Heinäkuu

27.07.2012

Mainospalvelut ja vanhat Java-versiot kiristyshaittaohjelman levittäjinä

Reveton-kiristyshaittaohjelmaa levitetään edelleen aktiivisesti suomalaisten kotikäyttäjien koneisiin. Levitys tapahtuu usein OpenX-mainospalvelimien kautta käyttäen hyväksi Blackhole exploit kit -hyväksikäyttöalustaa. Suurin syy tietokoneen saastumiseen ovat vanhat Oracle Java ja Adobe Flash -versiot.

Keväällä alkanut kiristyshaittaohjelmien epidemia (ns. tapaus Ransu) ei ota laantuakseen. CERT-FI saa edelleen päivittäin yhteydenottoja loppukäyttäjiltä, joiden tietokone on saastunut Reveton-kiristyshaittaohjelman jollain versiolla. Ilmoitetut haittaohjelmaversiot näyttäisivät edelleen samankaltaisilta kuin kesäkuussa, jolloin CERT-FI tutki yhden saamansa version kiristyshaittaohjelmasta.

On vahvoja viitteitä siitä, että yksi kiristyshaittaohjelman levitysmekanismeistä ovat saastutetut OpenX-mainosalustat. Mainosalustojen avulla hyökkääjät voivat yrittää saastuttaa useiden suosittujen www-sivustojen käyttäjiä. OpenX-projekti julkaisi korjaukset mainosalusalustan haavoittuvuuksiin toukokuussa. CERT-FI:n selvitysten mukaan verkossa on suomalaisia OpenX-palvelimia joita ei ole päivitetty yli kolmeen vuoteeen. CERT-FI on tänä aamuna lähettänyt joukolle suomalaisia mainospalveluja kehoitukset asentaa päivitykset ja tutkia järjestelmänsä tietomurtojen varalta.

Joissain tietoomme tulleissa tapauksissa saastuneet mainosalustat ohjaavat käyttäjää murretuille sivuille, joihin on asennettu Blackhole exploit kit -hyväksikäyttöalusta. Se yrittää urkkia tietoja käyttäjän järjestelmistä ja eri ohjelmistojen versioista, ja tarjoaa niitä vastaan toimivia hyväksikäyttömenetelmiä. Julkisuudessa esiintyneiden tietojen mukaan haittaohjelmia onnistutaan levittämään erityisesti vanhoja Oracle Java -versioita käyttäen.

CERT-FI kehottaa loppukäyttäjiä päivittämään tietokoneensa varusohjelmat, erityisesti Oracle Java ja Adobe Flash -selainlaajennukset. Verkkomainosalustojen ylläpitäjien taas kannattaa päivittää OpenX ensi tilassa tuoreimpaan versioon 2.8.9.

27.07.2012

Tietosuojavaltuutetun tarkastus tietomurroista ja tietovuodoista

Tietosuojavaltuutettu on lähettänyt tällä viikolla selvityspyynnön noin 70 suomalaiselle palveluntarjoajalle, joiden www-sivujen, verkkokaupan, keskustelufoorumin tai muu vastaavan palvelun epäillään joutuneen tietomurron tai muun tietoturvaloukkauksen kohteeksi. Aiemmin heinäkuun alussa tietosuojavaltuutetun toimisto pyysi Viestävirastolta tietoja vuoden 2011 loka-, marras- ja joulukuussa tietoon tulleista tietomurroista ja tietovuodoista. CERT-FI:n koostamassa yhteenvedossa oli yhteensä 2630 riviä, jotka yksilöivät kaikkiaan 993 tietomurron tai sellaisen yrityksen kohteeksi joutunutta verkko-osoitetta.

Marraskuun tietovuodot olivat vain pintaraapaisu

Loppuvuotta 2011 sävyttivät lukuisat suurta julkisuutta saaneet tietovuodot, joissa suomalaisten henkilötietoja julkistettiin tuntemattomaksi jääneiden tahojen toimesta sen jälkeen kun tiedot oli ensin onnistuttu varastamaan jostakin. Kaikkia CERT-FI:n mielenkiinnon herättäneitä tietovuototapauksia yhdisti se, että tietovuodot mahdollisti internetiin liitettyjen tietojärjestelmien puutteellinen tietoturva. Tietojärjestelmiin oli onnistuttu murtautumaan ohjelmistohaavoittuvuutta tai puuttellisia suojausasetuksia hyödyntämällä ja joissakin tapauksissa jopa arvaamalla riittävän laajat toimivaltuudet omaavan käyttäjän salasana.

