Shadow Brokers -nimellä toimiva hakkeriryhmä julkaisi hiljattain lisää Yhdysvaltain NSA-viranomaiselta varastetuksi väitettyjä hyökkäysohjelmia ja dokumentteja. Hyökkäysohjelmien joukossa oli liuta työkaluja, joiden avulla pystyttiin hyökkäämään myös moderneja Windows-kohdejärjestelmiä vastaan.

Pian työkalujen julkaisun jälkeen mediassa esitettiin epäilyjä, että kyseessä olisi ns. nollapäivähaavoittuvuuksia hyväksikäyttäviä työkaluja, eli ohjelmistoja, jotka käyttävät ennalta tuntemattomia haavoittuvuuksia ohjelmistoissa niiden suojausten ohittamiseen. Microsoft kiirehti kuitenkin huomauttamaan, että ainakin Windows-ympäristösta työkalujen käyttämät haavoittuvuudet oli korjattu jo maaliskuun päivityspaketissa.

Ajan tasalla olevat Windows-käyttöjärjestelmät eivät siis ole haavoittuvia nyt julkisuuteen vuotaneille hyökkäysmenetelmille. Tapaus osoittaa jälleen kerran, että ohjelmistojen ajan tasalla pitäminen on äärimmäisen tärkeä keino suojautua verkosta saapuvia uhkia vastaan. Julkaisemalla kyseiset työkalut Shadow Brokers on käytännössä antanut kyseiset hyökkäyskeinot myös verkkorikollisten käyttöön, jolloin on selvää, että niiden käyttö laittomissa tarkoituksissa lisääntyy.

Ajantasaisten päivitysten asentaminen nopealla aikataululla on tärkeää nimenomaan siksi, että hyökkäyskeinojen ja niiden torjuntamenetelmien kehityssykli on nopea. Vanhentuneetkin järjestelmät paljastavat julkisesti haavoittuvaa hyökkäyspinta-alaa kuitenkin vain niiden palveluiden kautta, jotka on asetettu toimimaan internetin yli. Hyökkäyspinta-alaa voi rajata tehokaasti poistamalla käytöstä sellaisia verkkopalveluita, joita ei käytetä, tai asettamalla ne toimimaan vain lähiverkossa tai luotetun VPN-yhteyden ylitse. Hyökkäyspinta-alan rajoittaminen siten, että turhia palveluita ei paljasteta internetiin, on tärkeimpiä keinoja tietojärjestelmän koventamisessa. Shadow Brokers -ryhmän julkaisemat työkalut hyödynsivät muun muassa SMB-palvelun haavoittuvuuksia – estämällä pääsy järjestelmien SMB-palveluun internetin yli voidaan tehokkaasti torjua haavoittuvuuksien hyväksikäyttöä nimenomaan tässä palvelussa.

Tarpeettomien palveluiden sulkeminen suojaa hyökkäyksiltä

Lisätietoja:

• https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/
• https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/
• http://securityaffairs.co/wordpress/55454/hacking/smb-zero-day-exploit.html

Poikkeuksellisesti hieman erilaista asiaa joka taustoittaa myös meidän viimeistä dekadia. T. Valvonta

Isot tietoturvaloukkaukset iskevät yleensä silloin, kun niitä vähiten odottaa. Viestintäviraston CERT-päivystäjille isot tapaukset ovat tuttuja, sillä työtä on tehty 2000-luvun alusta asti. Päivystystyön alkuaikojen "issukoita" muistelee Erka Koivunen, entinen Viestintäviraston CERT-FI:n päällikkö ja Kyberturvallisuuskeskuksen apulaisjohtaja. Nykyisin hän toimii F-Secure Oyj:n tietoturvallisuusjohtajana.

Uudenvuoden vastaanotto Champs-Elyseellä tuntui täydelliseltä idealta. Lyhyt piipahdus Pariisissa katkaisisi rankan työputken ennen kuin kiireet loppiaisen jälkeen alkaisivat uudestaan.

Vähänpä tiesin, että sinä vuonna kiireisintä aikaa olisi juuri vuodenvaihde.

Pari päivää ennen matkaa, 28.12.2005, F-Securen tutkija törmäsi uudenlaista haavoittuvuutta hyväksikäyttävään haittaohjelmaan (1) ja ilmoitti siitä myös Viestintäviraston tietoturvatiimille, CERT-FI:lle. Kaikki Windows-käyttöjärjestelmän versiot olivat suojattomia (2). Uusia haittaohjelmia pulpahteli kuin sieniä sateella. Niitä jakelevia palvelimia ja komentokanavia suljettiin sitä mukaa, kun rikolliset pystyttivät uusia.

