All posts by kaikkee

Java-estot parantavat tietoturvaa

Viestintäviraston Kyberturvallisuuskeskuksen todistamat karut tarinat
osoittavat, että selainten liitännäiset altistavat tietoturvaloukkauksille.
Liitännäiset tuovat selaimiin uusia ominaisuuksia, mutta kasvattavat samalla
haavoittuvuuksille altista hyökkäyspinta-alaa. Kokemukset myös osoittavat,
että niiden päivittäminen kangertelee. Ensiapuna Kyberturvallisuuskeskus
suosittelee varsinkin netistä ladattavien Java-sovelmien hylkäämistä
yrityksen verkon reunalla. Kerromme rohkaisevan esimerkin erään
HAVARO-kumppanimme kokemuksista.

Nettiselaimissa yleisten liitännäisten (engl. plug-ins) haavoittuvuuksia
käytetään teollisessa mittakaavassa tapahtuvaan haittaohjelmien
levittämiseen. Niin kutsutut Exploit Kitit, eli tuotteistetut
hyväksikäyttömenetelmät vaanivat nettisivuilla vierailevia käyttäjiä,
selvittävät hetkessä kävijän tietokoneen haavoittuvuudet ja asentavat
haittaohjelmia selailijan huomaamatta. Vaikka tietokone ja selain olisikin
päivitetty tuoreimpaan versioon, saattaa selaimen liitännäisten ja
laajennosten (engl. extension) joukossa piillä vanhentunteita ja
haavoittuvia versioita.

Esimerkkitapauksessamme työasemien liitännäisenä oli vanhentunut
Java-ohjelmisto, jonka haavoittuvuuksia hyväksikäytettiin lähes viikoittain
haittaohjelmien asentamiseen yhteisötilaajan sisäverkkoon.

Vanhentuneita Java-ajoympäristöjä on erityisesti yrityskäytössä

Java on selaimen liitännäiseksi asentuva virtuaalinen sovellusten
ajoympäristö, jonka avulla selaimessa voidaan ajaa Java-kielisiä sovelmia,
eli appletteja. Java-sovelmat ovat periaatteessa alusta- ja
käyttöjärjestelmäriippumia, joskaan asia ei käytännössä ole aivan näin
yksinkertainen. Yrityskäytössä on varsin tavanomaista, että jotkut
liiketoiminnan kannalta keskeiset sovellukset vaativat jonkin tietyn
Java-ajoympäristön version toimiakseen oikein. Tämä käytännössä sitoo
organisaation tietohallinnon kädet: ohjelmiston päivitys poistaisi
tietoturvaongelmat, mutta rikkoisi samalla liiketoimintasovelluksia.
Käytännössä päivitykset jätetään asentamatta.

Kotikäyttäjien ongelmana ei ole niinkään versioriippuvuus, vaan se, että
Javan päivittäminen usein yksinkertaisesti unohtuu. Java-päivitykset eivät
yleensä tule automaattisesti käyttöjärjestelmän tai selaimen oman
päivitysmekanismin kautta. Päivityksen käynnistäminen saattaa myös
edellyttää käyttäjältä aktiivisia toimia, kenties jopa pääkäyttäjäoikeuksien
aktivoimisen.

Javan erikoisuutena on myös, että ohjelmiston päivitys tuoreimpaan versioon
saattaa jättää vanhentuneen kopion rinnalle. Haittaohjelmia jakavat Exploit
Kitit käyttävät tätä hyväkseen: netistä ladattu haitallinen Java-sovelma voi
vaatia, että se täytyy ajaa nimenomaan tietokoneelle unohtuneessa vanhassa,
haavoittuvassa, ajoympäristössä. Pahimmillaan tämä tarjoaa haittohjelmalle
suoran pääsyn organisaation sisäverkkoon – ohi palomuurin, ohi
virustorjunnan ja ohi käyttövaltuuksien hallinnan.

Suodattaminen sai Java-ongelmat loppumaan

Kyberturvallisuuskeskus on tehnyt yhteistyötä erään HAVARO-kumppanin kanssa
organisaatiota vaivanneen haittaohjelmaongelman ratkaisemiseksi. Saimme
luvan julkaista tilastotietoa kumppanin järjestelmiin kohdistuneiden
vakavien tietoturvaloukkausten määrän kehityksestä sekä havaintojen johdosta
tehtyjen vastatoimenpiteiden vaikuttavuudesta. Tarkastelujakso ajoittuu
asiakkaan HAVARO-palvelun käyttöönoton ensimmäiseen vaiheeseen.