CERT-FI:n kokemusten mukaan suurin osa tietomurroista ei kuitenkaan johda tietovuotoihin. Esimerkiksi marraskuussa 2011 julki tulleiden tietovuotojen taustalla oli varsin rajallinen määrä palvelimia vaikka samaan aikaan CERT-FI:n tietoon tuli kymmeniä tai jopa satoja muita www-palvelimiin kohdistuneita tietomurtoepäilyjä. On myös oletettavaa, että kaikkia CERT-FI:n tietoon saatettuja www-palveluista löytyneitä ohjelmistohaavoittuvuuksia ja tietoturvapuutteita ei ehditty hyödyntää tietoturvaa tai tietosuojaa vaarantavalla tavalla.

Hiljattain avoimena datana julkaistujen CERT-FI Autoreporter -palvelun tilastojen mukaan CERT-FI ilmoitti viime vuoden lokakuun ja vuodenvaihteen välisenä aikana tietoturvaloukkaustapauksista kaikkiaan 47 612 kertaa ja pelkästään marraskuussa lähes 22 000 kertaa. Viimeisen kvartaalin ilmoituksista ainakin 558 koski www-palvelimien tietoturvaongelmia (217 marraskuussa).

Tietoturvaloukkausten uhrit eivät useinkaan huomaa itse tapahtunutta

CERT-FI kerää tietoja tietoturvaloukkauksista sekä sellaisten uhkista monista eri lähteistä. Suurin osa CERT-FI:n tietoon tulevista tapauksista tulee joko julkisista lähteistä tai kolmansien osapuolten ilmoituksina. Yksi CERT-FI:n vuonna 2010 julkaiseman tutkimusraportin keskeisistä johtopäätöksistä olikin, että tietoturvaloukkausten kohteeksi joutuneet tahot eivät useinkaan huomaa itseensä kohdistuneita tietoturvaloukkauksia.

Pieni osuus ilmoituksista tulee loukkauksen kohteena olleiden verkkojen tai tietojärjestelmien omistajilta itseltään ja ainoastaan murto-osa teleyrityksille säädetyn lakisääteisen ilmoitusvelvollisuuden kautta. Viime vuoden lokakuun ja joulukuun välisenä aikana CERT-FI vastaanotti teleyrityksiltä 17 lakisääteistä ilmoitusta tietoturvaloukkauksista tai tietoturvauhasta.

CERT-FI:llä ei välttämättä ole aina tiedossa, kuka tai mikä taho tietoturvaloukkauksen kohteena olevasta palvelusta on vastuussa tai miten tämän tavoittaa. Mikäli suora yhteydenotto ei ole mahdollinen, tieto saatetaan kierrättää tietoliikenneyhteyden tarjoavan teleyrityksen tietoturvaosaston kautta. Tietosuojavaltuutetulle nyt toimitettuun yhteenvetoon kirjatuista tapauksista tieto on saatettu asianomistajan tai tälle tieto- ja viestintäpalveluita tuottavan alihankkijan tietoon tuoreeltaan. Suurin osa materiaalista on ollut julkisesti saatavilla ilmoitusajanhetkellä jo osa on edelleen julkisesti saatavilla.

Julkisia lähteitä ja ohjeistusta

Edellä mainitun CERT-FI Autoreporterin tuottamien tilastojen ja avoimen datan lisäksi suomalaisia palveluita koskevista tietoturvaloukkauksista löytyy paljon julkista tietoa.

