Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Tietoturva nyt! > 2007 > Huhtikuu

Huhtikuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

30.04.2007

Korjaus DNS-palvelimien kartoitusta koskevaan artikkeliin

Mainitsimme edellisessä Tietoturva nyt! -artikkelissa, että Yhdysvaltalainen UltraDNS aikoo lähettää jokaiseen julkiseen IP-osoitteeseen nimipalvelukyselyn osana tutkimusta, joka pyrkii selvittämään verkossa olevien nimipalvelinten määrää ja levinneisyyttä.

Edellisessä artikkelissa ilmoitetusta poiketen kyselyssä kysytään erästä UltraDNS:n hallussa olevaa A-tietuetta. Kyselyn tunnistaa siitä, että kyselyn lähde-IP-osoitteen PTR-kysely palauttaa ultradns.net-verkkotunnuksen alla olevan DNS-nimen.

Kartoituksen taustalla on muun muassa huoli liian avoimeksi määriteltyjen DNS-palvelinten (ns. resolveripalvelinten) aiheuttamasta uhasta Internetin turvallisuudelle.

CERT-FI:lle on aiemmin toimitettu suomalaisten avoimeksi määriteltyjen ja palvelunestohyökkäyksiin osallistuneiden nimipalvelinten osoitteita. Lisäksi CERT-FI:lle on toimitettu listoja suomalaisiin verkkoihin sijoittuneista Windows-nimipalvelimista, joissa saattaa olla haavoittuvuustiedotteessa 022/2007 kuvattu haavoittuvuus. Olemme tarvittaessa olleet yhteydessä palvelimien ylläpitäjiin ja kehottaneet huolehtimaan nimipalvelinten turvallisuudesta.

29.04.2007

Internetin DNS-palvelimia kartoitetaan

Yhdysvaltalainen UltraDNS aikoo lähettää jokaiseen julkiseen IP-osoitteeseen nimipalvelukyselyn. Operaatio on osa tutkimusta, joka pyrkii selvittämään verkossa olevien nimipalvelinten määrää ja levinneisyyttä.

Kysely on aivan tavallinen porttiin 53 suunnattu UDP-paketti, jossa kysytään lähettäjän hallussa olevan hostnamen A-tietuetta. Jos kohdeosoitteessa on nimipalvelin, se todennäköisesti vastaa kyselyyn. Vastaukset kirjataan analysointia varten.

Liian avoimiksi määritellyt resolverinimipalvelimet voivat olla uhka verkon toimivuudelle, sillä niitä voidaan käyttää palvelunestohyökkäysten välineinä.

20.04.2007

RSS-syötteiden julkaisuongelma korjattu

Rikkinäinen RSS-syöte korjattiin käsin kello 12.26. Julkaisujärjestelmä on korjattu kello 13.29. Pahoittelemme häiriötä.

20.04.2007

Ongelmia CERT-FI:n RSS-syötteiden julkaisussa

CERT-FI:n Tietoturva nyt! -artikkelien RSS-syöte on ollut rikki tästä aamusta kello 9.45 lähtien. Vika on tiedossa ja sen korjaaminen on käynnistetty.

20.04.2007

Ohje haittaohjelman saastuttamaksi epäillyn tietokoneen tutkintaan

CERT-FI on julkaissut ohjeen 1/2007. Ohje käsittelee haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaa. Ohje on suunnattu peruskäyttäjille ja hieman perustasoa edistyneemmille käyttäjille. Ohjeessa neuvotaan tarkistuslistamaisesti ensitoimenpiteitä haittaohjelmatartuntaepäilyjen todentamiseksi ja luetellaan hyväksi katsottuja lisätietolähteitä. Ohjeen pariin voi ohjata henkilöitä henkilöitä, jotka epäilevät haittaohjelmatartuntaa Windows-järjestelmässä, mutta epäilyä ei ole todennettu.

