Myynti: 010 328 4701 | Tekninen tuki: 010 328 4709 |

ASIAKKAILLE
FI EN SV

Tekninen tuki
010 328 4709
support@magiccloud.fi

Myynti
010 328 4701
myynti@magiccloud.fi


Palvelinkeskuksemme kuukausittaiset huoltoajankohdat saattavat aiheuttaa katkoja palveluihin seuraavina ajankohtina:

Kuukauden 3. ke-to klo 20:00-06:00
Kuukauden 3. la-su klo 19:00-12:00

close

DROWN-haavoittuvuus

Maaliskuun alussa maailmalla havahduttiin DROWN-haavoittuvuuteen. Tietoturvahaavoittuvaisuuksia paljastuu kaiken aikaa ja tämä johtaa helposti niille sokaistumiseen. Monet tietoturvahaavoittuvaisuudet ovat luonteeltaan sellaisia, että ne korjaantuvat ”itsestään” automaattisten päivitysten toimesta. Haavoittuvuuksien kriittisyyksissä on myös paljon eroja: liian harvat meistä edes IT-asiantuntijoiksi itseään kutsuvista, saati tavallisista tietokoneen käyttäjistä ehtii ja viitsii näihin asioihin riittävästi paneutua.

DROWN-haavoittuvuus oli ja on mielestäni erittäin kriittinen ja toisaalta sen luonteinen, että se ei odottamalla korjaannu. DROWNissa kyse on ns. man-in-the-middle tyyppisestä hyökkäyksessä. Suomeksi tämä tarkoittaa sitä, että käyttäessämme ns. SSL-salattua viestiliikennettä, on mahdollista, että hyökkääjä pääsee näkemään salatun liikenteen sisällön. SSL-salaus on ennen muuta internetliikenteessä salauksen selkäranka ja esimerkiksi verkkopankkien liikenteen salauksessa käytetään SSL:ää.

Käytännössä monissa internet-palveluissa on käytössä vielä vanhempia SSL-standardeja, vaikka niitä ei tosiasiallisesti enää tarvittaisikaan. DROWNissa kyse on siitä, että SSLv2:ssa on löydetty murrettavissa oleva haavoittuvaisuus, mikäli tähän sivustoon käytetään kohdennettua hyökkäystä. Tällöin saadaan murrettua ns. julkinen avain, jolloin kaikki ko. sertifikaatilla salattujen sivustojen liikenne on hyökkääjän luettavissa. Vaikka tämä haavoittuvaisuus myöhemmin korjattaisiinkin, on ennen korjaamista murron tehneellä hyökkääjällä edelleen täysi pääsy sivuston salattuun liikenteeseen. Valitettavan usein samoja sertifikaatteja käytetään eri sivustojen suojaamiseen, jolloin yhden sivuston haavoittuvaisuus johtaa myös muiden sivustojen haavoittuvuuteen. Hyökkääjällä on tällöin pääsy kaikkeen saman sertifikaatin takana olevaan tietoliikenteeseen.

Valitettavan usein samoja sertifikaatteja käytetään eri sivustojen suojaamiseen, jolloin yhden sivuston haavoittuvaisuus johtaa myös muiden sivustojen haavoittuvuuteen.

Otetaan esimerkki: Yritys X käyttää internetsivuillaan SSL-sertifikaattia, eikä sivuilla ole kiinnitetty erityistä huomiota tietoturvaan, koska nettisivuja ei ole pidetty niin kriittisinä hyökkäyksen kohteina. Yritys käyttää samaa SSL-sertifikaattia lisäksi myös sähköpostipalvelimensa suojaamiseen. Sähköpostipalvelin on koettu internet-sivuja kriittisemmäksi ja sinne kaikki tarvittavat korjaukset on tehty. Hyökkääjä suorittaa tietomurron hyökkäämällä palvelimeen, jossa yrityksen nettisivut pyörivät. Murrettuaan yrityksen SSL-sertifikaatin nettisivujen kautta, hyökkääjällä on vapaa pääsy tarkastelemaan myös yrityksen hyvin ylläpidettyä sähköpostipalvelimen salattua viestiliikennettä.

Käytännössä vanhaa SSLv2 tekniikka ei enää tarvita ja sen sulkemalla havaittu haavoittuvaisuus saadaan myös paikattua. Uusimmissa asennuksissa SSLv2 onkin pääsääntöisesti oletusarvoisesti kytketty pois päältä. Esimerkiksi kaikissa Windows Server 2008 palvelimien IIS asennuksissa on oletuksena käytössä vielä SSLv2 ja SSLv3 (johon siihenkin liittyy tietoturvaongelmia). Nämä ongelmalliset SSL versiot on helppo kytkeä pois käytöstä ja näin ratkaista DROWN-haavoittuvaisuus ja ehkäistä samalla monia muitakin tietoturva-aukkoja.

Tämän kaltaiset korjaukset eivät yleensä ole teknisesti erityisen vaikeita tai monimutkaisia tehdä. Ongelmana on, että kyseiset korjaukset eivät yleensä ole yrityksessä kenenkään vastuulla ja näin ollen ne jäävät helposti tekemättä. Aivan liian usein puutteisiin tietoturvassa havahdutaan vasta siinä vaiheessa, kun jotain on jo ehtinyt tapahtumaan. Tietoturvan jos minkä pitäisi olla huomioituna yrityksen strategiassa!

Aivan liian usein puutteisiin tietoturvassa havahdutaan vasta siinä vaiheessa, kun jotain on jo ehtinyt tapahtumaan. Tietoturvan jos minkä pitäisi olla huomioituna yrityksen strategiassa!

Hyvä IT-kumppani on monesti kullan arvoinen, mutta silloinkin on tärkeää sopia tämän kumppanin kanssa selvästi, että tietoturvapäivitykset kuuluvat valitun kumppanin toimenkuvaan. IT-kumppani, joka on tarvittaessa puhelinsoiton päässä asiakkaasta, ei luultavasti tule itse ehdottamaan DROWNin tai muiden vastaavien tietoturvaongelmien korjaamista. Tällaisten uhkien torjuminen edellyttää IT:n jatkuvaa ja systemaattista ylläpitoa.

Osoitteessa https://drownattack.com/#check voit tarkistaa onko omassa yrityksessäsi DROWN-haavoittuvaisuus ja tehdä tarvittaessa korjaustoimenpiteet. Jos tarvitset apua aiheen tiimoilta, niin mielellämme myös me Magic Cloudilla olemme avuksi.

Timo Haapavuori

Magic Cloudin toimitusjohtaja. Timo aloitti yrittämisen 13-vuotiaana perustamalla atk-tarvikkeita myyvän yrityksen Ikaalisiin. Pilvipalvelutoiminta ja -osaaminen veivät mukanaan ja niinpä takana on yli 20 vuotta yrittäjyyttä ja IT:tä.