Lue uutinen mobiilisivustolla

Tutkijat paiskasivat päivitysikkunan kiinni

CERT-FI:n asiantuntija Arsi Heinonen pitää todennäköisenä, että tietomurroissa käytetään myös tuntemattomia haavoittuvuuksia.

28.4.2005 13:50 Microsoftin mielestä tutkijoiden ja tietoturvayhtiöiden pitäisi tietoturvapäivitysten julkaisun jälkeen odottaa 90 päivää ennen hyödyntämismenetelmien paljastamista. Toivetta noudatetaan huonosti. Huhtikuussa ensimmäinen toimiva hyödyntämismentelmä oli jaossa 25 minuuttia päivitysten jälkeen.

Tutkijoita ja tietoturvayhtiöitä, jotka eivät noudata vastuullista julkaisupolitiikkaa, Microsoft syyttää käyttäjien turvallisuuden vaarantamisesta.

- Valittaminen siitä, kuinka paljon hyödyntämiseen tarvittavaa tietoa on julkisesti saatavilla, menee ohi asian ytimen, sanoo tietoturvayhtiö Immunityn perustaja Dave Aitel.

Microsoft julkaisi huhtikuun tietoturvapäivitykset noin kaksi viikkoa sitten. Viikon kuluessa neljälle aukoista oli julkaistu hyödyntämismenetelmä. Viime viikolla omansa sai vielä Exhange-postipalvelinohjelmisto. Keskiviikkona vuorossa oli MS05-020:n IE-aukko.

Aika ei riitä

CERT-FI:n tietoturva-asiantuntija Arsi Heinonen pitää erityisesti Exchangen haavoittuvuutta vakavana uhkana, koska ohjelmisto on käytössä isoissa organisaatioissa, myös Suomessa. Päivityksen ja hyödyntämismenetelmän julkaisun väliin jäi ainoastaan viikko aikaa.

- Kaikissa isoissa organisaatiossa ei pystytä niin nopeasti päivittämään, Heinonen sanoo.

Immunityn Canvas-ohjelman käyttäjät saivat hyödyntämismenetelmän yhdelle huhtikuun Windows-haavoista 25 minuuttia päivitysten julkaisun jälkeen.

- Mielestäni on omituista, että ihmiset puhuvat päivitysikkunoista. Tänään aikaa oli 25 minuuttia tai miinus viisi vuotta - riippuen siitä, miten sen laskee, Aitel kommentoi kertoessaan Dailydave-postilistallaan menetelmän julkaisusta.

Hyökkääjillä on nollapäivän aukkoja

Haavoittuvuustietojen ja hyödyntämismenetelmien nopeaa julkaisua perustellaan usein sillä, että tietoja voidaan käyttää tunkeutumisten tunnistamiseen ja tunkeutumistestaukseen.

Yksi Aitelin perusteista tietojen rivakalle julkaisulle on se, että hyökkääjillä on joka tapauksessa tietoja myös tuntemattomista haavoittuvuuksista.

- Kyllä näin varmasti jossain määrin on, siitä ei ole epäilystä. Jos reikiä löytävät ne, jotka kertovat valmistajille, mikseivät sitten löytäisi nekin, jotka eivät tiedoistaan kerro, sanoo Heinonen.

- Tietyt ohjelmistot ovat niin täynnä reikiä, ettei niiden löytäminen vaadi mitään ylivoimaista osaamista.

Dave Aitelin mielestä näiden 0day-aukkojen hyväksyminen tosiasiaksi siirtää katseen oikeaan paikkaan eli puolustuksen seuraavien kerroksien toimintaan.

Tunkeutumistapa: tuntematon

Heinosen mukaan suurimmassa osassa CERT-FI:lle raportoiduissa tietomurroissa on hyväksikäytetty tunnettua haavoittuvuutta.

- Kaikissa tietomurtotapauksissa tunkeutumismenetelmää ei ole kuitenkaan pystytty selvittämään. On hyvin mahdollista, että osa tapauksista on toteutettu täysin tuntemattomia haavoittuvuuksia hyväksikäyttäen.

Hän uskoo, että erityisesti tietosisällön vuoksi tehdyissä kohdennetuissa tietomurroissa käytetään hyväksi myös tuntemattomia haavoittuvuuksia.

Puolustusta useissa kerroksissa

CERT-FI:n mukaan viime vuoden aikana aiempaa useampiin haavoittuvuuksiin oli saatavilla hyväksikäyttömenetelmä ennen korjausta ja niitä myös hyödynnettiin laajasti ennen korjauksen valmistumista.

Heinonen sanoo, että ohjelmistojen päivittämisprosessi on syytä hioa kuntoon niin pienessä kuin suuressakin yrityksessä, mutta päivityksien saatavuuteen tai niiden nopean asentamisen varaan ei kannata luottaa.
Huomio olisi syytä kiinnittää kerrokselliseen puolustukseen.

– Aktiivinen ylläpito ja valvonta ovat kerroksellisen suojautumisen ydintä. Kerroksellisen puolustuksen idea on, että hyökkääjä joutuu tekemään ennen viimeisen kerroksen murtumista joitain sellaista, mistä tunkeutumien havaitaan. Tärkeäksi on noussut myös kyky ymmärtää uhkia ja reagoida niihin tarvittaessa nopeasti.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä

• Pohjanlahdelta löytyi upotettu konjakkilaiva
• Miljoonien viinakokoelma myyntiin vaimon vuoksi
• Tukholman teinit tilaavat vodkaa tekstiviestillä
• USA:n tiedustelupalvelu kumoaa huhut Kim Jong-unin salamurhasta