Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2011 > Marraskuu

Marraskuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

28.11.2011

Viime öisen tietomurron laajuus on päivän aikana tarkentunut

Tietomurron seurauksena useamman terve.fi-sivustoperheen palvelun turvallisuus vaarantui.

Viime yönä internetiin vuodetut 73000 käyttäjätunnusta ja salasanaa ovat paljastuneet useisiin terve.fi -sivustoperheen palveluihin käyviksi tunnuksiksi. Samalla tunnuksella on voinut kirjautua helistin.fi:n lisäksi myös seuraaville sivustoille: tohtori.fi, poliklinikka.fi, kimallus.fi huoltamo.com, terve24.fi, mustapippuri.fi, terkkari.fi ja verkkoklinikka.fi.

Mikäli näiden palvelujen käyttäjätunnus tai salasana on käytössä myös muissa palveluissa, on ne syytä vaihtaa välittömästi. Julkaistujen sähköpostiosoitteiden omistajien kannattaa lisäksi olla varuillaan sähköpostihuijausten varalta

28.11.2011

Tietoturvakatsaus 3B/2011

CERT-FI:n ylimääräinen katsaus varmennejärjestelmien heikkouksista on julkaistu.

Tietoturvakatsauksessa käsitellään varmennejärjestelmistä löytyneitä heikkouksia ja varmennepalveluiden tarjoajiin kohdistuneita tietoturvaloukkauksia.
Katsaus sisältää loppukäyttäjille, tietohallinnoille ja sovelluskehittäjille suunnattuja suosituksia.

28.11.2011

Lapsiperheille suunnatun verkkopalvelun käyttäjätunnuksia ja salasanoja julkaistu verkossa

Suomalaisen helistin.fi-palvelun käyttäjätunnuksia ja niihin liittyviä salasanoja on julkaistu internetissä. Julkaistussa listassa on yli 73000 tunnusta, salasanaa ja sähköpostiositetta. Tietomurron tekotapa ei ole vielä varmistunut.

Viime yönä internetissä levisi linkki tiedostoon joka sisälsi yli 73000 käyttäjätunnusta, salasanaa sekä sähköpostiosoitetta. Mikäli käyttäjätunnus tai salasana on käytössä myös muissa palveluissa, on näidenkin palveluiden turvallisuus uhattuna. Julkaistut sähköpostiosoitteet mahdollistavat lisäksi käyttäjiin kohdistuvat huijausyritykset.

CERT-FI haluaa muistuttaa verkkopalveluiden ylläpitäjiä palvelun turvallisesta ylläpidosta. Aiheesta on julkaistu erillinen ohje: Ohje 1/2011: Verkkopalvelun ohjelmistoalustan valinta ja palvelun turvallinen ylläpito.

25.11.2011

Ohje verkkopalvelun ohjelmistoalustan valinnasta ja palvelun turvallisesta ylläpidosta julkaistu

Monet tietoturvan parantamiseen tähtäävät toimet ovat tärkeitä myös palvelun yleisen toimivuuden ja luotettavuuden kannalta.

CERT-FI on julkaissut ohjeen verkkopalvelun ohjelmistoalustan valinnasta ja palvelun turvallisesta ylläpidosta. Ohje on tarkoitettu sekä valmiiden ohjelmistojen käyttäjille ja niille, jotka haluavat itse kehittää verkkosovelluksen omaan käyttöönsä.

CERT-FI kiittää OWASP:ia, Tietoturva ry:tä ja muita ohjeen kirjoittamiseen osallistuneita yhteistyöstä.

18.11.2011

Yritykset suhtautuvat luottavaisesti tietoturvaan

Suomalaiset pienet ja keskisuuret yritykset eivät koe tietoturvariskiä toiminnassaan suureksi.

Viestintäviraston syys-lokakuussa teettämään kyselyyn vastanneista yrityksistä 60 % prosenttia arvioi tietoturvariskinsä olevan pieni ja vain 4 % piti riskiä suurena. Tietoturvallisuuden kokonaiskuvan ymmärtäminen ja osaamisen taso vaihtelevat kuitenkin yrityksissä, eikä mahdollisia uhkatilanteita aina tiedosteta.

