tiva 2006-11-15 @oulu - cert-fi-ajankohtaiskatsaus - erka … · 2016. 8. 31. · 15.11.2006...
Post on 19-Aug-2020
1 Views
Preview:
TRANSCRIPT
CERT-FI-ajankohtaiskatsaus
Alueellinen tietojärjestelmäalan
varautumisseminaari Oulussa
15.11.2006
Erka KoivunenYksikön päällikkö
CERT-FI
Agenda
CERT-FI:n esittely
Haavoittuvuuksista
Ajankohtaista
15.11.2006 3Tietojärjestelmäalan varautumisseminaari / Oulu
CERT-FI – kansallinen CERT-viranomainen
CERT == Computer Emergency Response Team
• koordinoitua tietoturvaloukkausten käsittelyä
• vaste usein reaktiivista jonkin herätteen pohjalta
• aktiivista tiedonhankintaa
• luottamuksellinen ennakkotiedon käsittely ja välittäminen
• kutsutaan myös nimillä: CSIRT, PSIRT, IRT..
CERT ei ole
• virustorjuntayhtiö
• haavoittuvuustestaaja
• esitutkintaviranomainen
• organisaation tietoturvavastuullinen
15.11.2006 4Tietojärjestelmäalan varautumisseminaari / Oulu
CERT-FI – kansallinen CERT-viranomainen
Viestintäviraston tehtävänä on:
1) valvoa tämän lain sekä sen nojalla annettujen säännösten ja määräysten noudattamistasiltä osin kuin 32 §:stä ei muuta johdu;
2) kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin
kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekänäiden palvelujen merkittävistä vikatilanteista ja häiriötilanteista;
3) selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä merkittäviä näiden palvelujen vikatilanteita ja häiriötilanteita; sekä
4) tiedottaa tietoturva-asioista.
Sähköisen viestinnän tietosuojalaki (516/2004) 31 §
15.11.2006 5Tietojärjestelmäalan varautumisseminaari / Oulu
CERT-FI – kansallinen CERT-viranomainen
Keskeiset palvelut
• tietoturvailmoitusten vastaanotto
• tietoturvaloukkausten käsittely
• kansallinen tietoturvallisuuden tilannekuva
• haavoittuvuuskoordinointi
Toiminta järjestetty 24/7/365
{
15.11.2006 6Tietojärjestelmäalan varautumisseminaari / Oulu
CERT-FI – kansallinen CERT-viranomainen
Rahoituspohjan muutos 1.1.2007 alkaen
• teleyritykset 100 % � 25 % (HE 111/2006)
• Huoltovarmuuskeskus 0 % � 75 % (sopimusjärjestely)
• kokonaisrahoitus kaksinkertaistuu
Toiminnan laajentaminen ja uudelleen suuntaaminen
• lisäresursseja yhteiskunnan elintärkeiden toimintojen
turvaamiseen osallistuvien yritysten palvelemiseen
• (osalla lisäresursseista katetaan aiemmat vääristymät)
• jatkossakin toiminnan painopiste säilyy viestintäverkkojen
ja -palveluiden tietoturvallisuuden ja toimivuuden
varmistamisessa
Ohjelmisto-
haavoittuvuuksista
Uudistuksia CERT-FI:n
tietoturvatiedotteisiin
OUSPG
MoKB
Microsoft-tiistai 14.11.
15.11.2006 8Tietojärjestelmäalan varautumisseminaari / Oulu
Kohde (esitetään myös ikonina)[X] Palvelimet ja palvelinsovellukset[ ] Työasemat ja loppukäyttäjäsovellukset [ ] Verkon aktiivilaitteet[x] Matkaviestimet[ ] Sulautetut järjestelmät[ ] Muut
Hyökkäystapa[X] Paikallisesti[X] Etäkäyttöisesti[X] Ilman käyttäjän toimenpiteitä[X] Ilman kirjautumista
Hyväksikäyttö[X] Komentojen mielivaltainen suorittaminen[X] Käyttövaltuuksien laajentaminen[ ] Suojauksen läpäisy[X] Tietojen muokkaaminen[X] Luottamuksellisen tiedon hankkiminen[X] Palvelunestohyökkäys
Ratkaisu[ ] Korjaava ohjelmistopäivitys[X] Ongelman rajoittaminen[ ] Ei päivitystä tai rajoitusmenetelmää
Uusi tiedoteryhmä:
haavoittuvuudet
15.11.2006 9Tietojärjestelmäalan varautumisseminaari / Oulu
Haavoittuvuustutkimuksen tulevaisuus on
Oulussa? Jo tänään?
