Toukokuu

09.06.2010

Keinoja kohdistettujen hyökkäysten torjumiseksi

Kohdistettujen hyökkäysten torjunnassa käytetään valtaosin samoja menetelmiä kuin muidenkin hyökkäysten estämisessä. Käyttäjien oma varovaisuus kuitenkin korostuu, sillä pelkät tekniset suojakeinot eivät aina suojaa riittävästi.

Kohdistetuilla hyökkäyksillä tarkoitetaan sellaisia tietoturvallisuutta uhkaavia toimia, jotka kohdistuvat yhteen tai useampaan ennalta valittuun organisaatioon. Esimerkki kohdistetusta hyökkäyksestä voi olla haittaohjelmien levittäminen yrityksen sähköpostiosoitteisiin suunnatulla jakelulla sen sijaan, että niitä levitettäisiin mahdollisimman laajalti. Kohdistetuissa hyökkäyksissä käytetään usein sellaisia haittaohjelmien versioita, joita tietoturvaohjelmat eivät hyökkäyshetkellä tunnista. Rajatulla jakelulla pyritään myös siihen, ettei tieto uusista versioista kantautuisi riittävän nopeasti esimerkiksi virustorjuntaohjelmistojen valmistajille.

Hyökkäysten torjuminen ja niiden vaikutusten rajoittaminen

Australian puolustusministeriön Defence Signals Directorate (DSD) on julkaissut luettelon keinoista, joilla kohdistettujen hyökkäysten uhkaa voidaan pienentää ja onnistuneiden hyökkäysten vaikutuksia lieventää. Luettelossa on pyritty arvioimaan myös keinojen kustannuksia, niiden toteuttamisen vaikeutta ja muita päätöksiin vaikuttavia tekijöitä.

Tärkeimmiksi keinoiksi DSD arvioi käyttöjärjestelmän ja sovellusten säännöllisen päivittämisen ja käyttövaltuuksien rajoittamisen. Samoilla kohtuullisen yksinkertaisilla teknisillä keinoilla voidaan suojautua suurelta osalta muistakin hyökkäyksistä.

CERT-FI:n tietoon tulleiden tapausten valossa näyttää siltä, että erityisesti PDF-tiedostoihin tai Microsoft Office -dokumentteihin kätketyt haittaohjelmat ja Shockwave Flash -tiedostoina esiintyvät haitalliset sisällöt ovat usein käytettyjä hyökkäystyökaluja. Läheskään aina ei kohteena ole edes kovin tuore haavoittuvuus, vaan hyökkääjä luottaa siihen, ettei kaikkia haavoittuvia ohjelmistoja ole päivitetty tai asetuksia muuten säädetty turvallisiksi.

Apua hyökkäysten selvittämiseen

Jos epäilee joutuneensa kohdistetun hyökkäyksen uhriksi, kannattaa toimia heti. Sisäverkon tietokoneissa voi toimia tietoja vakoilevia haittaohjelmia, jolloin yrityssalaisuudetkin voivat olla vaarassa. Tietoturva-alan konsulttiyritykset tarjoavat apua tapausten selvittämisessä.

Myös CERT-FI voi avustaa alkuselvityksessä, jos on syytä epäillä tietoturvahyökkäystä. Jos näyttää siltä, että tapaukseen liittyy rikos, asia kannattaa ilmoittaa myös esitutkintaviranomaisille.

28.05.2010

Viestintävirastonkin sivuilta löytyi haavoittuvuus

Viestintävirasto korjasi alkuviikosta verkkosivuiltaan ns. XSS-haavoittuvuuden. Tämän kaltaiset haavoittuvuudet eivät ole erityisen harvinaisia. Tieto haavoittuvuudesta saatiin verkkosivujen haavoittuvuuksia seuraavan sivuston kautta. Viestintäviraston tietoon ei ole tullut, että haavoittuvuutta olisi ehditty käyttää hyväksi.

Viestintäviraston verkkosivujen hakulomakkeesta löytyi viime viikonloppuna XSS- eli cross site scripting -haavoittuvuus. Nimelle ei ole hyvää suomenkielistä vastinetta. Kyse siitä, että hyökkääjä voi houkutella käyttäjän syöttää sivustolle hyökkäystarkoituksiin muokattua sisältöä, joka päätyy käyttäjän selaimen käsiteltäväksi. Tyypillisesti XSS-haavoittuvuuksia hyväksikäytetään käyttäjille jaeltujen muokattujen linkkien välityksellä. Haavoittuvuudet johtuvat yleensä syötteen puutteellisesta tarkastamisesta.

Viestintäviraston sivujen hakusivun lomakkeeseen syötetty hakulauseke sisällytettiin sellaisenaan sivun kommentteihin. Tällöin hyökkääjä saattoi muokata syötteen sellaiseksi, että se päätyi selaimen tulkittavaksi ja sivulla näytettäväksi

Usein tämänkaltaisia haavoittuvuuksia käytetään hyväksi siten, että pyritään sisällyttämään sivulle suoritettavaa sisältöä, kuten JavaScript-koodia. Tässä tapauksessa se ei kuitenkaan ollut mahdollista järjestelmän muiden tietoturvaominaisuuksien vuoksi.

XSS-haavoittuvuuksia käytetään myös huijauksissa niin, että sivustolle syötetty koodi muistuttaa vaikkapa sivustolla tavallisesti käytettävää sisäänkirjautumislomaketta. Sivuille voidaan myös lisätä linkkejä, jotka johtavat toisaalla olevaan haitalliseen sisältöön, esimerkiksi haittaohjelmiin.

