Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2010 > Maaliskuu

Maaliskuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

30.03.2010

Selainten turva-aukkoja tilkitään tiuhaan

Microsoft paikkasi tänään selaintaan normaalin päivityssyklin ulkopuolella.

Viime aikoina on julkaistu useita päivityksiä www-selainohjelmiin. Päivityksissä on paikattu useita tunnettuja haavoittuvuuksia, joihin ei ole aikaisemmin ollut korjausta saatavilla. Selain on niin tärkeä ja monikäyttöinen ohjelmisto, että sen päivitykset tulisi yleensä asentaa heti kun ne ovat saatavilla. Useimmat tavallista käyttäjää uhkaavat haittaohjelmat pääsevät koneeseen selaimen tai sen lisäosien paikkaamattomien haavoittuvuuksien kautta.

Apple Safari -selaimesta on 12.3. julkaistu versio 4.0.5. Päivityksessä korjattiin yhteensä kuusitoista haavoittuvuutta.

Mozilla Firefox -selaimen jo helmikuun puolen välin tienoilla julkaistun haavoittuvuuden todenperäisyyttä ehdittiin jo epäillä. Haavoittuvuuden olemassaolo kuitenkin vahvistettiin lopulta 19.3. ja korjaus julkaistiin 22.3. Korjattu Firefox-versio on 3.6.2.

Opera-selaimesta julkaistiin viime viikolla (24.3.) uusi versio 10.51, jossa korjattiin maaliskuun alkupäivinä julkaistu haavoittuvuus.

Tänään Microsoft paikkasi Internet Explorer -selaimen kymmenen haavoittuvuutta hieman poikkeuksellisesti normaalin päivityssyklinsä ulkopuolella. Paikkaukset koskevat kaikkia Internet Explorerin versiota.

29.03.2010

I-juurinimipalvelimen häiriö

Nimipalvelimessa ollut häiriö vaikutti muunmuassa tunnettujen sosiaalisen median palveluiden saavutettavuuteen.

I-juurinimipalvelimen toiminnassa on ollut häiriöitä viime viikon loppupuolen aikana. Ongelmia on esiintynyt ainakin osassa Yhdysvaltoja ja Chilessä ja ne ovat vaikuttaneet Youtuben, Facebookin, Twitterin ja kymmenien muiden sivustojen toimintaan.

Juurinimipalvelimet toimivat nimipalveluiden ylimpänä tasona. Niillä ohjataan kyselyitä päätason tunnuksista vastaaville Top Level Domain- eli TLD- nimipalvelimille. Suurin osa juurinimipalvelimista on toteutettu ns. anycast-tekniikalla, jossa palvelua tuottaa useampi palvelin eri maissa ja käyttäjää palvellaan maantieteellisesti lähimpänä olevalta palvelimelta.

I-juurinimipalvelimen Kiinassa sijaitseva solmu vaikutti lähettävän Kiinan valtion Internet-suodatusten mukaisia nimipalveluvastauksia myös muilla alueilla oleville käyttäjille. On mahdollista, että kyselyihin on vastannut Kiinan valtion ylläpitämä ns. varjojuurinimipalvelin. Juuripalvelinta pyörittävä Netnod on ottanut pois käytöstä Kiinassa sijaitsevan solmun reittimainostukset, mikä vastaa kyseisen palvelimen kytkemistä irti verkosta.

Nimipalveluongelmat eivät ole CERT-FI:n tietojen mukaan vaikuttaneet Suomeen. Nimipalvelu ja verkkojen välisen liikenteen välittämisen mahdollistava
reititys ovat internetin keskeisiä infrastruktuuripalveluita. Niiden häiriötön toiminta on ehdoton edellytys verkon toimivuudelle ja luotettavuudelle.
Tämän vuoksi niiden hallintaoikeuteen liittyy merkittäviä poliittisia ja taloudellisia intressejä.

