Digitoday

Heartbleed: Jos et ole toiminut, nyt alkaa olla paniikki

Julkaistu: , Päivitetty:

Yhä helpompia hyökkäystyökaluja Heartbleed-aukon hyväksikäyttämiseksi on ilmestynyt. Varaa toimettomuuteen ei enää ole, Kyberturvallisuuskeskuksen asiantuntija patistaa.
OpenSSL-kirjaston viime viikolla julki tullut ja suomalaisten Heartbleediksi nimeämä haavoittuvuus on voinut mahdollistaa tietovarkauksia jo ennen paljastumistaan, mutta nyt hyväksikäyttö on helpottumassa selvästi.

– Hyökkäystyökaluja on alettu julkaista vasta viime päivinä, ja on yhä helpompaa hyökätä haavoittuvuuden avulla, Kyberturvallisuuskeskuksen erityisasiantuntija Jussi Eronen kertoo.

Erosella on tärkeä viesti verkkosivujen ylläpitäjille, laitevalmistajille ja ohjelmistokehittäjille, joita kaikkia haavoittuvuus voi yhtä lailla koskea. Joidenkin arvioiden mukaan Heartbleed koskettaa valtaosaa koko internetistä.

– Niillä, jotka eivät ole vielä toimineet, alkaa olla oikeasti kiire, vaikka olihan heillä kiire jo ennenkin, Eronen korostaa.
MAINOS (TEKSTI JATKUU ALLA)
MAINOS PÄÄTTYY

Onneksi eri organisaatioiden reaktio Heartbleediin on ollut kiitettävä, Eronen iloitsee. Hänen mukaansa aukon vaikutukset on ymmärretty, toimiin sen korjaamiseksi on ryhdytty sankoin joukoin, ja loppukäyttäjille on ilmoitettu asiasta. Monessa tapauksessa loppukäyttäjiltä, kuten suosittujen verkkopalvelujen käyttäjiltä, on edellytetty salasanan vaihtamista.

– Organisaatioissa on jopa [Heartbleedin myötä] laitettu kuntoon toimintamalleja, jos ne eivät olleet aiemmin kohdallaan.

Haavoittuvien lista
kasvaa kasvamistaan


Kyberturvallisuuskeskuksen lista haavoittuvista ohjelmistoista, palveluista ja laitteista on pitkä kuin nälkävuosi ja se pitenee yhä miltei päivittäin. Viimeisimpinä mukaan ovat tulleet esimerkiksi sellaiset valmistajat kuin McAfee, Extreme Networks, NetApp, Blue Coat, Barracuda, PfSense ja Oracle.

Listaa on päivitetty viimeksi tänään, mutta Erosen mukaan ei ole vielä tiedossa, mitä siihen lisätään seuraavaksi. On kuitenkin odotettavissa, että litaniaan saadaan vielä jatkoa useampaan kertaan. Kun listalle jotain ilmestyy, se myös tarkoittaa, että valmistaja tarjoaa haavoittuvuuteen paikkausta.

– Eivätköhän suurimmat valmistajat ja yleisimmät tuotteet ole jo hoidossa, Eronen miettii. Huvittavasti Heartbleed on suosinut niitä, jotka ovat vastoin kaikkia turvallisuusohjeita pitäytyneet OpenSSL:n vanhassa versiossa. Niitä haavoittuvuus ei ole koskettanut, koska Heartbleed ilmestyi OpenSSL:n koodiin vasta suhteellisen hiljattain.

Heartbleed-hyökkäyksiä
saattaa olla piilossa


Kaiken kaikkiaan Jussi Eronen uskoo tilanteen olevan rauhoittumassa juurikin yleisön nopean toiminnan ansiosta. Sitä mukaa rikollisten mahdollisuus aiheuttaa vahinkoa pienenee, ja toistaiseksi tiedossa on vain yksittäisiä hyökkäyksiä. Kyberturvallisuuskeskus ei ole saanut kotimaisia ilmoituksia hyökkäyksistä, mutta on kertonut rikollisten etsivän verkosta haavoittuvia palveluja.

