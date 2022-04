Ohjelmistovirhe voi aiheuttaa merkittävän uhan tietoverkoille ympäri maailman.

Oraclen omistamasta Java-ohjelmistosta löytyi viime viikolla kriittinen haavoittuvuus, joka koskee verkossa käytettävien varmenteiden tarkistusta. Tietoturva-aukko saattaa olla hyvinkin merkittävä ja jopa antaa ulkopuolisille pääsyn tietoverkkoihin esimerkiksi ilman salasanakyselyä tai muuta tunnistautumista.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen mukaan rikollisten on esimerkiksi mahdollista väärentää tls-varmenne ja varmenteen allekirjoituksia. Tls on digitaalinen allekirjoitus, joka kertoo, että nettiyhteys on otettu oikeaan kohteeseen. Se esimerkiksi kertoo verkkosivun omistajan olevan todella se taho, joka se väittää olevansa.

Lisäksi aukon avulla voidaan väärentää kaksivaiheisen tunnistautumisen viestejä sekä avoimissa standardeissa laajalti valtuutukseen käytettyjä tunnisteita. Kyberturvallisuuskeskuksen mukaan palvelimien ylläpitäjien tulee asentaa haavoittuvuuden korjaavat päivitykset niin pian kuin mahdollista.

Haavoittuvuus voi koskea myös tavallista tietokoneen käyttäjää. Kyberturvallisuuskeskuksen mukaan Java-käyttöiset monivaiheisen tunnistautumisen välineet voivat olla alttiita haavoittuvuudelle. Esimerkiksi tietokoneen usb-porttiin kytkettävissä tunnistuslaitteissa saatetaan käyttää haavoittuvaa tekniikkaa.

– Hyökkääjä pystyttää palvelimen osoitteeseen webiposti.net (yksi b-kirjain) ja harhauttaa uhrin vierailemaan siellä aidon webbiposti.net:n (kaksi b-kirjainta) asemesta. Hyökkääjä esittää uhrin tunnistuslaitteelle aidon palvelimen varmenteesta muokatun varmenteen. Tunnistuslaite uskoo muokatun varmenteen olevan aito ja lähettää uhrin tunnistustiedot hyökkääjän palvelimelle. Nyt hyökkääjällä on kaikki tieto, jonka hän tarvitsee kirjautuakseen uhrin webbiposti.net-käyttäjätilille, Kyberturvallisuuskeskuksen erityisasiantuntija Juha Tretjakov hahmottaa.

– Toisin sanoen haavoittuvaa Javaa käyttävä monivaiheinen tunnistus ei enää suojaa väliintulohyökkäyksiltä, joilta suojaamaan se on luotu.

Haavoittuvuuden löytäneen tietoturvayhtiö ForgeRockin tutkija Neil Madden vertaa haavoittuvuutta Doctor Who -tieteissarjan tyhjiin valkoisiin kortteihin, jotka toiselle näytettäessä saivat hänet näkemään, mitä ikinä kortin omistaja halusi.

Maddenin mukaan aukon vakavuutta on vaikea liioitella. Se voi esimerkiksi vaarantaa viestinnän luottamuksellisuuden. Aukon avulla joku voisi myös päästä sisälle esimerkiksi yritysverkkoon ilman minkäänlaista varmennusta, Ars Technica kuvailee.

The Register -uutispalvelun mukaan haavoittuvuutta on myös hyvin helppo käyttää hyväksi ja se on ilmeinen ohjelmointivirhe.

Hyvänä uutisena Maddenin mukaan aukko vaikuttaa koskevan vain Javan uudempia versioita 15:stä ylöspäin, eivätkä ne tiettävästi ole yhtä laajassa käytössä kuin vanhemmat versiot.

Oracle kuitenkin mainitsee myös aiemmat Javat haavoittuvina mahdollisesti toisen vastaavan haavoittuvuuden takia. On siis mahdollista, että nekin ovat vaarassa.

Kotikäyttäjän kannattaa yksinkertaisesti päivittää tietokoneensa ohjelmistot normaalilla tavalla. Päivitä myös kännyköiden ja tablettien ohjelmistot. Java-tulkki voi olla sulautettu tai integroitu eri palveluihin niin, ettei käyttäjä sitä itse ole asentanut tai edes tiedä sen olemassaolosta.

Sulautettuihin järjestelmiin, kuten usb-tunnistusavaimiin, ohjelmistopäivitykset saattavat tulla saataville myöhemmin tai eivät koskaan. Käyttäjän tulee seurata valmistajien tiedotteita ja toimia niiden mukaisesti.

Javaa käytetään hyvin laajasti etenkin internet-pohjaisissa sovelluksissa useilla eri teollisuudenaloilla. Tretjakov ei kuitenkaan usko, että tästä haavoittuvuudesta tulee yhtä paha ongelma kuin viime vuonna paljastunut Log4Shell-aukko Java-teknologiaan perustuvassa Apache Log4j -komponentissa. Tämä aukko koski muun muassa eri kotireitittimiä ja johti haittaohjelmahyökkäyksiin.

– Enpä usko, että tämä on alkuunkaan samaa kokoluokkaa. Log4shell-haavoittuvuus onneksi otettiin organisaatioissa vakavasti ja vakavilta sen aiheuttamilta ongelmilta vältyttiin, Tretjakov sanoo.