News kohteet joissa tunniste: "palvelunestohy-kk-ys"

Syyskuun kybersäässä taas runsasta kalastelua ja merkittäviä palvelunestohyökkäyksiä

Tunnisteet: tietoturva, huijaus, palvelunestohyökkäys, kyberturvallisuus, esineiden internet iot, tietojen kalastelu (phishing), kohdistettu hyökkäys (apt), kybersää

Syyskuussa nähtiin niin tietojenkalastelua kuin palvelunestohyökkäyksiä. Kybersäätä synkensivät myös muun muassa kotireitittimien kasvavat haittaohjelmahavainnot ja asiakas- ja luottokorttitietojen varastaminen kansainvälisistä verkkokaupoista.

Uudelleen kiihtynyt tietojenkalastelu toi myrskypilviä syyskuun kybertaivaalle. Viestintäviraston Kyberturvallisuuskeskuksen tietoon tuli lukuisia kalastelukampanjoita, joiden seurauksena käyttäjät erehtyivät antamaan huijareille käyttäjätunnuksensa ja salasanansa. Kalastelun runsastumisen vuoksi aiemmin vakavaksi (keltainen) laskettu varoitus korotettiin jälleen kriittiseksi (punainen).

Tietojenkalastelussa nähtiin uusia kehityskulkuja

Kuun aikana yleistyivät esimerkiksi turvapostiviestiltä näyttävät kalasteluviestit. Organisaatiot käyttävät turvapostiratkaisuja salattujen sähköpostiviestien lähettämiseen. Lisäksi hyökkääjät ovat onnistuneet joissain tapauksissa välttämään monivaiheisen todentamisen, jos palvelu on asennettu siten, että se tukee myös vanhempia päätelaitteita ja sovelluksia.

Myös luottokorttitietojen saamiseksi tehtyjä huijausviestejä nähtiin runsaasti. Luottokorttitietojen kalastelua nähtiin esimeriksi OmaVero-teemalla.

Palvelunestohyökkäys häiritsi jälleen tunnistuspalvelua

Suomi.fi-verkkopalvelua vastaan tehtiin syyskuussa palvelunestohyökkäys, joka aiheutti katkoksia ja hitautta palvelun toiminnassa. Hyökkäys vaikutti myös sivustoihin, jotka hyödyntävät suomi.fi-tunnistautumista. Esimerkiksi Poliisin ja Verohallinnon palveluihin kirjautumisessa oli ongelmia hyökkäyksen aikana. Edellisen kerran palvelunestohyökkäykset häiritsivät suomi.fi-palvelun toimintaa elokuussa.

Syyskuussa nähtiin myös suuruusluokaltaan Suomen olosuhteissa huomattava palvelunestohyökkäys (89 Gbit/s ja 8 Mpps). Kyseinen hyökkäys oli toteutettu DNS- ja memcached-amplifikaatiotekniikoilla.


Kerran kuussa julkaistava Kybersää on katsaus edellisen kuukauden merkittävimpiin tietoturvapoikkeamiin ja -ilmiöihin. Kyberturvallisuusnäkymiä tarkastellaan kuudesta näkökulmasta, joita ovat palvelunestot, haittaohjelmat ja haavoittuvuudet, huijaukset ja kalastelut, vakoilu, verkkojen toimivuus ja esineiden internet eli IoT.

Tutustu tarkemmin syyskuun 2018 kybersäähän!

Päivityshistoria

  • 10.10.2018 klo 10:32
    Julkaistu
Lue lisää

Heikosti ylläpidetyt kotireitittimet ovat verkkorikollisten kohteena - osa 2

Tunnisteet: tietoturva, palvelunestohyökkäys, kyberturvallisuus

Tietoturvattomasti konfiguroiduissa kotireitittimissä on internetiin auki olevia palveluita, jotka mahdollistavat esimerkiksi laitteiden hyödyntämisen osana palvelunestohyökkäystä.

Kotireitittimien tietoturvaa koskevan artikkelin toisessa osassa tarkastellaan kotireitittimissä käytössä olevia tietoliikenneprotokollia, joiden avulla huonosti suojatun laitteen voi valjastaa palvelunestohyökkäykseen murtautumatta laitteeseen.

