p¨a¨asynvalvonta i · 2010. 3. 22. · p¨a¨asynvalvonnan tyypit i p¨a¨asynvalvonnan tyypit...
TRANSCRIPT
Paasynvalvonta I
Paasynvalvonta on ensimmaiseksi jarjestettava asiaverkkoymparistossa.
Paasynvalvonnassa on ensiksi maariteltava, ketka saavatkayttooikeuden mihinkin jarjestelman osaan. Eli ensiksi onmaariteltava paasynvalvonnan politiikka.
Sen jalkeen on otettava kayttoon mekanismi, turvamekanismi, jonkaavulla toteutetaan valittu politiikka.
Tama politiikan ja sen toteutusmekanismin erottelu selventaamaarittelyja. On esimerkiksi mahdollista kayttaa yleisia politiikkakieliamaarittelemaan oikeuksia, joita sitten valvotaan kayttojarjestelman jasovellusohjelmistojen suomien mekanismien avulla.
() 21. maaliskuuta 2010 1 / 78
Paasynvalvonnan tyypit I
Paasynvalvonnan tyypit voidaan jaotella kolmeen tai neljaan tyyppiin.
Maaritelma
Jos yksittainen kayttaja voi asettaa objektin kayttooikeudet, kysymyksessaon yksilopohjainen paasynvalvonta (engl. discretionary access control,identity-based access control).
Yksilopohjaisessa paasynvalvonnassa paasyoikeudet perustuvat subjektin jaobjektin identiteettiin. Identiteetti on tassa avainsana: objektin omistajaasettaa paasyrajoitukset maarittelemalla, kuka saa paasyn objektiin.Maarittely perustuu subjektien identiteettiin.
() 21. maaliskuuta 2010 2 / 78
Maaritelma
Saantopohjainen paasynvalvonta (engl. mandatory access control,rule-based access control) on sellainen, etta objektit on luokiteltyhierarkkisille tasoille objektin turvavaatimusten mukaisesti (esim. topsecret, secret, confidential), subjekteille on asetettu turvatasot jasubjektilla on paasy objektiin, jos subjekti-objekti -pari tayttaa ennaltamaaritellyt turvallisuusehdot hierarkkisten ja turvatasojen perusteella.Siten systeemi valvoo, kuka paasee kasiksi objekteihin, eika yksittainenkayttaja voi tata muuttaa.
Esimerkiksi kayttojarjestelma pakottaa noudattamaan saantopohjaistapaasynvalvontaa, ainakin tietyissa tilanteissa. Ei subjekti eika objektinomistaja voi maaritella, kuka saa paasyoikeuden.
() 21. maaliskuuta 2010 3 / 78
Maaritelma
Luontipohjainen paasynvalvonta (engl. originator controlled, ORGON)perustuu objektin luojan maarityksiin.
Tassa politiikassa objektin, esimerkiksi tiedoston, luoja paattaa, kenella onpaasyoikeus tiedostoon. Tiedoston omistaja ei voi tata muuttaa.
() 21. maaliskuuta 2010 4 / 78
Lisaksi voidaan maaritella roolipohjainen paasynvalvonta. Oikeuksia eimyonneta yksittaiselle subjektille, vaan roolille, jonka eri subjektit voivatottaa sallittujen saantojen puitteissa. Roolin kohdalla voidaan puolestaannoudattaa edella mainittuja kolmea paasynvalvontatyyppia.Paasynvalvontamekanismeja on useita. Kayttojarjestelma huolehtii osittainpaasynvalvonnasta, ainakin tiedostojen suhteen. Salasanoilla on tarkeaasema paasynvalvonnan toteutuksessa.
() 21. maaliskuuta 2010 5 / 78
Yleista salasanoista I
Tavallisin todennusmekanismi perustuu salasanoihin.
Salasanat nayttavat tarjoavan hyvan suojan ulkopuolisia vastaan,joskin niiden huolimaton valinta ja kaytto saattavat aiheuttaa riskeja.
Lisaksi ohjelmistoissa on otettava huomioon muutamia yksinkertaisiaasioita. Ohjelmisto ei saa esimerkiksi kysya kayttajatunnusta jailmoittaa heti, etta se on vaarin. Talloin tunkeutuja saisi tietoonsa,etta tunnus ei ole oikea. Sen sijaan parempi on kysya sekakayttajatunnusta etta salasanaa ja ilmoittaa vasta sitten, jos jompikumpi on virheellinen. Talloin tunkeutuja ei saa tietoonsa, kumpi onvirheellinen, tunnus vai salasana.
() 21. maaliskuuta 2010 6 / 78
Salasanojen lisaksi voidaan kayttaa muitakin tekijoita kayttajanidentifioimiseen. Voidaan esimerkiksi ottaa huomioon aika, vaikkavirka-aika, jolloin sisaankirjoittautuminen on mahdollista. Virka-ajanulkopuolella paasy kielletaan.
() 21. maaliskuuta 2010 7 / 78
Hyokkaykset salasanoja vastaan I
Lahtokohtana ovat seuraavankaltaiset kokeilut:
Kokeile kaikki mahdolliset salasanat.
Kokeile monia todennakoisia salasanoja.
Kokeile tietylle kayttajalle tyypillisia salasanoja.
Etsi salasanojen listaa systeemista.
Kysy kayttajalta.
() 21. maaliskuuta 2010 8 / 78
Aika-arvioita I
Jos salasanat muodostuvat kirjaimista A-Z ja niiden pituus voivaihdella yhdesta kahdeksaan, niin kaiken kaikkiaan salasanoja on269 − 1 ≈ 5 × 1012.
Jos tietokone kasittelee yhden salasana-arvauksen millisekunnissa,kestaisi 150 vuotta kayda kaikki salasanat lapi.
Jos sen sijaan aikaa kuluisi vain yksi mikrosekunti, aika tippuisikahteen kuukauteen. Tama ei enaa olisi kohtuuttoman paljon. Siksikayttajan tunnistusta yleensa hidastetaankin ohjelmallisesti niin, etteikayttaja hidastusta havaitse, mutta edella kuvattu kaikkienmahdollisuuksien lapikaynti tulee mahdottomaksi.
() 21. maaliskuuta 2010 9 / 78
Huonot salasanat I
Ihmiset valitsevat salasanoja siten, etta niita on kohtuullisen helppomuistaa. Tama auttaa hyokkaajaa.
Esimerkiksi tavallisimpia englannin sanoja on 80 000, mika ontietokoneelle todella vahan.
Samoin jos salasana muistuttaa kielen sanoja, hyokkaajan tehtavahelpottuu. Esimerkiksi suomen kielessa ei ole monia konsonanttejaperakkain.
Lisaksi ihmiset ovat taipuvaisia valitsemaan sanoja tai sanontoja,jotka merkitsevat heille jotain henkilokohtaisesti: lasten nimia,tutttavien nimia, julkkisten ja urheilijoiden nimia jne.
Yksinkertaiset sijoitukset, joilla sanan merkki korvataan toisella, eivatmyoskaan paranna turvallisuutta radikaalisti.
() 21. maaliskuuta 2010 10 / 78
Hyokkaysstrategiat salasanoja vastaan I
Seuraavassa listassa on luettelo, mita hyokkaaja voi yrittaa salasanojenarvaamiseksi. Menetelma on kohtuullisen helppoa toteuttaa ohjelmallisesti.
ei salasanaa
sama kuin kayttajatunnus
kayttajan nimi tai siita johdettu
tavallinen sana plus tavallisia nimia tai muotoja
lyhyt sanakirja
taydellinen kielen sanasto
tavallinen vieraan kielen sanakirja
lyhyt sanakirja, jonka sanoja on muokattu vaihtelemalla isoja ja pieniakirjaimia ja jonka sanoihin on kohdistettu sijoituksia (esim. O vastaa0:ta)
sama kuin edella, mutta vieraille kielille
taydellinen lapikaynti pienilla kirjaimilla
taydellinen lapikaynti taydella merkistolla
() 21. maaliskuuta 2010 11 / 78
Sateenkaaritaulukko I
Seuraavassa tarkastellaan tilannetta, jossa hyokkaaja on saanuthaltuunsa salasanatiedoston.
Oletetaan, etta salasanat on talletettu tiivistefunktioiden arvoina. Ts.jos p on salasana, siita lasketaan tietyn kiintean pituinen arvo H(p)tiivistefunktiolla H, joka on yksisuuntainen eli tuloksesta H(p) ei voipaatella argumenttia p. Tiivistefunktioiden yhteydessa voidaankayttaa salaisia parametreja (MAC-funktiot). Sen sijaan salausta eienaa suositella, silla salaisen avaimen paljastuttua kaikki salasanat onhelppo purkaa.
