Tietoturva ja virukset - Luento 11
Seuraavassa esitellään tavalliseen käyttäjän kohdistuvia tietoturvauhkia sekä viruksia.
Uutisia maailmalta:
Ihminen
Ihminen on usein suurin ongelma, koska hän
- keksii huonoja salasanoja.
- Käytä salasanan muistisääntönä jotakin mielessä pysyvää lausetta (esim. elokuva + pääosanesittäjä tms.).
- Saman aihealueen lauseista saa useamman salasanan.
- Rakenna lauseen osista oma salasana.
- Varmista ettei se ole mikään selkokielinensana (esim. 007JamesBond).
- Käytä salasanassa erikoismerkkejä ja numeroita.
- Älä kerro käyttämääsi muistisääntöä muille!
- käsittelee salasanaa huolettomasti.
- Suojaamattomissa WWW-palveluissa voi käyttää leikkisalasanoja.
- Salasanan tarkkailu on yllättävän helppoa!
- Älä käytä samoja salasanoja kuin salatuissa järjestelmissä.
- Älä säilytä salasanoja kalenterissasi tai lapulla!
- on liian luottavainen.
- Tunnuksia ja salasanaa ei saa koskaan antaa kenellekään!
- Järjestelmän pääkäyttäjä ei tarvitse koskaan salasanaasi!("Root, God, What's the difference?")
- levittelee papereitaan missä sattuu.
- Bussissa, junassa, lentokoneessa jne.
- Kuka lukee olkasi yli?
Ohjelmat
- Uusissa ohjelmissa on aina aukkoja!
- Uusi aukkoja löytyy koko ajan !
- Esim. IE on reikäjuusto! :)
- Päivitä ohjelmia säännöllisesti.
- Joissakin yhteyksissä kannattaa päivittää ohjelmaversioita.
- Virustietokantojen päivittäminen kannattaa automatisoida.
- Oletussalasanoja ei ole muutettu!
- CERT-FI varoitukset
- Vulnerability Database
Laitteisto
- Laitteistotason suojaukset pystyy yleensä kiertämään.
- Esim. biosin vaihtaminen.
- Särkeminen jne.
- Varastaminen.
Sähköposti
- Kuka tahansa voi lähettää nimelläsi
sähköpostia.
- Uskottavaan esiintymiseen tarvitaan kuitenkin
murtautuminen.
- Kotona postit voivat olla koneen kovalevyllä.
- Postit ovat vain tekstitiedostoja.
- Ole huolellinen tiedostojen oikeuksien kanssa.
Internet
- Tieto liikkuu verkossa täysin selväkielisenä!
- Käytä aina SSH-pohjaisia yhteysohjelmia.
- Pääteyhteysohjelma SSH (Ei Telnet!)
- Tiedostojen siirto SCP tai Secure File Transfer Client (Ei FTP tai WS-FTP!)
Lisätietoja Viestintäviraston CERT-FI -sivustolta.
Miksi joku haluaisi murtautua kotikoneelleni tai sähköpostiini?
Hyökkääjän motiiveja voivat olla esimerkiksi:
- seikkailunhalu
- maineen kasvattaminen
- kiusanteko
- vandalismi
- levytilan, prosessoritehon tai tietoliikenneyhteyksien luvaton käyttö
- jälkien peittäminen kolmatta tietojärjestelmää vastaan tehtävää hyökkäystä varten
- teollisuusvakoilu
- elektroninen sodankäynti
Lähde: Tietoturvaloukkausten havainnointi ja ratkaisu - Hyökkääjät ja motiivit (CERT)
Hyökkäystyypit
- Palvelunestohyökkäys (DoS, Denial of Service), jossa hyökkääjä pyrkii hidastamaan, vaikeuttamaan tai estämään kohteensa toimintaa.
- Luvaton käyttö, jossa hyökkääjä luvatta käyttää kohteen resursseja hyödykseen.
- Tietomurto tai tiedon varastaminen, jossa hyökkääjä anastaa hyökkäyksen kohteen tietoja.