Kotireitittimissä on usein ominaisuuksia, joita tyypilliset käyttäjät eivät yleensä tarvitse. Joissain tapauksissa nämä ominaisuudet ovat oletuksena päällä ja niiden käyttämät tietoliikenneportit ovat avoinna myös internetiin. Esimerkiksi oletussalasana ja internetistä mahdollistettu etähallinta voivat mahdollistaa kotireitittimeen murtautumisen, kuten tämän artikkelin ensimmäisessä osassa kerrottiin.

Lisäksi monissa kotireittimissä on käytössä verkkolaitteiden valvontaan ja ylläpitoon käytetty SNMP-protokolla (Simple Network Management Protocol) oletuksena ja avoinna internetiin. Tällöin kotireititintä voidaan käyttää hajautettujen palvelunestohyökkäysten (distributed denial of service) osana siten, että hyökkäysliikenne peilataan niiden kautta varsinaiseen kohteeseen.

Kannattaa huomioida, että kotireitittimien lisäksi myös muissa verkkolaitteissa, kuten kytkimissä, tulostimissa, videokonferenssijärjestelmissä ja rakennus- ja kotiautomaatiolaitteissa voi olla internetiin avoin SNMP-palvelu, jota voidaan hyödyntää palvelunestohyökkäyksissä.

 
Näin palvelunestohyökkäys kotireitittimillä toimii
  1. Hyökkääjä hankkii käyttöönsä bottiverkon.
    • Palvelunestohyökkäykseen käytettäviä bottiverkkoja on vuokralla laittomiin tarkoituksiin.
  2. Bottiverkon ohjaaja komentaa bottiverkon koneita tekemään palvelunestohyökkäykseen haluttuun kohteeseen.
    • Botit ovat tietokoneita, kotireitittimiä tai muita internetiin kytkettyjä laitteita, jotka ovat puutteellisen suojauksen vuoksi saastuneet haittaohjelmalla.
  3. Botit etsivät verkosta kotireitittimiä, joissa SNMP on auki internetiin ja lähettävät niille pienikokoisen SNMP-kyselyn, jossa lähdeosoitteeksi on väärennetty uhrin IP-osoite.
    • Joissain verkoissa verkon reunalla oleva reititin tai palomuuri ei tarkista, onko lähtevän liikenteen osoite väärennetty, mikä mahdollistaa tämäntyyppiset hyökkäykset.
  4. Kotireitittimet vastaavat SNMP-kyselyyn lähettämällä vastauksen uhrin IP-osoitteeseen.
    • Vastauksen koko on moninkertainen lähetettyyn kyselyyn nähden, joten bottiverkon lähettämä liikenne moninkertaistuu ja uhrin vastaanottama liikennemäärä on suuri. Tästä käytetään termiä amplification attack.
 
Sama ongelma koskee myös muita laajasti käytössä olevia tietoliikenneprotokollia, mikä johtuu näitä kuljettavan UDP-protokollan (User Datagram Protocol) ominaisuuksista. UDP on yhteydetön protokolla, eli liikenteen lähettämiseksi ja vastaanottamiseksi osapuolien ei ensin tarvitse neuvotella esimerkiksi käytetyistä parametreista. Vastaanottaja ei myöskään tarkista, onko lähettäjän IP-osoite aito vai väärennetty. Tämä mahdollistaa useiden UDP-pohjaisten protokollien hyväksikäyttämisen hajautettuihin palvelunestohyökkäyksiin ja liikenteen moninkertaistamiseen peilaamalla liikenne muiden laitteiden kautta.
 
Kotireitittimissä tyypillisiä palvelunestohyökkäyksen mahdollistavia protokollia ovat huonosti konfiguroituna:
  • SNMPv2, jonka avulla hyökkäysliikenne kuusinkertaistuu
  • UPnP-protokollaan liittyttyvä SSDP (Simple Service Discovery Protocol), jonka avulla hyökkäysliikenne 30-kertaistuu
  • DNS (Domain Name System), jos laite toimii DNS-kyselyt välittävänä palvelimena, jolloin peilatun liikenteen määrä on jopa 50-kertainen, ja
  • NTP (Network Time Protocol), jos laite toimii NTP-palvelimena, jolloin peilatun liikenteen määrä on yli 500-kertainen.
 