Jos P on kaikkien mahdollisten salasanojen (aarellinen) joukko, niinhyokkaaja voisi yrittaa etukateen laskea kaikki arvot H(p), p ∈ P .Salasanoja on kuitenkin niin suuri joukko, ettei tallainenetukateislaskenta ole mahdollista.
Tiivisteketjut (engl. hash chains) ovat yritys vahentaa laskenta- jatilatarvetta.
() 21. maaliskuuta 2010 12 / 78
Sateenkaaritaulukko II
Ideana on kayttaa funktiota R , joka muodostaa tiivistearvostasatunnaisen salasanan. Tata funktiota ja funktiota H kayttaenlasketaan ketjuja lahtien salasanasta p1:
p1H
−→h1R
−→p2H−→h2
R−→· · ·
H−→hk
R−→pk ,
missa hi :t ovat tiivistearvoja.
Nyt lasketaan etukateen tallaisia ketjuja tiettyyn syvyyteen asti.Ketjuista talletetaan vain ensimmainen ja viimeinen.
Jos halutaan paatella, mita salasanaa vastaa tiiviste h, lasketaanketjua aloittamalla R :lla:
hR
−→p′
1H
−→h′1R
−→ · · ·H−→h′
k′
R−→p′
k′ .
() 21. maaliskuuta 2010 13 / 78
Sateenkaaritaulukko III
Jos jossain vaiheessa paadytaan arvoon, joka on jonkin ketjunloppuarvo, ketjusta saadaan varsinainen salasana. Eli jos pk = p′
k′ ,valitaan ketju, joka paattyy pk :hon. Lasketaan ketjun alusta kunnespaadytaan tiivisteeseen h. Edeltava salasana on silloin etsitty salasana.
Aina ei h ole ketjussa. Talloin lasketaan ketjua h.sta pitemmalle,kunnes seuraava loppukohta loytyy.
Talla menetelmalla on se huono puoli, etta ketjut voivat yhtya, jolloinhavaittavien salasanojen maara pienenee. Yhtyminen johtuu siita, ettafunktio R voi aiheuttaa yhteentormayksia. Ts. kahdella tiivisteella h1,h2 tapahtuu R(h1) = R(h2). Naita on vaikea havaita automaattisestiriittavan aikaisin. Parannuksena on esitetty sateenkaaritaulukkoja.
Talloin otetaan kayttoon useita funktioita R , R1, ...,Rk . Ketjut ovatnyt muotoa
p1H
−→h1R1−→p2
H−→h2
R2−→· · ·H
−→hk
Rk−→pk ,
() 21. maaliskuuta 2010 14 / 78
Sateenkaaritaulukko IV
Kun lahdetaan laskemaan tiivistearvon h tuottavaa salasanaa,lasketaan
Rk(h),Rk−1(H(Rk(h)),...R1(H(R2(...(Rk(h)...).
Jos jossain vaiheessa 1, ...k paadytaan arvoon, joka on valmiiksilasketussa taulukossa, lahdetaan taulukon arvosta liikkeelle laskemaanfunktioilla H ja Ri , kunnes paadytaan annettuun tiivistearvoon. Tastaketjusta saadaan salasana.
Itse asiassa kaikista alle 20 merkin salasanoista on jo laskettusateenkaaritaulut, joten esimerkiksi SANS suosittelee 20 merkinpituisia salasanoja.
Suolaus on toinen keino torjua tama tekniikka.
() 21. maaliskuuta 2010 15 / 78
Suolaus I
On aina mahdollista, etta kaksi kayttajaa valitsee saman salasanan.Jos esimerkiksi Aapo ja Bertil molemmat valitsevat salasanan”aprilli”ja jos Bertil paasee katselemaan salatiedostoa, han huomaa,etta Aapolla on sama salasana.
Unix ratkaisee taman ongelman laajentamalla salasanaa ns. suolalla.
Alunalkaen suola oli 12-bittinen luku, joka muodostetaan systeeminajasta ja prosessin tunnuksesta. Siten suola on todennakoisestiyksikasitteinen jokaisella kayttajalla.
Suola liitetaan kayttajan salasanaan, kun salasana valitaan. JosBertilin salasana on p, niin salasanatiedostoon viedaan E (p||saltB), elialkuperainen salasana lisattyna suolalla ja lopuksi lasketaan tiiviste.
Lisaksi suola talletetaan Bertilin tunnuksen ja muutetetun salasananyhteyteen.
() 21. maaliskuuta 2010 16 / 78
Suolaus II
Vanhoissa Unix-jarjestelmissa suola oli 12-bittinen. Sellainen vaatisi4096 sateenkaaritaulua, jotka mahtuisivat teratavun muisteihin.
Linuxissa suola on 48 ja Solariksessa 128 bittia. Tallaiset pituudetestavat ennalta lasketut hyokkaykset pitkalle tulevaisuuteen.
Windows NT/2000:teen kuuluvat LAN Manager NT LAN Managereivat kayta suolaa, mika tekeekin niista suosittuja hyokkayskohteitanaille menetelmille.
() 21. maaliskuuta 2010 17 / 78
Tunnus-salasana -lista I
Kun kayttajan oikeuksia tarkistetaan, tietokone vertaa annettuatunnusta ja salasanaa talletettuihin vastaaviin tietoihin. Sitentietokoneessa taytyy olla talletettuna tunnus-salasana -lista.
Joissakin systeemeissa lista on tiedosto, joka sisaltaa taulukon. Onselvaa, etta tiedosto taytyy suojata hyvin.
Suojaus voidaan toteuttaa antamalla tiedoston kayttooikeus vainkayttojarjestelmalle.
Toisaalta KJ:n kaikkien moduulien ei tarvitse paasta salasanatiedostontietoihin kasiksi. Pahaksi onneksi on kayttojarjestelmia, joissa KJ:ta eiole mitenkaan jaettu osiin turvaominaisuuksien perusteella, vaan KJ:nmoduulit paasevat kasiksi salasanatiedostoon.
Jos siis hyokkaaja loytaa jonkin heikon kohdan kayttojarjestelmasta,han paasee kasiksi kaikkiin tietoihin. Sen tahden on parempi, jossalasanoihin paasevat kasiksi vain ne moduulit, jotka todellatarvitsevat naita tietoja.
() 21. maaliskuuta 2010 18 / 78
Jotta salasanatiedosto ei paljastuisi esimerkiksi varmuuskopioista taimuistivedoksesta, salasanoista on tallettu vain tiivistearvot. Toisinaansalasanat talletetaan salattuina, mutta tama ei vaikuta enaaturvalliselta, koska talloin salatut salasanat voidaan ainakinperiaatteessa purkaa. Tiivistearvojen palauttaminen on vaikeampaa,koska ne on suunniteltu yksisuuntaisiksi.
Nyt ei ole yhta suurta pakkoa pitaa salasanatiedostoa muidenkayttajien saavuttamattomissa kuin jos se olisi salaamattomassamuodossa, mutta tietenkin se kannattaa pitaa erittain hyvinsuojattuna.
Jarjestelmissa on usein kuitenkin heikkoja kohtia. EsimerkiksiWindows XP:n muistivedoksesta loytyy kaikkien kayttajien, myosuloskirjautuneiden, salasanat selvakielisena!
() 21. maaliskuuta 2010 19 / 78
Hyvan tiivisteen tai salauksen purkaminen on tyolasta tai kaytannossajopa mahdotonta.
Hyokkaaja voi selvittaa salasanan myos suoraan. Usein salasanakirjoitetaan muistilapulle, joka jatetaan koneen lahelle.
Ryhmassa salasana usein myos jaetaan jasenten kesken, mika saattaaolla riskitekija.
On myos mahdollista, etta hyokkaaja tekeytyy esimieheksi taiatk-osaston tyontekijaksi ja kysyy salasanaa johonkin tekosyyhynvedoten.
() 21. maaliskuuta 2010 20 / 78
Salasanojen valinta I
Ylla kuvattujen selvittamisyritysten vaikeuttamiseksi salasanojen valinnassasuositellaan seuraavien seikkojen huomioimista:
Kayta muitakin merkkeja kuin kirjaimia A-O.
Valitse pitkia salasanoja. Kombinatorinen rajahdys alkaa, kun pituusylittaa 5-6 merkin pituuden, mutta hyva salasana paljon pitempi.
Valta todellisia nimia ja sanoja.
Valitse epatodennakoinen salasana. Kehita jonkinlainen muistisaantosalasanan muistamiseksi.
Vaihda salasana saannollisesti. Talla tavoin estetaan kauan kestavatsystemaattiset salasanan murtoyritykset.
Ala kirjoita salasanaa muistiin. Tama saanto alkaa tosin menettaapatevyyttaan, silla erilaisten tunnusten maara alkaa olla jo niin suuri,etta jonkinlaista kirjanpitoa tarvitaan. Pida kuitenkin salasanalistathyvassa tallessa.
Ala kerro salasanaa kenellekaan toiselle.
