Apple on julkaissut päivityksiä, jotka korjaavat useita haavoittuvuuksia muun muassa iOS- ja Mac OS X -käyttöjärjestelmistä ja Safari -selaimesta.

Apple on julkaissut päivityksiä seuraaviin ohjelmistoihin ja käyttöjärjestelmiin:

iOS 8.3

iOS-käyttöjärjestelmän päivitys korjaa 58 haavoittuvuutta. Vakavimmat näistä voivat aiheuttaa hyökkääjän haluaman mielivaltaisen ohjelmakoodin suorittamisen käyttöjärjestelmässä.

Apple TV 7.2

Apple TV-käyttöjärjestelmässä korjattiin 39 haavoittuvuutta. Vakavimmat haavoittuvuudet mahdollistavat mielivaltaisen ohjelmakoodin suorittamisen korotetuilla käyttöoikeuksilla käyttöjärjestelmässä.

OS X Yosemite 10.10.3 ja suojauspäivitys 2015-004

OS X-käyttöjärjestelmän päivitys korjaa 79 haavoittuvuutta. Vakavimmat mahdollistavat mielivaltaisen ohjelmakoodin suorittamisen korotetuilla käyttöoikeuksilla käyttöjärjestelmässä.

Xcode 6.3

Päivitys korjaa Xcode-ohjelmistokehitysympäristössä haavoittuvuuden Clang- ja Swift-ohjelmistoissa.

Safari 8.0.5, Safari 7.1.5, ja Safari 6.2.5

Safari-päivitykset korjaavat kymmenen haavoittuvuutta, joista vakavimmat mahdollistavat mielivaltaisen ohjelmakoodin suorittamisen tai voivat saattaa selaimen palvelunestotilaan.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Työasemat ja loppukäyttäjäsovellukset
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

iOS ennen versiota 8.3

Apple TV ennen versiota 7.2

OS X Mountain Lion versio 10.8.5 ja sitä vanhemmat versiot, OS X Mavericks versio 10.9.5 ja sitä vanhemmat versiot, OS X Yosemite versiota 10.10.3 aikaisemmat versiot

Xcode ennen versiota 6.3

Safari 8.0.5, Safari 7.1.5 ja Safari 6.2.5 -ohjelmistojen edeltävät versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Käyttöjärjestelmän ja ohjelmistojen päivitysten asentaminen valmistajan ohjeiden mukaisesti.

Lisätietoa:

•  
•  
• https://support.apple.com/en-us/HT201222
• https://support.apple.com/en-us/HT204658
• https://support.apple.com/en-us/HT204659
• https://support.apple.com/en-us/HT204661
• https://support.apple.com/en-us/HT204662
• https://support.apple.com/en-us/HT204663
•  
•  
• CVE-2013-0118
• CVE-2013-5704 
• CVE-2013-6438
• CVE-2013-6712
• CVE-2014-0098
• CVE-2014-0117
• CVE-2014-0118
•  
•  
• CVE-2014-0207
• CVE-2014-0226
• CVE-2014-0231
• CVE-2014-0237
• CVE-2014-0238
• CVE-2014-2497
• CVE-2014-3478
• CVE-2014-3479
• CVE-2014-3480
•  
•  
• CVE-2014-3487
• CVE-2014-3523
• CVE-2014-3538
• CVE-2014-3569
• CVE-2014-3570
• CVE-2014-3571
• CVE-2014-3572
• CVE-2014-3587
• CVE-2014-3597
• CVE-2014-3668
• CVE-2014-3669
• CVE-2014-3670
• CVE-2014-3710
• CVE-2014-3981
• CVE-2014-4049
• CVE-2014-4380
• CVE-2014-4404
•  
•  
• CVE-2014-4405
• CVE-2014-4670
• CVE-2014-4698
• CVE-2014-5120
• CVE-2014-8275
• CVE-2014-8830
• CVE-2014-9298
• CVE-2015-0204
• CVE-2015-1068
• CVE-2015-1069
• CVE-2015-1070
• CVE-2015-1071
• CVE-2015-1072
• CVE-2015-1073
• CVE-2015-1074
• CVE-2015-1076
• CVE-2015-1077
• CVE-2015-1078
• CVE-2015-1079
• CVE-2015-1080
•  
•  
• CVE-2015-1081
• CVE-2015-1082
• CVE-2015-1083
• CVE-2015-1084
• CVE-2015-1085
• CVE-2015-1086
• CVE-2015-1087
• CVE-2015-1088
• CVE-2015-1089
• CVE-2015-1090
• CVE-2015-1091
• CVE-2015-1092
• CVE-2015-1093
• CVE-2015-1094
• CVE-2015-1095
• CVE-2015-1096
• CVE-2015-1097
• CVE-2015-1098
• CVE-2015-1099
• CVE-2015-1100
• CVE-2015-1101
• CVE-2015-1102
•  
•  
• CVE-2015-1103
• CVE-2015-1104
• CVE-2015-1105
• CVE-2015-1106
• CVE-2015-1107
• CVE-2015-1108
• CVE-2015-1109
• CVE-2015-1110
• CVE-2015-1111
• CVE-2015-1112
• CVE-2015-1113
• CVE-2015-1114
• CVE-2015-1115
• CVE-2015-1116
• CVE-2015-1117
• CVE-2015-1118
• CVE-2015-1119
• CVE-2015-1120
• CVE-2015-1121
• CVE-2015-1122
• CVE-2015-1123
• CVE-2015-1124
•  
•  
• CVE-2015-1125
• CVE-2015-1126
• CVE-2015-1127
• CVE-2015-1128
• CVE-2015-1129
• CVE-2015-1130
• CVE-2015-1131
• CVE-2015-1132
• CVE-2015-1133
• CVE-2015-1134
• CVE-2015-1135
• CVE-2015-1136
• CVE-2015-1137
• CVE-2015-1138
• CVE-2015-1139
• CVE-2015-1140
•  
•  
•  
• CVE-2015-1141
• CVE-2015-1142
• CVE-2015-1143
• CVE-2015-1144
• CVE-2015-1145
• CVE-2015-1146
• CVE-2015-1147
• CVE-2015-1148
• CVE-2015-1149
• CVE-2015-1545
• CVE-2015-1546
•  