Lisätietoa UDP-pohjaisista amplifikaatiohyökkäyksistä on US-CERT:n varoituksessa.
 
 
Yleisimmät kotireitittimet, joissa on avoin SNMP
Kyberturvallisuuskeskuksen havaintojen mukaan alla mainitut laitteet ovat yleisimpiä Suomessa havaittuja laitteita, joissa SNMP-palvelu näkyy avoimena julkiseen Internetiin. Näitä laitteita voidaan hyödyntää palvelunestohyökkäyksen vahvistimena.
  1. A-Link RR24AP-N
  2. Apple AirPort 2012 vuoden malleihin asti (kun laite on kytketty internetiin ilman palomuuria tai muuta suojausta)
  3. Zyxel 660RU-T1
  4. Zyxel VMG1312-B
  5. PacketFront DRG 586
  6. D-Link DSL 320B
  7. Netgear R6100
  8. TP-Link TD-W8901G
  9. Zyxel 2302HW
  10. Inteno XG6746

Tarkista laitteen käyttöohjeesta tai kysy neuvoa esimerkiksi laitteen tai internet-operaattorisi asiakaspalvelusta, kuinka SNMP otetaan pois käytöstä. Jos laitteesta ei ole mahdollista kytkeä SNMP-ominaisuutta pois, sama tulos voidaan saavuttaa käyttämällä port forwarding -ominaisuutta. Tällöin porttiin 161 tulevat SNMP-kyselyt ohjataan johonkin sisäverkon IP-osoitteeseen, jota yksikään laite ei käytä. Samalla kannattaa tarkistaa muutkin ominaisuudet, joita et tarvitse.

Lisätietoa

 

Taustatietoa kotireitittimen konfigurointiin

  • DDoS: Distributed Denial of Service. Hajautettu palvelunestohyökkäys. Hyökkäysliikenne tulee useasta eri lähteestä.
  • DNS: Domain Name System. Nimipalvelu, jonka avulla verkkotunnus (esim. kyberturvallisuuskeskus.fi) voidaan muuttaa IP-osoitteeksi. Kotireitittimet tarvitsevat jonkin nimipalvelinosoitteen, mutta kotireitittimen ei ole välttämätöntä toimia nimipalvelina itse.
  • NetBIOS: Network Basic Input Output System. Lähiverkon palveluiden toteuttamiseen käytetty ohjelmarajapinta. Ominaisuudelle ei yleensä ole tarvetta internetin suuntaan.
  • NTP: Network Time Protocol. Internetissä kellonajan synkronointiin tarkoitettu protokolla. Kotireitittimen tai muiden laitteiden ei tulisi toimia NTP-palvelimena siten, että kyselyt ovat mahdollisia internetistä.
  • mDNS: Multicast Domain Name System. Nimipalveluprotokolla verkkoihin, joissa ei ole omaa nimipalvelinta. Ominaisuutta voi tarvita lähiverkossa, jossa käytetään tietynlaisia verkkotallennusleyvyjä tai verkkotulostimia. Ominaisuuden ei tule olla avoinna internetiin.
  • Protokolla: Yhteyskäytäntö, joka määrittää laitteiden tai ohjelmien välisen viestimisen. Tietoliikenneprotokollassa määritetään mm. käytettävät tietoliikenneportit, yhteyden avaus- ja sulkemiskäytännöt sekä mahdollisesti neuvoteltavat parametrit.
  • RIPv1: Routing Information Protocol version 1. Vanhempi reititysprotokolla. Kyseistä ominaisuutta ei tarvitse tavallisissa kotireitittimen käyttötarkoituksissa eikä sen tulisi olla auki internetiin.
  • SSDP: Simple Service Discovery. Tietoliikenneprotokolla, joka mahdollistaa laitteiden ja palveluiden etsimisen lähiverkosta. SSDP:n ei tulisi olla avoinna internetiin. SSDP liittyy läheisesti UPnP:n käyttöön, joten ominaisuus voi löytyä joistain kotireitittimistä nimellä UPnP.
  • SNMPv2: Simple Network Management Protocol version 2. Verkkolaitteiden hallintaan ja valvontaan käytetty protokolla, esimerkiksi tilanteisiin, joissa halutaan valvoa palvelimien tai tärkeiden verkkolaitteiden muistinkulutusta, kuormitusta ja toimintaa. Ominaisuutta ei yleensä tarvitse kotireitittimissä eikä ominaisuuden tule olla auki internetiin.
  • UDP: User Datagram Protocol. Tietoliikenneprotokolla, joka ei vaadi yhteyden avausta tietokoneiden välillä ennen liikenteen lähettämistä. Vaihtoehtoinen UDP:lle on yhteydellinen TCP (Transmission Control Protocol).
  • UPnP: Universal Plug and Play. Joukko protokollia, jotka tekevät mahdolliseksi sen, että laitteet voivat löytää toisensa lähiverkossa ja jakaa esimerkiksi mediatiedostoja keskenään. UPnP voi olla tarpeen lähiverkon puolella, jos käytetään esimerkiksi verkkotallennuslevyä tai mediapalvelinta, jolta voidaan suoratoistaa musiikkia tai videoita muihin kodin laitteisiin. Ominaisuuden ei tule olla avoinna internetiin.

