Verkkorikollisuus eri muodoissa jatkaa kasvuaan. Hyvän kasvualustan ilmiölle omalta osaltaan tarjoaa ns. pimeä verkko (dark web), jossa kysynnän ja tarjonnan on mahdollista kohdata anonyymisti. Verkkorikollisen ei tarvitse enää olla tietoteknisesti taitava, sillä verkkorikoksissa tarvittavaa osaamista ja välineitä voi nykyään ostaa palveluna.

Pimeä verkko tarjoaa alustan

Pimeällä verkolla (dark web) tarkoitetaan verkkoa, joka toimii julkisen internetin rakenteissa, mutta johon pääsy edellyttää erityisiä toimia. Tunnetuin esimerkki lienee Tor-verkko, joka on suunniteltu mahdollistamaan anonyymi liikennöinti liikenteen sisältö salaamalla ja reitittämällä liikenne useiden eri solmujen kautta. Tor-verkon kenelle tahansa tarjoama anonyymiys onkin huomattu myös verkkorikollisten parissa. Pimeään verkkoon perustetut palvelut, kuten keskustelufoorumit, tarjoavat omalta osaltaan alustan, jossa myös esimerkiksi rikollisten tarpeiden kysyntä ja tarjonta voivat kohdata.

Haittaohjelmat ja hyökkäykset anonyymisti palveluna

Kiristyshaittaohjelmat, keyloggerit ja muut tietoja varastavat haittaohjelmat, tietojenkalastelusivustot ja -roskapostit, haitalliset roskapostit, roskapostin levittäminen ja palvelunestohyökkäykset ynnä muut ovat yhä enemmän "tuotteita tai palveluita", joita tänä päivänä on tarjolla. Verkkorikollisuuden ympärillä onkin havaittavissa murrosta tai vähintäänkin lievää kääntymistä suuntaan, jossa rikollisen ei tarvitse itse osata koodata omaa haittaohjelmaa, pystyttää omia palvelimia tarjoamaan haitallista sisältöä, murtautua tuhansiin sähköpostitileihin, tai kaapata tuhansia tietokoneita bottiverkon jäseniksi. Näitä saa nykyään palveluna.

Tilanne hyödyttää molempia osapuolia. Osaavan koodaajan tarvitsee toteuttaa sopiva haittaohjelma ja myydä se. Osaavan rikollisen tarvitsee miettiä, minkälaisista palasista oma operaatio koostuu ja ostaa sopivat palaset. Kaupankäynti tapahtuu anonyymisti ja maksut hoidetaan virtuaalivaluutalla, jolloin jälkien yhdistäminen on hyvin vaikeaa tai jopa mahdotonta.

Palvelinylläpitoa anonyymisti - Bulletproof Hosting (bphs)

Verkkorikolliset tarvitsevat palveluita esimerkiksi palvelinten ylläpitoon liittyen siinä missä monet muutkin tahot. Tämä tarve onkin synnyttänyt markkinat niin kutsutuille Bulletproof hosting -palveluille. Kyseisiin palveluihin keskittyneet palveluntarjoajat eivät tiedä tai eivät ainakaan paljasta palvelua ostavasta tahosta mitään tietoja. Usein palvelu maksetaan virtuaalivaluutalla. Palveluntarjoaja ei myöskään välttämättä välitä siitä, mitä sisältöä maksava asiakas palvelussa ylläpitää ja joissain tapauksissa jopa takaa sen, että erilaiset viranomaisten tai operaattoreiden tekemät alasottopyynnöt eivät vaikuta tilanteeseen millään tavalla. Näitä palveluita pyöritetäänkin useimmiten sellaisissa maissa, joissa löyhempi lainsäädäntö mahdollistaa sen, että viranomaisilla ei ole keinoja puuttua tilanteeseen.

Esimerkkejä haitallisista palveluista:

• Haittaohjelmainfrastruktuuri
  • Komentopalvelimet
  • Haittaohjelmien jakeluun tarkoitetut sivustot (EK Landing site)
• Massaroskapostituspalvelut
• Tietojenkalastelusivustot
• Keskustelupalstat ostamiseen ja myymiseen
• Reaaliaikaiseen viestintään tarkoitetut palvelut
• Muulien rekrytointisivut

Kyberturvallisuuskeskus seuraa ja reagoi aktiivisesti

Viestintäviraston Kyberturvallisuuskeskus seuraa ja reagoi esimerkiksi suomalaisille suunnattuihin tietojenkalastelukampanjoihin aktiivisesti mm. lähettämällä alasottopyyntöjä tietojenkalastelusivustoista sekä tiedottamalla tilanteesta. Kyberturvallisuuskeskus on myös yhteydessä operaattoreihin ja palveluiden ylläpitäjiin, mikäli saamme tietoomme havaintoja murretuista sivustoista, joita käytetään esimerkiksi haittaohjelmien levittämiseen.

