Tietoturvatiedotteet

Microsoft DDE mekanismia hyödynnetään haittaohjelmakampanjoissa

Tunnisteet: tietoturva, haittaohjelma, bottiverkko

Käyttäjät ja organisaatiot alkavat olla hyvin tietoisia makrojen vaaroista joten hyökkääjät etsivät muita tapoja suorittaa haitallista koodia uhrien tietokoneissa. Julkisuudessa on raportoitu Microsoftin DDE (Dynamic Data Exchange) -mekanismin käytöstä useammassa eri hyökkäyskampanjassa, esim. eri haittaohjelmakampanjoissa. Microsoft on päivittänyt ohjeitaan DDE sisältöä sisältävien viestin turvallista aukaisemista varten.

Mikä DDE mekanismi on ja miten sitä väärinkäytetään?

Windows tarjoaa useita eri mekanismeja sovellusten tiedonvaihdolle järjestelmissään. Yksi näistä mekanismeista on DDE (Dynamic Data Exchange).
DDE-mekanismia käytetään viestien ja tiedon välittämiseen sovellusten välillä. Microsoftin mukaan kyse on toiminnallisuudesta eikä haavoittuvuudesta, joten toimintoja poistavia päivityksiä ei ole tiedossa. DDE-toimintoa hyväksikäyttämällä on mahdollista suorittaa makroja tai komentoja Microsoftin sovelluksissa. Käyttäjän on kuitenkin hyväksyttävä sovelluksen antamat varoitukset jotta mahdollinen hyökkäysyritys onnistuu.

Miten DDE väärinkäytön riskiä voi pienentää?

  • DDE hyväksikäyttöyritys tulee sähköpostitse ja on helposti torjuttavissa. Ole tarkkana mikäli et ole varma sähköpostin lähettäjästä ja tarkoitusperästä. Mikäli vastaanotat sähköpostin joka pyytää lupaa päivittää dokumentin tietoja tai komentoja, älä hyväksy niitä.
  • Estä DDE ominaisuuden käyttö käyttöjärjestelmästä (Linkki ohjeisiin artikkelin lopussa).

Muita rajoituskeinoja:

  • Microsoft Outlook: säädä html-muotoisten viestien näyttäminen vain teksti-muodossa.
  • Microsoft Word: hyväksikäyttöä voidaan rajoittaa poistamalla ominaisuus "Päivitä automaattiset linkit avattaessa" toiminnasta. Tämä asetus löytyy Wordista Tiedosto ->Asetukset -> Lisäasetukset -> Yleiset ja poista ruksi kohdasta "Päivitä automaattiset linkit avattaessa". Haitallisia komentoja voidaan yrittää suorittaa myös Microsoft Outlookin sähköposteissa ja kalenterissa. Haavoittuvuuden hyväksikäyttäminen edellyttää, että vastaanottajalle on sallittu viestien sisällön näyttäminen html-muodossa.

Käyttäjiä ja organisaatioita kehotetaan harkitsemaan sähköpostiviestien sallimista vain teksti-muodossa.

 

Lisätietoja asiasta:

Päivityshistoria

  • 09.11.2017 klo 14:33
    Julkaistu
Lue lisää

Näistä aineksista syntyy toimivaa IoT:tä

Tunnisteet: tietoturva, kyberturvallisuus, esineiden internet iot, tietosuoja, yksityisyydensuoja

Muistathan älypesukoneen, -lämpöpumpun ja turvakameran varmaan? Ja sykemittarin, roskasäiliön harmaan? Mutta laite tää sulta ehkäpä hankkimatta jää. Toimivia ja turvallisia IoT-laitteita on toistaiseksi tarjolla vähän. Nyt esittelemme ominaisuuksia, jotka voisivat tehdä Iot-ratkaisusta menestyvän.

Tunnistat IoT-laitteen esimerkiksi verkkoliittimistä, SIM-korteista tai siitä, että laite pyytää syöttämään WLANin salasanan. Laite kytkeytyy internetiin pääsääntöisesti langattoman lähiverkon, mobiiliverkon tai kiinteän sisäverkon avulla. Laitetta voi säätää puhelimella, tabletilla tai sen tietoja voi tarkastella selaimella verkkopalvelusta. Paljon näppäriä ominaisuuksia, jotka voivat tehdä arjesta ketterämpää.

Kotimainen ratkaisu, joka parantaa kaikenikäisten elämänlaatua globaalisti

Jotta IoT-laite voisi menestyä, sen pitäisi voida parantaa elämänlaatua tai esimerkiksi helpottaa työntekoa. Toimiva IoT ei kuulu vain digiin kasvaneille sukupolville, vaan myös senioreille on tarjottava helppokäyttöisiä mutta turvallisia ratkaisuja.

