Tietoturva

Suomalaisten operaattoreiden ja poliisin verkkosivuilla vakava tietoturva-aukko

Julkaistu:

Muun muassa Soneran, DNA:n ja Elisan sekä poliisin verkkosivuilla on käytetty vanhaa suojausprotokollaa, josta on löydetty aukko voi vaarantaa myös uudet turvakeinot.
Soneran, DNA:n ja Elisan sekä sisäministeriön ja poliisin verkkopalveluissa on käytetty vanhentunutta salausprotokollaa, jonka avulla on mahdollista esimerkiksi seurata salattua verkkoliikennettä.

Viestintävirasto julkaisi tänään keskiviikkona tiedotteen, jossa se kertoo vakavasta haavoittuvuudesta SSLv2-salausprotokollassa. Niin sanotun Drown-haavoittuvuuden avulla on mahdollista purkaa salattuja yhteyksiä ja vakoilla liikennettä.

SSLv2-salausprotokolla on todettu turvattomaksi jo vuosia sitten, eikä se ole varsinaisesti ollut käytössä, joten siitä ei pitänyt olla mitään vaaraa.

Uuden havainnon mukaan se kuitenkin saattaa vaarantaa myös uudempaa TLS-salausprotokollaa käyttävät palvelut, jos samaa varmennetta käytetään usealla palvelimella, ja näistä yksikin käyttää vanhaa SSLv2-salausprotokollaa.
MAINOS (TEKSTI JATKUU ALLA)
MAINOS PÄÄTTYY

Haavoittuvuuden löytäjät ovat luoneet testisivun, jonka avulla voi selvittää, löytyykö Drown-haavoittuvuus jostakin tietystä verkkosivusta tai -palvelusta. Haun perusteella haavoittuvia ovat esimerkiksi DNA-operaattorin pääsivu dna.fi. Haavoittuvia ovat myös useat Sonera.fi- ja Elisa.fi-päätteiset verkkosivut.

Lisäksi Drown-haavoittuvuus löytyy useilta sisäasianministeriön sivuilta, muun muassa intermin.fi- sekä sisaministerio.fi-sivustoilta. Myös poliisi.fi-, suojelupoliisi.fi- sekä poliisihallitus.fi -sivuilla on käytössä sama haavoittuvuuden sisältävä SSLv2-tietoturva-aukko.

– Aloitimme päivitykset heti, kun saimme eilen ilmoituksen, kertoo DNA:n yritysturvallisuuspäällikkö Heikki Tolvanen.

– Tarkkaa aikataulua paikkauksille ei ole, mutta toki teemme sen mahdollisimman nopeasti. Hyvä jos tämän päivän aikana.

Tolvasen mukaan SSLv2-protokollaa käyttävillä palvelimilla on ollut muun muassa verkkokaupan palveluita. Käyttäjien tiedot eivät hänen tietääkseen ole kuitenkaan vaarantuneet. Palvelimien paikkaus on sinänsä melko nopea rutiinitoimenpide, jossa SSLv2 poistetaan kokonaan ja palvelinohjelmisto päivitetään.

Myöskään Soneran tietoturva-asiantuntijan Arttu Lehmuskallion mukaan Soneran asiakkaiden tiedot ovat tuskin vaarantuneet, vaikka vanha salausprotokolla onkin ollut useilla yhtiön palvelimilla.

– Listalta löytyneissä osoitteissa ei ole sisäänkirjautumismahdollisuutta, ja sieltä löytyy muun muassa häiriö- ja kuuluvuuskartta, eli ei varsinaisesti salaista tietoa, Lehmuskallio sanoo.

– Suurempi vaara on palveluilla, joissa on todella tärkeitä salaisuuksia. Silloin hyökkääminen saattaisi olla jollekin vaivan arvoinen.

Elisan kyberturvallisuuspäällikön Petri Vilanderin mukaan yhtiö alkoi eilen kartoittaa mahdollisia vaarantuneita palvelimia, mutta päivitysten aikataulusta on vielä liian aikaista sanoa mitään.

Haavoittuvuuden hyväksikäyttö vaatii vaivaa

Hyökkääminen SSLv2-salausprotokollasta löytyneen haavoittuvuuden avulla ei ole aivan helppoa.

