|
www.viestintävirasto.fi |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
MarraskuuTästä aiheesta löytyy myös RSS-syöte 27.11.2008 Uusia hyväksikäyttömenetelmiä MS08-067 haavoittuvuuteen
Haavoittuvuutta hyväksikäyttävien matojen aiheuttamaa liikennettä havaittu maailmalla Microsoftin security bulletin MS08-067:n mukainen, kuukausittaisen päivityssyklin ulkopuolinen päivitys korjasi vakavan haavoittuvuuden jonka johdosta julkaisimme vuoden toisen varoituksen, Varoitus 02/2008:n. Tietoturvayhtiö Symantecin mukaan tällä hetkellä maailmalla on liikkeellä useampi haavoittuvuutta hyväksikäyttävä mato. Erona ensimmäisiin hyväksikäyttömenetelmiin on, että haavoittuvuudelle ovat nyt alttiina kiinankielisten Windows 2000, XP ja Server 2003 käyttöjärjestelmien lisäksi myös useat muut kieliversiot. Näiden joukossa myös suomenkielinen Windows XP. Muut kieliversiot löytyvät Symantecin tiedotteesta. Symantec ei ole ainoa taho joka on nähnyt merkkejä haavoittuvuuteen liittyvästä haittaohjelmaliikenteen kasvusta. Microsoft varoitti asiasta tiistaina ja muistutti päivitysten tärkeydestä. Malware Protection Centerin blogi-artikkelin mukaan mato leviää erityisesti yrityksissä, mutta on myös saastuttanut jo satoja kotikäyttäjien tietokoneita. Mato avaa satunnaisen portin väliltä 1024 - 10000 ja pyrkii saastuttamaan muutkin verkon tietokoneet käyttämällä MS08-067 haavoittuvuutta. 16.11.2008 Englanninkielisiä Nordea-huijausviestejä liikkeellä
Viesteillä houkutellaan syöttämään luottokorttitietoja huijaussivustolle Viime yönä on levitetty roskapostiviestejä, joissa on mukana linkki huijaussivustolle, jolla kysellään luottokortin numeroa ja tunnuslukuja. Sähköpostiviestissä oleva linkki näyttää osoittavan Nordean sivuille, mutta todellisuudessa vie huijaussivustolle. Huijaussivusto on englanninkielinen, mutta huijausviestejä on lähetetty myös suomenkielisille. 13.11.2008 McColo, EstDomains, Intercage, Cernel, RBN...
Amerikkalainen McColo ei ole ainoa operaattori, jonka toiminta on ajettu ahtaalle jatkuvien tietoturvaongelmien tai suoranaisten tietoverkkorikosepäilyjen johdosta. Vaikuttaisi siltä, että McColon tietoliikenneyhteyksien katkaiseminen on vaikuttanut huomattavan positiivisesti internetissä lähetetyn roskapostin määrään. Vaikka useat raportit tähän viittaisivatkin, on syytä todeta, että CERT-FI:llä ei ole täysin varmaa tietoa siitä, onko havaittu notkahdus kytköksissä juuri tämän operaattorin verkkojen irtikytkemiseen. Seuraamme aiheesta käytyä keskustelua ja tilanteen kehittymistä tiiviisti. Viime aikoina on otettu muitakin vastaavia tietoturvaa potentiaalisesti parantavia edistysaskeleita. Internetin verkkotunnuksia ja osoiteavaruuksia hallinnoiva ICANN-järjestö (Internet Corporation for Assigned Names and Numbers) on pyrkinyt perumaan EstDomains-nimisen verkkotunnusrekisteröijän toimiluvan. Vuosien saatossa saamiemme lukuisten raporttien perusteella näyttäisi siltä, että huomattava osa erilaisten tietoturvaloukkausten toteuttamiseen käytetyistä verkkotunnuksista on rekisteröity EstDomainsin kautta. ICANN:in puuttumisperuste tosin liittyy yrityksen johtajien Virossa saamiin (valituskelpoisiin) tuomioihin. Tämän hetken tiedon mukaan EstDomainsin RAA-status (Registrar Accreditation