Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Tietoturva nyt! > 2008 > Joulukuu

Joulukuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

22.12.2008

Turvallista joulua

Joulu ja vuodenvaihde ovat roskapostin mukana tulevien haittaohjelmien ja huijausviestien sesonkia. Lyhyen notkahduksen jälkeen roskapostin määrä on kipuamassa entisiin mittoihin. Joulunpyhien aikana kannattaakin olla erityisen tarkkana sähköpostin suhteen. CERT-FI:n tietoon on jo tullut sähköpostiviestejä, joilla on kyselty operaattorin palvelujen tunnuksia ja salasanoja. Kannattaa muistaa, ettei Internet-operaattorilla tai vaikkapa pankilla ole mitään syytä kysellä käyttäjiensä tunnuksia ja salasanoja sähköpostitse.

On odotettavissa, että tänäkin jouluna käyttäjiä pyritään houkuttelemaan haitallista sisältöä sisältäville www-sivuille, asentamaan tietokoneeseensa haittaohjelmia tai luovuttamaan käyttäjätunnuksensa ja salasanansa sivulliselle. Paikkaamatonta ohjelmistohaavoittuvuutta hyväkseen käyttävä haittaohjelman lataaja voi lymytä kuvatiedostossa tai flash-animaatiossa. Jos käyttämääsi selaimeen, sähköpostiohjelmaan ja käyttöjärjestelmään ei ole vielä asennettu tuoreimpia päivityksiä, asenna ne nyt. Ohjelmistojen automaattinen päivittäminen auttaa pitämään ne ajan tasalla. Muista myös, ettei päivitettykään virustorjuntaohjelma tunnista kaikkia haittaohjelmia. Ole myös tarkkana verkosta asentamiesi ohjelmien suhteen, haittaohjelmat naamioidaan usein hyödyllisiksi virustorjuntaohjelmiksi tai vakoiluohjelmien poistajiksi.

Voit auttaa joulutervehdystesi vastaanottajia säilyttämään rauhallisen mielen käyttämällä omissa sähköpostiviesteissäsi vain kauniita sanoja. Viestin liitteeksi lisätyt kuvat, videot, musiikki, animaatiot tai toimisto-ohjelmien dokumenttitiedostot voivat saada vastaanottajan turhaan huolestumaan viestisi turvallisuudesta. Sähköpostiviestin lähettäjätiedot on helppo väärentää, joten pelkästään niiden perusteella sisällön luotettavuudesta ei voi varmistua.

Tietoturvallista joulua!

16.12.2008

Microsoft päivittää Internet Explorer-selaimen huomenna

Normaalin päivityssyklin ulkopuolinen päivitys korjaa XML-tiedon käsittelyyn liittyvän haavoittuvuuden

Microsoft on ilmoittanut julkaisevansa korjauksen CERT-FI:n haavoittuvuustiedotteessa 147/2008 kuvattuun Internet Explorer -haavoittuvuuteen huomenna 17.12 noin klo 20 Suomen aikaa. CERT-FI suosittelee voimakkaasti päivittämään Windowsin heti päivitysten ilmestyttyä. Helpoin tapa päivitysten asentamiseen on automaattinen päivityspalvelu.

15.12.2008

Useita suomalaisia Wordpress-blogialustoja murrettu

Murrettuja blogeja käytetään tyypillisesti lääkemarkkinointiin

WordPress on yleisesti käytetty ohjelmisto blog-tyyppisten www-sivustojen julkaisualustana. CERT-FI:n tietoon on tullut lukuisia suomalaisia murrettuja palvelimia, jotka on tiettävästi murrettu haavoittuvien WordPress-versioiden avulla. Murrettujen palvelimien www-palvelua on muokattu siten, että se vastaa Googlen hakuroboteille lähettämällä sivun ohessa tai sivun sijasta tyypillisesti lääkkeisiin liittyviä mainoksia. Mainokset eivät siis näy sivuja selatessa, mutta esimerkiksi Googlen hakutuloksista tai välimuistista ne löytyvät. Toiminnan tarkoituksena lienee blogeihin linkittävien www-sivujen esiin nostaminen hakutuloksissa.

CERT-FI kehottaa WordPress-ylläpitäjiä tarkistamaan, että alusta ja sen komponentit ovat päivitetyt. CERT-FI on ottanut yhteyttä tietoonsa tulleiden murrettujen palvelimien palveluntarjoajiin.

11.12.2008

Siis: 85.255.112/20, ei .122.. :-)

Eräs tarkkasilmäinen lukijamme huomautti, että eilisen Tietoturva nyt! -artikkelimme otsikossa oli väärä IP-osoite. On kiva huomata, että näitä juttuja luetaan tarkasti. Kiitos ilmoituksesta, virhe on nyt korjattu.

