Tietoturva nyt!

13.11.2008

McColo, EstDomains, Intercage, Cernel, RBN...

Amerikkalainen McColo ei ole ainoa operaattori, jonka toiminta on ajettu ahtaalle jatkuvien tietoturvaongelmien tai suoranaisten tietoverkkorikosepäilyjen johdosta.

Vaikuttaisi siltä, että McColon tietoliikenneyhteyksien katkaiseminen on vaikuttanut huomattavan positiivisesti internetissä lähetetyn roskapostin määrään. Vaikka useat raportit tähän viittaisivatkin, on syytä todeta, että CERT-FI:llä ei ole täysin varmaa tietoa siitä, onko havaittu notkahdus kytköksissä juuri tämän operaattorin verkkojen irtikytkemiseen. Seuraamme aiheesta käytyä keskustelua ja tilanteen kehittymistä tiiviisti.

Viime aikoina on otettu muitakin vastaavia tietoturvaa potentiaalisesti parantavia edistysaskeleita.

Internetin verkkotunnuksia ja osoiteavaruuksia hallinnoiva ICANN-järjestö (Internet Corporation for Assigned Names and Numbers) on pyrkinyt perumaan EstDomains-nimisen verkkotunnusrekisteröijän toimiluvan. Vuosien saatossa saamiemme lukuisten raporttien perusteella näyttäisi siltä, että huomattava osa erilaisten tietoturvaloukkausten toteuttamiseen käytetyistä verkkotunnuksista on rekisteröity EstDomainsin kautta. ICANN:in puuttumisperuste tosin liittyy yrityksen johtajien Virossa saamiin (valituskelpoisiin) tuomioihin. Tämän hetken tiedon mukaan EstDomainsin RAA-status (Registrar Accreditation Agreement) perutaan 24.11. Sen nykyiset asiakkaat pyritään siirtämään toisten verkkotunnusrekisteröijien asiakkaiksi.

Intercage-niminen yhdysvaltalaisoperaattori (aiemmin tunnettu nimellä Atrivo) menetti tietoliikenneyhteytensä syyskuussa vastaavanlaisessa operaatiossa kuin nyt McColo. Kyseisen yrityksen hallinnoimissa verkkoalueista käsin on CERT-FI:nkin käsittelemien tapausten valossa jaettu toistuvasti haittaohjelmia sekä operoitu väärennettyjä vastauksia tarjoavia DNS-palvelimia. Sekä EstDomains että Intercage tulivat toistuvasti vastaan muun muassa vuodenvaihteen 2005/2006 Windows Metafile (WMF) -haavoittuvuutta hyödyntävien haittaohjelmien yhteydessä. Intercagen nimi on julkisuudessa liitetty EstDomainsin lisäksi myös seuraaviin yrityksiin: Esthost, UkrTeleGroup, Inhoster, Hostfresh ja Cernel. Myös osalta näistä yrityksistä on rajoitettu internet-yhteyksiä operaattoreiden vapaaehtoisin toimin. Myös Intercagen irtikytkemisen aikaan uutisoitiin roskapostin määrän vähentymisestä. Tuolloin kuitenkaan suomalaiset operaattorit eivät voineet vahvistaa havaintoa.

Varsin tarkkaan vuosi sitten huipentui myös venäläiseksi luonnehditun Russian Business Networks -nimisen ryhmittymän ajojahti. Myös näiden verkkojen osalta on esitetty väitteitä toistuvasta ja tahalliseksi luonnehditusta tietoturvaloukkausten tehtailusta. CERT-FI:n tietojen mukaan RBN hylkäsi verkkonsa ja ajoi ainakin osan toiminnoistaan alas. CERT-FI mainitsi asiasta 9.11.2007 päivätyssä Tietoturva nyt! -artikkelissa ja tietoturvan vuosikatsauksessa 2007. Sittemmin on ollut aika ajoin ollut nähtävissä viitteitä siitä, että RBN-ryhmittymä pyrkisi palauttamaan toimintojaan verkoon. Verkkojen irtikytkemisen vaikutuksista on yleiseen tietoturvatilanteeseen on esitetty spekulaatioita, mutta tällä viikolla nähdyn roskapostin dramaattisen vähenemisen kaltaista vaikutusta ei ole pystytty osoittamaan.

Yhteistä näille tapauksille on se, että aloite yhteyksien alasajoon on tullut tietoliikennepalvelujen tarjoajilta, jotka ovat perustaneet tietonsa vapaaehtoisten tietoturvatutkijoiden laatimiin raportteihin. Mahdollisten rikosepäilyjen selvittämistä haittaa toiminnan globaali luonne ja tapauksista kärsineiden asianomistajien passiivisuus. Positiivinen poikkeus on esimerkiksi Microsoft, joka on syyskuussa haastanut lukuisia tietoturvaohjelmistoiksi naamioituneiden haittaohjelmien levittäjiä oikeuteen.

Lisätietoa

• ICANN:in 12.11.2008 päivätty tiedote sekä aikaisempi kirjeenvaihto ICANN:in ja EstDomainsin välillä
  http://www.icann.org/en/announcements/announcement-12nov08-en.htm
• Spamhausin 29.8.2008 päivätty tiedote Intercagen toiminnasta
  http://www.spamhaus.org/news.lasso?article=636
• Wikipedia-sivusto, jossa on seurattu Russian Business Networksin edesottamuksia ja verkkojen alasajon vaiheita
  http://en.wikipedia.org/wiki/Russian_Business_Network
• Washingtonin syyttäjäviranomaisen 29.9.2008 päivätty lehdistötiedote haittaohjelmien tuottajia vastaan nostetuista syytteistä
  http://www.atg.wa.gov/pressrelease.aspx?id=21026