TigerTeam - suomalainen tietoturvablogi

Kun organisaation jokaisesta työasemasta löytyvästä, paljon käytetystä ohjelmistosta löytyy nollapäiväaukko soisi turvapäivityksen tulevan jakeluun mahdollisimman nopeasti. Joskus paikkausta on kuitenkin odoteltava viikkoja ja kuukausia.

Otetaanpa esimerkiksi viime viikolla havaittu Flash-nollapäiväaukko (CVE-2010-1297), joka koskee myös Adobe Reader -ohjelmistoa. Valmistajahan kertoi haavoittuvuuden aktiivisesta hyödyntämisestä viime perjantaina ja tällä viikolla haavoittuvuutta on hyödynnetty laajemmalti ainakin sähköpostiliitteiden avulla.

Nyt tiedämme Flash-korjauksen tulevan jakeluun tänään torstaina - ilmeisesti illalla Suomen aikaa. Adobe Reader - ja Adobe Acrobat -ohjelmistojen osalta korjaus tulee kuitenkin saataville vasta kuun loppuun mennessä. Kolme viikkoa on pitkä aika odottaa.

Mitä organisaatio voi ja sen kannattaa tehdä turvapäivitystä odottaessa:

• Kartoita onko organisaatiossasi PDF-toiminnallisuutta, joka perustuu JavaScriptin tai Flashin ajamiseen PDF-dokumentissa. Harkitse ominaisuuksien poiskytkemistä PDF-lukijasta - haavoittuvuuksien löytyminen ei rajoitu tähän tuoreimpaan.

• Onko haavoittuvalle ohjelmistolle vaihtoehtoja? PDF-lukijan vaihtaminen ei kuitenkaan ole aivan yksiselitteistä. Mikäli organisaatio käyttää suomenkielisiä toimisto-ohjelmia ja suomenkielistä selainta on esimerkiksi englanninkielisen ohjelmiston tuominen palettiin konstikasta.

• Ota selville onko organisaatioosi jo hyökätty Adobe-aukolla. Virustorjunnan lokeista löytyvät tunnistusnimet, mainittakoon esimerkiksi Exploit:W32/Pidief.CPT, Trojan.Pidief.J ja TROJ_PIDIEF.WX, kielivät tästä. Tarkista myös ovatko selaimen generoimat tietoturvahälytykset lisääntyneet.

Pohdiskelimme tammikuussa isojen ohjelmistovalmistajien siirtymistä vuosineljänneksittäisiin päivityksiin. Ainakin Adoben osalta tämä haavoittuvuus pakotti sen luopumaan säännöllisestä julkaisuaikataulusta.

Mediassa on viime päivinä keskusteltu Suomen oloissa poikkeuksellisen laajasta maksukorttitietojen varkaudesta. Itähelsinkiläisestä kahvilasta on viety yli 100 000 korttitietoa. Mediassa olleiden tietojen mukaan tietomurto tehtiin etähallintaohjelman sekä vakoiluohjelman avulla. Lisäksi mainitaan, että syy olisi kassajärjestelmän asentaneen yhtiön päälle jättämä “oletusasetus”. Tietomurto paljastui Luottokunnan valvonnan ansiosta.

Oli vain ajan kysymys, milloin ensimmäinen suuri korttitietomurto tapahtuu Suomessa. Payment Card Industry Data Security Standard (PCI DSS) - implementointi on vielä hyvin monella kauppiaalla kesken, ja pienimmät kauppiaat eivät edes tiedä, että heidän tulisi noudattaa kyseistä tietoturvastandardia. PCI DSS:n noudattaminen olisi todennäköisesti estänyt tämänkin tietomurron:

PCI DSS edellyttää, että oletusasetuksia ei käytetä, etäyhteydet vaativat vahvan autentikoinnin ja virustorjuntaohjelmisto sekä tiedostojen eheysvalvontajärjestelmä hälyttävät haittaohjelmista. Lisäksi järjestelmien toimintaa tulee seurata päivittäin. Näin korttitietojen lähettäminen Yhdysvaltoihin ja Romaniaan paljastuisi omalla valvonnalla, eikä asia tulisi kauppiaalle “ihan puskista”.

