ÅRSÖVERSIKT

Transkript

1 ÅRSÖVERSIKT

2 CERT-FI:s årsöversikt 2011 Sammanfattning Året 2011 präglades av flera dataintrång som fick stor publicitet. I anslutning till dem spreds stulen information offentligt på internet. Såväl användarnamn och lösenord som andra uppgifter i inhemska och utländska tjänster har publicerats i stor skala på diskussionsforum och i fildelningstjänster. Den datastöld som riktades mot Sonys tjänster kan betraktas som det största dataläckaget någonsin. Intrånget orsakade bolaget betydande ekonomiska förluster. Certifikatsystemets tillförlitlighet har äventyrats till följd av dataintrång och försök till dataintrång hos företag som producerar rotcertifikat. Dessa fall har lett till att man fäst uppmärksamhet vid nivån av informationssäkerheten hos certifikatföretagen och vid systemets svagheter i allmänhet. På grund av ett fel som en operatör begick kom hemliga mobiltelefonnummer i offentlig distribution under våren och sommaren. Till följd av felet fanns nummer som var avsedda att vara hemliga tillfälligt i Finlands Nummertjänsts riksomfattande databas. Felet omfattade cirka DNA-kunder som bytt abonnemangstyp mellan den 10 april och den 28 juni. informationssäkerhetsbolaget RSA:s SecurID-anordningar blev stulna i ett dataintrång i bolaget. Dessa produkter används i stor omfattning också i Finland. RSA har inte exakt berättat vilka uppgifter som blev stulna. Man antar att dessa uppgifter gör det möjligt att kopiera anordningens funktionalitet och använda den kopierade anordningen för inloggning. På grund av händelsen har RSA ersatt kundernas SecurID-anordningar med nya. Finländska banker har allt oftare funnits i definitionsuppgifterna för skadliga program som kapar bankförbindelser. Finländska bankers kunder utsattes för svindelförsök av många olika slag, och i samband med dem användes skadliga program och även falska webbplatser. Särskilt attacker av man-in-the-middletyp och program som kapar webbläsarförbindelser blev vanligare även i Finland. De skadliga programmen har i regel varit olika versioner av programvarufamiljen Zeus. Brister i näthandelsapplikationernas implementationer har i vissa fall möjliggjort missbruk, där beställaren har kunnat låta påskina att han eller hon har betalat de beställda produkterna. CERT-FI har samordnat åtgärder för att reparera flera programvarusårbarheter. Mest publicitet fick de metoder att passera skydden som bolaget Stonesoft hittade. År 2011 ordnade CERT-FI två möten för finländska sårbarhetsforskare. De krypteringsmetoder för samtal och datatrafik som används i andra generationens gsm-mobiltelefonnät kan inte längre betraktas som helt trygga. Avlyssning av samtal eller användning av en annan persons identitet i nätet kräver fortfarande sakkunskap, men de är numera tekniskt möjliga att utföra med hjälp av allmänt tillgängliga redskap. Det är möjligt att förbättra säkerheten inom GPRS-datatrafiken med hjälp av krypteringsmetoder på applikationsnivå och inom samtalstrafiken genom att gå över till 3G-nätet. Uppgifter i anslutning till stark identifiering i det amerikanska 2

3 Omfattande dataintrång i finländska och utländska tjänster År 2011 gjordes flera dataintrång som fick stor publicitet. I anslutning till dessa dataintrång stals användares personuppgifter, kreditkortsuppgifter och konfidentiella dokument. Det stora antalet lyckade dataintrång har visat att man inte fäster tillräcklig uppmärksamhet vid att implementera och driva webbtjänster på ett säkert sätt. Förövarna lyckas ofta stjäla uppgifter från systemen med hjälp av allmänt tillgängliga program som söker och utnyttjar sårbarheter. Utifrån de uppgifter som förövarna har publicerat kan man dra slutsatsen att användarnas lösenord ofta är alltför lätta att bryta. Dessutom används samma lösenord i olika tjänster, vilket flerdubblar risken för utnyttjandet av de stulna uppgifterna. Dataintrången väckte en debatt om huruvida användarnamn och lösenord är en tillräckligt säker metod för inloggning på tjänsterna. Det finns emellertid inget alternativ till lösenord som skulle kunna användas i tillräckligt stor omfattning. Under året publicerade CERT-FI flera Tietoturva nyt!