Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2010 > Lokakuu

Lokakuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

31.10.2010

Bredolab-tartuntailmoituksia välitetty operaattoreille

Ensimmäinen erä suomalaisisia IP-osoitteita, joiden takana olevat koneet ovat saastuneet Bredolab-haittaohjelmalla, on välitetty eteenpäin suomalaisille operaattoreille.

CERT-FI on saanut tiedon useista kymmenistä suomalaisista Bredolab-haittaohjelmatartunnan saaneista koneista. IP-osoitteet on välitetty eteenpäin operaattoreille, jotta nämä voivat ottaa yhteyttä asiakkaisiinsa. Näistä IP-osoitteista on ladattu tiedosto Hollannin poliisin hallussa olevilta Bredolab-komentopalvelimilta 25. ja 27. lokakuuta välisenä aikana. Suomalaisten tartuntojen kokonaismäärä ei ole tällä hetkellä tiedossa.

Bredolab on haittaohjelma, jota käytetään tartuttamisen jälkeen lataamaan käyttäjän koneelle haittaohjelmalevittäjien haluamia lisäkomponentteja, yleensä erilaisia haittaohjelmia. Koska ladattujen haittaohjelmien määrä ja sisältö vaihtelevat, voi koneen puhtaudesta varmistua ainoastaan uudelleenasennuksella.

28.10.2010

On IDS/IPS evasions

Flaws in the protocol implementations of IDS/IPS systems may enable bypassing their protections. Evasion methods have been known for years.

Intrusion detection and prevention systems (IDS/IPS) are systems that monitor network traffic. Upon finding intrusion attempts, the systems may alert the systems administrators or attempt to block the malicious traffic. IDS/IPS systems are usually employed to complement other protections, such as firewalls.

Different ways to bypass the protections provided by IDS/IPS systems have been known for years. Researchers at Stonesoft went through the publicly available research on evasions techniques. Some of the published methods were discovered to still cause problems for some of the tested IDS/IPS systems. Further research uncovered previously unpublished evasion methods. Stonesoft gave a presentation about their research today on October 28 at the Finnish T2 security conference.

The found vulnerabilities result from interpretation differences between the device inspecting the traffic and the end device. The vulnerabilities can only be remediated by fixing the protocol implementations of the affected systems, updating the signature databases of security devices is not sufficient. The identified evasion methods may also affect other content inspection technologies, such as next generation firewalls (NGFW) and Unified Threat Management (UTM) devices.

CERT-FI started to coordinate the remediation and publication process related to the findings of Stonesoft during the summer. During the last few months, research has uncovered new evasion techniques, which have in turn been reported to vendors. A number of security system vendors are investigating the effects of the findings on their products. In line with the principles of vulnerability coordination, the technical details related to the vulnerabilities will not be made public until the vendors have published their fixes.

The current research has only gone through evasions related to portions of fairly limited set of protocols. It is clear that other protocols than those that have been so far researched exhibit protocol misinterpretation issues.

Users of IDS/IPS systems should be aware that their protections may not detect all intrusion attempts. It is generally not sufficient to use IDS/IPS systems as the only protection mechanism of networks and systems. Hardening, firewalls and other complementary means for detecting and preventing network attacks should be employed. Users that employ IDS/IPS systems as virtual patches are particularly exposed to these kinds of evasions.

28.10.2010

IDS/IPS -järjestelmien ohitusmenetelmistä

Puutteet IDS/IPS -järjestelmien protokollatoteutuksissa voivat mahdollistaa suojauksien ohituksen. Ohitusmenetelmiä on ollut tiedossa jo vuosia.

Tunkeutumisen esto- ja havainnointijärjestelmät (IDS/IPS) tarkkailevat tietoverkkojen liikennettä. Kun järjestelmät havaitsevat liikenteestä viitteitä mahdollisiin tietomurtoihin, ne voivat hälyttää verkkoylläpitäjiä tai yrittää aktiivisesti estää hyökkäysliikenteen. IDS/IPS -järjestelmiä käytetään yleisesti täydentämään muita suojauksia, kuten palomuureja.