On tietysti ymmärrettävää, että yksittäisellä kauppiaalla ei aina löydy riittävää tietotaitoa järjestelmien turvalliseen pystyttämiseen ja ylläpitoon. Tällöin kauppiaan tuleekin vaatia palveluntarjoajaltaan, että toiminta noudattaa vähintäänkin PCI-standardia. Lisäksi maksujärjestelmän tulisi olla Payment Application Data Security Standard -luokituksen mukainen eli PA-DSS-validoitu. Mahdollisissa tietomurtotapauksissa kauppiaan tulisi voida asettaa palveluntarjoaja vastuuseen, mikäli PCI-standardia ei ole noudatettu. Mikäli kauppias ei näin toimi, jää vastuu kauppiaalle ja seuraukset voivat olla hyvinkin ikäviä.

Niki Klaus vastaa Nixun PCI-liiketoiminnan kehittämisestä ja on tehnyt useita PCI-auditointeja Suomessa ja ulkomailla.

Alkuviikolla IT-alan uutisissa on käsitelty Applen suositusta käyttää useita virustorjuntaohjelmia OS X -tietokoneissa.

Kyseinen valmistajan tukiartikkeli on nyt poistettu Applen verkkosivuilta. Useat uutissivustot viittasivat artikkeliin Applen päivitettyä artikkelia 21.11 ja nyt tällä viikolla. Kyseessä oli kuitenkin dokumentti, joka on ollut verkossa jo useiden vuosien ajan. Dokumentti on valmistajan mukaan poistettu vanhentuneena ja epätarkkana.

Useat Mac-haittaohjelmista ovat tähän saakka olleet niin sanottuja Proof of Concept -haittaohjelmia. Tämä tarkoittaa erityisen esimerkkikoodin julkaisua, jolla todennetaan kyky valmistaa itse varsinainen haittaohjelma.

Käytännössä Mac-haittaohjelmia ei ole myöskään ollut levityksessä. Tällä viikolla julkistettiin kuitenkin tietoja RSPlug-troijalaisohjelman uudesta muunnoksesta, jota on levitetty aikuisviihdesivustoilla. Vuosi sitten löydetystä haittaohjelmasta on nyt levityksessä viides muunnos eli OSX.RSPlug.E.

Kyseisen troijalaisen asentamisessa hyödynnetään viime kuukausina Windows-haittaohjelmista tuttua menetelmää, jossa käyttäjä huijataan lataamaan videotiedostojen katselua varten erillinen koodekkiohjelma. Tässä tapauksessa on käytetty tekaistua Video ActiveX Object Error -varoitustekstiä. Lisäksi vastikään on raportoitu OSX/Jahlev.A-troijalaisesta, joka naamioituu MacAccess-asennusohjelmaksi.

Virustorjunta ei ole ainoa suoja

Virustorjuntaohjelmiston antama suoja ei ole ikinä sataprosenttinen. Mac-virustorjuntaohjelmien käyttöaste ja myyntiluvut ovat pieniä eikä virustorjuntatoimijoiden kannata ylläpitää Mac-versioille raskasta päivitys- ja tukikoneistoa. OS X -versioita virustorjuntaohjelmistosta on saatavilla myös muilta kuin Applen listaamilta valmistajilta sekä maksullisina että ilmaisina versioina.

Verkkorikollisten motiivit laatia OS X -haittaohjelmia kasvavat käyttöjärjestelmän levinneisyyden myötä. Net Applicationsin Market Share -mittauksen mukaan käyttöjärjestelmän markkinaosuus oli marraskuussa hieman vajaat yhdeksän prosenttia. Myös Applen iPhone käyttää OS X:ään pohjautuvaa iOS (iPhone OS) -käyttöjärjestelmää.

OS X -käyttöjärjestelmään kuuluva tietoturvaominaisuus on kysyä käyttäjältä lupaa käynnistää Internetistä ladattu sovellus. Vahvistusikkuna näyttää sovelluksen nimen, latausosoitteen sekä latausajankohdan.

Virustorjuntaohjelman tarve lisääntyy, mikäli käytettävään sähköpostipalveluun ei kuuluu virustorjuntaratkaisua.

Lisäksi käyttöjärjestelmän ja Safari-selaimen tietoturvapäivityksistä huolehtiminen vähentää riskiä joutua haittaohjelmahyökkäyksen kohteeksi.