– Viime viikkojen tietovuototapaukset osoittavat, että yrityksissä on paljon tekemistä tietojen suojaamisen osaamisessa, sanoo Viestintäviraston verkot ja turvallisuus -tulosalueen johtaja Timo Lehtimäki.

Tietoa haetaan internetistä ja kumppaneilta

Kyselyssä ilmeni, että yritykset etsivät tietoturvatietoa yleisimmin internetistä ja tietoturvayrityksiltä tai muilta yhteistyökumppaneilta. Toisaalta joka viides vastaaja kertoo, että työssä on tullut vastaan tilanteita, joissa olisi tarvinnut tietoturvatietoa, mutta sitä ei ole löytynyt. Tällaiset tilanteet ovat yleensä liittyneet uuden tuotteen valintaan, koettuun tietoturvauhkaan tai asiakkaan kanssa viestimiseen tietoturvallisesti.

- Yritykset kaipaavat konkreettisia ohjeita ja valmiita ratkaisuja. Tietoturvaan ja yksityisyyden suojaan liittyvät lait on tiedostettu yrityksissä, mutta omia vastuita ja velvollisuuksia ei välttämättä tunneta. Lain tulkintaan kaivataan siis apua. Lisäksi kaivataan tietoa siitä, miten tietoturvaloukkauksen sattuessa toimitaan ja mistä saa apua, Timo Lehtimäki kertoo.

Viestintävirasto onkin käynnistänyt lokakuussa 2011 hankkeen, jolla pyritään parantamaan pk-yritysten tietoturvatietoisuutta.

Viestintävirasto teetti syys-lokakuussa 2011 Taloustutkimuksella kyselyn, jossa selvitettiin suomalaisten pk-yritysten tietoturvatietämystä sekä tarvetta ja halua vastaanottaa tietoa aiheesta. Kyselyyn vastasi 440 yritystä, jotka työllistävät 5-100 työntekijää.

17.11.2011

Internetin itsepuolustuskurssi auttaa välttämään verkkohuijauksia

CERT-FI muistuttaa, kuinka verkossa huijatuksi tulemista voi välttää.

Internetin käyttäjille suunnattu Internetin itsepuolustuskurssi -video tiivistää verkkohuijausten ja haitallisten ohjelmien välttämisen seuraaviin ohjeisiin:
• Torju: Älä lataa tiedostoa, jota et tunne
• Itsekuri: Älä asenna apuohjelmia, joiden turvallisuudesta et ole varma. Älä klikkaa Facebookissa linkkejä, jotka näyttävän liian sensaationhakuisilta.
• Väistäminen: Älä koskaan lähetä salasanoja tai tunnuslukuja sähköpostitse.
• Tarkkuus: Ole tarkkana esimerkiksi sähköpostiisi tulevien kaupusteluviestien suhteen tai nettihuutokaupoissa.
• Pessimismi: Liian hyvältä kuulostava työtarjous tai yllätysperintö on todennäköisesti huijausta.

16.11.2011

Netcar.fi-palvelun käyttäjätietoja julkaistu

Tietojen joukossa tällä kertaa käyttäjätunnus, salasana ja sähköpostiosoite

Linkki yli 12000 netcar.fi-palvelun käyttäjän tietoihin ilmestyi samalle suomalaiselle keskustelufoorumille kuin linkki sähköpostiosoitteita sisältäneeseen listaan. Innoittajana tietomurrolle ja tietojen julkaisulle toimivat ilmeisesti viime viikkojen aikana julkaistut yli 16 000 suomalaisen henkilötietoja, melkein puoli miljoonaa sähköpostiosoitetta ja tuhansia A-,N- ja O-alkuisia salasanoja sisältäneet listat. Tekijä tai tekijät ovat ainakin oman ilmoituksensa mukaan eri henkilöitä kuin näistä vastuun ottaneet tahot.

Käyttäjätiedot ovat tämänhetkisten tietojen mukaan kaikki peräisin Netcar.fi-palvelusta, eivätkä monesta eri lähteestä kuten aiemmissa lähiaikojen tietovuototapauksissa. Tiedot sisältävät käyttäjätunnuksen, salasanan ja sähköpostiosoitteen. Lisäksi palvelu, johon ne liittyvät, on tiedossa toisin kuin muissa tapauksissa. Murron tekotapa ei ole vielä varmistunut.

