DROWN-haavoittuvuus

kirjoittaja | maalis 14, 2016 | Muut

Maaliskuun alussa maailmalla havahduttiin DROWN-haavoittuvuuteen. Tietoturvahaavoittuvaisuuksia paljastuu kaiken aikaa ja tämä johtaa helposti niille sokaistumiseen. Monet tietoturvahaavoittuvaisuudet ovat luonteeltaan sellaisia, että ne korjaantuvat ”itsestään” automaattisten päivitysten toimesta. Haavoittuvuuksien kriittisyyksissä on myös paljon eroja: liian harvat meistä edes IT-asiantuntijoiksi itseään kutsuvista, saati tavallisista tietokoneen käyttäjistä ehtii ja viitsii näihin asioihin riittävästi paneutua.

DROWN-haavoittuvuus oli ja on mielestäni erittäin kriittinen ja toisaalta sen luonteinen, että se ei odottamalla korjaannu. DROWNissa kyse on ns. man-in-the-middle tyyppisestä hyökkäyksessä. Suomeksi tämä tarkoittaa sitä, että käyttäessämme ns. SSL-salattua viestiliikennettä, on mahdollista, että hyökkääjä pääsee näkemään salatun liikenteen sisällön. SSL-salaus on ennen muuta internetliikenteessä salauksen selkäranka ja esimerkiksi verkkopankkien liikenteen salauksessa käytetään SSL:ää.

Käytännössä monissa internet-palveluissa on käytössä vielä vanhempia SSL-standardeja, vaikka niitä ei tosiasiallisesti enää tarvittaisikaan. DROWNissa kyse on siitä, että SSLv2:ssa on löydetty murrettavissa oleva haavoittuvaisuus, mikäli tähän sivustoon käytetään kohdennettua hyökkäystä. Tällöin saadaan murrettua ns. julkinen avain, jolloin kaikki ko. sertifikaatilla salattujen sivustojen liikenne on hyökkääjän luettavissa. Vaikka tämä haavoittuvaisuus myöhemmin korjattaisiinkin, on ennen korjaamista murron tehneellä hyökkääjällä edelleen täysi pääsy sivuston salattuun liikenteeseen. Valitettavan usein samoja sertifikaatteja käytetään eri sivustojen suojaamiseen, jolloin yhden sivuston haavoittuvaisuus johtaa myös muiden sivustojen haavoittuvuuteen. Hyökkääjällä on tällöin pääsy kaikkeen saman sertifikaatin takana olevaan tietoliikenteeseen.

Valitettavan usein samoja sertifikaatteja käytetään eri sivustojen suojaamiseen, jolloin yhden sivuston haavoittuvaisuus johtaa myös muiden sivustojen haavoittuvuuteen.

Otetaan esimerkki: Yritys X käyttää internetsivuillaan SSL-sertifikaattia, eikä sivuilla ole kiinnitetty erityistä huomiota tietoturvaan, koska nettisivuja ei ole pidetty niin kriittisinä hyökkäyksen kohteina. Yritys käyttää samaa SSL-sertifikaattia lisäksi myös sähköpostipalvelimensa suojaamiseen. Sähköpostipalvelin on koettu internet-sivuja kriittisemmäksi ja sinne kaikki tarvittavat korjaukset on tehty. Hyökkääjä suorittaa tietomurron hyökkäämällä palvelimeen, jossa yrityksen nettisivut pyörivät. Murrettuaan yrityksen SSL-sertifikaatin nettisivujen kautta, hyökkääjällä on vapaa pääsy tarkastelemaan myös yrityksen hyvin ylläpidettyä sähköpostipalvelimen salattua viestiliikennettä.

Käytännössä vanhaa SSLv2 tekniikka ei enää tarvita ja sen sulkemalla havaittu haavoittuvaisuus saadaan myös paikattua. Uusimmissa asennuksissa SSLv2 onkin pääsääntöisesti oletusarvoisesti kytketty pois päältä. Esimerkiksi kaikissa Windows Server 2008 palvelimien IIS asennuksissa on oletuksena käytössä vielä SSLv2 ja SSLv3 (johon siihenkin liittyy tietoturvaongelmia). Nämä ongelmalliset SSL versiot on helppo kytkeä pois käytöstä ja näin ratkaista DROWN-haavoittuvaisuus ja ehkäistä samalla monia muitakin tietoturva-aukkoja.

