Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 1

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2012 > Kesäkuu

Kesäkuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

28.06.2012

CERT-FI on tutkinut yhden version uudesta kiristyshaittaohjelmasta

CERT-FI haluaa kiittää kaikki niitä, jotka ovat ilmoittaneet kiristyshaittaohjelmaan liittyvät havaintonsa. Ilmoitusten perusteella olemme onnistuneet saamaan käsiimme yhden uuden version haittaohjelmasta. Asiantuntijoitamme onnisti tällä kertaa ulkomaalaisilla aikuisviihdesivuilla.

Kyseinen aikuisviihdesivu ei itsessään jakanut haittaohjelmaa, vaan haittaohjelma asentui koneelle ponnahdusikkunaan avautuneen mainoksen kautta. Kyseinen mainos olisi voinut tulla miltä tahansa sivulta, jolla näytetään kolmannen osapuolen toimittamia mainoksia. Selailimme aikuisviihdesivuja Firefox-selaimen uusinta versiota käyttäen. Heikko kohta tässä kyseisessä tapauksessa ei ollutkaan www-selain vaan koneelle asennettu vanha Java-ajoympäristö. Ponnahdusikkuna käytti ajoympäristön haavoittuvuutta hyväksi, latasi koneelle kiristyshaittaohjelman, käynnisti sen ja lukitsi koneen.

Vanha Java-ajoympäristö on jo jonkin aikaa ollut tietokoneen haavoittuvimpia osia. CERT-FI suosittelee joko poistamaan Java-ajoympäristön tietokoneelta kokonaan tai pitämään huolen siitä, että käytössä on ajoympäristön viimeisin versio.

CERT-FI:n tutkimassa versiossa kiristysviesti oli kirjoitettu huonolla suomen kielellä. Viestin oikeassa yläkulmassa näkyi ruutu, jonka vieressä oli teksti: Videotallennus ON. Mikäli tietokoneeseen oli asennettu web-kamera, ilmestyi kameran kuva ruutuun. Web-kameran käyttö viestissä lienee pelkkä pelottelukeino.

Koneen mentyä haittaohjelman toimesta lukkoon ainoa toimiva näppäinyhdistelmä näyttäisi olevan Control-Alt-Delete. Avautuvan valikon kautta voi kirjautua ulos, jolloin haittaohjelma sulkeutuu ja lukitus tilapäisesti vapautuu. Tämä jälkeen kannattaa katkaista verkkoyhteys joko irrottamalla verkkokaapeli, sammuttamalla langaton verkkokortti tai poistamalla mokkula. Verkkoyhteyden katkettua haittaohjelma tyytyy käynnistymään taustalle lukitsematta konetta. Haittaohjelma on käyttäjäkohtainen, joten koneelle voidaan ongelmitta kirjautua sisään myös toisella käyttäjätunnuksella. Tällöin myös verkkoyhteys voi olla auki.

CERT-FI tutkima kiristyshaittaohjelma asentui käyttäjän tilapäiskansioon. Tilapäiskansioon on helpointa siirtyä avaamalla Internet Explorer ja kirjoittamalla osoiteriville %TEMP%. Avautuvassa hakemistossa voi olla useampia tiedostoja. Tiedostojen aikaleimojen avulla voi yrittää päätellä, mikä tiedosto kuuluu haittaohjelmalle. Meidän tapauksessamme haittaohjelma lymyili tiedostossa, jonka nimi oli er_00_0_l.exe. Tilapäiskansion tiedostot eivät ole oleellisia itse käyttöjärjestelmän toiminnan kannalta, joten kansion tiedostoja voi suhteellisen turvallisesti poistaa. Koska haittaohjelma on käynnissä, tiedoston poisto ei välttämättä kuitenkaan onnistu. Tällöin voi kokeilla tiedoston nimeämistä uudelleen.

Poiston tai uudelleen nimeämisen jälkeen voi kirjautua ulos ja takaisin sisään. Mikäli näyttöön avautuu alla olevan kuvan mukainen RUNDLL-virheilmoitus, voidaan olla varmoja siitä, että kyseessä oli oikea tiedosto. Tämän jälkeen tiedoston voi käydä poistamassa lopullisesti tilapäiskansiosta. Mikäli vielä haluaa eroon RUNDLL-virheilmoituksesta, tulee haittaohjelman luoma oikopolku poistaa käynnistysvalikoista. Meidän tapauksessamme oikopolku oli nimeltään cftmon.lnk.

