Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2011 > Joulukuu

Joulukuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

30.12.2011

Uusi 2G-verkkojen salauksen heikkouksien hyväksikäyttötapa

Uusi hyväksikäyttötapa huijaa 2G-verkkoa luulemaan hyökkääjän liittymää uhrin littymäksi.

GSM-verkoissa tukiaseman ja puhelimen välisen liikenteen salauksessa käytössä olevan A5/1-salausmenetelmän heikkoudet ovat olleet tiedossa jo usean vuoden ajan. Salauksen murtamiseen ja puheluiden sekä tekstiviestien salakuunteluun on julkistettu työkaluja. Salauksen murtaminen tapahtuu selvittämällä tietyn ajan voimassaoleva ns. sessionavain.

Saksalaiset tietoturvatutkijat julkaisivat uuden hyväksikäyttötavan murretulle sessioavaimelle. Avainta voidaan käyttää huijaamalla 2G-verkkoa luulemaan hyökkääjän liittymää uhrin liittymäksi, jolloin uhrille suunnatut puhelut ja tekstiviestit ohjautuvat hyökkääjän puhelimeen ja hänen puhelimestaan soitetut puhelut ja lähetetyt tekstiviestit näyttävät tulevan uhrin numerosta. Tähän hyökkäykseen pätevät samat lainalaisuudet kuin puheluiden tai tekstiviestien salakuunteluun: se vaatii hyvää GSM-tekniikan ja työkalujen tuntemista ja uhrin seuraamista.

Suomalaiset operaattorit eivät ole tekemässä omiin 2G-verkkoihinsa niiden turvallisuutta parantavia muutoksia, vaan pitävät siirtymistä 3G-verkkoihin riittävänä. 3G- tai uusissa 4G-verkoissa salakuuntelu ei ole nykyisin tiedossa olevilla menetelmillä mahdollista.

30.12.2011

Kaikkien Stratforin asiakkaiden tiedot julki

Loputkin Stratforin tietomurron yhteydessä anastetuista asiakastiedoista on julkaistu internetissä.

Kaikki amerikkalaisen turvallisuusyhtiö Stratforin tietomurron yhteydessä anastetut henkilötiedot ovat päätyneet internetiin. Tietojen joukossa on useiden satojen suomalaisten asiakkaiden tietoja sekä lähes sadan suomalaisen asiakkaan luottokorttitiedot.

Anastetut luottokorttitiedot on välitetty luottokorttiyhtiöille väärinkäytösten estämiseksi.

29.12.2011

Palvelunestohaavoittuvuus useissa www-sovelluskielissä

Useista www-sovellusten tekemiseen käytetyistä ohjelmointialustoista ja -kielistä on löytynyt palvelunestohaavoittuvuus. Moniin kieliin ei ole vielä saatavilla korjauspäivitystä.

Saksalaiset tietoturvatutkijat ovat julkistaneet löytämänsä haavoittuvuuden, joka koskee useimpia www-sovellusten tekemiseen käytettyjä ohjelmointikieliä ja -alustoja. Käyttääkseen hyväksi haavoittuvuutta hyökkääjä voi lähettää www-sovellukselle erityisesti muotoillun HTTP POST -pyynnön, joka kuluttaa huomattavasti palvelimen resursseja ja aiheuttaa palvelunestotilan. CERT-FI on julkaissut asiasta haavoittuvuustiedotteen.

Microsoft on ilmoittanut julkaisevansa haavoittuvuuteen korjauspäivityksen vielä tänään, normaalin päivitysaikataulun ulkopuolella.

27.12.2011

Stratforin tietomurrossa vuodettu myös suomalaisten tietoja

Amerikkalaisen turvallisuusyhtiö Stratforin tietomurron yhteydessä on anastettu myös suomalaisten asiakkaiden tietoja. Tietoja on julkaistu internetissä.