() 21. maaliskuuta 2010 21 / 78
Tiedostot I
Tarkastelemme viela tiedostojen ja kayttajatunnusten kasittelyapaasynvalvonnan kannalta. Naissa tarkasteluissa keskitytaanUNIX-kayttojarjestelmaan, koska se on jo melko yleinen palvelimissa.
Paikalliset systeemit identifioivat objekteja antamalla niille nimen.Nimi voi olla tarkoitettu ihmisen, prosessin tai kayttojarjestelmanytimen kayttoon. Jokaisella nimella voi olla eri semantiikka.
UNIX tarjoaa neljaa erilaista tiedostonimityyppia. Inode identifioitiedoston yksikasitteisesti. Se sisaltaa informaatiota tiedostosta kutenpaasynvalvonta-asetukset ja omistajan seka maarittelee muistilohkot,josta tiedosto loytyy.
Prosessit lukevat tiedostoja tiedostokuvaajien (file descriptors) avulla.Kuvaajat sisaltavat samaa tietoa kuin inode, mutta sellaisessamuodossa, etta prosessit voivat helposti hakea sen, kirjoittaa siihenjne. Kun kuvaaja on kerran luotu, sita ei voi enaa sitoa toiseentiedostoon.
() 21. maaliskuuta 2010 22 / 78
Tiedostot II
Prosessit (ja kayttajat) voivat myos kayttaa tiedostonimia, jotkaidentifioivat tiedoston kuvaamalla sen aseman tiedostohierarkiassa.UNIXin tiedostonimet voivat olla absoluuttisia polkunimia, jotkakuvaavat tiedoston aseman juurihakemiston suhteen. Ne voivat ollamyos suhteellisia polkunimia, jotka kuvaavat aseman tyohakemistonsuhteen.
Nimien semantiikka eroaa oleellisesti. Kun prosessi tai kayttajakasittelee tiedostoa, kayttojarjestelman ydin kuvaa tiedostonimeninodeksi kayttaen iteratiivista menetelmaa. Se avaa ensinensimmaisen hakemiston inoden hakupolulla ja etsii sielta seuraavanalihakemiston inoden. Tama jatkuu, kunnes halutun tiedoston inodeon loytynyt. Kaksi viittausta samaan tiedostoon voivatkin viitata eritiedostoihin, jos ensimmaisen viittauksen jalkeen tiedosto on poistettuja uusi, saman niminen tiedosto on luotu tilalle ennen toistaviittausta. Tama voi luoda ongelmia ohjelmien yhteydessa.
() 21. maaliskuuta 2010 23 / 78
Tiedostot III
Joka tapauksessa kun tietty tiedostokuvaaja on luotu, se viittaaerityiseen objektiin. Riippumatta siita, miten tiedostoa manipuloidaan,kuvaajaan liittyva inode pysyy jarjestelmassa siihen asti, kunneskuvaaja on suljettu.
() 21. maaliskuuta 2010 24 / 78
Symboliset linkit I
Symbolinen linkki on erityinen tiedostotyyppi, jossa tiedosto sisaltaaviitteen toiseen tiedostoon tai hakemistoon absoluuttisen taisuhteellisen polkunimen muodossa. Symboliset linkit esiintyivatensimmaisen kerran Berkeleyn Unixin versiossa 4.2 BSD. Nykyaanniita tukevat POSIX-standardi, useimmat Unixin kaltaiset KJ:t,Windows Vista ja Windows 7.
Symbolinen linkki sisaltaa merkkijonon, jonka KJ tulkitsee poluksitoiseen tiedostoon tai hakemistoon. Jos symbolinen linkki tuhotaan,kohde jaa ennalleen. Jos sen sijaan kohde siirretaan (move), nimetaanuudelleen tai tuhotaan, symbolinen linkki jaa ennalleen, mutta viittaanyt siis tyhjaan.
Esimerkki. POSIX:ssa ja Unixin tyyppisissa kayttojarjestelmissasymbolinen linkki luodaan komennollaln -s target link name+ �
() 21. maaliskuuta 2010 25 / 78
Symboliset linkit II
Symbolisen linkin luomisen jalkeen se toimii kohteen
aliaksena eli vaihtoehtoisena nimena. Komennot, jotka
kirjoittavat tai lukevat tiedostoja, kohdistavat
toimenpiteensa kohteeseen, kun niille annetaan
parametriksi symbolinen linkki. Sen sijaan rm-komento
tuhoaa symbolisen linkin, ei kohdetta.
Unixissa suoraa viittausta tiedostoon kutsutaan kovaksi
linkiksi (hard link). Kuvassa 1 on kaksi nimea, A ja B,
jotka viittavat samaan tiedostoon. Nama viittaukset
ovat kovia. Symbolisen linkin rakenteen nayttaa sen
sijaan kuva 2.
() 21. maaliskuuta 2010 26 / 78
i−solmutaulu
tiedosto
A
B
Kuva: Kova linkki
() 21. maaliskuuta 2010 27 / 78
i−solmutaulu
tiedosto
A
B
Kuva: Symbolinen linkki
() 21. maaliskuuta 2010 28 / 78
Kovia linkkeja luodaan Unixissa ln-komennolla:$ ln A BVoidaan tarkistaa, etta molemmat viittaavat samaan i-solmuun:$ ls -i A B1321 A1321 BSymbolisten linkkien tapauksessa i-solmujen tulisi olla eri:$ ln -s A B$ ln -i A B1321 A1467 B
() 21. maaliskuuta 2010 29 / 78
Kayttajien tunnukset I
Tarkastellaan UNIX-jarjestelmaa. Kayttajan identiteettia esittaakokonaisluku, joka on 0:n ja jonkin suuren luvun (esim. 65 535)valissa. Tata lukua kutsutaan UID:ksi (user identification number).Lisaksi kayttajalla voi olla login-nimi. Jokaista login-nimea vastaatasan yksi UID, mutta yhdella UID:lla voi olla monta login-nimea.
Kun kayttojarjestelman ydin kasittelee kayttajan identiteettia, sekayttaa UID:ta. Kun taas kayttaja kirjautuu sisaan koneeseen, hankayttaa login-nimeaan. Yhdella kayttajalla voi olla monta eriidentiteettia. Tyypillisesti identiteetti vastaa jotakin toiminnallisuutta.
UNIX-versiot kayttavat usean tyyppisia kayttajan identiteetteja.Koska kayttajat kaynnistavat prosesseja, nama eri identiteetit liittyvatprosesseihin.
Todellinen UID (real UID) on kayttajan alkuperainen identiteetti, kunhan kirjautuu koneelle.
() 21. maaliskuuta 2010 30 / 78
Kayttajien tunnukset II
Efektiivinen UID (effective UID) on identiteetti, jota kaytetaanpaasynvalvonnassa. Esimerkiksi jos vain UID 22 voi lukea tiettyatiedostoa ja prosessin todellinen UID on 22 ja efektiivinen UID 35,niin prosessi ei voi lukea tiedostoa. Jos taas prosessin todellinen UIDolisi 35, mutta efektiivinen 22, prosessi voi lukea tiedostoa.
Systeemiohjelmat setuid luovat prosesseja, joiden efektiivinen UID onsama kuin ohjelman omistajan eika sama kuin ohjelman suorittajan.Talloin prosessin paasyoikeudet ovat samat kuin ohjelman omistajaneika ohjelman suorittajan.
Monet UNIX-versiot tarjoavat myos talletetun UID:n (saved UID).Aina kun efektiivinen UID vaihtuu, talletetun UID:n arvoksi viedaanennen vaihtoa voimassa ollut efektiivinen UID. Kayttaja voi kayttaakaikkia kolmea UID:ta. Tama sallii, etta kayttajalle annetaanjuurioikeudet joksikin lyhyeksi ajaksi, jonka jalkeen niista luovutaan,mutta joihin voidaan palata myohemmin (tallennetun UID:n avulla).
() 21. maaliskuuta 2010 31 / 78
Kayttajien tunnukset III
Traditionaalisesti todellista UID:ta kaytettiin prosessin alkuperaisenUID:n jaljittamiseen. Kuitenkin juurioikeuksien haltija voi muuttaasita. Jotta turvattaisiin alkuperaisen todellisen UID:n seuranta, monetUNIX-jarjestelmat tarjoavat viela neljatta UID-versiota, audit- tailogin-UID. Tama UID annetaan kirjautumisen yhteydessa, eika sitavoi vaihtaa. (Kuitenkin jotkut systeemit sallivat juuren muuttaaaudit-UID:ta!)
() 21. maaliskuuta 2010 32 / 78
Esimerkki. I
Salasanatiedosto kuuluu juurioikeuksien haltijalle, joten vain han voiperiaatteessa muokata tiedostoa.
Kuitenkin tavallinen kayttaja voi muuttaa salasanaansa. Han siismuokkaa salasanatiedostoa.