Agreement) perutaan 24.11. Sen nykyiset asiakkaat pyritään siirtämään toisten verkkotunnusrekisteröijien asiakkaiksi. Intercage-niminen yhdysvaltalaisoperaattori (aiemmin tunnettu nimellä Atrivo) menetti tietoliikenneyhteytensä syyskuussa vastaavanlaisessa operaatiossa kuin nyt McColo. Kyseisen yrityksen hallinnoimissa verkkoalueista käsin on CERT-FI:nkin käsittelemien tapausten valossa jaettu toistuvasti haittaohjelmia sekä operoitu väärennettyjä vastauksia tarjoavia DNS-palvelimia. Sekä EstDomains että Intercage tulivat toistuvasti vastaan muun muassa vuodenvaihteen 2005/2006 Windows Metafile (WMF) -haavoittuvuutta hyödyntävien haittaohjelmien yhteydessä. Intercagen nimi on julkisuudessa liitetty EstDomainsin lisäksi myös seuraaviin yrityksiin: Esthost, UkrTeleGroup, Inhoster, Hostfresh ja Cernel. Myös osalta näistä yrityksistä on rajoitettu internet-yhteyksiä operaattoreiden vapaaehtoisin toimin. Myös Intercagen irtikytkemisen aikaan uutisoitiin roskapostin määrän vähentymisestä. Tuolloin kuitenkaan suomalaiset operaattorit eivät voineet vahvistaa havaintoa. Varsin tarkkaan vuosi sitten huipentui myös venäläiseksi luonnehditun Russian Business Networks -nimisen ryhmittymän ajojahti. Myös näiden verkkojen osalta on esitetty väitteitä toistuvasta ja tahalliseksi luonnehditusta tietoturvaloukkausten tehtailusta. CERT-FI:n tietojen mukaan RBN hylkäsi verkkonsa ja ajoi ainakin osan toiminnoistaan alas. CERT-FI mainitsi asiasta 9.11.2007 päivätyssä Tietoturva nyt! -artikkelissa ja tietoturvan vuosikatsauksessa 2007. Sittemmin on ollut aika ajoin ollut nähtävissä viitteitä siitä, että RBN-ryhmittymä pyrkisi palauttamaan toimintojaan verkoon. Verkkojen irtikytkemisen vaikutuksista on yleiseen tietoturvatilanteeseen on esitetty spekulaatioita, mutta tällä viikolla nähdyn roskapostin dramaattisen vähenemisen kaltaista vaikutusta ei ole pystytty osoittamaan. Yhteistä näille tapauksille on se, että aloite yhteyksien alasajoon on tullut tietoliikennepalvelujen tarjoajilta, jotka ovat perustaneet tietonsa vapaaehtoisten tietoturvatutkijoiden laatimiin raportteihin. Mahdollisten rikosepäilyjen selvittämistä haittaa toiminnan globaali luonne ja tapauksista kärsineiden asianomistajien passiivisuus. Positiivinen poikkeus on esimerkiksi Microsoft, joka on syyskuussa haastanut lukuisia tietoturvaohjelmistoiksi naamioituneiden haittaohjelmien levittäjiä oikeuteen. 13.11.2008 Roskapostin määrä notkahti merkittävästi
Internet on hieman puhtaampi paikka, ainakin väliaikaisesti Tietoturvayhteisön tiiviin yhteistyön seurauksena yhdysvaltalaiselta palveluntarjoajalta katkaistiin alkuviikosta verkkoyhteydet. McColo-niminen palveluntarjoaja on jo pidemmän aikaa ollut merkittävä roskapostia ja muuta haitallista sisältöä levittäneiden botnet-verkkojen komentopalvelimen palvelukeskus. Vasta alkuviikon toimenpiteet osoittivat, miten suuresta haittavaikutuksesta oikeasti on ollut kyse. 06.11.2008 Microsoftin ensi tiistain kuukausittaisessa päivityspaketissa kaksi tietoturvapäivitystäPäivityksistä yksi on Microsoftin mukaan kriittinen. Kriittinen päivitys koskee Windows-käyttöjärjestelmää ja Office-sovelluksia. Microsoft julkaisee tiistaina 11. marraskuuta klo 20:00 Suomen aikaa kaksi tietoturvapäivitystä