AfterDawn: IT-alan uutiset

"Internetin historian vakavin haavoittuvuus" paljastettiin aprillipäivänä

Kirjoittaja Manu Pitkänen (Google+) @ 12.4.2014 17:35 Kommentteja (5)

"Internetin historian vakavin haavoittuvuus" paljastettiin aprillipäivänä OpenSSL Groupin perustaja Mark Cox on kertonut Google+-palvelussa miten asiat Heartbleed-bugin ympärillä kehittyivät viimeaikoina.
Heartbleed-aukkoa on kuvailtu monin eri tavoin ja jotkut ovat pitäneet sitä Internetin historian vakavimpana haavoittuvuutena. Tietoturva-asiantuntija Bruce Schneier on pitänyt haavoittuvuutta katastrofina ja arvioinut sen vakavuuden olevan 11 asteikolla 1–10.

On ehkä kohtalon ivaa, että Google kertoi Heartbleedistä OpenSSL Groupille huhtikuun ensimmäisenä päivänä, eli aprillipäivänä. Tällaisten asioiden kanssa leikkiminen on turhan härskiä, mutta Googlen ilmoitus on saatettu siitä huolimatta lukea kahteen kertaan, ihan varmuuden vuoksi.

OpenSSL Group ilmoitti yhteistyökumppaneitaan bugista 7. huhtikuuta, eli hieman ennen kuin se paljastettaisiin julkisuudelle. Samaan aikaan Suomen kyberturvallisuuskeskus ilmoitti haavoittuvuudesta, jonka suomalainen Codenomicon oli löytänyt itsenäisesti.

Edellinen Seuraava  

5 kommenttia

113.4.2014 0:57

Tämä laittoi kyllä IT-kansan varpailleen.
Moni paikkasi tuon onneksi jo kahdeksas päivä, ennen haavoittuvuuden tuloa yleiseen tietoon (kaikkiin otsikoihin).
Kyllähän tuolla 64kb osien kalastelulla muistista saa tärkeää tietoa varastettua;
varsinkin jos serveriä käytetään tiedon suorittamiseen, eikä välikätenä tiedon siirrossa.


Kuten aikaisemminkin, normaalin käyttäjän paras suoja on käyttää eri salasanaa eri asioihin:
Sähköpostisalasana eri kuin mihinkään muuhun, jos sen saa joku käyttöön saa hän sinun kaikki muutkin salasana haltuunsa.
- Salasanan pituus on tärkeä, +10 meriikä suositus (lisätietoa).
- Suuria- ja pieniäkirjaimia sekä numeroita sekaisin on hyvä, mutta pituus ensin.
- Suurin tietoturvauhka siltikin on oma perhe/puoliso.

Katso lista internetin suurimmista, ja onko ne turvassa tältä haavoittuvuudelta täältä.
Tarkista täältä onko tarvetta salasanan vaihtoon.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 13.4.2014 @ 01:10

213.4.2014 8:29

Lainaus, alkuperäisen viestin kirjoitti OneMember:
Kyllähän tuolla 64kb osien kalastelulla muistista saa tärkeää tietoa varastettua;
varsinkin jos serveriä käytetään tiedon suorittamiseen, eikä välikätenä tiedon siirrossa.
Jos sitä käytettäisiin vain välikätenä, niin se tuskin olisi Internetin puoleen avoin. Ja yksi parhaita aarteitahan mitä tällä voi saada on serverin SSL-sertifikaatit, niillä kun voi tehdä todella paljon pahaa.

