Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 1

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2012 > Elokuu

Elokuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

30.08.2012

Oracle julkaisi korjauksen Java-haavoittuvuuteen

Oracle on julkaissut päivitetyn version Java-ohjelmistoista. Päivityksen voi asentaa ohjelman oman päivitysmekanismin avulla tai lataamalla korjatun version valmistajan sivuilta.

Korjatun Java-ohjelmiston versionumero on 7 (update 7). Siinä on korjattu neljä eri haavoittuvuutta. Suosittelemme ohjelmiston päivittämistä ensi tilassa.

29.08.2012

Kysymyksiä ja vastauksia Java-haavoittuvuudesta

Oracle Java 7 -ohjelmiston haavoittuvuus on herättänyt paljon kysymyksiä. Keräsimme tähän hiukan vastauksia niihin.

Ovatko muut Java-versiot haavoittuvia? Entäs Mac ja Linux?

Kyseinen haavoittuvuus koskee tämän hetkisen tiedon mukaan vain Oraclen Java-versiota 7. Vanhemmasta versiosta 6 ei ainakaan toistaiseksi ole julkaistu vastaavaa haavoittuvuutta. Tämä ei kuitenkaan tarkoita sitä, etteikö vanhemmassakin versiossa voisi olla hyväksikäytettäviä haavoittuvuuksia. Jos versio 6 on muuten ajan tasalla, ei sitä kannata päivittää versioon 7 ennen kuin nyt löydettyyn haavoittuvuuteen on julkaistu korjaus. Muista Java-ympäristöistä, kuten OpenJDK, ei ole löydetty vastaavaa haavoittuvuutta, mutta sekään ei tietenkään täysin takaa niiden turvallisuutta.

Haavoittuvuutta voidaan käyttää hyväksi Windows-tietokoneiden lisäksi myös Mac OS X- ja Linux-käyttöjärjestelmää käyttävissä tietokoneissa. Toistaiseksi ei kuitenkaan ole vahvistettuja havaintoja muista kuin Windows-versioon kohdistuneista hyväksikäyttöyrityksistä.

Tarvitsenko Javaa? Mitä menee rikki, jos poistan sen kokonaan?

Java-ohjelmia voi ajaa myös paikallisesti suoraan käyttöjärjestelmästä, mutta tavalliselle käyttäjälle Javan käytön riskit liittyvät useimmiten www-selainten Java-tukeen. Läheskään kaikki www-sivut eivät tarvitse Javaa. Jos sivustolla on Java-sovelmia (applets), ne eivät toimi, jos Java on kytketty pois päältä. Näitä voi olla esimerkiksi paikanvarausjärjestelmissä tai mediasoittimissa. Java-tukea vaativat sivut voivat antaa virheilmoituksen tai toimia vain osittain.

Onko Java sama asia kuin JavaScript?

Ei ole. Java-ohjelmia ajetaan Javan ajoaikaisessa ympäristössä ("virtuaalikone", "sandbox", "JRE"), kun taas JavaScriptiä ajetaan selaimessa. Nyt esillä olevat haavoittuvuudet liittyvät Javan virtuaalikoneeseen, eivät Javascript-kieleen. Molempien käytön voi kyllä estää selaimessa, mutta se täytyy tehdä erikseen. Monet sivustot tarvitsevat kunnolla toimiakseen Javascript-tukea selaimelta.

Voinko käyttää Sampo-pankin verkkopankkia ilman Javaa?

Verkkopankkiin liittyvissä asioissa suosittelemme olemaan yhteydessä suoraan pankkiin. Sampo-pankin verkkosivuilla on ohjeita Javan käytön suhteen. Pankin ohjeiden mukaan "asiakkaat voivat halutessaan asioida Java-pohjaisen verkkopankin sijaan Miniverkkopankin, Mobiilipankin tai Tabletpankin kautta".

Mistä löytyvät tarkat ohjeet Javan poistamiseksi?

