Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Tietoturva nyt! > 2009 > Joulukuu

Joulukuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

28.12.2009

ENISA linjasi kansalliselle CERT-toimijalle asetettavia vaatimuksia

ENISA suoritti vuoden 2009 aikana kyselytutkimuksen, jossa selvitettiin, mitä palveluita ja laatutasoa kansallisilta ja valtionhallinnon CERT-toimijoilta olisi syytä edellyttää. Alustavat tutkimustulokset on nyt julkistettu.

Tutkimukseen osallistui CERT-FI:n lisäksi myös suomalaisia CERT-toimijoita julkiselta ja yksityiseltä sektorilta. ENISA:n laaja tutkimus päätyi kutakuinkin vastaaviin tuloksiin kuin CERT-FI:n aiempi tutkimus, jossa haastateltiin 11 eurooppalaista CERT-toimijaa.

ENISA korostaa, että tulokset ovat vielä alustavia ja että työtä jatketaan ensi vuonna.

28.12.2009

Microsoft IIS -ohjelmistoon on tulossa korjaus

Microsoftin mukaan IIS-ohjelmistosta löydettyä, tiedostonimien käsittelyyn liittyvää heikkoutta ei ole käytetty aktiivisesti hyväksi. Microsoft tutkii haavoittuvuutta ja julkaissee korjauksen lähiaikojen ohjelmistopäivitysten yhteydessä. Käytettävissä olevien tietojen perusteella IIS-ohjelmiston versio 6 on haavoittuva, mutta versio 7.5 ei sitä olisi.

Haavoittuvuuden avulla hyökkääjä voi ajaa ohjelmakoodiaan kohteena olevalla IIS-palvelimella jos palvelimen ylläpitäjä on sallinut tiedostojen suorittamisen siinä palvelimen hakemistossa, johon tiedostoja siirretään. Hyökkäys tapahtuu siirtämällä palvelimelle suoritettava tiedosto, jonka nimi on esimerkiksi muotoa

evil.asp;.jpg

Kun hyökkääjä lataa palvelimelta sinne siirtämänsä, yllä esitetyllä tavalla kuvaksi naamioidun ohjelmatiedoston, IIS suorittaa sen ASP.DLL-kirjaston avulla. Tavallisia käyttäjän palvelimelle lataamia tiedostoja voivat olla esimerkiksi keskustelupalstojen henkilökohtaiset avatar-kuvat tai kuvagallerioihin talletettavat kuvat.

Kansioissa, joihin käyttäjät voivat siirtää tiedostoja, ei tulisi olla ohjelmien suoritusoikeuksia. Lisäksi sovellusten tulisi tarkistaa palvelimelle siirrettävien tiedostojen nimet ja estää muiden kuin turvallisesti nimettyjen tiedostojen siirtäminen. Tarpeettoman laajat oikeudet www-palvelinten julkisissa kansioissa ovat yleinen tapa murtautua www-palvelimelle.

16.12.2009

Viestintäviraston määräys tietoturvaloukkauksen ilmoitusvelvollisuudesta uusittu

Vika- ja häiriötilanneilmoitukset omaksi määräyksekseen, esimerkkiluetteloa ilmoitettavista tietoturvaloukkaustapauksista ja tietoturvauhista ajantasaistettu.

Viestintävirasto on antanut uusitun määräyksen

Viestintävirasto 9 D/2009 M tietoturvaloukkausten ilmoitusvelvollisuudesta yleisessä teletoiminnassa

joka korvaa nykyisen määräyksen 9 C/2009 M.

Määräyksestä 9 on erotettu teleyritysten vika- ja häiriötilanteiden ilmoitusvelvollisuutta koskevat säännökset erilliseksi määräykseksi 57 viestintäverkkojen ja -palvelujen ylläpidosta sekä menettelystä vika- ja häiriötilanteissa.

