Digitoday

Valikko

Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä

Oululaisen tietoturvayhtiö Codenomiconin tutkijat löysivät vakavan haavoittuvuuden nettipalvelimien salauksesta. Niin sanottu Heartbleed-haavoittuvuus tuli julki maanantaina, mutta itse tietoturva-aukko löytyi viikko lähes sivutyönä.


Oulaisen Codenomicon-tietoturvayhtiön tutkijat  Matti Kamunen, Antti Karjalainen ja Riku Hietamäki eivät viikko sitten ryhtyneet tarkoituksella etsimään tietoturva-aukkoja OpenSSL-protokollan kaksi vuotta sitten julkaistusta versiosta. 

Vakavan haavoittuvuuden löytyminen oli oikeastaan varsinaisen työn sivutuote.

– Olimme päivittämässä meidän yrityksemme omaa työkalu TSL-protokollan testaukseen, ja tekemässä siihen uutta ominaisuutta, joka tunnistaa tämän kaltaisia tietoturva-aukkoja, kertoo Karjalainen.

– Kehitystyössä tarvitsemme kohteita, joten siinä tulee samalla testattua myös se vastapää tavallaan sivutuotteena. Aikaisemmin ei kuitenkaan ole löytynyt mitään näin vakavaa.

Muun muassa verkkosivustojen https-suojauksessa käytetty OpenSSL-protokolla sai pari vuotta sitten heartbeat-nimisen ominaisuuden, jonka avulla ssl-suojatussa yhteydessä olevat koneet varmistavat lyhyillä viesteillä, että toinen kone on vielä verkossa. Vakava tietoturva-aukko löytyi tuosta viestinvaihdosta.

–  Olimme tekemässä työkaluun heartbeat-tukea. Vaikka meillä on ollut työkalu aikasemmin, niin päivityksen jälkeen meillä oli keinot havaita näitä ongelmia. Teimme torstaiaamuna uusia testejä, kun huomasimme, että toteutus vuotaa tietoa, Karjalainen sanoo.

Torstai-iltapäivällä tutkijat tulivat siihen tulokseen, että vuoto oli vakava. OpenSSL:llä suojatusta verkkopalvelimen muistista pystyi huijaamaan tietoja erityisesti muotoillun heartbeat-viestin avulla. Hyökkääjä saattoi saada haltuunsa muun muassa palvelimen salausavaimet, joiden palvelimen tietoliikenteen salauksen pystyi avaamaan. Hyökkäys oli melko helppo tehdä, ja lisäksi siitä ei jäänyt palvelimelle mitään jälkeä, joten sen huomaaminen oli lähes mahdotonta.

Esimerkiksi tietoturvayhtiö Netcraftin mukaan haavoittuvuuden sisältävä OpenSSL-versio on käytössä on noin puolessa miljoonassa SSL-suojatussa verkkopalvelimessa.

Tässä vaiheessa Codenomiconin tutkijat raportoivat asiasta Viestintäviraston alaiselle Kyberturvallisuuskeskukselle, jossa aloitettiin jo samana iltana riskianalyysit.

–  Codenomicon toimi parhaiden vastuullisten tutkimuskäytäntöjen mukaan, sanoo johtava asiantuntija Kauto Huopio Kyberturvallisuuskeskuksesta.

– He ottivat yhteyttä meidän henkilöihimme, ja käynnistimme normaalin verifiointiprosessin, jossa todettiin muun muassa että haavoittuvuus oli olemassa.

Riskianalyysi oli valmiina perjantaiaamuna, kun Karjalainen tuli töihin. Karjalainen haluaa kehua riskianalyysin teosta erityisesti Kyberturvallisuuskeskuksen Ilkka Mattilaa ja Jussi Erosta, sekä Clarified Networks -tietoturvayhtiön asiantuntijaa Sauli Pahlmania.

– Riskianalyysista tiesimme, että tämä oli äärimmäisen vakava haavoittuvuus, Karjalainen sanoo.

Kyberturvallisuuskeskuksen tehtäväksi jäi muun muassa tiedottaminen haavoittuvuudesta eteenpäin. Erittäin vakavasta haavoittuvuuden julkistamisessa haluttiin olla erittäin varovainen, ettei tieto vuoda verkkorikollisille ennen kuin haavoittuvat palvelimet oli saatu suojattua.

Codenomiconissa taas keskityttiin omien verkkopalvelimien suojaukseen. Tutkijat alkoivat myös miettiä kriisiviestintää, eli miten löydöstä kerrotaan mahdollisimman tasapuolisesti eteenpäin sitten kun se julkistettaisiin.

– Firmassa meni monella työntekijällä viikonloppuvapaat, Karjalainen sanoo.

– Sunnuntai-iltapäivä ja maanantai meni aika paljon Heartbleed.com -verkkosivuston laatimisessa.

