Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 1

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2012 > Tammikuu

Tammikuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

31.01.2012

CERT-FI vuosikatsaus 2011

CERT-FI:n tietoturvallisuuden vuosikatsaus 2011 on julkaistu. Vuotta sävyttivät useat paljon julkisuutta saaneet tietomurrot ja niihin liittyvät tietovuodot.

Vuoden 2011 tietoturvakatsauksessa käsitellään muun muassa viime vuonna tapahtuneita tietomurtoja sekä niihin liittyviä käyttäjätunnusten ja salasanojen julkaisuja. Varmenneteknologian luotettavuutta jouduttiin tarkastelemaan uudestaan juurivarmenteiden myöntäjiin kohdistuneiden tietomurtojen takia. RSA:n vahvan tunnistamisen apuvälineenä käytettäviin SecurID-laitteisiin liittyviä tietoja joutui murtautujien käsiin. Pankkiyhteyksiä kaappaavat haittaohjelmat ovat yleistymässä Suomessakin.

27.01.2012

Verkon käyttäjiä tahtomattaan palvelunestohyökkäyksissä

Viimeaikaisissa palvelunestohyökkäyksissä on hyödynnetty www-selaimella käytettävää hyökkäystyökalua. On mahdollista että sivullinenkin päätyy tietämättään ajamaan hyökkäyksen toteuttavaa Javascript-ohjelmakoodia.

Viime aikoina ovat eri maiden tekijänoikeusjärjestöt ja valtionhallinnon organisaatiot olleet palvelunestohyökkäyksien kohteina. Hakkeriryhmät ovat osoittaneet näin mieltä yhdysvaltalaista SOPA-lakialoitetta (Stop Online Piracy Act) vastaan. Suomessa internet-operaattori Elisa määrättiin estämään asiakkaidensa pääsy Pirate Bay-sivustolle, minkä jälkeen Musiikkituottajien ja Tekijänoikeuden tiedotus- ja valvontakeskus ry:n sivustot joutuivat hyökkäysten kohteiksi. Hiljattain uutisoitiin myös ACTA-sopimukseen (Anti-Counterfeiting Trade Agreement) liittyvistä hyökkäyksistä Itävallan ja Puolan valtionhallinnon www-sivuja kohtaan.

Palvelunestohyökkäyksissä on muun muassa käytetty hyväksi www-selainpohjaista ohjelmaa. Viime aikoina on tavattu sivustoja, joilta selaimeen on ladattu hyökkäysliikennettä luova JavaScript-sovellus, joka suoritetaan saman tien kun sivu ladataan. Jos käyttäjä vierailee tällaisella sivulla, saattaa hän tietämättään suunnata suuria liikennemääriä hyökkääjän valitsemaan kohteeseen. Onkin odotettavissa että palvelunestotarkoitukseen räätälöityä ohjelmakoodia ujutetaan enenevässä määrin myös murrettujen www-palvelimien sivustoihin.

Käyttäjän voi olla vaikeaa havaita omasta koneesta lähtevää palvelunestoliikennettä. Jos käytettävissä oleva verkkokapasiteetti on rajallinen, saattaa hyökkäys kuitenkin näkyä www-selailun ja koneen muiden toimintojen hidastumisena. On myös syytä harkita, voisiko Javascript-ohjelmakoodin suorittamisen kokonaan estää muilla kuin luotetuilla www-sivustoilla. Esimerkiksi Firefox-selaimeen on saatavana NoScript-laajennus, jonka avulla voi rajoittaa JavaScriptin suorittamista selaimessa.

19.01.2012

Testaa, onko koneessasi DNSChanger-haittaohjelma

CERT-FI on julkaissut palvelun, jonka avulla voit tarkistaa onko koneellasi mahdollisesti Microsoft Windows ja OS X-käyttöjärjestelmiä saastuttanut DNSChanger-haittaohjelma. Palvelu toimii web-selaimella eikä vaadi selaimen lisäosia. DNSChangerilla saastuneiden tietokoneiden käyttämät nimipalvelut poistuvat käytöstä 7. maaliskuuta, jonka jälkeen saastuneiden koneiden nimipalvelukyselyt eivät enää toimi.