Määräykseen 9 jäävään tietoturvaloukkauksia koskevaan ilmoitusvelvollisuuteen ei ole tehty merkittäviä muutoksia. Tilaajille ja Viestintävirastolle tehtävä tiedottaminen on kuitenkin eriytetty omiksi pykälikseen. Lisäksi määräykseen liittyvään perustelu- ja soveltamismuistioon (MPS 9) on lisätty suositus teleyritysten yhteistoiminnasta tietoturvaloukkaustilanteissa.

Perustelu- ja soveltamismuistion esimerkkiluetteloa ilmoitettavista tietoturvaloukkaustapauksista ja tietoturvauhista on ajantasaistettu ja täydennetty viestintäpalvelujen kansainvälisestä luonteesta johtuvilla erityisillä uhilla.

Uusittu määräys tulee voimaan 1.1.2010.

Tietoturvaloukkausten ja -uhkien raportointimekanismi on merkittävä osa Viestintäviraston CERT-FI-yksikön kansallisen tietoturvallisuuden tilannekuvan seurantaprosessia.

15.12.2009

Paikkaamattomasta haavoittuvuudesta Adobe Acrobatissa ja Adobe Readerissa

Adobe Readerissa ja Adobe Acrobatissa olevaa 0day-haavoittuvuutta hyödynnetään hyökkäyksissä. Haavoittuvuuteen ei ole toistaiseksi paikkausta tai tietoa paikkauksen julkaisupäivämäärästä.

Adobe Readerin ja Adobe Acrobatin useita versioita koskevaa, vasta löydettyä haavoittuvuutta vastaan on Adoben mukaan jo hyökätty. Haavoittuvuus liittyy tietojemme mukaan PDF-tiedostojen javascript-toteutukseen. Haavoittuvuuden avulla hyökkääjä voi suorittaa omaa ohjelmakoodiaan tai komentoja kohdejärjestelmässä käyttäjän oikeuksin.

Vastaavanlaisia haavoittuvuuksia on löydetty aiemminkin Readerista ja Acrobatista. Haavoittuvuutta vastaan tiedetään olevan ainakin yksi hyväksikäyttömenetelmä. Mitä pidempään haavoittuvuuden paikkaaminen kestää, sitä todennäköisempää on myös muiden hyväksikäyttömenetelmien ilmestyminen. Tiedossa ei toistaiseksi ole, koska haavoittuvuuden korjaava paikkaus julkistetaan.

Lisätietoja CERT-FI:n haavoittuvuustiedotteesta 126/2009.

13.12.2009

Loputkin teollisuusautomaation teemaseminaarin materiaalit verkossa

Viestintäviraston CERT-FI-yksikkö ja Huoltovarmuuskeskus järjestivät 30.9.2009 teemaseminaarin teollisuusautomaation tietoturvallisuudesta. Seminaarin julkinen materiaali on nyt julkaistu kokonaisuudessaan verkossa

Teollisuusautomaation teemaseminaarin materiaalia on täydennetty paljon kiinnostusta herättäneillä Joint Research Centren esityskalvoilla ja kattavalla tietopaketilla.

07.12.2009

Microsoft julkaisee päivityksiä tiistaina

Internet Explorer saa odotetun päivityksen

Microsoft julkaisee tiistaina 8. joulukuuta yhteensä 12 päivitystä sisältävät tietoturvatiedotteet. Osa päivityksistä ovat luokitukseltaan kriittisiä. Kriittiset päivitykset koskevat mm. Internet Explorer-selaimen kaikkia tuettuja versiota. Selainpäivityksellä korjataan mm. CERT-FI:n haavoittuvuustiedotteessa 116/2009 mainittu haavoittuvuus.

Internet Explorer-selaimen lisäksi päivityksen saavat Microsoft Office, Microsoft Works sekä Microsoft Project. Käyttöjärjestelmäpuolen päivitykset koskevat Windows 2000, Windows XP, Windows Server 2003 ja 2008 sekä Windows Vistaa. Ennakkotietojen mukaan Windows Server 2008 R2 sekä Windows 7 selviävät tällä kertaa päivityksittä.

CERT-FI tulee julkaisemaan päivityksistä myös haavoittuvuustiedotteet. CERT-FI suosittelee päivittämään haavoittuvat ohjelmistot heti päivitysten tultua saataville.

