CERT-FI-ajankohtaiskatsaus

Alueellinen tietojärjestelmäalan

varautumisseminaari Oulussa

15.11.2006

Erka KoivunenYksikön päällikkö

CERT-FI

Agenda

CERT-FI:n esittely

Haavoittuvuuksista

Ajankohtaista

15.11.2006 3Tietojärjestelmäalan varautumisseminaari / Oulu

CERT-FI – kansallinen CERT-viranomainen

CERT == Computer Emergency Response Team

• koordinoitua tietoturvaloukkausten käsittelyä

• vaste usein reaktiivista jonkin herätteen pohjalta

• aktiivista tiedonhankintaa

• luottamuksellinen ennakkotiedon käsittely ja välittäminen

• kutsutaan myös nimillä: CSIRT, PSIRT, IRT..

CERT ei ole

• virustorjuntayhtiö

• haavoittuvuustestaaja

• esitutkintaviranomainen

• organisaation tietoturvavastuullinen

15.11.2006 4Tietojärjestelmäalan varautumisseminaari / Oulu

CERT-FI – kansallinen CERT-viranomainen

Viestintäviraston tehtävänä on:

1) valvoa tämän lain sekä sen nojalla annettujen säännösten ja määräysten noudattamistasiltä osin kuin 32 §:stä ei muuta johdu;

2) kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin

kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekänäiden palvelujen merkittävistä vikatilanteista ja häiriötilanteista;

3) selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä merkittäviä näiden palvelujen vikatilanteita ja häiriötilanteita; sekä

4) tiedottaa tietoturva-asioista.

Sähköisen viestinnän tietosuojalaki (516/2004) 31 §

15.11.2006 5Tietojärjestelmäalan varautumisseminaari / Oulu

CERT-FI – kansallinen CERT-viranomainen

Keskeiset palvelut

• tietoturvailmoitusten vastaanotto

• tietoturvaloukkausten käsittely

• kansallinen tietoturvallisuuden tilannekuva

• haavoittuvuuskoordinointi

Toiminta järjestetty 24/7/365

{

15.11.2006 6Tietojärjestelmäalan varautumisseminaari / Oulu

CERT-FI – kansallinen CERT-viranomainen

Rahoituspohjan muutos 1.1.2007 alkaen

• teleyritykset 100 % � 25 % (HE 111/2006)

• Huoltovarmuuskeskus 0 % � 75 % (sopimusjärjestely)

• kokonaisrahoitus kaksinkertaistuu

Toiminnan laajentaminen ja uudelleen suuntaaminen

• lisäresursseja yhteiskunnan elintärkeiden toimintojen

turvaamiseen osallistuvien yritysten palvelemiseen

• (osalla lisäresursseista katetaan aiemmat vääristymät)

• jatkossakin toiminnan painopiste säilyy viestintäverkkojen

ja -palveluiden tietoturvallisuuden ja toimivuuden

varmistamisessa

Ohjelmisto-

haavoittuvuuksista

Uudistuksia CERT-FI:n

tietoturvatiedotteisiin

OUSPG

MoKB

Microsoft-tiistai 14.11.

15.11.2006 8Tietojärjestelmäalan varautumisseminaari / Oulu

Kohde (esitetään myös ikonina)[X] Palvelimet ja palvelinsovellukset[ ] Työasemat ja loppukäyttäjäsovellukset [ ] Verkon aktiivilaitteet[x] Matkaviestimet[ ] Sulautetut järjestelmät[ ] Muut

Hyökkäystapa[X] Paikallisesti[X] Etäkäyttöisesti[X] Ilman käyttäjän toimenpiteitä[X] Ilman kirjautumista

Hyväksikäyttö[X] Komentojen mielivaltainen suorittaminen[X] Käyttövaltuuksien laajentaminen[ ] Suojauksen läpäisy[X] Tietojen muokkaaminen[X] Luottamuksellisen tiedon hankkiminen[X] Palvelunestohyökkäys