Salasanat oli tallennettu palveluun hyvien tietoturvakäytäntöjen vastaisesti selväkielisinä eikä ns.tiivisteinä, mikä tekee niistä suoraan hyödynnettäviä. Jos on käyttänyt muissa palveluissa samaa salasanaa kuin Netcar.fi-palvelussa, tulee näiden palveluiden salasanat vaihtaa mahdollisimman nopeasti.

14.11.2011

Vaihda salasanasi vahvempiin

Viikonlopun aikana on internetissä kiertänyt useita salasanaluetteloita. Osa listoista on ollut ilmeisesti vain pilaa, mutta on myös esitetty väitteitä, että osa listoilla julkaistuista salasanoista liittyisi viime viikolla julkaistuihin sähköpostiosoitteisiin. Salasanoja ei ole kuitenkaan ainakaan vielä yhdistetty mihinkään verkkopalveluihin, käyttäjätunnuksiin tai sähköpostiosoitteisiin

Julkaistujen sähköpostiosoitteiden joukossa on sellaisia osoitteita, joiden muodon perusteella niiden voidaan olettaa olevan peräisin keskustelufoorumien tai muiden verkkopalveluiden rekisteröintitiedoista. Todennäköisesti ne ovat peräisin sellaisista verkkopalveluista, joiden rekisteröintitiedoissa on kysytty käyttäjän sähköpostiosoitetta. Lähes kaikki rekisteröitymistä vaativat palvelut keräävät myös käyttäjän sähköpostiosoitteen. Tiedot on voitu varastaa tietomurtojen yhteydessä. Jos sähköpostilaatikonkin salasana on paljastunut, osoitetta voidaan käyttää hyväksi muidenkin palvelujen käyttäjätunnusten urkkimiseen käyttämällä hyväksi palveluihin liittyviä unohtuneen salasanan palautuspalveluja.

Ainakaan toistaiseksi ei ole tullut tietoa siitä, että listoilla esiintyneisiin salasanoihin olisi yhdistetty käyttäjätunnuksia tai sähköpostiosoitteita. Nyt on kuitenkin hyvä hetki käydä läpi ne verkkopalvelut, joihin on rekisteröitynyt, ja vaihtaa niiden salasanat.

Toimenpiteet jos tiedot ovat joutuneet sivullisten käsiin

  • Vaihda tärkeimpien käyttämiesi palvelujen salasanat
  • Selvitä, että mihin kaikkiin palveluihin olet rekisteröitynyt samalla tunnuksella, sähköpostiosoitteella tai salasanalla ja vaihda myös niiden salasanat

Listoilla paljon huonoja salasanoja

Julkaistuilla salasanalistoilla on paljon huonolaatuisia salasanoja. Monet listatuista muuten kelvollisistakin salasanoista ovat niin lyhyitä, että nykyisillä tietokoneilla niiden murtaminen on melko helppoa, jos salasanojen tarkastamiseen käytettävät, niistä lasketut tiivisteet ovat murtajan käytettävissä. Murtajilla on todennäköisesti käytössään valmiiksi laskettuja listoja salasanan ja siihen liittyvän tiivisteen yhdistelmistä.

Hyvän salasanan tunnusmerkkejä

  • hyvä salasana ei löydy sanakirjoista eikä se ole kenenkään nimi
  • huono salasana ei muutu hyväksi lisäämällä sen jatkoksi numeroita
  • hyvä salasana on riittävän pitkä (8 merkkiä on aivan liian vähän, 15 merkkiä on sopiva lähtökohta)
  • hyvää salasanaa ei ole kierrätetty eri palveluissa

Tallenna rekisteröitymistietosi

Aktiiviselle internet-käyttäjälle kertyy pian suuri määrä sellaisia palveluja, joihin täytyy rekisteröityä. Mahdollisten tietovuotojen selvittelyä ja niistä toipumista auttaa se, että tallettaa jo rekisteröitymisvaiheessa muistiin palveluun syöttämänsä tiedot. Käytännössä myös salasana on pakko kirjoittaa muistiin, jos jokaisessa palvelussa aikoo käyttää suosituksen mukaisesti eri salasanaa.