CERT-FI:n Facebook-sivuilla on esitelty viime vuoden lopulla joitakin julkisia palveluita, joista voi käydä tarkistamassa oman tai käyttämiensä verkkojen tietoturvatapahtumia:

• Googlen Safebrowsing-palvelu on rajatusti avoin loppukäyttäjille ja tuottaa tarkempaa raporttia sivustojen ylläpitäjille
  
• Microsoftin Bing-palvelussa on samoin erilliset loppukäyttäjä- ja ylläpitäjänäkymät
  
• CLEAN-MX:n raportteja: haittaohjelmaa jakavat sivustot, töhrityt sivustot ja phishing-sivustot
  
• Kotimainen Web of Trust
• McAfee SiteAdvisor
  
• Spamhausin DROP-lista
• Zone-H:n töhrittyjen sivustojen lista
• Shadowserverin Conficker-tilannekuva
  
• Näiden lisäksi myös muun muassa Malware Domain List saattaa olla hyödyllinen seurattava.
  

CERT-FI julkaisi marraskuussa 2011 ohjeen 1/2011 www-palvelujen tietoturvallisesta ylläpidosta.

Päivitys 27.7.2012 kello 23.50: Lisätty puuttuvat linkit Clean-MX:n phishing-tilastoihin ja Zone-H:n palveluun sekä uutena Shadowserverin Conficker-lista ja McAfeen SiteAdvisor.

17.07.2012

CERT-FI Autoreporter: Avoin data / öppen data

Tilastoja vuodesta 2005 alkaen / Statistik från och med år 2005

CERT-FI Autoreporter -palvelun tilastoja on julkaistu avoimena datana.

Statistik från CERT-FI Autoreporter har publicerats som öppen data.

17.07.2012

Tietomurtoja ulkomaisiin verkkopalveluihin

Useat isot verkkopalvelut ovat heinäkuussa ilmoittaneet joutuneensa tietoturvahyökkäyksien kohteiksi. Hyökkäyksien seurauksena joidenkin palveluiden käyttäjien sähköpostiosoitteita ja salasanoja on vuodettu julkisuuteen.

Tietomurtojen seurauksena Yahoo! Contributor Network-palvelun, Formspringin sekä australialaisen Billabong Internationalin palveluiden käyttäjien tunnuksia ja salasanoja on vuodettu verkkoon. Yahoon käyttäjätunnukset oli julkaistu selkokielisinä. Yahoo!:n mukaan käyttäjätiedot olivat peräisin ennen vuoden 2010 toukokuuta rekisteröityneiltä käyttäjiltä.

Piirivalmistaja Nvidian ja Android-käyttöjärjestelmästä kiinnostuneiden AndroidForums.comin keskustelupalstoihin on myöskin murtauduttu. Nvidia on
ilmoittanut tutkivansa keskustelupalveluunsa kohdistunutta tietomurtoa. Murtojen laajuudesta ei kuitenkaan ole vielä tarkkaa tietoa, eikä käyttäjätunnuksia ole toistaiseksi vuodettu verkkoon. Nimettömänä pysyttelevä ryhmittymä on myös julkaissut öljyalan yhtiöiden työntekijöille kuuluvia sähköpostiosoitteita ja salasanatiivisteitä verkossa.

Tähän asti julkaistujen tietojen joukossa ei ole ollut suuria määriä suomalaisiksi tunnistettavissa olevia käyttäjätietoja. CERT-FI muistuttaa, että samaa salasanaa ei tule käyttää useassa eri palvelussa.

09.07.2012

DNSChangerin käyttämät nimipalvelimet ja CERT-FI:n palvelut DNS-OK.FI ja DNS-OK.AX on suljettu

Nimipalvelinasetuksia muuttavan DNSChanger-haittaohjelman FBI:n hallussa olevat nimipalvelimet on nyt suljettu. CERT-FI:n tarkistuspalvelut dns-ok.fi ja dns-ok.ax ovat myös suljettu. Palveluiden avulla on voinut tarkistaa helposti internet-selaimella ovatko tietokoneen tai laajakaistareitittimen asetukset mahdollisesti DNSChanger-haittaohjelman muuttamat.

Verkon käyttäjät ovat voineet käyttää CERT-FI:n palveluita dns-ok.fi ja dns-ok.ax osoitteissa tarkistaakseen onko heidän tietokoneessaan tai laajakaistamodeemissaan mahdollisesti DNSChanger-haittaohjelman muuttamat nimipalvelinasetukset. Entiset rikollisten hallinnoimat nimipalvelimet ovat olleet FBI:n hallussa vuoden 2011 marraskuusta asti. Nimipalvelimet ovat lopettaneet toiminnan varhain tänä aamuna, Suomen aikaa kello 07.00.