Amerikkalaisen turvallisuusyhtiö Stratforin järjestelmiin on murtauduttu ja sieltä on anastettu suuri määrä asiakkaiden tietoja. Anastettujen tietojen joukossa on myös luottokorttitietoja. Suuri osa asiakkaiden tiedoista, mukaan lukien luottokorttitiedot, on julkaistu internetissä.

Anastettujen tietojen joukossa on myös useiden kymmenien suomalaisten tietoja. Stratforin asiakkaiden tulee seurata luottokorttiensa käyttötietoja erityisen tarkasti ja olla tarvittaessa yhteydessä luottokorttiyhtiöönsä väärinkäytösten estämiseksi.

Julkaistujen luottokorttitietojen hyväksikäyttäminen on rikos. Poliisi tutkii tapausta.

21.12.2011

Mozilla julkaisi uudet versiot ohjelmistoistaan

Mozilla on julkaissut uudet versiot Firefox-, Thunderbird- ja Seamonkey-ohjelmistoista.

Ohjelmistopäivityksen myötä Firefox-selain sekä Thunderbird-sähköpostiohjelma siirtyivät versioon 9.0 ja Seamonkey internet-ohjelmistopaketti versioon 2.6. Päivitys korjaa kuusi haavoittuvuutta ohjelmistoissa. Haavoittuvuuksista neljä on luokiteltu kriittiseksi. Ohjelmistot kannattaa päivittää uusimpaan versioon valmistajan ohjeiden mukaisesti. Lisätietoja haavoittuvuuksista löytyy CERT-FI:n haavoittuvuustiedotteesta ja Mozillan kotisivuilta.

19.12.2011

Facebook-aikajana voi paljastaa yksityiseksi tarkoitettuja viestejä

Facebookin käyttäjäprofiilin päivitys saattaa tuoda esiin käyttäjien välisiä, yksityiseksi tarkoitettuja viestejä

Osa Facebookin käyttäjistä on jo ottanut käyttöön uuden aikajana- eli timeline-toiminnon. Lähiaikoina aikajana tulee käyttöön automaattisesti kaikille Facebook-käyttäjille. Aikajana helpottaa Facebook-käyttäjien vanhojenkin tilapäivitysten, kuvien ja muun sisällön selaamista.

Näyttää siltä, että vanhoja, yksityiseksi tarkoitettuja viestejä on tullut näkyviin aikajanalle. Osa käyttäjistä on kertonut, että kyse olisi Facebookin postilaatikkoon lähetetyistä vanhoista viesteistä, jotka olisivat tulleet näkyviksi käyttäjän "seinällä". Tätä ei ole toistaiseksi vahvistettu eikä Facebook ole ilmoittanut löytäneensä vikaa palvelusta.

Ohjeita yksityisyyden suojaamiseksi

Tässä muutama vinkki omien tietojen suojaamiseksi Facebookissa:

  • Tarkista seinäsi ja aikajanan sisältö ja poista sellainen sisältö, jota et halua jakaa muiden kanssa.
  • Varmista, että Facebookin yksityisyysasetukset ovat haluamasi, esimerkiksi kuvien näkymistä voi rajoittaa vain omille kavereille.
  • Muista, että Facebookin toimintalogiikka tai asetukset saattavat muuttua.
  • Älä julkaise Facebookissa sellaista materiaalia, jota et voisi näyttää julkisesti.

Lisätietoja aikajanan yksityisyysasetuksista löytyy Facebookin tukisivuilta.

17.12.2011

Adobelta päivitys PDF-lukijoiden haavoittuvuuteen

Adobe on julkaissut haavoittuvuudet korjaavan ohjelmistoversion 9.4.7 Adobe Reader- ja Adobe Acrobat for Windows -ohjelmistoista.

Adoben ilmoituksen mukaan korjaukset Adobe Reader X- ja Adobe Acrobat X -ohjelmistoihin sekä Adobe Reader- ja Adobe Acrobat- ohjelmistojen Macintosh- ja UNIX-versioihin julkaistaan neljännesvuosittaisen päivitysaikataulun mukaisesti 10.1.2012.

