Digitoday

Valikko

Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä

Oululaisen tietoturvayhtiö Codenomiconin tutkijat löysivät vakavan haavoittuvuuden nettipalvelimien salauksesta. Niin sanottu Heartbleed-haavoittuvuus tuli julki maanantaina, mutta itse tietoturva-aukko löytyi viikko lähes sivutyönä.


Oulaisen Codenomicon-tietoturvayhtiön tutkijat  Matti Kamunen, Antti Karjalainen ja Riku Hietamäki eivät viikko sitten ryhtyneet tarkoituksella etsimään tietoturva-aukkoja OpenSSL-protokollan kaksi vuotta sitten julkaistusta versiosta. 

Vakavan haavoittuvuuden löytyminen oli oikeastaan varsinaisen työn sivutuote.

– Olimme päivittämässä meidän yrityksemme omaa työkalu TSL-protokollan testaukseen, ja tekemässä siihen uutta ominaisuutta, joka tunnistaa tämän kaltaisia tietoturva-aukkoja, kertoo Karjalainen.

– Kehitystyössä tarvitsemme kohteita, joten siinä tulee samalla testattua myös se vastapää tavallaan sivutuotteena. Aikaisemmin ei kuitenkaan ole löytynyt mitään näin vakavaa.

Muun muassa verkkosivustojen https-suojauksessa käytetty OpenSSL-protokolla sai pari vuotta sitten heartbeat-nimisen ominaisuuden, jonka avulla ssl-suojatussa yhteydessä olevat koneet varmistavat lyhyillä viesteillä, että toinen kone on vielä verkossa. Vakava tietoturva-aukko löytyi tuosta viestinvaihdosta.

–  Olimme tekemässä työkaluun heartbeat-tukea. Vaikka meillä on ollut työkalu aikasemmin, niin päivityksen jälkeen meillä oli keinot havaita näitä ongelmia. Teimme torstaiaamuna uusia testejä, kun huomasimme, että toteutus vuotaa tietoa, Karjalainen sanoo.

Torstai-iltapäivällä tutkijat tulivat siihen tulokseen, että vuoto oli vakava. OpenSSL:llä suojatusta verkkopalvelimen muistista pystyi huijaamaan tietoja erityisesti muotoillun heartbeat-viestin avulla. Hyökkääjä saattoi saada haltuunsa muun muassa palvelimen salausavaimet, joiden palvelimen tietoliikenteen salauksen pystyi avaamaan. Hyökkäys oli melko helppo tehdä, ja lisäksi siitä ei jäänyt palvelimelle mitään jälkeä, joten sen huomaaminen oli lähes mahdotonta.

Esimerkiksi tietoturvayhtiö Netcraftin mukaan haavoittuvuuden sisältävä OpenSSL-versio on käytössä on noin puolessa miljoonassa SSL-suojatussa verkkopalvelimessa.

Tässä vaiheessa Codenomiconin tutkijat raportoivat asiasta Viestintäviraston alaiselle Kyberturvallisuuskeskukselle, jossa aloitettiin jo samana iltana riskianalyysit.

–  Codenomicon toimi parhaiden vastuullisten tutkimuskäytäntöjen mukaan, sanoo johtava asiantuntija Kauto Huopio Kyberturvallisuuskeskuksesta.

– He ottivat yhteyttä meidän henkilöihimme, ja käynnistimme normaalin verifiointiprosessin, jossa todettiin muun muassa että haavoittuvuus oli olemassa.

Riskianalyysi oli valmiina perjantaiaamuna, kun Karjalainen tuli töihin. Karjalainen haluaa kehua riskianalyysin teosta erityisesti Kyberturvallisuuskeskuksen Ilkka Mattilaa ja Jussi Erosta, sekä Clarified Networks -tietoturvayhtiön asiantuntijaa Sauli Pahlmania.

– Riskianalyysista tiesimme, että tämä oli äärimmäisen vakava haavoittuvuus, Karjalainen sanoo.

Kyberturvallisuuskeskuksen tehtäväksi jäi muun muassa tiedottaminen haavoittuvuudesta eteenpäin. Erittäin vakavasta haavoittuvuuden julkistamisessa haluttiin olla erittäin varovainen, ettei tieto vuoda verkkorikollisille ennen kuin haavoittuvat palvelimet oli saatu suojattua.

Codenomiconissa taas keskityttiin omien verkkopalvelimien suojaukseen. Tutkijat alkoivat myös miettiä kriisiviestintää, eli miten löydöstä kerrotaan mahdollisimman tasapuolisesti eteenpäin sitten kun se julkistettaisiin.

– Firmassa meni monella työntekijällä viikonloppuvapaat, Karjalainen sanoo.

– Sunnuntai-iltapäivä ja maanantai meni aika paljon Heartbleed.com -verkkosivuston laatimisessa.

