|
www.viestintävirasto.fi |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
HelmikuuTästä aiheesta löytyy myös RSS-syöte 28.02.2011 Verkkokauppojen tietoturvan puutteet voivat vaarantaa kauppiaan edun
Verkkokauppaohjelmistoista on löytynyt puutteellisesta syötteentarkistuksesta johtuvia ongelmia. Viestintäviraston tietoturvayksikön CERT-FI:n tietoon on tullut tapauksia, joissa ohjelmistojen haavoittuvuuksia on käytetty hyväksi rikollisessa tarkoituksessa kauppiaan tappioksi. Ohjelmistojen virhetilanteita hyväksikäyttämällä voi olla mahdollista suorittaa ostoksia ilman, että maksu siirtyy verkkopankista kauppiaalle. CERT-FI on tiedottanut verkossa liiketoimintaa harjoittaville suomalaisille kauppiaille löytyneistä tietoturvaongelmista. CERT-FI on työskennellyt yhteistyössä Helsingin poliisin, Suomen Elektronisen Kaupankäynnin yhdistys ry:n, OWASP:in ja Nixu Oy:n kanssa. Haavoittuvuudet johtuvat pääasiassa siitä, ettei kauppiaan käyttämä sovellus noudata maksuliikennepalvelujen tarjoajan, eli esimerkiksi pankin antamia maksutapahtumien välittämiseen liittyviä teknisiä määrittelyjä. Näin käy esimerkiksi silloin, jos maksutapahtuman paluuosoitetta tai tarkistussummaa ei tarkisteta. Verkkokauppasovellus erehdytetään luulemaan, että maksutapahtuma on onnistunut, vaikka maksupalvelua tarjoavalla sivustolla ei maksuprosessin aikana ole välttämättä edes käyty. Haavoittuvuuden olemassaolo ei estä normaalia ostosten tekoa. Väärinkäyttömahdollisuudet tulevat ilmi vain systemaattisen ohjelmistotestauksen myötä. Näin ollen kauppias ei välttämättä huomaa ohjelmistovirheen olemassaoloa ennen kuin ensimmäiset väärinkäytökset paljastuvat. Verkkokauppiaiden onkin suositeltavaa varmistua tarjoamansa palvelun tietoturvallisuudesta suorittamalla tai teettämällä verkkosovellukselleen asianmukainen ohjelmistotestaus, johon kuuluu myös tietoturvan heikkouksia kartoittava osio. Verkkokauppasovellusten laaja kirjoVerkkokauppojen haavoittuvuuksien löytämistä ja korjaamista vaikeuttaa toimijoiden suuri määrä ja sovellusmarkkinoiden pirstaleisuus. Käytössä on suuri määrä yksittäisille kauppiaille räätälöityjä sovelluksia. Lisäksi osa verkkokauppojen käyttämistä, kolmannen osapuolen tuottamista ohjelmistoista saattaa olla hankittu ilman tukipalveluita, jolloin ohjelmistopäivitysten saaminen ja niiden käyttöönotto voi olla vaikeaa. Vuosia sitten hankitun ohjelmiston valmistaja on saattanut tehdä konkurssin tai lopettaa tuotteen ylläpidon. Ohjelmistojen valmistajatkaan eivät aina tiedä, ketkä heidän tuotteitaan käyttävät ja missä yhteyksissä. Näin ollen tieto haavoittuvuuden korjaavasta ohjelmistopäivityksestä ei välttämättä tavoita viallista ohjelmistoa käyttävää kauppiasta. Epäilyistä yhteyttä poliisiinCERT-FI suosittelee kauppiaita vertailemaan verkkokauppansa tilitystietoja, tilauksia ja toimituksia. Epäiltäessä petosta tuulee ottaa yhteys paikalliseen poliisilaitokseen. Maksamisen kiertäminen verkkosovellusten haavoittuvuuksia hyväksikäyttämällä luokitellaan petokseksi tai törkeäksi petokseksi. Rikoslain mukaan myös petoksen yrittäminen on rangaistavaa. Tapausten esitutkinnan suorittaa poliisi. Ostaminen