26.03.2010

Vastuullisuutta haavoittuvuuslöydösten käsittelyyn

CERT-FI vastaanottaa jatkuvasti ilmoituksia erilaisista haavoittuvuuksista. Ilmoitukset tulee ensisijaisesti tehdä kyseisestä palvelusta vastuussa olevalle taholle. Tarvittaessa CERT-FI auttaa mielellään yhteydenotossa palveluntarjoajiin tai ohjelmistovalmistajiin. Lisäksi CERT-FI voi olla avuksi haavoittuvuuslöydöksen vakavuuden arvioinnissa.

CERT-FI saa tietoonsa jatkuvasti erilaisia suomalaisia verkkopalveluita koskevia haavoittuvuuksia. Useimmat näistä ilmoituksista tehdään vastuullisesti myös kyseisen palvelun tarjoajalle. Näin voidaan tehdä tarvittavat korjaustoimet ja estää mahdolliset tietomurrot. Viime aikoina on kuitenkin ilmaantunut useita tapauksia, joissa löydettyjä haavoittuvuuksia on hyväksikäytetty luottamuksellisen tiedon levittämiseen tai www-sivujen tärvelemiseen. Tälläinen toiminta on silkkaa kiusantekoa eikä ole kenenkään edun mukaista.

Verkkopalveluista löytyy usein erilaisia haavoittuvuuksia. Tyypillisesti haavoittuvuus liittyy puutteelliseen syötteentarkastukseen. Hyviä esimerkkejä näistä ovat SQL Injection -haavoittuvuudet, joissa hyökkääjä voi suorittaa tietokantakyselyjä www-palvelimen välityksellä. Vuositasolla CERT-FI saa ilmoituksia noin sadasta suomalaisesta www-sivustosta, joissa on erilaisia haavoittuvuuksia. On ohjelmistovalmistajien ja palveluntarjoajien edun mukaista altistaa tuotteensa tai palvelunsa ammattilaisten tekemään tietoturvakatselmointiin ennen tuotteen tai palvelun käyttöönottoa. Myös olemassa olevia tuotteita ja palveluita on syytä katselmoida säännöllisesti.

CERT-FI on julkaissut haavoittuvuuskoordinointipolitiikan, jossa kuvataan CERT-FI:n, haavoittuvuuden löytäjän sekä ohjelmistovalmistajan tai palveluntarjoajan välinen yhteistyö. Ohjelmistohaavoittuvuudet ovat uhka tietoyhteiskunnan sujuvalle toiminnalle. Haavoittuvuuslöydöksillä voi olla kauaskantoisia vaikutuksia sivullisten yksityisyydelle, omaisuudelle ja liiketoiminnalle, jopa kansalliselle turvallisuudelle. Tästä johtuen haavoittuvuuslöydöksiä on syytä käsitellä vastuullisesti. Pelkkä haavoittuvuuksien tunnistaminen ei riitä. Haavoittuvuudet tulee myös raportoida haavoittuvan ohjelmiston valmistajalle, joka puolestaan huolehtii korjatun ohjelmistoversion
tuottamisesta ja korjauksen saattamisesta ohjelmiston käyttäjien saataville. CERT-FI:n tavoitteena on vähentää haavoittuvuuksien vaikutusta. Haavoittuvuuskoordinointiprosessi alkaa tyypillisesti siten, että haavoittuvuuden löytäjä ottaa yhteyttä CERT-FI:hin ja pyytää apua oikeiden haavoittuvuuden korjaamiseen liittyvien kontaktien löytämisessä. CERT-FI ottaa tapauksen koordinoitavakseen ainoastaan siinä tapauksessa, että haavoittuvuuden löytäjä ja CERT-FI ovat yksimielisiä tavasta ja aikataulusta, jolla haavoituvuus saatetaan eri tahojen tietoon. Tärkeintä on ottaa yhteyttä haavoittuvuuteen liittyviin palveluntarjoajiin ja ohjelmistovalmistajiin haavoittuvuuden korjaamiseksi. Haavoittuvuuden julkaisuajankohta määritellään aina tapauskohtaisesti.

