Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2008 > Elokuu

Elokuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

29.08.2008

Avoimia nimipalvelimia suojattu kohtuullisesti

CERT-FI selvitti viikon 32 aikana, kuinka hyvin suomalaisten fi-päätteisten verkkotunnusten nimipalvelimet on suojattu. Selvityksessä tutkittiin sallivatko palvelimet rekursiivisia kyselyitä koko internetistä ja tekevätkö ne iteratiivisia kyselyitä riittävän satunnaisista lähdeporteista.

Selvityksen tuloksista julkaistiin 11.8.2008 yhteenvetona Tietoturva nyt! -artikkeli. Samassa yhteydessä lähestyimme puutteellisesti suojattujen nimipalvelimien omistajia infokirjeellä, jossa kehotamme ylläpitäjiä asentamaan palvelimiinsa uusimmat tietoturvapäivitykset CERT-FI Haavoittuvuustiedotteissa 087/2008, 088/2008 ja 100/2008 mainituilla tavoilla. Lisäksi kehotimme myös harkitsemaan, onko nimipalvelimen tarpeellista sallia rekursiivisia kyselyjä koko internetistä.

Kuluvan viikon aikana testasimme viikon 32 selvityksessä tutkitut palvelimet uudestaan, sekä lähdeporttien satunnaisuuden että avoimesti koko internetistä sallittavien rekursiivisten kyselyiden osalta. Samassa yhteydessä viikon 32 selvityksen tulokset tutkittiin uudestaan ja niiden laskentatavassa havaittiin forwarderiksi konfiguroitujen nimipalvelimien osalta pieniä epätarkkuuksia, jotka korjattiin. Tulokset tarkentuivat muun muassa avoimien palvelimien kokonaismäärän osalta. Alkuperäisessä laskennassa avoimia palvelimia havaittiin 1391 kappaletta. Tarkistuslaskennassa määrä tarkentui lukemaan 1180.

Alkuperäiset 11.8.2008 julkaistut tulokset olivat seuraavat:

Luokka Määrä % avoimista % kaikista
GREAT 779 56 18
GOOD 10 < 1 << 1
POOR 602 43 14

Tarkistuslaskennassa havaittiin lähdeporttien satunnaisuuden GREAT-luokan tulosten määrittämiseen käytetyssä laskentatavassa epätäsmällisyys, joka suurensi GREAT-luokituksen saaneiden nimipalvelinten määrää. Korjatut viikolla 32 kerättyyn aineistoon perustuvat tulokset ovat seuraavat:

Luokka Määrä % avoimista % kaikista
GREAT 568 48 13
GOOD 10 < 1 << 1
POOR 602 51 14

Kuluvalla viikolla tehdyn uuden testauksen päämääränä oli selvittää miten CERT-FI:n ensimmäisen selvityksen tulosten perusteella puutteellisesti suojattujen nimipalvelimien ylläpitäjille lähetetyt infokirjeet olivat vaikuttaneet tilanteeseen. Tämän viikon selvityksen tulokset olivat seuraavat:

Luokka Määrä % avoimista % kaikista
GREAT 578 53 14
GOOD 14 1 << 1
POOR 491 45 12

Rekursiiviset kyselyt koko internetistä sallivien palvelimien kokonaismäärä oli 1083. Avoimia nimipalvelimia oli siis 97 kappaletta vähemmän kuin ennen infokirjeiden lähettämistä. POOR-luokituksen omaavien eli liian ennalta-arvattavia lähdeportteja käyttävien palvelinten määrä oli vähentynyt 111:lla. Merkittävä osa POOR-luokkaan kuuluvien nimipalvelimien määrän muutoksesta johtuu siitä, että erityisen usein juuri tämän luokituksen saaneista nimipalvelimista avoimen rekursion tarjoaminen oli poistettu. Tämä toimenpide pienentää riskiä joutua nimipalvelutietojen vääristymiseen johtavan hyökkäyksen kohteeksi. GOOD- ja GREAT-luokituksen saaneiden määrä on noussut hieman. Infokirjeiden voidaan todeta vaikuttaneen tyydyttävästi, mutta on silti todettava, että puutteellisesti suojattujen nimipalvelimien osuus on yhä merkittävä.

23.08.2008

Joomla-järjestelmiä vastaan hyökätään aktiivisesti

Hyökkäyksissä käytetty haavoittuvuus mahdollistaa ylläpitotunnuksen salasanan tyhjentämisen

Joomla on ilmainen avoimen lähdekoodin julkaisujärjestelmä (CMS). Järjestelmästä on löydetty haavoittuvuus, jonka avulla on mahdollista tyhjentää järjestelmään ensimmäiseksi luodun tunnuksen, tyypillisesti ylläpitotunnuksen, salasana. Haavoittuvuutta on alettu käyttää aktiivisesti hyväksi suomalaisiin palvelimiin kohdistuneissa hyökkäyksissä.