16.12.2011

CERT-FI 10 vuotta - juhlaseminaarin esitykset julkaistu

Viestintävirasto ja CERT-FI juhlistivat 10-vuotista taivaltaan sekä kunnioittivat 25-vuotiasta fi-verkkotunnusta 13.12.2011 järjestetyssä Päivä viestien -juhlaseminaarissa. Tilaisuuden esitysmateriaalit on nyt julkaistu.

Päivä viestien -juhlaseminaari 13.12.2011

Viestintäviraston juhlaseminaari jakautui yhteisen alustusosion jälkeen kolmeen rinnakkaisteemaan, joiden aiheet olivat tietoturva, infra ja media. Tilaisuuden esitykset löytyvät Päivä viestien -teemasivuston alta.

VAHTI-päivä 15.12.2011

Samalla viikolla järjestettiin vuotuinen valtionhallinnon tietoturvallisuuden teemapäivä. Tilaisuudessa kuultiin Viestintävirastosta NCSA-FI:n päällikön Rauli Paanasen sekä CERT-FI:n päällikön Erka Koivusen esitykset:

12.12.2011

Digitv-virittimistäkin tavattu haittaohjelmia

Haittaohjelmat eivät ole vain tietokoneiden ongelma. Tietoon on tullut tapauksia, joissa digiboksit ovat skannanneet järjestelmällisesti verkko-osoitteita saatuaan haittaohjelmatartunnan.

Useimmat uusista digivirittimistä, televisioista ja muista viihde-elektroniikan laitteista voi kytkeä internetiin, jolloin niiden kautta voidaan käyttää eri verkkopalveluja, ja laite voi myös päivittää ohjelmistonsa suoraan laitevalmistajan palvelimelta. Laitteet sisältävät yleensä jonkin riisutun Linux-käyttöjärjestelmän version, jonka päälle laitteen toimintojen hallintaan käytettävä ohjelmisto on toteutettu.

On osoittautunut, että laitteiden tietoturvallisuudessa on sellaisia puutteita, ettei niitä tulisi kytkeä suoraan julkiseen internetiin. Niiden ohjelmistoista mahdollisesti löytyviin haavoittuvuuksiin ei välttämättä julkaista tietoturvakorjauksia ollenkaan tai ainakaan kovin nopeasti, sillä ohjelmistopäivitykset saattavat keskittyä enemmän laitteen ominaisuuksien ja toimivuuden parantamiseen.

Jo parin vuoden ajan on tunnettu haittaohjelmia, jotka tarttuvat verkon aktiivilaitteisiin kuten ADSL-modeemeihin, kotireitittimiin ja WLAN-tukiasemiin. Nyt epäilyttävää liikennettä on tavattu myös ainakin Dreambox-merkkisistä digivirittimistä.

Piilota laitteet mahdollisuuksien mukaan julkisesta internetistä

Digiboksien, televisioiden tai muiden viihde-elektroniikan laitteiden ohjelmistojen päivittäminen tai internet-käyttö eivät yleensä edellytä verkosta laitteeseen päin otettavien yhteyksien sallimista. Laitteet kannattaakin kytkeä kodin lähiverkkoon siten, että internetistä tulevat suorat yhteyspyynnöt estetään esimerkiksi palomuurilla. Jo pelkästään kotireitittimessä tehtävä osoitemuunnos (NAT) parantaa tilannetta merkittävästi, jos viihdelaitteet ovat kotiverkon ns. privaattiosoitteissa, joita ei reititetä internetissä.

Virtakytkimellä puhtaaksi

Laitteessa olevan haittaohjelman havaitseminen on vaikeaa ja onnistuu oikeastaan vain verkkoliikennettä analysoimalla. Jos internet-operaattorilta tulee ilmoitus kotiliittymän ip-osoitteesta tulevasta haitallisesta liikenteestä, kannattaa huomioida myös se mahdollisuus, että kyse onkin jostain muusta laitteesta kuin tietokoneesta. Tähän saakka tavatut haittaohjelmat häviävät laitteista, kun laitteen virta katkaistaan. Jos epäilee haittaohjelmatartuntaa, kannattaa ensin tarkistaa palomuurin tai reitittimen asetukset ja sen jälkeen kytkeä hetkeksi virta pois epäilyttävästä laitteesta.