26.03.2010

Automaattisten haittaohjelmahavaintojen tilastotietoja

Bottiverkkoon liittyvät haittaohjelmahavainnot ovat vieneet lähes kaiken huomion.

CERT-FI on päivittänyt omia Autoreporter-tilastojaan vuoden 2009 osalta. Laajakaista-asiakkaiden määrään suhteutettuna haittaohjelmahavaintojen määrä näyttäisi pitkällä aikavälillä laskeneen. Viime vuoden haittaohjelmahavainnot kuitenkin osoittavat selkeää nousua verrattuna vuoteen 2008. Yksi nousuun vaikuttanut tekijä on tammikuun alussa Suomessakin havaittu Conficker (myös tunnettu nimellä Downadup). Vuoden aikana lähes puolet havainnoista johtui pelkästään Conficker-haittaohjelmasta. Kyseisen haittaohjelman epäsuorat vaikutukset ovat todennäköisesti olleet vieläkin suuremmat.

Tarkemmat tilastot ovat luettavissa CERT-FI:n www-sivulla sekä suomeksi, ruotsiksi että englanniksi.

24.03.2010

Unohtuneen salasanan palautus verkkopalveluissa

Palvelusta riippuen unohtuneen salasanan voi palauttaa monella eri tavalla.

CERT-FI:ltä kysytään aika ajoin miten eräiden verkkopalveluiden unohdetut salasanat voisi palauttaa tai "nollata". Useat palveluntarjoajat käyttävät yksinkertaista ja pitkälle automatisoitua palautusprosessia. Yleensä aloitetaan siitä, että palvelussa käytetty käyttäjätunnus syötetään salasanan palautusta varten tarjolla olevaan lomakkeeseen, joka löytyy kirjautumissivulla olevan linkin takaa. Jos ei muista edes käyttäjätunnustaan, voi usein käyttää myös palveluun rekisteröityessään antamaansa sähköpostiosoitetta.

Lomakkeen täyttämisen jälkeen palvelu lähettää lomakkeelle syötettyyn (tai rekisteröityessä annettuun) sähköpostiosoitteeseen uuden tilapäisen salasanan. Viestissä voi olla myös erillinen palautuskoodi tai www-linkki sivuille, jolla salasanan voi vaihtaa. Jos sähköpostiviesti tuntuu viipyvän, kannattaa tarkistaa myös roskapostikansio.

Salasanojen palauttamiseen liittyvät sähköpostiviestit liikkuvat yleensä salaamattomina. Niinpä kaikki sähköpostitse toimitetut tilapäiset salasanat tulee vaihtaa heti ensimmäisen kirjautumisen yhteydessä. Kannattaa huomioida myös huijauksen mahdollisuus. Jos ei itse ole ollut käynnistämässä salasanan palauttavaa prosessia, ei tällaiseen prosessiin liittyviin sähköposteihin pidä vastata!

Jos palveluun ei ole rekisteröity sähköpostiosoitetta, voi prosessi olla monimutkaisempi. Käyttäjältä voidaan kysyä monenlaisia kysymyksiä, kuten palveluun annettu nimi, asuinpaikkakunta ja syntymäaika. Jotkut palvelut tarjoavat myös mahdollisuuden luoda käyttäjätilin yhteyteen oman tietoturvakysymyksen. Tämän kysymyksen avulla palvelu vahvistaa käyttäjän henkilöllisyyden salasanan unohduttua.

On huomattava, että tarkistuskysymys ja siihen liittyvä vastaus tavallaan vastaavat käyttäjätilin salasanaa. Kysymyksen ja vastauksen pitää olla vähintään yhtä vahva ja vaikeasti arvattavissa kuin palvelussa käytetty salasana - eikä vastauksen välttämättä tarvitse pitää paikkaansa! Äskettäin julkaistussa tutkimuksessa (englanniksi) on käynyt ilmi, että juuri helposti arvattavissa olevat tietoturvakysymykset ovat monessa tapauksessa järjestelmän heikoin lenkki.