Kayttaja kaynnistaa prosessin, joka muuttaa salasanatiedostoa. Jossalasanatiedoston setuid-bitti on 1, niin tiedoston omistaja (siis juuri)tulee tuon prosessin efektiiviseksi omistajaksi.
Eli salasanatiedostoa muuttavan prosessin todellinen UID onkayttajan, mutta efektiivinen UID on juurioikeuksien haltijan. Tatenkayttaja onnistuu muuttamaan salasanatiedostoa.
Yleensa on tietenkin riskialtista asettaa setuid-bitti juurioikeuksienhaltijan mukaan, mutta tassa tapauksessa se on valttamatonta.Salasanatiedostoa pitaa sen vuoksi suojella erityisen hyvin. �
() 21. maaliskuuta 2010 33 / 78
UNIX-kayttajat kuuluvat ryhmiin (group). Siten jokaisella prosessilla onkaksi identiteettia, kayttajan identiteetti ja ryhman identiteetti.Uudemmissa UNIX-jarjestelmissa kayttaja voi kuulua useisiin ryhmiinsamalla kertaa. Kirjautuessaan sisaan koneelle kayttaja asetetaan hanellekuuluviin ryhmiin.
() 21. maaliskuuta 2010 34 / 78
Paasyoikeudet tiedostoihin I
UNIX:ssa on kolme tiedosto-operaatiota: lukeminen (read, r),kirjoittaminen (write, w) ja ajaminen (execution, x).
Naista lukeminen ja kirjoittaminen ovat selvia, mutta ajaminen onmonimutkaisempi operaatio. Tavallisen tiedoston yhteydessa ajaminentarkoittaa, etta joko tiedosto ladataan keskusmuistiin ja sensisaltamat kaskyt suoritetaan tai tiedoston sisaltamat komentotulkinkaskyt luetaan ja suoritetaan. Hakemistotiedoston kohdalla ajaminentarkoittaa, etta hakemisto voidaan kayda lapi tarvittavaa tiedostoaetsittaessa.
Tiedoston oikeudet saadaan selville ls-komennolla. Komento ls -l
tiedosto+ nayttaa tiedoston+ ominaisuudet. Ensiksi
nakyvat oikeudet muodossa
−rw − rw − r −−(1)
Ensimmainen viiva ilmaisee tiedoston tyypin:
() 21. maaliskuuta 2010 35 / 78
Paasyoikeudet tiedostoihin II
-+ tavallinen tiedosto
d+ hakemisto
c+ merkkitiedosto (character special file)
b+ lohkotiedosto (block special file)
l+ symbolinen linkki
p+ fifo-tiedosto
Esimerkin (1) tapauksessa on siis kysymyksessa
tavallinen tiedosto. Ensimmaiset kolme koodia taman
jalkeen ilmaisevat omistajan oikeudet.
Esimerkissa omistaja voi lukea ja kirjoittaa
tiedostoon, muttei ajaa tiedostoa. Toiset kolme
ilmaisevat ryhman oikeudet, jotka esimerkissa ovat
samat kuin omistajan. Viimeiset kolme merkkia
ilmaisevat muiden oikeudet, jotka tassa tapauksessa
rajoittuvat lukemiseen.
() 21. maaliskuuta 2010 36 / 78
Paasyoikeudet tiedostoihin III
Oikeuksien jalkeen komento ls -l listaa linkkien
lukumaaran, kayttajan, ryhman, tiedoston koon,
muutosten pvm:n ja tiedostonimen.
Jos halutaan nahda hakemiston oikeudet, on kaytettava
komentoa ls -ld+.
Tiedostojen oikeuksia voidaan muuttaa
chmod+-komennolla. Vain omistaja tai juuri voi kayttaa
tata komentoa. Komennon yhteydessa tarvitaan seuraavia
parametreja:
Kuka
u User
g Group
o Other
a All
() 21. maaliskuuta 2010 37 / 78
Paasyoikeudet tiedostoihin IV
Operaattori
- poista oikeus
+ lisaa oikeus
= aseta oikeus
Oikeudet
r Read
w Write
x Execute
l Set locking privilege
s Set user or group ID mode
t Set save text mode
u User’s current permissions
g Group’s current permissions
o Others’ current permission
() 21. maaliskuuta 2010 38 / 78
Esimerkkeja I
chmod go-rw: Ryhmalta ja muilta otetaan pois tiedoston luku- jakirjoitusoikeudet.
chmod a=rw: Kaikki voivat lukea ja kirjoittaa tiedostoon.
chmod g=u: Tiedoston kayttajan oikeudet siirtyvat myos ryhmalle.
g+x: Ryhmalle tulee oikeus ajaa tiedosto.
Lisaksi on mahdollista kayttaa rekursiivista optiota -R. Talloin komentokoskee tiedostoa ja sen alihakemistoja ja -tiedostoja.
() 21. maaliskuuta 2010 39 / 78
Tiedostojen salaus I
UNIX:ssa on helppoa salata tiedoston sisalto:
crypt xyZZy325 chaptn.tex chaptn.cry
Komento salaa tiedoston chaptn.tex ja salattu sisalto kirjoitetaantiedostoon chaptn.cry. Salausavain on kayttajan valitsema merkkijonoxyZZy325. Se on oleellista muistaa, jos alkuperainen tiedosto tuhotaan!Aina ei ole turvallista kirjoittaa avainta naytolle. Komentoa voidaankinkayttaa ilman, etta samaan aikaan kirjoitetaan avainta. Talloin jarjestelmakysyy avainta siten, ettei sen kirjoittaminen naytolle nay. Huomattakoonmyos, ettei esimerkin avain ole riittavan pitka kaikkiin tarkoituksiin. Lisaaavainten pituuksista on seuraavissa luvuissa.
() 21. maaliskuuta 2010 40 / 78
Virukset I
Tietokonevirus on ohjelmakoodia, joka pystyy kopioimaan ja levittamaanitseaan uusiin kohteisiin. Tietokonevirus tarvitsee leviakseen jaaktivoituakseen aputiedoston samalla tavoin kuin biologinen virus tarvitseeavukseen isantasolun.Virukset voidaan jakaa niiden tartuttamien kohteiden perusteella neljaanpaatyyppiin:
tiedostovirukset,
makrovirukset,
komentojonovirukset ja
kaynnistyslohkovirukset.
() 21. maaliskuuta 2010 41 / 78
Virus voi kuulua samalla useampaan kuin yhteen edella mainituistatyypeista. Tiedostovirukset tarttuvat suorituskelpoisiinohjelmatiedostoihin, joista tyypillisimpia ovatWindows-kayttojarjestelmassa .com, .pdf ja .scr-paatteiset tiedostot.
Leviaminen tapahtuu aina kun saastunut ohjelma suoritetaan koneenmuistissa. Tiedostovirukset voivat levita kaikilla tiedonsiirtotavoilla,joilla siirretaan ohjelmatiedostoja.
Makrovirukset on ohjelmoitu toimisto-ohjelmissa kaytettavienmakrokielten avulla. Makrovirusten leviaminen tapahtuudokumenttien mukana ja ne saatetaan suorittaa automaattisesti kundokumentti avataan toimisto-ohjelmassa.
Makrovirukset voivat levita kayttojarjestelmasta riippumatta, mikalikaytossa on sama toimisto-ohjelma. Toimisto-ohjelmiin on lisattysisaanrakennettuja ominaisuuksia, joilla makrojen tahatontasuorittamista pyritaan estamaan.
() 21. maaliskuuta 2010 42 / 78
Komentojonovirukset on tehty kayttaen hyvaksi kohdejarjestelmantarjoamia komentikielia. Esimerkiksi Windowsin Visual Basic Scriptingon ollut suosittu tahan tarkoitukseen. Komentojonoja pystytaanluomaan tavallisella tekstieditorilla.
Kaynnistyslohkovirukset tarttuvat tietovalineen, kuten kiintolevyn taiUSB-muistin kaynnistyslohkoon, josta tietokone etsii kaynnistykseentarvittavia tietoja. Virus voi tarttua ulkoiselta laitteelta kiintolevynkaynnistyslohkolle ja taman jalkeen saastuttaa tietokoneessakaytettvat muut suojaamattomat muistilaitteet.Kaynnistyslohkovirukset leviavat hitaasti, koska ne siirtyvatkaytannossa vain muistilaitteelta toiselle. Ne ovatkin nykyaanharvinaisia.
() 21. maaliskuuta 2010 43 / 78
Virusten muita luokitteluja I
Viruksia voidaan luokitella myos muiden kriteerioiden mukaan:
TSR-virus (terminate and stay resident) on sellainen, joka pysyyaktiivisena muistissa sovelluksen paattymisen jalkeen.
