Tietoturva

Valikko

Suomalaisten operaattoreiden ja poliisin verkkosivuilla vakava tietoturva-aukko

Julkaistu:

Muun muassa Soneran, DNA:n ja Elisan sekä poliisin verkkosivuilla on käytetty vanhaa suojausprotokollaa, josta on löydetty aukko voi vaarantaa myös uudet turvakeinot.
Soneran, DNA:n ja Elisan sekä sisäministeriön ja poliisin verkkopalveluissa on käytetty vanhentunutta salausprotokollaa, jonka avulla on mahdollista esimerkiksi seurata salattua verkkoliikennettä.

Viestintävirasto julkaisi tänään keskiviikkona tiedotteen, jossa se kertoo vakavasta haavoittuvuudesta SSLv2-salausprotokollassa. Niin sanotun Drown-haavoittuvuuden avulla on mahdollista purkaa salattuja yhteyksiä ja vakoilla liikennettä.

SSLv2-salausprotokolla on todettu turvattomaksi jo vuosia sitten, eikä se ole varsinaisesti ollut käytössä, joten siitä ei pitänyt olla mitään vaaraa.

Uuden havainnon mukaan se kuitenkin saattaa vaarantaa myös uudempaa TLS-salausprotokollaa käyttävät palvelut, jos samaa varmennetta käytetään usealla palvelimella, ja näistä yksikin käyttää vanhaa SSLv2-salausprotokollaa.

Haavoittuvuuden löytäjät ovat luoneet testisivun, jonka avulla voi selvittää, löytyykö Drown-haavoittuvuus jostakin tietystä verkkosivusta tai -palvelusta. Haun perusteella haavoittuvia ovat esimerkiksi DNA-operaattorin pääsivu dna.fi. Haavoittuvia ovat myös useat Sonera.fi- ja Elisa.fi-päätteiset verkkosivut.

Lisäksi Drown-haavoittuvuus löytyy useilta sisäasianministeriön sivuilta, muun muassa intermin.fi- sekä sisaministerio.fi-sivustoilta. Myös poliisi.fi-, suojelupoliisi.fi- sekä poliisihallitus.fi -sivuilla on käytössä sama haavoittuvuuden sisältävä SSLv2-tietoturva-aukko.

– Aloitimme päivitykset heti, kun saimme eilen ilmoituksen, kertoo DNA:n yritysturvallisuuspäällikkö Heikki Tolvanen.

– Tarkkaa aikataulua paikkauksille ei ole, mutta toki teemme sen mahdollisimman nopeasti. Hyvä jos tämän päivän aikana.

Tolvasen mukaan SSLv2-protokollaa käyttävillä palvelimilla on ollut muun muassa verkkokaupan palveluita. Käyttäjien tiedot eivät hänen tietääkseen ole kuitenkaan vaarantuneet. Palvelimien paikkaus on sinänsä melko nopea rutiinitoimenpide, jossa SSLv2 poistetaan kokonaan ja palvelinohjelmisto päivitetään.

Myöskään Soneran tietoturva-asiantuntijan Arttu Lehmuskallion mukaan Soneran asiakkaiden tiedot ovat tuskin vaarantuneet, vaikka vanha salausprotokolla onkin ollut useilla yhtiön palvelimilla.

– Listalta löytyneissä osoitteissa ei ole sisäänkirjautumismahdollisuutta, ja sieltä löytyy muun muassa häiriö- ja kuuluvuuskartta, eli ei varsinaisesti salaista tietoa, Lehmuskallio sanoo.

– Suurempi vaara on palveluilla, joissa on todella tärkeitä salaisuuksia. Silloin hyökkääminen saattaisi olla jollekin vaivan arvoinen.

Elisan kyberturvallisuuspäällikön Petri Vilanderin mukaan yhtiö alkoi eilen kartoittaa mahdollisia vaarantuneita palvelimia, mutta päivitysten aikataulusta on vielä liian aikaista sanoa mitään.

Haavoittuvuuden hyväksikäyttö vaatii vaivaa

Hyökkääminen SSLv2-salausprotokollasta löytyneen haavoittuvuuden avulla ei ole aivan helppoa.

