CERT-FI: Kohdistettu hyökkäys ohittaa virustorjuntaohjelmat
Kohdistetussa hyökkäyksessä halutaan ottaa käyttöön käyttäjän tietokone.
Kuva: Ville Myllynen / Lehtikuva
10.7.2008 09:07 Haittaohjelmia levitetään entistä useammin kohdistetusti, jotta voitaisiin hankkia tietoja kohteena olevasta organisaatiosta. Sen lisäksi haittaohjelmia levitetään edelleen myös laajoina jakeluina sähköpostitse, murretuilla www-sivustoilla ja pikaviestimillä, kertoo Viestintäviraston tietoturvayksikkö CERT-FI.
CERT-FI:n tietoon on tullut tapauksia, joissa suomalaisiin organisaatioihin on pyritty levittämään haittaohjelmia kohdistetusti. Haittaohjelmia on levitetty sähköpostiviestien liitetiedostoina erittäin rajatulle ja tarkkaan valitulle vastaanottajien joukolle. Viestien lähettäjäksi on väärennetty tunnettu taho, ja viestien aiheet ovat olleet uskottavia ja organisaation normaaliin toimintaan liittyviä. Tyypillinen haittaohjelman sisältävä liitetiedosto voi olla esimerkiksi kutsu kokoukseen tai konferenssiin.
Kohdistetuissa hyökkäyksissä käytetyt haittaohjelmat ovat yleensä olleet sellaisia versioita, joita virustorjuntaohjelmat eivät ole hyökkäyksen toteuttamisvaiheessa tunnistaneet. Ohjelmien tarkoituksena on ollut saada käyttäjän tietokone etähallittavaksi, jolloin sen kautta voidaan hankkia tietoja organisaation toiminnasta.
CERT-FI:n mukaan www-sivustojen ja sähköpostipalvelujen tarjoajien tulee varautua siihen, että palvelujen tietoturvallisuudessa olevia puutteita pyritään käyttämään hyväksi. Sivustojen sisällön luvaton muokkaaminen voi mahdollistaa käyttäjien salasanojen urkkimisen, haittaohjelmien levittämisen ja muunlaiset väärinkäytökset.
Ohjelmistojen haavoittuvuuksia käytetään haittaohjelmien levittämiseen ja tietokoneiden kaappaamiseen. CERT-FI julkaisi toisen vuosineljänneksen aikana 41 haavoittuvuusilmoitusta. Varoituksia ei tällä neljänneksellä julkaistu.
Tiedot ilmenevät Viestintäviraston tietoturvaloukkauksia käsittelevän CERT-FI-yksikön julkaisemasta vuoden 2008 toista neljännestä koskevasta tietoturvakatsauksesta.
SQL injection -tyyppiset
haavoittuvuudet
CERT-FI:n mukaan verkkosivustoista on tullut rakenteeltaan monimutkaisia ja vaikeita hallita. Käyttäjälle näkyvän julkisivun takana on usein sivuston sisältöön liittyviä taustajärjestelmiä, kuten tietokantoja ja sisällönhallintajärjestelmiä, joiden tietoihin käyttäjät pääsevät sivuston kautta.
Jos verkkosivuston syötteentarkistusta ja taustajärjestelmän tietokannan suojaamista ei ole tehty huolellisesti, sivustolle tai sen käyttämään tietokantaan voi olla mahdollista tallettaa haluamaansa sisältöä syöttämällä taustajärjestelmän tietokannalle sopiva SQL-lause www-sivuston kautta. SQL on tietokantakyselyihin ja tietokannan sisällön hallintaan tarkoitettu kyselykieli.
Muokattuja sivuja voidaan käyttää esimerkiksi ohjaamaan käyttäjä sellaiselle sivustolle, josta selaimeen latautuu jotain tunnettua haavoittuvuutta hyödyntävää hyökkäyskoodia. Tämä voidaan toteuttaa esimerkiksi lisäämällä sivulle pätkä JavaScript-koodia, joka lataa haittaohjelman toiselta palvelimelta. Tavoitteena voi olla tietoja vakoilevan haittaohjelman tartuttaminen käyttäjän koneeseen tai sen liittäminen bottiverkon orjakoneeksi. Murrettua sivustoa voidaan käyttää myös haittaohjelmien tai niiden asetustiedostojen jakamiseen.