Erilaisia tapoja ohittaa IDS/IPS -järjestelmien tarjoamia suojauksia on ollut tiedossa jo vuosia. Stonesoftin tutkijat kävivät läpi aiheeseen liittyvää julkista tutkimusta. Osan julkistetuista menetelmistä todettiin edelleen aiheuttavan hankaluuksia testatuille IDS/IPS -järjestelmille. Stonesoftin jatkotutkimuksissa havaittiin myös aikaisemmin julkaisemattomia ohitusmenetelmiä. Stonesoft piti tänään 28.10 esityksen tutkimuksestaan suomalaisessa T2-tietoturvakonferenssissa.

Löydetyt haavoittuvuudet johtuvat protokollien tulkintaeroista sisältöä tutkivan järjestelmän ja vastaanottavan järjestelmän välillä. Haavoittuvuuksia ei voi korjata tietoturvalaitteiden tunnistetietokantojen päivityksillä, vaan tietoturvalaitteiden haavoittuvat protokollatoteutukset pitää korjata. On mahdollista, että suojauksien ohitusmenetelmät koskevat muitakin verkkoliikenteen sisältöä tutkivia ohjelmistoja, kuten uuden sukupolven palomuureja (NGFW) sekä UTM (Unified Threat Management) -järjestelmiä.

CERT-FI alkoi kesän aikana koordinoida Stonesoftin löydöksiin perustuvien haavoittuvuuksien korjaamista ja julkaisua. Viime kuukausien aikana tutkimuksessa tullut esiin uusia menetelmiä, jotka on kaikki raportoitu valmistajille. Useat tietoturvatuotteiden valmistajat tutkivat löydöksien vaikutusta tuotteisiinsa. Korjauksia pyritään julkistamaan tämän vuoden aikana. Haavoittuvuuskoordinoinnin periaatteiden mukaisesti löydöksien teknisiä yksityiskohtia ei julkisteta ennen kuin valmistajat ovat julkaisseet korjauksensa.

Nykyisessä tutkimuksessa on käyty läpi vain osia eräisiin protokolliin liittyvistä suojauksen ohitusmenetelmistä. On ilmeistä, että muihinkin kuin tähän asti tutkituihin protokolliin liittyy nyt löydettyjen kaltaisia tulkintaongelmia.

IDS/IPS -järjestelmien käyttäjien tulisi olla tietoisia, etteivät heidän käyttämänsä järjestelmät välttämättä havaitse kaikkia hyökkäysyrityksiä. IDS/IPS-järjestelmiä ei ole yleensä tarkoituksenmukaista käyttää ainoana verkkoja ja järjestelmiä suojaavana mekanismina. Verkkohyökkäysten havainnointiin ja estoon tulisi käyttää myös muita menetelmiä, kuten suojattavan sovelluksen koventamista ja palomuureja. Ympäristöt, joissa IDS/IPS -järjestelmiä käytetään suojaamaan päivittämättömiä järjestelmiä hyökkäyksiltä ("virtuaalinen päivitys"), ovat erityisen alttiina suojauksen ohitusmenetelmille.

27.10.2010

Firefox-haavoittuvuuden avulla levitetään haittaohjelmia

Firefox-selaimesta on löydetty toistaiseksi korjaamaton haavoittuvuus, jota käytetään aktiivisesti hyväksi haittaohjelmien levittämiseksi.

Haittaohjelmaa on ollut jaossa ainakin murretulla sivustolla hxxp://nobelpeaceprize.org. Sivustolla oleva iframe-kehys lataa haavoittuvuutta hyväksikäyttävän hyökkäyskoodin ja hyväksikäytön onnistuttua varsinaisen haittaohjelman.

Vain harvat virustorjuntaohjelmat tunnistavat toistaiseksi kyseisen haittaohjelman. Lisätietoja haittaohjelmasta on Norman-virustorjuntaohjelmiston analyysissä.

JavaScriptin poistaminen käytöstä auttaa

Ainakin toistaiseksi kyseisen Firefox-haavoittuvuuden hyväksikäyttämisen voi estää poistamalla JavaScriptin käytöstä tai käyttämällä Firefoxin NoScript-lisäosaa.