lähde: OUSPG
15.11.2006 10Tietojärjestelmäalan varautumisseminaari / Oulu
Month of Kernel Bugs - MoKB
CVE-NO-NAMEUnpatched A5AGU.SYS (ex. version
1.0.1.41, DWL-G132 driver)D-Link DWL-G132 Wireless Driver Beacon Rates OverflowMOKB-13-11-2006
CVE-NO-NAMELinux kernel 2.6.18 and previous
(2.6.x).Linux 2.6.x ext2_check_page denial of serviceMOKB-12-11-2006
CVE-NO-NAMELinux kernel 2.6.18 and previous
(2.6.x).Linux 2.6.x SELinux superblock_doinit denial of serviceMOKB-14-11-2006
CVE-NO-NAMEUnpatched BCMWL5.SYS (ex. version
3.50.21.10)Broadcom Wireless Driver Probe Response SSID OverflowMOKB-11-11-2006
CVE-NO-NAMELinux kernel 2.6.18 and previous
(2.6.x).Linux 2.6.x ext3fs_dirhash denial of serviceMOKB-10-11-2006
CVE-NO-NAMEMac OS X 10.3.x, 10.4.x.Mac OS X fpathconf() syscall denial of serviceMOKB-09-11-2006
CVE-2006-5824FreeBSD 6.1 (STABLE) and probably 7
(HEAD)FreeBSD 6.1 UFS filesystem ffs_rdextattr() integer overflowMOKB-08-11-2006
CVE-2006-5823Linux kernel 2.6.18 and previous
(2.6.x).Linux 2.6.x zlib_inflate memory corruptionMOKB-07-11-2006
CVE-2006-5758Microsoft Windows 2000 SP0-SP4, XP
SP0-SP2.Microsoft Windows kernel GDI local privilege escalationMOKB-06-11-2006
CVE-2006-5757Linux kernel 2.6.18 and previous
(2.6.x). Probably 2.4.x (not verified).Linux 2.6.x ISO9660 __find_get_block_slow() denial of serviceMOKB-05-11-2006
CVE-2006-5726SunOS 5.10 Generic_118855-19 and
previous (not verified).Solaris 10 UFS filesystem alloccgblk denial of serviceMOKB-04-11-2006
CVE-2006-5679FreeBSD 6.1 (STABLE) and probably 7
(HEAD)FreeBSD 6.1 UFS filesystem ffs_mountfs() integer overflowMOKB-03-11-2006
CVE-2006-5701Linux 2.6.x squashfsLinux 2.6.x squashfs double freeMOKB-02-11-2006
CVE-2006-5710Mac OS X with Apple Airport 802.11
(Orinoco-based)Apple Airport 802.11 Probe Response Kernel Memory CorruptionMOKB-01-11-2006
ReferencesAffected systemsTitle#
lähde: http://projects.info-pull.com/mokb/
15.11.2006 11Tietojärjestelmäalan varautumisseminaari / Oulu
Joko päivitit?
(Microsoftin päivitysjulkaisut 14.11.2006)
lähde: http://isc.sans.org/
Ajankohtaista
Phishing
Botnetit
Haxdoor
15.11.2006 13Tietojärjestelmäalan varautumisseminaari / Oulu
Phishing taipuu jo suomalaisenkin suuhun..
15.11.2006 14Tietojärjestelmäalan varautumisseminaari / Oulu
Hyökkääjä ei halua paljastaa omaa identiteettiään,joten hän pyrkii piiloutumaan.
