Elokuun puolivälissä internetiin on tullut saataville noin kymmenen
gigatavun edestä tiedostoja, joiden väitetään sisältävän tietoja Ashley
Madison -nimisen treffipalvelun käyttäjistä. Palveluun tehty tietomurto tuli
julki heinäkuun puolessavälissä. Viestintäviraston tietojen mukaan joukossa
on kymmenien tuhansien palveluun rekisteröityneiden suomalaisten tietoja.
Tietojen aitoutta ei ole vielä vahvistettu.

Ashley Madison -treffipalvelua ylläpitävä kanadalainen yritys Avid Life
Media ei ole vahvistanut, että nyt julki tulleet tiedostot todella olisivat
peräisin kyseisestä palvelusta. Yhtiön mukaan useat aiemmat vastaavat
julkistukset ovat olleet tekaistuja.

Toimittaja Brian Krebsin tutkimusten mukaan näyttää kuitenkin vahvasti
siltä, että nyt julkaistu data on aitoa. Tiedostot ovat toistaiseksi
saatavilla vain niin sanotussa pimeässä webissä, jonne hakukoneilla ei
löydä. Tiedot tulevat luultavasti pian helpomminkin saataville.

Julkistetut tiedot sisältävät henkilöistä käyttäjänimen, salasanan ja
sähköpostiosoitteen. Osa henkilötiedoista sisältää myös muita tietoja, kuten
luottokortin numeron neljä viimeistä numeroa, sekä asuinpaikan
maantieteelliset koordinaatit. Käyttäjätiliin liitetty salasana on
salakirjoitetussa muodossa.

Vaihda salasanasi, jos olet käyttänyt samaa salasanaa muuallakin

Viestintävirasto suosittelee käyttäjiä vaihtamaan salasanansa niissä
palveluissa ja järjestelmissä, joissa he ovat kenties käyttäneet samaa
salasanaa kuin Ashley Madison -palvelussa.

Paljastuneissa tiedoissa salasanat näyttävät olevan salakirjoitettuja (niin
sanottu kryptografinen tiiviste) hyvien käytäntöjen mukaisesti.
Huonolaatuiset, sanakirjoista löytyvistä sanoista koostuvat ja
“123qwerty”-tyyppiset salasanat ovat kuitenkin yleensä kohtuullisella
vaivalla murrettavissa, vaikka salausmenetelmä olisikin vahva.

Yleensäkin on hyvä käytäntö käyttää eri salasanaa jokaisessa käyttämässään
palvelussa ja tietojärjestelmässä.

Älä syötä tietojasi “tarkista, ovatko tietosi vuotaneet” -sivustoille

Verkkorikolliset pystyttävät tyypillisesti pian tällaisten suurten
tietovuotojen jälkeen huijaussivustoja, joilla väitetään olevan mahdollista
tarkastaa, ovatko omat tiedot mukana vuodetuissa tiedoissa. Todellisuudessa
rikolliset keräävät näin lisää henkilötietoja, joita he voivat käyttää
identiteettivarkauksissa ja huijauksissa.

Muita neuvoja

Tietojen aitoutta hämärtää se tosiasia, että Ashley Madison -palvelu ei
tarkasta käyttäjien nimi-, osoite- ja sähköpostiosoitetietojen
paikkansapitävyyttä. Vaikka paljastettu data olisikin peräisin Ashley
Madison -palvelusta, eivät datassa mainitut henkilöt välttämättä itse ole
antaneet tietojaan sinne.

Luottokortin väärinkäyttöä ei tarvitse nyt julki tulleiden tietojen vuoksi
pelätä.

Sunnuntaina 5.7. julkisuuteen tulleen Hacking Team -yrityksen tietomurron
yhteydessä paljastunutta Adobe Flash -haavoittuutta on hyödynnetty
välittömästi tietoverkkohyökkäyksissä käytetyissä työkaluissa.
Haavoittuvuutta hyödyntävää koodia on lisätty ainakin “Angler Exploit Kit”
-nimellä tunnettuun hyökkäysohjelmistoon sekä
Metasploit-haavoittuvuustestaustyökaluun. Uutistietojen mukaan
haavoittuvuutta on jo käytetty hyväksi myös kohdistetussa
hyökkäyskampanjassa.

Varoituksen kohderyhmä

* Tietokoneiden ylläpitäjät ja käyttäjät
* Organisaatioiden tietohallinnosta ja tietoturvasta huolehtivat

Ratkaisu- ja rajoitusmahdollisuudet

Tietokoneissa käytettyjen selainohjelmistojen Flash-laajennus on syytä
päivittää viipymättä.