Heartbleed eli "sydänverenvuoto" oli Codenomiconissa keksitty nimi heartbeat-toiminnosta löytyneelle tietovuodolle. Tutkijat kokosivat Heartbleed.com -osoitteeseen perustamalle sivustolle mahdollisimman valmiin tietopaketin löydöstään.

Nopea julkistus yllätti


Kyberturvallisuuskeskus raportoi Codenomiconin löydöstä maanantaina OpenSSL:n kehitysyhteisölle. OpenSSL-ryhmä ei vastannut viestiin, mutta sen sijaan julkisti haavoittuvuuden jo samana iltana.

Nopea julkistus yllätti sekä Codenomiconin että Kyberturvallisuuskeskuksen.

–  Tässä olisi ollut tärkeää, että haavoittuvuuden korjaus olisi saatu levitettyä ensin käyttöjärjestelmäpakettien kehittäjille, sanoo Huopio.

–  Jos olisi ollut muutamakin viikko aikaa, niin tietoa olisi pystytty jakamaan ja julkaisemaan tietoa eteenpäin koordinoidummin.

Myös Codenomicon joutui julkaisemaan Heartbleed.com -sivusto odotettua aiemmin. Sivustoa päivitettiin maanantaina muilta tietoturvatutkijoilta Twitterissä tulleiden lisäkysymysten avulla.

Tajuttiinko aukon laajuutta?


Huopio ja Karjalainen voivat vain arvailla syytä OpenSSL-ryhmän nopeaan julkistukseen. Googlen turvallisuustutkija Neel Mehta oli ehtinyt raportoida haavoittuvuudesta OpenSSL-ryhmälle jo ennen Codenomiconia.

– Ehkä he arvelivat Kyberturvallisuuskeskuksen raportin jälkeen, että tieto aukosta alkaa levitä laajemmalle, ja päättivät toimia siksi nopeasti, pohtii Karjalainen.

OpenSSL-ryhmän tiedotteen ja Googlen tutkijoiden Twitter-viestien perusteella Karjalainen arvelee, etteivät nämä ymmärtäneet ongelman koko laajuutta.

– Se vaikutti jotenkin maton alle lakaisemiselta. Mutta Codenomiconilla tiedettiin muun muassa se, että myös salausavaimetkin vuotavat, ja asiasta täytyy tiedottaa nopeasti.

Karjalaisen mukaan Codenomicon ei aio enää ryhtyä jatkotoimiin OpenSSL-haavoittuvuuden torjunnassa.

– Nyt tämä on kansainvälisen internet-yhteisön käsissä. Mitään ei kuitenkaan olisi tapahtunut, jos emme olisi tiedottaneet asiasta tarpeeksi näkyvästi. Nyt on vain tavoitteena, että verkkopalvelut päivittäisivät palvelimensa.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Valtava jäävuori uhkaa irrota Etelämantereelta – kauhuskenaariona maailmanlaajuiset seuraukset

    2. 2

      George W. Bushin taistelu kertakäyttösadetakin kanssa varasti huomion Trumpin virkaanastujaisissa – internet sekosi kuvasarjasta

    3. 3

      Mikä kaunotar! Ivanka Trump, 35, käänsi katseet vaaleanpunaisessa prinsessapuvussaan

    4. 4

      Näin Trump aikoo muuttaa maailmaa – arvostettu amerikkalainen tutkimuslaitos listasi pääkohdat

    5. 5

      Tappolistat, agentit, vakoilusatelliitit... 8 salaisuutta, jotka Donald Trump saa tietää virkaan astuttuaan

    6. 6

      Upea Melania Trump varasti huomion tanssiaisissa – presidenttipari tanssi My Wayn tahtiin

    7. 7

      Juha Mieto joutui antamaan periksi nykyajalle – yhdestä periaatteesta hän ei kuitenkaan luovu ikinä

    8. 8

      Miksi Trump vannoi valansa käsi kahdella Raamatulla?

    9. 9

      6 yleistä virhettä, jotka sinäkin luultavasti teet joka kerta suihkussa

    10. 10

      Kumppaniaan pettänyt listaa: ”Olisinpa tiennyt nämä asiat ennen kuin petin”

    11. Näytä lisää
    1. 1

      IS seurasi hetki hetkeltä: Trumpin ensimmäinen päivä presidenttinä huipentui tanssiaisiin

    2. 2

      6 yleistä virhettä, jotka sinäkin luultavasti teet joka kerta suihkussa

    3. 3

      Uimapukumalli Chrissy Teigen jakoi rehellisen kuvan reisistään – miehet hämmentyivät: ”Olen katsonut tätä jo minuutin, ja...”

