Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2011 > Kesäkuu

Kesäkuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

29.06.2011

Uusia tietomurroissa varastettuja käyttäjätietoja julkaistu

Viime aikoina julkisuutta saaneet tietomurrot ovat vaikuttaneet myös suomalaisten käyttäjien tietoturvallisuuteen. Palveluiden tietomurrot ja tunnuslistojen vuodot ovat muodostuneet jo arkipäiväisiksi.

Lulz Security -nimellä toiminut ryhmittymä ilmoitti viime viikolla lopettavansa toimintansa ja julkaisi samalla suuren määrän tietomurroissa hankittuja tietoja. Julkaistut tiedot sisältävät myös suomalaisia sähköpostiosoitteita, käyttäjätunnuksia ja salasanoja. CERT-FI on parhaillaan ottamassa yhteyttä näihin suomalaisiin palveluntarjoajiin.

CERT-FI:lle on raportoitu myös tietovuoto, joka koskee Microsoftin sähköpostipalvelujen tunnuksia. Runsaat 6000 hotmail.com- ja live.com-kirjautumistietoa sisältävä internetissä julkaistu lista näyttää sisältävän lähinnä suomalaisten käyttäjien osoitteita. CERT-FI on saattanut tapauksen Microsoftin tietoon.

Suuria käyttäjämääriä sisältäviin palveluihin kohdistuneista tietomurroista on raportoitu viime kuukausina huomattavan usein. Tietomurroilla hankittuja tunnuksia käytetään muun muassa huijauksissa ja käyttäjien muiden palveluiden tunnustietojen hankintaan. Samoja käyttäjätunnuksia ja salasanoja kokeillaan useampiin palveluihin. Kirjautumistiedot sähköpostipalveluihin ovat erityisen haluttuja, sillä sähköpostit sisältävät usein henkilökohtaisten tietojen lisäksi maksuvälinetietoja ja muita kirjautumistietoja. Lisäksi eri palveluiden "unohdin salasanani" -toimintojen avulla voi lähettää sähköpostiin linkin, jolla näidenkin palvelujen tunnukset saadaan kaapattua.

Keskustelupalstoilla on viitteitä kaapattujen sähköpostitunnusten kokeilusta ja hyökkäyksen kohteeksi joutuneiden käyttäjien sähköpostitilien sisällön levittämisestä. CERT-FI haluaa muistuttaa, että verkosta löydettyjen kirjautumistietojen käyttö voi olla tietomurto, viestintäsalaisuuden loukkaus tai jokin muu rikoslain nojalla rangaistava teko.

Tietovuotojen arkipäiväistyminen korostaa ennestään käyttäjien vastuuta palvelukohtaisten salasanojen käytössä. Käyttäjät tavallisesti kokevat hankalaksi muistaa suurta määrää salasanoja. Salasanojen hallintaan on kuitenkin hyviä menetelmiä, kuten erilaisia salasananhallintaohjelmistoja ja salasanojen muodostamiseen käytettyjä muistisääntöjä, joissa jokin osa salasanasta voi määräytyä käytetyn palvelun mukaan. Muistisääntöjä käyttäen palvelukohtaisten salasanojen osia voi kirjoittaa mukana kuljetettavalle muistilapulle. Täydellistä salasanalistaa voi säilyttää erikseen suojattuna turvallisessa paikassa.


Erittäin tärkeää on käyttää työpaikan ja vapaa-ajan palveluissa eri salasanoja. Sähköpostipalveluissa käytettävien salasanojen tulisi erota muista keskustelu- ja asiointipalveluista.

22.06.2011

Tavoitteelliset tietoturvaloukkaukset lisääntyneet

Viime aikoina on tapahtunut paljon tietoturvaloukkauksia, jotka ovat saaneet myös poikkeuksellisen paljon julkisuutta. Tapahtumissa on nähtävissä järjestelmällisen verkkoaktivismin piirteitä. Onnistuneiden tietomurtojen määrä ja julkisuus kertovat siitä, ettei organisaatioissa ole varauduttu riittävästi tietoturvauhkiin.

Viime kuukausina monet suuret ja tunnetut yritykset ja organisaatiot ovat joutuneet tietovarkauksien kohteeksi. Murrot ovat myös saaneet paljon julkisuutta ja niiden tekijätkin ovat usein ilmoittautuneet, tosin nimettöminä.

Esimeriksi Sonyn Playstation Network -palvelua vastaan tehdyssä tietomurrossa varastettiin yli sadan miljoonan käyttäjän tiedot. Tietoturvayhtiö RSA:n palvelimella oli varastoituna ja murtautujan saatavilla asiakkaiden kirjautumiseen käyttämät availukugeneraattorit yksilöiviä tietoja. Useiden eri pankkien, valtionhallinnon ja terveydenhoidon palveluihin on murtauduttu ja tietoja julkaistu internetissä.