- artiklar bland annat om hur man väljer ett tryggt lösenord samt anvisning 1/ om hur man väljer programvaruplattform för en webbtjänst och driver tjänsten på ett säkert sätt. Flera inhemska tjänster utsattes för dataintrång Inhemska webbtjänster utsattes för dataintrång särskilt under årets senare hälft. Uppgifter som blivit stulna i anslutning till dataintrången publicerades på internet på diskussionsforum och webbplatser för nedladdning av filer. I oktober publicerades uppgifter som gällde medlemsansökningar till en gruppering vid namn "Kansallinen vastarinta" (Nationellt motstånd). De uppgifter man kom över genom dataintrånget innehöll namnet, åldern och kontaktuppgifterna för personer som ansökt om medlemskap. I november publicerades på ett finländskt diskussionsforum en länk till en fil som innehöll personliga uppgifter om cirka finländare. Uppgifterna bestod av personernas personbeteckning, fullständiga namn, hemadress, e- postadress och telefonnummer. Listan hade sammanställts från flera olika källor. Det är inte helt säkert hur och när dataintrången gjorts. Polisen undersöker fallet. I november publicerades en lista på e- postadresser till över en halv miljon finländare. En del av adresserna på listan har sannolikt inte använts på en lång tid. Listan är troligen sammanställd under en längre tid från flera olika källor. Användardatabasen för diskussionsspalten helistin.fi, som tillhör webbplatsgruppen Terve, hamnade i fel händer vid ett dataintrång. Användardatabasen innehöll över användares användarbeteckning, lösenord och e- postadress. Med samma koder kan man också logga in på andra tjänster som Darwin Media driver: tohtori.fi, poliklinikka.fi, kimallus.fi, huoltamo.com, terve24.fi, mustapippuri.fi, terkkari.fi och verkkoklinikka.fi. Utöver dessa fall publicerades också användarnamnen, lösenorden och e- postadresserna till användare av tjänsterna napsu.fi och netcar.fi i en fildelningstjänst. Listan innehöll över användares uppgifter. Motsvarande användaruppgifter för webbplatsen netcar.fi publicerades också på webben. Listan innehöll över användares användarbeteckning, lösenord och e- postadress. Okända gärningsmän 1 En gruppering som uppträder under namnet Anonymous Finland har anmält 3

4 sig som förövare till flera dataläckage och dataintrång. Man känner dock inte exakt till vilka förövarna är. Åtminstone två olika källor har meddelat att de agerar i Anonymous-gruppens namn. Grupperingarna brukar publicera Twittermeddelanden och längre texter, exempelvis listor med användarbeteckning och andra meddelanden, i olika fildelningstjänster. Utöver dataintrång och dataläckage har man också klottrat ned flera webbplatser genom att lägga till obehörigt innehåll i dem. För sammanslutningsabonnenter är det frivilligt att anmäla dataintrång. Företag och sammanslutningar som lämnat televerksamhetsanmälan är skyldiga att anmäla kränkningar av datasäkerheten och attackförsök som riktats mot dem. CERT-FI har också fått meddelanden om andra listor på användarnamn och lösenord som publicerats på nätet. I flera fall har listorna härstammat från tidigare dataintrång. Det är sannolikt att liknande listor även publiceras i fortsättningen. Efter jul publicerades en lista på namn, som också innehöll kreditkortsuppgifter. Man kunde dock snart konstatera att listan var påhittad. Dataintrången hos Sony berörde också finländare Av de dataintrång som riktades mot utländska tjänster var det dataintrånget i olika tjänster hos Sony som fick mest publicitet. Effekterna av dessa dataintrång berörde också tjänsternas finländska användare. Ett dataintrång gjordes i tjänsten Sony PlayStation Network före påsken, och i samband med det stals uppgifter om 77 miljoner användare av speltjänsten PSN. Ungefär vid samma tidpunkt gjordes också ett dataintrång i