Heartbleed eli "sydänverenvuoto" oli Codenomiconissa keksitty nimi heartbeat-toiminnosta löytyneelle tietovuodolle. Tutkijat kokosivat Heartbleed.com -osoitteeseen perustamalle sivustolle mahdollisimman valmiin tietopaketin löydöstään.

Nopea julkistus yllätti


Kyberturvallisuuskeskus raportoi Codenomiconin löydöstä maanantaina OpenSSL:n kehitysyhteisölle. OpenSSL-ryhmä ei vastannut viestiin, mutta sen sijaan julkisti haavoittuvuuden jo samana iltana.

Nopea julkistus yllätti sekä Codenomiconin että Kyberturvallisuuskeskuksen.

–  Tässä olisi ollut tärkeää, että haavoittuvuuden korjaus olisi saatu levitettyä ensin käyttöjärjestelmäpakettien kehittäjille, sanoo Huopio.

–  Jos olisi ollut muutamakin viikko aikaa, niin tietoa olisi pystytty jakamaan ja julkaisemaan tietoa eteenpäin koordinoidummin.

Myös Codenomicon joutui julkaisemaan Heartbleed.com -sivusto odotettua aiemmin. Sivustoa päivitettiin maanantaina muilta tietoturvatutkijoilta Twitterissä tulleiden lisäkysymysten avulla.

Tajuttiinko aukon laajuutta?


Huopio ja Karjalainen voivat vain arvailla syytä OpenSSL-ryhmän nopeaan julkistukseen. Googlen turvallisuustutkija Neel Mehta oli ehtinyt raportoida haavoittuvuudesta OpenSSL-ryhmälle jo ennen Codenomiconia.

– Ehkä he arvelivat Kyberturvallisuuskeskuksen raportin jälkeen, että tieto aukosta alkaa levitä laajemmalle, ja päättivät toimia siksi nopeasti, pohtii Karjalainen.

OpenSSL-ryhmän tiedotteen ja Googlen tutkijoiden Twitter-viestien perusteella Karjalainen arvelee, etteivät nämä ymmärtäneet ongelman koko laajuutta.

– Se vaikutti jotenkin maton alle lakaisemiselta. Mutta Codenomiconilla tiedettiin muun muassa se, että myös salausavaimetkin vuotavat, ja asiasta täytyy tiedottaa nopeasti.

Karjalaisen mukaan Codenomicon ei aio enää ryhtyä jatkotoimiin OpenSSL-haavoittuvuuden torjunnassa.

– Nyt tämä on kansainvälisen internet-yhteisön käsissä. Mitään ei kuitenkaan olisi tapahtunut, jos emme olisi tiedottaneet asiasta tarpeeksi näkyvästi. Nyt on vain tavoitteena, että verkkopalvelut päivittäisivät palvelimensa.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Playboyssakin poseerannut ensimmäinen somekaunotar Christine Dolce on kuollut vain 35-vuotiaana

    2. 2

      Cheekiltä odottamaton sukupaljastus suorassa lähetyksessä – ”Wikipediaan voisi lisätä”

    3. 3

      Vantaalainen Marja, 68, ihmeissään: Auton tuulilasiin ilmestyi mystinen lappu parkkifirmalta – 3 viikon takaisesta pysäköinnistä

    4. 4

      Viisuvoittaja Loreenin räväkkä esitys varasti huomion – rinta lipui ulos topista: ”Miksi naiset eivät saisi olla puolialastomana?”

    5. 5

      Naisen salikuva sekoitti internetin – ovatko kaunottaren jalat todella nurinpäin vai huomaatko heti mistä on kyse?

    6. 6

      Carl Bildt jatkaa Trumpin Ruotsi-puheiden kummastelua – ”Jättäisi golfin väliin ja tulisi itse katsomaan”

    7. 7

      Ihmiset sekosivat Kanadan hurmuriministerin tiukoista housuista – kuvat pääministerin treenatusta takamuksesta leviävät vauhdilla

    8. 8

      Jannan raskaus päättyi kaksi vuotta sitten suunnattomaan suruun – julkaisi liikuttavan kuvan: ”Sanoin äidilleni, että vauva ei liiku”

    9. 9

      Lennun voittokulku Yhdysvalloissa jatkuu: Jimmy Fallon matki Niinistön koiran legendaarista virnistystä, yleisö villiintyi

    10. 10

      Mitä hotellista saa viedä mukanaan? Suomalaishotellit vastaavat – ”Kerran oli ruuvattu tv irti seinästä”

    11. Näytä lisää
    1. 1

      Helsinkiläinen Nina, 44, avautuu isäpuolen järkyttävistä teoista: ”Äiti katseli vierestä, mutta ei koskaan puuttunut”

    2. 2

      Hyvinkään poliisiasemalle saapui ahdistunut aviomies – elintasokulissin takaa alkoi paljastua karu totuus

    3. 3

      Tarkista ja kuuntele: Mikä oli Suomen listaykkösenä, kun sinä synnyit?

