Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248 (pvm/mpm)

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100 (pvm/mpm)

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Tietoturva nyt! > 2009 > Kesäkuu

Kesäkuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

Autoreporter palkittu

Toista kertaa järjestetty kilpailu toi CERT-FI:lle palkinnon

CERT-FI:n tuottama Autoreporter-palvelu on voittanut palkinnon FIRST:n (Forum of Incident Response and Security Teams) ja CERT/CC:n (CERT Coordination Center) järjestämässä kilpailussa. Kilpailussa etsittiin parhaita käytäntöjä tietoturvaloukkausten havaitsemiseen ja estämiseen.

Kilpailun voittajat julkistettiin viime yönä Suomen aikaa FIRST:n vuotuisen konferenssin yhteydessä Kiotossa. Autoreporter-palvelun lisäksi kilpailussa palkittiin Ciscon Netflow-palvelu.

Windows-päivitystiedotteelta näyttävä roskaposti sisältää linkin haittaohjelmaa jakavalle www-sivustolle

Roskapostin mukana on viime päivinä tullut viestejä, joiden aiheena on Microsoft Outlookin ja Outlook Expressin kriittinen päivitys. Viestien tarkoituksena on erehdyttää vastaanottaja asentamaan työasemaansa haittaohjelma.

Kuluneen viikon aikana liikkeellä on ollut roskapostiviestejä, joissa kerrotaan kriittisestä Microsoft Outlookin ja Outlook Expressin päivityksestä. Viestien tarkoituksena on erehdyttää vastaanottaja seuraamaan viestissä olevaa linkkiä. Linkin verkkotunnusosa on laadittu siten, että linkki muistuttaa hieman Microsoft Update -sivuston osoitetta. Viestissä olevaa linkkiä seuraamalla käyttäjä päätyy www-sivustolle, joka tarjoaa ladattavaksi ja asennettavaksi haittaohjelmaa, jonka tiedostonimi muistuttaa Microsoftin päivityksissä käytettäviä tiedostonimiä. CERT-FI:n tietojen mukaan kyseistä viestiä on roskapostitettu myös suomalaisille vastaanottajille.

Tyypillisesti ohjelmistovalmistajat tiedottavat ohjelmistopäivityksistä sähköpostitse vain tilanteissa, joissa käyttäjä on erityisesti rekisteröitynyt ohjelmistovalmistajan tiedotejakeluun sähköpostiosoitteellaan. Sähköpostiviesteihin, joissa vastaanottajaa kehotetaan suorittamaan jokin tiedosto, on syytä suhtautua hyvin kriittisesti ja varmistua tarjotun tiedoston alkuperästä.

HTTP-palvelimiin kohdistettu palvelunestohyökkäystyökalu ja rajoituskeinot

Sovelluksiin kohdistuvista pienellä liikennemäärällä toteutettavista palvelunestohyökkäystekniikoista on viime kuukausina raportoitu entistä useammin

Viime viikolla julkaistiin hyökkäystyökalu, joka on suunniteltu aiheuttamaan palvelunestotila HTTP-palvelimissa. Työkalu toimii lähettämällä HTTP-palvelimille vaillinaisia HTTP GET tai HTTP POST -viestejä. Tällöin HTTP-yhteys jää avoimeksi ja palvelin varaamaan resursseja yhteyden ylläpitämiseksi. Resurssit varataan joidenkin palvelimien oletusasetuksissa minuuttien ajaksi, jolloin palvelunestotila voidaan aikaansaada melko pienellä määrällä HTTP-pyyntöjä.