19.04.2007

Yhteenveto haavoittuvuuskuukausikampanjoista

Viimeisten kuukausien aikana haavoittuvuuskuukausikampanjat ovat tulleet tutuiksi tietoturvayhteisölle. Kampanjoiden tarkoituksena on ollut julkaista kuukauden aikana tiettyyn ohjelmistotyyppiin tai tietyn valmistajan tuotteisiin liittyviä ohjelmistovirheitä ja haavoittuvuuksia. Tähän hetkeen mennessä neljä bugikuukausikampanjaa on saatu päätökseen. Tässä artikelissa esitetään yhteenveto ja tilastotietoa tähänastisista kampanjoista.

Laajempi yhteenveto alkuvuoden 2007 tietoturvatilanteesta on esitetty CERT-FI Tietoturvakatsauksessa 1/2007. Tilastotietona tässä artikkelissa käytetään muun muassa haavoittuvuuksien uhka-analyysissä hyödynnettävää CVSS-pisteytystä. CVSS-pisteillä kuvataan haavoittuvuuden vakavuutta ja siinä huomioidaan muun muassa haavoittuvuuden vaatima hyökkäystapa ja haavoittuvuuden hyväksikäyttömahdollisuudet. Ilmoitetut tunnusluvut on laskettu haavoittuvuuksien CVSS-peruspisteiden (base score) perusteella.

Haavoittuvuuksien luokittelussa on käytetty US-CERT:n NVD-tietokannassa käytettyä vakavuusluokittelua, jossa vakaviksi (korkea vakavuusaste, high severity) on luokiteltu ne haavoittuvuudet, joiden CVSS-pistearvo on 7,0 tai enemmän.

Month of Browser Bugs

Vuoden 2006 heinäkuu oli Month of Browser Bugs. Se oli ensimmäinen haavoittuvuuskuukausikampanja ja se keskittyi selainhaavoittuvuuksiin. Haavoittuvuuksia julkaistiin yhteensä 31 kappaletta ja ne jakautuivat seuraavasti:

Selain

Haavoittuvuuksien lukumäärä

CVSS-pistekeskiarvo

Vakavien haavoittuvuuksien määrä

Apple Safari 2 4,7 1
KDE Konqueror 1 1,9 0
Microsoft Internet Explorer 25 2,5 1
Mozilla 2 6,3 1
Opera 1 2,3 0

Kaikkien Month of Browser Bugs -haavoittuvuuksien CVSS-pistekeskiarvo oli 2,8. Haavoittuvuudet olivat siis pääasiassa melko vaarattomia. NVD-luokituksessa 3,9 CVSS-pistettä tai vähemmän saaneet haavoittuvuudet kuuluvat matalan vakavuusasteen luokkaan. Useimmat julkaistuista haavoittuvuuksista eivät mahdollista varsinaista hyväksikäyttöä, mutta niitä hyödyntämällä hyökkääjä saattaa saada haavoittuvan selainsovelluksen kaatumaan.

Kaikki vakaviksi luokitellut Month of Browser Bugs -haavoittuvuudet on korjattu, mutta osa vähemmän CVSS-pisteitä saaneista on vielä vailla vahvistettua korjausta. Lähes kaikkiin haavoittuvuuksiin on kuitenkin olemassa ainakin rajoitusmahdollisuus. Microsoft Internet Explorerista löydetyistä 25 haavoittuvuudesta 21 liittyi ainakin osittain ActiveX-tekniikkaan. Kaikki selainhaavoittuvuudet olivat etäkäyttöisesti hyväksikäytettäviä.