– Hyödyntääkseen haavoittuvuutta TLS-salattujen yhteyksien purussa hyökkääjän tulee kerätä noin 1000 TLS-kättelyä, jotta haavoittuva RSA-salattu paketti löytyy. Tämän jälkeen hyökkääjän tulee tehdä palvelimelle noin 40 000 kyselyä, jolla pyritään selvittämään niin sanottu Master secret. Palvelimen tukiessa SSLv2:ta salauksen murtaminen vaatii keskimäärin 2 50 laskutoimitusta, joka tehokkaassa laskentaa tarjoavassa pilvipalvelussa maksaa noin 400 euroa, kerrotaan Viestintäviraston tiedotteessa.

Hyökkääjän täytyy siis päästä käsiksi esimerkiksi yrityksen verkkoliikenteeseen, jotta pääsisi purkamaan viestintää.

– Salaiseen verkkoliikenteeseen voisi ehkä päästä seuraamalla liikennettä avoimessa wlan-verkossa, sanoo tietoturva-asiantuntija Ilkka Sovanto Viestintäviraston Kyberturvallisuuskeskuksesta.

Tämän jälkeen pitäisi löytää palvelu, jossa käytetään SSLv2-suojausta sekä samaa varmennetta TLS-suojauksen kanssa.

Yleensä hyökkäykset tietoturva-aukkoja vastaan lisääntyvät niiden julkaisun jälkeen. Sovanto ei kuitenkaan usko, että laajamittaista hyökkäyskampanjaa on nyt tulossa. Uuteen tietoturva-aukkoon suhtaudutaan kuitenkin vakavasti, ja Viestintävirasto aikoo tarkkailla paikkausten edistymistä.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Timon vaimolla todettiin aggressiivinen keuhkosyöpä: ”Mari niin toivoi, että näkisi kevään”

    2. 2

      Matt Damon avasi suunsa Harvey Weinsteinista: ”Tiesin hänen olevan k-sipää”

    3. 3

      ”Ari” on kuin ilmetty menestyvä ura­tykki – oikeasti perä­kamarin poika elää eläkeläis­vanhempiensa rahoilla

    4. 4

      Omakotitalossa palo Kirkkonummella – kaksi ihmistä kuoli

    5. 5

      Rugbytähti yritti paijata leijonaa karmein seurauksin – kuva ei herkimmille

    6. 6

      Heidi Selin suunnitteli supertähdille vaatteita – sitten elämä Yhdysvalloissa romahti hetkessä

    7. 7

      Tomi Metsäkedon jatko Mamma Mia! -musikaalissa epävarma – vastaava tuottaja: ”Nollatoleranssi tällaiseen käytökseen”

    8. 8

      Wahlroos latasi palkan­korotuksista: ”Paperi­kone menee kiinni”

    9. 9

      Trumpin loukkaama sotilaan leski astui esiin – kertoi kohu­puhelusta omin sanoin

    10. 10

      Näyttelijä Melissa Bellin, 44, kuppikoko on K – avautuu vaikeuksista: ”Rinnoistani on tullut ongelma”

    11. Näytä lisää
    1. 1

      Maria Veitola laukoo suorat sanat Tomi Metsäkedon Tähdet, tähdet -potkuista – ”Hänellä on selkeä ongelma”

    2. 2

      Jouni Hynynen koki hurjan muodonmuutoksen – ajoi päänsä kaljuksi: tunnistaisitko rokkaria?

    3. 3

      Räikkösen ja Verstappenin kohutilanteesta iso meteli – nyt puhuu F1-kisatuomari Mika Salo: ”Ei ollut mitään epäilystä”

    4. 4

      Verorahoilla jonojen ohi leikkaukseen jo nyt? Näin Laura Räty ohjaa jo täyttä vauhtia lääkäreitä lähettämään potilaansa yksityiselle puolelle hoitoon

    5. 5

      Harvinainen haastattelu uutuuskirjassa: Mika Myllylän tytär kertoi rehellisesti äitinsä koettelemuksista – ”Sellaista julmuutta en pysty ymmärtämään”

    6. 6

      Mika Salo julkaisi harvinaisen videon F1-tuomarien huoneesta – tämä sinetöi Verstappenin kohtalon Räikköstä vastaan

    7. 7

      ”Ari” on kuin ilmetty menestyvä ura­tykki – oikeasti perä­kamarin poika elää eläkeläis­vanhempiensa rahoilla

    8. 8

      Heidi Selin suunnitteli supertähdille vaatteita – sitten elämä Yhdysvalloissa romahti hetkessä

    9. 9

      Max Verstappenilta kova syytös F1-tuomarille: ”Siellä on se yksi idiootti”