Työkalun on raportoitu vaikuttavan haitallisimmin Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer -HTTP-palvelimiin ja Squid HTTP-välityspalvelimeen, niiden ollessa oletuskonfiguraatioissaan. Vastaavanlaisia HTTP-palvelimiin kohdistuvia hyökkäystekniikoita on kuvattu myös aiemmin. Työkalun tuottamaan hyökkäykseen on koottu rajoituskeinoja ISC SANS:n julkaisemassa blogiartikkelissa. Artikkelissa mahdollisesti toimiviksi rajoituskeinoiksi mainitaan Apache HTTP-palvelimen osalta TimeOut-direktiivin pienentäminen ja yhdestä IP-osoitteesta samanaikaisesti luotujen yhteyksien määrän rajoittaminen.

Kyseiseen heikkouteen on Apachen osalta olemassa myös epävirallinen kolmannen osapuolen korjaus. Epävirallisten päivitysten asentamista järjestelmiin tulee aina harkita huolellisesti. Korjaustiedostojen toimivuutta ei useinkaan ole huolellisesti testattu eikä niiden lähteiden luotettavuudesta ole välttämättä täyttä varmuutta. Mahdollisiin päivittämisestä koituviin järjestelmän toimivuusongelmiin ei välttämättä ole saatavilla tukea. CERT-FI ei ole tutkinut kyseessä olevaa korjaustiedostoa.


SquirrelMail-projektin käyttämä www-palvelin murrettu

SquirrelMail on PHP-pohjainen webmail-ohjelmisto. SquirrelMail-projektin käytössä olevalle www-palvelimelle on murtauduttu. Murron seurauksista ei ole vielä tarkkaa tietoa.

SquirrelMail-projekti on julkaissut tiedotteen www-palvelimeensa kohdistuneesta tietomurrosta. Tapauksen tutkinta on tiedotteen mukaan vielä kesken. SquirrelMailin tiedotteen mukaan SquirrelMail-ohjelmiston Sourceforge-palvelussa olevaan lähdekoodijakeluun ei ole murron seurauksena päästy tekemään haitallisia muutoksia. Varotoimenpiteenä SquirrelMailin lisäosat (plugin) on poistettu jakelusta. SquirrelMail-projekti on ollut tietomurron kohteena myös aiemmin (aiheesta julkaistu Tietoturva nyt! -artikkeli).

Apple julkaissut Java-päivityksiä Mac OS X-käyttöjärjestelmälle

Useita kymmeniä viimeisen puolen vuoden aikana julkaistuja haavoittuvuuksia korjattu

Apple julkaisi Java-päivitykset Mac OS X-käyttöjärjestelmän 10.4.- ja 10.5.-versioille. Päivityksissä on korjattu useita kymmeniä haavoittuvuuksia, jotka on julkaistu viimeisen puolen vuoden aikana. Päivitetyt Java-versiot vastaavat Sunin Java 6 Update 13-versiota.

TCP-haavoittuvuutta koskevaa lausuntoa päivitetty

Lausuntoon lisätty huomioita Phrack-lehdessä julkaistuun artikkeliin liittyen

Phrack-lehdessä julkaistiin artikkeli TCP-protokollan haavoittuvuudesta, joka liittyy ikkunakoon käsittelyyn ja ajastintoteutuksiin. Artikkelissa kuvattu hyökkäys liittyy samaan aihepiiriin kuin Outpost24-yhtiön raportoimat TCP-heikkoudet, joiden korjaustoimet CERT-FI koordinoi.

Päivitetty lausunto on osoitteessa http://www.cert.fi/haavoittuvuudet/2008/tcp-haavoittuvuudet.html. Phrack-lehden artikkelin julkaisu ei vaikuta CERT-FI:n koordinointiprojektin aikatauluun tai koordinointityöhön.

Muistitikku voi yllättää

Pieni joukko teleyritys Elisan asiakkaita sai tällä viikolla tietää, että heidän ostamansa USB-nettitikun kylkiäisenä tuli myös tilaamatonta sisältöä. Nettitikun mukana toimitetulla muistikortilla oli nimittäin tietoturvaohjelmiston lisäksi piilossa myös haittaohjelma. Muistitikkujen suhteen kannattaa olla muutenkin tarkkana.