Jos Flash-laajennusta ei voi päivittää välittömästi voi laajennuksen
automaattikäynnistyksen estää selainohjelmiston asetuksia muuttamalla.
Flash-utomaattikäynnistyksen esto (“Click to Play”) on yleisestikin
tietoturvan kannalta suositeltava toimenpide.

PHP-ohjelmointikielestä on julkaistu uudet versiot 5.4.41, 5.5.25 sekä
5.6.9, jotka korjaavat useita haavoittuvuuksia.

Kriittisten haavoittuvuuksien hyväksikäyttö saattaa johtaa haitallisen
ohjelmakoodin suorittamiseen tai palvelunestotilaan.

Office-dokumenttien makroja hyödyntävät virukset olivat yleisiä 1990-luvun
lopussa ja 2000-luvun alussa. Makrot ovat komentojonoja, joiden avulla
voidaan automatisoida tehtäviä esimerkiksi Wordissa ja Excelissä. Viime
aikoina makroja hyödyntävät haittaohjelmat ovat taas yleistyneet. Kohteena
ovat varsinkin yritykset, joihin tietoja varastavia ja
kiristyshaittaohjelmia pyritään levittämään sähköpostin välityksellä.

Jälleen kasvava ilmiö

TrendLabs Security Intelligence Blogissa
kerrotaan, että makrojen käyttö haittaohjelmien levittämiseen lisääntyi 2014
ja on kasvanut huimasti alkuvuonna 2015. Erityisenä kohteena ovat yritykset,
joita lähestytytään kohdennetuilla sähköpostikampanjoilla. Tyypillisesti
makrohaittaohjelmat tulevat Word- tai Excel-tiedoston mukana, joka on
liitetty esimerkiksi laskuksi, kuitiksi tai tilausvahvistukseksi naamioituun
viestiin. Yleisiä makrojen asentamia haittaohjelmia ovat pankkitunnuksia
varastavat troijalaiset.

Kasvavana ilmiönä on myös kiristyshaittaohjelmien levittäminen Word-makrojen
avulla. Esimerkiksi
Symantecin
tietoturvablogin mukaan Ranskassa on havaittu viestejä, jotka on näyttävät
tulevan Ranskan oikeusministeriöltä. Jos liitteenä olevan dokumentin makron
suoritus sallitaan, makro asentaa aktivoiduttuaan useita haittaohjelmia, mm.
tiedostoja salaavan kiristyshaittaohjelman.

Käyttäjän tietoturvatietoisuus on tärkeässä roolissa

Koska makrohaittaohjelmia levitettiin viimeksi laajalti reilu kymmenen
vuotta sitten, monet käyttäjät eivät nykyään ole asian suhteen valveutuneita
ja ymmärrä makroihin liittyviä riskejä. Varsinkin yhdistettynä vakuuttavan
kuuloiseen viestiin moni erehtyy sallimaan dokumentin makrot. Sähköposti on
helppo väärentää siten, että se näyttää tulevan luotettavalta lähettäjältä.
Tällaiseen huijaamiseen tarvittavia tietoja on usein helppo saada selville
organisaation internetsivuilta, sähköpostitse tai puhelimitse
suostuttelemalla käyttäjä kertomaan hyödynnettävissä olevia tietoja.

Estä makrojen tarpeeton suorittaminen

ATK-ylläpitäjät voivat suojata organisaatiota makrohaittaohjelmilta muun
muassa seuraavien ohjeiden avulla:

* Estä asiakirjojen makrojen oletusarvoinen suorittaminen.
* Jos tarvitset makroja esimerkiksi asiakirjapohjissa organisaatiosi
sisällä, salli vain tietyissä tiedostoissa tai tietyn hakemiston
tiedostoissa olevat makrot ja estä muut.
* Ota käyttöön käytäntö, että asiakirjoja ei jaeta sähköpostilla, vaan
ne tallennetaan sovittuun paikkaan verkkolevylle.
* Muista säännöllinen varmuuskopiointi siltä varalta, että saat
haittaohjelmatartunnan.

Myös jokaisen tietokoneenkäyttäjän tulee olla valppaana:

* Älä avaa sähköpostilla saamiasi tiedostoja harkitsematta. Mieti,
miten voit varmistua viestin aitoudesta ennen viestin avaamista. Sähköposti
on helppo väärentää näyttämään organisaation sisäiseltä postilta.
* Älä tee itsestäsi isoa ja näkyvää maalia. Mieti, ennen kuin annat
yhteystietojasi, kuten sähköpostiosoitettasi, verkkosivuille. Luotatko, että
sivuston haltija säilyttää ja käyttää tietojasi oikein?