 |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
HeinäkuuTästä aiheesta löytyy myös RSS-syöte 29.07.2008 Päivittämättömän nimipalvelimen suojaaminen ja nimipalvelimien tarkastaminen
Vaikeasti päivitettävä nimipalvelin voidaan suojata. Nimipalvelimien haavoittuvuudesta kertovassa tiedotteessa on maininta tiettyjen nimipalvelintoteutusten korjausten aiheuttamista suorituskykyongelmista. Jos nimipalvelinta syystä tai toisesta ei voida päivittää, on syytä selvittää voidaanko päivityksen tuoma satunnaisuus toteuttaa toisella tapaa. The DNS Operations, Analysis, and Research Center (DNS-OARC) on julkaissut työkalun, jonka avulla voi tarkistaa oman verkkoyhteyden käyttämät nimipalvelimet. Graafisesta testituloksesta käy ilmi, miten satunnaisia nimipalvelimien valitsemat verkkoparametrit ovat. Testin avulla päivittämätön nimipalvelin tai vaikkapa omassa verkossa oleva, satunnaisuuden kumoava aktiivilaite voi paljastua. Myös tietoturvatutkija Dan Kaminskyn blogin yhteydessä on nimipalvelimia tarkastava työkalu. Lisäksi nimipalvelimia voi testata dig-ohjelman avulla aikaisemman Tietoturva nyt! -artikkelin ohjeiden mukaan. 29.07.2008 Automaattisia päivityspalveluja matkiva työkalu julkaistu
Tietoturvattomasti toteutettujen automaattisten päivityspalveluiden hyväksikäyttöön on julkaistu työkalu, jolla käyttäjän kone saadaan lataamaan haitallista koodia päivityspalvelua esittävältä hyökkääjän koneelta. Työkalu tarvitsee avukseen esimerkiksi 8.7.2008 julkistettua DNS-haavoittuvuutta hyväksikäyttävän ohjelman, joka vääristää paikallisen nimipalvelun välimuistin niin, että nimipalvelu luulee päivityspalvelun sijaitsevan hyökkääjän koneella. Sisäverkossa hyökkääjä voi käyttää myös ARP- tai DHCP-liikenteen väärennystä ohjatakseen liikenteen omalle koneelleen. Osa automaattisista päivityspalveluista on toteutettu niin, ettei päivityspakettien aitoutta tarkisteta lainkaan tai tarkistus voidaan helposti ohittaa. Verkon ylläpitäjät voivat suojata verkkoaan hyökkäyksiltä päivittämällä haavoittuvat nimipalvelimet ja huolehtimalla lähiverkon turvallisuudesta muunmuassa aktiivilaitteiden tarjoamien tietoturvaominaisuuksien käyttöönotolla. Pienissä verkoissa voidaan käyttää välityspalvelimille staattisia ARP-tietoja. Käyttäjä voi suojautua hyökkäykseltä pitämällä virustorjuntaohjelmistonsa ajan tasalla. 24.07.2008 DNS-haavoittuvuudelle julkaistu julkinen hyväksikäyttömenetelmä
Hyväksikäyttömenetelmän lisäksi on julkaistu sormenjälki kyseisen haavoittuvuuden hyväksikäytön tunnistamiseksi. Nimipalveluhaavoittuvuudelle on julkaistu julkinen hyväksikäyttömenetelmä BIND-nimipalveluohjelmistolle. Jos BIND-ohjelmistoa ei ole mahdollista päivittää, tulee palvelun toimintaa seurata aktiivisesti. Hyökkäysten havainnointiin voi käyttää esimerkiksi Snort-ohjelmistoa, jolle on ilmestynyt sormenjälki kyseisen haavoittuvuuden hyväksikäytön tunnistamiseksi. Olemme päivittäneet haavoittuvuustiedotteen 088/2008 ja varoituksen 01/2008. 23.07.2008 Suomessa haavoittuvia nimipalvelimia