Otetaan esimerkiksi kokkolalaisen yrityksen ikäihmisille tarkoitetut älykuntosalit. Näiden Iot-laitteiden tarpeellisuus on huomattu ulkomailla asti. Laitteet on suunniteltu ensisijaisesti senioreille muun muassa tasapainoharjoittelua varten. Ne tunnistavat treenaajan ja osaavat säätää asetukset ja vastuksen hänelle sopiviksi. Kunto-ohjaaja voi puolestaan tietokoneensa näytöltä seurata harjoittelun edistymistä ja antaa tarvittaessa palautetta. Harjoittelun avulla ikäihmisten pitäisi pysyä paremmin pystyssä ja poissa leikkauspöydiltä. Samankaltaisiin tavoitteisiin tähdätään myös muun muassa älykkäillä valaistusratkaisuilla.

Entäpä älykäs IoT-lehmä? Ainakin useiden karjankasvattajien elämää on helpottunut lehmän kaulaan ripustettavan älypanta, joka tarkkailee lehmän liikehdintää ja siten kiima-aikaa. Kun h-hetki koittaa, panta lähettää hälytyksen navetan valvomoon, jolloin keinosiementäjän voi kutsua paikalle juuri oikeaan aikaan. Ennen älypantaa lehmän kiiman määrittely oli hankalampaa, ja karjankasvattaja hoiti työn itse - todennäköisesti monen yrityksen ja erehdyksen kautta. IoT:n edut myös maidontuotannossa ovat selvät, sillä älylehmien avulla voidaan jakaa tietoa navetan valvomoon myös lypsykoneiden toiminnasta ja maidon laadusta.

On helppo kannattaa älylaitteita, jotka ovat maailmalla menestyviä ja kotimaisia innovaatioita. Myös kansantaloudellisesta näkökulmasta terveyttä ja työntekoa tukevat IoT-ratkaisut ovat tervetulleita.

Tarpeellinen ja älykäs on rakenteiltaan tietoturvallinen

Jos älylaitteen haluaa osaksi arkeaan, todellisten hyötyjen lisäksi sen on oltava turvallinen ja näppäräkäyttöinen. Hienoa olisi, jos tietoturvallisuus olisi IoT-tuotteissa lähes itsestään selvyys - ominaisuus, jonka perusteella kuluttaja voisi tehdä lopullisen ostopäätöksen. Myös kauppiaan pitäisi osata kertoa asiakkaalleen älylaitteen turvallisuusominaisuuksista.

Koska älylaite on kuin tietokone, siihen täytyy olla tarjolla päivityksiä ja haavoittuvuuksien paikkauksia, jotka ovat vaivattomasti käyttäjän saatavilla. Parhaassa tapauksessa laitevalmistaja pitäisi huolta laitteen turvallisuudesta ajantasaisin ja automaattisin päivityksin. Sama pätee myös oletussalasanojen vaihtoon niin, että se kävisi mahdollisimman yksinkertaisesti ja oikea paikka löytyisi käyttöjärjestelmästä helposti. Ylipäänsä IoT-laitteen oletusasetusten pitää olla tietoturvallisia.

Vastuullinen IoT-laitevalmistaja käyttäisi esimerkiksi Bug bounty -ohjelmaa, jolloin laitteiden turvallisuusominaisuuksia testattaisiin aktiivisesti, mutta vastuullisesti. Näin tietoturvapuutteet ehdittäisiin paikata ja estää esimerkiksi verkkorikollisten suunnitelmat laitteen kaappaamisesta osaksi bot-verkkoa.

Tarvitsemme toimivia ja turvallisia viestintäverkkoja. Näitä ominaisuuksia myös verkkoon kytkettävien IoT-laitteiden pitäisi tukea. Ne eivät saa olla materiaalia bot-verkoille, massiivisille palvelunestohyökkäyksille, tietovuodoille tai kiristyshaittaohjelmatartunnoille.

Suunniteltu ja koottu käyttäjän yksityisyyttä arvostaen, standardien mukaisesti

Käyttäjälle olisi kerrottava, mitä tietoja hänestä kerätään ja mihin tarkoitukseen. Myydäänkö käyttäjätietoja eteenpäin? Käyttäjälle pitäisi myös antaa mahdollisuus estää tietojensa kerääminen, tallentaminen ja jakaminen, jos hän niin haluaisi. Tämän ei pitäisi estää laitteen käyttöä siinä tarkoituksessa, johon se on hankittu.

