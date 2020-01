Kasaritähti laulaa NSA:n verkkosivuilla. Ei ihan, mutta näin ihmisille voi uskotella.

Hakkeri todistaa vanhalla nettipilalla, minkälaista vahinkoa tuoreella Windows-haavoittuvuudella voi saada aikaan. Microsoft korjasi yhden kaikkien aikojen pahimmista aukoistaan tiistaina.

Asiasta uutisoivat muun muassa Ars Technica ja TechRepublic. Tutkija Saleem Rashid kirjoitti alle päivässä aukon julkaisusta koodin, jolla hän esittelee haavoittuvuuden vaaroja käytännössä. Koodi todistaa lystikkäällä tavalla, miten aukolla voi väärentää uskottavasti verkkosivuja.

Rashid turvautui yhteen vanhimmista nettipiloista eli meemeistä ja rickrollasi niin Yhdysvaltain aukosta raportoineen NSA-viraston kuin koodipalvelu Githubin. Hän twiittasi tempustaan kuvakaappauksin.

Rashid ohjasi NSA:n sivulle suunnatun nettiliikenteen väärälle sivulle, jonka osoite näytti aidolta – mutta siellä tervehti Rick Astley. Rickrollaus tarkoittaa nettikäyttäjän ohjaamista verkkosivulle, joka vastoin odotuksia alkaa soittaa Rick Astleyn kasarihittiä Never Gonna Give You Up.

Rashidin onnistui toteuttaa tämä niin, että Astley näyttää poppaavan NSA:n ja Githubin aidoilla sivuilla. Sen lisäksi, että osoitteet näyttävät aidoilta hänen testaamansa Chrome että Edge-selain väittävät sivustojen tarjoaman sertifikaatin olevan aito.

Vaikka kyseessä on pila, se tuo hyvin esiin haavoittuvuuden vaarallisuuden. Rick Astleyn sijaan rikollinen tai vakooja voisi kopioida aidon verkkosivun sisältöä, jolloin verkko-osoitteen näyttäessä oikealta ei uhrilla välttämättä olisi keinoa tunnistaa huijausta ennen tietojensa, kuten luottokortin numeron, luovuttamista.

Firefoxissa Rashidin koodi ei toiminut. On muutenkin olemassa useita esteitä ennen kuin hänen menetelmänsä voi aiheuttaa todellista uhkaa käyttäjille. Ars Technica muun muassa huomauttaa, että hyökkääjän pitäisi ensin esimerkiksi päästä uhrin ja verkkosivun väliin tietoliikennettä salakuuntelemaan tai saada uhri klikkaamaan väärää verkkosivulinkkiä. Sitä varten uhrista pitäisi kuitenkin ensin tietää tiettyjä asioita, kuten hänen viime aikoina käyttämänsä verkkosivut.

Tietoturvayhtiö Sophoksen blogi kiteyttää uhkan syyn nasevasti. Kyse on kuin taikakoneesta, joka suoltaa vääriä henkilötodistuksia, jotka näyttävät hyviltä paitsi poliisin silmissä, myös silloin kun hän ajaa ne päämajaan yhteydessä olevan skannerinsa läpi.

Itse haavoittuvuus on verkkosivujen väärentämistä moninaisempi uhka. Sen avulla hyökkääjän on mahdollista luoda omalle ohjelmalleen vain luotettaville sovelluksille kuuluva digitaalinen allekirjoitus ja saada ohjelmansa vaikuttamaan aidolta.

Haavoittuvuus koskee Windows 10:tä, Windows Server 2016:ta ja Windows Server 2019:ää. Jos et ole koskenut Windowsin päivitysasetuksiin, olet mitä todennäköisimmin jo suojassa.