Suomeksi / Finnish Jos näette tämän viestin, niin Teillä on todennäköisesti myös ongelmia tämän sivun ulkoasun kanssa (CSS-tyylitiedosto). Ongelman voi korjata tyhjentämällä/poistamalla väliaikaiset internet-tiedostot ja evästeet internet-selaimestanne. Pahoittelemme häiriötä.

English If you can see this message, you probably have problems with the appearance of this internet-page (CSS-problems). For correction, please clean/delete your temporary internet-files and cookies from the browsers memory. Thank You.

               No account yet?
Thursday
Jan 08th
2009
22:53
E-Commerce Finland 3.0 Beta

Sähköisen kaupan palvelukeskus - E-Commerce Service Centre of Finland
 
Home You are here: Etusivu
Image Tervetuloa Sähköisen kaupan omaan portaaliin - ja sen avoimeen Beta-testaukseen!
Tämä on keväällä 2000 avatun palvelun 3 . kehitysversio. Olemme uudistuneet täydellisesti, joten muutoksia ja uudistuksia on runsaasti ja lisää on tulossa.. Myös informaatiota uuppuu vielä eri aiheista ja sivuilta.  Olemme aloittaneet kaiken perusinformaation päivittämisen ja tuottamisen uudestaan, lähes puhtaalta pöydältä. Pahoittelemme näistä ja mahdollisista testauksista aiheutuvia katkoksia tai/ja häiriöitä. Testaus päättynee toukokuussa.
Huomio: Palvelukeskuksen ja ECF:n vanhat palvelut säilyvät edelleen kaikille avoimena, mutta niiden sisältöä ei enää päivitetä.
 
Hyvää Joulua ja Uutta Vuotta 2009
 
Tietoturvakatsaus 1/2008 PDF Print E-mail
 

CERT‑FI:n tietoon tuli tapaus, jossa sivullinen onnistui tekemään tilisiirtoja verkkopankkiyhteyden aikana käyttäjän sitä havaitsematta. Toistaiseksi suomalaisiin pankkeihin kohdistuvat hyökkäykset ovat olleet yksittäisiä tapauk­sia.

CERT-FI julkaisi joukon pakkaus- ja arkistoformaattien käsittelyyn liittyviä haavoittuvuuksia. Tietoja pakataan tai arkistoidaan lähes kaikissa sovelluksissa, joten haavoittuvuudet vaikuttavat moniin eri käyttöjärjestelmiin ja ohjelmistoihin. Haavoittuvuuksia voidaan luonnehtia kokonaisuutena merkittäviksi.

Julkisuuteen tuli lukuisia cross site scripting -tyyppisiä haavoittuvuuksia monilta suosituilta suomalaisilta www-sivustoilta. Tällaiset haavoittuvuudet eivät mahdollista palvelimelle murtautumista, mutta niitä voidaan käyttää huijausyrityksiin tai www-sivustojen omistajan maineen vahingoittamiseen.

Haittaohjelmilla kaapattiin suomalaisten verkkopankkien yhteyksiä

CERT-FI:n tietoon tuli ensimmäinen verkkopankkiyhteyttä vakoileva haittaohjelma, jonka toiminta kohdistui suomalaisiin verkkopankkiasiakkaisiin. Pankkitroijalaisiin luettavaa haittaohjelmaa levitettiin erityisesti suomalaisiin osoitteisiin kohdistetun roskapostikampanjan kautta. Huijausviestien aiheena oli joko Mikkelissä tapahtuneeksi väitetty ydinonnettomuus tai seuraa etsivän "Tatjanan" yhteydenottopyyntö. Viesteissä olleiden linkkien avulla käyttäjä ohjattiin www-sivustolle, jolta saattoi saada tietokoneeseensa haittaohjelmatartunnan.

Haittaohjelma ohjasi käyttäjän verkkopankkiyhteyden kulkemaan hyökkääjän hallitseman tietokoneen kautta, jolloin hyökkääjä saattoi tarkkailla ja muuttaa yhteyden aikana pankin verkkopalveluun siirrettäviä ja palvelun käyttäjälle näytettäviä tietoja. Niiden avulla hyökkääjä onnistui tekemään luvattomia tilisiirtoja käyttäjien tileiltä.

Verkkopankkeihin kohdistuvat haittaohjelmat kehittyvät siihen suuntaan, että samalla haittaohjelmalla pyritään huijaamaan mahdollisimman monen eri pankin asiakkaita. Haittaohjelmista on tehty helposti muokattavia, jolloin niiden toiminta voidaan kohdistaa uusiin verkkopankkeihin vain tekemällä muutoksia ohjelman asetustiedostoon. Käyttäjän tietokoneeseen tarttunut ohjelma hakee säännöllisesti verkosta uuden asetustiedoston, joten sen käyttäytymistä voidaan muuttaa ja ohjata myös tartunnan jälkeen. Suomessa tavattua haittaohjelmaa on käytetty aikaisemmin ainakin saksalaisia, sveitsiläisiä ja hollantilaisia verkkopankkeja vastaan. Käytetty ohjelman versio oli aluksi tuntematon virustorjuntaohjelmille, joten ohjelmat eivät heti suojanneet tartunnalta.

