestohyökkäys on toteuttu tyypillisesti lähettämällä suuri määrä SYN-paketteja tai HTTP GET -pyyntöjä.

Allaplen voi havaita verkkoliikenteestä muun muassa seuraavin keinoin:

• Verkkoliikenteessä esiintyy ICMP-paketteja, joissa on sisältönä teksti "Babcdefghijklmnopqrstuvwabcdefghi"
• ICMP ECHO -paketteja, joissa on kohteina muiden osoitteiden lisäksi myös oktetteihin 255 ja 0 päättyviä osoitteita, esimerkiksi 192.168.1.255 tai 192.168.1.0

CERT-FI on tiedottanut tapauksesta suomalaisille verkkopalvelujen tarjoajille sekä kansainväliselle CERT-yhteisölle. CERT-FI on kiinnostunut kaikista palvelunestohyökkäykseen ja haittaohjelmaan liittyvistä havainnoista ja lisätiedoista. Suosittelemme ottamaan yhteyttä päivystäjäämme sähköpostitse.

11.03.2007

Uudistuksia CERT-FI:n tiedotteisiin

CERT-FI:n julkaisemien tietoturvallisuuden tilannekuvatuotteiden jaottelu uudistuu maanantaista 12.3.2007 alkaen.

Jatkossa tiedotteet jakaantuvat kolmeen ryhmään, joiden nimet ovat Varoitukset, Tietoturva nyt! ja Haavoittuvuudet (UUSI). Kaikkia tiedotteita voi seurata CERT-FI:n www-sivuilta osoitteesta www.cert.fi sekä RSS-syötteinä. Osa tiedotteista poimitaan myös teksti-tv:n sivulle 848. Varoituksista lähetetään heräte sähköpostitse ilmaisen CERT-FI-ALERT-listan tilaajille sekä maksullisen tekstiviestipalvelun kautta.

Varoitukset

Varoitus julkaistaan, kun muuttunut tilanne edellyttää konkreettisia toimia tieto- ja viestintäjärjestelmien suojaamiseksi tietoturvallisuutta vaarantavaa uhkaa vastaan. Tietoturvallisuustilanteen arvioinnissa keskeistä on tapahtuman tai uhan vaikutus suomalaisiin yrityksiin, yhteisöihin tai kansalaisiin.

Tietoturva nyt!

Ajankohtaisia tietoturvallisuuteen liittyviä asioita ja ilmiöitä käsitellään päiväkirjamaisesti Tietoturva nyt! -artikkeleina. Kerran julkaistua artikkelia ei päivitetä tai poisteta. Tarpeen vaatiessa päivittynyt tieto tai oikaisu todetaan uudessa artikkelissa. Tietoturva nyt! -artikkelien julkaisukynnys vaihtelee tapauskohtaisesti, mikä tulee huomioida mahdollisten toimenpiteiden kiireellisyyttä arvioitaessa.

Haavoittuvuustiedotteet (uusi kategoria)

CERT-FI:n tietoon tulleista suomalaisten kannalta merkittävistä tietojärjestelmien tietoturvallisuutta vaarantavista ohjelmisto- tai laitevirheistä julkaistaan teknisiä haavoittuvuustiedotteita. Haavoittuvuudet luokitellaan kohteena olevien järjestelmien, hyökkäystavan, haavoittuvuuden hyväksikäytön aiheuttamien vahinkojen ja ongelman korjaavien toimenpiteiden mukaisesti. CERT-FI kannustaa hyödyntämään US-CERT:in ylläpitämää haavoittuvuuksien CVSS-pisteytystä riskienhallinnan tukena.

Haavoittuvuuden aiheuttamasta erityisestä uhasta voidaan julkaista myös varoitus tai Tietoturva nyt! -artikkeli.