webbspelstjänsten Sony Online Entertainment, där gärningsmännen kom över uppgifter om 24 miljoner användarnamn. I dataintrången som riktade sig mot Sony stals sammanlagt uppgifter om mer än hundra miljoner användare, vilket gör fallet till det största kända dataintrånget hittills vad gäller mängden användaruppgifter. Enligt Sony finns det cirka användare av tjänsten Playstation Network i Finland. I slutet av april publicerade CERT-FI varning 2/2012 på grund av den försämrade informationssäkerheten hos RSA:s SecurIDprodukter 2. Till följd av den publicitet som dataintrången fick utsattes många av Sonys övriga webbtjänster och webbsidor för olika attacker. Av dessa lyckades nästan 20, och bytet var uppgifter om användare. Enligt Sony har dataintrången orsakat förluster på totalt 170 miljoner dollar. Enligt sakkunniga skulle de flesta attacker ha kunnat avvärjas med hjälp av sedvanlig informationssäkerhetspraxis. Hemliga telefonnummer publicerades av misstag Hemliga telefonnummer för DNA:s kunder kom till följd av ett fel vid systemuppdatering i offentlig distribution på våren och sommaren. Felet omfattade en del av företagets kunder som bytte abonnemangstyp mellan den 10 april och den 28 juni. Under denna tidsperiod gjordes över abonnemangsbyten. På grund av felet fanns abonnemangsnummer som var avsedda att vara hemliga tillfälligt i Finlands Nummertjänsts riksomfattande databas, som nummertjänstföretagen använder för att uppdatera sina egna uppgifter. Efter att felet hade observerats gjorde DNA de offentliggjorda uppgifterna åter hemliga. Alla kunder vilkas uppgifter kunde ha ändrats i anslutning till fallet fick ett brev som informerade om händelsen. Dessutom informerade DNA Kommunikationsverket om saken i 2 4

5 enlighet med lagen om dataskydd vid elektronisk kommunikation. Direktiven för dataskydd vid elektronisk kommunikation ändrades våren 2011 på så sätt att teleföretagen också ålades skyldighet att anmäla kränkningar av datasäkerheten som gäller personuppgifter inom televerksamhet. Reformen har ingen betydande inverkan på situationen i Finland eftersom denna anmälningsskyldighet redan ingick i den gällande allmänna anmälningsskyldigheten. Säkerheten i GSM-nätet är hotat Bristerna i krypteringsmetoden A5/1, som används i gsm-nätet, har varit kända sedan flera år, men med hjälp av de nya metoder som offentliggjorts under den senaste tiden kan krypteringen brytas mycket snabbare än tidigare. Svagheterna i krypteringsmetoden kan utnyttjas exempelvis för att få tag i samtalets krypteringsnyckel. Med hjälp av nyckeln kan man dekryptera samtalet och uppträda i nätet som den berörda användarens terminalutrustning. Detta gör det möjligt att ringa samtal eller skicka sms på ett sådant sätt att de ser ut att komma från en annan persons telefonnummer. Dekryptering av samtal och uppträdande med ett annat abonnemangs identitet kräver goda kunskaper om gsm-tekniken och redskapen. Dessutom måste den som gör attacken befinna sig i närheten av den användare som är mål för attacken. Flera lösningar för att åtgärda svagheterna i nätverkets skydd har lanserats, och en del av dem har också standardiserats. Alla förslag förverkligas sannolikt inte i de finländska operatörernas nätverk, eftersom operatörerna håller på att övergå till 3Gnätverk, som inte kan avlyssnas med de metoder som är kända i dag. Forskningsresultat om informationssäkerheten i GPRS-datatrafiken och Tetranäten har också publicerats under Krypteringsalgoritmen GEA/1, som används för att skydda GPRS-datatrafiken i gsm-nätverk, har delvis kunnat brytas algebraiskt. Det är rekommenderat att skydda krypteringen av GPRS-trafiken på applikationsnivå eller med krypterade VPN-förbindelser eftersom en del av operatörerna inte använder någon kryptering alls i GPRS-trafiken. Utländska mobiltelefonoperatörer använde uppföljningsverktyg Vissa internationella mobiltelefonoperatörer har medgett att de installerat uppföljningsverktyget Carrier IQ i kundernas terminalutrustningar. Programvaran har använts åtminstone i utrustningar med operativsystemen Android och Apple ios. Med hjälp av applikationen kan operatören bland annat samla in uppgifter om mobiltelefonens prestanda. I vissa fall har de rapporter som skickats från telefonen också innehållit uppgifter som användaren avsett vara hemliga, som smsmeddelanden, tangenttryck och bläddringshistoria. Efter att användningen av denna programvara uppdagades har en del operatörer meddelat att de avstår från att använda den. Apple har dessutom meddelat att bolagets operativsystem ios 5 inte längre innehåller programkoden för Carrier IQ. De finländska mobiltelefonoperatörerna har anmält att de inte använder applikationen. Det finns inte heller någon version av programmet för telefoner som tillverkats av Nokia. Certifierarnas trovärdighet försämrades till följd av dataintrång Förtroendet för certifikatsystemet har minskat under 2011 på grund av det stora antalet dataintrång och försök till dataintrång som fick stor publicitet. Användarbehörigheter som gärningsmännen fick har använts för att skapa 5

6 servercertifikat i tredje parters namn utan tillstånd. Programvaruleverantörer har varit tvungna att publicera uppdateringar av sina produkter eftersom man vid planeringen av certifikattekniken inte har beaktat situationer där hierarkins högsta nivå, dvs. rotcertifikatet, blir opålitlig. Det nederländska bolaget DigiNotars system utsattes för dataintrång sommaren Gärningsmannen lyckades skapa flera servercertifikat till Googles tjänster. En aktör som uppträder under signaturen Comodohacker tog ansvaret för en attack mot en certifierare vid namn Comodo, som skedde tidigare i mars, och ansvaret för ett misslyckat dataintrångsförsök hos bolaget Globalsign. Med hjälp av certifikat kan man bland annat kontrollera webbplatsens äkthet. Certifikat används också för att kontrollera äktheten av programvaror och programvaruupdateringar och för att identifiera personer. Programvaruunderskrifternas betydelse ökar bland annat i takt med att operativsystemet Windows 7 och applikationer för datormobiler blir vanligare. Identifieringen bygger på en kedja av förtroende, där programvarorna litar på ett begränsat antal rotcertifikat och vidare på certifikat som beviljats av innehavare till rotcertifikat. Av detta följer en av certifikatsystemets största svagheter: det finns ingen hierarki mellan rotcertifikaten, utan varje rotcertifikat duger som undertecknare av alla webbplatsers certifikat Även om tjänsteleverantören skaffade certifikatet från en viss certifierare, är vilket som helst certifikat som beviljats av en certifierare som klassificerats som pålitlig lika värt med det rätta certifikatet. För att tas med på rotcertifikatförteckningen ska certifieraren genomgå en informationssäkerhetsauditering, vilket dock inte har garanterat ett tillräckligt högt informationsskydd. Med ett falskt certifikat kan man utföra en attack av typen man-in-the-middle (MiTM), dvs. överta förbindelsen mellan en tjänst och dess användare. Då måste attackeraren ha kontroll över nätinfrastrukturen eller namnservern eller alternativt måste attackeraren befinna sig i samma lokalnät som offret. Till exempel öppna WLAN-nät kan utgöra en lämplig miljö för attacker. Användare kan även luras till en adress som leder till en falsk webbplats och ett falskt certifikat genom att manipulera namntjänsten. På webbplatsen som verkar äkta kan man sedan fiska efter användaruppgifter, som användar-id och lösenord. Forskare i informationsskydd och programvaruutvecklare har utvecklat många parallella lösningar för att förbättra certifikatens säkerhet. En del av lösningarna är emellertid relativt svåra att använda och kräver sakkunskap av användarna. RSA SecurID-anordningar byttes ut på grund av dataintrång Informationssäkerhetsbolaget RSA meddelade i mars att bolaget varit föremål för dataintrång. Dataintrånget gjordes genom att skicka en Excel-fil som innehöll skadlig programkod till ett antal anställda hos RSA. Filen