27.10.2010

Bredolab-bottiverkko ajettu alas hollantilaisyhteistyön tuloksena

Useille tuhansille suomalaisille tartunnan saaneille ilmoitetaan asiasta oman operaattorin toimesta.

Hollannin poliisi on ajanut alas Bredolab-bottiverkon yhteistyössä paikallisen CERT-toimijan, GovCERT.NL:n, ja teleoperaattorin kanssa. Bottiverkon komentopalvelimet sijaitsivat suuren hollantilaisen operaattorin LeaseWebin verkossa.

Bredolab-haittaohjelmaa on jaettu muun muassa Facebookin ja Myspacen kautta. Sitä on liikkunut myös sähköpostin liitetiedostoina ja murrettujen sivustojen kautta tarttuvana. Bredolab-haittaohjelma piiloutuu koneelle, liittää koneen levittäjien hallinnoimaan bottiverkkoon ja tarkkailee heidän antamiaan komentoja. Sen avulla voidaan esimerkiksi urkkia käyttäjien tunnuksia ja salasanoja, lähettää käyttäjän verkon kautta roskapostia ja osallistua palvelunestohyökkäyksiin.

Suomalaisia tartuntoja arvioidaan olevan tuhansia. Tartunnan saaneiden tietokoneiden haltijoille pyritään tiedottamaan asiasta operaattorien välityksellä.

26.10.2010

Tietoliikenteen salaamisesta tuli yhä tärkeämpää

Firefox-selaimeen julkaistu Firesheep-lisäosa tekee www-palvelujen istuntojen kaappaamisen helpoksi, jos liikennettä ei ole salattu HTTPS-protokollalla ja käytössä on avoin, salaamaton WLAN-verkko.

Firesheep kaappaa yhteyksiä evästeiden avulla

Avointen langattomien verkkojen riskit ovat tunnettuja. Jos WLAN-verkkoon kirjautuminen ei vaadi verkon nimen lisäksi salasanaa, voivat liikennettä salakuunnella kaikki verkon kuuluvuusalueella olevat. Jos palvelun tietoliikennettä ei salata esimerkiksi HTTPS-protokollan avulla, voi istunnon kaapata helposti Firefox-selaimeen julkaistun Firesheep-lisäosan avulla.

Firesheep tarkkailee avoimen WLAN-yhteyden kautta liikkuvaa HTTP-liikennettä ja poimii siitä käyttäjän selaimelle lähetettävän yhteyskohtaisen evästeen, jonka avulla www-palvelu tunnistaa käyttäjän istunnon. Firesheep näyttää selaimessa kuulemansa yhteydet ja tarjoaa mahdollisuuden niiden kaappaamiseen siten, että sivullinen voi esiintyä yhteyden haltijana www-palvelussa.

Firesheep tunnistaa muiden muassa Facebook-, Twitter-, Google-, Amazon-, Dropbox-, Evernote-, Wordpress-, Flicker-, ja bit.ly -palvelujen istunnot. Istunnon voi kaapata, vaikka kirjautumisessa käytettäisiinkin salattua HTTPS-protokollaa käyttäjätunnuksen ja salasanan välittämiseen, ellei muitakin osia palvelusta ole salattu.

Liikenteen salaaminen parantaa turvallisuutta

Käyttäjä on suojassa yhteyksien kaappaamiselta, jos koko www-sivustolla käytetään HTTPS-yhteyttä. Yhteyden salakuuntelemisen voi estää myös käyttämällä WLAN-verkossa vähintään WPA2-salausta. Varsinkin yrityskäyttäjät voivat usein käyttää salattua VPN-yhteyttä, joka estää salakuuntelun myös avoimissa WLAN-verkoissa.

Firefox-selaimelle on julkaistu myös HTTPS Everywhere- ja ForceTLS-nimiset lisäosat, jotka pyrkivät varmistamaan, että selain käyttää aina salattua HTTPS-yhteyttä.

