Adobe on julkaissut päivityksiä kolmelle eri ohjelmistolleen. Päivitykset korjaavat lukuisia erilaisia haavoittuvuuksia.

Flash Playerille, Acrobatille ja Acrobat Readerille julkaistut päivitykset ovat Adoben määritelmän mukaan kriittisiä.

Ohjelmistojen päivittäminen ajan tasalle on erittäin suositeltavaa, sillä muun muassa Flash Playerin haavoittuvuuksien aktiivista hyväksikäyttöä on jo havaittu.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Adobe ColdFusion 11
• Adobe ColdFusion 10
• Adobe Reader XI (11.0.09) ja aiemmat 11.x -versiot
• Adobe Reader X (10.1.12) ja aiemmat 10.x -versiot
• Adobe Acrobat XI (11.0.09) ja aiemmat 11.x -versiot
• Adobe Acrobat X (10.1.12) ja aiemmat 10.x -versiot
• Adobe Flash Player 15.0.0.242 ja aiemmat versiot
• Adobe Flash Player 13.0.0.258 ja aiemmat 13.x -versiot
• Adobe Flash Player 11.2.202.424 ja aiemmat versiot (Linux)

Ratkaisu- ja rajoitusmahdollisuudet:

Ohjelmiston päivittäminen valmistajan ohjeiden mukaisesti.

Lisätietoa:

Tarkemmat tiedot Adoben omissa julkaisuissa:

http://helpx.adobe.com/security.html

http://helpx.adobe.com/security/products/coldfusion/apsb14-29.html

http://helpx.adobe.com/security/products/reader/apsb14-28.html

http://helpx.adobe.com/security/products/flash-player/apsb14-27.html

CVE-2014-9166

CVE-2014-9165

CVE-2014-8445

CVE-2014-9150

CVE-2014-8446

CVE-2014-8447

CVE-2014-8448

CVE-2014-8449

CVE-2014-8451

CVE-2014-8452

CVE-2014-8453

CVE-2014-8454

CVE-2014-8455

CVE-2014-8456

CVE-2014-8457

CVE-2014-8458

CVE-2014-8459

CVE-2014-8460

CVE-2014-8461

CVE-2014-9158

CVE-2014-9159

CVE-2014-0580

CVE-2014-0587

CVE-2014-8443

CVE-2014-9162

CVE-2014-9163

CVE-2014-9164 

Microsoftin kuukausittain julkaisema päivityspaketti sisältää runsaasti korjauksia Microsoftin ohjelmistoille sekä käyttöjärjestelmille.

CVE-tunnisteita haavoittuvuuksille on joulukuun päivityksessä varattu 25 kappaletta. Osa haavoittuvuuksista on luokiteltu kriittisiksi, joten ohjelmistojen päivittäminen on erittäin suositeltavaa.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Microsoftin käyttöjärjestelmät, Office-tuoteperheen ohjelmistot sekä Internet Explorer-selaimen eri versiot.
• Tarkemmat tuote- ja versiotiedot voi tarkistaa Microsoftin tiedotteesta "lisätietoja"-kohdasta.

Ratkaisu- ja rajoitusmahdollisuudet:

Ohjelmiston päivittäminen valmistajan ohjeiden mukaisesti.

Lisätietoa:

https://technet.microsoft.com/en-us/library/security/ms14-dec.aspx

CVE-2014-6319

CVE-2014-6325

CVE-2014-6326

CVE-2014-6336

CVE-2014-6327

CVE-2014-6328

CVE-2014-6329

CVE-2014-6330

CVE-2014-6363

CVE-2014-6365

CVE-2014-6366

CVE-2014-6368

CVE-2014-6369

CVE-2014-6373

CVE-2014-6374

CVE-2014-6375

CVE-2014-6376

CVE-2014-8966

CVE-2014-6356

CVE-2014-6357

CVE-2014-6364

CVE-2014-6360

CVE-2014-6361

CVE-2014-6363

CVE-2014-6355

Salasanat ja niiden hallinta vaikuttavat merkittävästi käyttäjien sähköisten palvelujen tietoturvaan. Usein palveluihin ja järjestelmiin pääsyn edellytys on salasana, jolla käyttäjä myös todennetaan. Joulukuun teemassa keskitytään salasanojen käyttöön liittyvään tietoturvaan. Hyvä alku on turvallisesti muodostettu salasana.

Verkkopalveluissa ja tietojärjestelmissä tarvitaan usein kykyä valvoa ja rajata sitä, kenellä on oikeus päästä käsiksi palvelun tietoihin tai muuttaa tietoja. Erityisesti internetpalveluissa salasana on suosittu tunnistamismenetelmä sen tunnettavuuden ja helppokäyttöisyyden vuoksi.

Käyttäjätunnuksin ja salasanoin suojataan tietoja ja rajataan pääsyä eri tietojärjestelmiin. Jokaisen on hyvä olla tietoinen yleisimmistä periaatteista salasanojen turvallisesta käytöstä.

Käyttäjätunnusta ja salasanaa voi ajatella tunnusparina, joista toinen on julkinen ja toinen taas salainen tieto. Käyttäjätunnus on vähintään kohtuullisella vaivalla arvattavissa tai selvitettävissä. Hyvä esimerkki käyttäjätunnuksesta on sähköpostiosoite. Salasana puolestaan on salassa pidettävä tieto, jonka tarkoitus on varmistaa, ettei käyttäjätunnusta käytettäisi luvatta.

