Tästä aiheesta löytyy myös RSS-syöte 
23.02.2010
Kotikäyttäjien laitteita on kaapattu reitittimiin ja ADSL-modeemeihin tarttuvan Chuck Norris -haittaohjelman avulla botnetin orjakoneiksi.
Chuck Norris -haittaohjelma tarttuu MIPS-pohjaisiin, Linux-käyttöjärjestelmää käyttäviin verkon aktiivilaitteisiin. Tällaisia laitteita ovat monet kotiverkon laitteet, kuten ADSL-modeemit ja kotireitittimet. Myös Kaiten-nimellä tunnetun haittaohjelman on todettu hyökkäävän myös verkkoon liitettyihin satelliitti-TV-vastaanottimiin.
Haittaohjelma leviää sellaisiin laitteisiin, joissa on internetiin avoin www-hallintakäyttöliittymä ja käytössä joko oletussalasana tai muuten helposti arvattava ylläpitotunnuksen salasana. CERT-FI:n tämänhetkisten tietojen mukaan ohjelma käyttää hyväksi heikkojen salasanojen lisäksi D-Linkin laitteissa olevaa haavoittuvuutta.
Haittaohjelman saastuttamia koneita voidaan käyttää hyväksi muihin koneisiin kohdistuvissa palvelunestohyökkäyksissä. Botnetin osaksi kaapatut laitteet voidaan myös valjastaa arvaamaan verkkoon kytkettyjen laitteiden salasanoja. Haittaohjelma estää lisäksi pääsyn kaapatun laitteen hallintakäyttöliittymään.
Reitittimien lisäksi myös kotiverkon tietokoneet tähtäimessä
Haittaohjelma muuttaa laitteen nimipalveluasetuksia niin, että kotiverkossa olevien tietokoneiden käyttäjät ohjataan haitallista sisältöä tarjoaville www-sivuille ja tällä tavoin pyritään tartuttamaan botnet-haittaohjelma myös verkon Windows-työasemiin.
Käytetty Windows-haittaohjelma on CERT-FI:n tietojen mukaan
Enzymebot-variantti, jonka F-Securen tunniste on
Backdoor:W32/IRCBot.GVN. Osa antivirustuotteista tunnistaa ja osaa
poistaa haittaohjelman tällä hetkellä, osa on vielä lisäämässä
tunnisteita sille.
Verkkoliikenne komentopalvelimille paljastaa haittaohjelmat
Haittaohjelman aiheuttama verkkoliikenne voidaan tunnistaa sen käyttämien hallintapalvelinten osoitteiden ja ohjelman käyttämien kohdeporttien avulla. Verkkolaitteisiin tarttunut
Chuck Norris ottaa yhteyttä komentopalvelimiinsa seuraavissa osoitteissa:
- 87.98.173.190, portti 12000/TCP
- 87.98.163.86, portti 12000/TCP
Windows-käyttöjärjestelmään iskenyt haittaohjelma liikennöi osoitteeseen
- 87.98.173.190, portti 4003/TCP
Poistamiseen verkkolaitteista riittää virran katkaisu
Chuck Norris ei talleta itseään laitteiden pysyvään flash-muistiin, joten haittaohjelman voi poistaa katkaisemalla laitteesta virran. Uudelleenkäynnistyksen jälkeen tulisi sen ylläpitosalasana muuttaa riittävän vaikeasti arvattavaksi. Pääsy internetistä hallintakäyttöliittymään kannattaa ottaa pois käytöstä jos sitä ei välttämättä tarvita.
Hauskan nimensä haittaohjelma on saanut sen lähdekoodissa olevasta viittauksesta kuuluisaan elokuvanäyttelijään.
19.02.2010
Mozilla-ohjelmistoihin (Firefox, Thunderbird ja Seamonkey) julkaistiin äskettäin viisi ohjelmistopäivitystä. Päivitysten jälkeen on julkaistu hyökkäysmenetelmä, joka käyttää hyväkseen toistaiseksi paikkaamatonta Firefox 3.6 -selaimen haavoittuvuutta.
Venäläinen haavoittuvuustutkija kertoo julkaisseensa Firefox-selaimen uusinta versiota vastaan toimivan hyökkäystyökalun. Työkalu julkaistiin maksullisen Immunity Canvas -hyökkäystyökalun käyttämän Vulndisco-hyökkäysmenetelmäpaketin uusimmassa versiossa. Hyökkäyksen väitetään mahdollistavan hyökkääjän koodin suorittamisen kohteena olevan käyttäjän tietokoneessa. Firefox-selaimen uusimman version paikkaamatonta haavoittuvuutta hyväkseen käyttävä hyökkäysmenetelmä toimii hänen mukaansa ainakin Windows XP- ja Vista-käyttöjärjestelmissä.