Toki on mahdollista, että osa Heartbleed-hyökkäyksistä on jo havaittu, mutta niitä ei ole osattu yhdistää juuri tähän haavoittuvuuteen. Jos esimerkiksi verkkopalvelun käyttäjän salasana on joutunut vääriin käsiin, se voi johtua monesta syystä, kuten käyttäjän huolimattomuudesta tai haittaohjelmatartunnasta. Heartbleed on vain yksi vaihtoehto monista.

Teoriassa Heartbleedin avulla on voitu seurata verkkosivuston käyttäjien liikennettä ilman, että ylläpito on saanut siitä käsitystä. Myös salausavaimet ovat todennäköisesti olleet kaapattavissa, mikä mahdollistaisi salatun liikenteen purkamisen ja aitona verkkosivustona esiintymisen vierailijoiden huijaamiseksi.

Erosen mukaan palvelimiin kohdistuva uhka on edelleen selvin, koska sillä tavalla voidaan tavoittaa isoja kävijämassoja. Esimerkiksi yksittäisiä päätelaitteita kuten älypuhelimia vastaan hyökätessä potentiaalinen hyöty rikolliselle on kyseenalainen. Paitsi, jos kohde on erityisen kiinnostava ja tarkasti valittu.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Lahdesta löytynyt vainaja edelleen tunnistamatta – poliisi julkaisi poikkeuksellisesti kuvan ruumiista

    2. 2

      Tämä asiakirja paljasti tulokikkailun – Päivi Lipponen syrjään toimitusjohtajan paikalta

    3. 3

      Iivo Niskanen älähti hiihdon palkintorahoista – jopa norjalaiset haukkuivat pystyyn

    4. 4

      Vuorolisiä jopa 1 460 €/kk – näissä ammateissa tienataan eniten lisillä

    5. 5

      Tuntematon mies jätti Baywatch-kaunottaren alasti metsään – uskalsi kertoa raiskauksesta vasta 30 vuotta myöhemmin

    6. 6

      Kovia väitteitä K-Supermarketin palvelutiskin ruuasta ja pyllylle taputtelusta – kauppias irtisanoutui yllättäen

    7. 7

      Ruostumattomaan teräkseen jää helposti tahroja – verraton siivousvinkki pitää keittiön kiiltävänä

    8. 8

      Jäämereltä puhaltaa hyytävää ilmaa Suomeen

    9. 9

      Näin päättyi Napakymppi-parin Ikaalisten matka – piikki auki, Ville jätti taksit maksamatta: ”Odotin, milloin pääsen pois”

    10. 10

      Poliisi epäilee: 15-vuotias poika yritti tappaa nuoren naisen Vaasassa – ”Pidän tosi vakavana tätä asiaa”

    11. Näytä lisää
    1. 1

      Näin päättyi Napakymppi-parin Ikaalisten matka – piikki auki, Ville jätti taksit maksamatta: ”Odotin, milloin pääsen pois”

    2. 2

      Törkyvideolla esiintyvä Niki Juusela pettyi raskaasti ystäväporukkaansa – ”Luottamus on katkennut”

    3. 3

      Jyri lähetti viestin tytölle Brasiliassa – meni 30 sekuntia ja mies sai avaimet käteen, ilmaisen asunnon ja käskyn ruokkia kissa

    4. 4

      Pohjois-Korealta uusi varoitus Yhdysvalloille oudossa kirjeessä: ”Äärimmäinen uhkaus tuhota koko maailma”

    5. 5

      Miljonäärin 20-vuotias tytär ajoi Lexuksen väkijoukkoon Ukrainassa – viisi kuoli, kuusi loukkaantui, katu kuin ”sotatanner”

    6. 6

      Härski video leviää – Niki Juusela pilkkaa Juhani Tammista sukuelin kädessään

    7. 7

      Ainutlaatuinen video paljastaa Pohjois-Korean pääkaupungista näkymiä, joita ei ole ennen näytetty

    8. 8

      Olli Lindholmin ja ex-vaimon ero oli raastava: ”Lopulta mitään ei ollut tehtävissä”

    9. 9

      Nuorelle thaimaalaiselle naiselle luvattiin Suomesta hyväpalkkainen työ, karu totuus ”erikois­palveluista” paljastui vasta Turussa

    10. 10

      Lahdesta löytynyt vainaja edelleen tunnistamatta – poliisi julkaisi poikkeuksellisesti kuvan ruumiista

    11. Näytä lisää
    1. 1

      Dopingtuomion saaneen Therese Johaugin ulkoinen olemus on jotain aivan muuta kuin kaksi kuukautta sitten – katso kuvat

    2. 2

      Huomaatko erikoisen yksityiskohdan? 19-vuotiaan Lisan viaton bikinikuva kummastuttaa Instagramissa

    3. 3

      Tutut liikennemerkit muuttuvat sukupuolineutraaleiksi – katso kuvat!