Lähde: Tietoturvaloukkausten havainnointi ja ratkaisu (CERT) - Hyökkäystyypit
Hyökkäystapoja
- Kohteen skannaus (Host scanning), jonka avulla hyökkääjä tutkii kohteensa avoimia portteja ja kohteessa käytössä olevia palveluita.
- Social Engineering, jossa käytetään hyväksi ihmisten hyväntahtoisuutta.
- WAR Dialer, jonka avulla hyökkääjä soittaa kohteensa puhelinnumeroavaruuden läpi etsien avoimia modeemipalvelimia, jotka näin kiertäisivät kohteen verkon kontrollit.
- Salasanojen murtaminen, jossa hyökkääjä murtaa järjestelmän käyttäjätunnus-salasanapareja erityisiä salasanojen murto-ohjelmistoja hyväksikäyttäen.
- Puskurin / syötteen ylivuoto (Buffer overflow / Input validation), jossa sovelluksen tiedolle varaama tilavaraus ylitetään.
- Hyökkäys verkkoprotokollaa vastaan, jossa hyväksikäytetään joko protokollamäärittelyn sisältämiä heikkouksia (Smurf-hyökkäys) tai protokollan toteutuksessa olevia heikkouksia (Ping of Death -hyökkäys).
- Kuormitushyökkäys (Flooding), jossa hyökkääjä kuormittaa kohdetta lähettämällä esimerkiksi suuren määrän palvelupyyntöjä lyhyessä ajassa.
- Haittaohjelmat (Malware), joiden avulla hyökkääjä voi pystyä kiertämään järjestelmän turvallisuusominaisuudet ja avaamaan hyökkäysreitin järjestelmän sisältä päin. Haittaohjelmistot asentuvat usein toisen ohjelman välityksellä tai leviävät sähköpostin liitetiedostojen kautta.
- Domainin kaappaus (Domain hijacking / DNS spoofing), jossa hyökkääjä muuttaa nimipalvelun toimintaa siten, että määrätylle domainille osoitetut palvelupyynnöt ohjautuvatkin hyökkääjän haluamaan osoitteeseen.
- Reitityksen väärentäminen (ARP spoofing), jossa hyökkääjä muuttaa reitittimen toimintaa siten, että määrättyyn osoitteeseen osoitetut paketit ohjautuvatkin hyökkääjälle.
- Lähdeosoitteen väärentäminen (IP spoofing), jossa hyökkääjä väärentää oman verkko-osoitteensa siten, että hyökkäyksen kohde luulee pakettien tulevan luotettavasta lähteestä.
Lähde: Tietoturvaloukkausten havainnointi ja ratkaisu (CERT) - Hyökkäystekniikat
Kotikäyttäjän tietoturvariskejä
- Troijan hevoset
- Takaportit ja etäkäyttöohjelmistot
- Palvelunestohyökkäys (Denial of Service (DoS))
- Jonkin hyökkäyksen välikätenä toimiminen
- Suojaamattomat Windowsin levyjaot
- Java, JavaScript, ActiveX ja VBS
- Vaaralliset WWW-sivuihin upotetut HTML-elementit
- Sähköpostihuijaus
- Liitetiedostovirukset
- Piilotetut tiedostopäätteet
- Chat-ohjelmat
- Verkkoliikenteen haistelu
- Muita riskejä
- Kiintolevyn rikkoutuminen
- Virtapiikit
- Varkaus
Lähde: http://www.cert.org/tech_tips/home_networks.html
Suojautumiskeinoja kotikäyttäjälle
- Jos teet töitä kotoa käsin niin varmista suojauksesi mikrotuen kanssa
- Käytä virustorjuntaohjelmaa
- Käytä palomuuria
- Älä avaa tuntemattomia liitetiedostoja
- Älä suorita ohjelmia, joiden alkuperästä et ole varma
- Aseta kaikki tiedostopäätteet näkyviin (Windows)
- Varmista, että ohjelmasi ja käyttöjärjestelmäsi on päivitetty
- Irroita tietokoneesi verkosta, kun et käytä sitä
- Poista käytöstä Java, Javascript ja ActiveX
- Kiellä sähköpostiohjelmalta komentojonojen suorittaminen
- Ota varmuuskopio tiedostoistasi säännöllisin väliajoin
- Tee käynnistyslevyke hätätilanteen varalle
Lähde: http://www.cert.org/tech_tips/home_networks.html
Virukset ja niiltä suojautuminen
Viruksista voi lukea yksityiskohtaisemman artikkelin seuraavasta osoitteesta: http://appro.mit.jyu.fi/doc/virus/ .