Haivevirus (stealth virus) on virus, joka katkee saastuneen tiedoston.Nama virukset sieppaavat tiedostoon liittyvat kayttojarjestelmakutsut.Jos kutsun tavoitteena on saada tiedostoattribuutit, tiedostonalkuperaiset attribuutit annetaan. Jos kutsu on tiedostonlukuoperaatio, tiedosto puhdistetaan ensin ja vasta sitten luovutetaanluettavaksi. Mutta jos kutsu on tiedoston suoritus, tiedosto annetaansellaisenaan.
() 21. maaliskuuta 2010 44 / 78
Virusten muita luokitteluja II
Salattu virus on sellainen, jonka koodista suurin osa on salakirjoitettu.Vain purkamiseen tarkoitettu koodi on selvakielisena. Varhaisetvirustentorjuntaohjelmistot olivat vaikeuksissa tallaisten virustenkanssa. Ne voidaan paljastaa rakentamalla virtuaalikone, jokasuorittaa koodin. Koodi purkaa salauksen ja sen jalkeen virus voidaantunnistaa.
Polymorfinen virus muuttaa muotoaan joka kerta, kun se tunkeutuutoiseen ohjelmaan. Tallaisten virusten tuottamista on automatisoitu.Esimerkiksi jo 1992 oli saatavilla Mutation Engine (MtE) ja TridentPolymorphic Engine (TPE).
() 21. maaliskuuta 2010 45 / 78
Taydellisen virustorjunnan mahdottomuus I
On todistettu, etta taydellinen virustorjunta on mahdotonta. Toisinsanoen ei ole olemassa algoritmia, joka loytaisi tai paljastaisi kaikkivirukset.
Sen tahden virustentorjunta perustuu tunnettujen virusten etsimiseen.Tamakin nayttaa toimivan kaytannossa hyvin. Lisaksi jarjestelmienomat tietoturvaominaisuudet ovat parantuneet.
Tietokone-lehden numerossa 1-2010 yritettiin tartuttaa tahallaansyksylla 2009 liikkuneita viruksia Windows Vista -koneeseen.Kayttajalla eli tassa tapauksessa tartuttajalla oli vain perusoikeudet.
Tartuttaminen osoittautui yllattavan vaikeaksi, silla Vistan omaDefender huomasi ja esti virusten toimintaa.
() 21. maaliskuuta 2010 46 / 78
Taydellisen virustorjunnan mahdottomuus II
Ja vaikka tartunta olisikin tapahtunut, Windows olisi helppopuhdistaa: kone kaynnistetaan admin-tunnuksella jakayttajahakemiston tyotiedostot kopioidaan turvaan. Sen jalkeenkayttajatili poistetaan ja tarvittaessa perustetaan uudelleen. Kone onjalleen puhdas. Ongelmia syntyy vasta, jos virus on paassyt koneeseenadmin-oikeuksilla.
() 21. maaliskuuta 2010 47 / 78
Madot I
Madot ovat haittaohjelmia, jotka kykenevat leviamaan itsenaisestiilman aputiedostoa. Madot voivat levita nopeasti esimerkiksisahkopostin avulla.
Sahkopostimadot voivat olla liitetiedostoina tai osana itse viestia.Liitetiedostoina leviavat madot vaativat yleensa aktivoituakseen, ettakayttaja avaa tiedoston. Eraat madot aktivoituvat tietyillasahkopostiohjelmilla jo viestin esikatselutilassa. Aktivoiduttuaansahkopostimato etsii kohdekoneesta sahkopostiosoitteita, joihin se voilahettaa itsensa edelleen.
Verkkomadot leviavat tietokoneverkossa tarvitsematta sahkopostin taitietokoneen kayttajan apua. Ne kayttavat hyvakseen reaaliaikaistaverkkoyhteytta koneiden valilla. Verkkomatojen leviamiselle otollisiaovat jatkuvasti verkossa kiinni olevat, puutteellisesti yllapidetytpalvelimet tai kotitietokoneet, joissa on madon leviamisenmahdollistavia paikaamattomia tietoturvahaavoittuvuuksia.
() 21. maaliskuuta 2010 48 / 78
Madot II
Eras laji matoja ovat botnet-verkkoja rakentavat madot.Botnet-verkot ovat valloitetuista koneista koostuvia kokonaisuuksia,joita kaytetaan hajautettuihin palvelunestohyokkayksiin,roskapostitukseen, verkkourkintaan, identitettivarkauksiin sekalukuisiin muihin rikollisiin tarkoituksiin.
Botnet-verkkojen rakenne on melko samanlaista kuin vertaisverkkojen.Storm-verkko on tunnetuin botnet-verkko.
Eraan tutkimuksen mukaan Storm oli vastuussa jopa yli viidenneksestakaikesta roskapostista vuoden 2008 ensimmaisella neljanneksella. Onmyos arvoitu, etta Storm koostui noin kahdesta miljoonasta koneestavuonna 2008. Verkko katosi kokonaan syyskuussa 2008, mutta herasieloon uudistuneena Waledac-verkkona vuoden 2008 lopussa.
Conficker (myos Downup, Downaup, Kido) on yksi suurimmistabotnet-verkoista, joita on loydetty. Tartunnan saaneita koneitaarvioitiin olevan 9-15 miljoonaa tammikuussa 2009.
() 21. maaliskuuta 2010 49 / 78
Madot III
Conficker kulkee dynaamisen linkkikirjaston (DLL) mukana, joten seei voi asentua koneeseen ilman apua. Alun perin Conficker rupesileviamaan Windowsin eri versioissa olevan MS08-067 tietoturva-aukonkautta.
On myos kaksi muuta tapaa, joilla se pyrkii leviamaan. Ensimmainentapa on hyodyntaa verkkoon kytkettyjen Windows-kayttojarjestelmienavoimia levyjakoja. Toinen tapa levita tapahtuu USB-muistitikkujenavulla. Kun muistitikku tyonnetaan koneen USB-porttiin, kaynnistyyautomaattisesti autorun-prosessi, joka lataa ja suorittaa haittakoodin.
Confickerin kayttama vertaisverkkoteknologia on osittaintuntematonta. Tama johtuu siita, etta Confickerin ohjelmoijat ovattarkoituksellisesti kirjoittaneet haittakoodista vaikeaselkoista.
() 21. maaliskuuta 2010 50 / 78
Madot IV
Conficker pyrkii myos sammuttamaan kaikki Windowsintietoturvaominaisuudet. Esimerkiksi palautuspisteet (Windows RestorePoints), Windows Update seka sen yhteydessa hyodynnettavatietoturvapaivitysten latausohjelma BITS (Background IntelligentTransfer Service) poistetaan kaytosta.
Samalla Conficker lisaa Windowsin rekisteriin rekisteriavaimet, jotkasallivat Confickerille tarpeellisen liikenteen palomuurin lapi.Confickerissa on myos sisaanrakennettu lista erivirustorjuntaohjelmistojen kaynnistystiedostoista. Mikali tartunnansaaneesta koneesta loytyy jokin listan ohjelmista, Confickersammuttaa ja poistaa kyseisen ohjelman kaytosta.
() 21. maaliskuuta 2010 51 / 78
Madot V
Huolimatta siita, etta Conficker on ollut olemassa jo pitkaan, ei olekeksitty tehokasta tapaa tuhota sita keskitetysti. Myoskaan viitteitasiita, kuka Confickerin on alun perin luonut, ei ole saatu. Helmikuussa2009 Microsoft yhteistyossa muutamien muiden teollisuuden alanyritysten kanssa ilmoitti antavansa $250 000 palkkion syyllisen jaljillejohtavasta vihjeesta. Black Hat -hakkeriryhma on vihjannut, ettaConfickerin rakentajat olisivat ukrainalaisia.
() 21. maaliskuuta 2010 52 / 78
Troijalaiset I
Troijalaiset ovat ohjelmia, jotka tekevat ohjelman kayttajalta salassajotain arvaamatonta. Troijalaiset leviavat jollain tapaa houkuttelevantai hyodyllisen ohjelman mukana tai ovat osa itse ohjelmaa sisaltaendokumentoimattomia toimintoja. Troijalaisissa itsessaan ei oleleviamismekanismia, vaan niita kaytetaan tyypillisesti muunhaittaohjelman haittakuormana.
Troijalaiset voivat avata kohdekoneelle takaportin, jonka kauttaluvaton tunkeutuja voi paasta murtautumaan tietokoneelle jaetahallitsemaan sita jopa organisaation palomuurin lapi.
Murrettua konetta voidaan kayttaa roskapostitukseen,palvelunestohyokkayksiin tai tietomurtoihin. Troijalaiset voivat myoskerata ja lahettaa verkossa eteenpain salasanoja, sahkopostiosoitteita,nappainpainalluksia tai tietoa kyseisesta tietokoneesta tai kayttajantoimista, kuten vierailuista verkkosivuilla.