Päivityshistoria

  • 20.10.2015 klo 10:51
    Julkaistu
Lue lisää

Suomalaisia verkkosivustoja murrettu propagandan levittämiseksi

Tunnisteet: tietoturva, phishing, palvelunestohyökkäys, tietomurto

Kyberturvallisuuskeskuksen tietoon on viime päivinä tullut jälleen useita tapauksia, joissa puutteellisesti suojattuja tai vanhentuneita sisällönhallintajärjestelmiä (CMS, eli Content Management System) käyttäviä suomalaisia verkkosivustoja on murrettu propagandan levittämiseksi. Eri CMS-järjestelmistä, kuten WordPress:istä ja Drupal:ista, löytyneiden haavoittuvuuksien avulla sivustoja voidaan hyödyntää monenlaiseen haitalliseen toimintaan. Haktivistit ovat hyödyntäneet näitä tietoturva-aukkoja erityisesti propagandan levittämiseen.

Sisällönhallintajärjestelmien murtamisen kautta tapahtuva propagandan levittäminen tapahtuu yleensä automatisoitujen työkalujen avulla. Haktivistiryhmittymät voivat hyödyntää esimerkiksi verkon hakukoneita löytääkseen verkossa olevia vanhentuneita WordPress- ja Drupal-sivustoja, ja kohdistamaan löydöksiin samalla kertaa tietomurron. Tietomurron onnistuessa sivustojen alkuperäinen sisältö korvataan haktivistiryhmittymän määrittämällä sisällöllä.

Murretun sisällönhallintajärjestelmän vaikutukset voivat olla laajat

Propagandan levittämisen lisäksi murrettuja sisällönhallintajärjestelmiä voidaan käyttää moneen muuhunkin haitalliseen toimintaan. Verkkorikolliset ja haktivistit voivat hyödyntää murrettua CMS-järjestelmää esimerkiksi palvelunestohyökkäysten toteuttamiseen tai tietojenkalastelusivustojen esittämiseen. Suomalaisiin internetkäyttäjiin kohdistetetut huijauskampanjat vuosina 2014 ja 2015 hyödynsivät usein murrettuja CMS-järjestelmiä tietojenkalastelusivustojen esittämiseksi. Näin ollen murretun CMS-järjestelmän muodostama riski ei rajoitu pelkästään sivuston ylläpitäjiin ja sen käyttäjiin, vaan vaikutukset voivat olla globaaleita ja niillä voi olla konkreettisia taloudellisia vaikutuksia monen ihmisen elämään.

