Tietoturva

Oululaiset sorvasivat nimen ja logon: Näin superbugi tuotteistettiin

Julkaistu: , Päivitetty:

Oululaisen Codenomiconin tutkijat tuotteistivat löytämänsä tietoturva-aukon ennennäkemättömällä tavalla. Virallisen CVE-2014-0160 -tunnuksen sijasta aukolle keksittiin nimi Heartbleed ja tyylikäs logo.


Oululainen Codenomicon saattoi tehdä paitsi merkittävän tietoturvalöydön, myös jonkinlaista markkinoinnin historiaa. Yhtiön tutkijat löysivät verkkopalvelimien salaukseen käytetystä OpenSSL-protokollasta löytämästään tietoturva-aukosta brändin.

Aukon virallinen nimi on CVE-2014-0160, mutta maailmalla se tunnetaan nimellä Heartbleed. 

– Sen nimen keksi Herralan Ossi, joka oli meillä firman sisällä korjaamassa meidän järjestelmiä ja työskentelemässä haavoittuvuuden parissa, kertoo Antti Karjalainen, yksi tietoturva-aukon löytäneistä Codenomiconin tutkijoista.

Heartbleed, eli sydänverenvuoto viittaa OpenSSL:n Heartbeat-nimiseen toimintoon, josta tietoja vuotava aukko löytyi.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Codenomicon varasi verkko-osoitteen Heartbleed.com, ja laati sinne selkeästi kirjoitetun paketin tietoturva-aukosta. Yrityksen graafikko loi aukolle myös yksinkertaisen vertavuotavaa sydäntä esittävän logon.

– Meillä oli myös web-asiantuntijoita, jotka tiesivät, miten sivut voidaan jakaa mahdollisimman lyhyessä ajassa, Karjalainen sanoo. 

Sivu on Amazonin pilvipalvelimilla, joten esimerkiksi Aasiassa sivulle tulevat kävijät menevät itse asiassa Amazonin palvelimiin Aasiassa, kun taas Yhdysvalloissa kävijät vierailevat paikallisilla Amazonin palvelimilla.

OpenSSL-järjestelmän kehittäjät julkistivat tiedotteen Codenomiconin löytämästä aukosta maanantai-iltana, ja tutkijoille tuli kiire julkistaa myös oma verkkosivunsa.

– Seurasimme sosiaalista mediaa, Twitteriä ja blogeja, ja saimme sieltä parannusehdotuksia, Karjalainen kertoo.

– Palautteen perusteella parantelimme sivua ja päivitimme ajanmukaiseksi. Sivusto kehittyi ensimmäisten tuntien aikana.

Heartbleed -nimitys korvasi netissä nopeasti haavoittuvuuden virallisen nimen, ja myös logo löytyy esimerkiksi aukon testisivustoilta.

Karjalaisen mukaan Heartbleed.com -sivustolla oli tiistai-iltaan mennessä vieraillut noin puoli miljoonaa kävijää.

– Firman sisäisesti käytettiinkin tästä tapauksesata Bug 2.0 -nimeä. Ei me olla tässä laajuudessa aiemmin tehty bugijulkistusta, Karjalainen sanoo.

Kommentit

    Näytä lisää