() 21. maaliskuuta 2010 53 / 78
Vakoilu- ja mainosohjelmat I
Jotkut ilmaiset ja jopa maksullisetkin hyoty- tai apuohjelmatsisaltavat vakoilukomponentteja, jotka keraavat ja lahettavat tietoakoneen kaytosta eteenpain.
Kerattavat tiedot voivat olla tietoja kayttajan vierailemistawww-sivuista tai jopa verkkopalvelujen salasanoja. Ohjelmat voivatpakottaa selaimen aloitussivun omalle sivulleen siten, etta aloitussivuaon vaikea muuttaa takaisin halautuksi sivuksi tai ne saattavat avatalukuisia mainosikkunoita selainta kaytettaessa.
Naista vakoiluohjelmista saatetaan kertoa ohjelmaa ladattaessa taiohjelman lisenssisopimuksessa. Koska joillekin vakoiluohjelmillesaadaan asennettaessa kayttajan suostumus, naita ohjelmia eivalttamatta tunnisteta virustorjunta-ohjelmalla, vaan ne vaativattahan tarkoitukseen kehitetyn oman torjuntaohjelmansa. Osavakoiluohjelmista asentuu tyoasemalle salaa kayttajan tietamatta jalupia kysymatta.
() 21. maaliskuuta 2010 54 / 78
Vakoilu- ja mainosohjelmat II
Nykyaan yleisia ovat myos tietoturvaohjelmat, jotka ovat jokotehottomia tai suorastaan haitallisia. Osa ohjelmista on jopasuomenkielisia ja niita mainostetaan hyvamaineisilla www-sivuilla. Nevaittavat loytaneensa ongelmia, joiden korjaaminen vaatii maksullisenversion asentamista. Muutama ”turvaohjelma jopa lataa koneellehaittaohjelmia, jotka se sitten lupaa poistaa. Ala kayta koneensiivoamiseen muita kuin turvalliseksi todettuja apuohjelmia.
() 21. maaliskuuta 2010 55 / 78
Huijausviestit, ketjukirjeet, pilailuohjelmat ja sosiaalinen
hyvaksikaytto I
Huijausviestit eivat ole ohjelmia, vaan sahkopostiviesteja, jotkaleviavat hyvauskoisten kayttajien lahettamina. Naissa viesteissasaatetaan varoittaa vaarallisesta viruksesta ja kehottaa kayttajaalahettamaan viesti eteenpain mahdollisimman monelle.
Huijausviestien, samoin kuin ketjukirjeiden, valittamiseen kuluu sekalahettajan etta vastaanottajan tyoaikaa. Pahimmillaan huijausviestiterehdyttavat kayttajan toimimaan virheellisesti, kuten poistamaankayttojarjestelmalle tarkeita tiedostoja viruksina. Huijausviesteihinkuuluvat myos viestit, joissa pyydetaan lahettaan esimerkiksipankkitunnuksia.
Internetista on saatavana paljon erilaisia vitsi- ja pilailuohjelmia, joillasaikytellaan tavallisia kayttajia. Ohjelmat voivat antaa kummallisiavirheilmoituksia, olla alustavinaan kayttajan kiintolevya taituhoavinaan tiedostoja.
() 21. maaliskuuta 2010 56 / 78
Huijausviestit, ketjukirjeet, pilailuohjelmat ja sosiaalinen
hyvaksikaytto II
Tietokoneen hiiren tai nayton toimintaa voidaan manipuloida siten,etta ne vaikuttavat olevan rikki. Nama ohjelmat eivat yleensa olevihamielisia, mutta niiden mukana voi levita vaarallisia haittaohjelmiaja ne voivat kuluttaa henkiloresursseja laitteiden tarkastukseen.
Monet menestykselliset hyokkaykset ovat perustuneet ihmistenharhauttamiseen muutenkin kuin tietokoneen kaytossa. Esimerkiksiluottamuksellisia tietoja, vaikkapa salasanoja, voi kysella johtotasonhenkiloksi tekeytyva hyokkaaja.
Salasanoja voi urkkia hiiviskelemalla toimistoissa ja tutkimallamuistilappuja. Myos kiikarointi vastapaisesta rakennuksesta voipaljastaa salasanoja ja kayttajatunnuksia.
Troijalaisia voidaan myos levittaa kylvamalla saastutettujamuistitikkuja organisaation parkkipaikalle ja toivomalla, etta jokuhenkilokunnasta olisi utelias ja tutkisi tikun sisaltoa.
() 21. maaliskuuta 2010 57 / 78
Haittaohjelmien torjunta:BIOS-asetukset I
Seuraavassa on VAHTI 3/2004 -kirjasen ohjeita haittaohjelmiltasuojautumiseen.
Tyoaseman turvaaminen aloitetaan tekemalla BIOS-asetuksiintiedonsiirtoon liittyvat turvallisuutta lisaavat rajoitukset. Naistakriittisimpia ovat ilmarajapintaa hyodyntavat WLAN, Bluetooth jaIR-portti.
Myos sisainen modeemi ja verkkokortti mahdollistavat haittaohjellmanhelpon paasyn tyoasemaan. Sarjaportin, rinnakkaisportin jaUSB-portin kaytto on myos harkittava kukin erikseen, silla naidenkautta voidaan kytkeytya tyoasemaan.
() 21. maaliskuuta 2010 58 / 78
Haittaohjelmien torjunta:BIOS-asetukset II
Kannettavan tyoaseman kaynnistys on aina suojattava salasanalla. Sevoidaan toteuttaa tyoasemassa olevalla nk. turvapaneelilla, kiintolevynsalakirjoitusohjelmaan kuuluvalla kaynnistyssalasanalla taiBIOS-asetuksista loytyvalla koneen kaynnistyssalasanalla. Vastasalasanan syottaminen kaynnistaa tietokoneen kayttojarjestelman jaantaa kayttajalle kirjautumisikkunan.
Jos kannettavan kiintolevya ei ole salakirjoitettu, on se suojattavaBIO-asetuksista loytyvalla kiintolevyn suojaussalasanalla. Menettelyestaa levyn kayton toisessa samanlaisessa koneessa.
Tyoaseman kaynnistys on sallittava vain kiintolevylta. Jos tahanturva-asetukseen on jostain syysta tehtava kevennyksia, suositellaankaynnistysjarjestykseksi: kiintolevy, cd-rom, muut siirrettavat mediat(esim. USB).
Kaikki BIOS-tason muutokset on suojattava muutoksilta salasanalla,jota ei saa antaa loppukayttajalle,
() 21. maaliskuuta 2010 59 / 78
Haittaohjelmien torjunta: tyoaseman perusasetukset I
Turvallisuuden kannalta merkittavaa on, etta loppukayttajalle eianneta kuin perusoikeudet tyoaseman kayttoon. Tyoasemientietoturvakaytannot on otettava kayttoon keskitetysti.
Tyoasemien turvallisuutta parannetaan kayttamalla asennuksissavakioituja ymparistoja, joissa on kaytossa viimeisimmat korjaussarjatja turvapaivitykset. Apuohjelmistojen versioista pitaa kayttaauusimpia versioita, joiden turva-aukot on tukittu.
Tyoasemien turvapaivityksissa on hyodynnettavaautomaatti-toimintoja. Paivitykset on mahdollisuuksien mukaanhoidettava keksitetysti ja valvotusti.
Tyoasemassa voidaan estaa esimerkiksi Visual Basic Scriptiensuorittaminen poistamalla Wscript.exe ohjelman suorittaminen.Perusasetuksissa karsitaan pois turhat ohjelmat (esimerkiksimessenger.exe ja msnmessenger.exe), jotka hyodyntavat HTTP(Hypertext Transfer Protocol) liikenteessa porttia 80.
() 21. maaliskuuta 2010 60 / 78
Haittaohjelmien torjunta: tyoaseman perusasetukset II
Muita poistettavia ohjelmia voivat olla ftp.exe, tftp.exe, debug.exe,at.exe, edlin.exe ja format.com. Kaikissa tyoasemissa on oltavaasennettuna virustorjuntaohjelmistot ja virustunnisteidenpaivittyminen automaattisesti siten, etta loppukayttaja ei voi naihinvaikuttaa.
Tyoasemissa on kaytettava ohjelmallista palomuuria, joka estaaohjelmien suorittamisen seka keraa lokia.
Uusimmat madot eivat kopioi itseaan kovalevylle, eika niita nain ollenloydeta kovalevyskannauksella. Lokitiedot ovat tarpeellisiamahdollisten haittaohjelmaepidemioiden selvittelyn kannalta.
Palomuurien, kuten virustorjuntaohjelmienkin hallintaan on syytahankkia keskitetty hallintatyovaline ja estaa kayttajaa tekemastasaantoihin muutoksia. Kayttajalle ei saa antaa tyoasemissa (mlkannettavat) local admin-oikeuksia.