CERT-FI on saanut listan haavoittuvista suomalaisista nimipalvelimista. CERT-FI on saanut tietoonsa listan suomalaisista nimipalvelimista, joita ei ole päivitetty vakavan DNS-haavoittuvuuden korjaavalla korjauspäivityksellä. Tällaisia palvelimia oli Suomessa muutamia satoja. Palvelinten ylläpitäjiin on oltu yhteydessä operaattoreiden välityksellä. Nimipalvelun ylläpitäjä voi tarkistaa, onko hänen käyttämänsä nimipalveluohjelmisto haavoittuva esimerkiksi DNS-OARC-keskuksen tarjoaman palvelun avulla. Dig-ohjelmaa käytettäessä testikomento on dig +short porttest.dns-oarc.net TXT ja nslookup-ohjelmaa käytettäessä nslookup -querytype=TXT porttest.dns-oarc.net. Haavoittuva nimipalveluohjelmisto tulee päivittää ensi tilassa. Jos ohjelmistoa ei voida jostain syystä päivittää, voi nimipalvelun asettaa välittämään kyselyt eteenpäin päivitetylle nimipalvelimelle. 23.07.2008 Nimipalvelimen käyttäminen liikennettä muokkaavan aktiivilaitteen takaa
Päivitettykin nimipalvelin voi edelleen olla haavoittuva. CERT-FI:n vuoden ensimmäisessä varoituksessa kehotetaan nimipalvelimien ylläpitäjä ensi tilassa päivittämään nimipalvelimensa. Kaikki CERT-FI:n haavoittuvuustiedotteessa 088/2008 listatut ohjelmistopäivitykset perustuvat samantyyppisen korjaukseen. Korjaus huolehtii siitä, että rekursiivisen nimipalvelimen lähettämien pakettien lähdeporttien arvot asetetaan satunnaisesti. Lähdeporttien satunnaisuuden lisäksi, paketteja yksilöivät ID-arvot on asetettava satunnaisesti. ID-arvojen satunnaisuus on hoidettu jo aikaisempien päivitysten yhteydessä. Vain satunnaisten ID-arvojen ja satunnaisten lähdeporttien yhtaikainen käyttö varmistaa, että äskettäin esille tulleen DNS-haavoittuvuuden hyväksikäytön onnistumistodennäköisyys merkittävästi pienenee. Satunnaisuuden tärkeyden takia päivityksen yhteydessä olisi syytä miettiä nimipalvelimen teknistä toimintaympäristöä hieman laajemmin. Pohdintaan kannattaa ottaa mukaan kaikki nimipalvelimen toimintaan liittyvät aktiivilaitteet, jotka muokkaavat lähtevän verkkoliikenteen parametreja. Näitä laitteita voivat olla esim. palomuurit, kuormanjakajat ja osoite- ja porttimuutoksia tekevät ns. NAT/NAPT-laitteet. Päivitettykin nimipalvelin voi edelleen olla haavoittuva jos ohjelmistopäivityksen tuoma satunnaisuus tavalla tai toisella kumoutuu aktiivilaitteen toimesta. 22.07.2008 Vuoden ensimmäinen varoitus on julkaistu
Merkittävän DNS-haavoittuvuuden yksityiskohdat ovat vuotaneet julkisuuteen ennenaikaisesti. CERT-FI on julkaissut vuoden ensimmäisen varoituksen liittyen merkittävän DNS-haavoittuvuuden hyökkäysmenetelmiin. Samalla päivitettiin haavoittuvuustiedotetta 088/2008 vastaamaan nykytilannetta. 21.07.2008 Kotimaisia sähköpostitunnuksia urkittu
