Tietoturva ja virukset - Luento 11

• tietoverkot1101.ogg 2.2M
• tietoverkot1102.ogg 2.3M
• tietoverkot1103.ogg 2.3M
• tietoverkot1104.ogg 2.3M
• tietoverkot1105.ogg 2.3M
• tietoverkot1106.ogg 1.2M

Seuraavassa esitellään tavalliseen käyttäjän kohdistuvia tietoturvauhkia sekä viruksia.

Uutisia maailmalta:

• Nimipalvelimiin hyökättiin jälleen
• Nigerialaishuijaukset purevat - spammin määrä kasvaa
• Haavoittuvuuksista harmia - Winevar leviää

Ihminen

Ihminen on usein suurin ongelma, koska hän

• keksii huonoja salasanoja.
  • Käytä salasanan muistisääntönä jotakin mielessä pysyvää lausetta (esim. elokuva + pääosanesittäjä tms.).
  • Saman aihealueen lauseista saa useamman salasanan.
  • Rakenna lauseen osista oma salasana.
  • Varmista ettei se ole mikään selkokielinensana (esim. 007JamesBond).
  • Käytä salasanassa erikoismerkkejä ja numeroita.
  • Älä kerro käyttämääsi muistisääntöä muille!
• käsittelee salasanaa huolettomasti.
  • Suojaamattomissa WWW-palveluissa voi käyttää leikkisalasanoja.
  • Salasanan tarkkailu on yllättävän helppoa!
  • Älä käytä samoja salasanoja kuin salatuissa järjestelmissä.
  • Älä säilytä salasanoja kalenterissasi tai lapulla!
• on liian luottavainen.
  • Tunnuksia ja salasanaa ei saa koskaan antaa kenellekään!
  • Järjestelmän pääkäyttäjä ei tarvitse koskaan salasanaasi!("Root, God, What's the difference?")
• levittelee papereitaan missä sattuu.
  • Bussissa, junassa, lentokoneessa jne.
  • Kuka lukee olkasi yli?

Ohjelmat

• Uusissa ohjelmissa on aina aukkoja!
• Uusi aukkoja löytyy koko ajan !
  • Esim. IE on reikäjuusto! :)
  • Päivitä ohjelmia säännöllisesti.
    • Windowsiin liittyvät päivitykset (http://windowsupdate.com/)
  • Joissakin yhteyksissä kannattaa päivittää ohjelmaversioita.
  • Virustietokantojen päivittäminen kannattaa automatisoida.
• Oletussalasanoja ei ole muutettu!
• CERT-FI varoitukset
• Vulnerability Database

Laitteisto

• Laitteistotason suojaukset pystyy yleensä kiertämään.
  • Esim. biosin vaihtaminen.
  • Särkeminen jne.
  • Varastaminen.

Sähköposti

• Kuka tahansa voi lähettää nimelläsi sähköpostia.
• Uskottavaan esiintymiseen tarvitaan kuitenkin murtautuminen.
• Kotona postit voivat olla koneen kovalevyllä.
• Postit ovat vain tekstitiedostoja.
• Ole huolellinen tiedostojen oikeuksien kanssa.

Internet

• Tieto liikkuu verkossa täysin selväkielisenä!
  • Tietojen salakirjoitus.
  • Tietoisuus tietoturva-aukoista.
  • Lähiverkon irrottaminen internetistä.
• Käytä aina SSH-pohjaisia yhteysohjelmia.
  • Pääteyhteysohjelma SSH (Ei Telnet!)
  • Tiedostojen siirto SCP tai Secure File Transfer Client (Ei FTP tai WS-FTP!)

Lisätietoja Viestintäviraston CERT-FI -sivustolta.

Miksi joku haluaisi murtautua kotikoneelleni tai sähköpostiini?

Hyökkääjän motiiveja voivat olla esimerkiksi:

• seikkailunhalu
• maineen kasvattaminen
• kiusanteko
• vandalismi
• levytilan, prosessoritehon tai tietoliikenneyhteyksien luvaton käyttö
• jälkien peittäminen kolmatta tietojärjestelmää vastaan tehtävää hyökkäystä varten
• teollisuusvakoilu
• elektroninen sodankäynti

Lähde: Tietoturvaloukkausten havainnointi ja ratkaisu - Hyökkääjät ja motiivit (CERT)

Hyökkäystyypit

• Palvelunestohyökkäys (DoS, Denial of Service), jossa hyökkääjä pyrkii hidastamaan, vaikeuttamaan tai estämään kohteensa toimintaa.
• Luvaton käyttö, jossa hyökkääjä luvatta käyttää kohteen resursseja hyödykseen.
• Tietomurto tai tiedon varastaminen, jossa hyökkääjä anastaa hyökkäyksen kohteen tietoja.

