Digitoday

Valikko

Heartbleed: Jos et ole toiminut, nyt alkaa olla paniikki

Yhä helpompia hyökkäystyökaluja Heartbleed-aukon hyväksikäyttämiseksi on ilmestynyt. Varaa toimettomuuteen ei enää ole, Kyberturvallisuuskeskuksen asiantuntija patistaa.
OpenSSL-kirjaston viime viikolla julki tullut ja suomalaisten Heartbleediksi nimeämä haavoittuvuus on voinut mahdollistaa tietovarkauksia jo ennen paljastumistaan, mutta nyt hyväksikäyttö on helpottumassa selvästi.

– Hyökkäystyökaluja on alettu julkaista vasta viime päivinä, ja on yhä helpompaa hyökätä haavoittuvuuden avulla, Kyberturvallisuuskeskuksen erityisasiantuntija Jussi Eronen kertoo.

Erosella on tärkeä viesti verkkosivujen ylläpitäjille, laitevalmistajille ja ohjelmistokehittäjille, joita kaikkia haavoittuvuus voi yhtä lailla koskea. Joidenkin arvioiden mukaan Heartbleed koskettaa valtaosaa koko internetistä.

– Niillä, jotka eivät ole vielä toimineet, alkaa olla oikeasti kiire, vaikka olihan heillä kiire jo ennenkin, Eronen korostaa.

Onneksi eri organisaatioiden reaktio Heartbleediin on ollut kiitettävä, Eronen iloitsee. Hänen mukaansa aukon vaikutukset on ymmärretty, toimiin sen korjaamiseksi on ryhdytty sankoin joukoin, ja loppukäyttäjille on ilmoitettu asiasta. Monessa tapauksessa loppukäyttäjiltä, kuten suosittujen verkkopalvelujen käyttäjiltä, on edellytetty salasanan vaihtamista.

– Organisaatioissa on jopa [Heartbleedin myötä] laitettu kuntoon toimintamalleja, jos ne eivät olleet aiemmin kohdallaan.

Haavoittuvien lista
kasvaa kasvamistaan


Kyberturvallisuuskeskuksen lista haavoittuvista ohjelmistoista, palveluista ja laitteista on pitkä kuin nälkävuosi ja se pitenee yhä miltei päivittäin. Viimeisimpinä mukaan ovat tulleet esimerkiksi sellaiset valmistajat kuin McAfee, Extreme Networks, NetApp, Blue Coat, Barracuda, PfSense ja Oracle.

Listaa on päivitetty viimeksi tänään, mutta Erosen mukaan ei ole vielä tiedossa, mitä siihen lisätään seuraavaksi. On kuitenkin odotettavissa, että litaniaan saadaan vielä jatkoa useampaan kertaan. Kun listalle jotain ilmestyy, se myös tarkoittaa, että valmistaja tarjoaa haavoittuvuuteen paikkausta.

– Eivätköhän suurimmat valmistajat ja yleisimmät tuotteet ole jo hoidossa, Eronen miettii. Huvittavasti Heartbleed on suosinut niitä, jotka ovat vastoin kaikkia turvallisuusohjeita pitäytyneet OpenSSL:n vanhassa versiossa. Niitä haavoittuvuus ei ole koskettanut, koska Heartbleed ilmestyi OpenSSL:n koodiin vasta suhteellisen hiljattain.

Heartbleed-hyökkäyksiä
saattaa olla piilossa


Kaiken kaikkiaan Jussi Eronen uskoo tilanteen olevan rauhoittumassa juurikin yleisön nopean toiminnan ansiosta. Sitä mukaa rikollisten mahdollisuus aiheuttaa vahinkoa pienenee, ja toistaiseksi tiedossa on vain yksittäisiä hyökkäyksiä. Kyberturvallisuuskeskus ei ole saanut kotimaisia ilmoituksia hyökkäyksistä, mutta on kertonut rikollisten etsivän verkosta haavoittuvia palveluja.

Toki on mahdollista, että osa Heartbleed-hyökkäyksistä on jo havaittu, mutta niitä ei ole osattu yhdistää juuri tähän haavoittuvuuteen. Jos esimerkiksi verkkopalvelun käyttäjän salasana on joutunut vääriin käsiin, se voi johtua monesta syystä, kuten käyttäjän huolimattomuudesta tai haittaohjelmatartunnasta. Heartbleed on vain yksi vaihtoehto monista.

Teoriassa Heartbleedin avulla on voitu seurata verkkosivuston käyttäjien liikennettä ilman, että ylläpito on saanut siitä käsitystä. Myös salausavaimet ovat todennäköisesti olleet kaapattavissa, mikä mahdollistaisi salatun liikenteen purkamisen ja aitona verkkosivustona esiintymisen vierailijoiden huijaamiseksi.