Dns-ok.fi ja dns-ok.ax verkkosivustot julkaistu


CERT-FI on julkaissut kaksi sivustoa, joiden kummankin avulla voit itse tarkistaa onko koneesi mahdollisesti DNSChanger-haittaohjelman saastuttama käymällä osoitteessa http://dns-ok.fi tai http://dns-ok.ax. Jos koneesi on haittaohjelman saastuttama, selaimesi ohjautuu sivustolle, jossa kerrotaan koneesi nimipalveluasetusten olevan ohjattu IP-osoitteisiin, jotka olivat ennen rikollisten hallussa. Jos koneessasi ei ole DNSChangerin käyttämiä nimipalvelinasetuksia, sinut ohjataan sivulle jossa kerrotaan ettei tietokoneesi ole ainakaan DNSChangerin saastuttama. Ohjaukset on toteutettu muokkaamalla nimipalveluiden asetuksia.

Saastuneiden koneiden sivustolle päätyneistä koneista kerätään tietoturvaloukkausten käsittelyä ja tilastointia varten seuraavat tiedot: julkinen IP-osoite, yhteydenoton aikaleima, selaimen versio eli User-Agent, sekä HTTP Host Header-tieto. Nimipalveluasetusten tarkistamiseen sivuston avulla ei tarvita selaimen lisäosia kuten Javaa tai Flashia.

CERT-FI on lähettänyt tietoa suomalaisissa verkoissa olevista DNSChangerilla saastutetuista tietokoneista internetoperaattoreille vuoden 2011 marraskuun alusta asti käyttäen Autoreporteria. DNSChangerilla saastuneiden tietokoneiden määrä on hiljalleen laskenut. On kuitenkin tärkeää, että loputkin saastuneet koneet saadaan putsattua. DNSChangerilla saastuneiden tietokoneiden nimipalvelimet lopettavat toimintansa 7. maaliskuuta. Toiminnan loppuminen johtaa siihen, etteivät saastuneet koneet enää pysty ottamaan yhteyttä verkon palveluihin nimipalvelua käyttämällä.


DNSChanger


DNSChanger-nimellä kutsuttu haittaohjelmaperhe muokkaa Windows- ja Mac OS X -tietokoneiden verkkoasetuksia siten, että nimipalvelukyselyt (DNS) ohjautuvat oman tietoliikennepalvelun tarjoajan sijasta rikollisten perustamille nimipalvelimille. Nämä nimipalvelimet antoivat väärennettyjä vastauksia ja ohjasivat käyttäjät väärien palvelujen ääreen. Haittaohjelma ja väärennetyt nimipalvelimet ovat olleet toiminnassa eri muodoissaan vuodesta 2007 alkaen.

Yhdysvaltain liittovaltion poliisi FBI suoritti marraskuussa 2011 yhdessä muun muassa Viron ja Hollannin viranomaisten kanssa operaation, jonka yhteydessä pidätettiin joukko epäiltyjä ja takavarikoitiin haittaohjelman käyttämä verkkoinfrastruktuuri. Nimipalvelimet ovat tällä hetkellä FBI:n hallussa.

CERT-FI on tiedottanut haittaohjelman toiminnasta sekä sen johdosta tehdyistä vastatoimista useaan otteeseen vuodesta 2009 lähtien.

13.01.2012

Keskusrikospoliisi tutkii tietomurtoja

Keskusrikospoliisi tutkii tietomurtoja, joiden tekijäksi epäillään alle 15-vuotiasta poikaa. Tietomurtojen kohteita on jo tiedotettu asiasta.

Tietomurroissa on saatu hankituksi yhteensä muutamia tuhansia käyttäjätunnuksia, salasanoja ja sähköpostiosoitteita. Tämänhetkisen tiedon mukaan murtautuja ei ole käyttänyt, levittänyt tai julkaissut käsiinsä saamiaan tietoja. Poliisi on yhdessä CERT-FI:n kanssa tiedottanut asiasta tietomurtojen kohteita. Tapaukseen liittyvät lisätietopyynnöt tulee suunnata poliisille. CERT-FI ei tiedota asiaan liittyvistä yksityiskohdista.

Kyseinen tapaus ei liity viime kuukausina julkisuutta saaneisiin muihin tietomurtoihin ja niistä saatujen tietojen julkistamiseen.