Lähde: Tietoturvaloukkausten havainnointi ja ratkaisu (CERT) - Hyökkäystyypit

Hyökkäystapoja

• Kohteen skannaus (Host scanning), jonka avulla hyökkääjä tutkii kohteensa avoimia portteja ja kohteessa käytössä olevia palveluita.
  • Security Scan
  • Advanced Port Scanner
  • Shields UP!
  • BlackCode Security Scan
• Social Engineering, jossa käytetään hyväksi ihmisten hyväntahtoisuutta.
• WAR Dialer, jonka avulla hyökkääjä soittaa kohteensa puhelinnumeroavaruuden läpi etsien avoimia modeemipalvelimia, jotka näin kiertäisivät kohteen verkon kontrollit.
• Salasanojen murtaminen, jossa hyökkääjä murtaa järjestelmän käyttäjätunnus-salasanapareja erityisiä salasanojen murto-ohjelmistoja hyväksikäyttäen.
• Puskurin / syötteen ylivuoto (Buffer overflow / Input validation), jossa sovelluksen tiedolle varaama tilavaraus ylitetään.
• Hyökkäys verkkoprotokollaa vastaan, jossa hyväksikäytetään joko protokollamäärittelyn sisältämiä heikkouksia (Smurf-hyökkäys) tai protokollan toteutuksessa olevia heikkouksia (Ping of Death -hyökkäys).
• Kuormitushyökkäys (Flooding), jossa hyökkääjä kuormittaa kohdetta lähettämällä esimerkiksi suuren määrän palvelupyyntöjä lyhyessä ajassa.
• Haittaohjelmat (Malware), joiden avulla hyökkääjä voi pystyä kiertämään järjestelmän turvallisuusominaisuudet ja avaamaan hyökkäysreitin järjestelmän sisältä päin. Haittaohjelmistot asentuvat usein toisen ohjelman välityksellä tai leviävät sähköpostin liitetiedostojen kautta.
• Domainin kaappaus (Domain hijacking / DNS spoofing), jossa hyökkääjä muuttaa nimipalvelun toimintaa siten, että määrätylle domainille osoitetut palvelupyynnöt ohjautuvatkin hyökkääjän haluamaan osoitteeseen.
• Reitityksen väärentäminen (ARP spoofing), jossa hyökkääjä muuttaa reitittimen toimintaa siten, että määrättyyn osoitteeseen osoitetut paketit ohjautuvatkin hyökkääjälle.
• Lähdeosoitteen väärentäminen (IP spoofing), jossa hyökkääjä väärentää oman verkko-osoitteensa siten, että hyökkäyksen kohde luulee pakettien tulevan luotettavasta lähteestä.

Lähde: Tietoturvaloukkausten havainnointi ja ratkaisu (CERT) - Hyökkäystekniikat

Kotikäyttäjän tietoturvariskejä

• Troijan hevoset
• Takaportit ja etäkäyttöohjelmistot
• Palvelunestohyökkäys (Denial of Service (DoS))
• Jonkin hyökkäyksen välikätenä toimiminen
• Suojaamattomat Windowsin levyjaot
• Java, JavaScript, ActiveX ja VBS
• Vaaralliset WWW-sivuihin upotetut HTML-elementit
• Sähköpostihuijaus
• Liitetiedostovirukset
• Piilotetut tiedostopäätteet
• Chat-ohjelmat
• Verkkoliikenteen haistelu
• Muita riskejä
  • Kiintolevyn rikkoutuminen
  • Virtapiikit
  • Varkaus

Lähde: http://www.cert.org/tech_tips/home_networks.html

Suojautumiskeinoja kotikäyttäjälle

• Jos teet töitä kotoa käsin niin varmista suojauksesi mikrotuen kanssa
• Käytä virustorjuntaohjelmaa
  • Jyväskylän yliopiston opiskelijat voivat hankkia virustorjuntaohjelman ATK-keskuksesta (ei Avoin YO). Lisätietoja osoitteessta http://www.cc.jyu.fi/atk/mikrotuki/mcafee/
  • F-Secure AntiVirus for DOS - Ilmainen (http://www.f-secure.com/download-purchase/tools.shtml)
• Käytä palomuuria
  • Sygate Personal Firewall
  • Zonealarm
• Älä avaa tuntemattomia liitetiedostoja
• Älä suorita ohjelmia, joiden alkuperästä et ole varma
• Aseta kaikki tiedostopäätteet näkyviin (Windows)
• Varmista, että ohjelmasi ja käyttöjärjestelmäsi on päivitetty
  • Windows Update
  • F-Secure AntiVirus virustietokantapäivitys
  • McAfee Anti-Virus virustietokannan päivitys
• Irroita tietokoneesi verkosta, kun et käytä sitä
• Poista käytöstä Java, Javascript ja ActiveX
• Kiellä sähköpostiohjelmalta komentojonojen suorittaminen
• Ota varmuuskopio tiedostoistasi säännöllisin väliajoin
• Tee käynnistyslevyke hätätilanteen varalle
  • Käynnistys- ja työkalulevykkeen tekeminen