Elisan tapauksessa oli kyse siitä, että muistikorttien sisällön valmistellut laitetoimittaja oli ilmeisesti käyttänyt työvälineenä haittaohjelman saastuttamaa tietokonetta, jolloin se oli päässyt leviämään myös asiakkaille jaettaville korteille.

CERT-FI:n tiedossa on myös sellaisia tapauksia, joissa kaupasta tilattujen USB-muistitikkujen mukana on ollut tiedostoja, joita ei ole tarkoitettu sivullisten silmille. Eräässä tapauksessa yrityslahjoiksi tilatut USB-muistitikut näyttivät aluksi tyhjiltä, mutta tarkemmassa tarkastelussa osoittautui, että tikut oli alustettu siten, että tiedostot oli mahdollista palauttaa luettaviksi.

Komento "delete" ei tuhoa tiedostojen sisältöä, vaan ainoastaan poistaa ne tiedostoluettelosta. Tiedostojen siirtäminen käyttöjärjestelmän "roskakoriin" ei sekään oikeasti poista tiedostoja. Edes "format" eli tiedostojärjestelmän alustamiskomento ei välttämättä poista tiedostoja niin, ettei niiden sisältö sopivilla työkaluilla olisi edelleen löydettävissä.

Jos USB-muistitikulla, kiintolevyllä, erillisellä muistikortilla, levykkeellä tai muulla tallennusvälineellä on säilytetty luottamuksellista tietoa ja laite on tarkoitus luovuttaa edelleen muuhun käyttöön, on sen sisältö ylikirjoitettava erityisellä työkaluohjelmalla.

Microsoftilta useita ohjelmistopäivityksiä ensi tiistaina

Microsoft on ilmoittanut julkaisevansa tiistaina 9.6. kymmenen ohjelmistopäivitystä, joista kuusi on luokiteltu kriittisiksi.

Microsoft julkaisee ensi tiistaina kymmenen päivitystä sisältävän päivityspaketin. Niistä kuusi on Microsoftin kriittiseksi luokittelemia päivityksiä haavoittuvuuksiin, jotka mahdollistavat hyökkäjän komentojen suorittamisen kohdejärjestelmässä. Kolme päivitystä on luokiteltu tärkeiksi ja yksi on vakavuudeltaan keskitasoa.

Kriittiseksi luokitellut ohjelmistopäivitykset koskevat Windows-käyttöjärjestelmää, Internet Explorer -selainta ja Microsoft Office -ohjelmistoja. CERT-FI julkaisee päivityksistä haavoittuvuustiedotteet. Suosittelemme päivittämään haavoittuvat ohjelmistot heti päivitysten tultua saataville.

Yhdysvaltalainen hosting-palveluntarjoaja 3FN poistettu verkosta viranomaismääräyksellä

Hosting-palveluntarjoaja 3FN on poistettu verkosta FTC:n, eli Yhdysvaltain kauppakomission aloitteesta. Palveluntarjoajaa syytetään muun muassa haittaohjelmien ja roskapostin levityksestä.

Jälleen yksi palveluntarjoaja, yhdysvaltalainen 3FN, on poistettu verkosta. Tästä tapauksesta tekee poikkeuksellisen se, että palveluntarjoaja poistettiin verkosta Yhdysvaltain kauppakomission FTC:n, eli viranomaisen aloitteesta. FTC:n mukaan 3FN:ää syytetään muun muassa aktiivisesta osallisuudesta roskapostin, haittaohjelmien ja lapsipornon levitykseen. Palveluntarjoaja tunnetaan muun muassa myös nimillä Triple Fiber Network, APS Telecom, APX Telecom, APS Communications, APS Communication ja Pricewert LLC.