Lainaus, alkuperäisen viestin kirjoitti OneMember:
- Suuria- ja pieniäkirjaimia sekä numeroita sekaisin on hyvä, mutta pituus ensin.
Ei aivan näinkään. Salasana, mitä ei muista ulkoa tulee lähes väistämättä kirjoitettua alas jonnekin. Salasanan pituus merkkaa huomattavasti enemmän, kuin se, minkälaisia merkkejä käytetään. http://xkcd.com/936/

313.4.2014 9:13

Lainaus, alkuperäisen viestin kirjoitti WereCatf:
Lainaus, alkuperäisen viestin kirjoitti OneMember:
Kyllähän tuolla 64kb osien kalastelulla muistista saa tärkeää tietoa varastettua;
varsinkin jos serveriä käytetään tiedon suorittamiseen, eikä välikätenä tiedon siirrossa.
Jos sitä käytettäisiin vain välikätenä, niin se tuskin olisi Internetin puoleen avoin. Ja yksi parhaita aarteitahan mitä tällä voi saada on serverin SSL-sertifikaatit, niillä kun voi tehdä todella paljon pahaa.

SSL sertifikaatteja on varastattu kautta aikain, milloin noutamalla suoraan tomistolta, milloin varastamalla CA:n palvelimelta. Ei mitään uutta auringonalla.

Minusta on pikemminkin mielenkiintoista, miten tämä uutinen on uutisoitu ja miten haavoittuvuuden vakavuus "luokiteltu".

On totta että koodivirhe on vähän nolo kömmähdys ja näitä ei saisi tapahtua, mutta siitä huolimatta "tilanne on ammattilaisten hallussa". Tai siis pitäisi olla.

Ongelman hyödyntäminen, korjaaminen, ohjelmistojen versionhallinta jne. Koko ketju on rajallisen ammattikunnan hoteissa, joko valkolakkisten tai mustahattuisten =)

"Ammattitaidottomalle" loppukäyttäjällä ei ole oikeastaan roolia korjauksess. Tämä olisi voitu uutisoida myös siten, että "elä käytä nettiä pariin päivään ja odota palveluntarjoajalta kuittausta, että voit vaihtaa salasanasi". Mutta ei - tästä päätettiin tehdä mediassa iso issue, joka on maailmanlopusta seuraavaksi pahin ongelma.

Toisaalta meillä on toistuvasti tapauksia, joissa korjausvastuu jää ammattitaidottomalle loppukäyttäjälle. Pahimmillaan noita korjauksia tehdään noin 5 vuoden sykleillä, käyttäjän vaihtaessa konetta.

En nyt ole ihan varma, kumpi on isompi ongelma.

Yksi iso selkeästi rajttu ongelma, joka on korjattavissa rajallisella työmäärällä, vaiko miljoonia pieniä ja keskisuuria ongelmia, joita ei voida rajata, eikä korjata.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 13.4.2014 @ 09:14

--
t.w

413.4.2014 9:39

Lainaus:
On totta että koodivirhe on vähän nolo kömmähdys ja näitä ei saisi tapahtua,

Ongelma on tässä tapauksessa jo paljon syvemmällä kuin rivissä koodia (ja monella tasolla).

Tuon heartbeatin pitäisi olla sinällään jo toteutettu TCP/IP:n tasolla niin että sitä ylemmän taso protokollat voivat suoraan hyödyntää sitä helposti ja luotettavasti, eikä niin että kaikkien protokollien pitää tehdä oma heartbeat-toteutus.

Tuo koodivirhe olisi myös ollut helposti havaittavissa, jos OpenSSL-poppoo ei olisi hakenut maksimaalista suorituskykyä "typerillä" C-optimoinneilla.
http://article.gmane.org/gmane.os.openbsd.misc/211963

Suurin ongelma monilta osin on kuitenkin se, ettei OpenSSL:n koodipohja ole kovin kehuttavaa kehityksen kannalta. Resursseja ja/tai vapaaehtoisia ei siis ole tarpeeksi, ja sama ongelma on jatkunut jo useita vuosia.
https://www.peereboom.us/assl/assl/html/openssl.html (linkki valittaa sertifikaatista)

Lainaus:
"Ammattitaidottomalle" loppukäyttäjällä ei ole oikeastaan roolia korjauksess.

