Salakavalan haavoittuvuuden laajuudesta ei saada varmuutta - Taloussanomat - Ilta-Sanomat

Salakavalan haavoittuvuuden laajuudesta ei saada varmuutta

Suomessa viidessä prosentissa salausta käyttävistä verkkosivustoista löytyi vakava Heartbleed-haavoittuvuus, joka paljasti palvelimien tietoja ja ehkä myös käyttäjien salasanoja.

9.4.2014 16:41 | Päivitetty 9.4.2014 16:41

– Nyt on tehty hartiavoimin työtä täällä meillä täällä Kyberturvallisuuskeskuksessa että eri palveluntarjoajilla, kertoo johtava asiantuntija Kauto Huopio Viestintäviraston alaisesta Kyberturvallisuuskeskuksesta.

–  Haavoittuvuutta on paikattu viimeisen vuorokauden aikana hyvinkin aktiivisesti.

Verkkopalveluiden salauksessa käytetystä OpenSSL-protokollasta löytynyt haavoittuvuus tuli julki maanantai-iltana. OpenSSL:ää käytetään muun muassa https-salauksessa.

– Siinä vaiheessa kun haavoittuvuus tuli julkisuuteen, noin viidessä prosentissa salausta käyttävistä verkkopalveluista Suomessa oli haavoittuvuus, Huopio kertoo.

– Olemme aktiivisesti tiedottaneet haavoittuvuudesta tiedossamme olevien haavoittuvien palvelimien ylläpitäjille internet-palveluntarjoajien kautta. 

Huopio ei kuitenkaan lähde julkisesti yksilöimään, mistä palveluista haavoittuvuus on Suomessa löytynyt. Hänen mukaansa mukana on ollut esimerkiksi yritysten kirjautumista vaativia tilausjärjestelmiä ja asiakasportaaleja.

Haavoittuvuus on kuitenkin varmuudella löytynyt muun muassa kansainvälisestä Yahoo-verkkopalvelusta sekä monissa suomalaisissa oppilaitoksissa käytetystä Wilma-järjestelmästä.

Haavoittuvuus on OpenSSL:n vuonna 2012 julkaistussa versiossa, eli tietoturva-aukko on ollut avoinna jo pari vuotta. Haavoittuvuuden avulla palvelimista on voinut saada satunnaista OpenSSL-kirjastoa käyttävän ohjelmiston muistisisältöä, johon on voinut kuulua esimerkiksi viestiliikennettä ja palvelun käyttäjien käyttäjätunnuksia ja salasanoja.

Erittäin vakavan haavoittuvuudesta tekee se, että hyökkääjät saattoivat kopioida aukon avulla palvelimen salausavaimet, joiden avulla voi palvelimen liikennettä voi seurata.

Lisäksi haavoittuvuuteen on suhteellisen helppo hyökätä eikä tietomurrosta jää mitään jälkiä. Vaarantuneiden tietojen määrästä ei siis ole olemassa kuin epämääräisiä arvioita.

Huopio ei osaa sanoa, kuinka suuressa osassa Suomen salausta käyttävistä verkkopalveluista on yhä niin sanottu Heartbleed-haavoittuvuus. 

Esimerkiksi tietoturvayhtiö Netcraft on arvioinut, että haavoittuvien SSL-suojattujen palvelimien osuus koko maailmassa olisi 17 prosenttia, kun taas tutkimusyhtiö Gartnerin mukaan osuus olisi jopa lähes kolmannes. Suomessa tilanne olisi siis parempi kuin kansainvälisesti.

–  Tuo haavoittuvuus on kuitenkin sitä vakavuusluokkaa, että annoimme asiasta Kyberturvallisuuskeskuksen ensimmäisen varsinaisen varoitus-luokan tiedotteen, Huopio kertoo.

– Tämä on ehdottomasti sellainen tapaus, joka vaatii haavoittuvien palvelimien ylläpitäjiltä välittömiä toimenpiteitä.  

Haavoittuvuudelle on jo julkaistu paikkaus. Palvelinohjelmiston päivittämisen lisäksi palvelun ylläpitäjien pitäisi uusia myös palvelimen salausavaimet, sillä muuten palvelimen tietoliikennettä voi seurata myös korjauksen päivittämisen jälkeen.

Vaarantuneet verkkopalvelut lähettävät todennäköisesti käyttäjille lähiaikoina kehoituksia uusia käyttäjätunnuksensa ja salasanansa, jotka ovat saattaneet joutua hyökkääjille. 

Osion tuoreimmat

Luitko jo nämä?