Samalla on syytä täsmentää, että eilisen artikkelimme mainitsema 200 haittaohjelmavariantin lukumäärä koski pelkästään ensimmäiseen C-luokkaan (85.255.112/24) yhteyttä ottavia haittaohjelmia. Näiden generoima liikenne on suurimmaksi osaksi DNS-liikennettä (udp- tai tcp-yhteyksiä porttiin 53).

Koko laajemman 20-bittisen verkkomaskin määrittelemään verkkoalueeseen (16 perättäistä C-luokkaa eli reilut 4 000 osoitetta) sen sijaan viittaa tietojemme jopa lähes 30 000 eri haittaohjelmavarianttia. Osa haittaohjelmista etsii näistä verkoista muitakin palveluita kuin DNS.

Haittaohjelmat ovat ryhtyneet siirtämään nimipalvelinasetuksia näihin verkkoihin vasta aivan äskettäin. Määrät ovat pompanneet jyrkkään nousuun vasta nyt joulukuussa.

On mahdollista, että verkkoalue on aktivoitu McColon verkkoalueiden irtikytkemisen seurauksena.

PS. Eilisen artikkelin otsikossa siis luki 85.255.122.0/20 kun oikea olisi pitänyt olla 85.255.112.0/20.

10.12.2008

DNS-asetuksiin vaikuttavia haittaohjelmia ja 85.255.112.0/20

CERT-FI:n tietoon on tullut, että jotkin haittaohjelmat muuttavat kaapattujen tietokoneiden nimipalvelinasetuksia (DNS) siten, nimenselvityspyynnöt ohjataan ulkomaiseen verkkoalueeseen. Eri lähteistä saamiemme raporttien mukaan kyseiseen verkkoalueeseen suuntautuvan DNS-liikenteen määrä on kasvanut rajusti. Tämä viittaa joko haittaohjelmatartuntojen määrän kasvuun tai - mikä todennäköisempää - muutoksiin haittaohjelmien kontrolloimiseen käytetyssä infrastruktuurissa.

Nimipalveluasetuksia manipuloivia haittaohjelmia

Useat DNSChanger-nimellä tunnetun haittaohjelman variantit ohjaavat tartuttamiensa tietokoneiden nimenselvityspyynnöt teleyrityksen asiakkailleen osoittamien nimipalvelinten sijasta verkkorikollisten hallussa oleviin verkkolohkoihin.

Uudelleenohjaus tehdään joko suoraan saastuneen työaseman DNS-asetuksia manipuloimalla tai väärentämällä laajakaista- ja yritysverkoissa yleisessä käytössä olevan lähiverkon työasemien verkkoasetusten automaattiseen määrittelyyn tarkoitetun DHCP-protokollan mukaista liikennettä. Jälkimmäisestä toteutustavasta kirjoitettiin 5.12. julkaisemassamme Tietoturva nyt! -artikkelista.

Määrät kasvussa

Tällä hetkellä otsikossa mainittuun verkkoon osoittavia haittaohjelmavariantteja on jo yli 200 kappaletta. Ulkomaisista lähteistä saamiemme tietojen mukaan kyseiseen verkkoalueeseen suuntautuvan liikenteen määrä on viime aikoina ollut rajussa kasvussa. Luultavasti tämä johtuu siitä, että nämä verkkoalueet on äskettäin aktivoitu ja olemassa oleva haittaohjelmakanta on määrätty käyttämään kyseisen verkkoalueen tarjoamia resursseja.

CERT-FI:n tietoon on viime päivinä saatettu yksittäisiä tapauksia, joissa suomalaisten verkkojen käyttäjien tietokoneet olisivat saaneet DNSChanger-tyyppisen haittaohjelmatartunnan. CERT-FI:llä ei ole kuitenkaan tällä hetkellä tarkkaa tietoa suomalaisten haittaohjelmatartuntojen määrästä.

Kohdeverkko

CERT-FI:n havaintojen mukaan yllä listatuissa verkoissa huomattavan moni osoite vastaa nimipalvelupyyntöihin. Tarkkaa tietoa ei ole, onko kyselyihin saatuihin vastauksiin luottamista. Tavanomaista on, että rikollisessa tarkoituksessa perustetut nimipalvelimet antavat vääriä vastauksia tarkasti harkittuihin osoitteisiin kuten virustorjuntaohjelmistojen päivityspalvelimiin, verkkopankkeihin, pelipalveluihin, huutokauppasivustoihin ja sähköpostipalveluihin.

AS BGP Prefix CC AS Name
36445 85.255.112.0/24 UA INTERNET-PATH
44060 85.255.113.0 -
85.255.127.255
 UA UKRTELE-AS

CERT-FI:n tietojen mukaan Internet Path, Inc. on sama toimija kuin 13.11. julkaisemassamme Tietoturva nyt! -artikkelissa mainittu Cernel. UkrTeleGroup sen sijaan on käyttämiemme ukrainalaisten virallislähteiden mukaan fiktiivinen yritysnimi. On jopa epäselvää, sijaitsevatko yllä listatuista ip-osoitteista vastaavat palvelimet todellisuudessa Ukrainassa.

