Tulostusversio

1/2013

Haavoittuvuus on kaikkien riesa

Teksti: Antti J. Lagus

Käyttäjä kärsii ja rekisterinpitäjä vastaa, jos verkkopalvelusta vuotaa henkilötietoja ohjelmistohaavoittuvuuden vuoksi.

Viime keväänä monien nettipalveluiden käyttäjät päätyivät tietämättään jakamaan haitallista ohjelmakoodia.

OpenX-mainosalusta on yleisessä käytössä oleva avoimeen lähdekoodiin perustuva mainosten välitysohjelmisto. Sen avulla voidaan hallita mainoksia keskitetysti useilla verkkosivuilla. OpenX:n haavoittuvuuden avulla hyökkääjä pystyi luomaan itselleen pääkäyttäjätunnuksen järjestelmään, minkä jälkeen hyökkääjä pystyi levittämään mainosalustan avulla haitallista ohjelmakoodia sivustoilla vieraileville käyttäjille.

Haavoittuvuus löydettiin ja korjaus julkistettiin. Viestintävirasto oli yhteydessä moniin sellaisiin tahoihin, joiden se tiesi käyttävän ohjelmistoa. Kaikki eivät kuitenkaan olleet tiedossa, minkä vuoksi on tärkeätä, että verkkopalveluiden tarjoajat seuraavat haavoittuvuustiedotuksia jatkuvasti.

Vaikkei rekisterinpitäjä välttämättä tiedäkään mitään verkkopalvelussa käyttämistään ohjelmistoista, hän on vastuussa, jos esimerkiksi ohjelmistohaavoittuvuuden vuoksi palvelusta vuotaa henkilötietoja. Viestintäviraston tietoturva-asiantuntija Juhani Eronen muistuttaa, että ongelma ei rajoitu vain rekisterinpitäjiin, sillä ohjelmistohaavoittuvuudet voivat aiheuttaa suurta vahinkoa myös muissa verkkoon kytketyissä laitteissa ja ohjelmistoissa.

Vanhat käytännöt elävät sitkeästi

Ohjelmistot ovat aina ihmisten tekemiä, mikä merkitsee, että niissä voi olla virheitä. Ennen verkkoaikaa ei niiden reikiin ja haavoittuvuuksiin kiinnitetty juuri huomiota, sillä tärkeintä oli mahdollisimman tehokas ohjelmointi, jotta rajallisista laiteresursseista saatiin puristetuksi kaikki irti.

”Nykyään tietokonekapasiteetti on harvoin ongelmana, mutta vanhat ohjelmointikäytännöt ovat eläneet sitkeästi”, Eronen sanoo.

Perusohjelmointivirheet ovat liittyneet esimerkiksi muistinkäsittelyyn.

”Muistivirheet johtavat usein tilanteeseen, jossa hyökkääjä voi saada kohteen haltuun ujuttamalla sinne ajettavaksi omia komentojaan.”

Turvallisuuden kaveri on yksinkertaisuus

”Toinen perusongelma on siinä, että turvallisuus tulee mukaan yleensä vasta viimeisessä kehitysvaiheessa. Turvallisuuden kaveri on järjestelmien yksinkertaisuus, eli että ymmärretään, miten järjestelmät toimivat”, Eronen sanoo.

Valitettavasti usein järjestelmät eivät ole yksinkertaisia. Lisäksi ne on yhdistetty toisiin monimutkaisiin järjestelmiin. Eronen toteaakin vanhaa ohjelmointiviisautta mukaillen, että on vain kahdenlaisia järjestelmiä: niin yksinkertaisia, ettei niissä selvästikään ole virheitä ja toisia, jotka ovat niin monimutkaisia, ettei niissä ole selviä virheitä.

”Yksi järjestelmän valintakriteereistä voisi olla se, onko toimittajalla esittää alustaan liittyvää turvallisuustutkimusta. Myös se voi olla hyvä mittari, onko valmistaja antanut julkisuuteen turvallisuustiedotteita ja muuta turvallisuuteen liittyviä materiaaleja”, Eronen sanoo.

Turvallisuustestaus ennen hankintaa

Ohjelmistotestaukseen erikoistuneen Codenomicon Oy:n teknologiajohtaja Ari Takanen on sitä mieltä, että tietoturvatestauksen pitäisi sisältyä jo ohjelmistokehitykseen. Sen pitäisi olla yksi tietojärjestelmien ostajien ostokriteereistä.