Täydellisten ohjeiden kirjoittaminen jokaista selainta, pluginia, käyttöjärjestelmää ja kieltä varten on haastavaa. Yksityiskohtaisten ohjeiden sijaan toteamme, että Javan pois kytkemistä ainakin www-selaimesta kannattaa harkita. Tarkemmat ohjeet riippuvat käytetyistä ohjelmistoista ja käyttöjärjestelmästä. Tässä kuitenkin joitakin linkkejä englanninkielisiin ohjeisiin Javan poistamiseksi käytöstä yleisimmin käytetyistä ympäristöistä:

Internet Explorer -selaimen asetukset ovat melko monimutkaisia, joten helpompaa voi olla poistaa Java kokonaan tietokoneesta Windowsin ohjauspaneelin kautta.

Firefox-selaimen asetuksista voi poistaa Java-sovellusten suorittamisoikeudet. Suomenkieliset ohjeet: Java-sovelmien poistaminen käytöstä

Chrome-selaimen plugin-lisäosien hallintaan pääsee kirjoittamalla osoiteriville chrome://plugins/

Apple Safari -selaimen turvallisuusasetuksissa on myös kohta Java-sovelluksia varten.

Voinko tehdä muuta kuin poistaa Java 7:n selaimesta tai tietokoneelta?

Java-sovellusten ja muun aktiivisen sisällön suorittamisen hallintaan on olemassa työkaluja, jotka asennetaan lisäosina selaimeen. Yksi tällainen on Firefox-selaimeen saatavilla oleva NoScript. Sen avulla käyttäjä voi erikseen sallia Javan tai JavaScriptin suorittamisen sivukohtaisesti.

Jos Javan käyttö on oleellista käyttämiesi palveluiden toimivuudelle, kannattaa harkita toisen selaimen käyttämistä ainakin sen aikaa kunnes korjaava ohjelmistopäivitys on saatavilla. Kahden selaimen taktiikalla voit poistaa toisesta selaimesta Javan 7:n käytöstä ja toisella käyttää palveluita, jotka tarvitsevat Javan toimiakseen.

Miksi ohjeet ovat vain Facebookissa?

Facebook ei ole CERT-FI:n varsinainen tiedotuskanava, vaan enemmänkin paikka tietoturva-aiheiselle keskustelulle. Varsinaiset ohjeet julkaisemme tällä sivustolla.

Mitä pahuutta Java-haavoittuvuuden kautta sitten on luvassa?

Java-haavoittuvuuden kautta voi tarttua samoja haittaohjelmia kuin muutenkin, paikkaamaton Java-haavoittuvuus on houkutteleva levitysmahdollisuus haittaohjelmien tekijöille. Haavoittuvuutta on jo käytetty hyväksi pankkiyhteyksiä kaappaavien haittaohjelmien levittämiseen. Tartuntayrityksiä voi tulla vastaan murrettujen www-sivustojen tai mainosbannerien jakelujärjestelmien kautta. Virustorjuntaohjelmat eivät välttämättä tunnista kaikkia uusimpia haittaohjelmaversioita. Tartuntayritys voi tulla asiallisellakin sivustolla vieraillessa. Esimerkiksi Suomessa on havaittu syksyn aikana laajamittainen www-hotellipalveluiden tietomurto, jonka yhteydessä on päästy lisäämään haitallista ohjelmakoodia huomattavalle joukolle täysin asiallisia sivustoja.

[Päivitetty 11.1.2013]

- Muutettu lisätietojen sampopankki.fi linkki danskebank.fi:ksi. Lisätty linkki Firefoxin suomenkieliseen ohjeeseen.

28.08.2012

Java 7:n paikkaamatonta haavoittuvuutta käytetään hyväksi

Java 7:n kaikki versiot sisältävät korjaamattoman haavoittuvuuden. Haavoittuvuutta tiedetään käytetyn hyväksi kohdistetuissa hyökkäyksissä. Koska korjausta ei ole, verkon käyttäjät voivat suojautua mahdollisilta drive-by haittaohjelmatartunnoilta esimerkiksi poistamalla Javan käytöstä selaimissaan.