Month of Kernel Bugs

Vuoden 2006 marraskuu oli Month of Kernel Bugs. Se keskittyi käyttöjärjestelmien ydinkomponenteista (engl. kernel) ja niihin liittyvistä laiteajureista löytyviin haavoittuvuuksiin. Haavoittuvuuksia julkaistiin yhteensä 30 kappaletta (yksi haavoittuvuus koski sekä FreeBSD- että Mac OS X-käyttöjärjestelmiä) ja niistä 9 oli etäkäyttöisesti hyväksikäytettäviä. Haavoittuvuudet jakautuivat seuraavasti:

Valmistaja

Haavoittuvuuksien lukumäärä

CVSS-pistekeskiarvo

Vakavien haavoittuvuuksien määrä

Apple 10 5,0 5
Broadcom 1 7,0 1
D-Link 1 10,0 1
FreeBSD 2 3,6 0
GNU/Linux 11 2,6 1
NetGear 3 9,0 3
Solaris 1 2,3 0
Windows 1 7,0 1

Kaikkien Month of Kernel Bugs -haavoittuvuuksien CVSS-pistekeskiarvo oli 4,6, joka on vakavuusasteikolla keskitasoa. Neljä haavoittuvuutta (CVE-2006-5972, CVE-2006-6055, CVE-2006-6059, CVE-2006-6061) sai täydet 10 CVSS-pistettä. Kaikki vakaviksi luokitellut haavoittuvuudet on korjattu. Julkaistuista haavoittuvuuksista 8 on tällä hetkellä vailla vahvistettua korjausta.

Month of Apple Bugs

Vuoden 2007 tammikuu oli Month of Apple Bugs. Se keskittyi Applen tuotteista tai Applen tuotteissa käytettävistä kolmansien osapuolien ohjelmistoista löytyviin haavoittuvuuksiin. Haavoittuvuuksia julkaistiin yhteensä 30 kappaletta ja niistä 20 oli etäkäyttöisesti hyväksikäytettäviä. Virallinen korjaus on olemassa 24:een haavoittuvuuteen ja lähes kaikkiin julkaistuihin haavoittuvuuksiin on olemassa ainakin rajoitusmahdollisuus. Apple-haavoittuvuuskuukauden aikana julkaistujen haavoittuvuuksien CVSS-pistekeskiarvo on haavoittuvuuskuukausista korkein eli 6,0. Haavoittuvuuksista 10 on luokitukseltaan vakavia ja neljä haavoittuvuutta (CVE-2007-0117, CVE-2007-0236, CVE-2007-0462, CVE-2007-0466) sai täydet 10 CVSS-pistettä. Month of Apple Bugs -haavoittuvuuksien hyväksikäyttö on tällä erää jäänyt vähäiseksi.

Month of PHP Bugs

Vuoden 2007 maaliskuu oli Month of PHP Bugs. Se keskittyi itse PHP-ohjelmointikielestä löytyviin haavoittuvuuksiin. Haavoittuvuuksia julkaistiin yhteensä 44 kappaletta, joista 3 oli PHP-ohjelmontikielen ulkopuolisissa, mutta siihen liittyvissä komponenteissa. Haavoittuvuuksista 16 oli potentiaalisesti etäkäyttöisesti hyväksikäytettäviä ja lähes kaikki paikallisesti hyväksikäytettäviä. Osa haavoittuvuuksista on korjattu jo PHP 4.4.5, 4.4.6 ja 5.2.1 -julkaisuissa ja osa uusimmissa, vielä julkaisematta olevissa, versioissa. Viisi haavoittuvuutta on edelleen ilman vahvistettua korjausta. Uusimpia PHP-versioita koskevia vakavina pidettäviä haavoittuvuuksia on kaksi kappaletta.

Month of PHP Bugs -kampanjassa julkaistuilla haavoittuvuuksilla ei ole CVE-numeroita eikä niitä ole CVSS-pisteytetty kuin muutamassa tapauksessa, joten ei ole mielekästä laskea niille CVSS-pistekeskiarvoa. Keskiarvon otos kattaisi vain pienen osajoukon kaikista julkaistuista PHP-haavoittuvuuksista eikä siten kuvaisi riittävän hyvin haavoittuvuuksien keskimääräistä vakavuutta.