03.12.2009

Nimipalvelutietoja väärentävä haittaohjelma on vanha tuttu

CERT-FI on tutkinut DNS-asetuksia väärentävän haittaohjelman toimintaa. Haittaohjelma kuuluu ennestään tunnettuun ja laajaan haittaohjelmaperheeseen, joka tunnetaan mm. nimillä Zlob, Alureon tai
DNSChanger. Sen kaltaisia haittaohjelmia on tavattu ainakin vuodesta 2006.

Haittaohjelman torjumista on vaikeuttanut se, että koska ohjelma tekee itsestään jatkuvasti uusia muunnoksia, on virustorjuntaohjelman sormenjälkitietojen oltava ajan tasalla. Haittaohjelmat pyrkivät usein estämään virustorjuntaohjelman toiminnan tai päivittymisen, jolloin uudemmat versiot jäävät ensitartunnan jälkeen havaitsematta. Kyseessä olevan haittaohjelman käyttämä monimutkainen pakkaustekniikka vaikeuttaa myös sen havaitsemista ja ohjelman toiminnan tutkimista.

Tietojemme mukaan haittaohjelmaa on levitetty uskottelemalla käyttäjälle, että www-sivuilla on tarjolla multimediakoodekki, joka käyttäjän tulisi itse asentaa sisällön näkemiseksi. Tartunnan jälkeen ohjelma muuttaa nimipalveluasetukset ja pyrkii piiloutumaan usermode rootkit -tekniikan avulla.

Haittaohjelma muuttaa työaseman nimipalveluasetuksia niin, että nimenselvitys tapahtuu epäluotettavilta nimipalvelimilta, joiden antamat vastaukset ohjaavat käyttäjän www-yhteydet mahdollisesti haitallisille sivustoille. Nimipalvelumuutokset näkyvät Windows-käyttöjärjestelmän rekisterissä seuraavan kaltaisina avaimina:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters,nameserver=85.255.115.46,85.255.112.124
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{interfaceGUID},nameserver=85.255.115.46,85.255.112.124

Tutkitun haittaohjelman käyttämien nimipalvelinten IP-osoitteet voivat vaihdella välillä 85.255.112.0 - 85.255.127.255.

Nimipalvelinasetukset voi tarkistaa myös käyttöjärjestelmän komennolla IPCONFIG /ALL.

Haittaohjelman poistaminen

Zlob-haittaohjelman voi yleensä poistaa, jos onnistuu löytämään ja tuhoamaan sen käyttämän binääritiedoston ja rekisteriavaimet. Lisäksi täytyy palauttaa nimipalvelinasetukset suositusten mukaisiksi. On huomattava, että väärän tiedoston tai rekisteriavaimen poistaminen voi tehdä käyttöjärjestelmästä käyttökelvottoman.

Poistomenetelmä ei välttämättä päde kaikkiin haittaohjelman versioihin eikä se poista koneessa mahdollisesti olevia muita haittaohjelmia. Yhden haittaohjelman tarttuminen altistaa myös lisätartunnoille, sillä haittaohjelmat pyrkivät häiritsemään virustorjuntaohjelmiston toimintaa. Varminta onkin asentaa käyttöjärjestelmä uudestaan ja huolehtia sen suojaamisesta.

Tartunnan tapahtuessa tutkittu haittaohjelma kirjoittaa ohjelmatiedostonsa Windows-käyttöjärjestelmän system32-kansioon (%SystemRoot%\system32). Ohjelman käyttämä rootkit-suojaus ei näytä kätkevän tiedostoa näkyvistä.

Tiedoston poistamisen lisäksi tulee poistaa rekisteristä ohjelman käynnistävä avain, joka löytyy rekisterin haarasta

\\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Tiedoston nimi löytyy rekisteriavaimesta ja se voi olla muotoa

kd???.exe

Kysymysmerkkien tilalla tiedostonimessä on satunnaisia kirjaimia.

Ohjeita haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan on CERT-FI:n ohjeessa 1/2007.