TigerTeam - suomalainen tietoturvablogi

4 merkintää avainsanalla ”virustorjunta”:

Kuoliko myytti turvallisesta Macistä huhtikuussa?

Kirjoitti Juha-Matti Laurio 26. huhtikuuta 2012 Kommentoi

Kuluvan kuun aikana olemme nähneet harvinaisen paljon OS X -käyttöjärjestelmässä toimivaa haittaohjelmaa koskevia uutisia. Jo useamman vuoden ajan on povattu, että hyökkäykset OS X:ää vastaan tulevat lisääntymään kunhan käyttöjärjestelmän markkinaosuus on ”riittävän kiinnostava”. Nyt ollaan varmastikin tässä tilanteessa. Niin sanotun Flashback-epidemian alkuvaiheessa yli 600 000 tietokoneen kerrottiin saastuneen ko. troijalaisella. Suomesta tartuntoja raportoitiin muutamia satoja.

Applen tietoturvapäivitystä Oraclen jo helmikuun puolivälissä korjaamaan Java-haavoittuvuuteen CVE-2012-0507 saatiin odotella ja niinpä kyseinen Flash-päivitykseksi naamioitu haittaohjelmamuunnos syntyi.

Myöhemmin ilmestyi myös SabPub-niminen troijalainen, jonka uskotaan liittyvän Luckycat-bottiverkkoon. Myös Maceille suunnattuja, Word-haavoittuvuuksia hyödyntäviä APT-hyökkäyksiä (pitkäkestoinen kohdistettu hyökkäys) on tässä kuussa nähty.

Onko työasemani Java haavoittuva?

Ensimmäistä kertaa koko OS X:n olemassaolon aikana usea toimija julkaisi muutaman päivän välein Flashback-poistotyökalun sekä isjavaexploitable.com:n ja flashbackcheck.com:n kaltaisia tarkistussivustoja, joilla voi tarkistaa onko oman työaseman Java päivitetty. Onpa troijalainen saanut myös englanninkielisen Wikipedia-artikkelinsa. Lopulta Java-päivitys Applelta tuli jakeluun poistaen samalla tietokoneessa mahdollisesti majailleen troijalaisen.

Yhtenä viimeisimmistä käänteistä asiassa on tieto, jonka mukaan keskimäärin Mac-tietokoneissa on runsaasti Windows-haittaohjelmia. Ei mikään mitätön asia, mikäli Macissä ollut muistitikku käy Windows-koneessa.

Miksi näin sitten pääsi käymään?

  • Moni käyttäjä tuudittautuu siihen, että OS X:llä on turvallinen maine ja haittaohjelmia on käyttöjärjestelmälle olemassa vain kourallinen. Tämä johtaa siihen, ettei Javaa, Flashia, Quicktimea tai esimerkiksi selaimen lisäosia tule päivitettyä, sovellusohjelmista puhumattakaan.

  • OS X:n tapa kysyä käyttäjän salasanaa on varoittava merkki käyttäjälle jostain poikkeuksellisesta. Käyttäjä on tottunut syöttämään salasanansa esimerkiksi ohjelmia asennettaessa. Flashback-tapauksessa salasanaa ei kuitenkaan kysytä, vaan haittaohjelma aktivoituu taustalla ilman käyttäjän toimenpiteitä.

  • Oletuksena OS X muistuttaa saatavilla olevista päivityksistä vain kerran viikossa. Ellei käyttäjä ole muuttanut Ohjelmiston päivitys (Software Update) -asetuksia ei muistutusta esimerkiksi Flashbackiin liittyvästä Java-päivityksestä tullut käyttäjälle ajoissa. Osa käyttäjistä sai varmuudella tartunnan aikana, jolloin päivitys olisi jo ollut saatavilla.

  • Myös mm. Microsoft Officen päivittämisestä huolehtiva Microsoft AutoUpdate -toiminto ilmoittaa päivityksistä viikon välein. Senkin asetuksia kannattaa tihentää:

  • Windowsin tavoin tietoturvapäivitysten jakelu vanhempiin versioihin loppuu aikanaan. Leopard-versioon eli 10.5:een ei Java-päivitystä enää julkaistu. Vaihtoehtoina on tässä tilanteessa joko päivittää uudempaan OS X -versioon tai kytkeä Javan suoritus pois päältä.

  • Ylläpitäjiä varten Apple on julkaissut kattavat konfigurointiohjeet käyttöjärjestelmän koventamisesta Snow Leopardiin asti. Pirteänä alkuna voi tutustua puolestaan NSA:n julkaisemaan kahden arkin vinkkilistaan, linkki pdf:ään tässä.

Johtopäätöksenä voi sanoa, että Flashback ei ole Macin tietoturvattomuuden alku, mutta herättäjänä ja prosessien tarkistajana se kannattaa ottaa. Microsoft Office, Flash, mediasoitin ja monet, monet muut ohjelmistot eivät päivity itsestään. Maccejä on yrityksissä jo niin paljon, että rikolliset alkavat pitää Mac-työasemia potentiaalisina hyökkäyskohteina.

Kirjoittaja on ollut sataprosenttinen Mac-käyttäjä yli viiden vuoden ajan, mutta käyttää kuitenkin virustorjuntaohjelmistoa ja mm. tietoturvaa parantavia selaimen lisäosia sekä pitää Maccinsä päivitettyinä.

Tagit: kohdistetut_hyokkaykset, tietoturvallisuus, tietoturvapäivitys, virustorjunta Delicious Kommentoi

Pdf-lukijassa tietoturvariski koko kesäkuun – mitä tehdä?

Kirjoitti Juha-Matti Laurio 10. kesäkuuta 2010 2 kommenttia

Kun organisaation jokaisesta työasemasta löytyvästä, paljon käytetystä ohjelmistosta löytyy nollapäiväaukko soisi turvapäivityksen tulevan jakeluun mahdollisimman nopeasti. Joskus paikkausta on kuitenkin odoteltava viikkoja ja kuukausia.

Otetaanpa esimerkiksi viime viikolla havaittu Flash-nollapäiväaukko (CVE-2010-1297), joka koskee myös Adobe Reader -ohjelmistoa. Valmistajahan kertoi haavoittuvuuden aktiivisesta hyödyntämisestä viime perjantaina ja tällä viikolla haavoittuvuutta on hyödynnetty laajemmalti ainakin sähköpostiliitteiden avulla.

Nyt tiedämme Flash-korjauksen tulevan jakeluun tänään torstaina - ilmeisesti illalla Suomen aikaa. Adobe Reader - ja Adobe Acrobat -ohjelmistojen osalta korjaus tulee kuitenkin saataville vasta kuun loppuun mennessä. Kolme viikkoa on pitkä aika odottaa.

Mitä organisaatio voi ja sen kannattaa tehdä turvapäivitystä odottaessa:

• Kartoita onko organisaatiossasi PDF-toiminnallisuutta, joka perustuu JavaScriptin tai Flashin ajamiseen PDF-dokumentissa. Harkitse ominaisuuksien poiskytkemistä PDF-lukijasta - haavoittuvuuksien löytyminen ei rajoitu tähän tuoreimpaan.

• Onko haavoittuvalle ohjelmistolle vaihtoehtoja? PDF-lukijan vaihtaminen ei kuitenkaan ole aivan yksiselitteistä. Mikäli organisaatio käyttää suomenkielisiä toimisto-ohjelmia ja suomenkielistä selainta on esimerkiksi englanninkielisen ohjelmiston tuominen palettiin konstikasta.

• Ota selville onko organisaatioosi jo hyökätty Adobe-aukolla. Virustorjunnan lokeista löytyvät tunnistusnimet, mainittakoon esimerkiksi Exploit:W32/Pidief.CPT, Trojan.Pidief.J ja TROJ_PIDIEF.WX, kielivät tästä. Tarkista myös ovatko selaimen generoimat tietoturvahälytykset lisääntyneet.

Pohdiskelimme tammikuussa isojen ohjelmistovalmistajien siirtymistä vuosineljänneksittäisiin päivityksiin. Ainakin Adoben osalta tämä haavoittuvuus pakotti sen luopumaan säännöllisestä julkaisuaikataulusta.

Tagit: adobe, tietoturvapäivitys, virustorjunta Delicious Kommentoi (2 kommenttia)

Massiivinen luottokorttimurto Suomessa – olisiko se voitu PCI-standardia noudattamalla estää?

Kirjoitti Niki Klaus 22. helmikuuta 2010 Kommentoi

Mediassa on viime päivinä keskusteltu Suomen oloissa poikkeuksellisen laajasta maksukorttitietojen varkaudesta. Itähelsinkiläisestä kahvilasta on viety yli 100 000 korttitietoa. Mediassa olleiden tietojen mukaan tietomurto tehtiin etähallintaohjelman sekä vakoiluohjelman avulla. Lisäksi mainitaan, että syy olisi kassajärjestelmän asentaneen yhtiön päälle jättämä “oletusasetus”. Tietomurto paljastui Luottokunnan valvonnan ansiosta.

Oli vain ajan kysymys, milloin ensimmäinen suuri korttitietomurto tapahtuu Suomessa. Payment Card Industry Data Security Standard (PCI DSS) - implementointi on vielä hyvin monella kauppiaalla kesken, ja pienimmät kauppiaat eivät edes tiedä, että heidän tulisi noudattaa kyseistä tietoturvastandardia. PCI DSS:n noudattaminen olisi todennäköisesti estänyt tämänkin tietomurron:

PCI DSS edellyttää, että oletusasetuksia ei käytetä, etäyhteydet vaativat vahvan autentikoinnin ja virustorjuntaohjelmisto sekä tiedostojen eheysvalvontajärjestelmä hälyttävät haittaohjelmista. Lisäksi järjestelmien toimintaa tulee seurata päivittäin. Näin korttitietojen lähettäminen Yhdysvaltoihin ja Romaniaan paljastuisi omalla valvonnalla, eikä asia tulisi kauppiaalle “ihan puskista”.

