Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Tietoturva nyt! > 2009 > Lokakuu

Lokakuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

30.10.2009

Facebook-huijauksia liikkeellä

Roskapostikampanjan aihe on vaihtunut

Kirjoitimme muutama viikko sitten Zeus-roskapostikampanjan saapumisesta Suomeen. Silloin Zeus-haittaohjelmaa jaettiin Outlook-sähköpostiohjelman määrittelytiedostona.

Tällä viikolla roskapostikampanja on saanut toisen ilmeen. Viikon aikana haittaohjelmia on sähköpostitse jaettu Facebook-palvelun nimissä. Viesteissä on kerrottu Facebook-palvelun
turvallisuuksia parantavista ominaisuuksista jotka vaativat koneelle uuden työkalun asentamisen. Vaihtoehtoisesti vastaanottajille on kerrottu että heidän Facebook-tunnussana on vaihdettu ja että uusi tunnussana on mukana sähköpostin liitteessä. Sekä työkalu että sähköpostin liite ovat sisältäneen haittaohjelman. Tietojemme mukaan toinen haittaohjelmista on ollut Zeus ja toinen Bredolab.

Bredolab on niin sanottu haittaohjelmien lataaja. Ohjelman tarkoitus on ladata saastuneelle tietokoneelle muita haittaohjelmia. Bredolab-lataajaa on käytetty mm. Zeus-haittaohjelman levittämiseen. Zeus on tietoja varastava haittaohjelma. Se tunnetaan myös nimellä Zbot ja wsnpoem.

30.10.2009

CERT-FI:n tutkimus eurooppalaisista CSIRT-toimijoista

CERT-FI toteutti vuoden 2008 aikana tutkimuksen, jossa koottiin yhteen 11 eurooppalaisen CSIRT-yksikön toimintamallit.

Tutkimuksen tarkoituksena oli tunnistaa yksiköiden käytössä olevia hyviä malleja, joita voitaisiin hyödyntää CERT-FI:n ja Viestintäviraston toiminnassa. Ajatus tutkimukselle sai alkunsa vuonna 2007, kun CERT-FI-yksikön henkilöresurssit kasvoivat ja toiminnan tulevaisuutta ja sen painopistealueita suunniteltiin.

Tutkimukseen osallistuneet organisaatiot edustivat oman maansa kansallisia ja valtionhallinnon CSIRT-toimijoita. Toimijoiden kesken vertailtiin niiden historiaa, rahoitusta, asiakaskuntia, palveluvalikoimia ja toimivaltuuksia hyvinkin laajalti.

Tutkimuksen päähavainnot olivat:

  • Jokainen CSIRT-yksikkö on ainutlaatuinen
  • Kansallisilla ja valtionhallinnon CSIRT-toimijoilla on tietyt vähimmäisvaatimukset
  • Valtionhallinnon CSIRT-yksiköt on rahoitettu valtion budjettirahalla

30.10.2009

Ruotsin palvelunestohyökkäykset

Ruotsin viranomaiset tutkivat eilisiä palvelunestohyökkäyksiä

Useat ruotsalaiset web-sivustot joutuivat torstaina palvelunestohyökkäyksen kohteeksi. Kohteiden joukossa oli useita median verkkosivustoja sekä Ruotsin poliisin verkkosivut. Toistaiseksi hyökkäyksen motiiveista ei ole tietoa. Basefarm, hyökkäyksen kohteena olleiden median web-sivustojen palveluntarjoaja, toimii Ruotsissa eikä palvelunestohyökkäyksellä ollut vaikutusta Suomessa oleviin sivustoihin. Ruotsalaiset viranomaiset tutkivat asiaa.

Palvelunestohyökkäys toteutetaan yleisimmin kaapattujen koneiden verkon avulla. Tälle niin sanotulle bottiverkolle annetaan hyökkääjän toimesta käsky tuottaa tietoliikenneviestejä kohteeseen tarkoituksenaan ruuhkauttaa kohde ja estää muiden pääsy sinne.

21.10.2009

CERT-FI:n tietoturvakatsaus 3/2009

Neljännesvuosittain julkaistava CERT-FI:n tietoturvakatsaus on julkaistu.

Tietoja varastavat haittaohjelmat ovat myös suomalaisten kiusana. CERT-FI:n tietoon on tullut suomalaisten käyttäjien tietoja, jotka ovat vuotaneet sivullisille. CERT-FI on julkaissut kahden suuren haavoittuvuuskoordinointiprojektin tulokset.

16.10.2009

Zeus-roskapostikampanja on saavuttanut myös Suomen

Zeus-haittaohjelmalinkin sisältäviä roskaposteja on lähetetty myös suomalaisille toimijoille. Roskapostissa oleva linkki sisältää erehdyttävästi vastaanottajan sähköpostin verkkotunnuksen.