    4. 4

      Pariskunta ei arvannut, mihin lähti paritalon puolikkaan ostaessaan – piina vei oikeuteen seitsemän kertaa

    5. 5

      Onko tässä totuus Mäkäräisen poisjäännistä Lahden MM-kisoista? ”Kaikki, mitä Otepäässä tulkitsin Reijon olemuksesta ja puheista, viittasi siihen”

    6. 6

      ”Inhoan tätä elämää, voisinpa vain antaa lapset pois”

    7. 7

      Katri Sorsalta kuitti Anu Saagimille: ”Eestissä nainen näyttää herättyään tältä, meillä Suomessa tältä...”

    8. 8

      Cheekiltä odottamaton sukupaljastus suorassa lähetyksessä – ”Wikipediaan voisi lisätä”

    9. 9

      Hengenvaarallinen villitys leviää nuorten keskuudessa ja herättää huolta: ”Halikuva muuttuu nopeasti tragediaksi”

    10. 10

      Iso onnettomuus pysäytti Nelostien – rekat poikittain tiellä, mukana myös henkilöautoja

    11. Näytä lisää
    1. 1

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    2. 2

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    3. 3

      Pekka Vähäsöyrinki tunnusti Mika Myllylän haudalla, milloin dopinginkäyttö alkoi: ”Siinä hetkessä annoin periksi”

    4. 4

      Helsinkiläinen Nina, 44, avautuu isäpuolen järkyttävistä teoista: ”Äiti katseli vierestä, mutta ei koskaan puuttunut”

    5. 5

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    6. 6

      Stubb opetti Trumpille faktoja Ruotsista – viesti sytytti kiivaan keskustelun

    7. 7

      Yleinen virhe wc-pöntöllä: Tästä syystä pyttyyn jää helposti ”jarrutusjäljet”

    8. 8

      Anu Saagim haukkui Maria Veitolaa rumaksi suorassa lähetyksessä – Veitola harmistui studioyleisön reaktiosta: ”Yleisö nauraa ja taputtaa”

    9. 9

      Nokialla pahoinpidelty 17-vuotias tyttö on kuollut

    10. 10

      Donald Trumpilta outo viittaus Ruotsiin: ”Katsokaa, mitä tapahtui eilen illalla Ruotsissa – kuka olisi uskonut?”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Playboyssakin poseerannut ensimmäinen somekaunotar Christine Dolce on kuollut vain 35-vuotiaana

    2. 2

      Cheekiltä odottamaton sukupaljastus suorassa lähetyksessä – ”Wikipediaan voisi lisätä”

    3. 3

      Vantaalainen Marja, 68, ihmeissään: Auton tuulilasiin ilmestyi mystinen lappu parkkifirmalta – 3 viikon takaisesta pysäköinnistä

    4. 4

      Viisuvoittaja Loreenin räväkkä esitys varasti huomion – rinta lipui ulos topista: ”Miksi naiset eivät saisi olla puolialastomana?”

    5. 5

      Naisen salikuva sekoitti internetin – ovatko kaunottaren jalat todella nurinpäin vai huomaatko heti mistä on kyse?

    6. Näytä lisää
    1. 1

      Helsinkiläinen Nina, 44, avautuu isäpuolen järkyttävistä teoista: ”Äiti katseli vierestä, mutta ei koskaan puuttunut”

    2. 2

      Hyvinkään poliisiasemalle saapui ahdistunut aviomies – elintasokulissin takaa alkoi paljastua karu totuus

    3. 3

      Tarkista ja kuuntele: Mikä oli Suomen listaykkösenä, kun sinä synnyit?

    4. 4

      Pariskunta ei arvannut, mihin lähti paritalon puolikkaan ostaessaan – piina vei oikeuteen seitsemän kertaa

    5. 5

      Onko tässä totuus Mäkäräisen poisjäännistä Lahden MM-kisoista? ”Kaikki, mitä Otepäässä tulkitsin Reijon olemuksesta ja puheista, viittasi siihen”

    6. Näytä lisää
    1. 1

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    2. 2

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    3. 3

      Pekka Vähäsöyrinki tunnusti Mika Myllylän haudalla, milloin dopinginkäyttö alkoi: ”Siinä hetkessä annoin periksi”

    4. 4

      Helsinkiläinen Nina, 44, avautuu isäpuolen järkyttävistä teoista: ”Äiti katseli vierestä, mutta ei koskaan puuttunut”

    5. 5

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    6. Näytä lisää