Sitä vartenhan meillä on tietoturvapäivystäjä

En aikonut antaa tämän häiritä lomailuani. CERT-FI:n päivystäjä hoitakoon, ajattelin. Minä olen nyt vapaalla.

Pariisissa oli toki hauskaa, mutta uteliaisuus voitti. Soittelin aika ajoin ja tiedustelin jutun etenemisestä. Etenihän se. Aina kun Euroopassa päättyi virka-aika, Pohjois-Amerikassa jatkettiin ja sen jälkeen luovutettiin vuoro Aasialle.
Muilla oli käytössään maailmanlaajuisten organisaatioidensa tuki ja satojen ihmisten työpanos, mutta Suomessa asiaa hoiti yksi Viestintäviraston CERT-FI-päivystäjä.

Hän työskenteli kellon ympäri ja oli yhteydessä Microsoftiin, F-Secureen, viranomaisiin, teleoperaattoreihin, tietoturvaloukkausten uhreihin, tietoturvatutkijoihin ja toimittajiin. Konferenssipuhelujen, pitkien sähköpostiketjujen ja IRC-pikaviestittelyn välissä hän otti lyhyen lepohetken, ja taas jatkettiin.

CERT-FI:n tapauksesta keräämät tiedot olivat lähes maailman parhaat, siksi CERT-päivystäjämme tilanneraportille annettiin painoa Microsoftin pääkonttorissa asti.

Muutaman päivän jälkeen päivystäjän univajeen jo kuuli, sillä puhelimeen vastanneella oli vaikeuksia lausua konsonantteja! Esimiehenä omatuntoani kolkutti – päivystäjä oli jätetty raatamaan yksin. Välipäivinä toimistolla ei ollut ketään, jolta hän olisi voinut pyytää apua.

Silloinen tyttöystävältäni huomautteli, kun kuljin nähtävyydeltä toiselle puhelin korvalla ja taoin viestejä Nokian Kommunikaattorilla. Pakkohan tässä on yrittää auttaa, ajattelin. Poikkeustapaus, sanoin.

Uusi normaali

Vastaavia poikkeustapauksia olen sittemmin oppinut odottamaan.

Toukokuussa 2007 Viro joutui massiivisen kyberhyökkäysten sarjan kohteeksi, ja myös Suomelta pyydettiin apua. Päähäni on jäänyt muistikuva: kävelen seurueeni perässä kauniissa kevätsäässä Mantan patsaan kohdalla. Ilmeisesti olimme matkalla syömään, ei aavistustakaan minne. Sen sijaan muistan, että VIRVE-puhelin raakkui korvaani tilannekuvaa, jota jaoimme seuraavat viikot alas, sivuille ja ylös.

Pohjoismaiset uhkapeliyhtiöt vuonna 2009 kyykistänyt palvelunestohyökkäys (3) alkoi kesken rapujuhliin valmistautumisen. Islantilaiset pankit ja maksunvälittäjät tarvitsivat apua kesken ystäväperheen kanssa tehdyn Tuhkolman-risteilyn.

Useammankin kerran puhelimet alkoivat soida juuri ennen illallisvieraiden saapumista. Yhden joulun pyhinä mediatalot joutuivat palvelunestohyökkäyksen (4) kohteeksi ja pari vuotta myöhemmin pankit nauttivat "uudenvuodenpaketeista" (5), kuten sitä työpaikalla kutsuttiin.

Rehellisyyden nimissä en voi sanoa jääneeni mistään merkittävästä paitsi, mutta näppärästi ja useasti olen välttänyt pöytien kattamisen, kierrokset rättikaupoissa ja seurustelun sukulaisten kanssa.

Issukkaa pukkaa!

Sukulaisista puheen ollen, olen saanut heiltä arvokasta oppia lupsakasta suhtautumisesta poikkeamien hallintaan. Sopimuksen vastainen tilanne, jossa palvelu ei toimi ja rahaa vuotaa sakkoina asiakkaan suuntaan, on amerikkalaisittain issue. Tosin Kuopion suunnalla, sukulaisteni suussa, se on vääntynyt muotoon issukka. Issukkahan ei kuulosta enää ollenkaan pelottavalta!

Mielikuvissani issukka on harmiton olio, joka tassuttelee villasukat jalassa ja hörppii teetä kiireettömästi. Olen lukuisia kertoja päässyt eroon tylsistä palavereista toteamalla puhelimen soidessa, että issukkaa pukkaa päälle.