Tutkimamme haittaohjelman MD5-tarkistusumma oli 80a2801a3ccb430065e62076ed298884 ja tiedostokoko 233632 tavua. Ponnahdusikkunan kautta tullut Java-ohjelmapätkä hyödynsi haavoittuvuutta jonka CVE-tunniste on CVE-2012-0507.

Yllä on näkyvillä root-nimisen käyttäjän tilapäiskansio. Kansion tuorein tiedosto on haittaohjelma, joka on nimetty uudelleen xxx-päätteellä. Kuvassa näkyy myös RUNDLL-virheilmoitus, joka on ilmestynyt näytölle käyttäjän seuraavalla kirjautumiskerralla. Kuvassa näkyvät myös yhden käynnistysvalikosta löytyneen oikopolun ominaisuudet. Sekä RUNDLL-virheilmoitus että oikopolun Target-rivi vahvistavat uudelleen nimetyn tiedoston haittaohjelmaksi. Kuva on Windows 7 -käyttöjärjestelmästä. Windows XP:ssä tilapäiskansion polku on eri.

Käynnistyneen kiristysohjelman näyttämä ruutu.


27.06.2012

Seta ry:n keskustelupalstalle tehty tietomurto

Tietomurron seurauksena Setan keskustelupalstan käyttäjätunnukset ja muita tietoja on vuodettu verkkoon.

Seta on ilmoittanut tutkivansa tietomurtoa, jonka seurauksena keskustelupalstan käyttäjätunnukset, sähköpostiosoitteet ja salasanat on vuodettu verkkoon. Tietomurto on tapahtunut Setan mukaan todennäköisesti elokuussa 2011. Jos olet käyttänyt samaa salasanaa myös muihin palveluihin, vaihda salasanasi niissä välittömästi.

Seta tiedottaa keskustelupalstan käyttäjiä sivuillaan asiasta.

26.06.2012

Kiristyshaittaohjelmasta liikkeellä eri versioita

Poliisin nimissä rahaa vaativasta kiristyshaittaohjelmasta on liikkeellä uusia versioita. Näiden versioiden poistaminen koneelta ei onnistu CERT-FI:n ohjeen 1/2012 mukaisesti.

CERT-FI:n tietoon on tullut uusia versioita poliisin nimissä rahaa vaativasta haittaohjelmasta, joiden poistamiseen Ohje 1/2012:ssa kuvatut toimenpiteet eivät auta. Haittaohjelman käyttämät hakemistopolut ja tiedostonimet voivat vaihdella sen eri versioissa ja eri käyttöjärjestelmissä. Haittaohjelman poistamiseen voi kokeilla esimerkiksi F-Securen Rescue CD:tä, jonka ISO-levykuvan voi ladata täältä.

Käynnistyksen yhteydessä käynnistyviä ohjelmistoja voi tutkia esimerkiksi käynnistämällä tietokoneen vikasietotilaan (Safe mode). Erilaisia niihin liittyviä rekisteriavaimia on kuvattu esimerkiksi CERT-FI:n ohjeen 1/2007 sivulla kahdeksan, sekä sivustolla http://www.silentrunners.org/. Windowsin rekisterin muokkaaminen vaatii tuntemusta ja teknistä osaamista, eikä sitä voida suositella aloittelijoille. Rekisteriä muokkaamalla käyttöjärjestelmän voi saada sellaiseen tilaan, ettei se enää käynnisty tai asennetut ohjelmistot eivät enää toimi.