Ratkaisu[ ] Korjaava ohjelmistopäivitys[X] Ongelman rajoittaminen[ ] Ei päivitystä tai rajoitusmenetelmää

Uusi tiedoteryhmä:

haavoittuvuudet

15.11.2006 9Tietojärjestelmäalan varautumisseminaari / Oulu

Haavoittuvuustutkimuksen tulevaisuus on

Oulussa? Jo tänään?

lähde: OUSPG

15.11.2006 10Tietojärjestelmäalan varautumisseminaari / Oulu

Month of Kernel Bugs - MoKB

CVE-NO-NAMEUnpatched A5AGU.SYS (ex. version

1.0.1.41, DWL-G132 driver)D-Link DWL-G132 Wireless Driver Beacon Rates OverflowMOKB-13-11-2006

CVE-NO-NAMELinux kernel 2.6.18 and previous

(2.6.x).Linux 2.6.x ext2_check_page denial of serviceMOKB-12-11-2006

CVE-NO-NAMELinux kernel 2.6.18 and previous

(2.6.x).Linux 2.6.x SELinux superblock_doinit denial of serviceMOKB-14-11-2006

CVE-NO-NAMEUnpatched BCMWL5.SYS (ex. version

3.50.21.10)Broadcom Wireless Driver Probe Response SSID OverflowMOKB-11-11-2006

CVE-NO-NAMELinux kernel 2.6.18 and previous

(2.6.x).Linux 2.6.x ext3fs_dirhash denial of serviceMOKB-10-11-2006

CVE-NO-NAMEMac OS X 10.3.x, 10.4.x.Mac OS X fpathconf() syscall denial of serviceMOKB-09-11-2006

CVE-2006-5824FreeBSD 6.1 (STABLE) and probably 7

(HEAD)FreeBSD 6.1 UFS filesystem ffs_rdextattr() integer overflowMOKB-08-11-2006

CVE-2006-5823Linux kernel 2.6.18 and previous

(2.6.x).Linux 2.6.x zlib_inflate memory corruptionMOKB-07-11-2006

CVE-2006-5758Microsoft Windows 2000 SP0-SP4, XP

SP0-SP2.Microsoft Windows kernel GDI local privilege escalationMOKB-06-11-2006

CVE-2006-5757Linux kernel 2.6.18 and previous

(2.6.x). Probably 2.4.x (not verified).Linux 2.6.x ISO9660 __find_get_block_slow() denial of serviceMOKB-05-11-2006

CVE-2006-5726SunOS 5.10 Generic_118855-19 and

previous (not verified).Solaris 10 UFS filesystem alloccgblk denial of serviceMOKB-04-11-2006

CVE-2006-5679FreeBSD 6.1 (STABLE) and probably 7

(HEAD)FreeBSD 6.1 UFS filesystem ffs_mountfs() integer overflowMOKB-03-11-2006

CVE-2006-5701Linux 2.6.x squashfsLinux 2.6.x squashfs double freeMOKB-02-11-2006

CVE-2006-5710Mac OS X with Apple Airport 802.11

(Orinoco-based)Apple Airport 802.11 Probe Response Kernel Memory CorruptionMOKB-01-11-2006

ReferencesAffected systemsTitle#

lähde: http://projects.info-pull.com/mokb/

15.11.2006 11Tietojärjestelmäalan varautumisseminaari / Oulu

Joko päivitit?

(Microsoftin päivitysjulkaisut 14.11.2006)

lähde: http://isc.sans.org/

Ajankohtaista

Phishing

Botnetit

Haxdoor

15.11.2006 13Tietojärjestelmäalan varautumisseminaari / Oulu

Phishing taipuu jo suomalaisenkin suuhun..

15.11.2006 14Tietojärjestelmäalan varautumisseminaari / Oulu

Hyökkääjä ei halua paljastaa omaa identiteettiään,joten hän pyrkii piiloutumaan.

Ensiksi, hän perustaa oman hallintapalvelimen.