– Hyödyntääkseen haavoittuvuutta TLS-salattujen yhteyksien purussa hyökkääjän tulee kerätä noin 1000 TLS-kättelyä, jotta haavoittuva RSA-salattu paketti löytyy. Tämän jälkeen hyökkääjän tulee tehdä palvelimelle noin 40 000 kyselyä, jolla pyritään selvittämään niin sanottu Master secret. Palvelimen tukiessa SSLv2:ta salauksen murtaminen vaatii keskimäärin 250 laskutoimitusta, joka tehokkaassa laskentaa tarjoavassa pilvipalvelussa maksaa noin 400 euroa, kerrotaan Viestintäviraston tiedotteessa.

Hyökkääjän täytyy siis päästä käsiksi esimerkiksi yrityksen verkkoliikenteeseen, jotta pääsisi purkamaan viestintää.

– Salaiseen verkkoliikenteeseen voisi ehkä päästä seuraamalla liikennettä avoimessa wlan-verkossa, sanoo tietoturva-asiantuntija Ilkka Sovanto Viestintäviraston Kyberturvallisuuskeskuksesta.

Tämän jälkeen pitäisi löytää palvelu, jossa käytetään SSLv2-suojausta sekä samaa varmennetta TLS-suojauksen kanssa.

Yleensä hyökkäykset tietoturva-aukkoja vastaan lisääntyvät niiden julkaisun jälkeen. Sovanto ei kuitenkaan usko, että laajamittaista hyökkäyskampanjaa on nyt tulossa. Uuteen tietoturva-aukkoon suhtaudutaan kuitenkin vakavasti, ja Viestintävirasto aikoo tarkkailla paikkausten edistymistä.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Ohikulkija säikähti väkivaltaiselta näyttänyttä kohtausta Espoossa – Rinnekoti kertoo, mistä työntekijän ja teinipojan välisessä tilanteessa oli kyse

    2. 2

      Tallipomo ihasteli Kimi Räikkösen paalupaikkakierrosta – ”Hämmästyttävän hieno”

    3. 3

      Jimi Hendrix shokeerasi Helsingissä 50 vuotta sitten – Remu Aaltonen mykistyi: ”En ole tähän päiväänkään mennessä semmoista nähnyt”

    4. 4

      Tuomaristo nuhteli Vetteliä – niukka tappio Räikköselle kismitti saksalaista

    5. 5

      Vaarallinen kohtaaminen tallentui Esan kameraan – kukaan ei tiedä, mitä sen jälkeen tapahtui

    6. 6

      Poliisi: Mies pakeni varastetulla pyöräkuormaajalla Lahdessa – 20 tonnin työkone syöksyi sillalta asfalttiin

    7. 7

      Testaa kuinka hyvin tunnet tutut latinankieliset sanonnat!

    8. 8

      Nuorukaisen auto lipesi hiekkatiellä Jämsässä – törmäsi tien sivussa olleeseen naiseen

    9. 9

      Varikolla riehaannuttiin Räikkösen paalupaikasta – Kimiltä viileä vastaus

    10. 10

      Hirvittävä veriteko tapahtui syrjäisen maalaistalon navetassa huhtikuisena iltana – Kaj Linnan kohtalo voi vielä muuttua vuosien jälkeen

    11. Näytä lisää
    1. 1

      Tietoa Michael Schumacherin tilasta varjellaan visusti – nyt perheen vaikenemiselle saatiin selitys

    2. 2

      Kävijöiden virta Koiviston haudalle jatkui – paikalla nähtiin myös erikoinen ”kunnianosoitus”

    3. 3

      Pia Lamberg elää unelmaansa Los Angelesissa – rahoitusalalla työskentelevä uusi rakas vei jalat alta: ”Hän osti kaiken puolestani”

    4. 4

      Aromipesän ja Passeli-ohjelman kehittäjä, miljonääri Heikki Taipale, 54, on kuollut

    5. 5

      Aviomies ramppasi alvariinsa urheilumatseissa – vaimon epäilykset heräsivät, kun kotoa alkoi hävitä Viagraa

    6. 6

      Tanja, 43, lähtee Suomesta – paluulippua ei ole: 700 euron kuukausibudjetti, ohjenuorana minimalismi

    7. 7

      Kuvat: Pyöräkuormaaja syöksyi 10 metriä sillalta – kuljettaja sairaalaan

    8. 8

      Andy McCoy haukkui ja käskytti Maria Veitolaa tv:ssä – Veitolan vastareaktio leviää somessa