Tuudittaudutaanko turvallisuuteen?

Yleisesti näyttää siltä, että monet tietomurtojen kohteista ovat olleet sellaisia, joiden olisi voinut olettaa pystyvän vastustamaan hyökkäyksiä. Suurten yritysten, virastojen ja jopa pankkien tietojärjestelmistä on pystytty varastamaan suuria määriä arkaluontoista tietoa esimerkiksi SQL injection -tyyppisten hyökkäysten avulla tai päivittämättömien palvelinohjelmistojen tai käyttöjärjestelmien sisältämiä haavoittuvuuksia hyödyntämällä.

Uutisista, yritysten tiedotteista ja murtautujien julkaisemista tiedoista voi päätellä, ettei tietoturvallisuutta ole aina riittävästi huomioitu järjestelmiä suunniteltaessa, toteutettaessa ja ylläpidettäessä. Esimerkiksi palveluissa käytettävät asiakastiedot näyttävät usein olevan salaamattomina palvelimen tietokannoissa. Joistakin palveluista murtautujalle on tarjolla jopa salasanat selväkielisinä tai salasanasta tallennettu tiiviste, jonka perusteella suuri osa salasanoista on helposti murrettavissa.

Tietojen suojaamiseen on panostettava

Suuri osa julkisuuteen tulleista tietovarkauksista olisi todennäköisesti voitu estää toimimalla tunnettujen hyvien suunnittelu- ja ylläpitokäytäntöjen mukaisesti. Tietojärjestelmiä suunniteltaessa tulee tietovarastot suunnitella siten, ettei julkiseen internetiin avoimen käyttöliittymän kautta pääse käsiksi arkaluontoisiin tietoihin tai hallintakäyttöliittymiin. Tiedot tulee säilyttää ja välittää salakirjoitetussa muodossa aina kun se on mahdollista.

Käyttöliittymän syötteentarkistuksesta huolehtiminen on jokaisen internetissä toimivan palvelun perusasioita. Osassa tietomurroista on murron kohteessa lyöty laimin jopa haavoittuneiden palvelinohjelmistojen päivittäminen tai järjestelmän toiminnan riittävä seuraaminen. Seuraamalla palvelimelle suuntautuvaa liikennettä lokitiedoista murtautumisyritykset olisivat voineet olla havaittavissa aikaisemmassa vaiheessa, jolloin lisävahingoilta olisi voitu välttyä.

Samalla kun verkon kautta tavoitettavien palvelujen ja tietojen määrä lisääntyy, kasvaa myös palvelujen suunnittelijoiden ja ylläpitäjien vastuu tietojen säilyttämisestä ja palvelujen toimivuudesta. Organisaatioiden tietohallinnoissa tämä haaste on otettava vakavasti ja varsinkin internetiin yhteydessä olevien palvelujen riskianalyysi tehtävä huolellisesti.

Tavoitteellista toimintaa

Näyttää siltä, että tietovarkauksia suunnitellaan ja toteutetaan järjestelmällisesti ja pitkäjänteisesti. Murtautujat ovat esimerkiksi kertoneet, että varsinainen tietomurto on toteutettu ja luvaton pääsy järjestelmään varmistettu jopa kuukausia ennen varastettujen tietojen julkaisemista tai hyödyntämistä. Silmätikuksi otettujen kohteiden eri palveluja testataan järjestelmällisesti ja löydettyjä heikkouksia käytetään nopeasti hyväksi. Haltuun saatuja salasanojen tiivisteitä voidaan laskea "auki" pitkiäkin aikoja.

Salasanoja ja muita arkaluontoisia tietoja pyritään edelleen hankkimaan myös kohdistettujen hyökkäysten avulla. Tällöin lähetetään aidon näköisiä viestejä rajatulle vastaanottajajoukolle ja liitetään mukaan tietoja varastavia haittaohjelmia.

Tietomurtojen motiivina näyttää olevan perinteisen taloudellisen hyödyn tavoittelun lisäksi julkisuus tai suoranainen anarkismi. On esitetty, että Sonyn eri palveluja ja palvelimia vastaan tapahtuneiden hyökkäysten motiivina olisi ollut Sonyn päätös muuttaa myymiensä PlayStation-laitteiden ominaisuuksia. Erityisesti palvelunestohyökkäyksiä organisoineen Anonymous-ryhmittymän motiivit näyttävät olevan poliittisia ja liittyvän etupäässä WikiLeaks-organisaation toimintaan.