Seuraavat palvelukohtaiset rekisteröintitiedot olisi syytä tallettaa myös itselleen:
  • palvelun osoite
  • käyttäjätunnus
  • salasana (muista suojata hyvin, älä talleta koneen kiintolevylle ainakaan salaamattomana)
  • rekisteröinnissä käyttämäsi sähköpostiosoite (jos mahdollista, käytä kuhunkin palveluun yksilöllistä osoitetta)
  • tieto siitä, että onko palveluun syötetty luottokorttitietoja (verkkokaupat)
Salasanojen hallintaan on olemassa useita apuohjelmia ja palveluja. Kirjautumisen turvallisuutta voi joissakin palveluissa (esimerkiksi Gmail) parantaa ottamalla käyttöön kaksivaiheinen kirjautuminen, jossa varmistuskoodi välitetään esimerkiksi tekstiviestin avulla. Useat palvelut tunnistavat ennestään tuntemattomasta laitteesta tapahtuvat kirjautumiset ja palvelun asetuksista riippuen voivat varoittaa käyttäjää (esimerkiksi Facebook). Tällaiset toiminnallisuudet kannattaa ottaa käyttöön.

13.11.2011

Verkossa julkaistu lähes puoli miljoonaa sähköpostiosoitetta sisältävä lista

Suomalaiselle keskustelufoorumille ilmestyi eilen viesti, jossa viitattiin lähes puoli miljoonaa sähköpostiosoitetta sisältävään listaan.

Lista sisältää pelkästään sähköpostiosoitteita, joiden joukossa on mukana myös suuri määrä oletettavasti suomalaisille henkilöille kuuluvia osoitteita. CERT-FI:llä ei ole tietoa, ovatko kaikki osoitteet aitoja ja mistä lista mahdollisesti on peräisin. Tämän päivän aikana on kuitenkin tullut viitteitä siitä, että listan osoitteista ainakin osa on hankittu erilaisten keskustelufoorumien tietomurtojen kautta. Tällä hetkellä CERT-FI:n tiedossa ei ole tapaukseen liittyviä varsinaisten sähköpostipalvelujen tietomurtoja. Seuraamme tilannetta ja julkaisemme varoituksen, mikäli tilanne muuttuu vakavammaksi.
CERT-FI suosittelee tässä vaiheessa sanasanojen vaihtoa kaikkiin tärkeisiin palveluihin. CERT-FI haluaa lisäksi muistuttaa että listan käyttäminen esimerkiksi massapostitusten tekemiseen tai tietomurtoyrityksiin on laitonta. Poliisi ottaa tämän tapauksen huomioon viime viikkoisen henkilötietovuodon tutkinnan yhteydessä.

11.11.2011

Nimipalveluasetuksia muuttavat haittaohjelmat ovat olleet riesana pidemmän aikaa

Yhdysvaltain liittovaltiopoliisi FBI julkaisi tietoja Operation Ghost Click -tutkinnastaan. Tutkinnan kohteena on laajasti levinnyt tietokoneiden ja lähiverkon nimipalveluasetuksia muuttava haittaohjelma. Kyseinen haittaohjelma on häirinnyt suomalaisia jo pitkään.

Haittaohjelma on häirinnyt suomalaisia jo vuodesta 2009

Nimipalveluasetuksia muokkaavaa haittaohjelmaa on kohdattu aikaisemmin myös Suomessa. Vuonna 2009 Viestintävirasto kehoitti teleyrityksiä ryhtymään sähköisen viestinnän tietosuojalain mukaisiin toimenpiteisiin suojellakseen suomalaisia verkkopankkiasiakkaita haittaohjelmalta. Aluksi luultiin, että kyse oli pankkitunnuksien kalastelusta. Myöhemmin kuitenkin selvisi, että kyseessä oli mainossivuille ohjaava nimipalvelinasetuksia muuttava haittaohjelma. Yhdysvaltain liittovaltiopoliisi FBI ja eri kansainväliset lainvalvontaorganisaatiot ovat tehneet yhteistyötä haittaohjelmaa levittävän rikollisliigan toiminnan lakkauttamiseksi. Yhteistyön tuloksena rikollisten ylläpitämät nimipalvelimet on saatu poistettua verkosta ja tilalle on laitettu oikeita vastauksia antavat nimipalvelimet.

