Marraskuu

27.11.2009

Teleyrityksillä tiedotusvelvollisuus viestintäpalveluiden tietoturvasta

Ruotsin puolustusvoimien radiolaitoksella on mahdollisuus joulukuun alusta alkaen seurata maanpuolustustarkoituksessa Suomesta Ruotsin kautta ulkomaille suuntautuvaa sähköistä viestintää. Merkittävä osa Suomesta ulkomaille menevästä tietoliikenteestä kulkee Ruotsin kautta.

Ruotsin kautta kulkevan tietoliikenteen tiedustelutoiminta on otettu huomioon Viestintäviraston uudistetussa määräyksessä, joka koskee teleyritysten velvollisuutta ilmoittaa asiakkailleen ja Viestintävirastolle palveluihinsa kohdistuvista tietoturvauhkista. Määräys tulee voimaan vuoden 2010 alusta.

Jokaisen internetin käyttäjän on syytä miettiä, mitä viestintäpalveluja käyttää ja miten niitä suojaa. Suojausta vaativat viestit voi tarvittaessa salata. Sähköisen viestinnän suojaaminen oli esillä myös vuoden 2009 helmikuussa järjestettynä Tietoturvapäivänä.

26.11.2009

Lista tietoturvaa vaarantavista verkoista

Liikennettä tietoturvaa vaarantaviin verkkolohkoihin kannattaa seurata saastuneiden tietokoneiden tunnistamiseksi. Yksi hyvä keino tähän on Spamhaus-projektin DROP-lista.

Erään yhdysvaltalaisen verkko-operaattorin verkkoa käyttäen on jo pitkään toteutettu tietoturvaloukkauksia, eikä ongelmiin ole saatu ratkaisua toistuvista virka-apupyynnöistä huolimatta. Suomalaiset teleyritykset ottivat viikon alkupuolella tehostettuun seurantaan kyseiseen operaattoriin suuntautuvan liikenteen. Seurannan avulla suomalaisista verkoista on tunnistettu suurehko määrä saastuneita tietokoneita. Useat teleyritykset alkoivat myös rajoittaa liikennettä kyseiseen operaattoriin.

Lukuisat muutkin verkkolohkot ovat olleet kansainvälisen tietoturvayhteisön tarkkailun alla kuukausia tai peräti vuosia. Näistä valikoitui nyt toteutettujen toimenpiteiden kohteiksi vain pieni joukko verkkoja, joiden todettiin vaarantavan erityisesti suomalaisten käyttäjien tietoturvaa. Kattavammista verkkolohkolistoista voidaan mainita roskapostittajia seuraavan Spamhaus-projektin DROP-lista. Lista sisältää muiden muassa kehotuksessamme mainitut haitallisen verkko-operaattorin osoiteavaruudet. SANS Internet Storm Center on suositellut kyseisten verkkolohkojen tarkkailua jo liki neljä vuotta sitten.

DROP-listalle päätyneitä verkkoja käytetään lähes yksinomaan käyttäjien tietoturvaa vaarantaviin tarkoituksiin. Perustelut listalle päätymiseen johtaneista syistä voi tarkastaa verkkoaluekohtaisesti Spamhaus-projektin julkistamista todistusaineistoista. Listattuihin verkkoihin suuntautuva liikenne voidaan tulkita pääosin haittaohjelmien aiheuttamaksi.

Yhteisötilaajat omistavat itse verkkonsa ja määräävät verkon käyttötarkoituksen. Ne voivat käyttää DROP-listaa suodattaakseen saastuneita koneita oman organisaationsa verkosta. Yleisen viestintäverkon osalta sananvapauteen, tasavertaisiin ja syrjimättömiin viestintämahdollisuuksiin vaikuttavan puuttumisen kynnys on korkeampi. Näin ollen teleyritysten kannattaa ensisijaisesti hyödyntää liikennehavaintoja DROP-listalla mainittuihin verkkoihin saastuneiden koneiden tunnistamiseen ja tutkintaan saattamiseen.

24.11.2009

Liikennettä yhdysvaltalaiseen verkko-operaattoriin rajoitettu

Internet-yhteyden toimimattomuus voi olla merkki haittaohjelmatartunnasta.

Mikäli Internet-yhteytesi on tänään lakannut toimimasta, koneesi voi olla saastunut nimipalvelinasetuksia muuttavan haittaohjelman toimesta. Useiden suomalaisten teleyritysten käyttöön ottamat rajoituskeinot voivat tällöin estää pääsyn haittaohjelman muuttamille nimipalvelimille. Käyttäjälle nimipalvelimen toimimattomuus näkyy muun muassa siten, ettei selain löydä palvelimia.