    4. 4

      Onko tässä erikoisin hääkuva ikinä? Kreikkalaiskappeli kielsi ulkomaalaisparien häät rivon kuvan seurauksena

    5. 5

      Aku Hirviniemi katosi vuosi sitten äkisti julkisuudesta – nyt hän kertoo, mitä silloin tapahtui: ”Tuijotin vain tyhjyyteen”

    6. 6

      Madonnaa, 59, syytetään räikeästä kuvanmuokkauksesta – tuoreet kuvat kertovat totuuden: ”Tämä on jo noloa”

    7. 7

      Aku Hirviniemi puhuu hänen ja Niina Lahtisen erosta – tyttären sanat merkitsivät paljon

    8. 8

      Matti Ahde kertoo sairaudestaan ja yhä jatkuvista hoidoista – ”Tilanne on vakava”

    9. 9

      Näin päättyi Napakymppi-parin Ikaalisten matka – piikki auki, Ville jätti taksit maksamatta: ”Odotin, milloin pääsen pois”

    10. 10

      Presidentti Niinistö ärähti ideologisesti työttömille: ”Se, että asiaa mainostetaan...”

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Lahdesta löytynyt vainaja edelleen tunnistamatta – poliisi julkaisi poikkeuksellisesti kuvan ruumiista

    2. 2

      Tämä asiakirja paljasti tulokikkailun – Päivi Lipponen syrjään toimitusjohtajan paikalta

    3. 3

      Iivo Niskanen älähti hiihdon palkintorahoista – jopa norjalaiset haukkuivat pystyyn

    4. 4

      Vuorolisiä jopa 1 460 €/kk – näissä ammateissa tienataan eniten lisillä

    5. 5

      Tuntematon mies jätti Baywatch-kaunottaren alasti metsään – uskalsi kertoa raiskauksesta vasta 30 vuotta myöhemmin

    6. Näytä lisää
    1. 1

      Näin päättyi Napakymppi-parin Ikaalisten matka – piikki auki, Ville jätti taksit maksamatta: ”Odotin, milloin pääsen pois”

    2. 2

      Törkyvideolla esiintyvä Niki Juusela pettyi raskaasti ystäväporukkaansa – ”Luottamus on katkennut”

    3. 3

      Jyri lähetti viestin tytölle Brasiliassa – meni 30 sekuntia ja mies sai avaimet käteen, ilmaisen asunnon ja käskyn ruokkia kissa

    4. 4

      Pohjois-Korealta uusi varoitus Yhdysvalloille oudossa kirjeessä: ”Äärimmäinen uhkaus tuhota koko maailma”

    5. 5

      Miljonäärin 20-vuotias tytär ajoi Lexuksen väkijoukkoon Ukrainassa – viisi kuoli, kuusi loukkaantui, katu kuin ”sotatanner”

    6. Näytä lisää
    1. 1

      Dopingtuomion saaneen Therese Johaugin ulkoinen olemus on jotain aivan muuta kuin kaksi kuukautta sitten – katso kuvat

    2. 2

      Huomaatko erikoisen yksityiskohdan? 19-vuotiaan Lisan viaton bikinikuva kummastuttaa Instagramissa

    3. 3

      Tutut liikennemerkit muuttuvat sukupuolineutraaleiksi – katso kuvat!

    4. 4

      Onko tässä erikoisin hääkuva ikinä? Kreikkalaiskappeli kielsi ulkomaalaisparien häät rivon kuvan seurauksena

    5. 5

      Aku Hirviniemi katosi vuosi sitten äkisti julkisuudesta – nyt hän kertoo, mitä silloin tapahtui: ”Tuijotin vain tyhjyyteen”

    6. Näytä lisää