Tietoturva nyt!

29.1.2010

Suomalaisia IRC-kanavia vallattu

Eräillä kanavilla on jopa esitetty lunnasvaateita kanavan palauttamiseksi

Internet Relay Chat, eli IRC tai tuttavallisemmin irkki, kuuluu internetin vanhimpiin pikaviestintäpalveluihin. Palvelu tarjoaa käyttäjille mahdollisuuden käydä tosiaikaista keskustelua keskusteluhuoneissa tai niin sanotuilla kanavilla.

CERT-FI tutkii tapausta jossa tietomurron kohteeksi joutunutta suomalaista palvelinta on käytetty hyväksi IRC-kanavien valtauksessa. Tietomurron tekijä on tehokkaasti peittänyt jälkiään palvelimella, mutta talteen saatu aineisto viittaisi siihen, että palvelimelle tavalla tai toisella on päästy sisään murretun SSH-tunnuksen avulla. Palvelimelta on myös löytynyt jälkiä jotka viittaavat siihen, että käyttövaltuuksia on yritetty laajentaa käyttäen hyväksi Linux-käyttöjärjestelmässä ollutta haavoittuvuutta.

Tietomurron yhtenä motiivina lienee ollut hyökkääjän jälkien peittäminen. Hyökkääjä on myös pystynyt hyödyntämään sitä, että murretun palvelimen on tunnistettu olevan Suomessa. Eräiden IRC-kanavien osalta kyseinen tunnistus on riittänyt kanavan valtaamiseen tarvittavien ylläpito-oikeuksien saamiseksi. Nyt tutkitun suomalaisen palvelimen lisäksi IRC-kanavien valtauksessa on hyödynnetty myös ulkomailla sijaitsevia palvelimia.