CERT-FI:n tietojen mukaan suomalaisista verkoista on tavattu vajaat kaksituhatta kuvatun haittaohjelman saastuttamaa konetta. Kerroimme eilisessä Tietoturva nyt! -artikkelissamme ohjeita haittaohjelmatartunnan havaitsemiseen.

24.11.2009

Verkkopalveluihin kohdistuvat huijaukset kuriin rajoituskeinoin

Teleyrityksiä kehotettiin suojelemaan käyttäjiä.

Viestintävirasto julkaisi tänään lehdistötiedotteen teleyrityksille suuntaamastaan kehotuksesta rajoittaa liikennettä haitallisiin yhdysvaltalaisiin verkkoalueisiin. Useat suomalaiset teleyritykset ovat ottaneet rajoitustoimet käyttöön.

23.11.2009

Nimipalvelinasetuksia muuttavat haittaohjelmat

Nimipalvelinväärennöksillä isketään suomalaisiin verkkopalveluihin.

CERT-FI:n tietoon on tullut tapauksia, joissa suomalaisten verkkopankkiasiakkaiden verkkoliikennettä on ohjattu huijauspalvelimille nimipalvelinasetuksia muokkaamalla. Monet nykyiset haittaohjelmat muuttavat verkkoasetuksia käyttäjän tietämättä. Eräät haittaohjelmat myös väärentävät verkkoasetusten määrittämiseen käytettyjä DHCP-palvelinviestejä.

Huijauksen tavoitteena on kerätä käyttäjien käyttäjätunnuksia ja salasanoja verkkopalveluihin. Tyypillisesti huijaukset koskevat suurta joukkoa erilaisia verkkopalveluja. CERT-FI pitää todennäköisenä, että myös tämänkertainen huijauskampanja kohdistuu useisiin suomalaisiin ja ulkomaalaisiin muihin verkkopalveluihin, eikä oletettavasti rajaudu pelkkiin verkkopankkeihin.

Suojautuakseen hyökkäyksiltä verkkopalvelujen käyttäjien kannattaa siirtyä käyttämään verkkopalvelua kirjoittamalla suojatun https://-alkuisen yhteysosoitteen käsin, eikä siirtyä palveluun linkkiä napsauttamalla. Selaimet ilmoittavat suojatusta yhteydestä myös lukon kuvalla. Suomalaiset pankit ohjeistavat käyttäjiään vastaavista menettelyistä.

Nimipalvelinasetuksia voi tarkastella Windows-järjestelmässä komennolla ipconfig /all. Linux- ja Mac-järjestelmissä vastaavat tiedot löytyvät tiedostosta /etc/resolv.conf.

CERT-FI:n tietoon tulleessa kampanjassa muutetut nimipalvelinasetukset osoittavat verkkoon 85.255.112.0/20. Rekisteröintitietojen perusteella verkko on Ukrainassa, mutta reititystietojen perusteella jäljet johtavat Yhdysvaltoihin. Olemme tiedottaneet kyseisessä verkkoalueessa pesivistä haittaohjelmista ensimmäisen kerran jo vuosi sitten.

Kyseisen verkkoalueen osoitteita käyttävät nimipalveliminaan muun muassa Zlob/Alureon -perheen trojalaiset. Nimipalvelimet ohjaavat suomalaisia verkkopalveluja tavoittelevat käyttäjät yhdysvaltalaiselle verkkoaluelle 67.210.14.0/23.

Jos epäilee joutuneensa huijauksen kohteeksi, kannattaa selvittää, ovatko koneen nimipalvelinasetukset muuttuneet ja osoittaako kone muita saastumisen merkkejä. Lisätietoja haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan on CERT-FI:n ohjeessa 1/2007.
Jos epäily tartunnasta varmistuu, kannattaa ottaa yhteyttä myös CERT-FI-yksikköön.

20.11.2009

Suomessa ei URLZone-havaintoja

CERT-FI:n tämän hetken tietojen mukaan URLZone-nimisestä pankkitroijalaisesta ei ole olemassa suomalaisiin verkkopankkeihin sovitettuja versioita. Tiedossamme on kuitenkin eräiden saksalaisten ja tanskalaisten verkkopankkien turvamekanismit ohittavia versioita. Haittaohjelma tunnetaan myös nimellä Bebloh.

Haittaohjelman avulla voidaan tehdä hyökkäys jossa haitake pääsee tarkkailemaan ja muokkaamaan myös suojattuja selainyhteyksiä, eli https-yhteyksiä. Tällaista hyökkäystä kutsutaan MITB-, eli man-in-the-browser -hyökkäykseksi.