Haavoittuvuus on korjattu Joomlan versiossa 1.5.6. CERT-FI suosittaa verkkopalveluiden ylläpitäjiä päivittämään järjestelmänsä.

23.08.2008

Fedoran ja Red Hatin järjestelmiin murtauduttu

Sekä Fedora-projektin että Red Hat -yhtiön palvelinjärjestelmiin on murtauduttu.

Yhtä Fedora-projektin murron kohteeksi joutuneista palvelimista käyttiin Fedora-jakelun pakettien allekirjoittamiseen. Fedora-organisaation tutkimusten perusteella näyttäisi kuitenkin siltä, että murtautujat eivät ole saaneet haltuunsa pakettien allekirjoitusavaimen salalausetta. Vaikka varmuutta pakettien allekirjoitusavaimen ja sen salalauseen joutumisesta vääriin käsiin ei ole, Fedora-projekti on aikeissa vaihtaa pakettien allekirjoitukseen käyttämänsä avaimen. Fedora-projekti ilmoittaa tiedottavansa asiasta ja sen Fedora-käyttäjille vaatimista toimista myöhemmin. Tapauksen tutkinnan yhteydessä Fedoran pakkausvarastoa on käyty läpi, mutta tämänhetkisen tiedon mukaan vihamielisiä muutoksia ei ole löytynyt.

Tutkinta Red Hat -yhtiön palvelimiin kohdistuneen murron osalta on vielä kesken. Alustavan tutkimuksen perusteella vaikuttaisi siltä, että murtautuja pääsi allekirjoittamaan omat Red Hat Enterprise Linux 4 (i386 ja x86_64 arkkitehtuurit) liittyvat OpenSSH-paketit ja Red Hat Enterprise Linux 5 (vain x86_64 arkkitehtuuri) liittyvän OpenSSH-paketin. Tästä syystä Red Hat on julkaissut kriittisen päivityksen OpenSSH-pakettiinsa. Nyt julkaistun päivitetyn paketin asentamalla ylläpitäjät ja käyttäjät voivat varmistua OpenSSH-pakettiensa eheydestä. Red Hat on myös asettanut saataville tarkistustyökalun, joka etsii järjestelmästä murtautujan mahdollisesti muuttamia OpenSSH-paketteja. RHN-verkon (Red Hat Network) kautta jaetuista paketeista ei ole löydetty muutoksia vaan riski muunnettujen pakettien käytöstä kohdistuu muiden jakelukanavien käyttäjiin.

11.08.2008

Suomalaisia suojaamattomia nimipalvelimia

CERT-FI lähestyy tulevina päivinä päivittämättömien tai puutteellisesti suojattujen nimipalvelinten ylläpitäjiä.

Selvitimme loppuviikon ja viikonlopun aikana, kuinka hyvin suomalaisten fi-päätteisten verkkotunnusten nimipalvelimet on suojattu.

Testasimme kaikkiaan 4260 nimipalvelinta ja etsimme merkkejä seuraavista:

  • palvelin sallii rekursiiviset kyselyt koko internetisä CERT-FI Varoituksessa 03/2007 kuvatulla tavalla
  • palvelimen DNS-kyselyihin käyttämien lähdeporttien satunnaisuus ei ole tyydyttävä CERT-FI Varoituksessa 01/2008 kuvatulla tavalla

Testauksen tuloksena löysimme 1391 avointa palvelinta, joista kaikkiaan 602 vaikutti päivittämättömältä. Lähestymme ensi vaiheessa näiden 602 palvelimen omistajia infokirjeellä. Kehotamme ylläpitäjiä paitsi asentamaan palvelimiinsa uusimmat tietoturvapäivitykset CERT-FI Haavoittuvuustiedotteissa 088/2008, 087/2008 ja 100/2008 mainituilla tavoilla, myös harkitsemaan, onko verkkotunnuksen autoritativiiseksi (ensisijaiseksi) nimipalvelimeksi määritellyn palvelimen ensinkään syytä sallia rekursiivisia kyselyjä. Ainakaan ulkopuolisista verkosta. Tätä ei yleensä pidetä hyvänä käytäntönä.

Lisähuomiona todettakoon, että näiden 602 palvelimen "suomalaisuus" on jossakin määrin suhteellista: nimipalvelimet ovat sijoittuneet kaikkiaan 207 eri verkkoon vähintään eri 25 maan alueelle Euroopassa, Pohjois-Amerikassa, Venäjällä ja Japanissa. Suomeen rekisteröidyissä verkoissa oli 334 palvelinta eli reilu puolet.

