Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2011 > Maaliskuu

Maaliskuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

25.03.2011

Tiedot suomalaisista Rustock- ja SpyEye-tartunnoista lähetetty operaattoreille

Rustock-bottiverkon alasajon yhteydessä on saatu tietoja myös siihen kuuluneista tietokoneista. CERT-FI:n tietoon on tullut yli kahden tuhannen bottiverkkoon liitetyn suomalaisen tietokoneen IP-osoitteet. Sen lisäksi monet ovat joutuneet tietoja vakoilevan SpyEye-haittaohjelman uhreiksi.

Rustock-bottiverkko on pahamaineinen roskapostittajien käyttämä kaapattujen koneiden verkko. Maailmanlaajuisesti Rustockin on arvioitu olevan jopa yli miljoonan koneen ongelma. Rustock-verkon käyttämät komentopalvelimet ajettiin alas viime viikolla. Rustock-bottiverkkoon kuuluneiden suomalaisten koneiden tiedot on tänään toimitettu internet-operaattoreille. Rustockin tartuttamia koneita oli yhteensä yli 2000 Suomessa. Myös tiedot SpyEye-vakoiluohjelman tartuttamista tietokoneista on toimitettu operaattoreille. SpyEye-tartuntoja puolestaan oli hieman yli muutamassa sadassa suomalaisessa koneessa.

CERT-FI lähettää luotetuilta yhteistyökumppaneiltaan saamansa tiedot ensisijaisesti internet-operaattoreille ja verkkojen omistajille. Nyt raportoidut määrät voivat vaikuttaa erityisesti Rustock-bottiverkon osalta positiivisesti Suomen näkyvyyteen roskapostitilastoissa. Maailmanlaajuisesti roskapostin määrässä onkin jo nähtävillä merkittävä muutos alaspäin.

24.03.2011

Vääriä SSL-varmenteita luotu käyttäen varastettuja käyttäjätietoja

Tietoturvayhtiö Comodon eurooppalainen yhteistyökumppani on myöntänyt yhdeksän väärää varmennetta. Varmenteet on luotu käyttäen varastettua käyttäjätunnusta ja salasanaa. Ohjelmistovalmistajat ovat julkaisseet päivitysversiot ohjelmistoistaan joissa varmenteet on mitätöity.

Comodo on julkaissut tiedotteen jossa kerrotaan sen tytäryhtiön joutuneen verkkohyökkäyksen kohteeksi. Hyökkääjä onnistui varastetun salasanan avulla myöntämään itselleen yhdeksän väärää SSL-varmennetta. SSL-varmenteet myönnettiin seuraaviin seitsemään verkkopalveluun: mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com ja "global trustee".

SSL-varmenteet ovat yleisesti käytössä etenkin salatussa www-liikenteessä. Väärennettyjen varmenteiden avulla hyökkääjä voi esiintyä palveluntarjoajana tai purkaa SSL-salatun tietoliikenteen niin sanotun man-in-the-middle -hyökkäyksen avulla. Jos hyökkääjä onnistuu ohjaamaan esimerkiksi www-liikenteen omalle palvelimelleen, hän voi väärennettyjen varmenteiden avulla varastaa palveluihin kirjautuvien henkilöiden käyttäjätunnukset ja salasanat. Comodon tiedotteen mukaan ainoastaan login.yahoo.com -palveluun myönnettyä varmennetta on todistettavasti käytetty hyväksi.

Hyökkäyksen paljastuttua Comodo on mitätöinyt kaikki väärät varmenteet sulkulistan avulla. Mitätöinti estää varmenteiden käytön esim. www-selailun yhteydessä. Mitätöinti onnistuu, jos sulkulistat tavoittavat kaikki ne ohjelmistot, jotka luottavat Comodon myöntämiin varmenteisiin. Useat ohjelmistovalmistajat, kuten Mozilla ja Microsoft ovat julkaisseet ohjelmistoistaan uudet versiot, joissa väärät varmenteet ovat valmiiksi mitätöity.