Tietoturva nyt! -artikkeleita vuoden 2009 tapahtumista

Aiheesta on aikaisemmin julkaistu myös Viestintäviraston lehdistötiedote ja teleoperaattoreille on lähetetty kirje liitteineen.

Haittaohjelmatartunnan havaitseminen

Rikollisten käyttämät nimipalvelimet ovat korvattu oikeita tuloksia palauttavilla nimipalvelimilla. Tämä tarkoittaa sitä, että tietokone ja lähiverkon laitteet toimivat normaalisti, vaikka tietokoneessa olisikin haittaohjelmatartunta. Haittaohjelman käyttämät nimipalvelimet poistetaan tietyn ajan kuluttua käytöstä. Kun haittaohjelman asettamat nimipalveluosoitteet lakkaavat toimimasta, muun muassa selaimet eivät löydä verkkosivuja.

Jos epäilee haittaohjelmatartuntaa, kannattaa tarkistaa tietokoneen ja lähiverkon laitteiden nimipalveluasetukset. Haittaohjelman poistaminen saastuneesta tietokoneesta on hankalaa, koska se on rootkit-tyyppinen. Varmin tapa poistaa rootkit-haittaohjelma on alustaa kovalevy ja asentaa käyttöjärjestelmä uudestaan. Lisätietoja rootkitien havaitsemisesta ja poistamisesta löytyy CERT-FI:n ohjeesta: 10 Edistyneempiä työkaluja tutkintaan.


Havaintoja suomalaisista haittaohjelmatartunnoista

Ensimmäiset tiedot DNSChanger -havainnoista on välitetty teleoperaattoreille. Tähän asti saastuneita tietokoneita tai lähiverkon laitteita on havaittu joitain satoja kappaleita. Havaintoja tulee todennäköisesti vielä lisää.

11.11.2011

Tietomurto Steam-verkkokauppaan

Valve Corporationin Steam-pelikauppaan on kohdistunut tietomurto, jossa murtautuja on päässyt käsiksi järjestelmän käyttäjätietoja sisältävään tietokantaan.

Sunnuntaina 6.11.2011 todetun Steam-foorumien töhrimisen jatkotutkimuksissa on paljastunut, että järjestelmään murtautuja on päässyt käsiksi myös käyttäjien tiedot sisältävään tietokantaan.

Palvelua ylläpitävän Valve Corporationin mukaan tietokanta sisältää asiakkaiden käyttäjätunnukset, salasanoista lasketut tiivisteet, tiedot palvelun kautta tehdyistä ostoksista, sähköpostiosoitteet, laskutusosoitteet ja salakirjoittamalla suojatut luottokorttitiedot. Toistaiseksi ei ole todettu, että sivullisten käsiin olisi joutunut käyttäjien henkilökohtaisia tietoja tai että luottokorttinumeroiden tai salasanojen salausta olisi onnistuttu murtamaan. Steam-foorumin käyttäjät joutuvat vaihtamaan salasanansa kirjautuessaan seuraavan kerran foorumille, mutta palvelun ylläpitäjä ei ainakaan vielä pakota käyttäjiä vaihtamaan varsinaisen Steam-verkkokaupan tilin salasanaa.

Varmuustoimenpiteenä kannattaa kuitenkin vaihtaa myös Steam-palvelun salasana. Varsinkin lyhyet tai helpot salasanat ovat murrettavissa siinä tapauksessa, että salasanojen tiivisteet olisivat joutuneet sivullisten käsiin. Samaa salasanaa ei tule käyttää eri palveluissa, joten jos sama salasana on ollut käytössä muissa palveluissa, kannattaa myös niiden salasanat vaihtaa. Lisäksi kannattaa seurata palveluun liittyvissä maksuissa käytettävän luottokortin tapahtumia tavallista tarkemmin.

11.11.2011

Poliisi jatkaa tietovuodon tutkintaa

Viime viikonloppuna tapahtuneen laajan tietovuodon selvittelyn painopiste on siirtynyt poliisille. Poliisi on myös julkaissut toimintaohjeita yleisölle verkkosivuillaan.

Viime viikonloppuna tapahtuneen henkilötietovuodon osalta tapauksen viranomaisselvittelyn painopiste on siirtynyt Keskusrikospoliisille. Työtehoseura, Suomen Opiskelija-Allianssi OSKU ry ja Itä-Suomen yliopisto ovat tehneet poliisille tutkintapyynnön epäillystä tietovuodosta. Poliisi selvittää edelleen muita lähteitä sekä henkilötietojen julkaisijaa.