13.01.2012

CERT-FI:n ohjetta verkkopalvelun ohjelmistoalustan valinnasta ja palvelun turvallisesta ylläpidosta päivitetty

CERT-FI:n ohjetta 1/2011 koskien verkkopalvelun ohjelmistoalustan valintaa ja palvelun turvallista ylläpitoa on päivitetty. Ohjeeseen on tehty kosmeettisten muutoksien lisäksi muutoksia ja lisäyksiä myös sisältöön.

CERT-FI julkaisi 25.11.2011 vuoden ensimmäisen ohjeen valmiiden ohjelmistopakettien käyttäjille ja niille, jotka haluavat kehittää oman verkkosovelluksensa omaan käyttöönsä. Ohjeeseen on päivitetty saatujen kommenttien perusteella osioita lokitietojen keräämisestä, rekisteriselosteesta ja ohjeita salasanan tiivisteen muodostamisesta. Lisäksi ohjeita tietomurron varalle on tarkennettu ensimmäisten toimenpiteiden kohdalla. CERT-FI kiittää kaikkia palautetta antaneita.

12.01.2012

Suomalaiset tekijänoikeusjärjestöt palvelunestohyökkäyksen kohteena

Palvelunestohyökkäysten uskotaan olevan seurausta siitä, että internetoperaattori Elisa on määrätty sulkemaan asiakkaidensa pääsy tiedostonjakopalvelu Pirate Bayhin. Palvelunestohyökkäys on ajoittain estänyt pääsyn tekijänoikeusjärjestön ja musiikkituottajien sivuille.

Internetoperaattori Elisan määrättiin viranomaispäätöksellä estämään asiakkaidensa pääsy Pirate Bay-tiedostonjakopalveluun. Musiikkituottajien sivusto ja Tekijänoikeuden tiedotus- ja valvontakeskus ry:n TTVK: sivustot joutuivat sen jälkeen palvelunestohyökkäyksen kohteeksi. Verkkosivustot ovat olleet palvelunestohyökkäyksien vuoksi ajoittain saavuttamattomissa.

12.01.2012

Suomalaisten automaatiojärjestelmien osoitteita julkaistu verkossa

Nimettömänä pysyttelevä lähde on julkaissut mikroblogipalvelu Twitterissä suomalaisten automaatiojärjestelmien osoitteita.

Twitterissä on julkaistu suomalaisia ip-osoitteita joiden on arveltu sisältävän haavoittuvia tietojärjestelmiä. Tietojärjestelmät ovat olleet erilaisia automaatio-, eli SCADA-järjestelmiä. Joukossa on ollut ainakin kiinteistönhallintaan liittyviä järjestelmiä. CERT-FI on ollut yhteydessä järjestelmien omistajiin.

04.01.2012

Langattomien verkkojen suojauksessa käytetty WPS-tekniikka murtuu helposti

Salattujen langattomien verkkojen käyttöönottoa helpottava WPS-tekniikka on osoittautunut turvattomaksi. CERT-FI suosittelee luopumaan WPS-tekniikan käytöstä.

Wi-Fi Protected Setup (WPS) on tekniikka, jonka tarkoituksena on helpottaa laitteiden liittämistä salattuihin langattomiin verkkoihin. Eräs WPS-tekniikoista mahdollistaa WPA2-salauksessa (Wi-Fi Protected Access) käytetyn salalauseen siirron tukiasemasta päätelaitteeseen 8-numeroisella PIN-koodilla. WPS-tekniikka on käytössä useissa kotikäyttöön ja pieniin toimistoihin tarkoitetuissa langattomissa tukiasemissa.

Tutkijat löysivät vuoden 2011 lopulla WPS-tekniikasta suunnitteluvirheen, joka mahdollistaa siinä käytetyn PIN-koodin arvaamisen 4 numeroa kerrallaan. Hyökkääjä voi virhettä hyväkseen käyttämällä ohittaa WPS-tekniikkaa käyttävän tukiaseman suojauksen pahimmillaan muutamassa tunnissa. WPS-suojauksen ohittamiseen on on julkaistu automaattisesti toimivia työkaluja.

CERT-FI suosittelee WPA2-salattujen verkkojen ylläpitäjille WPS-tekniikan poistamista käytöstä. Kaikissa tukiasemissa WPS:n poistaminen käytöstä ei kuitenkaan ole mahdollista.