() 21. maaliskuuta 2010 61 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset I
Ohjelmistohaavoittuvuuksien hyvaksikaytto osana haittaohjelmanleviamis- tai haittavaikutusmekanismia on suosittu ja jatkuvastilisaantyva ilmio.
Ilmion suosioon on vaikuttanut muun muassahaittaohjelmakirjoittajien ja perinteisten hakkereidenyhteenliittyminen, seka julkaistujen vakavienohjelmisto-haavoittuvuuksien voimakas lisaantyminen. Organisaationon jarjestettava turvapaivityksien aktiivinen seuranta ja toteutustyoasemissa ja palvelimissa.
Ohjelmistohaavoittuvuuden hyvaksikaytto voi olla osa varsinaistahaittaohjelman leviamis- tai aktivoitumismekanismia. Lisaksi alemmantason oikeuksilla aktivoitunut haittaohjelma voi hyvaksikayttaapaikallista hyvaksikaytettavaa ohjelmistohaavoittuvuutta korkeammantason oikeuksien saamiseen.
() 21. maaliskuuta 2010 62 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset II
Tyypillisia sahkopostin kautta leviavien haittaohjelmienhyvaksikayttamia haavoittuvuuksia ovat sellaisetsahkopostiohjelmistojen tai selainten haavoittuvuudet, jotkamahdollistavat haittaohjelman aktivoitumisen ilman liitetiedostonavaamista.
Hyvin tunnettuja ovat virukset, jotka ohjelmistohaavoittuvuuttahyvaksikayttamalla aktivoituvat jo sahkopostin esikatselutilassa.Lisaksi sahkopostin liitetiedostoina leviavat virukset voivathyvaksikayttaa lahes kaikkia liitetiedoston kasittelyyn kaytettyjensovellusohjelmistojen haavoittuvuuksia. Tallainen haavoittuvuus voiolla esimerkiksi toimistosovelluksessa mahdollistaen makrojensuorittamisen ohjelmiston asetusten vastaisesti.
() 21. maaliskuuta 2010 63 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset III
Selainhaavoittuvuuksien hyvaksikaytto on erityisen suosittuawww-sivujen kautta leviaville Troijan hevosille. Selaimenhaavoittuvuutta hyvaksikayttamalla haittaohjelma voi tarttuawww-sivujen kautta sivuja selailevan kayttajan jarjestelmaan, vaikkaselaimessa on kaytossa turvalliset asetukset.
Selaimen haavoittuvuuden hyvaksikaytto on yksi suosituimmistamenetelmista lapaista palomuuri ja ujuttautua sisaverkon tyoasemaan.
www-sivujen kautta leviavat haittaohjelmat voivat hyvaksikayttaamyos selaimen kautta kayttojarjestelman tai kirjastonhaavoittuvuuksia tai mita tahansa www-sivuilta ladattavia tiedostojakasittelevien asiakasohjelmistojen, kuten esimerkiksi videotiedostojenkatseluun tai musiikkitiedostojen kuunteluun tarkoitettujenohjelmistojen haavoittuvuuksia.
() 21. maaliskuuta 2010 64 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset IV
Useimmat verkkomadot leviavat suoraan palvelinohjelmistojenhaavoittuvuuksien avulla. Verkkomadot voivat hyvaksikayttaa myosverkon kautta hyvaksikaytettavia kayttojarjestelmien ja kirjastojenhaavoittuvuuksia.
Haittaohjelmien leviamisen ehkaisemiseksi ja haittavaikutustenrajoittamiseksi yllapidon tulee ryhtya valittomasti toimenpiteisiinohjelmistovalmistajan julkaistua korjauspaivityksen vakavaanhaavoittuvuuteen organisaatiossa sovitun prosessin mukaisesti.
Haittaohjelmien leviamisen nakokulmasta vakavia haavoittuvuuksiaovat erityisesti mielivaltaisten komentojen etasuorittamisen (arbitraryremote code execution) mahdollistavat haavoittuvuudet.
On kuitenkin huomattava, etta useampi vahapatoisempihaavoittuvuus voi yhdessa muodostaa hyvaksikaytettyna yhta vakavaahaavoittuvuutta vastaavan uhan.
() 21. maaliskuuta 2010 65 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset V
Kussakin organisaatiossa tulee arvioida haavoittuvuuden vakavuuttaorganisaation nakokulmasta (haavoittuvuusikkuna), arvioiden erikseenhyvaksikayton mahdollisuutta haittaohjelman avulla.
Usein ohjelmistovalmistajat joutuvat tekemaan tietoturvapaivityksetnopeasti, erityisesti julkiseen tietoisuuteen tulleisiin haavoittuvuuksiin,eika tietoturvapaivityksia valttamatta testata valmistajan toimestayhta kattavasti kuin varsinaisia ohjelmistoversioita.
Korjauspaivityksen asentaminen voi aiheuttaa toimivuus- taiyhteensopivuusongelmia. Ennen tuotantojarjestelmien ja kriittistenpalvelimien paivittamista seka sisaverkon tyoasemien keskitettyapaivittamista tulee korjauspaivityksen toimivuus ja yhteensopivuusmuiden organisaatiossa kaytettyjen ohjelmistojen kanssa kokeillaerillisessa testiymparistossa.
() 21. maaliskuuta 2010 66 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset VI
Jos julkaistuun vakavaan ohjelmistohaavoittuvuuteen ei ole saatavillakorjauspaivitysta tai paivitysta ei voida asentaa esimerkiksiyhteensopivuus-ongelmien takia, tulee yllapidon pyrkia rajoittamaanhyvaksikayttoa muilla menetelmilla, esimerkiksi suojaamallajarjestelma palomuurilla.
Erityisesti on kuitenkin huomattava, ettei virustorjuntaohjelmistoyksin suojaa riittavasti paivittamatonta jarjestelmaa saastumiselta.
Esimerkiksi uusi nopeasti leviava mato ennattaa saastuttaa valtaviamaaria haavoittuvia tietojarjestelmia ennen kuin torjuntaohjelmistonvalmistaja kykenee paivittamaan virustunnisteet uuden madontorjumiseksi.
Jos vakavan haavoittuvuuden sisaltavaa jarjestelmaa ei voida paivittaatai suojata muilla hyvaksikayttoa rajoittavilla toimenpiteilla, tuleeyllapidon tarkastella vaihtoehtoisen ohjelmiston kayttoonottoa.
() 21. maaliskuuta 2010 67 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset VII
Haittaohjelmien leviamisen ehkaisemiseksi tulee haavoittuvistatietojarjestelmista suojata ensisijaisesti suoraan niihin kytketyt taiavoimeen verkkoon palveluita tarjoavat tietojarjestelmat. Muidenjarjestelmien paivittamisen prioriteettia arvioitaessa tulee tarkastellamuiden suojaus-kerroksien tarjoamaa suojaa ja jarjestelmankriittisyytta.
Erityisesti on huomattava, ettei pelkan verkkopalomuurin tuoma suojaole useinkaan riittava: palomuurilla suojattuun sisaverkkoonverkkomato voi paasta esimerkiksi saastuneen kannettavan laitteen taisisaverkkoon yhteyden ottaneen etatyoaseman kautta. Sisaverkkoonpaassyt verkkomato voi saastuttaa erittain nopeasti paljon tyoasemiaja aiheuttaa vakavan uhan koko organisaation toiminnalle.
() 21. maaliskuuta 2010 68 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset VIII
Sisaverkkoon liitettavien tyoasemien versionhallinnasta jakorjauspaivittamisesta tulee huolehtia mahdollisimman keskitetysti jatata varten pitaa olla hyvaksytty hallintaprosessi. Erityista huomiotatulee kiinnittaa kannettaviin tietokoneisiin ja etatyokoneidenohjelmistojen paivittamiseen.
Organisaation yllapidon tulee tarkastella verkkoon kytkettyjentietojarjestelmien paivitystilannetta saannollisin valiajoin.Paivitystilannetta voidaan tarkastella joko jarjestelman ulkopuoleltatoisesta jarjestelmasta verkon kautta suoritettavilla teknisillahaavoittuvuustarkastuksilla tai paikallisesti jarjestelmassasuoritettavilla paivitystilannetta tarkastelevilla tyokaluilla.
Haavoittuvuusskannereiden toiminta perustuu tutkittavienohjelmistojen versioiden selvittamiseen ja versiotietojen vertaamiseenhaavoittuvuus-tietokannan tietoihin.
() 21. maaliskuuta 2010 69 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset IX
Haavoittuvuustietokanta sisaltaa luettelon yleisimpien ohjelmistojeneri versioista loydetyista haavoittuvuuksista. Haavoittuvuusskanneritvoivat etsia haavoittuvia ohjelmistoja myos murtokokeita tekemalla.Haavoittuvuusskannereita on saatavilla seka ilmaisohjelmistoina, ettakaupallisina ohjelmistoina.