Viime viikkojen aikana Kyberturvallisuuskeskus on saanut tietoja sähköpostiviesteistä, joiden avulla on pyritty levittämään kahta eri haittaohjelmaa.

Toinen haittaohjelma on kiristyshaittaohjelma Cryptowall 3.0, joka salaa käyttäjän tietokoneelta, USB-muisteilta ja verkkojaoista löytyvät tiedostot ja vaatii niiden avaamisesta virtuaalivaluutta bitcoineja. Toinen levitetyistä haittaohjelmista on tietovaras Pony/Fareit, joka varastaa käyttäjän koneelta mm. selaimeen tallennettuja salasanoja ja käyttäjän Bitcoin -lompakon, mikäli sellainen löytyy.

Sähköpostiviestien otsikko on ollut mm. muotoa:

• "Order #12345678" (Numero satunnainen 8 numeron sarja),
• "Etunimi Sukunimi - My resume" tai
• "Resume Etunimi Sukunimi"

Sähköpostiviestien liitteenä on ollut .zip -tiedosto, jonka sisällä on ollut otsikon mukaisesti nimetty JavaScript -tiedosto (.js). Mikäli JavaScript -koodin käynnistää, hakee se kuvatiedostoksi (.jpg) naamioituja exe-tiedostoja, jotka ovat todellisuudessa Cryptowall ja Pony/Fareit haittaohjelmapari.

Tuntemattomien liitetiedostojen avaaminen ei ole suositeltavaa.

Kyberturvallisuuskeskus suosittelee varmuuskopioiden ottamista säännöllisin väliajoin ja niiden säilyttämistä erillään. Mikäli Cryptowall on saastuttanut tietokoneen, emme suosittele maksamaan lunnaita, sillä tiedostojen takaisinsaamisesta ei ole takeita.

Lisätietoja:

• http://blog.trendmicro.com/trendlabs-security-intelligence/cryptowall-3-0-ransomware-partners-with-fareit-spyware/
• TTN!: Suomessa liikkuu runsaasti CTB-Locker-haittaohjelmaa - Älä avaa epäilyttäviä sähköpostiliitteitä
• TTN!: Tiedostot salaavaa haittaohjelmaa levitetty sähköpostiviestein.

Teollisuuden ja kotien automaatiojärjestelmiä näkyy yhä enemmän suojaamattomina internetissä. Tietoturvan yleiskäytännöt ja -periaatteet eivät kaikilta osin päde automaatiojärjestelmissä, sillä ne ovat herkkiä kokonaisuuksia. Lisäksi automaatiotoiminnan vaikutukset fyysiseen maailmaan vaativat laajaa riskien arviointia.

Automaatiojärjestelmällä tarkoitetaan henkilöstöstä, laitteistosta ja tietokoneohjelmistosta muodostuvaa kokonaisuutta, joka säätelee jotakin fyysisen maailman prosessia tai kerää ja esittää tietoa siitä. Esimerkiksi etäohjattavat ilmalämpöpumput ja hissit kuuluvat näihin. Esineiden internet (englanniksi internet of things) tarkoittaa nykyään pitkälti samaa.

