Tulostusversio

2/2014

Pääkirjoitus 2/2014

Teksti: Ilkka Mattila

Vuosikymmenen merkittävin haavoittuvuus

Tietoturvamaailma kohahti huhtikuussa Heartbleed-haavoittuvuudesta. Asian tultua Kyberturvallisuuskeskuksen tietoon minun ja kollegani tehtävänä oli tutkia, oliko haavoittuvuus todennettavissa ja toistettavissa sekä mitkä olivat sen mahdollisia vaikutuksia ja seurauksia.

Päätin selvittää, voisiko myös haavoittuvan palvelun käyttämä salainen RSA-avain vuotaa. Siihen ei mennyt kauan. Parin tunnin kuluttua olin saanut ensimmäisen kopion testipalvelimeni salaisesta avaimesta. Haavoittuvuuden vaikutusten arvioimisen kannalta minulle riitti, että salaiset avaimet ja muu suojattava tieto voivat vuotaa haavoittuvasta palvelusta.

Salaisen avaimen vuotamisen seuraukset olivat päätähuimaavia. Oli selvää, että varastetun avaimen avulla hyökkääjä voisi luoda palvelusta kopion, jota kävijä ei voisi mitenkään erottaa alkuperäisestä palvelusta. Mutta tämän lisäksi myös kaikki aiemmin samalla avaimella suojattu liikenne olisi vaarassa. Mediassa on uutisoitu suurista tiedustelupalveluista, jotka tallentavat valtavia määriä salattua liikennettä sen päivän varalta, jolloin liikenne voitaisiin purkaa. Tämä päivä voisi nyt olla ovella. Kuka hyvänsä olisi voinut löytää haavoittuvuuden OpenSSL-kirjastoa testaamalla tai sen lähdekoodia katselmoimalla.

Palveluntarjoajayhtiö CloudFlaren analyysin mukaan salaisen avaimen vuotamisen pitäisi olla mahdotonta. Yhtiö haastoi yleisön varastamaan salaisen avaimen tähän tarkoitukseen asennetulta palvelimelta. Osallistuin haasteeseen, joka osoittautuikin ylivoimaisesti työläimmäksi siihenastisista kohteistani. Ohjelmani otti yhteyttä haastepalvelimelle avainta etsien. Kävin välillä tarkistamassa, oliko haaviin jäänyt mitään. Lopulta kuuden tunnin jälkeen kriittinen osa palvelimen salaisesta avaimesta löytyi.

Itse haavoittuvuuden hyväksikäyttö on varsin suoraviivaista. Useita työkaluja tähän tarkoitukseen on vapaasti saatavilla. Monet keräsivät vuotavista palveluista käyttäjätunnuksia ja salasanoja. Onneksi salaisten avainten poimiminen vaikutti ainakin jonkin verran haastavammalta. Toiveenani oli, että ainakin suurin osa haavoittuvien palveluiden ylläpitäjistä ehtisi tehdä tarvittavat korjaukset ennen kuin automatisoidut avaimia keräävät työkalut tulisivat laajasti saataville. Näitäkin työkaluja on sittemmin julkistettu.

Tieto haavoittuvuudesta vuosi julkisuuteen hallitsemattomasti ilman että palveluntuottajat ehtivät tehdä tarvittavia korjauksia. Kyberturvallisuuskeskuksen näkemyksen mukaan haavoittuvuudet olisi aina käsiteltävä vastuullisen julkistuksen periaatteita noudattamalla.

-----

[KIRJOITTAJA]

Ilkka Mattila on tietoturva-asiantuntija Viestintäviraston Kyberturvallisuuskeskuksessa.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.