Tässä yhteenvetona muutaman yleisen verkkopalvelun tarjoamia palautusmenetelmiä:

Facebook
  • palautuskoodin sekä palautukseen tarvittavan www-linkin tilaaminen omaan sähköpostiin
  • nimen, syntymäajan ja oman profiilin www-osoitteen avulla tehtävä palautusprosessi
Windows Live (esim. Hotmail)
  • palautukseen tarvittavan www-linkin tilaaminen palveluun rekisteröityyn vaihtoehtoiseen sähköpostiosoitteeseen
  • palautusprosessi sisältäen tietoturvakysymyksen sekä kysymyksen liittyen asuinpaikkaan
Gmail
  • salasanan palautus käyttäjätunnuksen, palveluun rekisteröidyn vaihtoehtoisen sähköpostiosoitteen tai mahdollisen Gmail-kutsun yhteydessä tulleen www-linkin avulla
  • palautusprosessi sisältäen pitkän listan kysymyksiä, kuten käyttäjätunnuksen yhteydessä käytetyt lisäpalvelut, päivämäärä jolloin tunnus on luotu ja koska sitä viimeksi on käytetty sekä arvaus viimeisimmästä palvelussa käytetystä salasanasta; kysymysten lisäksi palautusprosessissa ilmeisesti verrataan käyttäjän sen hetkistä IP-osoitetta aikaisemmin käytettyihin osoitteisiin
Yahoo!
  • salasanan palautus käyttäjätunnuksen avulla
  • vaihtoehtoinen palautusprosessi palveluun rekisteröidyn vaihtoehtoisen sähköpostiosoitteen, asuinpaikkakunnan sekä syntymäajan avulla
IRC-Galleria
  • salasanan palautus käyttäjätunnuksen avulla

23.03.2010

Varoitus 01/2010 julkaistu

CERT-FI on julkaissut vuoden 2010 ensimmäisen varoituksen verkossa leviävän suomalaisten käyttäjien tunnuksia ja salasanoja sisältävän tiedoston johdosta.

CERT-FI:n tietojen mukaan Älypää-tunnusten ja -salasanojen toimivuutta muissakin palveluissa on jo kokeiltu. On huomattava, että tietojärjestelmien luvaton käyttö on laitonta.

22.03.2010

Varastettuja tunnuksia ja salasanoja liikkeellä verkossa

CERT-FI on saanut ilmoituksen verkossa jaossa olevasta tiedostosta, joka näyttää sisältävän kymmeniä tuhansia suomalaisessa Älypää-verkkopalvelussa (alypaa.com) käytössä olevia käyttäjätunnuksia ja salasanoja.

CERT-FI pyrkii parasta aikaa selvittämään, että liittyvätkö kaikki tunnukset samaan palveluun vai onko joukossa myös muissa palveluissa käytettyjä tunnuksia ja salasanoja. Harkitsemme myös varoituksen julkaisemista tapauksen johdosta.

Suosittelemme vaihtamaan Älypää-palvelussa käytetyn salasanan heti kun mahdollista. Jos sama salasana on käytössä muissa palveluissa, on myös niiden salasana syytä vaihtaa välittömästi. Saman salasanan käyttäminen eri verkkopalveluissa ei ole suositeltavaa.

10.03.2010

Myös toisen pankin verkkopankkitunnuksia urkittu

Tällä kertaa kohteena olivat Nordean asiakkaat.

Myös Nordean asiakkaiden verkkotunnuksia on pyritty kalastelemaan huonolla suomella kirjoitetuilla sähköposteilla. Tapaus muistuttaa 9.3.2010 uutisoimaamme Osuuspankin tapausta (Tietoturva Nyt! 9.3.2010).