CONTROLLER

Onnistunut phishing-huijaus on

monimutkainen operaatio

15.11.2006 15Tietojärjestelmäalan varautumisseminaari / Oulu

Hyökkääjä ei halua paljastaa omaa identiteettiään,joten hän pyrkii piiloutumaan.

Ensiksi, hän perustaa oman hallintapalvelimen.

Seuraavaksi, hän murtautuu usean kotikäyttäjäntietokoneisiin käyttäen tunnettua haavoittuvuutta. Nyt hän voi hallita tietokonejoukkoa (BOTNET).

CONTROLLER

SLAVES

Onnistunut phishing-huijaus on

monimutkainen operaatio

15.11.2006 16Tietojärjestelmäalan varautumisseminaari / Oulu

Onnistunut phishing-huijaus on

monimutkainen operaatio

Yleisiä käyttökohteita bot-verkoille

• sähköpostin levitys (roskaposti, virukset, huijaukset)

• palvelunestohyökkäykset (tai niillä kiristäminen)

• phishing-huijaukset (viestit, palvelimet, tietojen keruu)

• sillanpääasemat ja ponnahduslaudat

• teollisuusvakoilu ja tiedustelu yleisesti

• arkaluontoisen tai laittoman tiedon jakelu

• ”kuuman” tiedon välivarastointi tai julkaiseminen

15.11.2006 17Tietojärjestelmäalan varautumisseminaari / Oulu

Bot-verkkoa käytetään houkutusviestien lähettämiseen

CONTROLLER

SLAVES

Onnistunut phishing-huijaus on

monimutkainen operaatio

15.11.2006 18Tietojärjestelmäalan varautumisseminaari / Oulu

Tietojenkerääminen

Käyttäjäthuijataan

väärälle sivustolleesim. roskapostissa

olevalla linkillä

www.paypal.com

FAKE

FAKEwww.paypal.com

user@domain.com

mysecretpassword

X

Huijauspalvelin

Tietojen urkkiminen käyttämällä

tekaistua www-sivustoa

15.11.2006 19Tietojärjestelmäalan varautumisseminaari / Oulu

Phishingistä Pharmingiin

15.11.2006 20Tietojärjestelmäalan varautumisseminaari / Oulu

Koontipalvelin

www.paypal.com

user@domain.com

mysecretpassword

Haxdoor vakoileekäyttäjän näppäilyjä

www.paypal.com

Käyttäjä kirjautuuaitoon palveluunja käyttää sitä

Tietojen vakoileminen aitoa www-sivustoa

käytettäessä

15.11.2006 21Tietojärjestelmäalan varautumisseminaari / Oulu

Tietojen vakoileminen aitoa www-sivustoa

käytettäessä

Kredentiaalien urkkimisesta

ollaan siirtymässä

sessioiden kaappaamiseen

15.11.2006 22Tietojärjestelmäalan varautumisseminaari / Oulu

”Tietoturvan lääkehylly”

1. Riskienhallinnan kontrollikori

• ehkäisevät kontrollit

• havaitsevat kontrollit

• vahinkoa rajaavat kontrollit

• topimusta edistävät kontrollit

2. Suojattavan edun määritteleminen

• Luottamuksellisuus

• Eheys

• Saatavuus

3. Minimikäyttövaltuusperiaate

4. ”Kolmen A:n periaate”

• Todentaminen

• Valtuuttaminen

• Käytön valvonta

KISS

15.11.2006 23Tietojärjestelmäalan varautumisseminaari / Oulu

Suositeltavaa lukemista

Puhelin: +358 (0)9 6966510

Sähköposti: CERT@FICORA.fi

WWW: www.CERT.fi

CERT-FI:n julkiset varoitukset voi lukea:

• Sähköpostitse hälytyspalveluna

• SMS-hälytyspalveluna (maksullinen)

• CERT-FI:n WWW-sivuilta

• RSS-uutispalveluna

• Teksti-tv:n sivulta 848