Saamamme tiedon mukaan uusin Zeus-roskapostikampanja on ulottunut myös suomalaisiin sähköpostiosoitteisiin. Sähköpostissa kerrotaan, että käyttäjän pitäisi klikata linkkiä jonka avulla Outlook-sähköpostiohjelma konfiguroidaan uudelleen. Osassa viestejä käyttäjää pyydetään palvelimen päivityksen vuoksi lataamaan uudet SSL-varmenteet selaimeen. Linkin osoite sisältää harhaanjohtavasti käyttäjän sähköpostiosoitteen verkkotunnuksen. Klikkaamalla linkkiä käyttäjän selain ohjautuu sivulle joka muistuttaa Microsoft Exchange-palvelimen OWA-palvelua (Outlook Web Access). Sivu sisältää linkin Zeus-haittaohjelmatiedostoon.

Edellinen isompi Zeus-roskapostikampanja oli kohdistettu amerikkalaisiin. Roskaposti sisälsi tietoa USA:n verovirastosta IRS:stä jonka varjolla käyttäjä yritettiin erehdyttää klikkaamaan haittaohjelman sisältävää linkkiä.

Kyseinen haittaohjelma, Zeus (tunnetaan myös nimeltä Zbot), on myös vastuussa isosta osaa CERT-FI:lle raportoiduista haittaohjelmien varastamista tiedoista. Haittaohjelma sisältää keylogger-toiminnallisuuden, joka tallentaa esimerkiksi käyttäjän sähköisiin asiointipalveluihin ja yhteisöpalveluihin käyttämiä tunnuksia.

14.10.2009

Teollisuusautomaation teemaseminaarin materiaalit verkossa

Viestintäviraston CERT-FI ja Huoltovarmuuskeskus järjestivät 30.9.2009 teemaseminaarin teollisuusautomaation tietoturvallisuudesta. Seminaarin julkinen materiaali on nyt julkaistu verkossa.

Teollisuusautomaation (myös: ICS) tietoturvallisuudella tässä yhteydessä tarkoitetaan teollisissa ympäristöissä käytettävien ohjausjärjestelmien tietoturvauhkia ja kykyä sietää tietoturvaloukkauksia tai niiden yrityksiä. 30.9.2009 Viestintävirastossa järjestetty seminaari tarkasteli aihetta monesta eri näkökulmasta. CERT-FI:n tietoturvaloukkausten käsittelyyn keskittyvän näkökulman lisäksi kuultiin alustukset muun muassa ohjelmistohaavoittuvuuksia etsivän tutkijan, systeemisen tietoturvallisuuden tutkijan, järjestelmätoimittajan, käyttöönottoprojektin sekä liiketoiminnan omistajan näkökulmasta. Lisäksi arvioitiin yhteiskunnan riippuvuutta sähköverkosta ICS-ympäristönä.

Seminaari keräsi salin täyteen aktiivisia asiantuntijoita ja synnytti erittäin asiantuntevaa keskustelua.

13.10.2009

Tietoja varastavien haittaohjelmien keräämiä tietoja tilastoitu

Vastaanotamme satunnaisesti ilmoituksia tapauksista, joissa suomalaisten sähköisten asiointipalveluiden käyttäjät ovat joutuneet tietoja varastavien haittaohjelmien uhreiksi. Ilmoitukset voivat sisältää myös haittaohjelmien keräämiä tietoja.

Tietoja varastavien haittaohjelmien keräämät tiedot ovat tyypillisesti sähköisten palveluiden kirjautumistietoja, kuten käyttäjätunnuksia ja salasanoja. Haittaohjelmat keräävät kuitenkin rutiininomaisesti myös selaimella käytettävien lomakkeiden kuten sähköpostiviestien, verkkokauppatilausten sekä verkkopankkilomakkeiden sisältöjä.

Kävimme läpi tapaustilastojamme ajalta 1.1.2008 - 31.8.2009. Tänä aikana erillisiä yksittäiseen käyttäjään kohdistettavissa olevia tapauksia oli noin 1800 kappaletta. Kirjautumistietojen jakautuminen teleyritysten, pankkien, julkisyhteisöjen ja muiden sähköisten palveluntarjoajien palveluiden välillä ilmenee oheisesta tietojen jakautumista kuvaavasta taulukosta.

Merkittävä osa kaikista CERT-FI:n käsittelemistä tapauksista kohdistui yhden suomalaisen yrityksen tarjoamaan kansainväliseen palveluun. Valtaosan tapausten kokonaismäärästä muodostavat siten kyseisen palvelun ulkomaalaiset käyttäjät. Aineistoa tarkasteltaessa merkillepantavaa on myös se, että pankkipalveluiden kirjautumistiedot muodostavat varsin pienen osan tiedoista. Luottokorttitiedot puuttuvat CERT-FI vastaanottamista tiedoista kokonaan, sillä niille on olemassa muita vakiintuneita raportointikanavia.

