MS Word on vakoojan valinta
22.5.2006 12:58 Wordin uusi haavoittuvuus tuli julki tarkoin valmistellun hyökkäyksen epäonnistuttua perjantaina. F-Securen tiedossa on viimeisen puolentoista kuukauden ajalta neljä samanlaista tapausta. Kohteet olivat samalla teollisuudenalalla toimivia eurooppalaisyrityksiä. Kaikissa tapauksissa hyökkäys tehtiin Word-dokumenteilla.
Tietoturvayhtiö Symantec varoitti Word-haavoittuvuudesta ensimmäisten joukossa perjantaina. Yhtiö kertoi, että haavoittuvuutta oli hyödynnetty hyökkäyksessä Japanin valtionhallinnon järjestelmiin. Internet Storm Center kertoi perjantaina puolestaan vastaavasta hyökkäysyrityksestä, jonka kohteena oli yhdysvaltalanen yritys.
Hyppösen mukaan perjantain hyökkäyksissä on paljon yhtäläisyyksiä F-Securen tiedossa oleviin aiempiin hyökkäyksiin.
- Mielenkiintoisempaa kuin uusi Word-haavoittuvuus on se, että kohteena oli Word.
- Meillä on kuuden seitsemän viikon ajalta tiedossa neljä vastaavaa keissiä, joissa firmoihin on tultu sisään samanlaisilla tekniikoilla. Neljä yhtiötä ovat eurooppalaisia ja kuuluvat samaan teollisuudenalaan. Näissä on ollut tarkoitus kerätä tietyn alan tietoa, sanoo Hyppönen.
Hyökkäyksissä yritysten muutamille työntekijöille on lähetetty sisäiseksi väärennetty sähköposti, jonka liitteenä matkaa Wordin .doc-tiedosto. Viesti on henkilökohtaisesti osoitettu vastaanottajalle. Liitetiedoston avaaminen laukaisee hyökkäyksen.
Hyppösen mukaan osassa sähköpostiviesteistä lähettäjäksi on merkitty jopa kohdeyrityksen oikea työntekijä.
Räätälöityjä rootkittejä
Taidoista ei hyökkääjillä ole pulaa. Vakoilukomponentti on aiemmissa tapauksissa piilotettu rootkiteillä, jotka eivät Hyppösen mukaan ole tunnettujen rootkittien lähdekoodeista kierrätettyjä vaan nähtävästi varta vasten tehty hyökkääjien tarpeisiin. - Sellaisia ei vielä vuosi sitten näkynyt. Kuka näiden takana onkaan, osaa asiansa. Perjantain hyökkäyksessä vakoiluohjelma alkoi heti käynnistyttään skannamaan järjestelmää. Se kävi läpi muun muassa My Documents -kansion sisällön ja käytössä olevat tietoturvaohjelmat. Varsinainen hyökkäysmenetelmä hyödynsi Wordin aiemmin tuntematonta haavoittuvuutta. Neljässä aiemmassa tapauksessa hyödynnetyt Word-haavoittuvuudet olivat vanhoja - jopa muutaman vuoden takaa. - Monessa yrityksessä on asennettuna viimeiset Windows-päivitykset, mutta Office on päivittämättä, sanoo Hyppönen. Suodatuksessa ongelmiaWordin haavoittuvuudet sopivat kohdennettuihin hyökkäyksiin kuin nakutettu. Doc-tiedostoja käytetään yleisesti yritysten ja organisaatioiden sisällä ja jopa niiden välisessä sähköpostivaihdossa. Siksi suodattaminen sähköpostista ei usein onnistu edes käytännön syistä. - Makrovirusten aikaan muutama vuosi sitten doc-tiedostoja ei päästetty läpi, mutta ajat ovat muuttuneet, sanoo Hyppönen. Word-komponentteja voi sisällyttää myös muun muassa Excel- ja PowerPoint-dokumentteihin, joten vaara vaanii myös .xls- ja .ppt-tiedostoissa. Kaiken lisäksi useilla kokoonpanoilla Windows tunnistaa doc-tiedoston tiedostopäätteestä riippumatta ja avaa sen Wordillä. Liikennettä Kiinan suuntaan
Mikko Hyppösen mukaan ensimmäinen suojautumiskeino on poistaa ylläpito-oikeudet rivikäyttäjiltä. Tähän mennessä tietoon tulleet hyökkäykset eivät ole toimineet, jos käyttäjä on kirjautunut sisään loppukäyttäjän oikeuksilla. Verkkotasolle hän suosittelee liikenteen tarkkailua. Erityisesti Kiinaan suuntautuvaan liikenteeseen kannattaa Hyppösen mielestä suhtautua varauksella. Kiinalaiset domain-palvelut kuten 3322.org ja 8866.org ovat olleet vakoilijoiden ahkerassa käytössä. Uusimmassa Word-hyökkäyksessä vakoiluohjelma otti yhteyden 3322.orgia käyttävään verkkotunnukseen. Palvelua käytettiin myös viime syyskuussa Euroopan parlamenttiin tehdyissä kohdistetuissa hyökkäyksissä, jotka nekin tehtiin Word-dokumenteilla. Palvelut ovat Aasiassa suosittuja ja niiden piirissä on runsasti myös harmittomia sivuja. Suodattamista kannattaisi silti harkita, jos kokee yrityksensä olevan potentiaalinen kohde, Hyppönen neuvoo. Hän kehottaa ylläpitäjiä myös tarkistamaan lokitiedoista, minkälaista liikennettä yritysverkosta on 3322.org:iin, 8866.orgiin ja vastaaviin palveluihin lähtenyt.
Jaakko Kuivalainen toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Nokia luopuu isosta massatapahtumasta
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. IPhoneen uusi alihankkija
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Taloussanomat
- Suomi löysi taas Nokian älypuhelimet 06:01
- Autonvuokrauksessa hurjat eurohintaerot 06:09
- Haluatko menestyä? Unohda nämä koulun opit 16:35
- Lumia 900:n myynti alkoi: "Näyttää erittäin lupaavalta" 06:03
- IMF-pomo: Olen enemmän huolissani Afrikan lapsista kuin kreikkalaisista 15:54
- Kevään epämukavin pikku-Fiat 06:15
- Oikeus päätti: Tekstarin lähettäjä syytön onnettomuuteen 10:13
- HS: Palkkakuilu levenee kovaa vauhtia 09:43
- Vain yksi pankki lellii asuntovelkaista korkokikkailijaa 06:01
- Taloussanomilta KHO-valitus VM:n vakuuspäätöksestä 12:58
- » Taloussanomat.fi