”Hankittavan ohjelmiston turvallisuuden voi myös testata itse tai ostaa testauspalveluna. Tähän tarkoitukseen on kehitetty automatisoituja työkaluja. Tietoturvatestausta on saatavissa myös pilvipalveluina”, Takanen sanoo.

Esimerkiksi webbiportaalia perustavan tai käyttävän yrityksen pitää vaatia portaalin toimittajalta, että ohjelmisto on ostajan käytettävissä tietoturvatestausta varten. Näin voidaan varmistaa, että se on turvallinen.

Skannausohjelmistot hakevat vain tunnettuja tietoturvareikiä tai haavoittuvuuksia. Vielä löytämättömien aukkojen paljastaminen vaatii Takasen mukaan, että ohjelmistoja katsotaan hakkerin silmin. Ostajan näkökulmasta on kyse siitä, halutaanko löytää mahdollisimman paljon vai tehdäänkö vain pistotarkistusta.

”Yleensä jos ohjelmistojen tarkistaminen laitetaan ostovaatimuksiin, myyjät osaavat suhtautua tähän oikein ja tarjoavat tarkistettuja ohjelmistoja”, Takanen sanoo.

Jos ohjelmiston valmistaja on tehnyt myymilleen tuotteille hyväksi havaitun testauksen, ei testiä tarvitse tehdä jokaiselle ostettavalle ohjelmistolle. Tämä toimii Takasen mielestä niinkin päin, että ostaja voi määritellä sen, että haluaa testattuja ohjelmistoja.

Hosting-palvelut avainasemassa

Haavoittuvuuksien julkaisemisessa ongelmana on epätietoisuus siitä, kuinka kauan haavoittuvuus on ollut hyväksikäyttäjien tiedossa ennen kuin valmistaja julkaisee tiedon. Viestintäviraston Juhani Eronen painottaa, että jonkun pitää joka tapauksessa seurata haavoittuvuuksien julkistamista ja paikata reiät tarvittaessa. Jos tätä ei tehdä itse, palvelu pitää ostaa.

Erityisen tärkeää on, että hosting-palveluita tarjoavat yritykset seuraavat haavoittuvuuksia. Joskus palveluntarjoajalla voi olla vaikkapa sadan asiakkaan verkkopalvelut samalla palvelimella ilman virtualisointeja tai kovennuksia.

”Jos tällainen palvelin päästään korkkaamaan, vaarantuvat siinä samalla kaikkien sadan asiakkaan tiedot. Vaikka hosting-palveluissa on pienet katteet, turvallisuudesta ei saisi tinkiä”, Eronen sanoo.

Hyvä keino vähentää riskiä joutua uhriksi on pitää hosting-palveluissa asiakkaat erossa toisistaan. Asiakkaiden pitäisi edellyttää tätä tarjouspyynnöissään.

Mitä teet, kun hyökkäys tulee?

”Usein ohjelmistokehittäjät ajattelevat, että ohjelmistoja ei käytetä vihamielisessä ympäristössä. Minusta ajattelutavan pitäisi päinvastoin olla niin, että kaikki olisi tehtävä vihamieliseen ympäristöön”, Eronen sanoo.

Palveluntarjoajilla pitäisi aina olla suunnitelma sen varalta, kun hyökkäys tapahtuu eikä vain, jos se tapahtuu. Eronen painottaa, että jos suunnitelmaa ei ole, hyökkääjä saa usein mellastaa mielensä mukaan.

Hyökkäyksen sattuessa on tärkeä toimia nopeasti, sillä kaapatut resurssit valjastetaan usein hyökkäyksiin muita palvelimia kohtaan. Korjauksissa on oltava huolellinen, sillä kaapattuun järjestelmään jätetään usein jokin takaovi uutta käyntiä varten.

”Suunnitelmaa seuraamalla hyökkäyksille laitetaan piste heti, kun ne on havaittu. Toivomme myös, että hyökkäyksestä tehdään rikosilmoitus, sillä ilman ilmoituksia rikollisuutta ei ole olemassa”, Eronen sanoo.

Verkkopalvelun tilaajan pitää myös edellyttää toimittajalta, että tämä pitää järjestelmän toiminnasta lokia ja myös seuraa sitä. Näin on mahdollista havaita poikkeava käyttäytyminen ja puuttua siihen.

Lue myös

Haavoittuvuudet: Ostajan muistilista »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.