Lähde: http://www.cert.org/tech_tips/home_networks.html

Virukset ja niiltä suojautuminen

Viruksista voi lukea yksityiskohtaisemman artikkelin seuraavasta osoitteesta: http://appro.mit.jyu.fi/doc/virus/ . Seuraavassa ainoastaan lyhyitä kuvauksia viruksista:

• Tutustu viruskuvauksiin, jos saat viruksen. Viruskuvauksia löytyy muun muassa seuraavista osoitteista:
  • F-Secure virustietokanta - Finnish http://www.f-secure.com/virus-info/finnish/ (Ei löydy kaikkia)
  • F-Secure virustietokanta - English http://www.f-secure.com/v-descs/
  • CERT - Computer Virus Resources http://www.cert.org/other_sources/viruses.html
  • McAfee Virus Information Library http://vil.mcafee.com/

Madot

Madot ovat nykyisin pahin virusuhka!

• Pyrkii leviämään itsekseen suojaamattomiin koneisiin.
• Käyttää hyväkseen tietoturva-aukkoja.
• Lähettää itseään eteenpäin sähköpostitse.
• Leviää HTML-tiedostoja luettaessa (esim. Nimda)
• Tarttuu nykyään jo miltei kaikeen!
  • EXE-tiedostot
  • HTML-tiedostot
  • PDF-dokumentteihin
• Tuhot
  • Koneiden jumittuminen
  • Tietoturvaongelmat
  • Koneen täydellinen saastuminen.
• Suojautuminen
  • Kaikki edellä mainitut keinot!
  • Äärimmäinen varovaisuus liitetiedostojen kanssa!

Esimerkkimato - BugBear

• Leviää sähköpostin (IE:n tietoturva-aukko) ja paikallisverkossa.
• Lähettää sähköposteja saastuneen liitetiedoston kera.
• Viestinä voi olla suomenkielistä tekstiä!
• Yrittää sulkea viruksentorjuntaohjelmia.
• Tekee koneeseen takaoven.
• Varastaa salasanoja seuraamalla näppäimistöä.
• Viruksen poistaminen
  • Päivitä virusohjelma.
  • Irrota kone verkosta.
  • Poista virus viruksentorjuntaohjelmalla tai erillisellä poisto-ohjelmalla.
• Uusin mato: Winevar

Makrovirukset

• Toimivat useassa käyttöjärjestelmässä
• Leviäminen
  • Sovellusohjelmatiedostoissa olevien makrojen mukana.
  • Sähköpostitse.
  • Levykkeillä.
• Tarttuminen
  • Tartuttaa sovellusohjelmatiedostoissa olevia makroja.
  • Tarttuu vain samalla sovellusohjelmalla tehtyihin tiedostoihin.
• Suojautuminen
  • Erityisesti kaikki edellä mainitut
  • Ei sallita makrojen ajamista ohjelmissa (Makrovirusvaroitukset).
• Tuhot
  • Piloista aina arkaluontoisten dokumenttien lähettämiseen uutisryhmiin.

Tiedostovirukset

• Leviävät yleensä ajettavien tiedostojen mukana.
• Tarttuvat EXE- ja COM-tiedostoihin eritavoin.
• Suojaudutaan tutkimalla virusskannerilla tiedostot ennen niiden ajamista.
• Piloista hyvinkin pahoihin vahinkoihin.

Käynnistyslohkovirukset

• Tarttuu koneeseen saastuneelta levykkeeltä käynnistyksen yhteydessä.
• Tarttuu jokaiseen kirjoitussuojaamattomaan levykkeeseen.
• Tarttuu levykkeen käynnistyslohkoon tai osiotaulukkoon.
• Suojaudutaan poistamalla koneen käynnistyminen levykkeeltä BIOSista.
• Levykkeet kirjoitussuojattuina koneeseen.

Troijan hevoset

• Leviävät vaarattoman näköisten tiedostojen mukana.
• Eivät varsinaisesti tartuta muita tiedostoja.
• Pyrkivät saamaan oman koodinsa ajettavaksi.
• Tutkitaan huolellisesti kaikki vaarattomankin näköiset tiedostot.
• Tietoturvallisuuden täydellinen menettäminen.