Jos työaseman DNS-liikenne suuntautuu lähiverkolle osoitettujen nimipalvelinten sijasta verkkolohkooon 85.255.112.0/20, tietokone on erittäin todennäköisesti haittaohjelman saastuttama.

Minimiperiaatteen tai sulkeumaoletuksen soveltaminen

Erityisesti yhteisötilaajien palomuureja hallitsevien on syytä harkita niin sanotun minimivaltuusperiaatteen soveltamista vähintään omassa verkoista ulos suuntautuvien nimipalvelukyselyiden osalta. Minimiperiaate tarkoittaa sitä, että tietoliikennettä rajoitetaan ja ainoastaan välttämätön liikenne sallitaan. Sulkeumaoletus tarkoittaa sitä, että kaikki liikenne on oletuksena kielletty ja jokainen salliva tietoliikennesääntö täytyy olla nimenomaisesti perusteltu.

Näiden periaatteiden soveltaminen tarkoittaisi tässä yhteydessä sitä, että oman verkon työasemilta sallittaisiin DNS-liikenne vain ylläpitäjän määrittämille ja luotettaviksi tuntemille DNS-resolverinimipalvelimille tai DNS-forwardereille. Suoraan internetiin suuntautuvat nimipalvelukyselyt estettäisiin tai pakotettaisiin ylläpidollisin toimin halutuille DNS-palvelimille.

[Edit/2008-12-11: Otsikosta korjattu väärin kirjoitettu osoite 85.255.122.0/20 -> 85.255.112.0/20.]

05.12.2008

DHCP-palvelimeksi tekeytyvä haittaohjelma

DHCP on protokolla, jota käytetään tyypillisesti IP-osoitteen ja muiden asetusten, kuten nimipalvelimen ja oletusyhdyskäytävän määrittämiseen verkkoon kytkeytyville tietokoneille. Tietoturvayhtiö Symantec on kirjoittanut raportin haittaohjelmasta, joka tekeytyy DHCP-palvelimeksi ja jakaa IP-asetuksia samassa verkossa DHCP-pyyntöjä tekeville tietokoneille.

Raportissa mainittu haittaohjelma jakaa DHCP-vastauksissaan vihamieliset nimipalveluasetukset. Jos kyseisen haittaohjelman saastuttaman tietokoneen lähettämä DHCP-vastaus tavoittaa DHCP-kyselyn tehneen tietokoneen ennen verkon varsinaisen DHCP-palvelimen lähettämää vastausta, DHCP-pyynnön suorittanut tietokone päätyy käyttämään nimipalvelimia, jotka voivat esimerkiksi ohjata käyttäjän eri verkkopalveluiden kirjautumistietoja urkkiville www-sivustoille.

Suoraan saastuneen työaseman nimipalvelinasetuksia muuttavia haittaohjelmia on havaittu jo aiemmin. Nyt havaittu haittaohjelma saattaa kuitenkin onnistua muuttamaan myös muiden samassa verkossa olevien tietokoneiden nimipalvelinasetuksia ilman että näihin tietokoneisiin on tarttunut haittaohjelmaa.

CERT-FI:n tietoon ei ole tullut tapauksia, joissa kyseistä haittaohjelmaa olisi havaittu suomalaisissa verkoissa.

05.12.2008

Microsoft julkaisee ensi tiistaina kahdeksan tietoturvapäivitystä

Kuusi Microsoftin kuukausittaisen päivityssyklin sisältämästä kahdeksasta päivityksestä on luokiteltu kriittiseksi ja kaksi tärkeäksi.

Alustavan tiedotteen mukaan Microsoft julkaisee tiistaina 9. joulukuuta kahdeksan tietoturvatiedotetta, jotka koskevat Microsoftin luokituksen mukaan korkeimmalta vakavuusluokitukseltaan kriittisiä haavoittuvuuksia. Tiedotteet käsittelevät muun muassa Windows-käyttöjärjestelmää ja sen komponentteja, Internet Explorer -selainta ja Office-tuotteita. Tiedotteiden myötä haavoittuvuuksiin julkaistaan myös päivitykset.

Ainakin neljä päivitystä vaatii järjestelmän uudelleenkäynnistyksen. CERT-FI tulee julkaisemaan päivityksistä myös haavoittuvuustiedotteet. CERT-FI suosittelee päivittämään haavoittuvat ohjelmistot heti päivitysten tultua saataville. Helpoin tapa päivitysten asentamiseen on automaattinen päivityspalvelu.