Digitoday

Valikko

Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä

Oululaisen tietoturvayhtiö Codenomiconin tutkijat löysivät vakavan haavoittuvuuden nettipalvelimien salauksesta. Niin sanottu Heartbleed-haavoittuvuus tuli julki maanantaina, mutta itse tietoturva-aukko löytyi viikko lähes sivutyönä.


Oulaisen Codenomicon-tietoturvayhtiön tutkijat  Matti Kamunen, Antti Karjalainen ja Riku Hietamäki eivät viikko sitten ryhtyneet tarkoituksella etsimään tietoturva-aukkoja OpenSSL-protokollan kaksi vuotta sitten julkaistusta versiosta. 

Vakavan haavoittuvuuden löytyminen oli oikeastaan varsinaisen työn sivutuote.

– Olimme päivittämässä meidän yrityksemme omaa työkalu TSL-protokollan testaukseen, ja tekemässä siihen uutta ominaisuutta, joka tunnistaa tämän kaltaisia tietoturva-aukkoja, kertoo Karjalainen.

– Kehitystyössä tarvitsemme kohteita, joten siinä tulee samalla testattua myös se vastapää tavallaan sivutuotteena. Aikaisemmin ei kuitenkaan ole löytynyt mitään näin vakavaa.

Muun muassa verkkosivustojen https-suojauksessa käytetty OpenSSL-protokolla sai pari vuotta sitten heartbeat-nimisen ominaisuuden, jonka avulla ssl-suojatussa yhteydessä olevat koneet varmistavat lyhyillä viesteillä, että toinen kone on vielä verkossa. Vakava tietoturva-aukko löytyi tuosta viestinvaihdosta.

–  Olimme tekemässä työkaluun heartbeat-tukea. Vaikka meillä on ollut työkalu aikasemmin, niin päivityksen jälkeen meillä oli keinot havaita näitä ongelmia. Teimme torstaiaamuna uusia testejä, kun huomasimme, että toteutus vuotaa tietoa, Karjalainen sanoo.

Torstai-iltapäivällä tutkijat tulivat siihen tulokseen, että vuoto oli vakava. OpenSSL:llä suojatusta verkkopalvelimen muistista pystyi huijaamaan tietoja erityisesti muotoillun heartbeat-viestin avulla. Hyökkääjä saattoi saada haltuunsa muun muassa palvelimen salausavaimet, joiden palvelimen tietoliikenteen salauksen pystyi avaamaan. Hyökkäys oli melko helppo tehdä, ja lisäksi siitä ei jäänyt palvelimelle mitään jälkeä, joten sen huomaaminen oli lähes mahdotonta.

Esimerkiksi tietoturvayhtiö Netcraftin mukaan haavoittuvuuden sisältävä OpenSSL-versio on käytössä on noin puolessa miljoonassa SSL-suojatussa verkkopalvelimessa.

Tässä vaiheessa Codenomiconin tutkijat raportoivat asiasta Viestintäviraston alaiselle Kyberturvallisuuskeskukselle, jossa aloitettiin jo samana iltana riskianalyysit.

–  Codenomicon toimi parhaiden vastuullisten tutkimuskäytäntöjen mukaan, sanoo johtava asiantuntija Kauto Huopio Kyberturvallisuuskeskuksesta.

– He ottivat yhteyttä meidän henkilöihimme, ja käynnistimme normaalin verifiointiprosessin, jossa todettiin muun muassa että haavoittuvuus oli olemassa.

Riskianalyysi oli valmiina perjantaiaamuna, kun Karjalainen tuli töihin. Karjalainen haluaa kehua riskianalyysin teosta erityisesti Kyberturvallisuuskeskuksen Ilkka Mattilaa ja Jussi Erosta, sekä Clarified Networks -tietoturvayhtiön asiantuntijaa Sauli Pahlmania.

– Riskianalyysista tiesimme, että tämä oli äärimmäisen vakava haavoittuvuus, Karjalainen sanoo.

Kyberturvallisuuskeskuksen tehtäväksi jäi muun muassa tiedottaminen haavoittuvuudesta eteenpäin. Erittäin vakavasta haavoittuvuuden julkistamisessa haluttiin olla erittäin varovainen, ettei tieto vuoda verkkorikollisille ennen kuin haavoittuvat palvelimet oli saatu suojattua.