Verkkohyökkäyksistä on tullut varsinkin nuorille entistä hyväksyttävämmältä tuntuva kansalaistottelemattomuuden tai aktivismin muoto, jota ei mielletä rikolliseksi toiminnaksi. Kiinni jäämisen riskiä pidetään myös vähäisenä.

Toistaiseksi suurin osa hyökkäyksistä on kohdistunut Suomen ulkopuolelle.

Riittävän vaikeat salasanat ovat verkon käyttäjän suoja

Tavallisilla internetin käyttäjillä ei ole itse kovin paljon mahdollisuuksia arvioida käyttämiensä palvelujen turvallisuutta. Mitä suurempi ja tunnetumpi yritys tai organisaatio on kyseessä, sitä luottavaisempia käyttäjät ovat sen suhteen, että palvelu on toteutettu turvallisesti.

Käyttäjät voivat parantaa omaa turvallisuuttaan lähinnä valitsemalla yksilölliset, riittävän vaikeat salasanat kuhunkin käyttämäänsä palveluun. Koska verkkopalveluita on todella paljon ja yleisesti käytettävä kertakirjautumisratkaisu puuttuu, on tämä kuitenkin hankalasti toteutettava tavoite. Palveluihin kannattaa myös syöttää vain välttämättömät tiedot. Epäilyttävään palveluun rekisteröityminen kannattaa jättää kokonaan tekemättä.

Yritysten työntekijöiden tulisi myös aina ilmoittaa yrityksen tai yhteisön tietoturvasta vastaaville epäilyttävistä viesteistä tai tietojärjestelmien odottamattomasta toiminnasta.


20.06.2011

CERT-FI:n puhelinnumero toimii taas

Asiakaspalvelunumero 09 6966 510 toimii taas.

Puhelinpalvelun vika on korjattu. Asiakaspalvelu vastaa numerosta virka-aikana. Virka-ajan ulkopuolisen yhteydenottopyynnön mahdollistavan viestin jättäminen on edelleen epäkunnossa. Päivystäjän tavoittaa virka-ajan ulkopuolella sähköpostitse.

17.06.2011

CERT-FI:n puhelinnumerossa vikaa

CERT-FI:n asiakaspalvelunumerossa 09 6966 510 on vikaa. Soittajalle tulee ilmoitus "numero ei ole käytössä".

Siihen saakka kun vika on korjattu, CERT-FI:n tavoittaa virka-aikana viestintäviraston vaihteen kautta puhelinnumerosta 09 69661 ja virka-ajan jälkeen sähköpostitse osoitteesta cert@ficora.fi.

10.06.2011

CERT-FI varoitus 2/2011 julkaistu RSA:n tietomurron johdosta

CERT-FI julkaisi tänään vuoden 2011 toisen varoituksen. Varoituksen aiheena on maaliskuussa tapahtunut RSA:han kohdistunut tietomurto, jonka yhteydessä varastettiin tärkeitä SecurID-todentautumisjärjestelmään liittyviä tietoja.

Tietomurron suorittanut taho kykenee ennustamaan avainlukugeneraattorien tuottamat kertakäyttöavaimet. Kuluvalla viikolla on julkisuuteen tullut tietoja, joiden perusteella on syytä epäillä tietoja hyödynnetyn niin kutsutuissa kohdistetuissa hyökkäyksissä yhdysvaltalaisiin puolustusteollisuuden yrityksiin.

Tiedottamisessaan korostetun niukkaa linjaa ylläpitänyt RSA on luvannut, että se vaihtaa kaikki avainlukugeneraattorit uusiin. Operaation aikataulusta ei ole toistaiseksi tietoa.

Koska avainlukugeneraattorien vaihtaminen vaatii käyttäjäorganisaatioilta konkreettisia tietoturvatoimenpiteitä, on varoituksen julkaiseminen arviomme mukaan tässä vaiheessa perusteltua. Tietojemme mukaan SecurID-ratkaisuja käyttävät organisaatiot eivät ole yleisesti ryhtyneet lisävahinkoja rajaaviin tai havainnointikykyä tehostaviin toimenpiteisiin. Julkaisemalla varoituksen haluamme korostaa uhan vakavuutta ja kehottaa organisaatioita tarkistamaan kantaansa.

CERT-FI on julkaissut aiheesta kaksi Tietoturva nyt! -artikkelia (22.3. ja 7.6.)

07.06.2011

RSA:lta varastettuja tietoja käytetty tietomurrossa, RSA vaihtaa SecurID:t uusiin

RSA aikoo vaihtaa miltei kaikki käytössä olevat SecurID-avainlukugeneraattorit uusiin. Taustalla on tietomurron yritys Lockheed-Martin yhtiöön, missä käytettiin hyväksi RSA:lta varastettuja tietoja.