Epäilyttävistä sähköposteista tai sivustoista voikin hyvin ilmoittaa Kyberturvallisuuskeskukselle osoitteeseen cert@ficora.fi tai yhteydenottolomakkeen avulla.

Lisätietoja

http://www.trendmicro.com/vinfo/us/security/special-report/cybercrime-and-the-deep-web/global-cybercrime-map/

http://yle.fi/uutiset/valtakunnansyyttaja_kansainvalinen_malli_rantautui_suomeen__verkosta_saa_rikoksia_alihankintana/8707193

https://en.wikipedia.org/wiki/Dark_web

https://fi.wikipedia.org/wiki/Tor_(verkko)

Drupal-julkaisujärjestelmän 6.38, 7.43 ja 8.0.4 päivitykset korjaavat lukuisia haavoittuvuuksia, jotka voivat mahdollistaa esimerkiksi luvattoman tiedostojen latauksen, palvelunestotilan aiheuttamisen, uudelleenohjauksen manipuloinnin, HTTP-otsakkeiden manipuloinnin tai XML-RPC-järjestelmän väärinkäytön.

Drupal-kehitysryhmä on antanut haavoittuvuuksille tunnisteen: SA-CORE-2016-001. Haavoittuvuuksille ei ole vielä saatavissa CVE-numeroita.

Drupal 6 version elinkaari (EOL) loppui 24.2.2016, ja näin ollen julkaistu päivitys 6.38 jää version viimeiseksi päivitykseksi. Uusien haavoittuvuuksien ilmaantuessa Drupal 6 versiolle, ei uusia päivityksiä enää julkaista. Kaikki Drupal 6 -versiota käyttävät sivustot tulisi päivittää mahdollisimman nopeasti uudempiin versioihin.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Drupal core 6.x ennen ohjelmistoversiota 6.38
• Drupal core 7.x ennen ohjelmistoversiota 7.34
• Drupal core 8.x ennen ohjelmistoversiota 8.0.4

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmistot versioihin Drupal:n kehittäjien ohjeiden mukaisesti:

• Drupal core 6.x versioon 6.38
• Drupal core 7.x versioon 7.34
• Drupal core 8.x versioon 8.0.4

Lisätietoa:

• https://www.drupal.org/SA-CORE-2016-001
• https://www.drupal.org/drupal-8.0.4

Kyberturvallisuuskeskus on saanut useita ilmoituksia tietojenkalastelusta verottajan nimissä. Sähköpostiviestien teemana on veronpalautus ja lähettäjäksi on väärennetty @vero.fi -päätteinen osoite.

Huijausviestien liitteenä on html-lomake, jonka avulla lomakkeelle täytetyt tiedot lähetetään eteenpäin rikollisille. Alla esimerkit huijausviestistä ja lomakkeesta:

Esimerkki huijausviestistä:

-------- Alkuperäinen viesti --------
Aihe: Vahvista veronpalautuksen
Päiväys: 20.2.2016 20:12
Lähettäjä: Verohallinto<asiakkaat@vero.fi>
Vastaus osoitteeseen: asiakkaat@vero.fi

VERO.FI - VEROHALLINTO
Kun viimeinen vuotuinen laskelmat oman finanssipolitiikan toimintaa,
totesimme, että olet oikeutettu saamaan veronpalautus
223.56 EUR.
Voit käyttää veronpalautuksen, noudata ohjeita palje:
  - Lataa Veronpalautus sähköpostin liitteenä
  - Avaa selaimessa
  - Seuraa näytön ohjeita
HUOMAUTUS: Palautus voi viivästyä eri syistä, sillä exemple
lähettämällä virheellinen kirjaa tai soveltamalla jälkeen
määräajan.
Älä vastaa tähän sähköposti, koska tämä on vain ilmoitus. Mail
lähetetään tähän osoitteeseen ei voida vastata.

Kuva: