Tietoturva Nyt!
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 26.8. - 1.9.2022). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin. TLP:CLEAR
Tällä viikolla katsauksessa käsiteltäviä asioita
- Digitaalisen identiteetin hankkeet Suomessa etenevät
- Useita hyökkäyskampanjoita aktivoitunut kesän päätyttyä
- Useita haavoittuvuuksia paljon käytetyissä ohjelmissa
- Google Chrome -selain
- Android CVE-2022-20361 (CVSS 9.8) ja CVE-2022-20345 (CVSS 8.8)
- Apple CVE-2022-31839 (CVSS 9.8)
- Viikon 35/2022 Kyberturvallisuuskeskuksen julkaisut
Digitaalisen identiteetin hankkeet Suomessa etenevät
Euroopan Unionin digitaalisen identiteetin hanke [1] etenee ja Yle uutisoi [2] tällä viikolla Digi- ja väestöviraston uudesta Digitaalisesta henkilöllisyystodistuksesta, joka on tarkoitus saada käyttöön vuona 2024. Digitaalinen henkilöllisyystodistus on älypuhelimeen tai tablettiin ladattava sovellus, joka toimii virallisena henkilöllisyyttä osoittavana asiakirjana passin ja henkilökortin rinnalla. Sovelluksia tuotetaan kaksi eri versiota, toinen suomalaisen henkilöllisyystodistuksen omaaville ja toinen ulkomaalaisille joilla ei ole vielä suomalaista henkilötunnusta. Sovellukset mahdollistavat tunnistautumisen sekä julkisen että yksityisen sektorin palveluissa.
Hankkeesta kerätyssä palautteessa kansalaisten suurimmaksi huoleksi on noussut yksityisyyden suoja. Digitaalisen henkilöllisyystodistuksen pelätään lisäävän kansalaisiin kohdentuvaa valvontaa [3]. Digitaalinen henkilöllisyystodistus voisi pikemminkin parantaa kansalaisten tietosuojaa, sillä sen käyttäjä voi itse valita mitä tietoja itsestään haluaa tunnistautumistilanteessa jakaa, toisin kuin fyysistä henkilöllisyystodistusta käytettäessä [2]. Esimerkiksi kaupan kassalla ikäänsä todistavan ei tarvitse jakaa nimeään tai muita tietojaan, sillä ne eivät ole oleellisia siinä tilanteessa. Kansalaisten antama palaute otetaan huomioon digitaaliseen identiteettiin liittyvässä lainsäädännössä, johon liittyvä hallituksen esitys on tarkoitus antaa eduskunnalle syyskuussa 2022 [3].
Niin kansalaisten kuin organisaatioidenkin tietosuojan varmistamiseksi Valtionvarainministeriö on myöntänyt kolmen miljoonan euron valtionavustuksen Findynet osuuskunnalle itsehallittavan identiteetin luottamusverkon kokeiluympäristön rakentamiseen. Verkoston tarkoitus on mahdollistaa tietojen oikeellisuuden varmistaminen sähköisessä asioinnissa yksityisyyttä suojaavalla tavalla. [4] Findynet Osuuskuntaan kuuluvat tällä hetkellä Kela, Posti, Tietoevry, OP-ryhmä, Nixu, Nordea, Vastuu Group, Finanssiala ja Teknologiateollisuus [3]. Suomi on mukana myös useammassa monikansallisessa konsortiossa hakemassa EU:n rahoitusta lompakkosovellusten rajat ylittävää pilotointia varten [5].
Vastaavanlainen digitaalinen identiteetti on ollut käytössä Virossa jo yli 20 vuotta. Kansalaiset voivat käyttää digitaalista henkilöllisyystodistusta esimerkiksi sairasvakuutuskorttina, digitaalisena allekirjoituksena, äänestäessä, tai laillisena matkustusasiakirjana [6]. Digitaalista identiteettiä käyttää yli 98% Viron kansalaisista ja se säästää vuodessa 2% bruttokansantuotteesta [7].