Hyökkäysmenetelmä on toistaiseksi saatavana vain maksaville asiakkaille, mutta sen leviäminen nopeasti esimerkiksi maksuttoman Metasploit-työkalukokoelman kautta on todennäköistä, jos hyökkäys osoittautuu toimivaksi.
15.02.2010
Microsoftin viime tiistaina julkaiseman MS10-15 turvallisuustiedotteen päivitysten asentamisen jälkeisten käynnistysongelmien syyksi on epäilty haittaohjelmatartuntaa kaatuilleissa koneissa.
Microsoftin MSRC:n blogin mukaan joidenkin käyttäjien koneiden kaatuilu MS10-015 päivityksen asentamisen jälkeen johtuisi mahdollisesti koneeseen asentuneesta haittaohjelmasta. Muitakin mahdollisia syitä päivityksen aiheuttamiin ongelmiin tutkitaan edelleen. Sillä välin päivitystä ei jaeta Windows Update-palvelun avulla.
Haittaohjelma, jota epäillään syylliseksi kaatuiluiden aiheutumiseen, tunnistetaan muun muassa nimellä Rootkit.TDSS.AH. Haittaohjelman toiminnasta on julkaistu viime lokakuussa myös teknisempi yhteenveto. Mikäli ongelmia päivityksen asennuksen jälkeen on ilmennyt, kannattaa tietokone tarkistaa ajantasaisella virustorjuntaohjelmistolla.
12.02.2010
Yhden Microsoftin viime tiistain päivityspaketeista on kerrottu aiheuttavan joskus sen, ettei järjestelmä käynnisty päivityksen jälkeen.
Ongelmasta Windows XP:n käynnistymisessä raportoi Brian Krebs tietoturvablogissaan. Microsoft on vahvistanut, että se tutkii asiaa ja on toistaiseksi keskeyttänyt päivityksen MS10-015 jakamisen Windows Updaten kautta. Keskitettyjen päivitysjärjestelmien SMS ja WSUS kautta päivitystä tarjotaan edelleen asennettavaksi.
Microsoft ei ole vielä kertonut, että liittyvätkö käynnistymisongelmat itse päivitykseen vai sen kanssa yhteensopimattomiin kolmannen osapuolen ohjelmistoihin.
Kunnes päivityspaketin toimivuus on varmistettu, Microsoft suosittelee poistamaan NTVDM-alijärjestelmän käytöstä. Ohjeet löytyvät Microsoftin sivuilta.
11.02.2010
Viime aikoina esiintyneeseen häiriköintiin IRC-keskustelujärjestelmässä liittyy piirteitä, joiden perusteella voi epäillä, että niissä on käytetty hyväksi laajakaista-asiakkaiden murrettuja verkkopäätelaitteita.
CERT-FI kertoi tammikuussa 2008 Universal Plug and Play (UPnP) -protokollan toteutuksiin liittyvistä haavoittuvuuksista. Jos tietokoneen käyttäjä saadaan houkuteltua lataamaan työasemalleen tai avaamaan www-selaimella hyökkäystarkoituksessa laadittu Shockwave Flash -tiedosto, sen avulla voidaan ohjata työaseman kanssa samassa
verkossa sijaitsevia uPnP-protokollaa tukevia laitteita, kuten esimerkiksi palomuuria tai ADSL-modeemia.
Hyökkäyksen avulla UPnP-tuella varustetun laitteen asetukset voidaan esimerkiksi muuttaa sellaisiksi, että ne mahdollistavat internetistä peräisin olevan haitallisen liikenteen kierrättämisen laitteen kautta. Tällä tavalla voidaan peittää liikenteen todellinen lähde ja haitallinen liikenne näyttää tulevan hyväksikäytetyn UPnP-laitteen IP-osoitteesta.
Onko UPnP tarpeen?
Kotikäyttäjälle UPnP ei useinkaan ole välttämätön ominaisuus. Jos kotiverkossa ei tarvita UPnP-toiminnallisuutta, protokollatuen
poiskytkemistä on syytä harkita sekä työasemista että verkon
aktiivilaitteista. Useimmissa tapauksissa UPnP:n poistaminen käytöstä ei vaikuta verkon tai työasemasovelluksien toimintaan.
Mahdollisuutta muokata Flash Playerin avulla lähetettävän HTTP-sisällön otsikkotietoja on rajoitettu Flash Playerin versiosta 9.0.124.0 (julkaistu huhtikuussa 2008) alkaen. Tämä rajoitus estää myös edellä mainitun UPnP-haavoittuvuuden hyväksikäytön oman verkon ulkopuoliselle www-sivulle lisätyn haitallisen Flash-sisällön avulla.