Haittaohjelma aktivoituu tunnistaessaan sivun jolla käyttäjä käy, ja muodostaa ylimääräisen tilisiirron taustalla siten ettei se näy lainkaan käyttäjälle. Hyväksyessään maksuja verkkopankin käyttäjä voikin tulla hyväksyneeksi myös haittaohjelman taustalla tekemät maksut. URLZone osaa muokata käyttäjälle näkyvää saldoa sen mukaan minkä verran rahaa se vie ylimääräisellä tilisiirrolla. Haittaohjelma osaa myös olla tyhjentämättä tiliä täysin, jolloin käyttäjä ei huomaa tapahtunutta.

Räätälöidyt ominaisuudet vaativat kuitenkin haittaohjelman tekijöiltä haitakkeen toiminnallisuuden muuttamisen aina tiettyä verkkopankkia vastaan, verkkopankkien käyttämien kaavakkeiden ja toiminnallisuuden erotessa toisistaan. Toistaiseksi CERT-FI:llä ei ole havaintoja suomalaisia verkkopankkeja varten räätälöidystä versiosta.

Helpoin tapa suojautua haittaohjelmilta on pitää virustorjuntaohjelmisto, käyttöjärjestelmä ja varusohjelmistot päivitettyinä. Tietoja varastavat haittaohjelmat eivät myöskään ole uusi keksintö verkkorikollisilta, vaikka niiden määrä onkin kasvanut viimeisen parin vuoden aikana. Kuvailimme vastaavanlaisen tekniikan, eli istunnon kaappaavan ja sitä manipuloivan haittaohjelman jo 11.4.2008 julkaistussa Tietoturvakatsaus 1/2008:ssa. Myös tuolloin kohteena olivat Euroopan saksankielisellä alueella toimivat verkkopankit.

14.11.2009

Yhteistyötä tiivistetään tietoja varastavien haittaohjelmien torjunnassa

Parhaat mahdollisuudet tietoja varastavien haittaohjelmien aiheuttamien vahinkojen ehkäisemiseen on palveluntarjoajilla ja käyttäjillä. Myös viranomaiset ovat kuitenkin tiivistämässä yhteistyötään.

Sähköisten palvelujen tarjoajien tulee ottaa tietoja varastavien haittaohjelmien uhka huomioon jo suunnitellessaan palvelujensa kirjautumisjärjestelyjä sekä sovellusistunnon aikana välitetyn tiedon suojaamista. Lisäksi toimijoiden tulisi luoda ennakolta menettelyt, joilla palvelun loppukäyttäjien turvallisuudesta huolehditaan tilanteissa, joissa esimerkiksi palvelun kirjautumistietoja on paljastunut sivullisille. Valmistelemme parhaillaan erityisesti huoltovarmuuskriittisille toimijoille suunnattua CERT-toimintamallien käyttöönottamista yrityksissä suosittelevaa ohjeistusta. Ohjeistus tulee sisältämään myös muiden toimijoiden hyödynnettävissä olevan esimerkkiprosessin tilanteisiin, joissa palveluntarjoaja saa tiedon käyttäjiensä tietojen joutumisesta vääriin käsiin.

Myös sähköisten palvelujen käyttäjien on hyvä muistaa, että käyttäjien hallussa olevien päätelaitteiden tietoturvallisuudesta huolehtiminen on ensisijaisesti heidän omalla vastuullaan. Osavastauksena esimerkiksi käyttäjän kotitietokoneella toimivien tietoja varastavien haittaohjelmien uhkaan CERT-FI on vuonna 2007 julkaissut ohjeen haittaohjelman saastuttamaksi epäillyn tietokoneen tutkimiseen OHJE 1/2007.

CERT-FI on selvittänyt yhdessä keskusrikospoliisin tietotekniikkarikosyksikön ja tietosuojavaltuutetun toimiston kanssa viranomaisten yhteistyömahdollisuuksia käyttäjien tietoja varastavien haittaohjelmien aiheuttamien vahinkojen minimoimiseksi. Myös tämän yhteistyön tuloksena laadittu muistio tullaan julkaisemaan lähiaikoina.

13.11.2009

Abuse-seminaarin materiaalit verkossa

Viestintävirasto järjesti 21.10.2009 neljännen vuosittaisen abuse-seminaarin. Tilaisuuden esitysmateriaalit on nyt julkaistu verkossa.

Abuse-toiminnalla tarkoitetaan internet-palveluntarjoajien operatiivista tietoturvaa vaarantavien tapahtumien tutkintaa ja selvittelyä.