Seuraavassa ainoastaan lyhyitä kuvauksia viruksista:
- Tutustu viruskuvauksiin, jos saat viruksen. Viruskuvauksia löytyy muun muassa seuraavista osoitteista:
Madot
Madot ovat nykyisin pahin virusuhka!
- Pyrkii leviämään itsekseen suojaamattomiin
koneisiin.
- Käyttää hyväkseen
tietoturva-aukkoja.
- Lähettää itseään eteenpäin
sähköpostitse.
- Leviää HTML-tiedostoja luettaessa (esim. Nimda)
- Tarttuu nykyään jo miltei kaikeen!
- EXE-tiedostot
- HTML-tiedostot
- PDF-dokumentteihin
- Tuhot
- Koneiden jumittuminen
- Tietoturvaongelmat
- Koneen täydellinen saastuminen.
- Suojautuminen
- Kaikki edellä mainitut keinot!
- Äärimmäinen varovaisuus liitetiedostojen
kanssa!
Esimerkkimato - BugBear
- Leviää sähköpostin (IE:n tietoturva-aukko) ja paikallisverkossa.
- Lähettää sähköposteja saastuneen liitetiedoston kera.
- Viestinä voi olla suomenkielistä tekstiä!
- Yrittää sulkea viruksentorjuntaohjelmia.
- Tekee koneeseen takaoven.
- Varastaa salasanoja seuraamalla näppäimistöä.
- Viruksen poistaminen
- Päivitä virusohjelma.
- Irrota kone verkosta.
- Poista virus viruksentorjuntaohjelmalla tai erillisellä poisto-ohjelmalla.
- Uusin mato: Winevar
Makrovirukset
- Toimivat useassa käyttöjärjestelmässä
- Leviäminen
- Sovellusohjelmatiedostoissa olevien makrojen mukana.
- Sähköpostitse.
- Levykkeillä.
- Tarttuminen
- Tartuttaa sovellusohjelmatiedostoissa olevia makroja.
- Tarttuu vain samalla sovellusohjelmalla tehtyihin
tiedostoihin.
- Suojautuminen
- Erityisesti kaikki edellä mainitut
- Ei sallita makrojen ajamista ohjelmissa
(Makrovirusvaroitukset).
- Tuhot
- Piloista aina arkaluontoisten dokumenttien
lähettämiseen uutisryhmiin.
Tiedostovirukset
- Leviävät yleensä ajettavien tiedostojen mukana.
- Tarttuvat EXE- ja COM-tiedostoihin eritavoin.
- Suojaudutaan tutkimalla virusskannerilla tiedostot ennen niiden ajamista.
- Piloista hyvinkin pahoihin vahinkoihin.
Käynnistyslohkovirukset
- Tarttuu koneeseen saastuneelta levykkeeltä
käynnistyksen yhteydessä.
- Tarttuu jokaiseen kirjoitussuojaamattomaan levykkeeseen.
- Tarttuu levykkeen käynnistyslohkoon tai osiotaulukkoon.
- Suojaudutaan poistamalla koneen käynnistyminen levykkeeltä BIOSista.
- Levykkeet kirjoitussuojattuina koneeseen.
Troijan hevoset
- Leviävät vaarattoman näköisten tiedostojen mukana.
- Eivät varsinaisesti tartuta muita tiedostoja.
- Pyrkivät saamaan oman koodinsa ajettavaksi.
- Tutkitaan huolellisesti kaikki vaarattomankin
näköiset tiedostot.
- Tietoturvallisuuden täydellinen menettäminen.