verkosta on kuluttajalle edelleen turvallistaCERT-FI muistuttaa, että verkossa maksaminen on kuluttajalle edelleen turvallista. Verkkosovellukset, niiden tietoturva ja tekniset toteutukset ovat kauppiaan vastuulla. Kauppiaan vastuulla on myös noudattaa pankkien tai muun maksuliikennepalvelujen tarjoajan maksuliikenteen välittämiseen tehtyjä määrittelyjä. Haavoittuvuus ei koske pankkien tai muiden maksuliikennepalveluita tarjoavien tahojen palveluita, vaan se rajoittuu verkkokauppapaikkojen teknisiin toteutuksiin. Piilevä ongelma on tulossa näkyväksiHyökkäystekniikka on CERT-FI:lle tuttu jo parin vuoden takaa. Keväällä 2009 raportoitiin avoimen lähdekoodin verkkokauppasovellusten maksumoduuleissa olevista haavoittuvuuksista (CERT-FI:n haavoittuvuustiedote 046/2009), jotka tuotteen valmistaja korjasi. CERT-FI:n tietojen mukaan haavoittuvuuksia ei vielä tuolloin hyödynnetty rikollisiin tarkoituksiin. Myöhemmin on käynyt ilmi, että rikolliset ovat löytäneet vastaavia haavoittuvuuksia myös muista verkkokauppaohjelmistoista ja hyväksikäyttäneet niitä. CERT-FI on tehnyt yhteistyötä suomalaisen tietoturvayhtiö Nixu Oy:n kanssa levittääkseen tietoa ohjelmistojen valmistajien ja kauppiaiden parissa. Nixu on toimeksiantojensa perusteella arvioinut useiden verkkokauppasovellusten tietoturvaa. Nixun tekemät haavoittuvuuslöydökset on raportoitu vastuullisesti ja korjattu yhteistyössä toimeksiantajien kanssa. CERT-FI:n ja Nixun yhteinen näkemys kuitenkin on, että suuri määrä haavoittuvia verkkokauppasovelluksia on edelleen löytämättä ja päivittäisessä käytössä. Vastuu käytetyn ohjelmiston turvallisuudesta ja turvallisen ohjelmiston valinnasta on kauppiaalla itsellään. OWASPin Helsingin jaosto julkaisee kehittäjille suunnatun lyhyen muistilistan yleisimmistä virheistä verkkomaksamiseen liittyen. OWASP, Open Web Application Security Project, on kansainvälinen ei-kaupallinen yhteisö jonka tarkoituksena on parantaa tuoteturvallisuutta. CERT-FI on yhdessä Suomen Elektronisen kaupankäynnin yhdistys ry:n ja Helsingin Poliisin kanssa toimittanut ennakkotietoa haavoittuvuuksista useille kaupan ja ohjelmistoalan toimijoille. CERT-FI:n haavoittuvuuskoordinoinnin yhteystiedot:Sähköposti: vulncoord@ficora.fi Puh. 09 6966 510 Mainitkaa sähköpostin aihekentässä tunniste [FICORA #420654] Helsingin Poliisi Jukkapekka Risu 071 877 5390 Suomen Elektronisen Kaupankäynnin yhdistys ry Kare Casals 050 560 8760 kare.casals@ecf.fi 24.02.2011 "Why Wasn't I Notified?"
A study conducted by CERT-FI reveals that the victims of the information security breaches are among the last ones to learn about incidents affecting them. The study also presents critique towards the information security standards followed by many organisations. The study argues that the standards do not recognise nor fully exploit the possibilities of inter-organisational cooperation in information security incident handling. The study report was presented in a Nordsec 2010 conference that was held in October at the premises of Aalto University, Finland. The paper and associated presentation slides can be found here. 24.02.2011 "Miksi minulle ei kerrottu?"