Tilaisuudessa kuultiin alustukset CERT-FI-yksikön Autoreporter-palvelun kehitysnäkymistä, tutustuttiin abuse-tilanteiden selvittelytyössä käytettäviin analyysityökaluihin ja palvelunestohyökkäyksiin ilmiöinä. Lisäksi seminaarin kuulijat tutustuivat tietoja varastavien haittaohjelmien ajankohtaistilanteeseen.

10.11.2009

Urkintaviestejä KRP:n ja pankkien nimissä

Suomenkielisissä sähköposteissa urkitaan kortinhaltijoiden tietoja "korttien sulkupalveluksi" tekeytyen. Viestien lähettäjäksi on tyypillisesti väärennetty satunnainen pankki, Luottokunta tai poliisi. Viestit ovat huijauksia.

CERT-FI on saanut maanantaista alkaen satunnaisia raportteja roskapostin tapaan lähetetyistä suomenkielisistä huijausviesteistä, joiden ilmeisenä pyrkimyksenä on kerätä suomalaisten luottokorttien haltijoiden verkkopankkitunnuksia. Ilmoituksia on tullut lisää tänään tiistaina.

Viestit ovat ohjanneet kävijät sivustolle, jonka osoite on ollut muotoa:

http://{pankin nimi}-sulkupalvelu.weebly.com

Kyseinen verkkopalvelu ei ole minkään suomalaisen pankin tai luottokorttien myöntäjän omistama. Kyseessä on huijaus.

CERT-FI ei suosittele seuraamaan verkkourkintaviesteissä olevia linkkejä eikä antamaan kortin tietoja tai verkkopalvelutunnuksia niitä uteleville. Poliisi, pankit tai Luottokunta eivät koskaan pyydä tunnuksia sähköpostitse.

09.11.2009

IPhone-mato leviää oletussalasanojen avulla

Mato käyttää hyväkseen sitä, että monet käyttäjät eivät ole vaihtaneet sshd-palvelun asentamisen jälkeen pääkäyttäjän oletussalasanaa.

Australiassa ja Hollannissa on raportoitu iPhone-matkapuhelimiin kohdistuneista tietomurroista, joissa on kirjauduttu sisään ssh-palvelua ja pääkäyttäjän oletussalasanaa käyttäen. Australiasssa syypääksi on osoittautunut mato, joka leviää itsenäisesti. Ssh-ohjelmisto ei ole asennettu vakiona, vaan sen asentaminen vaatii, että laitteesta on poistettu lukitus, joka estää muitten kuin Applen virallisesti hyväksymien sovellusten ajon laitteessa.

Matkapuhelimet, joissa ajetaan verkkoon tarjottavia palveluja, ovat samalla tavalla alttiina hyökkäyksille kuin muutkin tietokoneet. Niistä kannattaa ottaa pois päältä tarpeettomat palvelut ja vaihtaa oletussalasanat turvallisiin.

CERT-FI:n tietoon ei ole tullut tapauksia, joissa suomalaisten iPhone-käyttäjien laitteisiin olisi murtauduttu.

06.11.2009

SSL/TLS-yhteyksistä on löydetty heikkouksia

Tietoturvatutkijat ovat löytäneet suojattujen yhteyksien toteutuksista puutteita, jotka voivat tietyissä tilanteissa mahdollistaa niin sanotun man in the middle -tyyppisen hyökkäyksen siten, että hyökkääjä voi esiintyä palvelimelle autentikoituna käyttäjänä.

Haavoittuvuus johtuu siitä, että suojatun yhteyden uudelleen neuvottelun (renegotiate) yhteydessä edellistä SSL/TLS-yhteyttä ja neuvottelun tuloksena syntyvää yhteyttä ei sidota kryptografisesti toisiinsa. Tästä syystä hyökkääjän on eräissä sovelluskerroksen protokollissa mahdollista lisätä SSL/TLS-istunnon alkuun omaa sisältöään. Esimerkiksi suojatussa HTTP-yhteydessä hyökkääjä voi istunnon alussa syöttää palvelimelle komentoja, jotka palvelin käsittelee niin kuin ne tulisivat autentikoidulta käyttäjältä.

Haavoittuvuus voi koskea myös muita SSL-suojausta käyttäviä sovelluksia, ja odotettavissa on todennäköisesti lähiaikoina aiheeseen liittyviä ohjelmistopäivityksiä. Myös itse TLS-protokollan määrittelyyn on tekeillä laajennus, jolla heikkous pyritään korjaamaan.

Haavoittuvuuden vaikutukset eivät ole vielä kaikilta osin selvillä.