Suurin lisähyöty automaatiojärjestelmistä saadaan kytkemällä ne tietoverkkoihin, jolloin niitä voidaan etähallita ja niiden toiminnasta voidaan saada tosiaikasta tietoa. Samalla verkkoon kytkeminen altistaa järjestelmät tietoturvauhkille. Eräs tärkeimpiä suojauskeinoja onkin harkita tarkkaan, tarvitseeko laitetta kytkeä tietoverkkoon ja miten kytkentä tehdään.

Tämän kuukauden teemana on automaatiojärjestelmien ja esineiden internetin tietoturvallisuus. Tässä artikkelissa luodaan yleiskatsaus erilaisiin automaatiojärjestelmiin ja niitä kohtaaviin kyberuhkiin. Tulevissa artikkeleissa perehdytään esimerkiksi suojaamisen periaatteisiin.

Onko automaatio kotona?

Monia kodin älylaitteita voi pitää automaatiojärjestelminä. Esimerkiksi älyjääkaappi, jonka sisällön voi tosiaikaisesti tarkastaa ja lämpötilaa säätää kännykällä, automatisoi joitakin toimenpiteitä, jotka aiemmin on pitänyt tehdä käsin. Valitettavasti jotkin laitteista on toteutettu tietoturvattomasti: maailmalta on jo raportoitu tapauksia, joissa kodin älylaitteita on kaapattu osaksi bottiverkkoja.

Roskapostia internetiin lähettävä jääkaappi on kenties vielä huvittava esimerkki, mutta kotiautomaatiolla voi saada pahaakin jälkeä aikaan. Verkkohyökkääjät ovat käyttäneet esimerkiksi ilmalämpöpumppuja ja hissejä palvelunestohyökkäyksissä verkkosivustoja vastaan. Maailmalla älykoti on myös aiheuttanut itse itselleen palvelunestotilan.

Huonosti suojattuja kodin automaatiojärjestelmiä valvomalla murtomiehet voivat valita kohteikseen asuntoja, joiden asukkaat ovat esimerkiksi matkoilla. Varsinkin murtohälyttimet ovat usein kytketty internetiin joko suoraan tai matkaviestinverkon kautta. Jos järjestelmä vastaa tunnistamattomien käyttäjien internetistä lähettämään liikenteeseen, murtomiehet saattavat pystyä päättelemään rakennuksen sijainnin ja sen, onko ketään parhaillaan kotona. Huonosti suojattu murtohälytysjärjestelmä voidaan saada epäkuntoon lähettämällä siihen sopivalla tavalla muotoiltua verkkoliikennettä.

Autojen hallintajärjestelmien kaappauksia on jo pitkään demonstroitu laboratorio-olosuhteissa. Esimerkiksi BMW joutui hiljattain tekemään pikakorjauksen kalleimpien malliensa lukkoja ohjaavaan järjestelmään.

Rakennusten järjestelmät

Rakennusautomaatiojärjestelmällä tarkoitetaan rakennuksen laitteita ohjaavaa tietotekniikkaa. Tyypillisesti järjestelmät ohjaavat ilmanvaihtoa, lämmitystä, valaistusta tai automaattista kulunvalvontaa. Perinteisen tietoverkkoihin kytkemättömän rakennusautomaation tietoturvallisuudesta voi huolehtia pelkällä tilaturvallisuudella. Jos järjestelmä kytketään verkkoon, syntyy kyberuhkille altista pintaa. Rakennusautomaatiolaitteita käytetään erilaisissa rakennuksissa omakotitaloista suuriin liikekiinteistöihin.

Mahdollisia hyökkääjiä voivat rakennusautomaatiojärjestelmissä kiinnostaa paitsi fyysisen murron valmistelussa hyödylliset tiedot myös järjestelmän käyttö tietomurron välietappina. Rakennusautomaatiojärjestelmä, joka on suoraan kytketty rakennuksessa toimivan yrityksen muihin tietojärjestelmiin, on usein tietoturvan heikko kohta. Pelkällä rakennusautomaation häirinnälläkin voi saada aikaan vakavaa haittaa. Esimerkiksi jatkuva jäähdytys on elintärkeää tietokonekeskusten toiminnalle.