18.04.2007

Pankkitunnusten vakoiluohjelmia liikkeellä

Verkkopankkien käyttäjien tietojen vakoilemisyrityksiä on havaittu Suomessakin. Sampo Pankki on tänään tiedottanut, että asiakkaiden tunnuslukuja on yritetty vakoilla käyttäjän tietokoneeseen tartutetun haittaohjelman avulla.

Vakoiluohjelma toimii siten, että kun käyttäjä kirjautuu verkkopankkiin ja syöttää asiakastunnuksensa selaimella pankkipalvelun web-lomakkeelle, käyttäjätunnus lähetetään ulkomailla sijaitsevalle palvelimelle. Tämän jälkeen haittaohjelma matkii pankin web-palvelinta ja kysyy käyttäjältä kirjautumiseen tarvittavaa kertakäyttöistä tunnuslukua lähettääkseen sen toisessa osoitteessa sijaitsevalle palvelimelle.

Käytetty vakoiluohjelma, Trojan-Spy:W32/Agent.RM, tuntee satoja eri pankkeja eri puolilta maailmaa, suomalaisista pankeista ovat huijausyrityksen kohteina olleet Sampo Pankki ja Nordea. Yleisimmin käytetyt ja ajan tasalle päivitetyt virustorjuntaohjelmat tunnistavat käytetyn haittaohjelman. Tartunnan voi poistaa esimerkiksi F-Secure Online Scannerin avulla.

Käyttäjän toimia ja verkkoliikennettä vakoilevat ja kaappaavat haittaohjelmat ovat yleistymässä väärinkäytösten välineinä phishing-huijaussivustojen rinnalla. CERT-FI on kertonut ilmiöstä muun muassa tuoreimmissa tietoturvakatsauksissaan.

17.04.2007

Windowsin DNS-haavoittuvuutta hyväksikäytetään laajasti

Viime viikolla julkaistua Windows-palvelinten DNS-palvelun haavoittuvuutta käytetään haittaohjelman levittämismekanismina. Haavoittuvuuteen ei ole tällä hetkellä saatavilla korjausta. CERT-FI suosittelee Windows-palvelinten ylläpitäjille haavoittuvuuden hyväksikäytön rajoittamista valmistajan ohjeiden mukaisesti.

13.04.2007

Tietoturvakatsaus 1/2007 on ilmestynyt

Alkuvuoden tietoturvallisuustilanne on nyt koottu tänään julkaistuun CERT-FI:n tietoturvakatsaukseen, joka löytyy sivustomme katsaukset-osiosta. Aiheesta on julkaistu myös lehdistötiedote.

13.04.2007

Oracle julkaisee ensi tiistaina tietoturvapäivityksiä

Oracle julkaisee neljännesvuosittaiset tietoturvapäivityksensä eri Oracle-ohjelmistoihin tiistaina 17.4.2007. Päivitys sisältää korjauksia kaikkiaan 37 haavoittuvuuteen, joista osa on kriittisiä.

09.04.2007

Haittaohjelmaa roskapostitettu laajalti

F-Secure julkisti Radar-hälytyksen uudesta haittaohjelmasta, jota on levitetty laajalti roskapostin välityksellä. Roskapostin aiheina on mielenkiintoa herättäviä otsikoita, kuten esimerkiksi:

USA Declares War on Iran

USA Missle Strike: Iran War just have started

Missle Strike: The USA kills more then 20000 Iranian citizens

Missle Strike: The USA kills more then 1000 Iranian citizens

Missle Strike: The USA kills more then 10000 Iranian citizens

Israel Just Have Started World War III

USA Just Have Started World War III

Iran Just Have Started World War III

Roskapostin liitteenä on exe-päätteinen tiedosto, jota klikkaamalla haittaohjelma asentuu tietokoneelle. CERT-FI suosittelee poistamaan kyseiset viestit sähköpostilaatikosta heti niitä avaamatta.

Sähköpostin käsittelemisessä kannattaa olla varovainen ja jättää vähänkin epäilyttävät liitetiedostot avaamatta ainakin ennen kuin niiden sisällöstä on varmistunut vaikkapa kysymällä niiden lähettäjältä, että mitä tiedosto sisältää.

04.04.2007

Microsoftin korjauspäivityksessä MS07-017 ongelmia

Microsoftin eilen julkaiseman korjauspäivityksen MS07-017 asennuksen jälkeen joillakin koneilla voi esiintyä ongelmia. Tällöin Windows antaa käynnistyksen yhteydessä seuraavan virheilmoituksen:

Englanniksi:

Rthdcpl.exe - Illegal System DLL Relocation

The system DLL user32.dll was relocated in memory. The application will not run properly. The relocation occurred because the DLL C:\Windows\System32\Hhctrl.ocx occupied an address range reserved for Windows system DLLs. The vendor supplying the DLL should be contacted for a new DLL.

Suomeksi:

Rthdcpl.exe - Laiton järjestelmä-DLL:n uudelleensijoitus

Järjestelmä-DLL user32.dll on uudelleensijoitettu muistissa. Sovellus ei toimi asianmukaisesti. DLL C:\WINDOWS\system32\HHCTRL.OCX uudelleensijoitettiin, koska se käytti muistialuetta, joka on varattu Window NT:n järjestelmä-DLL:lle Ota yhteys ohjelmiston toimittajaan uuden DLL:n saamiseksi.

Virheen korjaava päivitys on ladattavissa osoitteesta http://support.microsoft.com/kb/935448/



03.04.2007

Week of Vista Bugs olikin huijaus

CERT-FI:n eilen uutisoima Week of Vista Bugs on osoittautunut huijaukseksi. Huijauksen takana ollut ranskalainen tietoturvaryhmä julkisti yöllä tiedotteen, jossa huijaus paljastettiin. Ryhmän tarkoituksena oli kerätä julkisuutta itselleen ja samalla muistuttaa, että ihminen on tietoturvan heikoin lenkki.

Ryhmän eilen julkistama Vistan palomuuria koskeva tiedote on täten myös väärä, eikä aiheuta lisätoimenpiteitä.

02.04.2007

Uusi Windows Vista -haavoittuvuus julkaisuun päivittäin

Ranskalainen tietoturvaan keskittynyt ryhmä aikoo julkaista viikon jokaisena päivänä uuden Windows Vistaa koskevan haavoittuvuuden. Tänään julkaistiin ensimmäinen, Vistan palomuurin ohittamista koskeva haavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista kaataa palomuuri. Ryhmä aikoo julkaista kaikkien haavoittuvuuksien hyväksikäyttökoodit lauantaina.

01.04.2007

ANI-haavoittuvuus nostaa valmiutta

Windowsin animoituihin kursoreihin liittyvän haavoittuvuuden hyväksikäytöstä on saatu edelleen uusia havaintoja ja tilannetta seurataan eri tahoilla tarkasti. Kiinan CISRT on raportoinut haittaohjelmasta, joka käyttää leviämiseen ANI-haavoittuvuutta. Muun muassa F-Secure on varmistanut havainnon, mutta toistaiseksi ilmoituksia madosta on heidän mukaansa tullut vähän. Tällä hetkellä ajan tasalle päivitetyt virustorjuntaohjelmat tunnistavat haittaohjelman.

Linkkejä haavoittuvuutta hyväksi käyttäville web-sivuille levitetään myös roskapostijakeluna.

SANS Internet Storm Center on tilanteen johdosta korottanut InfoCON-valmiustilaindikaattorinsa neliportaisen asteikon toiselle tasolle vihreästä KELTAISEEN. Tietoturvaohjelmistojen valmistaja Symantec on myös nostanut oman ThreatIndex-lukunsa tasolle 2/4. Myös F-Secure on antanut ANI-madosta Level 2 Radar -varoituksen.