Codenomiconissa taas keskityttiin omien verkkopalvelimien suojaukseen. Tutkijat alkoivat myös miettiä kriisiviestintää, eli miten löydöstä kerrotaan mahdollisimman tasapuolisesti eteenpäin sitten kun se julkistettaisiin.

– Firmassa meni monella työntekijällä viikonloppuvapaat, Karjalainen sanoo.

– Sunnuntai-iltapäivä ja maanantai meni aika paljon Heartbleed.com -verkkosivuston laatimisessa.

Heartbleed eli "sydänverenvuoto" oli Codenomiconissa keksitty nimi heartbeat-toiminnosta löytyneelle tietovuodolle. Tutkijat kokosivat Heartbleed.com -osoitteeseen perustamalle sivustolle mahdollisimman valmiin tietopaketin löydöstään.

Nopea julkistus yllätti


Kyberturvallisuuskeskus raportoi Codenomiconin löydöstä maanantaina OpenSSL:n kehitysyhteisölle. OpenSSL-ryhmä ei vastannut viestiin, mutta sen sijaan julkisti haavoittuvuuden jo samana iltana.

Nopea julkistus yllätti sekä Codenomiconin että Kyberturvallisuuskeskuksen.

–  Tässä olisi ollut tärkeää, että haavoittuvuuden korjaus olisi saatu levitettyä ensin käyttöjärjestelmäpakettien kehittäjille, sanoo Huopio.

–  Jos olisi ollut muutamakin viikko aikaa, niin tietoa olisi pystytty jakamaan ja julkaisemaan tietoa eteenpäin koordinoidummin.

Myös Codenomicon joutui julkaisemaan Heartbleed.com -sivusto odotettua aiemmin. Sivustoa päivitettiin maanantaina muilta tietoturvatutkijoilta Twitterissä tulleiden lisäkysymysten avulla.

Tajuttiinko aukon laajuutta?


Huopio ja Karjalainen voivat vain arvailla syytä OpenSSL-ryhmän nopeaan julkistukseen. Googlen turvallisuustutkija Neel Mehta oli ehtinyt raportoida haavoittuvuudesta OpenSSL-ryhmälle jo ennen Codenomiconia.

– Ehkä he arvelivat Kyberturvallisuuskeskuksen raportin jälkeen, että tieto aukosta alkaa levitä laajemmalle, ja päättivät toimia siksi nopeasti, pohtii Karjalainen.

OpenSSL-ryhmän tiedotteen ja Googlen tutkijoiden Twitter-viestien perusteella Karjalainen arvelee, etteivät nämä ymmärtäneet ongelman koko laajuutta.

– Se vaikutti jotenkin maton alle lakaisemiselta. Mutta Codenomiconilla tiedettiin muun muassa se, että myös salausavaimetkin vuotavat, ja asiasta täytyy tiedottaa nopeasti.

Karjalaisen mukaan Codenomicon ei aio enää ryhtyä jatkotoimiin OpenSSL-haavoittuvuuden torjunnassa.

– Nyt tämä on kansainvälisen internet-yhteisön käsissä. Mitään ei kuitenkaan olisi tapahtunut, jos emme olisi tiedottaneet asiasta tarpeeksi näkyvästi. Nyt on vain tavoitteena, että verkkopalvelut päivittäisivät palvelimensa.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Neljä jättihittiä! Tällainen oli Saara Aallon Senaatintorin show – vitsaili Suomen kylmästä säästä

    2. 2

      Juuso-karhun isäntä Sulo, 75, sai kutsun Linnan juhliin – näin hän kertoi asiasta karhulle

    3. 3

      Vaikuttava yllätys kauppakeskuksessa – 200 laulajan flashmob esitti Finlandian sinfoniaorkesterin säestyksellä

    4. 4

      Muistatko nämä? Linnan juhlien ikimuistoisimmat tyylit vuodesta 1960

    5. 5

      Upeita kaunottaria! Kuka on Linnan juhlien kaikkien aikojen kuningatar? Äänestä!

    6. 6

      Mies ammuskeli pizzeriassa Washingtonissa – Syynä valeuutinen Hillary Clintonin pyörittämästä lapsiseksiringistä

    7. 7

      Kuin lumikuningatar! Saara Aalto saapui Senaatintorille hevoskärryissä reilusti myöhässä

    8. 8

      5 syöpää, jotka voi erottaa paljaalla silmällä

    9. 9

      IS seuraa hetki hetkeltä: Saara Aallolla huikea konsertti Senaatintorilla – jättiyleisö villinä: ”Tää on mieletöntä”

    10. 10

      Lewis Hamilton vastusti tallin määräyksiä Abu Dhabissa – pomolta uusia paljastuksia

    11. Näytä lisää
    1. 1

      Koko ABC tyhjeni ja Ville, 19, jäi yksin lukkojen taakse: ”Olin istumassa tuolla pimeässä nurkassa – tää mesta suljettiin!”