Hallintaliittymät haltuun
Verkkolaitteissa on tavallisesti pieni www-palvelin, jonka kautta laitteen asetuksia voi muuttaa selaimella. Tietomurtoja toteutetaan myös hyödyntämällä suoraan näiden hallintaliittymien heikkouksia. Hallintaliittymä voi olla oletusasetuksin käytettävissä myös Internetistä, mikä on useimmiten turhaa. Sen näkyvyys kannattaa rajoittaa vain sisäverkkoon, jos muuhun ei ole perusteltua tarvetta. Hallintaliittymän oletussalasanat täytyy muistaa vaihtaa otettaessa laite käyttöön! Joissakin laitteissa salasanaa ei ole lainkaan valmiiksi asetettu, ja joka tapauksessa oletussalasanat ja -ylläpitotunnukset ovat yleisesti tunnettuja.
Laitevalmistajat tarjoavat myös ohjelmistopäivityksiä, joiden asentaminen tapahtuu hallintakäyttöliittymän kautta. Hallintaliittymästä voi saada yhteyden suoraan valmistajan sivulle päivitystä varten, tai sitten päivitettävä ohjelmatiedosto noudetaan erikseen, tallennetaan kiintolevylle ja sen jälkeen ladataan hallintaliittymän kautta.
Tammikuussa 2008 löytynyt UPnP-haavoittuvuus mahdollistaa tietyin
reunaehdoin haitallisen liikenteen kierrättämisen verkkolaitteen
kautta, vaikka verkkolaitteen varsinainen hallintaliittymä olisi
avoinna vain luotettuun sisäverkkoon.
09.02.2010
Helmikuun ohjelmistopäivitystensä lisäksi Microsoft julkaisi turvallisuustiedotteen 977377, jossa se kertoo tutkivansa viime marraskuussa esiin tullutta SSL/TLS-haavoittuvuutta.
Tilapäisenä korjauksena SSL/TLS-protokollan "man in the middle"-haavoittuvuuteen Microsoft tarjoaa mahdollisuuden poistaa yhteyden uudelleenneuvottelu käytöstä. Tämä voi vaikuttaa joidenkin sovellusten toimintaan, joten yleispäteväksi ratkaisuksi siitä ei ole.
Ainakaan toistaiseksi tietoon ei ole tullut että haavoittuvuutta pyrittäisiin käyttämään hyväksi.
05.02.2010
Ennakkotietojen mukaan Microsoftin tiistaina julkaistavassa ohjelmistopäivityksessä julkaistaan 13 päivitystä yhteensä 26 eri haavoittuvuuteen Windows-käyttöjärjestelmässä ja MS Office -ohjelmistoissa.
Päivityksissä ei korjata tuoretta, haavoittuvuustiedotteessa 019/2010 mainittua tiedostojen luvattoman lukemisen mahdollistavaa Internet Explorer -selaimen haavoittuvuutta. Sen sijaan haavoittuvuustiedotteessa 006/2010 mainittu käyttövaltuuksien laajentamisen mahdollistava käyttöjärjestelmän haavoittuvuus on korjattavien listalla. Lisäksi korjataan SMB-protokollan haavoittuvuus, joka voi mahdollistaa palvelunestohyökkäyksen. Microsoft on luokitellut viisi korjauksista kriittisiksi ja seitsemän tärkeiksi.
01.02.2010
CERT-FI julkaisi viime torstaina Tietoturva nyt! -artikkelin tietoa varastavista ja istuntoja kaappaavista haittaohjelmista. Tämä artikkeli sisältää täydentävää tietoa.
Seuraavassa listataan joitakin yleisimpiä haittaohjelmaperheita,
joiden eri versioilla on tavattu käyttäjän tietojen varastamiseen tai
istuntojen kaappaamiseen ja muokkaamiseen liittyviä toiminnallisuuksia.
Haittaohjelmasta käytetyn nimen yhteyteen on kerätty myös linkkejä
haittaohjelmista tehtyihin julkisiin analyyseihin. Uusia tietoa varastavia tai istuntoja kaappaavia haittaohjelmia tavataan aika ajoin eikä niiden täydellinen luettelointi ole edes mielekästä.
URLZone (tunnetaan myös nimellä
Bebloh):
Zeus (tunnetaan myös muun muassa nimillä Zbot ja Wsnpoem):
Silentbanker:
Nethell:
Gozi (tunnetaan myös nimellä Papras):
Torpig (tunnetaan myös nimillä
Mebroot ja
Sinowal):
