Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2012 > Helmikuu

Helmikuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

29.02.2012

DNSChanger-haittaohjelman tartunnat vähentyneet

DNSChanger-haittaohjelman tartuntamäärät ovat olleet jatkuvassa laskussa. Tilanne Suomessa on maailmanlaajuisesti vertaillen erinomainen.

CERT-FI julkaisi 18. tammikuuta palvelun, jonka avulla loppukäyttäjä voi havaita DNSChanger-haittaohjelman aiheuttamat muutokset nimipalveluasetuksissa. Saastuneeseen päätelaitteeseen pesiytynyt haittaohjelma on myös saattanut muuttaa laajakaistareitittimien asetuksia.

Tarkistuspalvelua on tähän mennessä hyödyntänyt noin 130 000 kävijää. Suurin osa tarkistuksista on tehty suomalaisista verkko-osoitteista. Tilastoista käy selvästi ilmi, että vain äärimmäisen pieni osa kävijöistä on ollut DNSChangerin vaikutuspiirissä.

Tarkistussivujen kävijämäärät 18.1.2012 - 28.2.2012.

Myös Autoreporter-järjestelmän tilastot kielivät DNSChangerin vähäisestä levinneisyydestä suomalaisissa verkoissa. Järjestelmän kautta ilmoitettujen DNSChanger-haittaohjelmahavaintojen määrät ovat olleet alkuvuoden aikana jatkuvassa laskussa.

Autoreporter-järjestelmän raportoimat päivittäiset havainnot.

15.02.2012

Onko digi-tv-laitteesi bottiverkon orjakone?

Suomalaisista verkoista on löydetty digi-tv-laitteita, joissa on haittaohjelma. Tartunnat on havaittu laitteiden avaamien telnet-yhteyksien perusteella. Arvioimme tartuntoja olevan joitakin kymmeniä.

Haittaohjelma toimii kuten muutkin botti-tyyppiset haittaohjelmat. Se ottaa yhteyttä komentopalvelimeen, tässä tapauksessa hyökkääjän hallitsemalle irc-kanavalle ja odottaa siellä hänen antamiaan komentoja. Hyökkääjä voi määrätä laitteen osallistumaan esimerkiksi palvelunestohyökkäykseen tai skannaamaan joitakin ip-osoitealueita. Tartunnan saaneet laitteet luotaavat verkosta telnet-porttia (telnetd/23).

Itsenäisesti ohjelma ei saamiemme tietojen perusteella leviä. Se pyrkii murtautumaan muihin internetiin kytkettyihin digi-tv-laitteisiin käyttämällä hyväkseen laitteiden oletussalasanoja ja joissakin laitteissa olevia ohjelmistohaavoittuvuuksia.

12.12.2011 julkaisemassamme Tietoturva nyt! -artikkelissa on ohjeita siitä, miten suojata verkkoon kytketty digi-tv-laite ja miten poistaa siitä haittaohjelma. Oletussalasanan vaihtaminen, jos mahdollista, on suositeltavaa artikkelissa mainittujen toimenpiteitten lisäksi.

14.02.2012

Horde-ohjelmistoja käyttävät palvelimet päivitettävä

Horde-ohjelmistoista on ollut jaossa takaoven sisältäviä versioita marraskuusta 2011 lähtien. Tietomurto Horden FTP-jakelupalvelimelle ja muokatut ohjelmistopaketit havaittiin vasta noin viikko sitten.

Seuraavista ohjelmistoista on ollut jaossa luvattomasti muokattu versio suluissa ilmoitettuna aikana:

  • Horde 3.3.12 (15.11.2011 - 7.2.2012)
  • Horde Groupware 1.2.10 (9.11.2011 - 7.2.2012)
  • Horde Groupware Webmail Edition 1.2.10 (2.11.2011 - 7.2.2012)
Haavoittuvat versiot jättävät palvelimen alttiiksi koodin suorittamiselle ja palvelimen haltuunotolle verkkoyhteyden kautta.
Korjatut versiot ovat nyt saatavilla ja haavoittuvia ohjelmistoja käyttävät palvelimet tulee päivittää mahdollisimman pian.

07.02.2012

Tänään vietetään Tietoturvapäivää yli 60 maassa

Järjestyksessä yhdeksäs Tietoturvapäivä on osa Suomessa vietettävää Tietoturvaviikkoa.

Tällä viikolla vietetään kansallista Tietoturvaviikkoa. Tämän vuoden teemana on Connecting Generations. Teemalla halutaan kiinnittää huomiota lasten ja aikuisten vuorovaikutuksen merkitykseen lasten ja nuorten nettiturvallisuuden edistämisessä.

Viikon aikana järjestetään useita tietoturva-aiheisia seminaareja ja ilmaistapahtumia. Huomenna Finlandia-talolla Helsingissä järjestettävässä Tietoturvatapahtumassa voi mm. tavata CERT-FI:n sekä NCSA-FI:n asiantuntijoita.

07.02.2012

DNSChanger -haittaohjelman poistamisesta

Haittaohjelma on saattanut muuttaa myös laajakaistareitittimen asetukset. Reitittimen takana olevien koneiden nimipalveluliikenne voi siksi ohjautua edelleen DNSChanger-nimipalvelimiin, vaikka saastuneet koneet olisi puhdistettu.

Nimipalveluasetuksia muuttavan DNSChanger -haittaohjelman tartunnan pystyy havaitsemaan vierailemalla CERT-FI:n tarkistussivustoilla osoitteessa http://dns-ok.fi tai http://dns-ok.ax. Palvelua on tähän mennessä hyödyntänyt jo yli 100 000 kävijää.

Kuva 1. Tarkistussivujen kävijämäärät 18.1.2012 - 6.2.2012.

Suomesta löytyneiden saastuneiden koneiden määrä on kansainvälisessä vertailussa ollut pieni ja määrä on edelleen laskussa.

Tietokoneen saastuttamisen lisäksi haittaohjelman tietyt versiot pyrkivät muokkaamaan myös käyttäjän laajakaistareitittimen asetuksia. Näissä tapauksissa haittaohjelman poistaminen tietokoneelta ei yksinään riitä, vaan myös reitittimen asetukset pitää korjata, ennen kuin nimipalvelu toimii oikein. Joissakin tapauksissa reitittimen uudelleenkäynnistäminen poistaa väärät asetukset, mutta tämä pitää tapauskohtaisesti varmistaa.

On myös syytä huomata, että haittaohjelman tietyt versiot pystyvät muokkaamaan koneen käynnistämiseen käytettävää Master Boot Record -levyaluetta (MBR), jolloin haittaohjelma aktivoituu heti koneen käynnistämisen yhteydessä. Koska haittaohjelma usein myös käyttää hyväksi rootkit-ominaisuuksia, voi sen luotettava poistaminen koneelta olla hankalaa. Suositeltavin tapa onkin mahdollisuuksien mukaan tietokoneen uudelleenasennus puhtaalta asennusmedialta.

DNSChangerilla saastuneiden tietokoneiden käyttämät nimipalvelut poistuvat käytöstä 8. maaliskuuta. Tämän jälkeen saastuneiden koneiden nimipalvelukyselyt eivät enää toimi.