    2. 2

      Brittilehdeltä raju väite Saara Aallon finaalipaikasta: Tuotanto käynnisti selvityksen Suomesta annetuista ”kielletyistä äänistä”

    3. 3

      IS seuraa hetki hetkeltä: Saara Aallolla huikea konsertti Senaatintorilla – jättiyleisö villinä: ”Tää on mieletöntä”

    4. 4

      SUORA LÄHETYS JUURI NYT: Saara Aalto esiintyy Senaatintorilla

    5. 5

      Uskomatonta! Saara Aalto teki sen – pääsi heittämällä X Factor -finaaliin

    6. 6

      Uskomatonta, mutta totta – Aku Ankka ennusti Saara Aallon finaalipaikan jo elokuussa

    7. 7

      Uutisvuoksi julkaisi Imatralla surmattujen toimittajiensa nimet ja koskettavat muistokirjoitukset

    8. 8

      Poliisi: Imatran kolmoissurma tallentui valvontakameroille – ”Teko näkyy kameroissa”

    9. 9

      Pelkkä silmäys kahteen kuvaan riittää: Patrik Laine ja Sidney Crosby ovat kuin yö ja päivä

    10. 10

      Varo perintöloukkua – ”Voi olla järkevää jopa kieltäytyä perinnöstä”

    11. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      Raju huhu Lewis Hamiltonista – ”Se on yksityisasia”

    3. 3

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    4. 4

      7 yleisen syövän varhaiset varoitusmerkit – tunnista ajoissa

    5. 5

      Raakel Lignellin raju painonpudotus ja tiukka ruokavalio johtivat pysyviin terveysongelmiin: ”Riistäytyi vähän käsistä”

    6. 6

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    7. 7

      Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

    8. 8

      Todelliset syyt, joiden vuoksi naiset voihkivat seksin aikana

    9. 9

      Nainen teki ”pettämistestin” poikaystävälleen – lopputulos ei ilahduttanut, videolla jo 6 miljoonaa katselukertaa

    10. 10

      Aleksi Valavuori julkaisi matkakuvan Los Angelesista: maisemaotos paljastuikin Ikean sisustustauluksi – some repesi

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Neljä jättihittiä! Tällainen oli Saara Aallon Senaatintorin show – vitsaili Suomen kylmästä säästä

    2. 2

      Juuso-karhun isäntä Sulo, 75, sai kutsun Linnan juhliin – näin hän kertoi asiasta karhulle

    3. 3

      Vaikuttava yllätys kauppakeskuksessa – 200 laulajan flashmob esitti Finlandian sinfoniaorkesterin säestyksellä

    4. 4

      Muistatko nämä? Linnan juhlien ikimuistoisimmat tyylit vuodesta 1960

    5. 5

      Upeita kaunottaria! Kuka on Linnan juhlien kaikkien aikojen kuningatar? Äänestä!

    6. Näytä lisää
    1. 1

      Koko ABC tyhjeni ja Ville, 19, jäi yksin lukkojen taakse: ”Olin istumassa tuolla pimeässä nurkassa – tää mesta suljettiin!”

    2. 2

      Brittilehdeltä raju väite Saara Aallon finaalipaikasta: Tuotanto käynnisti selvityksen Suomesta annetuista ”kielletyistä äänistä”

    3. 3

      IS seuraa hetki hetkeltä: Saara Aallolla huikea konsertti Senaatintorilla – jättiyleisö villinä: ”Tää on mieletöntä”

    4. 4

      SUORA LÄHETYS JUURI NYT: Saara Aalto esiintyy Senaatintorilla

    5. 5

      Uskomatonta! Saara Aalto teki sen – pääsi heittämällä X Factor -finaaliin

    6. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      Raju huhu Lewis Hamiltonista – ”Se on yksityisasia”

    3. 3

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    4. 4

      7 yleisen syövän varhaiset varoitusmerkit – tunnista ajoissa

    5. 5

      Raakel Lignellin raju painonpudotus ja tiukka ruokavalio johtivat pysyviin terveysongelmiin: ”Riistäytyi vähän käsistä”

    6. Näytä lisää