Viestintäviraston sivujen hakujärjestelmä otettiin pois käytöstä heti kun tieto haavoittuvuudesta oli saatu. Sivut olivat muuten käytettävissä, mutta hakuja ei voinut tehdä ennen kuin hakujärjestelmän puutteet oli korjattu. Korjaus saatiin toteutettua ja testattua nopeasti yhteistyössä järjestelmätoimittajan kanssa. Vastaavia haavoittuvuuksia oli korjattu jo ennen järjestelmän käyttöönottoa testijärjestelmään tehtyjen tarkastusten tuloksena.

CERT-FI havaitsi virheen XSS-haavoittuvuuksia seuraavan xssed.com-sivuston kautta. Sivuilla listataan haavoittuvia verkkosivustoja ja sivustojen ylläpitäjät voivat tilata myös sähköpostihälytyksen omia sivustojaan koskevista haavoittuvuuksista.

24.05.2010

Yhteisöpalvelujen käyttäjät ovat houkutteleva kohde väärinkäytöksille

Viime aikoina on Facebook- ja Twitter-palvelujen kautta levitetty haittaohjelmiin johtavia linkkejä. Yhteisöpalvelujen käyttäjät ovat houkutteleva kohde, sillä palveluissa ei useinkaan ole haitallisen sisällön automaattisesti tunnistavia suodatusominaisuuksia. Palveluissa voidaan käyttää myös lyhennettyjä linkkiosoitteita, jolloin pelkän linkin perusteella ei voi päätellä sen sisältöä.

Facebookissa ja Twitterissä levitetty haittaohjelmia

Eri yhteisöpalveluissa on jo pitkään esiintynyt palvelujen linkitysominaisuuksia hyödyntävää haittakoodia. Harmittomimmat näistä pyrkivät vain leviämään lisäämällä haitallisen linkin käyttäjän sivuille. Pahimmassa tapauksessa varomaton linkin klikkaaminen johtaa tietoja varastavan haittaohjelman asentumiseen.

Erityisesti Facebook- ja Twitter-palveluissa on levitetty viime aikoina erilaisia haittaohjelmia. Alla on kokoelma tietoturvayhtiöiden blogikirjoituksia viimeaikaisista tapauksista:

• http://www.sophos.com/blogs/gc/g/2010/05/22/distracting-beach-babes-video-attack-hits-facebook-users/
• http://www.f-secure.com/weblog/archives/00001955.html
• http://www.sophos.com/blogs/gc/g/2010/05/15/sexiest-video-facebook-users-hit-candid-camera-attack/
• http://www.f-secure.com/weblog/archives/00001954.html
• http://www.sophos.com/pressoffice/news/articles/2010/02/this-you.html
• http://www.sophos.com/pressoffice/news/articles/2009/01/twitter-phishing.html
• http://www.f-secure.com/weblog/archives/00001555.html
• http://www.sophos.com/pressoffice/news/articles/2008/01/facebook-adware.html

Tuttu lähettäjä luo väärää turvallisuuden tunnetta

Yhteisöpalveluissa haittaohjelmien leviämistä auttaa se, että "hauskat" tai kiinnostavat linkit näyttävät tulevan tutuilta käyttäjiltä. Todellisuudessa lähettäjäkin voi olla huijauksen uhri, ja todennäköisesti hän on erehtynyt asentamaan Facebook-sovelluksen tai klikkaamaan linkkiä, joka jakaa haitallisen sisällön edelleen hänen kontaktitiedoistaan löytyville käyttäjille.

Tutulta vaikuttava lähettäjä on tavallinen tapa vähentää viestin sisältöön kohdistuvia epäilyjä, ja sitä käytetään myös roskapostiviesteissä. Jo varhaiset roskapostia lähettäneet haittaohjelmat ovat osanneet poimia sähköpostiosoitteita käyttäjän osoitekirjasta ja käyttäneet niitä joko kohdeosoitteina tai väärennettyinä lähettäjän osoitteina. Myös tiettyihin organisaatioihin suunnatuissa kohdistetuissa hyökkäyksissä pyritään väärentämään viestin lähettäjä mahdollisimman luotettavaksi ja valitsemaan kohdeosoitteet ja viestin sisältö niin, etteivät ne herätä epäilyksiä.

Älä klikkaa kaikkea mahdollista!

Sekä sähköpostiviestien että yhteisöpalvelujen tarjoamiin linkkeihin kannattaa suhtautua epäilevästi siitä huolimatta, että ne näyttäisivät tulevan tutulta käyttäjältä. Jos lähetetyn linkin sisältö vaikuttaa saatetekstin perusteella vähänkin epäilyttävältä, olisi ennen linkin avaamista hyvä tarkistaa suoraan sen lähettäjältä, että mistä on kysymys. Siinä ei menetä paljonkaan jos jättää hauskan linkin avaamatta, mutta siten voi säästyä paljolta harmilta.

Harkitse sovelluksille annettavia oikeuksia

Facebook-palvelussa on melko monipuoliset mahdollisuudet rajoittaa omien tietojen näkymistä muille käyttäjille. Käyttäjän asentamat Facebook-sovellukset voivat kuitenkin kysyä lupaa käyttäjän tietojen käyttämiseen, jolloin ne voivat kiertää asetettuja tietojen näkyvyysrajoituksia.

Havaitut väärinkäytökset kannattaa ilmoittaa

Suurimmilla yhteisöpalvelujen tarjoajilla on hyvin määritellyt yhteystiedot väärinkäytösten ilmoittamiseen. Havaituista väärinkäytöksistä kannattaakin aina ilmoittaa. Myös CERT-FI ottaa vastaan ilmoituksia yhteisöpalveluihin liittyvistä tietoturvaloukkauksista.