Haittaohjelman tartuntamääriä Suomessa on käsitelty aiemmin Tietoturva nyt! -artikkelissa "DNSChangerin käyttämät nimipalvelimet sammutetaan 9.7.2012". Artikkelissa kerrottiin myös virheellisesti nimipalvelinten sulkemisesta kello 06.00.

06.07.2012

DNSChangerin käyttämät nimipalvelimet sammutetaan 9.7.2012

DNSChanger-haittaohjelman käyttämät nimipalvelimet sammutetaan 9.7.2012 noin 06.00 Suomen aikaa. Haittaohjelman saastuttamilla tietokoneilla ei sen jälkeen voi esimerkiksi selata internet-sivustoja. Suomessa haittaohjelmia on enää muutamissa kymmenissä tietokoneissa.

Suomalaisiakin tietokoneita jo useita vuosia saastuttaneen haittaohjelma DNSChangerin nimipalvelimet sammutetaan maanantaina Suomen aikaan noin kello 06.00. Nimipalvelimet ovat olleet Yhdysvaltojen liittovaltion poliisin FBI:n hallussa vuoden 2011 marraskuusta lähtien, jolloin operaatio Ghost Click saatiin päätökseen. Rikollisten nimipalvelinten tilalle laitettiin oikeita vastauksia antavat nimipalvelimet. Samalla tuli mahdolliseksi myös ilmoittaa saastuneiden koneiden omistajille haittaohjelmatartunnasta.

Useat eri maiden CERT-ryhmät ovat toteuttaneet palvelun, jonka avulla kuka tahansa voi tarkistaa ovatko tietokoneen nimipalvelinasetukset kyseisen haittaohjelman muuttamia. CERT-FI:n tarkistuspalvelut ovat olleet osoitteissa http://dns-ok.fi ja http://dns-ok.ax. Palveluiden toimintaperiaatteesta on kerrottu tarkemmin 19.1.2012 julkaisemassamme Tietoturva nyt! -artikkelissa "Testaa, onko koneessasi DNSChanger-haittaohjelma".

Nimipalvelinasetuksia muuttava haittaohjelma toimii siten, että se palauttaa rikollisten määrittelemiä tietoja tietokoneen tekemiin nimipalvelukyselyihin. Haittaohjelmaa onkin ollut vaikea havaita tietokoneesta sen käyttämien rootkit-ominaisuuksien ja siksi, että suuri osa nimipalvelukyselyistä ohjautuu oikeaan osoitteeseen. Ensimmäiset havainnot tästä haittaohjelmasta Suomessa ovat vuoden 2009 lopulta. CERT-FI on käsitellyt nimipalvelinasetuksia muuttavia haittaohjelmia muun muassa Tietoturva nyt! -artikkelissa 11.11.2011, "Nimipalveluasetuksia muuttavat haittaohjelmat ovat olleet riesana pidemmän aikaa".

Nimipalvelimet oli alun perin määrä sammuttaa 8.3, mutta johtuen tartuntojen korkeasta määrästä niille annettiin 120 päivää jatkoaikaa. Kun haittaohjelman asettamat nimipalveluosoitteet lakkaavat toimimasta, muun muassa selaimet eivät löydä verkkosivuja. Suomessa tartuntoja on ollut verrattaen vähän, ja sekin vähäinen määrä on laskenut vähitellen vuoden 2011 lopulta asti jättäen jäljelle muutamia kymmeniä tietokoneita. Maailmanlaajuisesti haittaohjelman arvioidaan saastuttaneen miljoonia Windows- ja Mac-tietokoneita. Tartuntoja arvioidaan maailmanlaajuisesti olevan vielä noin 300000. Tartuntojen määrä voi todellisuudessa olla kuitenkin paljon suurempi, johtuen erilaisista tartuntamäärien mittaustavoista ja siitä, että välityspalvelimia ja NAT-verkkotekniikkaa käytettäessä yhden IP-osoitteen takaa voi löytyä useampi saastunut tietokone.