tiistai 5. kesäkuuta 2012

Flame tulee päivittämällä

Virusalalla tapahtuu harvoin mitään todella uutta. Pankkitroijalaiset ja muut haitakkeet ovat ikäviä, mutta yleensä ne vain toistavat samaa vanhaa kaavaa. Ainoa ongelma niiden pysäyttämisessä on koko ajan lyhentyvä aikaikkuna -- haittaohjelmien elinikä kun lasketaan tunneissa. Jos torjunta ei ehdi reagoida aamupäivällä, iltapäivällä on jo myöhäistä. Alkuperäinen haitake on hävinnyt ja sen tilalla on uusi. Ikävää, mutta rutiinia ja siksi tylsää.

Viime viikolla Lähi-idästä löytynyt Flame on kuitenkin aiheuttanut väristyksiä koko tietoturva-alalle. Joidenkin selkäpiissä ne ovat kylmiä, jotkut ovat innoissaan. Vihdoin jotain uutta ja pirullisen karmivaa.

On käynyt ilmi, että Flame-vakoiluohjelma on levinnyt väärennetyn Windowsin päivityspalvelun kautta. Täysin päivitetty Windows 7-työasema, johon käyttäjällä itsellään on vain perusoikeudet, on voinut saada tartunnan, koska haittaohjelma on jaettu Windowsin virallisten päivitysten joukossa.

Miten ihmeessä se on mahdollista? Onko Microsoftille murtauduttu?

Tähän mennessä tiedetään seuraavaa: Flame-haitake on perustanut yrityksen sisäverkkoon oman palvelimen ja ohjannut työasemien päivityskyselyt kulkemaan sen kautta. Aidot päivitykset on haettu Microsoftin oikealta palvelimelta, mutta Flame on pystynyt ujuttamaan joukkoon oman koodinsa ja saastuttamaan muutoin täysin puhtaat koneet (tietenkin vain lähiverkon sisällä).

Normaalisti päivityksiä tarkistava työasema ottaa yhteyden suoraan Microsoftin palvelimeen. Flame on huijannut lähettämällä kyselijälle wpad-protokollan (web proxy auto-detection protocol) kautta väärän, sisäverkon palvelimen osoitteen. Harhautukseen on riittänyt jopa ikivanha netbios-nimi.

Kaikella tällä ei olisi merkitystä, ellei Microsoft olisi tehnyt pahaa virhettä. Se on jakanut Terminal services -palvelun käyttäjille varmennetta, joka on tarkoitettu yhteyksien salaamista varten. Epähuomiossa varmenteeseen oli kuitenkin jäänyt myös oikeus allekirjoittaa ohjelmia Microsoftin nimissä. Normaalisti allekirjoitus takaa, että ohjelma on eheä ja aito, joten Windows ajaa ne lupaa kysymättä admin-oikeuksilla.

Bitti, jonka piti olla nolla, onkin ollut ykkönen (tai päinvastoin).Viimekädessä kyse on siis teknisesti mitättömästä virheestä, jolla on kuitenkin laajat seuraukset.

Periaatteellisella tasolla asia on äärimmäisen vakava. Jos varmenneketjuun ei voi enää luottaa, päivitysten jakelu (ja sitä kautta koko Windowsin turvallisuus) romahtaa. Microsoft on korjannut ongelman sulkemalla virheellisten varmenteiden käytön -- mutta tämä on tehty juuri kyseisen päivityspalvelun kautta. On siis täysin mahdollista, että Flamea etähallinnoiva taho (epäilemättä jonkin maan tiedustelupalvelu) voisi estää korjauksen perillemenon saastuneissa koneissa.

Päivityspalvelun haavoittuminen on vakava juttu, koska sen kerran tapahduttua ei tulevien korjausten toimivuudesta voi enää koskaan olla täyttä varmuutta.

Kaikeksi onneksi näyttää siltä, että tällä kertaa selviämme säikähdyksellä. Flame on kohdennettu vain Lähi-idän maihin. Saastuneita koneita (ainakin sellaisia, joissa haitake on aktiivisessa toiminnassa) on alle tuhat. Lisäksi Flamen levittäminen vaatii ensimmäisen koneen saastuttamista jollain perinteisellä tavalla, joten kotikäyttäjät ja työasemansa turvallisuuden varmistaneet yritykset ovat turvassa.

Silti tapahtuneella on laajat vaikutukset. Epäilemättä myös Apple ja Linux-distrojen valmistajat käyvät parhaillaan kuumeisesti läpi omia varmenteita tutkiakseen, onko niissä vastaavia virheitä. Paljastunut uusi hyökkäystapa kiinnostaa takuulla myös rikollisia (muitakin kuin valtion palveluksessa olevia sellaisia), mutta siitä on iloa vain, jos käytettävissä on koodin allekirjoitukseen kelpaava varmenne.

Nettisodan kynnyksellä tapahtuma pakottaa kysymään, onko meillä aavistustakaan siitä miten haavoittuvia tietojärjestelmämme lopulta ovat? Onko vastaavia uusia hyökkäystapoja ja niillä jaettuja haitakkeita muitakin, kenties juuri meidän yrityksessä? Ovatko kiinalaiset ja venäläiset kehittäneet vastaavia kyberaseita? Tähän asti tietoturvalla on yritetty suojautua lähinnä nettirikollisia vastaan. Armeijat ja tiedustelupalvelut ovat sen kokoluokan vastustajia, että virustorjuntaohjelmat näyttävät lähinnä hernepyssyiltä.

Tapahtunut pakottaa pohtimaan tietoturvan fundamentteja ihan uudesta, pelottavasta näkökulmasta.

3 kommenttia:

Anonyymi kirjoitti...

Vaan olko Confickerilla jota ei sitten käytettykään oikeastaan mihinkään jotain tekemistä Stuxnetin ja nyt löydetyn Flamen kanssa?

Mieleeni tuli ajatus, että Conficker olikin vain harhautus johtaa huomio muualle ja pitää tutkijat kiireisinä.

Anna-Liisa kirjoitti...

(Ihan OT: Mitä ihmeitä nuo oivallisen kirjoituksesi lopussa olevat "Linkit tähän tekstiin" ovat? Ne vievät johonkin "nettipäiväkirja4"-blogiin, eikä kirjoituksilla ole kerrassaan mitään tekemnistä tämän blogikirjoituksesi kanssa.)

(Sinänsä hyvä että tulin vilkaisseeksi tuota Helsingin yliopiston kirjaston palveluita käsittelevää kirjoitusta. Aivan käsittämätöntä; asiasta pitäisi tehdä kantelu. Yliopiston kirjasto ja Terkko ovat alojensa keskuskirjastoja, jotka saavat erityisesti keskuskirjastotoimintaan valtiolta rahaa ja joilla on velvollisuuksia.)

Unknown kirjoitti...

Jos en muista ihan väärin saa USA:n tiedustelupalvelu käyttöönsä tärkeitä järjestelmätietoja omassa maassa olevista firmoista.

Olisiko tässä jotain semmoista mukana.