    9. 9

      Eurojackpotissa yksi täysosuma: Tänne meni 50,2 miljoonaa euroa – Suomeen kuusinumeroisia voittoja

    10. 10

      Huomaatko härskin yksityiskohdan? Pari ikuisti hääpäivänsä idyllisellä maatilalla – kuvaan kätkeytyy jättiyllätys

    11. Näytä lisää
    1. 1

      IS seuraa hetki hetkeltä: Ainakin 22 kuoli Manchesterin iskussa – epäilty tallentui valvontakameraan

    2. 2

      Tietoa Michael Schumacherin tilasta varjellaan visusti – nyt perheen vaikenemiselle saatiin selitys

    3. 3

      Vain harva tajusi: prinsessa Dianan käsilaukulla oli salainen tarkoitus – hämäsi valokuvaajia ovelalla kikalla

    4. 4

      Sami Hedbergin fanit raivostuivat jäähallikeikan jälkeen – ”P**ka maku jäi tästä”

    5. 5

      Ratapölkyn haju paljasti omakotitalosta ikävän yllätyksen –myyjä joutuu palauttamaan 202000 euroa

    6. 6

      Kaksi ruoka-ainetta karsimalla suoliston kunto voi parantua jo muutamassa viikossa

    7. 7

      Kätilöt paljastavat hulluimmat synnytyksensä: ”Äiti yritti saada orgasmin joka supistuksella”

    8. 8

      Tunteikas kuva presidentti Koiviston hautajaisista: Assi Koivisto näytti hellän puolensa

    9. 9

      Varo nopeasti leviävää Facebook-virusta! Tarkista tilisi, saatat jakaa huijauslinkkejä tietämättäsi

    10. 10

      Yksinäinen 12-vuotias tyttö etsi ystävää Facebookista – ensitapaamisesta tuli kauhukokemus

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Ohikulkija säikähti väkivaltaiselta näyttänyttä kohtausta Espoossa – Rinnekoti kertoo, mistä työntekijän ja teinipojan välisessä tilanteessa oli kyse

    2. 2

      Tallipomo ihasteli Kimi Räikkösen paalupaikkakierrosta – ”Hämmästyttävän hieno”

    3. 3

      Jimi Hendrix shokeerasi Helsingissä 50 vuotta sitten – Remu Aaltonen mykistyi: ”En ole tähän päiväänkään mennessä semmoista nähnyt”

    4. 4

      Tuomaristo nuhteli Vetteliä – niukka tappio Räikköselle kismitti saksalaista

    5. 5

      Vaarallinen kohtaaminen tallentui Esan kameraan – kukaan ei tiedä, mitä sen jälkeen tapahtui

    6. Näytä lisää
    1. 1

      Tietoa Michael Schumacherin tilasta varjellaan visusti – nyt perheen vaikenemiselle saatiin selitys

    2. 2

      Kävijöiden virta Koiviston haudalle jatkui – paikalla nähtiin myös erikoinen ”kunnianosoitus”

    3. 3

      Pia Lamberg elää unelmaansa Los Angelesissa – rahoitusalalla työskentelevä uusi rakas vei jalat alta: ”Hän osti kaiken puolestani”

    4. 4

      Aromipesän ja Passeli-ohjelman kehittäjä, miljonääri Heikki Taipale, 54, on kuollut

    5. 5

      Aviomies ramppasi alvariinsa urheilumatseissa – vaimon epäilykset heräsivät, kun kotoa alkoi hävitä Viagraa

    6. Näytä lisää
    1. 1

      IS seuraa hetki hetkeltä: Ainakin 22 kuoli Manchesterin iskussa – epäilty tallentui valvontakameraan

    2. 2

      Tietoa Michael Schumacherin tilasta varjellaan visusti – nyt perheen vaikenemiselle saatiin selitys

    3. 3

      Vain harva tajusi: prinsessa Dianan käsilaukulla oli salainen tarkoitus – hämäsi valokuvaajia ovelalla kikalla

    4. 4

      Sami Hedbergin fanit raivostuivat jäähallikeikan jälkeen – ”P**ka maku jäi tästä”

    5. 5

      Ratapölkyn haju paljasti omakotitalosta ikävän yllätyksen –myyjä joutuu palauttamaan 202000 euroa

    6. Näytä lisää