TigerTeam - suomalainen tietoturvablogi

Kuluvan kuun aikana olemme nähneet harvinaisen paljon OS X -käyttöjärjestelmässä toimivaa haittaohjelmaa koskevia uutisia. Jo useamman vuoden ajan on povattu, että hyökkäykset OS X:ää vastaan tulevat lisääntymään kunhan käyttöjärjestelmän markkinaosuus on ”riittävän kiinnostava”. Nyt ollaan varmastikin tässä tilanteessa. Niin sanotun Flashback-epidemian alkuvaiheessa yli 600 000 tietokoneen kerrottiin saastuneen ko. troijalaisella. Suomesta tartuntoja raportoitiin muutamia satoja.

Applen tietoturvapäivitystä Oraclen jo helmikuun puolivälissä korjaamaan Java-haavoittuvuuteen CVE-2012-0507 saatiin odotella ja niinpä kyseinen Flash-päivitykseksi naamioitu haittaohjelmamuunnos syntyi.

Myöhemmin ilmestyi myös SabPub-niminen troijalainen, jonka uskotaan liittyvän Luckycat-bottiverkkoon. Myös Maceille suunnattuja, Word-haavoittuvuuksia hyödyntäviä APT-hyökkäyksiä (pitkäkestoinen kohdistettu hyökkäys) on tässä kuussa nähty.

Onko työasemani Java haavoittuva?

Ensimmäistä kertaa koko OS X:n olemassaolon aikana usea toimija julkaisi muutaman päivän välein Flashback-poistotyökalun sekä isjavaexploitable.com:n ja flashbackcheck.com:n kaltaisia tarkistussivustoja, joilla voi tarkistaa onko oman työaseman Java päivitetty. Onpa troijalainen saanut myös englanninkielisen Wikipedia-artikkelinsa. Lopulta Java-päivitys Applelta tuli jakeluun poistaen samalla tietokoneessa mahdollisesti majailleen troijalaisen.

Yhtenä viimeisimmistä käänteistä asiassa on tieto, jonka mukaan keskimäärin Mac-tietokoneissa on runsaasti Windows-haittaohjelmia. Ei mikään mitätön asia, mikäli Macissä ollut muistitikku käy Windows-koneessa.

Miksi näin sitten pääsi käymään?

• Moni käyttäjä tuudittautuu siihen, että OS X:llä on turvallinen maine ja haittaohjelmia on käyttöjärjestelmälle olemassa vain kourallinen. Tämä johtaa siihen, ettei Javaa, Flashia, Quicktimea tai esimerkiksi selaimen lisäosia tule päivitettyä, sovellusohjelmista puhumattakaan.

• OS X:n tapa kysyä käyttäjän salasanaa on varoittava merkki käyttäjälle jostain poikkeuksellisesta. Käyttäjä on tottunut syöttämään salasanansa esimerkiksi ohjelmia asennettaessa. Flashback-tapauksessa salasanaa ei kuitenkaan kysytä, vaan haittaohjelma aktivoituu taustalla ilman käyttäjän toimenpiteitä.

• Oletuksena OS X muistuttaa saatavilla olevista päivityksistä vain kerran viikossa. Ellei käyttäjä ole muuttanut Ohjelmiston päivitys (Software Update) -asetuksia ei muistutusta esimerkiksi Flashbackiin liittyvästä Java-päivityksestä tullut käyttäjälle ajoissa. Osa käyttäjistä sai varmuudella tartunnan aikana, jolloin päivitys olisi jo ollut saatavilla.

• Myös mm. Microsoft Officen päivittämisestä huolehtiva Microsoft AutoUpdate -toiminto ilmoittaa päivityksistä viikon välein. Senkin asetuksia kannattaa tihentää:

• Windowsin tavoin tietoturvapäivitysten jakelu vanhempiin versioihin loppuu aikanaan. Leopard-versioon eli 10.5:een ei Java-päivitystä enää julkaistu. Vaihtoehtoina on tässä tilanteessa joko päivittää uudempaan OS X -versioon tai kytkeä Javan suoritus pois päältä.

• Ylläpitäjiä varten Apple on julkaissut kattavat konfigurointiohjeet käyttöjärjestelmän koventamisesta Snow Leopardiin asti. Pirteänä alkuna voi tutustua puolestaan NSA:n julkaisemaan kahden arkin vinkkilistaan, linkki pdf:ään tässä.

Johtopäätöksenä voi sanoa, että Flashback ei ole Macin tietoturvattomuuden alku, mutta herättäjänä ja prosessien tarkistajana se kannattaa ottaa. Microsoft Office, Flash, mediasoitin ja monet, monet muut ohjelmistot eivät päivity itsestään. Maccejä on yrityksissä jo niin paljon, että rikolliset alkavat pitää Mac-työasemia potentiaalisina hyökkäyskohteina.

Kirjoittaja on ollut sataprosenttinen Mac-käyttäjä yli viiden vuoden ajan, mutta käyttää kuitenkin virustorjuntaohjelmistoa ja mm. tietoturvaa parantavia selaimen lisäosia sekä pitää Maccinsä päivitettyinä.

Viime marraskuun tietovuotoryppäästä on nyt kulunut reilut pari kuukautta. Moni saattaa miettiä huojentuneena onnekkuuttaan – eipä ollut oma organisaatio tietomurron kohteena tuolla kertaa.