Arvostettavaa olisi, että yksityisiä tietoja kerättäisiin vain tarpeen mukaan. Tavoitteena voisi olla esimerkiksi kunnan tai kaupungin terveyspalvelujen turvaaminen ja kehittäminen. Tietojen kerääminen vain varmuuden vuoksi tai jälleenmyyntitarkoituksessa ei auta laitteen käyttäjää. Kun tietoja kerätään, tallennetaan ja säilytetään fiksusti, samalla pienenee identiteettivarkauden riski, jos älylaitteen sisältämät yksityiset tiedot päätyisivät rikollisten käsiin.

Erityisesti lapsille suunnatuissa älylaitteissa, joiden avulla vanhemmat voivat esimerkiksi paikantaa jälkikasvunsa, turvallisuus ja yksityisyydensuoja on oltava testauksin todistettua. Tällaisen laitteen välittämän tiedon on pysyttävä eheänä. Laite ja sen käyttö ei missään nimessä saa luoda turhaa turvallisuuden tunnetta ominaisuuksilla, joita ei ole perusteellisesti testattu.

Mahdollisimman monipuolisen testausprosessin läpikäyneen IoT-laitteen voisi tunnistaa vaikkapa sertifiointitarrasta. Ideaalitilanteessa kauppoihin asti pääsisivat vain laitteet, jotka täyttävät tietyt pakolliset turvallisuusstandardit ja noudattavat ainakin EU-lainsäädäntöä.

Onko tarpeellista, toimivaa ja turvallista IoT:tä olemassa?

Ainekset ovat olemassa ja mielenkiintoisia kehitys- ja tutkimusprojekteja on menossa. Joka tapauksessa, ainakin toistaiseksi, tunnemme liian vähän IoT-laitteita tai -ratkaisuja, jotka ovat turvallisuuden näkökulmasta toimivia.

Läpilyöneitä Iot-ratkaisuja toki on. Muun muassa HSL-alueen joukkoliikenneverkko on valtava IoT-järjestelmä, jossa osaa liikennevälineistä voi seurata reaaliaikaisesti verkkoselaimen kautta. Esimerkiksi bussissa pysäkin nimen näyttävät laitteet ovat IoT:tä. Oulussa, Tampereella ja monissa Itä-Suomen kaupungeissa käytetään IoT-järjestelmää, joka jakaa hälytysajossa oleville paloautoille vihreitä liikennevaloaaltoja. Etäluettavat talojen älysähkömittaritkin alkavat olla valtavirtaa.

Hyvin toimivaa IoT:tä emme välttämättä edes huomaa. Taustalle jäävien älyratkaisujen turvallisuutta ei kuitenkaan pidä unohtaa. Älykäs on myös turvallista.


Artikkeli aloittaa marraskuun IoT-teemakuukauden. Luvassa on asiantuntijablogi ja videoklippejä, joissa keskustellaan ajankohtaisista IoT-kysymyksistä.

Lähteitä ja lisälukemista

Päivityshistoria

  • 09.11.2017 klo 13:26
    Julkaistu
Lue lisää

Viestintävirasto julkaisi varoituksen WiFi-verkkojen salauksessa paljastuneista haavoittuvuuksista

Tunnisteet: tietoturva, wlan

Viestintävirasto julkaisi keltaisen varoituksen WiFi-verkkojen WPA2-toteutukseen liittyvistä haavoittuvuuksista.

Langattomissa WiFi-verkossa käytetyn WPA2-salausmenetelmän kättelyn toteutuksessa on paljastunut haavoittuvuuksia, joiden avulla on mahdollista purkaa langattoman verkon käyttämä salaus. Menetelmiä haavoittuvuuksien hyväksikäyttämiseksi ei ole julkaistu. Haavoittuvuuksista on julkaistu Viestintäviraston vuoden kolmas varoitus.

Päivityshistoria

  • 16.10.2017 klo 16:25
    Julkaistu
Lue lisää

Tilaa uutisemme suoraan sähköpostiisi!

Rekisteröidy postituslistalle tai kirjaudu

Links:trx for sale
trx outlet
discount trx
cheap trx
trx for sale
trx australia
trx australia

E-Karjalan ICT-Palvelut.net Oy

Janne Kotisalo     050 300 9931
janne.kotisalo(AT)ictpalvelut.net
 
Markku Järvinen  050 305 9931 
markku.jarvinen(AT)ictpalvelut.net
 
 

 Kartta

Links:trx for sale
trx outlet
discount trx
cheap trx
trx for sale
trx australia
trx australia

BQ Aquaris E4.5 Ubuntu Edition kokeilu

Kauan odotettu Ubuntu Phone on viimein kädessäni. Eli heti alkuun jos tarvitsee nopeasti puhelimen, ei tämä ole silloin sinun valinta. ...

Suomenkielinen Windows 10 testissä

Suomenkielielinen Windows 10

Testaan Suomenkielistä Windows 10 kokeiluversiota. ...

.