Suomessa digitaalisen henkilöllisyystodistuksen rinnalla etäasioinnissa voi jatkossakin käyttää nykyisiä tunnistusvälineitä, eli pankkitunnuksia, mobiilivarmenteita sekä kansalaisvarmennetta poliisin myöntämällä henkilökortilla ja eräitä muita tunnistusvarmenteita organisaatiokorteilla.
[1] https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_fi (Ulkoinen linkki)
[2] https://yle.fi/uutiset/3-12584973 (Ulkoinen linkki)
[3] https://valtioneuvosto.fi/-/10623/digitaalista-henkilollisyytta-edistava-lainsaadanto-koetaan-tarpeellisena (Ulkoinen linkki)
[4] https://valtioneuvosto.fi/-/10623/valtiovarainministerio-myontaa-valtionavustusta-itsehallittavan-identiteetin-luottamusverkon-kehittamiseen (Ulkoinen linkki)
[5] https://valtioneuvosto.fi/-/10623/suomi-hakee-eu-komissiolta-rahoitusta-eurooppalaisten-lompakkosovellusten-pilotointiin-yhdessa-muiden-maiden-kanssa (Ulkoinen linkki)
[6] https://e-estonia.com/solutions/e-identity/id-card/ (Ulkoinen linkki)
[7] https://e-estonia.com/story/ (Ulkoinen linkki)
Useita hyökkäyskampanjoita aktivoitunut kesän päätyttyä
Kesän päätyttyä myös kyberrikolliset ovat aktivoituneet uudestaan. Kyberturvallisuuskeskukselle on ilmoitettu elokuun lopulla useita laajoja organisaatioihin kohdistuneita kampanjoita. Yksittäisille organisaatioille on lähetetty tuhansia huijausviestejä, joissa esiinnytään esimerkiksi yrityksen toimitusjohtajana ja pyritään saamaan vastaanottaja ostamaan ja lähettämään hyökkääjälle erilaisia lahjakortteja. Huijausviestien kieli on usein selkeää suomen kieltä. Hyökkäyskampanjoista on nähtävissä rikollisten luottamus hyökkäyskampanjoidensa laajuuteen, sillä vaikka suurin osa huijausten vastaanottajista ei lankeaisi niihin, massiivisilla viestikampanjoilla on rikollisten todennäköisempää tavoittaa huijaukselle alttiimpia ihmisiä. Suuri osa vahingollisista viesteistä on kuitenkin pystytty estämään tavallisilla turvallisuusratkaisuilla, kuten sähköpostien filteröinnillä.
Huijauskampanjoiden kohteina ovat olleet eri kokoiset organisaatiot niin julkisella kuin yksityisellä sektorilla. Lisäksi organisaatioihin on kohdistunut erityisen suuria määriä sähköpostitunnusten kalastelua sekä luvattomia kirjautumisyrityksiä. Hyökkääjät pyrkivät näillä taktiikoilla saamaan sisäänpääsyn organisaation sisäverkkoon, joko kalastelulla saatujen tunnusten tai aiemmin muussa yhteydessä eri palveluista vuotaneiden tunnuslistojen avulla.
Myös erityisesti yksityishenkilöihin kohdistuvien ns. pornokiristyshuijausten määrä on ollut selvästi kasvussa. Pornokiristyksissä uhrilta kiristetään rahaa uhkaamalla julkaista arkaluontoista kuvamateriaalia, jota ei todellisuudessa ole olemassa. Lisätietoja pornokiristyksistä löytyy Tietoturva Nyt! artikkelistamme (Ulkoinen linkki).
Useita haavoittuvuuksia paljon käytetyissä ohjelmissa
Lisää yleistietoa haavoittuvuuksista ja käytetyistä termeistä löydät Tietoturva Nyt! -artikkelistamme Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatio pähkinänkuoressa. (Ulkoinen linkki)
Google Chrome -selain
Google julkaisi (Ulkoinen linkki) useita haavoittuvuuksia koskien Google Chrome -selainten vanhoja versioita. Nyt julkistetut haavoittuvuudet sisältävät yhden kriittiseksi, yhdeksän korkeiksi, yhdeksän keskitasoisiksi, ja kolme mataliksi määriteltyä haavoittuvuutta. Kyseessä oleva kriittinen haavoittuvuus oli samalla nollapäivähaavoittuvuus, eli haavoittuvuus ilman olemassa olevaa korjausta.