Jatkossa on syytä olettaa, että pankkiyhteyksien kaappaamiseen tarkoitetut haittaohjelmat kykenevät muuttamaan käyttäjälle näytettävien www-sivujen sisältöä itsenäisesti jo pankkiyhteyden aikana, ohjaamaan käyttäjien istuntoja hyökkääjän hallitsemalle www-palvelimelle ja muuttamaan käyttäjän lähettämien http-viestien sisältöä. Kaappaaminen onnistuu, vaikka käytössä olisi SSL-salattu yhteys. Toistaiseksi CERT‑FI:n tietoon ei ole kuitenkaan tullut täysin automaattisesti toimivaa haittaohjelmaa, jonka toiminta kohdistuisi suomalaisten verkkopankkien asiakkaisiin.

Pakkaus- ja arkistointiformaattien käsittelyssä haavoittuvuuksia

CERT-FI julkaisi yhteistyössä brittiläisen CPNI:n ja japanilaisen JPCERT:in kanssa joukon pakkaus- ja arkistoformaattien käsittelyyn liittyviä ohjelmistohaavoittuvuuksia. Osa haavoittuvuuksista saattaa mahdollistaa hyökkääjän ohjelmakoodin suorittamisen tietokoneessa.

Arkistoformaatteja käsitellään lähes kaikissa sovelluksissa. Tavallisesti käsiteltävä tieto pyritään pakkaamaan sen siirtämisen nopeuttamiseksi tai tiedostojen vaatiman säilytystilan pienentämiseksi. Monet ohjelmistot joutuvat normaalin toimintansa yhteydessä käsittelemään pakattua tietoa ja monista eri tiedostoista koottuja arkistotiedostoja.

Haavoittuvuuksien yhteydessä julkaistiin myös Oulun yliopiston tietoturvatutkimusryhmä OUSPG:n koostama testimateriaali. Materiaali on koostettu PROTOS-GENOME-projektissa kehitettyjen testimenetelmien avulla. Testimateriaaliin sisältyvien tiedostojen käsittely aiheutti virhetilanteita useissa eri ohjelmistotuotteissa. Materiaali koostui yli miljoonasta eri testitapauksesta, jotka testasivat yli kymmenen eri arkistomuodon toteutuksen ongelmakohtia.

Ohjelmistovalmistajille tarjottiin mahdollisuus testata omat tuotteensa ennen kuin materiaali julkaistiin. CERT-FI, CPNI ja JPCERT ottivat yhteyttä kymmeniin ohjelmistojen valmistajiin. Tieto testituloksista pyrittiin välittämään erityisesti suurille ohjelmistovalmistajille ja sellaisten tuotteiden valmistajille, joiden tuotteissa oli jo aikaisemmin havaittu ongelmia.

Testimateriaalin julkaisemisen tarkoituksena oli yksittäisten virheiden löytämisen sijaan parantaa arkistomuotojen käsittelyn toteutusten laatua. Projektin yhteydessä havaittiin, että yksittäisten, tarkasti määriteltyjen ohjelmointivirheiden korjaamiseen tottuneet valmistajat eivät aina osanneet hyödyntää annettuja tietoja tai testimateriaalia. Mukana olleiden valmistajien suuri lukumäärä aiheutti koordinointitehtävälle omat haasteensa.

Projektin osapuolten mielestä arkistomuotoja koskeva julkinen testimateriaali parantaa eri ohjelmistototeutusten toimintavarmuutta. CERT-FI ja OUSPG aikovat jatkaa yhteistyötä vastaavien testimateriaalien koostamiseksi ja julkaisemiseksi.

CERT-FI seuraa haavoittuvuusjulkaisun jälkeisen tilanteen kehittymistä. Todennäköisesti kaikkia pakkaus- ja arkistointiformaatteihin liittyviä haavoittuvuuksia ei ole vielä löydetty tai korjattu. Ohjelmistovalmistajien tarjoamat päivitykset on syytä asentaa viipymättä.

Cross site scripting -haavoittuvuuksia monilla verkkosivustoilla

Sampo Pankki uudisti tietojärjestelmänsä ja verkkopankkinsa pääsiäisenä. Uuden verkko-pankin käyttöönoton yhteydessä sivustolta löytyi cross site scripting (XSS) ‑haavoittuvuus, joka mahdollisti ulkopuolisen tekemän sisällön näyttämisen pankin sivuston osana silloin, kun käyttäjä siirtyi sivustolle tietyllä tavalla muodostetun linkin kautta.

Haavoittuvuus ei aiheuttanut suurta uhkaa palvelun käyttäjille ja se korjattiin nopeasti. Vikatapauksen saama suuri julkisuus innoitti kui-tenkin verkon käyttäjiä etsimään vastaavanlaisia tietoturvapuutteita myös muilta sivustoilta, ja CERT-FI:n tietoon onkin tullut useita kymmeniä eri tapauksia suomalaisilta www-sivustoilta.