CERT-FI on lähettänyt ulkomaalaisen palvelimen ylläpidolle urkintasivuston poistopyynnön. Seuraamme tilannetta ja ryhdymme vastaaviin toimenpiteisiin, jos uusia urkintasivustoja tulee tietoomme.

09.03.2010

Internet Explorer jäi paikkaamatta

Paikkauksen sijaan Microsoft ilmoitti toisesta paikkaamattomasta haavoittuvuudesta.

Microsoft julkaisi tänään maaliskuun päivityspakettinsa. Paketti ei sisältänyt päivitystä maaliskuun alussa ilmoitettuun Internet Explorer -selaimen haavoittuvuuteen. Paikkauksen sijaan Microsoft julkaisi tietoturvatiedotteen, jossa kerrottiin valmistajan tutkivan myös toista vanhempia Internet Explorer -selaimia vaivaavaa haavoittuvuutta.

CERT-FI suosittelee rajoittamaan haavoittuvuuksien vaikutuksia kunnes selaimeen on olemassa korjaukset. Active Scripting -toiminnallisuuden estäminen ja turvatason asettaminen korkeaksi Internet- ja Local Intranet -vyöhykkeissä on yksi rajoituskeino, joka pätee kumpaankin haavoittuvuuteen. Muista rajoituskeinoista voi lukea haavoittuvuuksiin liittyvistä tietoturvatiedotteista.

09.03.2010

Verkkopankin tunnuksia urkittu sähköpostitse

Pankki muistuttaa että he eivät koskaan kysy verkkopalvelutunnuksia sähköpostitse tai puhelimitse.

CERT-FI on saanut tietoonsa useita tapauksia, joissa sähköpostin välityksellä on urkittu Osuuspankin asiakkaiden verkkotunnuksia. Huonolla suomen kielellä kirjoitetuissa sähköpostiviestissä pyydetään asiakkaita varmistamaan henkilöllisyytensä jotta verkkopankin käyttö ei keskeytyisi. Sähköpostin lopussa on linkki joka vie ulkomailla sijaitsevalle www-palvelimelle. Palveluun kirjautumisen yhteydessä kyseinen palvelin avaa lomakkeen, johon pyydetään syöttämään viisi käyttämätöntä avainlukua.

Urkintaviestissä ollut linkki on aktivoitunut iltapäivällä. CERT-FI on pyytänyt ulkomaalaisen palvelimen ylläpitoa poistamaan sivun.

04.03.2010

'Perhoselta' katkaistiin siivet

Tiiviin yhteistyön seurauksena viranomaiset onnistuivat pidättämään kolme Mariposa-bottiverkon ylläpitäjäksi epäiltyä henkilöä.

Espanjan poliisi julkaisi keskiviikkona tiedotteen (espanjaksi) jonka mukaan he ovat vanginneet kolme henkilöä epäiltyinä Mariposa-bottiverkon luomisesta ja ylläpidosta. Kyseinen bottiverkko havaittiin joulukuussa 2008 ja nyt tehdyt pidätykset ovat viranomaisten ja tietoturvatutkijoiden tiiviin yhteistyön tulosta. Mariposa on espanjaa ja tarkoittaa perhosta.

Poliisin tiedotteen mukaan Mariposa-bottiverkko ehti saastuttaa yli 13 miljoonaa konetta 190 eri maassa. Koneita saastutettiin muun muassa jakamalla pikaviestipalveluiden kautta linkkejä sellaisille www-sivuille, jotka hyödynsivät Internet Explorer -selaimessa ollutta haavoittuvuutta. Saastuneiden koneiden kautta rikolliset onnistuivat pääsemään käsiksi yli 800.000 käyttäjän luottokorttitietoihin ja pankkitunnuksiin.

Toistaiseksi ei ole tiedossa kuinka monta suomalaista konetta Mariposa-verkkoon oli kaapattu.