CERT-FI kiittää kaikkia vihjeitä lähettäneitä avusta tapauksen selvittämisessä. Vihjeet ovat muun muassa auttaneet löytämään verkkopalveluita, joihin henkilötietoja oli laitettu levitykseen.

Poliisi painottaa tiedotteessaan, että henkilötietojen julkaisemisen vuoksi ei ole syytä erityiseen huoleen. Tiedotteeseen on myös kerätty muita ohjeita yleisölle. Jos epäilet tai tiedät tietojasi olevan vuodetulla listalla, katso toimintaohjeet poliisin tiedotteesta.

Henkilötietojaan ei pidä antaa sivustoille, joissa tarjotaan mahdollisuutta tarkistaa, ovatko omat tiedot julkaistujen joukossa. Mitään lisätietoja ei pidä antaa, jos listalla olleilta pyydetään jonkin tekosyyn varjolla esimerkiksi salasanoja tai pankkitunnuksia. Silloin kyseessä on todennäköisimmin huijausyritys.

10.11.2011

Nimipalvelutietoja muokkaava haittaohjelma on tarttunut myös suomalaisiin tietokoneisiin

FBI on julkaissut tietoja kaksi vuotta kestäneestä Operation Ghost Click -tutkinnastaan. FBI:n tutkimusten myötä seitsemää henkilöä syytetään haittaohjelman avulla tehdystä, internet-mainostajiin kohdistuneesta petoksesta.

Vuodesta 2007 lähtien rikollisliiga onnistui levittämään DNS changer -tyyppisen nimipalvelutietoja muokkaavan haittaohjelman noin neljään miljoonaan tietokoneeseen, jotka sijaitsivat sadassa maassa. Haittaohjelmia on havaittu myös suomalaisissa IP-osoitteissa.

Haittaohjelma ohjaa saastuneen tietokoneen tietoliikennettä

Haittaohjelma muokkaa tietokoneiden ja lähiverkon DHCP-palveluja tarjoavien laitteiden nimipalveluasetuksia. Osassa tapauksista haittaohjelma on estänyt virustorjuntaohjelmien ja käyttöjärjestelmän päivitykset, mikä vuorostaan on edistänyt muiden haittaohjelmien leviämistä. Nimipalvelun avulla tietokone löytää www-sivun IP-osoitteen. Muokkaamalla tietokoneen nimipalveluasetuksia voi käyttäjän tietoliikentee ohjata haluamaansa IP-osoitteeseen.

Haittaohjelma yrittää myös kirjautua sisäverkon DHCP-palvelimena toimiviin laitteisiin. Tälläisiä laitteita ovat muun muassa ADSL-modeemit ja langattomat tukiasemat. Haittaohjelma käyttää sisäänkirjautumisyrityksissä yleisiä oletuskäyttäjätunnuksia ja -salasanoja. Jos haittaohjelma onnistuu kirjautumaan laitteeseen, se muokkaa laitteen asetuksista nimipalvelinten IP-osoitteet osoittamaan rikollisten hallinnoimille palvelimille. Tämä saattaa aiheuttaa sen, että kaikki sisäverkossa olevat tietokoneet kysyvät nimipalvelutietoja huijareiden nimipalvelimilta.

Kun käyttäjä jolla on DNS changer -haittaohjelma tietokoneella yrittää päästä tutulle sivustolle, niin selaimen tietoliikenne ohjautuu mainoksia sisältävälle rikollisten ylläpitämälle sivustolle. Rikolliset ansaitsivat rahaa ohjaamalla käyttäjiä mainossivuille. FBI:n tiedotteen mukaan rikolliset keräsivät ainakin 14 miljoonaa dollaria huijauksen avulla.