Java 7:stä on löytynyt haavoittuvuus, joka koskee kaikkia Javan 7-versioita update 0:sta update 6:een. Haavoittuvuuden hyväksikäyttömenetelmän on todettu toimivan ainakin Windowsin eri versioihin, Linuxiin (Ubuntu 10.04) ja OS X:ään (10.7.4) asennetuissa Java 7:n versioissa. CERT-FI:n haavoittuvuustiedote 135/2012 käsittelee tätä haavoittuvuutta.

Haavoittuvuutta on verkosta saatavien tietojen mukaan käytetty hyväksi kohdistetuissa hyökkäyksissä. Sen lisäksi hyväksikäyttömenetelmä on lisätty MetaSploit-työkaluun, jota käytetään penetraatiotestauksissa. On myös oletettavaa, että internetissä toimivat rikolliset lisäävät hyväksikäyttömenetelmän omiin työkaluihinsa, kuten BlackHole Exploit kittiin.

Miksi kyse on niin vakavasta asiasta?


Java 7 on saatavilla useille käyttöjärjestelmille. Samaa paikkaamatonta haavoittuvuutta voidaan käyttää eri käyttöjärjestelmille tehtyjen exploittien, eli hyväksikäyttömenetelmien saamiseksi ajoon käyttäjien koneille. Eri käyttöjärjestelmät ja selaimet voidaan tunnistaa helposti selainten käyttämien user-agent -tunnisteiden perusteella. Tunnisteen perusteella exploit-kitit tarjoavat selaimelle käyttöjärjestelmää ja selainta vastaan tehtyjä exploitteja, jotka lataavat haittaohjelman käyttäjän koneelle. Javan paikkaamattomien versioiden avulla on levitetty muun muassa kiristyshaittaohjelmia ja pankkitroijalaisia.

Mitä voin tehdä?


Selaimiin on saatavilla lisäosia, kuten Firefoxin NoScript, jonka avulla skriptit ja erilaiset lisäosat eivät käynnisty automaattisesti verkkosivua avatessa. Javan ja selaimen lisäosien poistamiseksi käytöstä voit katsoa esimerkiksi CERT-FI:n Facebook-sivuilla julkaisemat ohjeet Chromelle ja Firefoxille (lukeminen ei vaadi kirjautumista). Internet Explorerin lisäosien hallintaan ohjeet löytyvät Microsoftilta.

10.08.2012

Dsbl.org suodatuslistapalvelu syytä poistaa käytöstä

Vuonna 2009 käytöstä poistunut suodatuslistapalvelu voi aiheuttaa ongelmia sähköpostin kululle

Dsbl.org suodatuslistapalvelu tarjosi tietoa avoimista sähköpostipalvelimista ja proxy-välityspalvelimista roskasähköpostiliikenteen rajoittamista varten. Palvelu poistui käytöstä ilmeisesti vuonna 2009. Kyseinen suodatuslistapalvelu on ilmeisesti edelleenkin käytössä joissakin suomalaisissa postipalvelimissa.

Viime vuorokausien aikana ilmeisesti palvelun käyttämissä verkkotunnuksissa on tapahtunut muutoksia, joiden ansiosta palvelua vielä käyttävä sähköpostipalvelin voi suodattaa vääriä viestejä. Koska itse suodatuslistapalvelun ylläpito on loppunut, dsbl.org -palvelu on syytä poistaa sähköpostipalvelimien suodatusasetuksista välittömästi.

10.08.2012

Blizzardin Battle.net palvelussa tietomurto

Blizzard Entertainmentin Battle.net palveluun tehtiin tietomurto 4.8.2012. Tietomurron seurauksena kaikkien eurooppalaisten käyttäjien sähköpostiosoitteet varastettiin.