innehöll en metod för utnyttjande av en sårbarhet i en programvara som var avsedd för visning av Adobe Flash-filer. Gärningsmännen fick på detta sätt tag i användarkonton som de använde för att stjäla data från RSA:s system. RSA har inte exakt berättat vilka uppgifter som blev stulna, men har medgett att uppgifterna gällde SecurID-produkterna. I offentligheten har framförts antaganden om att förövarna lyckats stjäla de så kallade seed- eller utgångstalsfiler som behövs när SecurID-nyckeltalsgeneratorer tas i användning. Med hjälp av utgångstalen kan man i princip skapa kopior av nyckeltalsgeneratorer som är i användning. SecurID-nyckeltalsgeneratorer används för stark identifiering av användare vid inloggning på organisationers tjänster. Anordningen skapar en ny sifferserie exempelvis en gång per minut. 6

7 För att logga in på ett system som är skyddat med SecurID ska användaren ange sin användarbeteckning, sitt personliga lösenord och en varierande sifferserie som generatorn visar. Det finns cirka 40 miljoner SecurID-anordningar i användning runt om i världen. Ytterligare cirka 2,5 miljoner användare använder en applikationsbaserad lösning. På grund av dataintrånget meddelade RSA att bolaget ersätter alla SecurIDnyckeltalsgeneratorer som tillverkats före dataintrånget med nya anordningar. För en del av kunderna har utbytesprocessen varit avgiftsfri, och kundföretagen har inte behövt vidta åtgärder för att processen ska inledas. Vid årsskiftet hade så gott som alla finländska kunder som begärt byte av sin nyckeltalsgenerator fått en ny anordning. Kostnaderna för bytesprocessen beror bland annat på antalet SecurIDanordningar som är i användning och på anordningarnas ålder. Enligt en e- postenkät som CERT-FI skickade till aktörer inom kritisk infrastruktur i augusti höll över hälften av dem som besvarade enkäten på med att byta SecurIDanordningar mot nya eller hade redan gjort det. Var femte svarande meddelade att de inte tänker byta anordningar eller har redan övergått till en alternativ teknik. Information som stals vid dataintrånget utnyttjades sannolikt vid ett försök till dataintrång i försvarsindustriföretaget Lockheed-Martins datasystem i slutet av maj. Lockheed-Martin meddelade att bolaget avvärjde försöket. Efter att RSA-dataintrånget blivit offentligt publicerade CERT-FI varning 2/ om SecurID-produkternas försämrade informationssäkerhet. I varningen fanns också anvisningar för organisationer och enskilda företagare som använder SecurID. 3 Finländska nätbankskunder föremål för attacker med skadliga program CERT-FI har under året fått kännedom om flera fall, där finländska datorer har smittats med skadliga program som är riktade mot nätbankskunder. De skadliga programmen har varierat från enkla program som efter inloggningen visar nätfiskesidor till avancerade JavaScriptprogram som fungerar i webbläsaren. Åtminstone en av de skadliga programmen har haft en så kallad saldorättelseegenskap. Programmet har således kunnat räkna saldot på det konto som visas på webbsidan på nytt och gömma de överföringar som gärningsmannen gjort. Till de mer avancerade versionerna av skadliga program hör även program med den så kallade Man-In-The-Middleegenskapen. När användaren loggar in på nätbanken visar det skadliga programmet en ruta där man ber användaren vänta medan "nätbankens säkerhet förbättras". Med hjälp av det skadliga programmet kan gärningsmannen följa med nätbankskundens datakommunikation och använda PIN-koder som nätbankskunden matat in för att bekräfta kontoöverföringar. De observerade skadliga programmen har i regel varit olika versioner av programvarufamiljen Zeus. De skadliga programmens versioner har tidigare varit okända och antivirusprogrammen kände till en början inte igen dem. Antivirusprogramleverantörerna fick emellertid snabbt prover på de skadliga programmen, varefter antivirusprogrammen har känt igen de skadliga programmen. CERT-FI har fått kännedom om olika botnätverk som omfattat finländska nätanvändare och som använt olika versioner av det skadliga programmet Zeus. Adresserna till de datorer som ingår i botnätverket har rapporterats till deras ägares internetoperatörer. Adresserna till botnätens command and control-servrar har i sin tur rapporterats till CERT-FI:s utländska samarbetspartners. 7