11.03.2007

CERT-FI-INFO-postituslista poistetaan tarpeettomana

Pitkään käyttämättömänä ollut sähköpostijakelu CERT-FI-INFO poistetaan tarpeettomana käytöstä. Muutos ei edellytä postituslistan tilanneilta mitään toimenpiteitä, eikä siitä tiedoteta postituslistalla. Jakelulistan lakkauttaminen on osa CERT-FI:n tilannekuvapalvelujen uudistusta.

CERT-FI:n varoitukset lähetetään jatkossakin sähköpostitse CERT-FI-ALERT-listan tilaajille sekä tekstiviestinä SMS-palvelun tilanneille.

04.03.2007

Suomeen kohdistuva "money mule" -rekrytointikampanja käynnissä

Phishing-toimintaan liittyy pankkien www-sivustoilta näyttävien huijaussivustojen ja phishing-roskapostiviestien lisäksi myös toinen puoli: huijauksella haltuunsaatujen varojen välittäjien rekrytointi. Tämä toiminta tapahtuu usein asialliselta vaikuttavilla sähköpostiviesteillä, jossa etsitään kansainväliselle yritykselle esimerkiksi "financial manager"- tai "international currency trader"-nimikkeillä uusia työntekijöitä.

Viesteissä luvataan siistiä sisätyötä oman kotitietokoneen ääressä. Kyseessä on kuitenkin rahanpesuun ja rikollisesti hankittuun omaisuuden välittämiseen liittyvä toiminta.

Viesteihin ei kannata vastata millään tavalla. Viesteistä voi välittää kopion poliisille - mukaanlukien viestin täydelliset otsikkotiedot.

Esimerkki CERT-FI-yksikön tänään vastaanottamasta Suomeen viittaavasta rekrytointiviestistä:

A Finnish design and production corporation specialized in the stone
industry, which utilizes the ability rich in tradition with new
technology offers vacancies in Trading Management
as a consequence of the trading market expansion.

Here are our requirements to candidate who would like to apply for
this vacancy :
- High communication skills. Ability to work with people
face-to-face, telephone conversation, business correspondence ect.
- desire to build the career.
- pernament access to the Internet
- analytical and organizational skills
- basic knowledge of trading management
- knowledge of Microsoft Outlook, Microsoft Word.
- age 21 +

Working with us you will be granted with different benefits,for
example you will become our initial sales representative, meaning
that you will also be a middleman between the seller and the buyer
from your country.
Doing your work you will gain authority with people from all around
the world relying on your service. There will be no delays or
hold-ups concerning salary and moreover you will receive weekly
bonuses for outstanding performance. Above all, possible career
growth is also guaranteed

Please fill the application form below, and we will contact you for
an interview.

APPLICATION FORM:

1. Your full name:
2. Your country:
3. Your full adress.
4. Your mobile contact phone:
5. Your home contact phone:
6. Your contact email:


If You are interested, please reply with "Application form" subject
we are looking forward to have a perfect collaboration with you!

02.03.2007

"The Month of PHP Bugs" -kampanja käynnissä

PHP-ohjelmointikieltä käytetään yleisesti web-sovellusten toteutusalustana. PHP-sovelluksista on löydetty varsin paljon ohjelmointivirheitä. PHP-haavoittuvuuksien hyväksikäyttö onkin eräs käytetyimmistä www-palvelimiin kohdistuvista hyökkäysmenetelmistä.

PHP-asiantuntija Stefan Esserin käynnistämä "The Month of PHP Bugs" -kampanja keskittyy PHP-sovellusvirheiden sijaan itse PHP-ohjelmointikielen haavoittuvuuksiin ja tietoturvaongelmiin. Seuraavan kuukauden aikana on odotettavissa huomattava määrä haavoittuvuustietoa ja mahdollisesti myös päivityksiä haavoittuvuuksiin. PHP-ympäristöä käyttävien www-palveluiden ylläpitäjien ja sovelluskehittäjien on syytä seurata tilannetta tarkasti. Tätä kirjoitettaessa kampanjan www-sivulla on esitelty jo 5 haavoittuvuutta.

Kampanjan sivut ovat osoitteessa http://www.php-security.org.