Tietoturvamaailmassa tällainen ajattelutapa ei kuitenkaan toimi. Valitettava fakta on, että kymmeniä ja kymmeniä web-palveluita murrettiin Suomessa muun muassa juuri marraskuussa. Kaikkia näissä murroissa saatuja tietoja ei kuitenkaan lähdetty julkaisemaan.

Tietoturvakenttä tulee kuluvana vuonna muuttumaan paljonkin. Vuonna 2012 tulemme näkemään uusia ei-teknisiä uhkia ja tietotekniikan kasvava arkipäiväistyminen laajentaa kenttää, johon yrityksen tietoturvavastaavien on otettava kantaa. Esimerkkinä voisi nostaa sen, että viimeistään tänä vuonna organisaatiot kohtaavat tilanteen, jossa Facebookin estämisen sijaan onkin ryhdyttävä rajaaviin toimenpiteisiin.

Tietohallinnon tulee varautua tilanteeseen, jossa työntekijät vain ovat päättäneet käyttää tarvitsemiaan sivustoja ja palveluja tableteilla, olivat ne sitten henkilökohtaisia tai työnantajan hankkimia.

Vuodoista tulee pysyvä trendi

Uusia niin sanottuja vuotosivustoja tullaan avaamaan lukuisia. Vuotosivustojen kautta vuodetut tiedot tulevat myös jäämään verkkoon ja ihmisten kovalevyille – siksi onkin keskityttävä reagoimiseen vuototilanteessa.

On erittäin hyvä asia havahtua yrityksen tietoturvan tasoon tietovuototapausten jälkeen. Se auttaa kartoittamaan missä ovat niin sanotut isot reiät, joista tietovaras voi “kävellä sisään”. Aivan eri vakavuudella tulisi kuitenkin suhtautua uhkaan, jossa hyökkääjällä on huipputason taidot käytössään ja resursseja varattuna kuukausikaupalla. Tällainen on tilanne usein kohdistetuissa hyökkäyksissä ja APTeissa.

Näissä mainituissa esimerkkitapauksissa ensisijaisen tärkeää on tiedon luokittelu. Se luo pohjan myös päätöksille siitä, ryhdytäänkö tiettyjen yritysjärjestelmien käyttöä tai pääsyä some-sivustoille estämään vai rajoittamaan.

Tähän kysymysviidakkoon pyrimme vastaamaan laatimalla trendikarttatyyppisen asiantuntija-artikkelin, jota luotaessa on kuunneltu keskeisten suomalaisyritysten liiketoiminta- ja it-vaikuttajia. Artikkeli on luettavissa sivuillamme täällä.

Mielenkiintoisen tietoturvavuoden alkutaipaleella vietetään tänään Tietoturvapäivää ja koko kuluva viikko on Tietoturvaviikko. Osana sitä nixulaisia on luennoitsijoina sekä kanavan puheenjohtajana ja tavattavissa keskiviikon 8.2. Tietoturvatapahtuma 2012:ssa Finlandia-talolla.

Internet Explorer 7 -selaimen haavoittuvuutta hyödyntävissä verkkohyökkäyksissä on käytetty hyökkäysvektorina XML-muotoista Word-asiakirjaa.

Hyökkäyksessä käyttäjälle lähetetään Microsoft Word -muotoinen asiakirja, joka sisältää upotetun ActiveX-kontrollin. Kyseinen ActiveX-kontrolli ottaa yhteyden verkkosivulle, josta varsinainen hyökkäyskoodi ladataan. Mikäli hyökkäys onnistuu lähettää työasemaan tarttunut takaporttitroijalainen tietonsa verkon yli hyökkääjän käyttöön.

Virustorjujien antamat nimet verkkosivuilla esiintyvälle exploit-koodille ovat mm. Mal/JSShell-B- ja W32/Agent.JLA-muotoisia. Word-dokumentti puolestaan tunnistetaan esim. Exploit-MSWord.k-nimellä. Vihamieliseltä verkkosivuilta latautuu työasemaan tiedosto jc.html.

Haavoittuvuutta on viime päivinä käytetty ns. kohdistetuissa eli kohdennetuissa hyökkäyksissä.

Kohdistettujen hyökkäyksien havaitseminen on haasteellista, koska tyypillisesti kohteina on korkeintaan muutama henkilö organisaatiosta. Hyökkäykset ovat myös hyvin valmisteltuja ja hienostuneita ja kohdehenkilöstä ja -organisaatiosta on yleensä hankittu runsaasti tietoja etukäteen. Myös asiakirjoissa käytetyt liitetiedostojen nimet ja asiakirjojen aiheet liittyvät yleensä kohdehenkilön työnkuvaan.

IE:n haavoittuvuus korjattiin viime viikolla Microsoftin kuluvan kuun kuukausipäivityksissä MS09-002-tunnuksella. Sen CVE-tunnus on CVE-2009-0075 ja CVSS-arvo 8.5. Teknisesti hyväksikäyttötilanteessa muisti korruptoituu CFunctionPointer-objektin käsittelyssä. Windows-versioista turva-aukko koskee mm. yleisimpiä työasemaversioita XP SP3 ja Vista SP1.

Ohjelmistohaavoittuvuuksia luokittelevassa CWE-luokituksessa se lukeutuu luokkaan CWE-399 eli Resource Management Error.