Omien nimipalvelutietojen tarkistus

Jos epäilee laitteissaan DNS changer -haittaohjelmatartuntaa, niin kannattaa tarkistaa tietokoneen ja lähiverkon laitteiden nimipalvelutiedot. Haittaohjelman käyttämät nimipalvelimet ovat olleet seuraavissa IP-osoitealueissa:

  • 85.255.112.0 - 85.255.127.255
  • 67.210.0.0 - 67.210.15.255
  • 93.188.160.0 - 93.188.167.255
  • 77.67.83.0 - 77.67.83.255
  • 213.109.64.0 - 213.109.79.255
  • 64.28.176.0 - 64.28.191.255

Rikollisten käyttämät nimipalvelimet on korvattu oikeita vastauksia antavilla nimipalvelimilla. Näin haittaohjelman saastuttamat tietokoneet ja lähiverkon laitteet saavat nyt oikeita vastauksia nimipalvelukyselyihinsä eikä tietoliikenne ohjaudu huijaussivustoille. Tämä ei kuitenkaan poista haittaohjelmatartuntaa tietokoneelta.

08.11.2011

Mahdollisia tietovuodon lähteitä löytynyt useita

16 000 suomalaisen henkilötietoja sisältäneellä listalla on mahdollisesti useita eri lähteitä.

Työtehoseura, Suomen Opiskelija-Allianssi - Osku ry ja Itä-Suomen Yliopisto ovat vahvistaneet, että 16 000 henkilön henkilötietoja sisältävällä listalla on osittain yhteneväisyyksiä heidän rekistereidensä kanssa. Toistaiseksi ei ole löydetty sellaista lähdettä, josta kaikki tiedot olisivat peräisin. Ei ole myöskään täyttä varmuutta siitä, että kaikkien kolmen yrityksen tietojärjestelmiin olisi murtauduttu. CERT-FI on ollut yhteydessä näiden kolmen lisäksi myös alle kymmeneen muuhun mahdolliseen lähteeseen, joista osa on jo varmistanut etteivät tiedot ole heiltä.

Omien henkilötietojen etsimistä erilaisten verkkopalveluiden avulla ei suositella. Keskusrikospoliisi on julkaissut sivuillaan vuodetussa henkilötietolistassa olevat syntymäajat ja etunimet. Tämän listan avulla voi turvallisesti selvittää, löytyvätkö omat henkilötiedot listalta. Lista on myös useiden tiedotusvälineiden verkkosivuilla.

Keskusrikospoliisi tutkii tietovuotoa. Vinkkejä tai tietoja asiasta voi lähettää poliisin Nettivinkki-palvelun tai tämän Tietoturva nyt! -artikkelin kommentti-toimintoa käyttämällä. CERT-FI kiittää tähän mennessä palautetta lähettäneitä, palautetta ja vinkkejä on tullut paljon.


06.11.2011

Henkilötietovuodon lähde edelleen epäselvä

Julkisuudessa on esitetty useita arvioita henkilötietolistan lähteestä. Lopullista varmuutta asiasta ei ole vielä saatu.

Mediassa ja verkkokeskusteluissa on esitetty useita arvioita henkilötietolistan lähteestä. Tämän hetken tiedon mukaan listalla olevia henkilöitä yhdistävänä tekijöinä vaikuttaisi olevan osallistuminen erilaisiin koulutuspalveluihin. Yhdenkään tähän mennessä asiaa selvittäneen yrityksen rekisteristä ei ole kuitenkaan löytynyt kaikkia listalla olleita tietoja. Tämä on herättänyt epäilyn siitä, että kyse olisi useamman palveluntarjoajan tiedoista muodostettu lista.

Palveluntarjoajilla ei ole nimenomaista velvollisuutta ilmoittaa asiakkailleen henkilötietojen vuotamisesta. Ilmoittamatta jättäminen saattaa kuitenkin vaikuttaa palveluntarjoajan vastuuseen aiheutuneista vahingoista.

06.11.2011

Varovaisuus tärkeää henkilötietolistaa käsiteltäessä

Omia tietojaan ei kannata antaa ulkopuolisille selvittääkseen, onko joutunut tietovuodon kohteeksi.

Alkuperäinen henkilötietoja sisältävä lista poistettiin verkosta eilen. Listasta otettuja kopioita jaellaan kuitenkin edelleen. Lisäksi verkkoon on perustettu palveluita, joissa luvataan mahdollisuutta tarkastaa, onko joutunut rikoksen kohteeksi.

CERT-FI kehottaa korostettuun varovaisuuteen ja harjoittamaan korostettua lähdekritiikkiä kaikessa vuodettuun henkilötietolistaan liittyvässä.