    10. 10

      Mies antoi 14-vuotiaalle kannabista ja harrasti tämän kanssa seksiä – ei tuomiota seksuaalisesta hyväksikäytöstä

    11. Näytä lisää
    1. 1

      Työttömät kieltäytyivät työstä aina samalla selityksellä – teollisuuspohatan vastaveto saikin hakijan leuan loksahtamaan

    2. 2

      Dopingtuomion saaneen Therese Johaugin ulkoinen olemus on jotain aivan muuta kuin kaksi kuukautta sitten – katso kuvat

    3. 3

      Leivinuunin ”lisälaite” yllätti pariskunnan – tunnelmallinen lauantai-ilta meni pilalle

    4. 4

      Thaimaalaista Marisaa vietiin, kun Pattayan baarikadulla asteli vastaan suomalainen Mauri: ”Olen onnen nainen, kun sain hyvän miehen”

    5. 5

      Maria Veitola laukoo suorat sanat Tomi Metsäkedon Tähdet, tähdet -potkuista – ”Hänellä on selkeä ongelma”

    6. 6

      Tutut liikennemerkit muuttuvat sukupuolineutraaleiksi – katso kuvat!

    7. 7

      Näin päättyi Napakymppi-parin Ikaalisten matka – piikki auki, Ville jätti taksit maksamatta: ”Odotin, milloin pääsen pois”

    8. 8

      Lahdesta löytynyt vainaja edelleen tunnistamatta – poliisi julkaisi poikkeuksellisesti kuvan ruumiista

    9. 9

      Nuoren Emman netti-ihastus olikin kaljuuntuva, 53-vuotias kauppias – sen jälkeen tapahtui jotain käsittämätöntä

    10. 10

      Kova väite K-Supermarketin kalatiskin kikasta ja takahuoneen tapahtumista – 22-vuotias Miss Tampere kertoo olevansa yksi kauppiaan uhreista

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Timon vaimolla todettiin aggressiivinen keuhkosyöpä: ”Mari niin toivoi, että näkisi kevään”

    2. 2

      Matt Damon avasi suunsa Harvey Weinsteinista: ”Tiesin hänen olevan k-sipää”

    3. 3

      ”Ari” on kuin ilmetty menestyvä ura­tykki – oikeasti perä­kamarin poika elää eläkeläis­vanhempiensa rahoilla

    4. 4

      Omakotitalossa palo Kirkkonummella – kaksi ihmistä kuoli

    5. 5

      Rugbytähti yritti paijata leijonaa karmein seurauksin – kuva ei herkimmille

    6. Näytä lisää
    1. 1

      Maria Veitola laukoo suorat sanat Tomi Metsäkedon Tähdet, tähdet -potkuista – ”Hänellä on selkeä ongelma”

    2. 2

      Jouni Hynynen koki hurjan muodonmuutoksen – ajoi päänsä kaljuksi: tunnistaisitko rokkaria?

    3. 3

      Räikkösen ja Verstappenin kohutilanteesta iso meteli – nyt puhuu F1-kisatuomari Mika Salo: ”Ei ollut mitään epäilystä”

    4. 4

      Verorahoilla jonojen ohi leikkaukseen jo nyt? Näin Laura Räty ohjaa jo täyttä vauhtia lääkäreitä lähettämään potilaansa yksityiselle puolelle hoitoon

    5. 5

      Harvinainen haastattelu uutuuskirjassa: Mika Myllylän tytär kertoi rehellisesti äitinsä koettelemuksista – ”Sellaista julmuutta en pysty ymmärtämään”

    6. Näytä lisää
    1. 1

      Työttömät kieltäytyivät työstä aina samalla selityksellä – teollisuuspohatan vastaveto saikin hakijan leuan loksahtamaan

    2. 2

      Dopingtuomion saaneen Therese Johaugin ulkoinen olemus on jotain aivan muuta kuin kaksi kuukautta sitten – katso kuvat

    3. 3

      Leivinuunin ”lisälaite” yllätti pariskunnan – tunnelmallinen lauantai-ilta meni pilalle

    4. 4

      Thaimaalaista Marisaa vietiin, kun Pattayan baarikadulla asteli vastaan suomalainen Mauri: ”Olen onnen nainen, kun sain hyvän miehen”

    5. 5

      Maria Veitola laukoo suorat sanat Tomi Metsäkedon Tähdet, tähdet -potkuista – ”Hänellä on selkeä ongelma”

    6. Näytä lisää