Kuluttajilla saattaa olla käytössään verkkolaitteita, jossa on tuon HeartBleedin sisältävä OpenSSL-versio.
http://mashable.com/2014/04/10/heartbleed-networking-routers/

513.4.2014 21:53

Lainaus, alkuperäisen viestin kirjoitti Agent_007:

Kuluttajilla saattaa olla käytössään verkkolaitteita, jossa on tuon HeartBleedin sisältävä OpenSSL-versio.
http://mashable.com/2014/04/10/heartbleed-networking-routers/
Jep. Itse sain Elisalta tälläisen s-postin:


Hyvä asiakkaamme

Saamiemme ilmoitusten mukaan liittymässänne on OpenSSL-haavoittuvuus.
Siitä löytyy lisätietoa osoitteesta:

http://www.elisa.fi/abuse
https://www.cert.fi/varoitukset/2014/varoitus-2014-01.html

Asian selvittämiseksi pyydämme teitä vastaamaan tähän viestiin.

Kyse voi olla esimerkiksi Linux-pohjaisesta levynjakopalvelimesta.

Mikäli liittymänne suljetaan tietoturvasyystä, voimme veloittaa
siitä avausmaksun.

Apua saatte myös Omaguru-palvelustamme puhelinnumero 0600 900 500
(1,99 eur/min + mpm/pvm)

--
xxxx xxxxx
Tietoturva-asiantuntija
Elisa Oyj
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 13.4.2014 @ 21:55

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Amazon haastaa Googlen uusilla aseilla – Joukkoistaa kysymyksiin vastaamisen Amazon haastaa Googlen uusilla aseilla – Joukkoistaa kysymyksiin vastaamisen (9.12.2018 13:23)
Googlettaminen on nykyisin yleisin tapa hakea ratkaisut yleistietoa vaativiin kiistoihin ja erimielisyyksiin, mutta käynnissä olevan muutoksen takia puheavustajat voivat korvata perinteiset ....
Älä osta näitä joululahjaksi – Verkkokauppa.comin paljasti eniten huoltoa tarvitsevat esineet Älä osta näitä joululahjaksi – Verkkokauppa.comin paljasti eniten huoltoa tarvitsevat esineet (9.12.2018 12:14)
Verkkokauppa.com on jo monena vuotena julkaissut kuluvan vuoden huolletuimmat- ja palautetuimmat tuotteet. Perinne jatkuu taas tänä vuonna uudella listalla. Syy miksi Verkkokauppa.com paljastaa ....
2 kommenttia
EU suosittaa välttämään Huawein tukiasemia – Britanniassa vaihdetaan niitä jo toisiin EU suosittaa välttämään Huawein tukiasemia – Britanniassa vaihdetaan niitä jo toisiin (8.12.2018 12:49)
Marraskuun lopulla uutisoimme tiedoista, joiden mukaan Yhdysvallat suosittelee kumppanimaitaan välttämään tilaamasta 5G-mobiiliverkkojen tukiasemia Huaweilta. Pelkona on, että Kiina voisi vakoilla ....
4 kommenttia
Apple päivitti suomalaisyhtiön kehittämän unianturin Apple päivitti suomalaisyhtiön kehittämän unianturin (8.12.2018 11:57)
Apple on julkaissut uuden version suomalaisen Bedditin kehittämästä unisensorista. Beddit Sleep Monitor 3.5:n lisäksi Apple päivitti laitteen hallintaan käytettävän iOS-sovelluksen, joka on ....
Apple hyökkää levy-yhtiöitä vastaan – Haluaa suoran yhteyden artisteihin Apple hyökkää levy-yhtiöitä vastaan – Haluaa suoran yhteyden artisteihin (8.12.2018 11:36)
Suoratoistomusiikissa on käynnistymässä uusi aikakausi Spotifyn uusien avausten ja Applen tuoreen yrityskaupan perusteella. Musiikkipalveluiden tarjoajat yrittävät luoda palvelun ja artistin ....
1 kommentti

Uutisarkisto