CERT-FI:ssä laadittu tutkimus tietoturvaloukkausten käsittelyn haasteista toteaa: tietoturvaloukkausten uhrit kuulevat itseään koskevasta asiasta viimeisten joukossa. Raportissa esitetään myös kritiikkiä organisaatioiden tietoturvaa koskevia standardeja kohtaan: ne eivät tunnusta saati sitten hyödynnä organisaatiorajat ylittävän yhteistyön mahdollisuuksia. Englanninkielinen tutkimusraportti esiteltiin Aalto-yliopiston tiloissa lokakuussa järjestetyssä Nordsec 2010 -konferenssissa. Paperi ja konferenssissa pidetyn alustuksen esityskalvot löytyvät tämän sivuston Esitykset-osiosta. Tutkimuksesta on kirjoitettu myös lyhyt suomenkielinen artikkeli Tietosuoja-lehden numeroon 3/2010. Artikkeli on luettavissa Tietosuoja-lehden verkkosivuilta. 23.02.2011 Suomalaisten pankkien asiakkaat verkkourkinnan kohteenaSuomalaisten pankkien asiakkaiden verkkopankkitunnuksia on jälleen yritetty kalastella. Tökerösti suomennettujen sähköpostiviestien sijaan rikolliset ovat tehneet urkintaa varten omat sivustonsa joiden ulkoasu on matkittu oikeiden verkkopankkien sivuilta. Yleensä verkkourkintaa tehdään sähköpostilla, jolloin sähköposti on englanniksi tai käännetty suomeksi jollain netin käännöskoneista, kuten Google Translatella. Varsinkin suomalaiset käännökset viesteistä ovat hyvinkin tökeröjä ja melko helposti huomattavissa väärennöksiksi. Tyypillisesti urkintasähköposteilla kysellään käyttäjän tunnuksia web-sähköpostiin tai verkkopankkiin. CERT-FI:n tietoon tulleissa tapauksissa vastaanottajan saama sähköposti kehottaa siirtymään selaimella sivustolle, mihin käyttäjän tulisi täyttää verkkopankin tunnukset. Sivustojen sisältöä on kopioitu varsinaisten verkkopankkien sivuilta ja ne voivat näyttää hyvinkin aidolta. Selaimen osoitekenttä kuitenkin paljastaa että kyseessä ei ole verkkopankin sivusto.Jos saat urkintaviestin, poista se, äläkä käy sivustolla mihin sähköpostissa viitataan. Sivusto ei välttämättä sisällä vain urkintatarkoituksessa tehtyä kaavaketta, vaan sivustolta voi saada myös haittaohjelmatartunnan. 17.02.2011 Korjaamaton haavoittuvuus MS Windows SMB-protokollassa
Tulostin- ja levyjakoon käytetystä SMB-protokollasta on löydetty haavoittuvuus. Haavoittuvuuteen ei ole saatavilla korjauspaikkausta ja siihen on olemassa hyväksikäyttömenetelmä. Microsoft Windowsin tulostin- ja levyjaon mahdollistavasta SMB-protokollasta on löydetty haavoittuvuus. Haavoittuvuuden onnistunut hyväksikäyttö saattaa mahdollistaa hyökkääjän ohjelmakoodin suorittamisen (Remote Execution) tai palvelunestotilan (Denial of Service). Hyväksikäyttömenetelmä on saatavilla julkisista lähteistä. CERT-FI on julkaissut aiheesta haavoittuvuustiedotteen. Haavoittuvuuteen ei ole saatavilla korjauspäivitystä. Microsoft on tutkinut asiaa ja pitää ohjelmakoodin suorittamisen mahdollistavan hyväksikäytön onnistumista epätodennäköisenä. Seuraava normaalin päivitysaikataulun mukainen korjauspäivitys Microsoftilta on tulossa tiistaina maaliskuun 8. päivä. Hyväksikäyttöä voi rajoittaa estämällä liikenne SMB-protokollan käyttämiin tcp- ja udp-portteihin 138, 139 ja 445. Yhteyksiä näihin portteihin ei ole ylipäänsä syytä sallia sisäverkon ulkopuolelta. 11.02.2011 www.rootkit.comin käyttäjien tietoja julkaistu
Sähköpostiosoitteita ja salasanatiivisteitä sisältävä lista on saatavilla internetissä, joukossa myös suomalaisia käyttäjiä. Käyttäjiä kehoitetaan vaihtamaan salasanansa myös muihin palveluihin. Wikileaks-tapaukseen liittyvien palvelunestohyökkäysten takana oleva Anonymous-ryhmittymä on murtautunut www.rootkit.com -sivustolle ja julkaissut sivuston yli 81 000 käyttäjän tunnukset internetissä. Julkaistujen tietojen joukossa on myös suomalaisten käyttäjien tietoja. Tiedoista käy ilmi tunnusten lisäksi mm. sähköpostiosoitteet, salasanatiivisteet, ip-osoitteet sekä muita käyttäjän syöttämiä tietoja kuten katuosoite. 08.02.2011 Ohjeita turvalliseen verkko-ostamiseen
Tietoturvapäivänä CERT-FI muistuttaa, että verkko-ostamisen riskejä voi pienentää yksinkertaisilla keinoilla. Verkkokauppojen käyttäjille suunnatussa tietoiskussa kerrotaan, että verkkokaupassa asioimisen turvallisuutta parantavat kauppiaan tunteminen ja keskinäinen luottamus, toimitus- ja maksuehtojen tarkastaminen sekä oikean maksutavan valitseminen. Periaatteessa siis pitää kiinnittää huomiota samoihin asioihin kuin tavallisissakin kaupoissa, mutta asiaa ei verkossa aina tule ajatelleeksi. Verkkokaupassa on omat niksinsä, joita voi käyttää hyväkseen ettei mene vipuun. On tärkeää, etteivät henkilökohtaiset tiedot joudu vääriin käsiin. Yhteyden verkkokauppaan tulisi olla suojattu (https) eikä esimerkiksi maksuvälinetietoja pidä lähettää sähköpostitse. Rikolliset yrittävät usein urkkia tietoja sähköpostiviesteillä. 07.02.2011 Vietämme tietoturvaviikkoa!