Maaliskuussa tietoturvayhtiö RSA ilmoitti joutuneensa tietomurron kohteeksi, ja että tietomurron tekijät saivat haltuunsa SecurID-tuotteisiin liittyviä tietoja. RSA ei ole toistaiseksi kertonut tarkalleen mitä tietoja varkaat saivat varastettua. Toukokuun lopulla yhdysvaltalainen puolustusteollisuuden yritys Lockheed-Martin ilmoitti torjuneensa tietomurron, jossa murtautumisen apuna käytettiin SecurID-teknologiaa.

RSA on nyt vahvistanut, että tietomurron yrityksen apuna on käytetty tietoja, joita RSA:lta varastettiin maaliskuisessa tietomurrossa. RSA on ilmoittanut, että se aikoo vaihtaa miltei kaikki käytössä olevat SecurID-laitteet uusiin. Maailmanlaajuisesti SecurID-tuotteita on noin 40 miljoonalla käyttäjällä.

SecurID-tunnistaminen perustuu vaihtuviin avainlukuihin


SecurID-avainlukugeneraattoreita (ns. token) käytetään vahvaan tunnistamiseen organisaatioiden palveluihin. Laite luo uuden numerosarjan esimerkiksi kerran minuutissa. Kirjautuakseen SecurID:llä suojattuun järjestelmään käyttäjän täytyy tietää käyttäjätunnus, salasana (PIN-koodi) ja vaihtuva generaattorin näyttämä numerosarja.

Avainlukugeneraattorin satunnaiselta näyttävät numerosarjat luodaan RSA:n algoritmilla. Sarjojen luomiseen käytetään yksilöllistä siemenlukua. Siemenluku puolestaan on yhdistetty käyttäjätiliin, jolloin myös palvelinpäässä voidaan luoda tiliin liittyvä avainluku tunnistautumista varten. Jos siemenluvut ovat joutuneet sivullisten haltuun, voidaan laitteiden näyttämät avainluvut laskea myös ilman SecurID-laitetta.

Käytännössä SecurID:llä suojattuun järjestelmään tarvitaan vaihtuvan avainluvun lisäksi edelleen normaali kirjautumistunnus sekä käyttäjän henkilökohtainen salasana (PIN-koodi). Nämä tiedot on mahdollista saada tietoonsa esimerkiksi urkintasähköpostien tai tietoja varastavien haittaohjelmien avulla.

01.06.2011

Vale-virustorjuntaohjelmisto MacDefenderin tunnisteet OS X -käyttöjärjestelmään

Applen OS X:n turvallisuuspäivitys 2011-003 lisää käyttöjärjestelmään suojan MacDefender-haittaohjelmaa vastaan. MacDefender -niminen haittaohjelma on niin sanottu rogue av -haittaohjelma, joka näyttää päälle päin normaalilta virustorjuntaohjelmistolta. Päivitykset voi asentaa automaattisesti.

Apple OS X:n turvallisuuspäivitys 2011-003 on lisännyt käyttöjärjestelmän turvallisuusmekanismeihin MacDefender -haittaohjelman torjumiseksi ja poistamiseksi tehtyjä toimintoja. MacDefender on haittaohjelma, joka näyttää virustorjuntaohjelmistolta. Se tunnetaan myös nimillä MacProtector ja MacSecurity. Haittaohjelman tarkoituksena on varastaa käyttäjän luottokorttitunnukset. On myös olemassa oikea virustorjuntaohjelmisto nimeltä MacDefender, josta väärennetyn version ulkoasu on matkittu. Se voi olla yhtenä syynä sille, miksi haittaohjelmaa on asennettu niin paljon.

Windowsin käyttäjien koneiden tartuttamiseksi on jo usean vuoden ajan ollut olemassa vastaavanlaisia haittaohjelmia. Ilmiö tunnetaan maailmalla nimellä "rogue av". Nämä haitalliset virustorjuntaohjelmistot leviävät yleensä murrettujen web-sivustojen tai haitallisten web-sivujen mainosten kautta. Kun käyttäjä saa varoituksen, että tietokone voi olla vaarassa, tätä pyydetään klikkaamaan linkkiä, jonka kautta saa asennettua "virustorjuntaohjelmiston". Ohjelma onkin todellisuudessa tietoja varastava haittaohjelma.

Päivitykset on saatavilla Mac OS X:n 10.6.7- ja Mac OS X Server 10.6.7 -versioille. Jos päivitystä ei ole mahdollista asentaa, voi toimia Applen englanninkielisten ohjeiden mukaisesti haittaohjelman poistamiseksi koneesta.