Verkon kautta suoritettavilla teknisilla haavoittuvuustarkastuksillavoidaan havaita ohjelmistopaivitysten puuttuminen vain niistaohjelmistoista, joihin paastaan verkon kautta kasiksi.
Tallaisia ohjelmistoja ovat ensisijaisesti verkkoon palveluita tarjoavatpalvelinohjelmistot. Lisaksi haavoittuvuus-skannereilla voidaan havaitavain osa puuttuvista kayttojarjestelma- ja kirjastopaivityksista.
Verkon kautta suoritettavilla haavoittuvuustarkastuksilla ei tavallisestihavaita asiakasohjelmistoista puuttuvia paivityksia.
() 21. maaliskuuta 2010 70 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset X
Erityisesti on huomattava, etta haavoittuvuusskannereita ja muitaversiotietoihin pohjautuvia tyokaluja kayttamalla voidaan havaita vaintunnettuja haavoittu-vuuksia.
Haavoittuvuusskannerit toimivat haavoittuvuustietokannan tietojenperusteella, joten haavoittuvuustietokannan paivittaminen riittavanusein - esimerkiksi aina ennen saannollisin valiajoin suoritettavaateknista haavoittuvuustarkastusta – on valttamatonta.
Suurimpien valmistajien (Qualys, CA, ISS ja NAI) tuotteethavaitsevat noin 91.000 haavoittuvuutta.
Paikallisesti suoritetuilla skannauksilla voidaan tutkia kattavastijarjestelman paivitystilannetta, nain havaitaan myosasiakasohjelmistoista puuttuvat paivitykset.
() 21. maaliskuuta 2010 71 / 78
Ohjelmistohaavoittuvuudet ja korjauspaivitykset XI
Monet ohjelmistovalmistajat tarjoavat ilmaiseksi tyokaluja, joillavoidaan tutkia valmistajan ohjelmistojen asetuksia ja puuttuviakorjauspaivityksia. Tyokaluja, joilla voidaan keskitetysti hallita javalvoa eri ohjelmistojen paivitystilannetta, voidaan kayttaatehokkaasti apuna puuttuvien paivitysten havaitsemiseen.
() 21. maaliskuuta 2010 72 / 78
Torjuntaohjelmat, niiden paivitykset ja seuranta I
Virustorjuntaohjelmistot ovat ohjelmistoja, joiden tehtavana onsuojata tietojarjestelmaa haittaohjelmilta. Virustorjuntaohjelmistotunnistaa haittaohjelmia erilaisten viruskuvaustietokannassakuvattujen tunnisteiden perusteella, estaa niiden suorittamisen japyrkii poistamaan ne tietojarjestelmasta.
Virustorjuntaohjelmistot voidaan jakaa kayttotarkoitukseltaankolmeen ryhmaan: tyoasemassa, sahkopostipalvelimessa seka Internetyhdyskaytavassa kaytettaviin torjuntaohjelmistoihin.
Virustorjuntaohjelmistoilla on merkittava rooli suojauduttaessahaittaohjelmilta, koska ohjelmistojen korjauspaivitykset jajarjestelmien turvalliset asetukset eivat valttamatta suojaatietojarjestelmia niilta haittaohjelmilta, jotka hyvaksikayttavatihmisten tietamattomyytta tai hyvauskoisuutta. Paivitetynvirustorjuntaohjelmiston kaytto pienentaa merkittavastihaittaohjelmien aiheuttamaa uhkaa.
() 21. maaliskuuta 2010 73 / 78
Torjuntaohjelmat, niiden paivitykset ja seuranta II
On huomioitava, ettei pelkka yhdyskaytavatason ja/taipostipalvelimen virustorjunta ole riittava, vaan myos sisaverkontyoasemien suojaamisesta virustorjuntaohjelmistolla tulee huolehtia.Yhdyskaytavan ja postipalvelimen torjuntaohjelmistot eivat suojaasisaverkkoa saastuneen kannettavan laitteen tai salatun yhteydenkautta leviavilta haittaohjelmilta.
Riittavan syvan, kerroksittaisen puolustuksen saavuttamiseksi tuleesisaverkko suojata seka yhdyskaytava- etta tyoasematasontorjunta-ohjelmistoilla. Puolustuksen syvyyden saavuttamiseksi tuleeeri puolustuskerroksilla kayttaa eri valmistajien torjuntaohjelmistoja.
Yhdyskaytavatasolle ja postipalvelimiin asennettavistatorjuntaohjelmistoista tulee kytkea pois paalta ominaisuus, jokalahettaa automaattisesti tiedotteen ”viestin la- hettajalle”torjuntaohjelmiston loydettya haittaohjelman.
() 21. maaliskuuta 2010 74 / 78
Torjuntaohjelmat, niiden paivitykset ja seuranta III
Tasta ominaisuudesta on huomattavasti enemman haittaa kuinhyotya, koska nykyiset sahkopostin kautta leviavat haittaohjelmatpoikkeuksetta vaarentavat lahettajatiedot ja automaattisetilmoitukset lahetetaan vaarennettyihin lahdeosoitteisiin.
Vaarennettyihin osoitteisiin lahetetyt automaattiset ilmoitukset ovatei-toivottua viestintaa, mika lisaa postipalvelimien kuormitusta jaaiheuttaa hammennysta ja joissakin tapauksissa jopa turhaaselvitystyota viestin vastaanottajalle.
Tyoasemiin asennettavat torjuntaohjelmistot taytyy konfiguroida niin,ettei tavallisilla kayttajilla ole mahdollisuuksia tehda muutoksiaohjelmistojen asetuksiin tai pysayttaa ohjelmistoa.
() 21. maaliskuuta 2010 75 / 78
Torjuntaohjelmat, niiden paivitykset ja seuranta IV
Torjuntaohjelmiston taytyy kaynnistya aina jarjestelmankaynnistymisen yhteydessa ilman kayttajan toimenpiteita. Tyoasemientorjuntaohjelmistojen kaytto tulee olla keskitetysti hallittua javalvottua, ja yllapidon tulee suorittaa jatkuvaa torjuntaohjelmistojenkayttoon liittyvaa seurantaa.
Koska virustorjuntaohjelmistot kykenevat tunnistamaan vain nehaittaohjelmat, jotka ovat kuvattuna torjuntaohjelmistonvirustunnisteissa, on niiden ajantasaisena pitaminen erittain tarkeaa.
Virustorjuntaohjelmistojen valmistajat tekevat paivityksiavirustunnisteisiin jopa useita kertoja paivassa, jotentorjuntaohjelmiston automaattisen paivitysominaisuuden kaytto onainoa tapa pitaa ne ajantasaisena. Torjuntaohjelmiston tuleevalittomasti kaynnistyksen jalkeen ja muutoin riittavan usein tarkistaavirustunnisteiden ajantasaisuus.
() 21. maaliskuuta 2010 76 / 78
Torjuntaohjelmat, niiden paivitykset ja seuranta V
Sisaverkon jarjestelmien torjuntaohjelmistojen virustunnisteidenpaivittaminen tulee jarjestaa keskitetysti sisaverkon palvelimelta, mikamahdollistaa torjuntaohjelmistojen paivittymisen keskitetynvalvonnan. Yllapidon tulee jatkuvasti seurata, ettatorjuntaohjelmistojen virustunnisteet paivittyvat tarvittavin valiajoin.
Erityista huomiota on kiinnitettava kannettavien tietokoneiden jamuiden mobiililaitteiden torjuntaohjelmistojen virustunnisteidenpaivittymiseen. Virustunnisteiden paivittaminen pitaa maarittaakannettavissa laitteissa niin, etta tunnisteet paivittyvat aina laitteenollessa kytkeytyneena Internetiin. Kannettavan laitteen ollessasisaverkon ulkopuolella kytkeytyneena Internetiin paivitykset haetaansuoraan torjuntaohjelmiston valmistajan palvelimelta.
Kauan sisaverkosta poissa olleiden kannettavien tietokoneidenviruskuvausten ja ohjelmistojen paivitystilanne seka muutietoturvatilanne tulee tarkistaa ennen niiden kytkemista sisaverkkoon.
() 21. maaliskuuta 2010 77 / 78
Torjuntaohjelmat, niiden paivitykset ja seuranta VI
Tarkistaminen voidaan tehda manuaalisesti organisaation yllapidontoimenpiteena.
Tarkistaminen voidaan suorittaa sisaverkkoon kytkeytyvillekannettaville tietokoneille myos automaattisesti teknisillamenetelmilla. Talloin sisaverkkoon kytkeytyville kannettaville laitteillesallitaan yhteydenotto ainoastaan jarjestelman tietoturvantarkistavaan palvelimeen, ja vasta tarkistustoimenpiteen jalkeensallitaan kirjautuminen lahiverkkoon.
() 21. maaliskuuta 2010 78 / 78