Sivuston ylläpitäjä ratkaisevassa roolissa

Sivuston ylläpitäjä voi omilla toimillaan vaikuttaa siihen, että hyödynnetäänkö hänen sivustoaan rikollisiin tarkoitusperiin tai propagandan levittämiseen. Suosituista CMS-järjestelmistä, kuten WordPress:stä ja Drupal:sta löytyy haavoittuvuuksia tiheään tahtiin, ja ohjelmistovalmistajat julkaisevat järjestelmiinsä päivityksiä joilla haavoittuvuuksia korjataan. Riskiä joutua tietomurron kohteeksi voi vähentää merkittävästi pitämällä CMS-järjestelmä ajantasaisena päivitysten osalta. Jos mahdollista, sisällönhallintajärjestelmän automaattiset päivitykset kannattaa kytkeä päälle.

Myös CMS-järjestelmissä hyödynnettävät laajennukset liittyvät oleellisella tavalla järjestelmän turvallisuuteen. Laajennuksista löytyy aika ajoin haavoittuvuuksia, joiden kautta hyökkääjä voi saada pääsyn järjestelmän hallintaan. Myös laajennosten päivityksistä tulee näin ollen huolehtia.

Kyberturvallisuuskeskus jakaa ajankohtaista tietoa sisällönhallintajärjestelmien tietoturvariskeistä

Sisällönhallintajärjestelmien ylläpitäjien on suositeltavaa seurata ylläpitämiinsä järjestelmiin julkaistuja päivityksiä ja tietoturvauutisia. Näiden avulla on mahdollista reagoida mahdollisimman nopeasti löydettyihin tietoturvaongelmiin, ja ryhtyä tarvittaviin toimenpiteisiin oman järjestelmän suojaamiseksi.

Sisällönhallintajärjestelmien tietoturvariskit ovat myös Kyberturvallisuuskeskuksen mielenkiinnon kohteena. Alla esimerkkejä julkaisuista, joilla tietoturvariskejä ja niihin liittyviä ilmiöitä pyritään tuomaan esiin:

 

Katsaukset ja varoitukset:

Katsaus 15.4.2014: Haavoittuvuudet, joista peruskäyttäjänkin tulisi tietää

Varoitus 3/2014: Vakava haavoittuvuus WordPress 3-sarjan ohjelmistoissa

 

Tietoturva nyt! -artikkelit:

Tietoturva nyt! -artikkeli 12.12.2014: WordPress-päivitykset etenevät verkkaisesti

Tietoturva nyt! -artikkeli 24.11.2014: Wordpress-palvelimista vielä yli 60 % on päivittämättä

Tietoturva nyt! -artikkeli 16.4.2013: Tarkista Wordpress-palvelimesi tietoturva

 

Haavoittuvuustiedotteet:

Haavoittuvuustiedote 38/2015: Wordpress-päivitys korjaa kriittisen XSS-haavoittuvuuden

Haavoittuvuustiedote 37/2015: Wordpress-päivitys korjaa kriittisiä haavoittuvuuksia

Haavoittuvuustiedote 25/2015: Haavoittuvuuksia Drupal-julkaisujärjestelmässä

Haavoittuvuustiedote 21/2015: Wordpress-julkaisualustan WPML-lisäosaan tietoturvapäivitys

Haavoittuvuustiedote 126/2014: Kriittinen haavoittuvuus WordPress-sisällönhallintajärjestelmässä

 

Päivityshistoria

29.04.2015 klo 15:32

Lue lisää

 

E-Karjalan ICT-Palvelut.net Oy

Janne Kotisalo     050 300 9931
janne.kotisalo(AT)ictpalvelut.net
 
Markku Järvinen  050 305 9931 
markku.jarvinen(AT)ictpalvelut.net
 
 

 Kartta

BQ Aquaris E4.5 Ubuntu Edition kokeilu

Kauan odotettu Ubuntu Phone on viimein kädessäni. Eli heti alkuun jos tarvitsee nopeasti puhelimen, ei tämä ole silloin sinun valinta. ...

Suomenkielinen Windows 10 testissä

Suomenkielielinen Windows 10

Testaan Suomenkielistä Windows 10 kokeiluversiota. ...

.