Yhdysvaltalaisen tietoturvaan erikoistuneen Center for Internet Security (CIS) yhteisön mukaan (Ulkoinen linkki) Googlen julkaisema kriittinen haavoittuvuus voi mahdollistaa hyökkääjän haitallisten komentojen suorittamisen kohdejärjestelmässä, joka mahdollistaa esimerkiksi käyttövaltuuksien laajentamisen kohteeseen. CIS arvioi omassa artikkelissaan haavoittuvuuksien riskin korkeaksi varsinkin hallinnon toimialalle sekä yrityksille.
Haavoittuvuudet koskevat Google Chrome -selaimia alemmalla versionumerolla kuin:
- 105.0.5195.52/53/54 (Windows)
- 10.5.0.5195.52 (Mac/Linux)
Haavoittuvuuksien hyväksikäytön ehkäisemiseksi tulisi Google Chrome -selain päivittää uusimpaan saatavilla olevaan versioon kaikilla laitteilla joilla selainta käytetään.
Android CVE-2022-20361 (Ulkoinen linkki) (CVSS 9.8) ja CVE-2022-20345 (Ulkoinen linkki) (CVSS 8.8)
Google on julkaissut (Ulkoinen linkki)turvallisuustiedotteen koskien Android-käyttöjärjestelmässä havaittuja haavoittuvuuksia. Kriittisimmät haavoittuvuudet koskivat Bluetooth standardista löytyneitä haavoittuvuuksia, jotka mahdollistavat etäältä tapahtuvan hyökkäyksen. Hyökkäyksen toteuttaminen on mahdollista ilman että kohteena oleva käyttäjä tekee itse mitään. Haavoittuvuudet mahdollistavat kohdejärjestelmässä haitallisen koodin suorittamisen, sekä käyttöoikeuksien korottamisen.
Google on julkaissut haavoittuvuuksiin korjaukset laitevalmistajille käyttöönotettaviksi. Korjaavat päivitykset tulevat laitevalmistajien tarjoamien normaalien turvallisuuspäivitysten yhteydessä.
Apple CVE-2022-31839 (Ulkoinen linkki) (CVSS 9.8) [1]
Apple julkaisi kuluneella viikolla uusia haavoittuvuuksia työasemien [1,2,3], mobiilipäätelaitteiden [4], ja IoT-laitteiden [5,6] käyttöjärjestelmiinsä. Nyt julkaistut haavoittuvuudet on kuitenkin korjattu kaksi viikkoa sitten julkaistuissa päivityksissä, eikä käyttäjien tarvitse ryhtyä erillisiin toimenpiteisiin haavoittuvuuksien korjaamiseksi. Vakavin julkaistuista haavoittuvuuksista mahdollistaa haitallisten komentojen suorittamisen etänä, joka mahdollistaa esimerkiksi käyttövaltuuksien laajentamisen kohteeseen.
[1] https://support.apple.com/en-us/HT213343 (Ulkoinen linkki)
[2] https://support.apple.com/en-us/HT213344 (Ulkoinen linkki)
[3] https://support.apple.com/en-us/HT213345 (Ulkoinen linkki)
[4] https://support.apple.com/en-us/HT213346 (Ulkoinen linkki)
[5] https://support.apple.com/en-us/HT213340 (Ulkoinen linkki)
[6] https://support.apple.com/en-us/HT213342 (Ulkoinen linkki)
Kyberturvallisuuskeskus kehottaa päivittämään laitteet ja ohjelmistot aina uusimpiin versioihin heti kun ne ovat saatavilla.
Viikon 35/2022 Kyberturvallisuuskeskuksen julkaisut
Tilaa Kyberturvallisuuskeskuksen uutiskirjeet , tai RSS-syötteet , jotta saat tiedot heti kun ne julkaistaan.