CERT-FI:n tietojen mukaan osa Cutwail-haittaohjelmaperheen komentopalvelimista oli 3FN:n verkossa. Cutwail on roskapostia lähettävä haittaohjelma. Toistaiseksi palveluntarjoajan poistuminen verkosta ei kuitenkaan näy Internetin roskapostin määrää tarkkailevan Spamcopin tilastoissa, toisin kuin toisen yhdysvaltalaisen palveluntarjoajan McColon verkosta poistamisen jälkeen viime marraskuussa. Julkaisimme tuolloin aiheesta Tietoturva nyt! -artikkelin. Käsittelimme muita vastaavantyyppisiä operaattoreita toisessa Tietoturva nyt! -artikkelissa.

Korjaus osCommercea koskevaan artikkeliin

Korjaus verkkokauppasovellus osCommercen lisäosien haavoittuvuudesta kertoneeseen, 29.5.2009 julkaistuun Tietoturva nyt! -artikkeliin. Maksumoduuleissa olevaa haavoittuvuutta käsitelleessä artikkelissa oli kirjoitusvirhe; verkkokauppasovellus mainittiin verkkopankkisovelluksena.

Tietoturva nyt! -artikkelissa 29.5.2009 käsiteltiin osCommerce-verkkokauppasovelluksen lisäosista löytynyttä haavoittuvuutta. Artikkelissa mainittiin, että verkkopankkisovellus erehdytetään luulemaan, että maksutapahtuma on onnistunut. Kyseessä ei kuitenkaan ole verkkopankkisovelluksen erehdyttäminen, vaan verkkokauppasovelluksen erehdyttäminen.

Mikäli epäilee haavoittuvuutta käytetyn hyväksi, kannattaa ensimmäiseksi suorittaa vertailu verkkokauppaan tehtyjen tilausten ja maksujen välillä. Lisätietoja haavoittuvista osCommercen maksumoduuleista voi lukea päivitetystä haavoittuvuustiedotteestamme 046/2009.

Haittaohjelman saastuttamia web-sivustoja ulkomailla

Suuri määrä ulkomaisia web-sivustoja on joutunut SQL-injektiohyökkäyksen kohteeksi

Suuri määrä ulkomaisia web-sivustoja on joutunut haittaohjelman saastuttamaksi. Arviot määrästä vaihtelevat 20 000 - 40 000 välillä. Pääasiallinen tartuntatapa on ollut SQL-injektointi, eli web-sivuston taustalla olevaan tietokantaan on saatu syötettyä haitallista koodia. Haitallinen koodi on monimutkaistettu, jotta virustorjuntaohjelmistot eivät huomaisi sitä niin helposti, ja ettei siitä suoraan pystyisi arvioimaan mitä ohjelmakoodin on tarkoitus tehdä. Tämän kaltaiset hyökkäykset ovat useimmiten automatisoituja, eivätkä kohdistu mihinkään tiettyyn www-sivustoon.

Käyttäjän vieraillessa saastuneella sivulla haittaohjelma yrittää hyväksikäyttää yhtä tai useampaa kymmenestä haavoittuvuudesta, joita päivittämättömissä internet-selaimissa ja selainten lisäosissa on. Epäonnistuessaan haittaohjelma avaa ponnahdusikkunan, jossa kehoitetaan asentamaan tekaistu virustorjuntaohjelma. Tapaus on saanut lempinimen "Beladen" sen käyttämän verkkotunnuksen mukaan.

Parhaat keinot turvalliseen web-selailuun ovat edelleen järjestelmän, sekä virustorjuntaohjelmiston pitäminen ajan tasalla. Selaimesta voi myös kieltää ponnahdusikkunoiden avaamisen. Mozilla Firefoxiin on myös saatavilla Noscript-lisäosa, joka estää muun muassa javascript-komentosarjojen ajamisen. Lisäosan käyttäminen voi kuitenkin vaikuttaa merkittävästi verkkosivujen käyttökokemukseen, joten sen käyttöä ei voi suositella kuin edistyneemmille käyttäjille.