|
www.viestintävirasto.fi |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
TammikuuTästä aiheesta löytyy myös RSS-syöte 31.01.2011 Tietomurtoja ohjelmistovarastoihin
Sekä ohjelmistokehittäjien SourceForge-sivusto että Linux-käyttöjärjestelmäversiota tarjoava Fedora ovat kertoneet sivustoilleen tehdyistä tietomurroista. Toistaiseksi ei ole varmaa tietoa siitä, että onko joihinkin SourceForgen
palvelimilta jaettaviin ohjelmistoihin tehty luvattomia muutoksia.
Fedora on ilmoittanut, ettei jaettaviin ohjelmistopaketteihin ole tehty muutoksia. SourceForge-sivusto on ollut osittain suljettuna kun sen ylläpitäjät ovat analysoineet murtautumisen laajuutta ja siinä käytettyjä menetelmiä. Varmuustoimenpiteenä sivusto on mitätöinyt rekisteröityjen käyttäjiensä vanhat salasanat ja lähettänyt sähköpostitse linkin uuden salasanan asettamista varten. Ohjelmistojen jakelupalvelimille tapahtuvat tietomurrot voivat mahdollistaa haitallista koodia sisältävien ohjelmistojen levittämisen tehokkaasti moniin tietokoneisiin. Ohjelmistopaketteihin on usein liitetty esimerkiksi MD5-tarkistussumma tai PGP-allekirjoitus, jonka avulla luvattomasti muokatut tiedostot olisi mahdollista havaita. Näitä ei kuitenkaan välttämättä tarkisteta automaattisesti, vaan ohjelmiston asentajan tai päivittäjän tulee tehdä se joka kerta erikseen. Viime vuoden jälkipuoliskolla onnistuttiin jakamaan luvattomasti muokattuja, takaoven sisältäviä versioita ProFTPd- ja Unreal IRCd-palvelinohelmistoista. 28.01.2011 Uudet PGP-avaimet CERT-FI:lle
Uudet CERT-FI Incident Response -avain ja tiedotteiden allekirjoittamiseen tarkoitettu avain (CERT-FI Advisory Signing Key) ovat saatavilla yksikön www-sivuilla ja yleisillä avainpalvelimilla. CERT-FI siirtyy käyttämään uusia PGP-avaimia 28.1.2011 alkaen. Yleinen avain (CERT-FI Incident Response) ja tiedotteiden allekirjoittamiseen tarkoitettu avain (CERT-FI Advisory Signing Key) vaihtuivat. Uudet avaimet ovat voimassa 5 vuotta. 21.01.2011 Omien tietojen jakaminen FacebookissaUseisiin sosiaalisen median palveluihin, kuten esimerkiksi Facebookiin, on mahdollista lisätä omia kiinnostuksen kohteita ja muita tietoja itsestään. Monille ei kuitenkaan ole täysin selvää, mihin jaettuja tietoja käytetään, ja millä tavoin jopa tuntemattomat ihmiset voivat nähdä jaettuja tietoja. Erilaisten Facebook-sovellusten tekijät voivat käyttää tietoja hyväkseen myös muissa web-palveluissa. Yksityisyysasetuksien muokkaaminen voi olla tietokoneen käyttöön tottumattomalle hankalaa eikä termejä välttämättä ymmärretä täysin. Sovellukset, joita esimerkiksi Facebookin käyttäjät asentavat, kuten tietovisat ja erilaiset pelit, pääsevät käsiksi käyttäjän Facebook-tietoihin kysymällä lupaa. Ilman lupaa pelin tai tietovisan käyttöoikeutta ei välttämättä heru lainkaan.
Esimerkki sovelluksen lupakyselystä Tällaisia käyttäjän omia tietoja joita sovellukset voivat kysyä ovat esimerkiksi käyttäjän kaverilista, sähköpostiosoite, nimi, profiilikuva, verkostot sekä käyttäjätunnus. Useimmat sovellukset hakevat myös kaikki käyttäjän julkiseksi määrittelemät tiedot. Sallimalla sovelluksen käyttää tietoja, tulee myös hyväksyneeksi esimerkiksi palvelun käyttöehdot, sekä yksityisyydensuojaperiaatteet. Sovellukset voivat myös käyttöehdoissaan pyytää lupaa käyttäjän sähköpostiosoittteen jakamiseen yhteistyökumppaneilleen. Tällöin sovellusten käyttäjät voivat alkaa saada roskapostiksi mieltämäänsä kohdennettua sähköpostia, jonka lähettämiseen ovat itse asiassa antaneet luvan. Facebook-sovellukset voivat käyttää Facebookissa jaettuja tietoja hyväkseen myös muissa Internet-palveluissa, vaikka sitä ei suoraan missään sanottaisi. Omien tietojen jakamiseen sosiaalisen median palveluissa tulisikin suhtautua niin kuin mihin tahansa muuhun tietojen jakamiseen netissä. On myös syytä muistaa, että pelkkä Facebook-sovelluksen poistaminen ei välttämättä poista tietoja muista palveluista, joille käyttäjä on kerran antanut tietonsa. Nyrkkisääntönä netin ja tietojen jakamisen kanssa kannattaakin pitää sitä, että kun on kerran laittanut jotain verkkoon, sitä ei välttämättä koskaan saa pois sieltä. Liian yksityiskohtaista julkista kuvausta itsestään ei nettiin kannata missään nimessä laittaa. Pahimmassa tapauksessa tämä voi johtaa identiteettivarkauteen. Identiteettivarkaudella tarkoitetaan sitä, että joku esiintyy toisena henkilönä. Yksityiskohtaisia tietoja voidaan käyttää hyväksi myös niin kutsutuissa Social Engineering-tapauksissa, joissa esiintymällä toisena henkilönä pyritään pääsemään käsiksi tietoihin tai omaisuuteen, joihin tällä henkilöllä on pääsy. Muokkaamalla yksityisyysasetuksia määrittelet mitä tietoja muut näkevät sinusta. Facebookin käyttäjätilin yksityisyysasetuksia voi muokata osoitteessa http://www.facebook.com/home.php#!/settings/?tab=privacy. Lisätietoja Facebookin yksityisyysasetuksista löytyy osoitteesta http://www.facebook.com/home.php#!/privacy/explanation.php. Sivulta löytyy myös tietoja tietosuojasta. 20.01.2011 CERT-FI:n uusi palvelukuvaus julkaistuPalvelukuvausta on tarkennettu kuvaamaan yksityiskohtaisemmin tarjottavia palveluita. Palvelukuvauksessa esitellään myös eri asiakasryhmien välinen priorisointi, joka perustuu yksikön lakisääteisiin tehtäviin ja toiminnan rahoitusmalliin. Teleyritykset ja Suomeen sijoittuneet huoltovarmuuskriittiset elinkeinoelämän toimijat ovat palveluiden ensisijaisia edunsaajia. 18.01.2011 CERT-FI:n vuosikatsaus 2010
Vuoden 2010 tietoturvatapahtumia käsittelevä CERT-FI:n vuosikatsaus on julkaistu. Vuoden 2010 merkittävimpänä tietoturvailmiönä voidaan pitää teollisuuslaitoksiin kohdistettua Stuxnet-haittaohjelmaa. Internetistä on tullut merkittävä laillisen ja laittoman kansalaisaktivismin kanava. Eri toimijoiden kansainvälinen yhteistyö on tärkeää edistettäessä verkon, ohjelmistojen ja laitteiden tietoturvaa. |