On tietysti ymmärrettävää, että yksittäisellä kauppiaalla ei aina löydy riittävää tietotaitoa järjestelmien turvalliseen pystyttämiseen ja ylläpitoon. Tällöin kauppiaan tuleekin vaatia palveluntarjoajaltaan, että toiminta noudattaa vähintäänkin PCI-standardia. Lisäksi maksujärjestelmän tulisi olla Payment Application Data Security Standard -luokituksen mukainen eli PA-DSS-validoitu. Mahdollisissa tietomurtotapauksissa kauppiaan tulisi voida asettaa palveluntarjoaja vastuuseen, mikäli PCI-standardia ei ole noudatettu. Mikäli kauppias ei näin toimi, jää vastuu kauppiaalle ja seuraukset voivat olla hyvinkin ikäviä.

Niki Klaus vastaa Nixun PCI-liiketoiminnan kehittämisestä ja on tehnyt useita PCI-auditointeja Suomessa ja ulkomailla.

Tagit: pa-dss, pci_dss, virustorjunta Delicious Kommentoi

Mac OS X ja virustorjunta

Kirjoitti Juha-Matti Laurio 4. joulukuuta 2008 Kommentoi

Alkuviikolla IT-alan uutisissa on käsitelty Applen suositusta käyttää useita virustorjuntaohjelmia OS X -tietokoneissa.

Kyseinen valmistajan tukiartikkeli on nyt poistettu Applen verkkosivuilta. Useat uutissivustot viittasivat artikkeliin Applen päivitettyä artikkelia 21.11. ja nyt tällä viikolla. Kyseessä oli kuitenkin dokumentti, joka on ollut verkossa jo useiden vuosien ajan. Dokumentti on valmistajan mukaan poistettu vanhentuneena ja epätarkkana. Artikkelin pääsisältö oli seuraava:

This article describes the antivirus utilities that are available for the Mac OS.

Apple encourages the widespread use of multiple antivirus utilities so that virus programmers have more than one program to circumvent, thus making the whole virus writing process more difficult. Here are some of the available antivirus utilities:

listaten kolme kaupalliseen lisenssiin perustuvaa ohjelmistoa

Useat Mac-haittaohjelmista ovat tähän saakka olleet ns. Proof of Concept -haittaohjelmia. Tämä tarkoittaa erityisen esimerkkikoodin julkaisua, jolla todennetaan kyky valmistaa itse varsinainen haittaohjelma.

Käytännössä Mac-haittaohjelmia ei ole myöskään ollut levityksessä. Tällä viikolla julkistettiin kuitenkin tietoja RSPlug-troijalaisohjelman uudesta muunnoksesta, jota on levitetty aikuisviihdesivustoilla. Vuosi sitten löydetystä haittaohjelmasta on nyt levityksessä viides muunnos eli OSX.RSPlug.E.

Kyseisen troijalaisen asentamisessa hyödynnetään viime kuukausina Windows-haittaohjelmista tuttua menetelmää, jossa käyttäjä huijataan lataamaan videotiedostojen katselua varten erillinen koodekkiohjelma. Tässä tapauksessa on käytetty tekaistua Video ActiveX Object Error -varoitustekstiä. Lisäksi vastikään on raportoitu OSX/Jahlev.A-troijalaisesta, joka naamioituu MacAccess-asennusohjelmaksi.

Virustorjunta ei ole ainoa suoja

Virustorjuntaohjelmiston antama suoja ei ole ikinä sataprosenttinen. Mac-virustorjuntaohjelmien käyttöaste ja myyntiluvut ovat pieniä eikä virustorjuntatoimijoiden kannata ylläpitää Mac-versioille raskasta päivitys- ja tukikoneistoa. OS X -versioita virustorjuntaohjelmistosta on saatavilla myös muilta kuin Applen listaamilta valmistajilta sekä maksullisina että ilmaisina versioina.

Verkkorikollisten motiivit laatia OS X -haittaohjelmia kasvavat käyttöjärjestelmän levinneisyyden myötä. Net Applicationsin Market Share -mittauksen mukaan käyttöjärjestelmän markkinaosuus oli marraskuussa hieman vajaat yhdeksän prosenttia. Myös Applen iPhone käyttää OS X:ään pohjautuvaa iOS (iPhone OS) -käyttöjärjestelmää.

OS X -käyttöjärjestelmään kuuluva tietoturvaominaisuus on kysyä käyttäjältä lupaa käynnistää Internetistä ladattu sovellus. Vahvistusikkuna näyttää sovelluksen nimen, latausosoitteen sekä latausajankohdan.

Virustorjuntaohjelman tarve lisääntyy, mikäli käytettävään sähköpostipalveluun ei kuuluu virustorjuntaratkaisua.

Lisäksi käyttöjärjestelmän ja Safari-selaimen tietoturvapäivityksistä huolehtiminen vähentää riskiä joutua haittaohjelmahyökkäyksen kohteeksi.

Tagit: virustorjunta Delicious Kommentoi