Vahvaa ja heikkoa käyttäjätunnistamista

1. Käyttäjän oma tieto (esimerkiksi salasana)
2. Käyttäjän hallussa oleva tieto (esimerkiksi sirukortti tai kertakäyttöiset PIN-koodit)
3. Käyttäjän oma biometrinen ominaisuus (esimerkiksi sormenjälki tai iiris)

Millainen on hyvä salasana?

Riittävän hankalien, mutta kuitenkin muistettavien, salasanojen kehittäminen useisiin eri palveluihin ei ole täysin vaivatonta. Seuraavat vinkit auttavat hyvän salasanan mudostamisessa:

1. Riittävän pitkä: Suositellaan vähintään 15 merkkiä

Hyvä lähtökohta salasanan pituudeksi on 15 merkkiä. Näin salasanojen sijaan sopivampi termi onkin salalause. Lähes kaikki nykyaikaiset järjestelmät ja palvelut hyväksyvät pitkät salasanat.

Riittävä pituus varjelee salasanaa seuraavasti:

• Salasanan arvaaminen ja toistaminen on vaikeaa, vaikka hallussa olisi käyttäjän henkilökohtaisia tietoja tai salasanan syöttämisen näkisi.
• Tekninen selvittäminen laskennallisesti on hankalaa, vaikka salasanasta laskettu tiiviste olisi joutunut vääriin käsiin, esimerkiksi tietomurron vuoksi.

Salasanat tallennetaan tyypillisesti tiivisteinä usein eri menetelmin. Menetelmä on todennäköisesti tuoreempi ja turvallisempi, jos tallennettavan salasanan pituus on vähintään 15 merkkiä. Vanhat ja turvattomammat menetelmät soveltuvat lyhyempien salasanojen tallentamiseen. Esimerkiksi kaikkien 8-merkkisten salasanavaihtoehtojen tarkastaminen on helppoa ja melko nopeaa valmiiden taulukoiden avulla.

2. Salasana ei ole sana: Käytä lausetta tai sen lyhennettä

Kun poimii pitkän, mutta helposti muistettavan, lauseen sanojen alkukirjaimet, saa muodostettua jo kohtalaisen hyvän salasanan.

"Joulupukki tulee meille jo jouluaaton iltana, mutta muualla maailmassa usein vasta joulukuun 25. päivän vastaisena yönä!"

-> "Jtmjjimmmuvj25vy!"

Salasanana voi käyttää myös kokonaista lausetta, joka voi olla ulkopuoliselle aivan käsittämätön, kunhan sen itse muistaa. Esimerkiksi matkustuslippujen verkkopalveluun voisi toimia salalause:

Bussilla matkustaa 2 mustaa kissaa ja 3 valkoista koiraa, eli yhteensä 5 eläintä.

Kaikki järjestelmät eivät välttämättä hyväksy välilyöntejä salasanoissa, mutta lauseen voi kirjoittaa myös "yhteen putkeen" tai yhdistää osat erikoismerkein esimerkiksi:

"Bussilla_matkustaa#2#mustaa_kissaa.."

Nämä sanakirjoista löytymättömät salasanat toimivat sanakirjahyökkäystä vastaan, jossa salasanan arvailuun käytetään valmiita sanaluetteloita. Kahden tai useamman sanan yhdistäminen hidastaa paljastumista vain vähän. Myös kirjainten korvaaminen yleisesti käytetyillä numerovastineilla (i-kirjain korvataan ykkösellä, o-kirjain nollalla jne.) on automatisoitu salasanojen murtoohjelmiin.

3. Merkeillä on väliä: Numerot, kirjainten koot ja erikoismerkit käyttöön

Salasanojen murtaminen voi olla vaikeampaa, jos salasanassa käytetään mahdollisimman erilaisia merkkejä. Tämän vuoksi usein vaaditaan, että salasanassa tulisi olla isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Numeroita käytettäessä ei kannata turvautua vain ilmeisiin korvaavuuksiin (i=1, o=0). Merkkejäkin käytettäessä on tärkeää, että salasana on tarpeeksi pitkä!

4. Käytä apuohjelmia salasanojen muodostukseen

Salasanojen muodostamiseen on olemassa apuohjelmia, eli salasanageneraattoreita. Niiden avulla voi luoda riittävän pitkiä, satunnaisilta vaikuttavia, pseudosatunnaisia salasanoja. Generaattori voi tuottaa myös sellaisia salasanoja, jotka ovat helpommin lausuttavissa ja siten helpommin muistettavissa.

Samaa apuohjelmaa on mahdollista hyödyntää myös salasanojen säilömisessä. Tällöin kaikkia salasanoja ei tarvitse muistaa ulkoa - kunhan muistaa apuohjelman salasanan.

5. Älä helpota salasanamurtajan elämää "kissoilla", "Lissuilla" tai näppäimistön geometrisilla kuvioilla

Älä koskaan käytä salasanaa, joka on tunnetusti yleisessä käytössä, esim. "salasana" tai "salasana123", tai jokin etunimi. Vältä myös näppäimistöllä muodostettavia geometrisia kuvioita. Niitä murtajat kokeilevat ensimmäiseksi. Syntymäajat ja henkilötunnukset ovat myös kelvottomia salasanoja tai niiden osia.