Suosittelemme kääntymään asiantuntijoiden puoleen teknisen avun saamiseksi, jos haittaohjelman poistaminen ei onnistu ohjeiden mukaan tai käyttämällä päivitettyä virustorjuntaohjelmaa. Viestintävirasto ei voi auttaa yksittäisten haittaohjelmatartuntojen puhdistamisessa. Tietojemme mukaan haittaohjelman nykyiset versiot eivät salaa tiedostojärjestelmän tiedostoja, joten tietokone voi olla mahdollista puhdistaa ilman uudelleenasennusta ja tiedostojen menettämistä. Helpoin tapa voi olla kuitenkin asentaa käyttöjärjestelmä uudelleen. Tällöin menetetään ne tiedostot, joista ei ole varmuuskopioita.

Olemme edelleen kiinnostuneita siitä, mistä verkkosivulta tartunta on mahdollisesti voinut tulla sekä siitä mikä haittaohjelman versio on ollut kyseessä. Tiedon haittaohjelman versiosta ja nimestä voi saada esimerkiksi sen tunnistaneelta virustorjuntaohjelmistolta. Nämä tiedot voi ilmoittaa esimerkiksi käyttämällä tämän Tietoturva nyt! -artikkelin "kommentoi" näppäintä.

19.06.2012

Alkuvuoden tietoturvakatsaus julkaistu

CERT-FI:n tietoturvakatsaus 1/2012 on julkaistu. Katsauksessa käsitellään alkuvuoden tietoturvatapahtumia. Vuoden alkupuoliskolla on tavattu uusia haittaohjelmia ja nähty verkkohyökkäyksiä ja hyökkäysyrityksiä.

CERT-FI:n tiedotteiden julkaisuaikataulua on tänä vuonna muutettu. Seuraava katsaus julkaistaan alkusyksystä.

15.06.2012

CERT-FI julkaisi haavoittuvuuksien koordinointipolitiikan version 1.1

Politiikkadokumentin tarkoituksena on kuvata haavoittuvuuskoordinointityön tavoitteita ja taustaoletuksia. Versiosta 1.1 julkaistiin nyt myös suomenkielinen versio.

CERT-FI on osallistunut haavoittuvuuskoordinaatioprosesseihin vuodesta 2005. CERT-FI:n haavoittuvuuskoordinoinnin politiikkadokumentin tarkoitus on helpottaa yhteistyötä prosessiin osallistuvien toimijoiden kesken, sekä herättää keskustelua haavoittuvuuksien käsittelystä. Politiikkadokumentin vuonna 2010 julkaistua ensimmäistä versiota päivitettiin viime vuosien kokemusten ja saatujen kommenttien perusteella. Erityiskiitokset kommentoijille!

Politiikkadokumentin ensimmäinen versio julkaistiin englannin kielellä, sillä valtaosa valmistajista on ulkomaisia. Päivityksen yhteydessä siitä käännettiin myös suomenkielinen versio.

Kommentit dokumenttiin ovat tervetulleita osoitteessa vulncoord (at) ficora.fi!

15.06.2012

CERT-FI updated its vulnerability coordination policy

The purpose of the policy is to describe the goals and underlying assumptions of vulnerability coordination activities.

CERT-FI has been participating in vulnerability coordination projects since 2005. During these projects CERT-FI has recognized that there are mixed interpretations of the vulnerability coordination process flow and incompatible expectations among the players. CERT-FI's policy is an ongoing effort to spell out our position and to initiate discussion on the topic. The policy was updated based on the experiences from the past two years and comments from constituents. Our special thanks go to all commenters of the first policy version.

Comments on the policy are still welcome at vulncoord (at) ficora.fi!

09.06.2012

Myös Last.fm-musiikkipalvelun ja Eharmony-treffipalvelun salasanoja julkaistu

Molempien palveluiden julkaistuista salasanatiivisteistä on saatu purettua osa.

Samalla salasanojen purkamiseen liittyvällä foorumilla, jolla Linkedin-palvelun tiivisteet olivat, on julkaistu noin 2,5 miljoonaa salasanatiivistettä Last.fm- ja 1,5 miljoonaa salasanatiivistettä Eharmony-palveluista. Palveluntarjoajat tutkivat salasanavuotoja, eikä niiden toteuttamistavoista tai ajankohdista ole vielä tietoa.