8 Nätbankskunder har också utsatts för nätfiske Under årets senare hälft har det också gjorts betydligt fler försök att fiska efter finländska webbanvändares uppgifter än tidigare. Gärningsmännen har till de tänkta offren skickat e-postmeddelanden med en länk som i allmänhet fört till en www-server som utsatts för dataintrång. I meddelandet hotas användaren med att nätbankkoderna eller kontot spärras om användaren inte följer länken. E- postmeddelandena har i allmänhet inte varit särskilt trovärdiga. Även om de har varit skrivna på finska, har språket varit relativt klumpigt och texten har innehållit stavfel. I vissa fall har gärningsmännen registrerat domännamn som påminner om nätbankernas domännamn. Nätfiskesidorna har gjorts genom att kopiera nätbankens inloggningssida. Brister i informationssäkerheten hos nätbutiksapplikationer Polisen och CERT-FI har fått information om fall där planeringsbrister eller sårbarheter i nätbutiksapplikationer har utnyttjats för bedrägerier. På grund av dessa fel har man kunnat beställa produkter från vissa nätbutiker utan att betala. Nätbutiksapplikationen har vilseletts att tro att betalningen har gjorts. Sårbarheter har veterligen utnyttjats i bedrägerier vars sammanlagda summa uppgår till drygt euro. Det är inte fråga om ett informationssäkerhetsproblem i en enskild applikation eller i en viss applikationstillverkares produkter utan om en sårbarhet som beror på det sätt på vilket butikerna är förverkligade. Vid implementeringen av dessa nätbutiker har man inte helt enligt anvisningarna följt de tekniska definitioner som bankerna eller andra aktörer som erbjuder betalningsrörelsetjänster utfärdat. Det är handlaren som svarar för nätbutikens informationssäkerhet. Sårbarheterna har inte gällt kunder som handlar på webben, och missbruksmöjligheterna har inte heller äventyrat konsumentens informationssäkerhet vid inköp på webben. CERT-FI har samarbetat med det finländska informationssäkerhetsbolaget Nixu Oy, Helsingfors polis och Suomen elektronisen kaupankäynnin yhdistys ry för att sprida information till programvarutillverkare och näthandlare. Det är sannolikt att man i fortsättningen upptäcker fler motsvarande sårbarheter och försök att utnyttja dem. BEAST-attack påvisade brister i informationssäkerheten hos SSL/TLS-förbindelser Den i september presenterade metoden BEAST (Browser Exploit Against SSL/TLS) visade att en utomstående kan med vissa randvillkor avlyssna och överta en wwwsession som använder TLS 1.0-protokoll. En lyckad attack förutsätter att TLSsessionen använder blockkryptering. Dessutom ska attackeraren lyckas föra in egen programkod i offrets webbläsare och lyssna på det attackerade objektets nättrafik. Man kan skydda sig effektivt mot BEASTattacker genom att övergå till TLS 1.2- protokollet. I praktiken kan det dröja länge att övergå från det nuvarande protokollet eftersom flera webbläsare och serverprogram fortfarande saknar stöd för denna version. Bläddrartillverkare har lanserat specifika uppdateringar som avvärjer försök till utnyttjande av BEAST-attacker. Mångsidigt samordningsarbete mot sårbarheter Under 2011 samordnade CERT-FI åtgärdandet och publiceringen av sårbarheter av mycket olika slag. Intresset för att undersöka säkerheten i programvaror med öppen källkod syns också i de sårbarheter som rapporteras till CERT-FI. Ett exempel på ett programvaruprojekt för öppen källkod är webbläsaren Chrome. Programmet Bug Bounty, som beviljar 8