Cross site scripting -haavoittuvuudet mahdollistavat sen, että sivullisen tuottamaa sisältöä näytetään käyttäjälle ikään kuin varsinaisen sivuston osana. Haavoittuvuuden hyödyntäminen edellyttää, että sivuston käyttäjä houkutellaan syöttämään hyökkäyksessä käytettävä ohjelmakoodi www-palvelimelle, joka sen jälkeen palauttaa koodin ajettavaksi käyttäjän selaimessa. Haavoittuvuuden mahdollistaa se, ettei palvelin tarkasta käyttäjän syöttämiä tietoja riittävän huolellisesti. Tavallisimmin haavoittuvuuksissa hyödynnetään JavaScript-ohjelmointikieltä.

XSS-haavoittuvuuksia voi käyttää nyt nähdyn pilailu- ja töhrimistarkoituksen lisäksi myös esimerkiksi palvelussa käytettävien salasanojen keräilyyn. Roskapostiviestien mukana voidaan levittää linkkiä, joka sisältää haavoittuvuutta hyödyntävän lyhyen koodinpätkän. Aidolla www-sivustolla käyttäjälle näkyvä salasanakysely voi siten olla peräisin hyökkääjältä. CERT-FI:n tietoon ei ole kuitenkaan tullut tapauksia, joissa pankkien tai muiden palvelujen haavoittuvuuksia olisi käytetty onnistuneesti hyväksi muuten kuin pilailutarkoituksissa.

CERT-FI on välittänyt tiedot haavoittuvuuksista palvelujen ylläpitäjille, jotka ovat suurimmaksi osaksi joko korjanneet haavoittuvuudet tai poistaneet haavoittuvan palvelun tilapäisesti käytöstä.

Tulevaisuuden näkymiä

CERT-FI:n arvion mukaan järjestelmällinen haittaohjelmien levittäminen ja niiden käyttäminen rikolliseen toimintaan voi jatkossa kohdistua entistä useammin myös erityisesti suomalaisiin palveluihin. On todennäköistä, että haittaohjelmia pyritään levittämään erityisesti suomalaisille käyttäjille esimerkiksi suomalaisiin sähköpostiosoitteisiin lähetettyjen suomenkielisten roskapostiviestien tai www-sivustojen kautta. Todennäköisesti huijauksista tulee entistä uskottavampia ja hyökkäyksissä käytettävien haittaohjelmien ominaisuudet kehittyvät nykyisestä.

Verkkosivustojen haavoittuvuuksia etsitään edelleen aktiivisesti, ja niitä löytyy todennäköisesti lisää.

Pakkaus- ja arkistoformaatteihin liittyviä haavoittuvuuksia löytynee nyt julkaistun testiaineiston myötä lisää, ja ohjelmistovalmistajat julkaisevat korjattuja versioita tuotteistaan. Lähitulevaisuudessa CERT-FI julkaisee myös haavoittuvuuksia eräistä tiedonsiirron suojaamiseen yleisesti käytettävistä ohjelmistoista.


14-04-2008 11:12 Viestintävirasto Published in , Turvallisuus / FIN
This entry was posted on 14-04-2008 11:12. You can follow any responses to this entry through the RSS 2.0 feed. This article was favoured 11 time. You can leave a comment. Last update on 14-04-2008 11:12
Views: 550
Users' Comments (0)RSS feed comment
Average user rating
   (0 vote)
Only registered users can comment an article. Please login or register.

No comment posted



mXcomment 1.0.6 © 2007-2009 - visualclinic.fr
License Creative Commons - Some rights reserved
No Comments.

Discuss this item on the forums. (0 posts)
Next >
[ Back ]

Tietoturvakoulu

Esittelyssä jäsen

Savonia Ammattikorkeakoulu


Haluaisitteko logonne tähän?

Kiitämme yhteistyöstä ja avusta

ISOC Finland / Suomen Internet-yhdistys ry

top top
Etusivu | Esittely | Käyttöehdot | Rekisteriseloste | Mediatiedot

This New service is still in the Beta testing stage, so we are sorry for any possible errors and problems.

This service is produced with the cooperation and support of Electronic Commerce Association of Finland.

Any reference to Third-Parties does not constitute or imply its endorsement or recommendation by Us or Our partners.

We provide information and links from or to other sites solely for the convenience of the users, and we are not responsible for the content of those sources or sites.

Service © 2000 - 2009 E-FINLAND.org. All rights reserved. | Production © by E-Finland Network Ltd | Hosting by Kotisivut.com

Creative Commons License
If no other mention, this work is licensed under a Creative Commons Attribution - Noncommercial - No Derivative Works 1.0 License, but
the copyright of information to which this service links or directly refer remain allways with the original owners.

RSS 2.0 Our site is valid CSS Our site is valid XHTML 1.0 Transitional

Generated in 3.07669 Seconds