22.03.2011

RSA-tietoturvayhtiön SecurID-tuotteiden tietoja paljastunut tietomurrossa

Yhdysvaltalainen yritys RSA on joutunut tietomurron kohteeksi. Tietomurron tekijät ovat onnistuneet anastamaan SecurID-tuotteisiin liittyviä tietoja. Tietomurron takia SecurID-tuotteita käyttävien organisaatioiden tulisi kiinnittää erityistä huomiota tuotteiden käytön ohjeistamiseen ja seurantaan.

RSA on kertonut avoimessa kirjeessä joutuneensa tietomurron kohteeksi. Tietomurron seurauksena yhtiöltä on varastettu tietoja, joilla voi olla merkitystä SecurID-tuotteiden turvallisuuden kannalta. SecurID-tuotteita käytetään muun muassa vahvaan käyttäjän tunnistamiseen organisaatioiden käyttäjilleen tarjoamiin palveluihin. RSA ei ole julkistanut tarkkoja tietoja siitä mitä tietoja hyökkääjät ovat varastaneet.

Koska tarkkaa tietoa tietomurron vaikutuksista RSA:n asiakkaisiin ei ole, tulee kiinnittää erityistä huomiota SecurID PIN-koodien turvallisuuteen. SecurID:n käyttö ilman PIN-koodia on mahdollista mutta ei suositeltavaa. Niissä organisaatioissa, joissa PIN-koodi ei ole käytössä, tulisi harkita PIN-koodin käyttöönottoa. Ylläpitäjien on lisäksi suositeltavaa ottaa käyttöön SecurID Lockout Policy, millä estetään PIN-koodien arvaaminen loputtomiin. RSA suosittelee 8-merkkistä PIN-koodia sekä käyttäjätilin lukitsemista kolmen epäonnistuneen yrityksen jälkeen. SecurID-palvelimen lokitietoja tarkkailemalla voi havaita murtoyritykset.

RSA on tiedottanut tietomurrosta myös suoraan omille asiakkailleen. Asiakkaiden kannattaakin seurata yhtiön lähettämiä tiedotteita. Jos on syytä epäillä että PIN-koodi on joutunut vääriin käsiin, tulee se vaihtaa välittömästi. PIN-koodiin tulee suhtautua kuin salasanaan eikä samaa koodia tule käyttää kuin yhteen paikkaan. PIN-koodin turvallisuudesta tulee pitää huolta erityisesti sen takia, että tietomurron kohteeksi on voinut joutua tietoja, joiden avulla SecurID-avaingeneraattorin luomia lyhytikäisiä ja kertakäyttöisiä salasanoja on mahdollista arvata.


18.03.2011

Bottiverkko Rustock ajettu alas

Kaapattujen koneiden roskapostia lähettävä bottiverkko Rustock on ajettu alas Microsoftin koordinoimassa operaatiossa. Arvioiden mukaan Rustock kykeni lähettämään päivittäin jopa 30 miljoonaa roskapostia.

Ohjelmistoyhtiö Microsoftin ja yhdysvaltalaisten poliisiviranomaisten yhteisessä projektissa bottiverkko Rustock ajettiin alas. Operaatiossa takavarikoitiin tietokonelaitteistoa useiden eri palveluntarjoajien tiloista jatkotutkimuksia varten. Takavarikointien lisäksi operaattorit estivät liikennöinnin komentopalvelinten IP-osoitteisiin ettei saastuneille koneille voitaisi antaa uusia komentoja kuten tietoa uusista komentopalvelimista. Arvioiden mukaan Rustock-bottiverkossa voi olla jopa miljoona saastunutta konetta.

Vuoden 2008 lopulla muun muassa Rustock-bottiverkon komentopalvelimien palveluntarjoaja McColo ajettiin alas, minkä seurauksena myös Rustock oli hetken ahtaalla. Silloin roskapostin määrä maailmassa tippui joidenkin arvioiden mukaan 50-75%. Bottiverkko kuitenkin toipui ja roskapostin määrä nousi nopeasti entiselleen. Palveluntarjoajalla oli myös muiden bottiverkkojen, kuten Srizbin, Asproxin ja Mega-D:n komentopalvelimia.