    4. 4

      Psykologi lataa: ADHD-tyyppisistä oireista suuri osa johtuu vanhemmuuden puutteesta

    5. 5

      Mikä kaunotar! Ivanka Trump, 35, käänsi katseet vaaleanpunaisessa prinsessapuvussaan

    6. 6

      Kiusallinen sekaannus Melania Trumpin ja Michelle Obaman välillä – presidenttiparit pyörivät Valkoisen talon portailla hämmentyneinä

    7. 7

      Haapaveden tragedian sotaveteraani taisteli oikeudessa sairauskorvauksesta – ”Loppuun saakka terävä pää”

    8. 8

      Sarjahukuttajan puhelin hälyttää, mutta missä? Poliisin paikannusyritys jäi tuloksettomaksi

    9. 9

      Kumppaniaan pettänyt listaa: ”Olisinpa tiennyt nämä asiat ennen kuin petin”

    10. 10

      Juo aamulla vettä tyhjään vatsaan – 8 mahtavaa vaikutusta

    11. Näytä lisää
    1. 1

      Juo aamulla vettä tyhjään vatsaan – 8 mahtavaa vaikutusta

    2. 2

      Häikäisevän kaunis morsian! Mika Häkkinen ja Marketa pääsivät poroajelun kyytiin – suloiset lapset mukana

    3. 3

      Mikan ja Marketan rakkaustarina – saksalaislehti paljasti kaunottaren menneisyyden

    4. 4

      Perhe etsii vastausta kammottavaan kuvaan – mitä tai mikä ilmestyi yhtäkkiä yöllä kotipihalla otettuun valokuvaan?

    5. 5

      Serbian seksikkäin laulaja Milica, 25, purskahti korsetistaan ulos kesken keikan – yleisö villiintyi

    6. 6

      Nainen synnytti salaa vessassa – raskaudesta tietämättömät vanhemmat havahtuivat pamaukseen

    7. 7

      Kolme povekasta blondia: Natalie, 45, sekoitetaan jatkuvasti tyttäriinsä – erotatko kuvista kuka on äiti?

    8. 8

      Yksi kuoli rekan pudottua moottoritieltä Lohjalla – erikoinen tapahtumaketju johti karmeaan turmaan

    9. 9

      Dramaattiset kuvat: Myrskypuuska romahdutti rakenteilla olleen, yli 100-neliöisen talon maan tasalle Kuopiossa

    10. 10

      Floridan poliisi julkaisi mykistävän videon rämeeltä – ”Kuka sanoi, että dinosaurukset ovat kuolleet sukupuuttoon?”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Valtava jäävuori uhkaa irrota Etelämantereelta – kauhuskenaariona maailmanlaajuiset seuraukset

    2. 2

      George W. Bushin taistelu kertakäyttösadetakin kanssa varasti huomion Trumpin virkaanastujaisissa – internet sekosi kuvasarjasta

    3. 3

      Mikä kaunotar! Ivanka Trump, 35, käänsi katseet vaaleanpunaisessa prinsessapuvussaan

    4. 4

      Näin Trump aikoo muuttaa maailmaa – arvostettu amerikkalainen tutkimuslaitos listasi pääkohdat

    5. 5

      Tappolistat, agentit, vakoilusatelliitit... 8 salaisuutta, jotka Donald Trump saa tietää virkaan astuttuaan

    6. Näytä lisää
    1. 1

      IS seurasi hetki hetkeltä: Trumpin ensimmäinen päivä presidenttinä huipentui tanssiaisiin

    2. 2

      6 yleistä virhettä, jotka sinäkin luultavasti teet joka kerta suihkussa

    3. 3

      Uimapukumalli Chrissy Teigen jakoi rehellisen kuvan reisistään – miehet hämmentyivät: ”Olen katsonut tätä jo minuutin, ja...”

    4. 4

      Psykologi lataa: ADHD-tyyppisistä oireista suuri osa johtuu vanhemmuuden puutteesta

    5. 5

      Mikä kaunotar! Ivanka Trump, 35, käänsi katseet vaaleanpunaisessa prinsessapuvussaan

    6. Näytä lisää
    1. 1

      Juo aamulla vettä tyhjään vatsaan – 8 mahtavaa vaikutusta

    2. 2

      Häikäisevän kaunis morsian! Mika Häkkinen ja Marketa pääsivät poroajelun kyytiin – suloiset lapset mukana

    3. 3

      Mikan ja Marketan rakkaustarina – saksalaislehti paljasti kaunottaren menneisyyden

    4. 4

      Perhe etsii vastausta kammottavaan kuvaan – mitä tai mikä ilmestyi yhtäkkiä yöllä kotipihalla otettuun valokuvaan?

    5. 5

      Serbian seksikkäin laulaja Milica, 25, purskahti korsetistaan ulos kesken keikan – yleisö villiintyi

    6. Näytä lisää