Yhteenvetotaulukko testin tuloksista:

============================================
          #    | % avoimista |  % kaikista
---------------+-------------+--------------
GREAT:   779   |    56 %     |    18 %
GOOD:     10   |    <1 %     |   <<1 %
POOR:    602   |    43 %     |    14 %
-------------------------------------------

Testin arvosanojen seloste:

===============================================
Rating  Standard Deviation      Bits of Entropy
-----------------------------------------------
GREAT   3980 -- 20,000+         13.75 -- 16.0
GOOD    296 -- 3980             10.0 --13.75
POOR    0 -- 296                0 -- 10.0
-----------------------------------------------

(Taulukon lähde: https://www.dns-oarc.net/oarc/services/porttest)

08.08.2008

Olympialaishuijauksia odotettavissa

Olympialaisiin ja uutisiin liittyvät huijaukset sekä Microsoft-päivitykset työllistänevät ensi viikolla.

Uutisiin perustuvia roskapostihuijauksia on nähty viime viikkoina runsaasti. Muun muassa CNN-uutiskanavan tiedotteiksi naamioidut huijaukset ovat tyypillisesti pyrkineet saamaan käyttäjät asentamaan Adobe Flash Player -ohjelmistoksi väitetyn haittaohjelman. Vastaavia huijauksia on levitetty myös sosiaalisten palveluiden, kuten Facebook ja Twitter, avulla. Adobe kehottaakin tiedotteessaan käyttäjiä varovaisuuteen ohjelmistoja asentaessaan. Muilta kuin valmistajan sivuilta tuleviin asennuskehotuksiin tulee suhtautua hyvin epäluuloisesti.

Juuri alkaneet olympialaiset tulevat myös varmasti esiintymään roskapostein levitettävissä huijauksissa. Olympialaisiin tai niiden sponsoreihin liittyviä uutisia, kilpailuja ja muita suuren yleisön kiinnostuksen herättäviä viestejä tullaan mitä luultavimmin levittämään sähköpostitse ja sosiaalisten palveluiden kautta. CERT-FI suosittaakin, ettei tuntemattomilta lähettäjiltä peräisin olevien tai pyytämättä postilaatikkoon tutuiltakaan lähettäjiltä saapuneiden viestien liitetiedostoja tai viestin sisältämiä linkkejä tule avata. Yhteys- tai pankkitietoja pyytäviin kyselyihin tulee myös suhtautua varauksella.

Microsoft julkaisee elokuun päivityksensä ensi tiistaina 12.8. Kaikkien seitsemän päivityksen tärkeysluokitus on Microsoftin mukaan kriittinen. CERT-FI suosittelee päivittämään haavoittuvat ohjelmistot heti päivitysten tultua saataville. Helpoin tapa päivitysten asentamiseen on automaattinen päivityspalvelu. Microsoftin päivityspalvelu löytyy osoitteesta:

http://update.microsoft.com

08.08.2008

Tärkeimmät nimipalvelimet Suomessa päivitetty

Päivitystilanne Suomessa maailman keskiarvoa parempi

Tietoturvatutkija Dan Kaminsky julkaisi DNS-hyökkäysmenetelmänsä yksityiskohdat Blackhat-konferenssissa illalla 6.8.2008. Julkistus ei tuonut merkittävää lisätietoa haavoittuvuudesta, jonka yksityiskohtia vuoti julkisuuteen jo viime kuussa. Julkistuksen yhteydessä esitettiin myös haavoittuvuuden paikkaamista maailmalla valottava havainnollinen video.

CERT-FI sai videon tuottaneelta suomalaisyritykseltä vastaavanlaisen animaation suomalaisten nimipalvelimien paikkaustilanteesta. Videolla paikkaamattomat palvelimet näkyvät punaisella ja paikatut vihreällä. Keltaisilla alueilla on sekä paikattuja että paikkaamattomia palvelimia. Video perustuu tietoihin Kaminskyn nimipalvelimien testauspalvelun kävijöistä.

CERT-FI työskentelee aktiivisesti loppujen suomalaisten päivittämättömien ja avoimien nimipalvelimien korjaamiseksi. Suomen .fi-juuren alla olevista palvelimista avoimia on noin kolmannes. Avoimista nimipalvelimista paikkamatta on niin ikään paikkaamatta vielä noin kolmannes. CERT-FI:n tietojen mukaan merkittävien suomalaisten internet-yhteyspalveluntarjoajien resolverinimipalvelimet on päivitetty ja suojattu varoituksessa 01/2008 kuvatulla tavalla.
DNS-päivitysten tilanne
DNS-päivitysten tilanne

Video DNS-paikkauksen etenemisestä Suomessa (wmv-muoto Windows Media Player-käyttäjille) [wmv, 8 MB]

Video DNS-paikkauksen etenemisestä Suomessa (avi-muoto) [avi, 8 MB]