Tietoja varastavat haittaohjelmat palveluntarjoajittain

CERT-FI on aiemmin kertonut käyttäjien tietoja varastavista haittaohjelmista seuraavissa julkaisuissaan:

http://www.cert.fi/katsaukset/2007/vuosikatsaus2007.html
http://www.cert.fi/katsaukset/2007/tietoturvakatsaus_2-2007.html
http://www.cert.fi/tietoturvanyt/2007/04/P_10.html
http://www.cert.fi/katsaukset/2006/vuosikatsaus_2006.html
http://www.cert.fi/ohjeet/2006/ohje-2006-01.html
http://www.cert.fi/katsaukset/2006/tietoturvakatsaus_32006.html
http://www.cert.fi/tietoturvanyt/2006/07/P_3.html

09.10.2009

Adobelta ja Microsoftilta luvassa päivityksiä ensi tiistaina

Adoben paketissa kriittisiä päivityksiä, Microsoftin kolmestatoista päivityksestä kahdeksan luokiteltu kriittisiksi

Adobe julkaisee ensi tiistaina 13.10. kriittisiä päivityksiä sisältävän neljännesvuosittaisen päivityspaketin. Päivityspaketti sisältää ennakkotietojen mukaan korjauksen haavoittuvuuteen, jota on uutisoitu käytetyn kohdistetuissa hyökkäyksissä (CVE-2009-3459).

Microsoft julkaisee samana päivänä kolmetoista päivitystä sisältävän päivityspaketin. Niistä kahdeksan on Microsoftin kriittiseksi luokittelemia päivityksiä haavoittuvuuksiin, jotka mahdollistavat hyökkäjän komentojen suorittamisen kohdejärjestelmässä. Loput päivityksistä on luokiteltu tärkeiksi. Päivityspaketti sisältää ennakkotietojen mukaan korjauksen Microsoftin Internet Information Services-sovelluksen(IIS) FTP-palvelimen haavoittuvuudelle ja SMBv2-haavoittuvuudelle.

Suosittelemme päivittämään haavoittuvat ohjelmistot heti päivitysten tultua saataville. CERT-FI julkaisee päivityksistä myös haavoittuvuustiedotteet.

08.10.2009

Tekstiviestihuijauksia liikkeellä

Linkkejä ei tule avata, tekstiviesteissä oleviin numeroihin soittaa tai sähköpostiosoitteisiin vastata.

CERT-FI on saanut ilmoituksia useista suomalaisiin matkapuhelinliittymiin kohdistuneista tekstiviestihuijaustapauksista. Tiedotusvälineissäkin uutisoidussa tapauksessa lähetettiin tekstiviestillä linkki, jota käyttäjää kehoitettiin avaamaan.

Tekstiviesteihin kannattaa suhtautua samanlaisella harkinnalla kuin sähköposteihinkin. Roskaposteista tutut huijausmenetelmät ovat levinneet matkapuhelimiin, kun käyttäjien tietoisuus sähköpostien riskeistä on parantunut. Tuntemattomalta lähettäjältä tulevia linkkejä ei tule avata, tekstiviesteissä mahdollisesti oleviin numeroihin ei ole syytä soittaa tai sähköpostiosoitteisiin vastata. Linkin seuraaminen johti ylläkuvatussa tapauksessa sopimuksen hyväksymiseen, mutta vastaavalla menetelmällä voitaisiin esimerkiksi pyrkiä tartuttamaan matkapuhelimeen haittaohjelma. Myös tietojenurkinta voi olla lähetettyjen tekstiviestien päämääränä.

07.10.2009

Ilmaissähköpostipalvelujen salasanalistoja julki

Joukossa oli käyttäjätunnuksia ja salasanoja muun muassa Hotmail- ja Gmail-sähköpostipalveluihin

Tuhansia Hotmail-sähköpostitunnuksia ja -salasanoja sisältänyt lista tuli julki maanantaina 5.10. mahdollisesti vahingossa. Tiistaina 6.10. julkaistiin kaksi uutta listaa, joilla oli muunmuassa Gmail- ja Yahoo!-tunnuksia.

Tapaa, jolla käyttäjätunnukset ja salasanat on kerätty, ei ole saatu selville. Palveluntarjoajien mukaan heidän järjestelmiinsä ei ole kuitenkaan murtauduttu. Palveluntarjoajat ovat sulkeneet sellaiset tunnukset, jotka ovat olleet mukana julki tulleilla listoilla.

CERT-FI:n tietojen mukaan listoilla ei ole ollut suomalaisten käyttäjien tietoja. Sellaisiin sähköposteihin, joissa kysytään henkilötietoja, käyttäjätunnusta tai salasanaa, ei tule vastata. Omaan sähköpostipalveluntarjoajaan kohdistuvasta tietojenurkinnasta kannattaa ilmoittaa sähköpostipalveluntarjoajalle. Samaa käyttäjätunnusta ja salasanaa ei pidä käyttää esimerkiksi sähköpostipalvelussa ja yhteisöpalveluissa kuten Facebookissa.