Avainasemassa ovat palvelujen tarjoajat

Firesheepin tekijöiden tarkoituksena on painostaa palvelujen ylläpitäjiä mahdollistamaan palvelujen käyttämisen puhtaasti HTTPS-yhteyksillä. Lisäksi avainasemassa ovat langattomien verkkojen ylläpitäjät. Käyttäjän mahdollisuudet vaikuttaa yhteyden salaamistasoon ovat usein varsin rajalliset.

14.10.2010

CERT-FI:n tietoturvakatsaus 3/2010 ilmestynyt

CERT-FI:n neljännesvuosittain julkaistava tietoturvakatsaus kesän ja alkusyksyn tietoturvallisuuteen vaikuttaneista tapahtumista on ilmestynyt.

Katsauksen aiheina ovat muun muassa Stuxnet-haittaohjelma, paikkaamattomien haavoittuvuuksien käyttäminen kohdistetuissa hyökkäyksissä, Facebook-huijaukset ja Zeus-haittaohjelmaperheen leviäminen myös matkapuhelimiin.

06.10.2010

Facebook-yhteisöpalvelussa levitetään suomenkielisiä huijausviestejä

Videotallennetta mainostavaa linkkiä seuranneita käyttäjiä erehdytettiin syöttämään matkapuhelinnumeronsa ja tilaamaan maksullinen tekstiviestipalvelu.

Roskaposteista tunnettu ilmiö, jolla käyttäjiä pyritään harhauttamaan tehokkaammin lähestymällä häntä hänen omalla kielellään kirjoitetuilla viesteillä, on levinnyt Facebook-palveluun. Huijaus on toteutettu hyvällä suomenkielellä, mutta on muuten kopio vastaavista englanninkielisistä huijauksista. Palvelussa on levinnyt linkki, joka houkuttelee katsomaan videotallennetta. Videon nähdäkseen käyttäjä huijataan ensin käynnistämään Facebook-sovellus, joka jakaa linkkiä muille käyttäjille käyttäjän tietämättä. Tämän jälkeen käyttäjä ohjataan arvontasivulle, jossa pyydetään syöttämään matkapuhelinnumero. Puhelinnumeron syöttäminen tulkitaan pienellä painetun sopimustekstin mukaan arvontaan osallistumisen lisäksi maksullisen tekstiviestipalvelun tilaukseksi.

Yhteisöpalveluissa kannattaa käyttää vastaavaa harkintaa linkkien avaamisessa kuin vaikkapa sähköpostissa. Palveluitten suosion kasvaessa on odotettavissa, että rikolliset siirtävät toimintansa painopistettä niihin ja soveltavat niissä vanhoja menetelmiään sekä kehittävät uusia, yhteisöpalveluita varten räätälöityjä huijauskeinoja.


Kuluttajavirasto ja teleyritykset ovat sopineet tapauksessa, ettei huijauksen uhreja laskuteta huijaussivun kautta tilatusta palvelusta. Kuluttajavirastoon ei tarvitse ottaa erikseen yhteyttä saadakseen korvauksen.

05.10.2010

Urkittuja sähköpostitunnuksia käytetään roskapostin lähettämiseen

Käyttäjätunnusta ja salasanaa kyselevät sähköpostit kannattaa tuhota.

Roskapostittajat lähestyvät suomalaisiakin käyttäjiä jatkuvasti sähköposteilla, joissa yritetään erilaisiin tekosyihin vedoten saada käyttäjiä paljastamaan käyttäjätunnuksensa ja salasanansa. Viestit saattavat sisältää esimerkiksi uhkauksen sähköpostitilin sulkemisesta. Jos käyttäjä erehtyy nämä tiedot paljastamaan, hänen sähköpostitiliään käytetään erilaisten roskapostien lähettämiseen. Ulkopuolisen sähköpostipalvelimen käyttö on roskapostittajille yksi keino kiertää roskapostin lähettämistä rajoittamaan pyrkiviä menetelmiä.

Uhriksi joutuneen, sinänsä viattoman organisaation sähköpostipalvelin päätyy usein roskapostiestolistalle, joilta poispääseminen voi olla hankalaa. Sähköpostipalvelimen joutuminen estolistalle voi estää sähköpostin lähettämiseen kaikkiin estolistaa käyttäviin organisaatioihin.