9 belöningar för rapporteringen av fel i webbläsaren, har lett till avslöjandet av ett stort antal sårbarheter. Av finländska forskare har bland annat forskarna Aki Helin och Atte Kettunen vid informationssäkerhetsgruppen OUSPG vid Uleåborgs universitet utmärkt sig som avslöjare av sårbarheter. Samarbetet med OUSPG har varit intensivt och resultatgivande nästan från grundandet av CERT-FI. Den för tio år sedan publicerade sårbarheten i SNMPprotokollet väckte omfattande uppmärksamhet, och därefter har OUSPG och CERT-FI samordnat åtgärdandet och publiceringen av fler programvarusårbarheter tillsammans. Metoderna för förbigående av skydd sysselsatte CERT-FI i början av året Med anledning av de metoder för förbigående av skydd som informationssäkerhetsbolaget Stonesoft Oy har undersökt har CERT-FI haft kontakt med flera programvaru- och utrustningstillverkare under året. Sårbarheten gäller protokollmeddelanden med vilka det är möjligt att förbigå skyddsmekanismerna hos olika IDS/IPSanordningar. Bara ett fåtal utrustnings- och programvarutillverkare har rapporterat om sina produkters sårbarhet för dessa metoder och om eventuella reparationer på produkterna. Det är därför svårt för slutanvändarna att utreda huruvida deras produkter behöver uppdateras på grund av metoderna. Intresset för datormobilernas säkerhet ökar Den första sårbarheten i datormobiler som koordinerades av CERT-FI gällde en metod för att förbigå skyddskoden i Nokia E75- telefoner. Sårbarheter som kräver fysisk tillgång till datorer och telefoner har börjat tas på allvar under de senaste åren. Detta kan bero på de ökade kraven på informationssäkerhet. Olika dataöverföringsnät föremål för undersökningar CERT-FI medverkade publiceringsprocessen för sårbarheter av många olika slag. Det förekommer fortfarande tidigare skådade sårbarheter i olika nätverk, vilket vittnar om att man begått likadana fel vid genomförandet, särskilt vad gäller kontrollen av input och hanteringen av minnet. En sårbarhet i Linux-operativsystemets Bluetooth-verktyg åtgärdades. Bluetooth är en nätteknik som används för trådlös sammankoppling av olika anordningar, t.ex. telefoner och hörlurar. En sårbarhet i protokollet iscsi implementationen av operativsystemet Solaris åtgärdades. iscsi används för koppling av disksystem. Routningsprotokollutföranden av programvaran Quagga åtgärdades i slutet av året. Programmet används för routning av IP-nätverk. De senast korrigerade sårbarheterna anknyter till hanteringen av routningsprotokollen BGP och OSPF i routningsprogrammet Quagga. I början av året åtgärdades en sårbarhet i RTP-protokollet (Real-time Transport Protocol) i Ciscos produkter. Under årets senare hälft åtgärdades en sårbarhet i RTSP (Real-time Signaling Protocol)- streamingtjänsterna i mediespelaren VLC. RTP och RTSP är vanliga protokoll i streaming av internetsamtal, video och ljud. Möten med tillverkare och forskare I februari deltog CERT-FI i ett tillverkarmöte som ordnades av amerikanska CERT/CC (CERT Coordination Center) i anslutning till RSA-konferensen i San Fransisco. Flera programvarutillverkare deltog i mötet. På samma resa träffade CERT-FI dessutom representanter för flera programvarutillverkare i Silicon Valley. 9

10 År 2011 ordnade CERT-FI två möten för finländska sårbarhetsforskare. Det första mötet ordnades i Esbo i samarbete med Microsoft, det andra i Uleåborg hos VTT. Mötena samlade över 30 aktörer som är intresserade av informationssäkerheten i produkternas tekniska utförande. Utsikter för 2012 Lagstiftningsprojekt i anslutning till reglering av internet har väckt motstånd och protester också på webben. Det är sannolikt att nätattacker används som redskap för protester även under det kommande året. Det är väntat att man fortfarande försöker stjäla användaruppgifter från bristfälligt skyddade webbtjänster, som man kan försöka använda för olika slag av missbruk eller publicera på internet. 10

11 Statistiska uppgifter om kontakter som CERT-FI behandlat CERT-FI kontakter per kategori Förändring Intervju % Sårbarhet eller hot % Skadligt program % Rådgivning % Beredning av attack % Dataintrång % Blockeringsattack % Övriga informationssäkerhetsproblem % Social Engineering % Totalt % 11