Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2010 > Helmikuu > Tarkista ADSL-modeemisi turvallisuus

Tietoturva nyt!

11.2.2010

Tarkista ADSL-modeemisi turvallisuus

Viime aikoina esiintyneeseen häiriköintiin IRC-keskustelujärjestelmässä liittyy piirteitä, joiden perusteella voi epäillä, että niissä on käytetty hyväksi laajakaista-asiakkaiden murrettuja verkkopäätelaitteita.

CERT-FI kertoi tammikuussa 2008 Universal Plug and Play (UPnP) -protokollan toteutuksiin liittyvistä haavoittuvuuksista. Jos tietokoneen käyttäjä saadaan houkuteltua lataamaan työasemalleen tai avaamaan www-selaimella hyökkäystarkoituksessa laadittu Shockwave Flash -tiedosto, sen avulla voidaan ohjata työaseman kanssa samassa verkossa sijaitsevia uPnP-protokollaa tukevia laitteita, kuten esimerkiksi palomuuria tai ADSL-modeemia.

Hyökkäyksen avulla UPnP-tuella varustetun laitteen asetukset voidaan esimerkiksi muuttaa sellaisiksi, että ne mahdollistavat internetistä peräisin olevan haitallisen liikenteen kierrättämisen laitteen kautta. Tällä tavalla voidaan peittää liikenteen todellinen lähde ja haitallinen liikenne näyttää tulevan hyväksikäytetyn UPnP-laitteen IP-osoitteesta.

Onko UPnP tarpeen?

Kotikäyttäjälle UPnP ei useinkaan ole välttämätön ominaisuus. Jos kotiverkossa ei tarvita UPnP-toiminnallisuutta, protokollatuen poiskytkemistä on syytä harkita sekä työasemista että verkon aktiivilaitteista. Useimmissa tapauksissa UPnP:n poistaminen käytöstä ei vaikuta verkon tai työasemasovelluksien toimintaan.

Mahdollisuutta muokata Flash Playerin avulla lähetettävän HTTP-sisällön otsikkotietoja on rajoitettu Flash Playerin versiosta 9.0.124.0 (julkaistu huhtikuussa 2008) alkaen. Tämä rajoitus estää myös edellä mainitun UPnP-haavoittuvuuden hyväksikäytön oman verkon ulkopuoliselle www-sivulle lisätyn haitallisen Flash-sisällön avulla.

Hallintaliittymät haltuun

Verkkolaitteissa on tavallisesti pieni www-palvelin, jonka kautta laitteen asetuksia voi muuttaa selaimella. Tietomurtoja toteutetaan myös hyödyntämällä suoraan näiden hallintaliittymien heikkouksia. Hallintaliittymä voi olla oletusasetuksin käytettävissä myös Internetistä, mikä on useimmiten turhaa. Sen näkyvyys kannattaa rajoittaa vain sisäverkkoon, jos muuhun ei ole perusteltua tarvetta. Hallintaliittymän oletussalasanat täytyy muistaa vaihtaa otettaessa laite käyttöön! Joissakin laitteissa salasanaa ei ole lainkaan valmiiksi asetettu, ja joka tapauksessa oletussalasanat ja -ylläpitotunnukset ovat yleisesti tunnettuja.

Laitevalmistajat tarjoavat myös ohjelmistopäivityksiä, joiden asentaminen tapahtuu hallintakäyttöliittymän kautta. Hallintaliittymästä voi saada yhteyden suoraan valmistajan sivulle päivitystä varten, tai sitten päivitettävä ohjelmatiedosto noudetaan erikseen, tallennetaan kiintolevylle ja sen jälkeen ladataan hallintaliittymän kautta.

Tammikuussa 2008 löytynyt UPnP-haavoittuvuus mahdollistaa tietyin reunaehdoin haitallisen liikenteen kierrättämisen verkkolaitteen kautta, vaikka verkkolaitteen varsinainen hallintaliittymä olisi avoinna vain luotettuun sisäverkkoon.

Lisätietoa

Sivua päivitetty 11.02.2010   Tulostusversio Tulostusversio