01.10.2010

Stuxnetista havaintoja myös suomalaisissa verkoissa

Stuxnet on teollisuusautomaatiojärjestelmiä kohtaan suunnattu haittaohjelma, joka pystyy muuttamaan teollisuusprosessin toimintaa. Myös Suomessa on havaintoja Stuxnetin saastuttamista tietokoneista.

Kesäkuussa 2010 tehtiin ensimmäiset havainnot uuden tyyppisestä, erityisesti teollisuusautomaatiojärjestelmiin kohdistetusta haittaohjelmasta nimeltä Stuxnet. Stuxnetin on yleisesti luonnehdittu olevan teknisesti edistynein haittaohjelma, mitä tähän mennessä on havaittu. Poikkeuksellinen ominaisuus on se, että Stuxnet pystyy vaikuttamaan prosessinohjausjärjestelmän ohjelmoitavien logiikkaohjainten toimintaan. Tätä kautta haittaohjelma kykenee häiritsemään esimerkiksi sähkövoimalan toimintaa.

Haittaohjelmassa hyväksikäytettiin useita korjaamattomia haavoittuvuuksia

Stuxnetin kehittyneisyyttä kuvaa hyvin se, että haittaohjelman levittämisessä on käytetty hyväksi kahta korjaamatonta, niin sanottua nollapäivähaavoittuvuutta. Lisäksi haittaohjelmassa on kaksi muuta korjaamatonta haavoittuvuutta, joiden avulla hyökkääjä saa haltuunsa ylläpitäjän käyttövaltuudet. Jo yhden korjaamattoman haavoittuvuuden hyväksikäyttö olisi ollut merkki teknisestä osaamisesta, neljä tälläistä haavoittuvuutta samassa ohjelmassa on ennenkuulumatonta.

Microsoft on korjannut toisen leviämisen mahdollistavan haavoittuvuuden elokuussa ylimääräisellä korjauspäivityksellä ja toisen syyskuun päivityspaketin yhteydessä. Käyttövaltuuksien nostamisen mahdollistavia haavoittuvuuksia ei ole vielä korjattu.

Muokkaa prossessin toimintaa

Haittaohjelmat eivät ole aikaisemmin kyenneet vaikuttamaan fyysisen maailman prosesseihin, mutta nyt tähän on tullut muutos. Stuxnet korvaa osan prosessin logiikkaohjaimen komennoista omillaan ja siten vaikuttaa varsinaisen teollisuusprosessin toimintaan. Kaikki havainnot viittaavat siihen, että Stuxnet olisi kohdistettu jotakin tiettyä teollisuuslaitosta vastaan. Haittaohjelma ei näyttäisi aiheuttavan vahinkoa muissa kuin kohdejärjestelmässään.

Suomessa seitsemän havaintoa

CERT-FI on saanut tietoa seitsemästä suomalaisesta tartunnasta tai tartuntayrityksestä. Kolme tapauksista on vahvistettuja saastumistapauksia, neljässä tapauksessa virustorjuntaohjelmisto on estänyt saastumisen. Valtaosa tapauksista näyttäisi olevan yksityiskäyttäjien työasemia. Saamiemme tietojen mukaan Stuxnet ei ole päässyt vaikuttamaan suomalaisen teollisuusautomaation toimintaan.

Paljon tutkittu malliesimerkki

Viime kuukausien aikana Stuxnetia on tutkittu useiden tahojen toimesta hyvin tarkkaan ja tutkimus tulee jatkumaan vielä pitkään. Virustorjuntayhtiöt Symantec ja ESET ovat molemmat julkaisseet omat tutkimuksensa Stuxnetin teknisestä toiminnasta. Koska Stuxnet on teknisesti ansiokkaasti tehty ohjelma voidaan epäillä, että sitä tullaan käyttämään malliesimerkkinä vastaavien haittaohjelmien kehittelyssä. Stuxnet on esitellyt uudenlaisen haittaohjelmien toimintamallin ja tulemme todennäköisesti näkemään vastaavantyyppisiä tapauksia myös tulevaisuudessa.