Yksityisyys verkossa on teemana tämän vuoden Tietoturvaviikolla, joka
alkaa tänään maanantaina 7.2.2011. Aihe on noussut ajankohtaiseksi
sosiaalisen median palvelujen käytön ja verkko-ostamisen yleistymisen
myötä. Tietoturvaviikkoa vietetään 7.—11.2.2011 ja Tietoturvapäivää Suomessa ja ympäri maailmaa tiistaina 8.2.2011. Tietoturvapäivän ja -viikon järjestävät Suomessa yli 30 valtionhallinnon organisaatiota, järjestöä ja yritystä ja sitä koordinoi Viestintävirasto. Lue lisää: www.tietoturvakoulu.fi ja www.tietoturvaopas.fi. CERT-FI Facebookissa ja Suomi24-foorumillaCERT-FI on koko helmikuun ajan aktiivinen Facebookissa. Päivystäjämme kommentoivat CERT-FI:n Facebook-sivulla ajankohtaisia tietoturva-alan uutisia ja tapahtumia.Yhdessä muiden Tietoturvaviikon yhteistyökumppaneiden kanssa olemme mukana myös Suomi24-sivuston keskusteluissa. Nimimerkki Nettiviisas kommentoi ja vastaa Fiksusti Netissä -osastolla. 02.02.2011 Egypti kytkeytyi useiksi päiviksi irti internetistä
Egyptin sisäisten levottomuuksien lisääntyessä sen internet-yhteydet maan ulkopuolelle katkaistiin 27.1. Ilmeisesti egyptiläiset operaattorit määrättiin lopettamaan liikenteen reitittäminen ulkomaille. Tänään on raportoitu yhteyksien olevan palaamassa. Yleisesti internet-yhteyksiä on rajoitettu esimerkiksi estämällä yhteydet joillekin www-sivustoille tai tiettyihin verkon palveluihin. Internet-yhteydet Egyptistä muihin maihin katkaistiin lopettamalla BGP-reittien mainostus ulkomaille. Tällöin egyptiläisten palveluntarjoajien IP-osoitteisiin kohdistuvaa ja sieltä ulkomaille suuntautuvaa liikennettä ei välitetty lainkaan. Tämän vuoksi myös .eg- ja arabiankielisen .masr-verkkotunnusten ensisijaiset juurinimipalvelimet olivat tavoittamattomissa. Aluksi muun muassa Egyptin pörssin yhteyksiä operoivan Noor Group -palveluntarjoajan yhteydet toimivat, mutta myöhemmin nekin katkaistiin. Yhteydet ovat pääosin palanneet 2.2. aamupäivän aikana. Roskapostittajat kaappasivat IP-osoitteitaKun egyptiläiset operaattorit lakkasivat mainostamasta reittejä tiettyihin osoitelohkoihin, verkkorikolliset huomasivat tilaisuutensa ja alkoivat mainostaa samoja osoitteita omista verkoistaan. Tällä tavalla he pystyivät tavallaan kaappaamaan egyptiläisten osoitteita omaan käyttöönsä esimerkiksi Yhdysvalloissa sijatseville palvelimilleen. Näitä osoitteita on käytetty Spamhaus-projektin mukaan hyväksi roskapostin välittämisessä. Yhteydet Egyptiin olivat niukkoja
Internetistä on tullut myös Lähi-idässä tärkeä tiedonvälityskanava sekä maan sisäisesti että kansainvälisesti. Yhteyksien katkettua tietoja maan tapahtumista välitettiin ulkomaille muun muassa lankapuhelimilla, satelliittipuhelimilla ja radioamatöörien yhteyksien kautta, sillä myös matkapuhelinverkkojen yhteyksiä katkottiin. Vodaphonen lausunnon mukaan Egyptin hallinto kehotti katkaisemaan matkapuhelinyhteydet täysin 28.1., ja yhteydet palautettiin 29.1. Muitakin matkapuhelinverkkojen katkoksia ilmeisesti esiintyi. Egyptin kautta välitettävissä yhteyksissä ei esiintynyt häiriötäEgypti on sijaintinsa vuoksi tärkeä kuitukaapeliyhteyksien solmukohta Aasian ja Euroopan välisissä yhteyksissä. Egyptin katkokset eivät kuitenkaan vaikuttaneet näihin yhteyksiin. |