Naimisiin sentään pääsimme ilman issukoita, varmistin sen jättämällä puhelimeni bestmanin haltuun. Lasteni syntymän aikaan olimme järjestäneet asiat niin, ettei minua enää kaivattu. Oloni olisi varmaan haikea, ellei elämälleni olisi tullut uusi merkitys lasteni kautta.

Huikea kasvu ja haikea lähtö

Kun aloitin CERT-FI:n päällikkönä syksyllä 2005, tiimissä oli lisäkseni kolme henkilöä. Sillä porukalla pyöritettiin käytännössä ympärivuorokautista palvelua, lähes rajattomilla venymisillä. Lasteni syntymän aikaan remmissä oli jo pitkälti toistakymmentä henkeä.

Vuonna 2015 lähdin Viestintävirastosta. Tuolloin CERT-FI oli muuttunut Kyberturvallisuuskeskukseksi, jonka vahvuus oli noin 50 henkeä. Se, mitä pioneeriaikoina tehtiin nuoruuden innolla ja veren maku suussa, oli vakiintunut rutiinimaiseksi ja hivenen virastomaiseksi. Issukkatehtaan kaltaiseksi. Sellaiseksi, jota olisimme kaivanneet kipeästi 11 vuotta sitten.

Kirjoittaja on entinen CERT-FI:n päällikkö ja Kyberturvallisuuskeskuksen apulaisjohtaja. Nyt hän toimii F-Secure Oyj:n tietoturvallisuusjohtajana.

Vieraskynä-artikkeli on osa helmikuun teemaa, jossa kokeneet tietoturva-asiantuntijat muistelevat oman uraansa ja mieleenpainuneita tapauksia Suomi100-hengessä.

Viitteet

(1) Mikko Hyppösen paha päivä

(2) Viestintäviraston varoitus 90/2005

(3) Veikkauksen nettipalvelu hyökkäyksen kohteena

(4) Hyökkäys kaatoi tunneiksi Helsingin Sanomien verkko- ja mobiilipalvelut

(5) OP-Pohjolaan kohdistui palvelunestohyökkäys – verkkopalvelut toimivat jälleen

Viestintäviraston Kyberturvallisuuskeskus on saanut useita ilmoituksia Postin nimissä lähetetyistä huijaussähköposteista. Viestien avulla pyritään levittämään kiristyshaittaohjelmaa, joka salakirjoittaa käyttäjän tiedostot. Mikäli olet saanut huijausviestin, älä klikkaa sen sisältämää linkkiä.

Huijaussähköposti kertoo huonolla suomenkielellä saapuneesta paketista, jota ei ole kyetty toimittamaan perille saakka. Viestissä pyydetään hankkimaan ja tulostamaan rahtikirja seuraamalla linkkiä. Viestin otsikko on ollut norjaksi "Faktura Fra Telenor Norge AS, Mobil [numeroita]". Viestejä on lähetetty väärennetyllä lähettäjätiedoilla osoitteesta posti.org.

Varoituksen kohderyhmä

Kaikki internet-palvelujen käyttäjät

Ratkaisu- ja rajoitusmahdollisuudet

• Huijausviesteissä olevia linkkejä ei ole syytä avata.
• Huijaussivustolta löytyvää väärennettyä rahtikirjaa ei ole syytä ladata eikä avata.
• Jos käyttäjä on avannut "rahtikirjan" ja saanut sen seurauksena kiristyshaittaohjelmatartunnan, sen vaatimia lunnaita ei pidä maksaa. Sen sijaan kannattaa tehdä ilmoitus poliisille.
• Varmuuskopiot on syytä päivittää säännöllisesti, jotta haittaohjelman salaamat ja menetetyt tiedostot voidaan palauttaa.

Lisätietoa

Tietoturva nyt! -artikkeli Kiristyshaittaohjelmaa levitetään Postin nimissä (16.2.2017)

Viestintävirasto on julkaissut ohjeita ja artikkeleita kiristyshaittaohjelmista. Lue lisää alla olevista linkeistä.

• Selvitymisopas kiristyshaittaohjelmia vastaan
• Kiristyshaittaohjelmat ovat kasvava kiusa (Tietoturva nyt! 12.7.2016)

Postin tiedote huijausviesteistä

• HUIJAUSVIESTEJÄ NOUTAMATTOMISTA PAKETEISTA LIIKKEELLÄ