Linux-ytimen haavoittuvuus voi mahdollistaa käyttövaltuuksien korottamisen

Linux-käyttöjärjestelmän ytimestä on korjattu ohjelmistokäskyjen käsittelyyn
liittyvä haavoittuvuus, joka voi mahdollistaa komentojen ajamisen
paikallisesti korotetuilla käyttövaltuuksilla.

Haavoittuvuus liittyy sysret-käskyn käsittelyyn tietyllä tavalla muotoiltua
ptrace()-kutsua käsiteltäessä.

Haavoittuvuus koskee Linux-ytimen 64-bittisiä versioita Intelin
suorittimilla ja sen hyväksikäyttö edellyttää mahdollisuutta ajaa
ohjelmakoodia järjestelmässä.

Haavoittuvuus on korjattu Linux-ytimen viimeisimmissä versioissa sekä
useiden Linux-jakeluiden tuetuissa versioissa.

Adobe Flash Playerin päivitys korjaa kolme haavoittuvuutta

Adobe on julkaissut päivitykset Adobe Flash Player -ohjelmistoon.
Päivityksissä on korjattu kolme haavoittuvuutta, jotka voivat mahdollistaa
kohdejärjestelmän haltuunoton. Adobe on luokitellut päivityksen kriittiseksi
(critical).

Päivitys estää myös Rosetta Flash -nimisellä työkalulla toteutettavan
hyökkäyksen, jonka avulla on mahdollista paljastaa JSONP-tekniikkaa
hyödyntävän palvelun käyttämät evästeet.

Energiasektoriin kohdistuva kybervakoilukampanja

Länsimaisia energiasektorin organisaatioita vastaan on ainakin helmikuusta
2013 lähtien ollut käynnissä taitavasti ja hyvin resurssein toteutettu
kybervakoilukampanja. Suomessa kampanjasta ei ole löytynyt merkkejä.
Kyberturvallisuuskeskus seuraa tilannetta.

Tilanteen yleiskuva ja vakavuus

Syyskuusta 2013 lähtien useat tietoturvayritykset ovat raportoineet
pääasiassa länsimaisiin energia-alan yrityksiin ja organisaatioihin
kohdistuvasta kybervakoilukampanjasta. Tietoturvayritys Symantec arvioi
kampanjan olleen käynnissä helmikuusta 2013 lähtien ja kampanjan
jatkumisesta tehdään maailmalla havaintoja edelleen.

Vakoilukampanja on huolestuttava useasta syystä. Kampanjan toteuttajilla
vaikuttaa olevan hyvät resurssit ja paljon teknistä osaamista. Energia-ala
on osa yhteiskuntien kriittistä infrastruktuuria, mutta edelleenkin alan
teollisuusautomaatiojärjestelmien ohjelmistojen virheitä paikataan varsin
harvakseltaan. Vaikka järjestelmien valmistajat tekevätkin korjauksia
tuotteisiinsa, korjauksia otetaan käyttöön hitaanlaisesti. Näin ollen
käytössä olevat järjestelmät saattavat pysyä haavoittuvina tunnetuille
hyökkäyksille sekä saastuneina pitkään. Vakoilun lisäksi haittaohjelmilla on
mahdollista aiheuttaa myös suoraa vahinkoa saastuneille järjestelmille ja
niiden käyttäjille.

Viestintäviraston Kyberturvallisuuskeskus on etsinyt tietoturvaloukkausten
havainnointijärjestelmästään (HAVARO) jälkiä kampanjasta. Suomalaisia
organisaatioita ja yrityksiä kampanja ei näytä tähän mennessä koskeneen.
Kyberturvallisuuskeskus jatkaa tilanteen seuraamista.

Kybervakoilukampanjan tekijät

Vakoilukampanjan toteuttajana on useiden arvioiden mukaan jokin valtiollinen
toimija: hyökkäykset ovat hyvin suunniteltuja, erittäin pitkäjänteisiä ja
teknisesti taidokkaita. Tekijöillä on ilmeisesti hyvin resursseja
käytettävissään. Tekijöiden arvioidaan olevan peräisin itäisestä Euroopasta.
Tähän viittaavat useat havainnot toteuttajaryhmän toiminnan painottumisesta
arkipäiville kello 9-18 Moskovan aikaa (UTC +04:00). Tietoturvayritys
Symantec kutsuu toteuttajaryhmää nimellä Dragonfly ja tietoturvayritys
CrowdStrike nimellä Energetic Bear.

https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/07/ttn20140703
1521.html