Tunnusten urkkimisella pyritään taloudelliseen hyötyyn. Tietoomme on viime aikoina tullut tapauksia, joissa sähköpostitunnuksia on kalasteltu onnistuneesti. Tunnuksia ja salasanoja on pyritty saamaan tietoon sekä suomenkielisillä että englanninkielisillä viesteillä. Tunnukset saatuaan hyökkääjät ovat käyttäneet sähköpostitilejä muun muassa roskapostin ja haittaohjelmien levittämiseen. Hyviin tietoturvakäytäntöihin kuuluu, etteivät ylläpitäjät tai asiakaspalvelu kysy käyttäjien salasanoja sähköpostilla tai puhelimessa. Osa internet-palveluista on kuitenkin toteutettu siten, että niiden käyttäjiltä kysytään rutiininomaisesti sähköpostitse tai puhelimitse palvelun käyttöön tarvittavia tunnuksia ja salasanoja. Käyttäjien tulee suhtautua varauksella kyseisen kaltaisiin pyyntöihin, ja varmistaa käyttämistään palveluista saamiensa kyselyjen oikeellisuus. 17.07.2008 Haavoittuvuustiedotteisiin päivityksiä
Useisiin CERT-FI:n julkaisemiin haavoittuvuustiedotteisiin on tehty päivityksiä. Eilen julkaistun haavoittuvuustiedotteen 093/2008 mukana päivitettiin aiempaa haavoittuvuustiedotetta 076/2008. Uudemmassa haavoittuvuustiedotteessa käsitellään samaa haavoittuvuutta ja tiedotetaan korjauspäivityksen saatavuudesta. Haavoittuvuustiedotteet 180/2007 ja 069/2008 koskevat aiemmasta tiedosta poiketen myös DirectX-versiota 9.0a. 09.07.2008 Nimipalvelun välimuistitietojen väärentäminen
Uudet tutkimukset ovat vauhdittaneet välimuistitietojen myrkyttämiseen (DNS cache poisoning) liittyvää keskustelua. Työaseman ja nimipalvelimen (tai nimipalvelimen ja nimipalvelimen) välinen liikennöinti tapahtuu pääosin UDP-protokollan päällä. Tämän protokollan käyttö antaa hyökkääjälle mahdollisuuden väärentää verkkoliikennettä niin, että se näyttää tulevan nimipalvelimelta. Väärennetyllä liikenteellä hyökkääjä voi "myrkyttää" joko työaseman tai palvelimen välimuistin väärällä tiedolla. Myrkytetyn välimuistin avulla hyökkääjä voi esimerkiksi ohjata työasemalta avatun yhteyden kulkemaan hyökkääjän hallussa olevalle vihamieliselle palvelimelle. 09.07.2008 CERT-FI tietoturvakatsaus 2/2008
CERT-FI tietoturvakatsaus 2/2008 on julkaistu. Katsauksessa käsitellään kuluvan vuoden toisen neljänneksen tapahtumia. Internetissä tarjottavien palvelujen tietoturvallisuutta ja käytettävyyttä on vuoden ensimmäisellä puoliskolla koeteltu monin eri tavoin. Sivustoille on pyritty murtautumaan tai niiden käyttö on pyritty estämään palvelunestohyökkäyksillä. Palvelujen ylläpitäjien tulee varautua myös väärinkäytösten ja ilkivallan uhkaan. Haittaohjelmia levitetään entistä useammin kohdistetusti, jotta voitaisiin hankkia tietoja kohteena olevasta organisaatiosta. Sen lisäksi haittaohjelmia levitetään edelleen myös laajoina jakeluina sähköpostitse, murretuilla www-sivustoilla ja pikaviestimillä. 08.07.2008 Nimipalveluhaavoittuvuus vaikuttaa poikkeuksellisen laajakirjoisesti