Yksinkertaisempi tapa käyttää hyväksi sivustojen haavoittuvuuksia on siirtää sivuille esimerkiksi poliittista materiaalia, jolla pyritään vaikuttamaan yleisön mielipiteisiin. Kesäkuun loppupuolella Liettuassa oli laaja www-sivustojen töhrimiskampanja.
SQL injection -tyyppisiä haavoittuvuuksia on löydetty useilta www-sivustoilta. Microsoft ja OWASP ovat julkaisseet ohjeita ja työkaluja, jotka auttavat välttämään SQL injection -tyyppisiä haavoittuvuuksia Windows-palvelinympäristöissä.
Sähköpostipalvelimet ovat
ajoittain kuormittuneet
CERT-FI:n tietoon on tullut tapauksia, joissa sähköpostipalvelimet ovat ajoittain ylikuormittuneet postipalvelinten palauttamien virheilmoitusviestien vuoksi. Ylikuormitustilanne voi syntyä silloin, kun laajassa roskapostituskampanjassa käytetään väärennettyjä lähettäjän osoitteita, jotka kuuluvat samalle organisaatiolle tai sähköpostipalvelujen tarjoajalle. Koska merkittävä osa roskapostijakelun vastaanottajien osoitteista on aina virheellisiä, palautuu väärennettyyn lähettäjän osoitteeseen paljon postipalvelinten lähettämiä ilmoituksia perille toimittamattomista viesteistä.
Tilannetta voi olla vaikeata erottaa organisaatioon tai palveluntarjoajaan kohdistetusta palvelunestohyökkäyksestä, mutta toisaalta hyökkäys voidaan toteuttaa myös tällä tavoin epäsuorasti. Palvelimelle tulevaa sähköpostiliikennettä ei voi suodattaa IP-osoitteiden perusteella, sillä yhteydet tulevat sähköpostipalvelimilta, joilta voi tulla myös asiallisia viestejä.
Kuormitus voi kohdistua voimakkaasti myös yksittäiseen sähköpostiosoitteeseen, jos se on väärennetty laajan roskapostijakelun lähettäjäksi. Tällöin käyttäjä saa postilaatikkoonsa suuren määrän virheilmoituksia. Roskapostia voidaan myös pyrkiä lähettämään siten, että todellisena viestin kohteena onkin virheilmoituksen vastaanottaja, koska palvelinten lähettämät virheilmoitukset saattavat paremmin läpäistä roskapostisuodatuksen.
Kalevi Nikulainen toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Kolme vuotta sitten
AKEn it-urakka meni pahasti pieleen
27.05.2009 Heikko johtaminen ja liian suuri työmäärä puskivat AKEn tietojärjestelmähankkeen reippaasti yli kustannusarvion ja aikataulun, Valtiontalouden tarkastusvirasto tukistaa.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Muhkean muovinen Nissan Juke 06:05
- Unohda hameenhelmaindeksi – ensitreffit kertovat talouden tilan 16:19
- Yle: Katainen torjuu ajatuksen valtion kaivosyhtiöstä 16:54
- Konkareiden neuvot koulunsa päättäville: Intohimoa ja tasapainoa 17:47
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- » Taloussanomat.fi
Kommentit (4)
Jep, väärin configuroituja postipalvelimia on maailmalla vielä joitakin. Harvinaisen typerää toimintaa postipalvelimien ylläpitäjiltä on lähettää bounceja ilmoitetulle lähettäjälle. Vastaanottajan tarkistus tehdään SMTP-tasolla ennen yhteyden katkaisuja, ja hylätään tai hyväksytään posti siinä vaiheessa. Sen jälkeen on enää turha tavoitella alkuperäistä lähettäjää. Vielä typerämpää on postin sisäänottamisen jälkeen bouncata se sillä perusteella, että se oli roska- tai virusposti. Tätäkin valitettavasti tapahtuu. Tämän backscatterin sijaan mielestäni nykyään on ongelmana enemmänkin erilaisten webmailien kautta lähetetty spämmi, joka sekin ilman sisältöpohjaista suodatusta pääsee läpi.
No sehän se vasta typerää olisi, jättää käytössoleva sisältöpohjainen skannaus tekemättä sen vuoksi, että posti "näyttää olevan" virheilmoitus. Ei. Kyllä kaikki SMTP-tason rajoitukset läpäisevä posti pitää skannata, jos skannausta käytetään.