Ensiksi, hän perustaa oman hallintapalvelimen.
CONTROLLER
Onnistunut phishing-huijaus on
monimutkainen operaatio
15.11.2006 15Tietojärjestelmäalan varautumisseminaari / Oulu
Hyökkääjä ei halua paljastaa omaa identiteettiään,joten hän pyrkii piiloutumaan.
Ensiksi, hän perustaa oman hallintapalvelimen.
Seuraavaksi, hän murtautuu usean kotikäyttäjäntietokoneisiin käyttäen tunnettua haavoittuvuutta. Nyt hän voi hallita tietokonejoukkoa (BOTNET).
CONTROLLER
SLAVES
Onnistunut phishing-huijaus on
monimutkainen operaatio
15.11.2006 16Tietojärjestelmäalan varautumisseminaari / Oulu
Onnistunut phishing-huijaus on
monimutkainen operaatio
Yleisiä käyttökohteita bot-verkoille
• sähköpostin levitys (roskaposti, virukset, huijaukset)
• palvelunestohyökkäykset (tai niillä kiristäminen)
• phishing-huijaukset (viestit, palvelimet, tietojen keruu)
• sillanpääasemat ja ponnahduslaudat
• teollisuusvakoilu ja tiedustelu yleisesti
• arkaluontoisen tai laittoman tiedon jakelu
• ”kuuman” tiedon välivarastointi tai julkaiseminen
15.11.2006 17Tietojärjestelmäalan varautumisseminaari / Oulu
Bot-verkkoa käytetään houkutusviestien lähettämiseen
CONTROLLER
SLAVES
Onnistunut phishing-huijaus on
monimutkainen operaatio
15.11.2006 18Tietojärjestelmäalan varautumisseminaari / Oulu
Tietojenkerääminen
Käyttäjäthuijataan
väärälle sivustolleesim. roskapostissa
olevalla linkillä
www.paypal.com
FAKE
FAKEwww.paypal.com
user@domain.com
mysecretpassword
X
Huijauspalvelin
Tietojen urkkiminen käyttämällä
tekaistua www-sivustoa
15.11.2006 19Tietojärjestelmäalan varautumisseminaari / Oulu
Phishingistä Pharmingiin
15.11.2006 20Tietojärjestelmäalan varautumisseminaari / Oulu
Koontipalvelin
www.paypal.com
user@domain.com
mysecretpassword
Haxdoor vakoileekäyttäjän näppäilyjä
www.paypal.com
Käyttäjä kirjautuuaitoon palveluunja käyttää sitä
Tietojen vakoileminen aitoa www-sivustoa
käytettäessä
15.11.2006 21Tietojärjestelmäalan varautumisseminaari / Oulu
Tietojen vakoileminen aitoa www-sivustoa
käytettäessä
Kredentiaalien urkkimisesta
ollaan siirtymässä
sessioiden kaappaamiseen
15.11.2006 22Tietojärjestelmäalan varautumisseminaari / Oulu
”Tietoturvan lääkehylly”
1. Riskienhallinnan kontrollikori
• ehkäisevät kontrollit
• havaitsevat kontrollit
• vahinkoa rajaavat kontrollit
• topimusta edistävät kontrollit
2. Suojattavan edun määritteleminen
• Luottamuksellisuus
• Eheys
• Saatavuus
3. Minimikäyttövaltuusperiaate
4. ”Kolmen A:n periaate”
• Todentaminen
• Valtuuttaminen
• Käytön valvonta
KISS
15.11.2006 23Tietojärjestelmäalan varautumisseminaari / Oulu
Suositeltavaa lukemista
Puhelin: +358 (0)9 6966510
Sähköposti: CERT@FICORA.fi
WWW: www.CERT.fi
CERT-FI:n julkiset varoitukset voi lukea:
• Sähköpostitse hälytyspalveluna
• SMS-hälytyspalveluna (maksullinen)
• CERT-FI:n WWW-sivuilta
• RSS-uutispalveluna
• Teksti-tv:n sivulta 848
top related