Tiistaina 8.7 julkaistiin tietoja merkittävästä haavoittuvuudesta nimipalvelutoteutuksissa. CERT-FI haavoittuvuustiedotteessa 088/2008 käsitelty nimipalvelun haavoittuvuus on ehkä eräs monivaikutteisimmista haavoittuvuustapauksista viime vuosien aikana. Toimiva, oikeita vastauksia antava nimipalvelu on eräs tärkeimmistä internet-peruspalveluista. Nimipalvelu (DNS, Domain Name Service) ohjaa mm. www-sivujen domainnimien muunnosta IP-osoitteiksi sekä sähköpostin reititystä. Nimipalvelun virheellinen toiminta voi helposti jäädä huomaamatta - www-selain ei anna varoitusta jos salaamaton sivulataus ohjautuukin vihamieliselle palvelimelle. Nimipalvelun toiminnassa tarvittavia ohjelmisto-osia on käytännössä kaikissa verkon osissa työasemista palvelimiin. Myös reitittimissä, palomuureissa, roskapostisuodattimissa - kaikissa verkkkokomponenteissa joiden täytyy pystyä muuntamaan domainnimi verkko-osoitteeksi - on jonkinlainen DNS-toiminto. Tämänhetkisten tietojen perusteella lähes kaikki nämä ohjelmistot vaativat lähiviikkojen aikana päivityksen. Etenkin kaikki palveluntarjoajien ja yritysten resolver-nimipalvelimet on ehdottomasti tarkistettava ja tarvittaessa päivitettävä. Haavoittuvuuteen liittyvien ohjelmistopäivitysten koordinointi on hoidettu ohjelmisto- ja laitevalmistajien keskuudessa esimerkillisen hyvin. Tieto on pysynyt pienessä piirissä ennen sovittua julkaisuhetkeä ja kaikki tärkeimmät ohjelmistot ovat todennäköisesti saaneet tarvittavat päivitykset. Sulautettujen järjestelmien päivitystarve on mielenkiintoinen selvitettävä kysymys. CERT-FI tulee seuraamaan päivitystilannetta tiiviisti. Haavoittuvuuden hyödyntämismenetelmä tulee todennäköisesti julkisuuteen kuukauden sisällä. Jos haavoittuvuuden hyväksikäytöstä tulee viitteitä, olemme varautuneet julkaisemaan vuoden ensimmäisen CERT-FI-varoituksen. 01.07.2008 Palvelunestohyökkäyksiä ja murrettuja www-sivustoja
Maanantaina 30.6. tuli tietoon palvelunestohyökkäyksiä, jotka vaikuttivat useiden paljon käytettyjen www-sivustojen toimintaan. Viime päivinä on myös kerrottu monista murretuista ja töhrityistä www-sivustoista. Palvelunestohyökkäykset kohdistuivat ainakin kahteen www-palveluun Suomessa ja yhteen Ruotsissa, ja niiden vaikutuksesta monet suositut sivustot olivat jonkin aikaa tavoittamattomissa. Hyökkäyksissä ohjattiin palvelimille niin paljon UDP-verkkoliikennettä, ettei palomuurilaitteisto kyennyt sitä kunnolla käsittelemään ja ylikuormittui. Hyökkäysliikenteen tuntomerkit viittaavat siihen, että ainakin Suomeen kohdistuneiden hyökkäysten takana ovat todennäköisesti samat tekijät. Palvelunestohyökkäyksissä kuormittava liikenne luodaan tavallisesti murrettujen tietokoneiden muodostaman bottiverkon avulla. SQL-injektiohaavoittuvuudet voivat mahdollistaa www-sivujen sisällön muokkaamisen. Palvelin voidaan murtaa myös käyttämällä hyväksi jotakin käyttöjärjestelmän, palvelinohjelmiston tai palvelimella käytettävän sovellusohjelmiston haavoittuvuutta tai palvelimen asetuksissa olevaa virhettä. Liettuassa on murtauduttu useille www-sivustoille, ja niille on lisätty poliittista sisältöä. CERT-FI:n tietoon on tullut, että ainakin yhden kotimaisen, Liettuassa toimivan yrityksen sivut ovat joutuneet töhrinnän kohteeksi. Yritys ei kuitenkaan liene ollut erityisesti hyökkääjien kohteena. Tietoja SQL-haavoittuvuuksiin liittyvistä sivujen muokkaamisista on tullut myös ainakin Norjasta ja Ruotsista. |