Sekä eHarmony- että Last.fm-palveluitten salasanatiivisteet oli laskettu nykyaikaisia tiivistealgoritmejä heikommalla MD5-algoritmillä, eikä niihin oltu lisätty ns. suola-merkkijonoa. Suoloja käytetään sanakirjahyökkäysten vaikeuttamiseksi. Suola on satunnaismerkkijono, joka lisätään tiivistesummaa laskettaessa mukaan. Tällöin samasta salasanasta tulee eri käyttäjille erilainen lopputulos, eikä valmiiksi laskettuja sanakirjatauluja voi käyttää salasanan murtamiseen, jos salasanojen MD5-tiivisteet joutuvat vääriin käsiin.

Jos käyttää joko Last.fm- tai Eharmony-palveluja, kannattaa salasanat vaihtaa ensi tilassa. Salasana pitää vaihtaa myös muihin palveluihin, joissa on käytössä sama salasana. Saman salasanan käyttämistä eri palveluissa ei suositella.

06.06.2012

Linkedin-palvelun käyttäjien salasanoja julkisuuteen

Foorumilla julkaistiin 6,5 miljoonaa salasanatiivistettä, joista osaan liittyvä salasana on julkaistu.

CERT-FI:n tietoon on tullut salasanavuoto Linkedin-verkkoyhteisöpalvelussa. Salasanojen purkamiseen liittyvällä foorumilla on julkaistu noin 6,5 miljoonaa salasanatiivistettä. Osa tiivisteistä on saatu purettua salasanoiksi ja julkaistu. Toistaiseksi tietomurron ajankohdasta ja yksityiskohdista ei ole tarkempaa tietoa. Kaikkien käyttäjien salasanatiivisteitä ei ole julkaistu, mutta on todennäköistä, että murtautujilla on hallussaan loputkin tiivisteistä.

Oma Linkedin-salasana kannattaa vaihtaa ensi tilassa. Salasana pitää vaihtaa myös muihin palveluihin, joissa on käytössä sama salasana. Saman salasanan käyttämistä eri palveluissa ei suositella.

04.06.2012

Flame-haittaohjelman komponentteja väärennetty näyttämään Microsoftin tuottamilta

Terminal Services -palvelimille myönnetyillä varmenteilla oli mahdollista allekirjoittaa ohjelmakoodia Microsoftin nimissä. Kaikkia virhetilanteen mahdollistaneita yksityiskohtia ei ole julkaistu.

Haittaohjelman komponenttien allekirjoittamiseksi oli käytetty hyväksi Microsoftin Terminal Services -palveluiden varmenteisiin liittyviä heikkouksia. Microsoft myönsi asiakkaiden Terminal Services -lisenssipalvelimille varmenteita, joissa oli virheellisesti käyttötarkoituksena myös ohjelmakoodin allekirjoitus. Nämä lisenssipalvelimille varmenteita myöntävät varmenteet oli allekirjoitettu Microsoftin juurivarmenteella. Jos ohjelmakoodi allekirjoitetaan tällaisella varmenteella, se näyttäytyy käyttöjärjestelmälle Microsoftin tuottamana. Kaksi alivarmentajista käytti lisäksi MD5-tiivistealgoritmia, josta on jo aiemmin löydetty haavoittuvuuksia.

Microsoft on julkaissut päivityksen, jossa kolme lisenssipalveluille varmenteita myöntänyttä varmennetta siirretään ei-luotettujen varmenteiden säilöön. Microsoft käyttää tätä lähestymistapaa sen sijaan että varmenteet poistettaisiin järjestelmistä, jottei luottamuksen menettäneitä varmenteita voida vahingossa tuoda uudestaan järjestelmiin.

Ei-luotettujen varmenteiden säilöön lisätyt varmenteet ovat seuraavat:

  • Microsoft Enforced Licensing Intermediate PCA (2 varmennetta)
  • Microsoft Enforced Licensing Registration Authority CA (SHA1)

Varmenteita voidaan käyttää myös minkä tahansa muun ohjelmakoodin allekirjoittamiseen. Siksi päivitys kannattaa asentaa Windows-käyttöjärjestelmiin ensi tilassa. Jos päivitystä ei jostain syystä ole mahdollista asentaa, voi varmenteet siirtää ei-luotettujen varmenteiden säilöön myös käsin.