sisältävän kuukausittaisen päivityspakettinsa, jossa olevista päivityksistä yksi korjaa Microsoftin mukaan korkeimmalta vakavuusluokitukseltaan kriittisen haavoittuvuuden. Päivitykset koskevat Windows-käyttöjärjestelmää ja Office-sovelluksia. Yksi päivityksistä vaatii järjestelmän uudelleenkäynnistyksen. CERT-FI tulee julkaisemaan päivityksistä myös haavoittuvuustiedotteet. CERT-FI suosittelee päivittämään haavoittuvat ohjelmistot heti päivitysten tultua saataville. Helpoin tapa päivitysten asentamiseen on automaattinen päivityspalvelu. 06.11.2008 Hyökkäyksiä Joomla! sisällönhallintajärjestelmiä vastaan
Viime aikoina löytyneitä haavoittuvuuksia kolmannen osapuolen toteuttamissa lisäosissa on pyritty käyttämään hyväksi. Viimeisen viikon aikana Joomla! sisällönhallintajärjestelmän lisäosista on löytynyt useita haavoittuvuuksia. Lisäosat ovat kolmannen osapuolen tekemiä, esimerkiksi verkkokauppasovelluksia tai järjestelmän hallintatyökaluja. CERT-FI:n tietoon on tullut tavallista enemmän Joomla!an ja sen lisäosiin kohdistuvia hyökkäyksiä. Tyypillisesti hyökkäyksillä pyritään etsimään XSS (Cross-site scripting) tai SQL Injection -haavoittuvuuksia sisältäviä järjestelmiä kohdistamatta hyökkäystä sen tarkemmin mihinkään tiettyyn kohderyhmään tai yritykseen. Ei riitä että vain Joomla! päivitetään; myös lisäkomponenttien tietoturvasta tulee huolehtia seuraamalla niihin tulevia tietoturvapäivityksiä ja asentaa ne ensitilassa. Lisäosien päivittäminen on oleellinen osa järjestelmän kokonaistietoturvaa. 03.11.2008 Merkkejä haavoittuvuutta MS08-067 hyväksikäyttävistä matotyyppisistä haittaohjelmista
CERT-FI:n tietoon on tullut itsenäisesti leviäviä haittaohjelmia, jota voidaan mahdollisesti käyttää hajautettuihin palvelunestohyökkäyksiin. Aikaisempien kokeiluluontoisten troijalaisten ja työkalujen lisäksi on havaittu merkkejä ensimmäisistä itsenäiseen leviämiseen kykenevistä matotyyppisistä haittaohjelmista. CERT-FI:n saaman haittaohjelmanäytteen mato piiloutuu ns. rootkitin avulla saastuneeseen tietokoneeseen, mikä tekee siitä vaikeasti havaittavan ja poistettavan. CERT-FI:n tietoon tullut haittaohjelman tämänhetkinen asetustiedosto antaa viitteitä siitä, että haittaohjelmaa voitaisiin käyttää hajautettuihin palvelunestohyökkäyksiin kiinalaisia hakukonesivustoja vastaan. 01.11.2008 Network Solutions verkkotunnus-rekisteröijän hallintatunnuksia kalastellaan
Verkkotunnusten hallintatunnuksiin liittyvät kalasteluyritykset jatkuvat CERT-FI:n 30.10.2008 julkaisemassa Tietoturva nyt! -artikkelissa kerrottiin Enom -nimisen verkkotunnusten rekisteröijän hallintaliittymän käyttäjätunnuksia ja salasanoja kalasteltavan. Nyt verkkourkinnan kohteena on Network Solutions -niminen verkkotunnusten rekisteröijä. Tällä kertaa sähköposteissa kerrotaan, että verkkotunnuksen voimassaoloaika päättyy. Jotta verkkotunnus pysyisi voimassa, kalastelukirjeessä pyydetään kirjautumaan aidonnäköiselle hallintasivustolle. Kalastelun tarkoituksena arvellaan olevan hallintatunnuksen ja salasanan sekä muiden mahdollisten palveluun tallennettujen tietojen saattaminen vääriin käsiin. Network Solutions kertoo tutkivansa asiaa ja toimivansa, jotta kalastelusähköposteissa käytetyt www-osoitteet saataisiin poistettua. |