Erosen mukaan palvelimiin kohdistuva uhka on edelleen selvin, koska sillä tavalla voidaan tavoittaa isoja kävijämassoja. Esimerkiksi yksittäisiä päätelaitteita kuten älypuhelimia vastaan hyökätessä potentiaalinen hyöty rikolliselle on kyseenalainen. Paitsi, jos kohde on erityisen kiinnostava ja tarkasti valittu.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    2. 2

      New York Times kertoo 44-vuotiaan suomalaismiljonäärin uskomattoman tarinan: luksuselämää ja satojen miljoonien avioerotaistelu

    3. 3

      Soluttautui pikkujouluihin, käytti pukkia silminä – Yksityisetsivä muistelee pikkujoulujen pettämistapauksia

    4. 4

      Järkyttävä video: Eläintaloon hylätty Zuzu-koira näkee entisen perheensä valitsemassa uutta koiraa

    5. 5

      Yle: Presidentti Niinistö keksi Trumpille ”sopivan viileän ympäristön”

    6. 6

      X Factor -harjoituksista julkaistut kuvat lupaavat melkoista show’ta – Saara Aalto hehkuu itsevarmuutta: ”Se laulu tulee viemään minut finaaliin”

    7. 7

      Joukkuekaverit keksivät Patrik Laineelle uuden lempinimen – vertasivat NHL-legendaan

    8. 8

      Kurveistaan tunnettu matkabloggaaja vietti kolme viikkoa Suomessa – upeat kuvat villitsevät netissä: ”Mieletön paikka”

    9. 9

      Saara Aalto IS:n erikoishaastattelussa – hurja nousu voittajasuosikiksi: ”Apua, miten tähän on tultu!”

    10. 10

      Hydrokopteri tippui jäihin Puulalla – kyydistä pelastettiin 2 henkilöä ja 4 koiraa

    11. Näytä lisää
    1. 1

      Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

    2. 2

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    3. 3

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    4. 4

      Beth, 22, nukahti sohvalle marraskuussa – heräsi vasta toukokuussa

    5. 5

      Huoltomiehet yllättyivät suomalaisten nuorten aikuisten uusavuttomuudesta – eivät omista edes ruuvimeisseliä

    6. 6

      Parrakas Jussi69 toipuu keuhkokuumesta – vaikenee huhutusta suhteesta kansanedustajaan: ”Sen näkee sitten televisiosta”

    7. 7

      Nico Rosberg hylkäsi valtavan summan rahaa

    8. 8

      Ylen päätoimittaja otti yhteen Ruben Stillerin kanssa Pressiklubissa: ”Päädyit omaan ratkaisuusi”

    9. 9

      Nainen teki ”pettämistestin” poikaystävälleen – lopputulos ei ilahduttanut, videolla jo 6 miljoonaa katselukertaa

    10. 10

      Testaa, miten sinkku olet!

    11. Näytä lisää
    1. 1

      Sorrutko sinäkin aina näihin virheisiin? 4 asiaa, jotka kannattaa jättää väliin ennen seksiä

    2. 2

      Raju huhu Lewis Hamiltonista – ”Se on yksityisasia”

    3. 3

      IS seurasi hetki hetkeltä: Saara Aalto räjäytti pankin – ”Yksi parhaista esityksistä koskaan X Factorissa”

    4. 4

      7 yleisen syövän varhaiset varoitusmerkit – tunnista ajoissa

    5. 5

      Raakel Lignellin raju painonpudotus ja tiukka ruokavalio johtivat pysyviin terveysongelmiin: ”Riistäytyi vähän käsistä”

    6. 6

      Nainen teki ”pettämistestin” poikaystävälleen – lopputulos ei ilahduttanut, videolla jo 6 miljoonaa katselukertaa

    7. 7

      Aleksi Valavuori julkaisi matkakuvan Los Angelesista: maisemaotos paljastuikin Ikean sisustustauluksi – some repesi

    8. 8

      Eija, 32, huomasi vauvansa olevan erilainen – elämä muuttui pikkuhiljaa painajaiseksi

    9. 9

      Saara Aalto teki historiallisen tempun – kukaan muu brittien X Factorissa ei ole kyennyt samaan

    10. 10

      Pikkujoulujen seksiakti johti harvinaisen kiusalliseen tilanteeseen oikeussalissa – konkarijuristi avautuu

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    2. 2

      New York Times kertoo 44-vuotiaan suomalaismiljonäärin uskomattoman tarinan: luksuselämää ja satojen miljoonien avioerotaistelu

    3. 3

      Soluttautui pikkujouluihin, käytti pukkia silminä – Yksityisetsivä muistelee pikkujoulujen pettämistapauksia

    4. 4

      Järkyttävä video: Eläintaloon hylätty Zuzu-koira näkee entisen perheensä valitsemassa uutta koiraa

    5. 5

      Yle: Presidentti Niinistö keksi Trumpille ”sopivan viileän ympäristön”

    6. Näytä lisää
    1. 1

      Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

    2. 2

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    3. 3

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    4. 4

      Beth, 22, nukahti sohvalle marraskuussa – heräsi vasta toukokuussa

    5. 5

      Huoltomiehet yllättyivät suomalaisten nuorten aikuisten uusavuttomuudesta – eivät omista edes ruuvimeisseliä

    6. Näytä lisää
    1. 1

      Sorrutko sinäkin aina näihin virheisiin? 4 asiaa, jotka kannattaa jättää väliin ennen seksiä

    2. 2

      Raju huhu Lewis Hamiltonista – ”Se on yksityisasia”

    3. 3

      IS seurasi hetki hetkeltä: Saara Aalto räjäytti pankin – ”Yksi parhaista esityksistä koskaan X Factorissa”

    4. 4

      7 yleisen syövän varhaiset varoitusmerkit – tunnista ajoissa

    5. 5

      Raakel Lignellin raju painonpudotus ja tiukka ruokavalio johtivat pysyviin terveysongelmiin: ”Riistäytyi vähän käsistä”

    6. Näytä lisää