Blizzard Entertainment on julkaissut tiedotteen tietomurrosta, joka koskee kaikkia Battle.net palvelun käyttäjiä Kiinaa lukuun ottamatta. Hyökkääjät onnistuivat varastamaan tietomurrossa palvelun eurooppalaisten käyttäjien sähköpostiosoitteet. Pohjoisamerikkalaisilta käyttäjiltä tietomurrossa varastettiin sähköpostiosoitteiden lisäksi SRP-protokollalla salatut salasanat, turvakysymyksen vastaus sekä käyttäjäkohtaista tietoa liittyen Mobile Authenticator ja Dial-in Authenticator järjestelmiin. Murtautujalla ei ole ollut pääsyä luottokorttitietoihin, käyttäjien nimiin tai postiosoitteisiin.

Tietomurron seurauksena Battle.net käyttäjiin voi kohdistua tietojenkalasteluyrityksiä. Tietojenkalasteluviestien sisältämiä linkkejä ei kannata klikata ja viestien liitetiedostoja ei pidä avata. Blizzard korostaa, että he eivät koskaan kysy käyttäjätunnusta tai salasanaa sähköpostitse. Lisätietoja tietomurrosta löytyy Blizzardin sivuilta: Important Security Update FAQ.

10.08.2012

Uusi tietoja varastava Gauss haittaohjelma löydettiin Lähi-idästä

Kaspersky Labin tutkijat ovat löytäneet uuden tietoja varastavan haittaohjelman. Haittaohjelma on saanut nimen Gauss sen sisältämän ohjelmakomponentin mukaan.

Kaspersky Labin raportin mukaan Gauss on läheistä sukua Flame haittaohjelmalle, joka on vuorostaan sukua Stuxnet ja Duqu haittaohjelmille. Gauss on rakenteeltaan modulaarinen ja haittaohjelman ylläpitäjät voivat päivittää haittaohjelmaan uusia ominaisuuksia verkkoyhteyden kautta. Vielä ei ole varmuutta miten haittaohjelma saastuttaa tietokoneen ja kuinka se leviää.

Gauss haittaohjelma osaa varastaa muun muassa seuraavia tietoja:

  • Verkkopankkitunnuksia
  • Tietoja tietokoneen asetuksista ja kokoonpanosta
  • Listaukset tietokoneen tiedostoista ja hakemistoista
  • Sähköposti, pikaviesti ja sosiaalisen media palveluiden tunnuksia
  • Selaimen eväste- ja salasanatietoja

Haittaohjelma etsii tunnistamatonta ohjelmaa ja kerää tietyllä alueella toimivien pankkien tunnuksia

Gauss sisältää USB-muistitikkuja hyödyntävän tietoja varastavan komponentin. Kasperskyn mukaan USB-muistitikkua hyödyntävän komponentin toiminta on kohdistettu järjestelmää tai järjestelmiä vastaan, joihin on asennettu tietty, toistaiseksi tunnistamaton ohjelmisto. Gaussin verkkopankkitunnuksia urkkiva komponentti on kohdistettu useisiin pankkeihin, joilla on toimintaa Libanonissa.

Kaspersky Labin havaintojen mukaan Gauss on saastuttanut yli 2500 tietokonetta 25 maassa, mutta todennäköisesti saastuneita koneita on enemmän. Valta osa saastuneista tietokoneista on Libanonissa ja maan lähialueilla. Haittaohjelman komentopalvelimet on ajettu alas heinäkuussa 2012. Tällä hetkellä haittaohjelma odottaa komentopalvelinten tulevan uudelleen aktiiviseksi. Gauss-haittaohjelmaa ei ole havaittu Suomessa.

Lisätietoja haittaohjelmasta ja sen ominaisuuksista löytyy Kaspersky Labin raportista Gauss: Abnormal Distribution.