09.12.2011

Microsoft julkaisee ensi viikolla useita päivityksiä

Ensi tiistaina julkaistavien Microsoftin ohjelmistopäivitysten joukossa on kolme kriittiseksi luokiteltua päivitystä.

Ennakkotietojen mukaan Microsoft julkaisee ensi tiistaina neljätoista päivitystä kahteenkymmeneen ohjelmistohaavoittuvuuteen. Päivitysten joukossa on tietoja varastavan Duqu-haittaohjelman hyväkseen käyttämän haavoittuvuuden paikkaus sekä korjaus SSL/TLS-protokollahaavoittuvuuksiin, joita voi käyttää hyväksi ns. BEAST-työkalun avulla.

07.12.2011

Vuodettujen salasanojen analysointia

CERT-FI on analysoinut viimeaikaisten tietomurtojen yhteydessä julkaistuja salasanoja. Useimmat ovat yleisesti ottaen muodostettu hyvien käytäntöjen mukaisesti, mutta valtaosa on liian lyhyitä. Erikoismerkkien käyttö hankaloittaisi salasanojen murtamista merkittävästi.

Olemme analysoineet viimeaikaisten tietomurtojen yhteydessä julkaistuja salasanoja. Vaikka monissa on käytetty sekä kirjaimia että numeroita, valitettavan moni salasana on joko liian lyhyt tai on sellaisenaan sanakirjasta löytyvä sana. Salasanan vahvuus muodostuu pääasiassa pituudesta ja entropiasta eli satunnaisuudesta. Salasana voi olla pitkä mutta sillä voi olla huono satunnaisuus, kuten "aaaaaaaaaaaa". Sillä voi olla myös hyvä satunnaisuus mutta liian lyhyt pituus, kuten "a1b2c3". Mitä useammanlaisia merkkejä käytetään, sitä parempi on salasanan entropia. Tämä yhdessä riittävän pituuden kanssa tekee salasanasta vahvemman.

Kuvaajassa 1 analysoidut salasanat on jaoteltu niiden sisältämän entropian eli satunnaisuuden mukaan. Hyvällä salasanalla tulisi olla entropia-arvona 3 tai enemmän. Kuvaajasta nähdään, että valtaosa salasanoista jää tämän arvon alle. Kuitenkin pienin muutoksin ja lisäyksin nämä saataisiin todennäköisesti muutettua vahvemmiksi.

Kuvaaja 1: Salasanojen entropijakauma

Salasanan riittävä pituus riippuu käytetystä merkkiavaruudesta eli siitä, kuinka monentyyppisiä merkkejä salasanassa on käytetty. Pelkästään alfanumeerisia merkkejä eli numeroita ja kirjaimia sisältävä salasana on helpommin murrettavissa kuin sellainen, jossa on käytetty myös erikoismerkkejä. Vaikea luettavuus ei takaa vaikeaa murrettavuutta, esimerkiksi "hujsikjso" tai "846902673926" ovat helpommin murrettavissa kuin "H3ihe1!". Karkeana nyrkkisääntönä voidaan pitää, että 10-merkkinen alfanumeerinen salasana pystytään murtamaan tunneissa laadukkaalla pelikäyttöön tarkoitetulla tietokoneella.

Kuvaajassa 2 on jakauma salasanojen pituuksista. Lähes kaikki tässä jakaumassa olevista salasanoista ovat alfanumeerisia. Valtaosa salasanoista on ollut alle 12 merkkiä pitkiä ja näin ollen liian lyhyitä. Lisäämällä erikoismerkkejä salasanojen laskennallista murtamista voitaisiin vaikeuttaa huomattavasti.