Tapauksen synnyttämää julkisuutta saatetaan yrittää hyödyntää haittaohjelmien levittämiseen. Kannattaakin suhtautua varauksella viesteihin ja linkkeihin, joista väitetään pääsevän vuodettuja henkilötietoja sisältäviin listoihin.

Lähdekritiikki on paikallaan myös, mikäli verkosta löytyvässä palvelussa pyydetään syöttämään omia henkilötietoja. Kysymyksessä voi olla huijauspalvelu, jota käytetään annettujen tietojen varastamiseen.

CERT-FI suosittelee odottamaan viranomaisten antamia lisätietoja ja mahdollista palveluntarjoajan yhteydenottoa. Yhteydenottojen aitoudesta tulee pyrkiä varmistumaan.

05.11.2011

Suomalaisten henkilötietoja sisältänyt lista poistettu verkosta

Henkilötietoja sisältävä alkuperäinen lista on poistettu verkosta

Suomalaiselle keskustelufoorumille jätettiin tänään viesti, johon oli linkitetty 16 000 suomalaisen henkilötietoja sisältävä lista. Alkuperäinen lista on nyt poistettu verkosta. Poliisi on aloittanut tapauksen tutkinnan.

Toistaiseksi ei ole selvyyttä siitä, mistä tiedot ovat peräisin tai millaisin menetelmin ne on hankittu. Listan levittäminen ja henkilötietojen väärinkäyttäminen voi täyttää rikoksen tunnusmerkistön.

05.11.2011

Yli 16 000 suomalaisen henkilötietoja sisältävä lista vuotanut

Suomalaiselle keskustelufoorumille tänään hieman puolenpäivän jälkeen jätetyn viestin mukaan lista sisältää noin 16 000 suomalaisen henkilötietoja.

Listalla on nimet, henkilötunnukset, kotiosoitteet, puhelinnumerot, sähköpostiosoitteet ja luonnehdinta henkilön edustamasta organisaatiosta. CERT-FI on saanut tapauksen johdost lukuisia yhteydenottoja. Tapauksen ratkaisemisen kannalta tärkeimmät tahot kotimaassa ja ulkomailla on jo informoitu.

Tässä vaiheessa on vielä selvittämättä, ovatko tiedot aitoja ja mistä ne on hankittu. Myöskään ei ole tietoa tietomurron tekotavasta tai sen mahdollistaneesta tietoturvaongelmasta.

CERT-FI kiittää jo tässä vaiheessa kaikista saamistaan vihjeistä ja neuvoista. Tapauksen selvittämisessä auttavat vinkit kannattaa lähettää klikkaamalla tämän Tietoturva nyt! -artikkelin kommentoi-nappulaa. Tässä vaiheessa emme valitettavasti pysty vastaamaan kaikille yhteyttä ottaneille.

04.11.2011

Windows-käyttöjärjestelmän ytimessä haavoittuvuus

Windowsin ytimen korjaamatonta haavoittuvuutta on käytetty hyväksi Duqu-haittaohjelman tartuttamisessa.

Microsoft on julkaissut tiedotteen TrueType-kirjasinten käsittelyssä olevasta haavoittuvuudesta, joka mahdollistaa käyttäjäoikeuksien korottamisen pääkäyttäjäoikeuksiksi. Haavoittuvuutta on hyväksikäytetty Duqu-nimisen haittaohjelman tartuttamisessa kohdekoneille. Haavoittuvuuteen ei ole saatavilla korjauspäivitystä. Haavoittuvuuden vaikutuksia on kuitenkin mahdollista rajoittaa erilaisin keinoin. Microsoft on julkaissut komentorivityökalujen avulla toimivat rajoituskeinot, sekä tarkoitusta varten tehdyn FixIt-työkalun.

Duqu-haittaohjelmasta on joidenkin tietoturvatutkijoiden mukaan löytynyt samankaltaisuuksia Stuxnet-haittaohjelman kanssa. Duqussa ei kuitenkaan ole teollisuusautomaatioon liittyviä toiminnallisuuksia, vaan se on perinteisempi tietoja varastava haittaohjelma. Suomesta ei ole CERT-FI:n tietojen mukaan löytynyt Duqu-tartuntoja.