Teollisuuden ja logistiikan automaatio on kriittistä infrastruktuuria

Teollisuudessa automaatiojärjestelmät parantavat työn tuottavuutta. Tietokoneet voidaan laittaa tekemään toistuvat työt, joissa ihmisten tarkkaavaisuus herpaantuu helposti. Automaation avulla tuotantoprosesseja voidaan järjestää tavalla, joka ei onnistuisi, jos prosesseja pyörittäisivät vain ihmiset. Esimerkiksi valmiiden tuotteiden ja puolivalmisteiden välivarastot ovat nykyään olemattoman pieniä, kun automaatiojärjestelmät ohjaavat tuotantoa ja tavaraa oikeaan aikaan oikeaan paikkaan. Logistiikka on nyky-yhteiskunnan elintärkeä toiminto ja sen toiminta riippuu automaatiojärjestelmien luotettavasta toiminnasta.

Teollisuuden automaatiojärjestelmät ovat olleet osa yritysten tietojärjestelmiä jo parikymmentä vuotta. Yhdistäminen tehdään nykyään usein internetissä käytetyillä tekniikoilla. Se toisaalta helpottaa järjestelmien toteutusta, mutta myös niitä vastaan hyökkäämistä ja mahdollistaa väärinkäytöksiä.

Teollisuusautomaatiojärjestelmiäkin vastaan on tehty kyberhyökkäyksiä. Joulukuussa 2014 paljastui kyberhyökkäys saksalaiseen terästehtaaseen. Hyökkäyksen seurauksena tehtaan tuotanto häiriintyi niin, että tehtaan masuunit täytyi hätäsammuttaa, mikä aiheutti isot vahingot tehtaalle.

Suoran vahingon aiheuttaminen on vain yksi kyberhyökkäysten mahdollinen tavoite. Teollisuusautomaatiojärjestelmät sisältävät myös paljon luottamuksellista tietoa, joka voi olla arvokasta teollisuusvakoilijalle. Jo pelkkä automaatiojärjestelmän rakenteen kartoitus voi antaa toiselle yritykselle hyödyllistä tietoa kilpailijansa toiminnasta.

Teollisuusautomaation tietoturvallisuuden erityispiirteitä ovat:

• Monien häiriöiden välittömät vakavat vaikutukset fyysiselle maailmalle. Väärin toimiva automaatiojärjestelmä voi aiheuttaa peruuttamatonta vahinkoa esimerkiksi ympäristölle.
• Automaatiojärjestelmien pitkä elinkaari ja erikoisohjelmistot. Vanhojen laitteiden ja ohjelmistojen kehityksessä ei ole otettu huomioon nykyaikaisen verkottuneen maailman asettamia tietoturvavaatimuksia.
• Tietoturvan toteuttamiseen tarvittavat lisäjärjestelyt vaativat soveltamista suojattavassa järjestelmässä. Se voi väärin tehtynä vaarantaa suojattavan järjestelmän toimintavarmuutta.
• Erilaiset käyttäjäryhmät ja käyttötavat. Automaatiojärjestelmien toiminta on olennainen osa koko työyhteisön toimintaa. Sen muutokset on harkittava tarkkaan.

Automaatiojärjestelmien tietoturvallisuuden erityispiirteenä voidaan pitää myös sitä, että ne on käsitetty suljetuiksi järjestelmiksi. Siksi tietoteknisiä hyökkäyksiä niitä vastaan ei ole pidetty todennäköisinä. Näin on ehkä ollut järjestelmien valmistuessa, mutta niitä on myöhemmin kytketty avoimiin tietoverkkoihin esimerkiksi toiminnanohjauksen ja alihankkijoiden käytön helpottamiseksi. Tietoturvallisuuden varmistaminen on usein jäänyt suunnittelussa toimivuuden jalkoihin.

Verkkoyhteyden puuttuminen ei toisaalta estä kyberhyökkäyksiä. 1980-luvulla haittaohjelmat levisivät lähes yksinomaan levykkeillä ja Stuxnet-matokin ilmeisesti saavutti internetistä eristetyn kohteensa USB-muistitikulla, jonka laitoksen työntekijä toi mukanaan.

Lisää aiheesta

• Verkkoon kytkeytyvien laitteiden tietoturvassa on usein puutteita (Tietoturva nyt! 10.3.2014)
• Automaation tietoturvaa kehitetään yhdessä. Huoltovarmuuskeskuksen Varmuuden vuoksi -blogi 13.2.2015.
• Tietoturvaa huoltovarmuuskriittisille yrityksille. Kooste automaatiota hyödyntävälle teollisuudelle suunnattujen tietoturvaprojektien tuloksista. Huoltovarmuuskeskus. Oulu, 2013
• Pasi Ahonen. TITAN-käsikirja. VTT:n päätuloksia Tekesin Turvallisuusohjelman TITAN-projektissa. Espoo, 2010. VTT Tiedotteita – Research Notes 2545.