Kuvaaja 2: Salasanojen pituusjakauma

Vahva salasana on riittävän pitkä, sisältää myös erikoismerkkejä eikä löydy sanakirjoista tai -listoista. Pienillä lisäyksillä useimmat käyttäjät voisivat muuttaa nykyiset kohtalaiset salasanansa huomattavasti vahvemmiksi. Esimerkki salasanasta, jolla on hyvä entropia ja riittävä pituus, voisi olla jotain tyyliin: "P@4sylause-pAlv*1uUn". Esimerkkisanan pituus on 20 merkkiä ja sen entropia-arvo on 4.

02.12.2011

Automatisoitu SQL-injektio-hyökkäys leviää maailmalla

Useat www-sivustot ovat joutuneet SQL-injektion kohteeksi. Hyökkäys on kohdistunut myös suomalaisiin sivustoihin.

Hyökkäyksessä sivuston taustalla olevaan tietokantaan on onnistuttu ujuttamaan linkki haitallista javascript-koodia sisältävään osoitteeseen. Kun käyttäjä avaa www-sivuston, jolla on linkki hyökkääjän ohjelmakoodia sisältävään osoitteeseen, selain suorittaa koodin automaattisesti, mikäli selaimen asetukset tämän sallivat. Suoritettu javascript-koodi yrittää huijata käyttäjän asentamaan haittaohjelmia.

Saastuneiden sivustojen suuri määrä ja niiden sijainti eri puolilla maailmaa viittaavat automatisoituun hyökkäykseen. Tämän hetkisten tietojen mukaan muutamalle suomalaiselle www-sivustolle on onnistuttu levittämään haitallista linkkiä. Hyökkäyksessä käytetty SQL-injektio voidaan estää verkkosivustojen syötteentarkistuksen avulla. CERT-FI:n ohjeessa 1/2011 - verkkopalvelun ohjelmistoalustan valinta ja palvelun turvallinen ylläpito käsitellään myös suojautumista SQL-injektioita vastaan.

02.12.2011

Päivitä Java

Javan haavoittuvuuksia hyväksi käyttävä Metasploit-moduuli on julkaistu.

Viime aikoina on enenevässä määrin levitetty Java-ajoympäristöjen haavoittuvuuksia hyväksi käyttäviä haittaohjelmia. Haittaohjelmien tekijät pyrkivät tällä varmistamaan hyökkäyksensä toimivuuden mahdollisimman monessa ympäristössä. Java-ajoympäristössä samaa ohjelmakoodia voidaan suorittaa useassa eri käyttöjärjestelmässä ja internet-selaimessa.

Metasploit-ympäristöön on julkaistu hyväksikäyttömoduuli, jolle Oraclen Java -ympäristöt 7 ja 6 Update 27 ja sitä vanhemmat versiot ovat haavoittuvia. Haavoittuvuutta (CVE-2011-3544) hyväksi käyttäen hyökkääjän on mahdollista suorittaa omaa Java-koodiaan ajoympäristön rajoitetun hiekkalaatikon ulkopuolella. Java-yhteensopivan ajoympäristön takia hyökkäystapa on kohdistettavissa useaan käyttöjärjestelmään ja selaimeen.

Java-ajoympäristö kannattaa päivittää uusimpaan version ja huolehtia päivitysten asentamisesta myös jatkossa. CERT-FI on julkaissut haavoittuvuuksista tiedotteet 130/2011 ja 140/2011. Java-ajoympäristön lisäksi on tietokoneen muutkin sovellukset ja apuohjelmat aina syytä pitää ajan tasalla.

02.12.2011

Uusia ohjeita

CERT-FI:n ohje 2/2011 käsittelee langattomien tietoverkkojen turvallisuutta. Myös Tietoturvaoppaassa aikaisemmin julkaistut opastusvideot löytyvät nyt ohjesivulta.

Ohje 2/2011 langattomien verkkojen tietoturvasta on ajanmukaistettu päivitys vuonna 2002 julkaistuun ohjeeseen. Verkko-ostamiseen ja verkon uhkien torjumiseen keskittyvät videot saivat nekin oman paikkansa ohjeiden joukossa.