Tämän kaltaiset korjaukset eivät yleensä ole teknisesti erityisen vaikeita tai monimutkaisia tehdä. Ongelmana on, että kyseiset korjaukset eivät yleensä ole yrityksessä kenenkään vastuulla ja näin ollen ne jäävät helposti tekemättä. Aivan liian usein puutteisiin tietoturvassa havahdutaan vasta siinä vaiheessa, kun jotain on jo ehtinyt tapahtumaan. Tietoturvan jos minkä pitäisi olla huomioituna yrityksen strategiassa!

Aivan liian usein puutteisiin tietoturvassa havahdutaan vasta siinä vaiheessa, kun jotain on jo ehtinyt tapahtumaan. Tietoturvan jos minkä pitäisi olla huomioituna yrityksen strategiassa!

Hyvä IT-kumppani on monesti kullan arvoinen, mutta silloinkin on tärkeää sopia tämän kumppanin kanssa selvästi, että tietoturvapäivitykset kuuluvat valitun kumppanin toimenkuvaan. IT-kumppani, joka on tarvittaessa puhelinsoiton päässä asiakkaasta, ei luultavasti tule itse ehdottamaan DROWNin tai muiden vastaavien tietoturvaongelmien korjaamista. Tällaisten uhkien torjuminen edellyttää IT:n jatkuvaa ja systemaattista ylläpitoa.

Osoitteessa https://drownattack.com/#check voit tarkistaa onko omassa yrityksessäsi DROWN-haavoittuvaisuus ja tehdä tarvittaessa korjaustoimenpiteet. Jos tarvitset apua aiheen tiimoilta, niin mielellämme myös me Magic Cloudilla olemme avuksi.

Mikä ihmeen Safe Harbor?
Takaako EU:n ja Yhdysvaltojen Privacy Shield pilvipalveluiden yksityisyyden suojan?
#Pilvessä | Missä datan pitäisi asua?
#Pilvessä | Missä datan pitäisi asua?

Kimmon vieraaksi on saapunut Netchainin Heikki Paananen ja tässä jaksossa keskustellaan datan sijainnista. Yritysten data on yhä enemmän hajallaan ja toisaalta myös maailmantilanne on nostanut datan sijainnin monen yritysjohdon pöydälle. Mitä kaikkea yritysten pitäisi...

#Pilvessä | Tekoäly – hypestä liiketoimintahyödyksi
#Pilvessä | Tekoäly – hypestä liiketoimintahyödyksi

Tässä jaksossa Timo Haapavuoren vieraana on Fujitsun Senior Sales Lead Samuli Kunttu ja luvassa on keskustelua tekoälystä. Missä vaiheessa yritykset menevät erilaisten tekoälysovellutusten kanssa? Miten taklata tekoälyratkaisuihin liitettävät merkittävät kustannukset?...

#Pilvessä | Energiatehokkaiden ohjelmistojen murros
#Pilvessä | Energiatehokkaiden ohjelmistojen murros

Uusi tuotantokausi starttaa ja paluun podcastin co-hostaajaksi tekee Kimmo Haapavuori. Kimmon vieraaksi on saapunut AtoZin toimitusjohtaja Mikko Leinonen.  Tässä jaksossa pureudutaan ohjelmistojen energiatehokkuuteen ja keskustellaan sen merkityksestä niin kuluttajan,...

<h6>Timo Haapavuori</h6>
Timo Haapavuori
MANAGED MAGIC CLOUD

Managed Cloud -palvelut kotimaisesta pilvestämme, jotta datanne on turvassa, pilviympäristö kustannustehokas ja tarpeisiin optimoitu.

YHTEYDET

Toimivat ja helposti hallittavat yhteydet ovat toiminnan edellytys. Jätä ne meidän huolehdittavaksi.

TIETOTURVA

Erilliset tietoturvapalvelumme vievät pilviympäristönne tietoturvan ylläpidon ja kehittämisen seuraavalle tasolle.

TÄSMÄISKUT

Täsmäiskuilla saatte asiantuntijan silmäparin pilven tärkeimpien osa-alueiden toimivuuteen.

AJANKOHTAISTA