Pynnönen: haavoittuvuuksien etsintä ei lyö leiville

19.5.2005 13:45 Haavoittuvuuksista voi saada palkkion tietoturvayhtiöiltä, mutta Suomen ansioituneimman haavoittuvuuksien etsijän mukaan elantoa niistä ei saa. Jouko Pynnönen on löytänyt yli 20 ohjelmistohaavoittuvuutta.

Aikaisemmin jyväskyläläisen Online Solutionsin tietoturva-asiantuntijana työskennellyt Jouko Pynnönen, 29, kertoo hänen tittelinsä olevan nykyään tietoturvakonsultti. Hän tarjoaa konsultointi- ja ohjelmointipalveluita, mutta kertoo viime aikoina hairahtaneensa tietoturvan parista viihdepuolelle kiekko.tk-nettipeliprojektin myötä.

Pynnösen työn näkyvimmät tulokset ovat kuitenkin yli 20 ohjelmistohaavoittuvuutta, jotka ohjelmistovalmistajat ovat hänen aloitteestaan korjanneet. CV:stä löytyy muun muassa puolentusinaa vakavaa Windows-haavoittuvuutta sekä kaksi kriittisiä aukkoa Sun Javassa.

1000 dollarin haavapalkkio

Hän kertoo ansainneensa jonkin verran rahaa myymällä muutaman haavoittuvuuden yhdysvaltalaiselle tietoturvayhtiölle iDefenselle. IDefensen tapaan toimivat yhtiöt tarjoavat saamiensa tietojen perusteella suojaa asiakkailleen, siksi aikaa kunnes valmistaja saa päivityksen valmiiksi.

Pynnönen sanoo, että hän on etsinyt haavoittuvuuksia pääasiassa harrastuksekseen, mutta myöntää, että myös raha ja julkisuus ovat olleet vaikuttimina. Löytöjen poikima julkisuus on tuonut hänelle muutaman asiakassuhteenkin.

IDefensen korvauksen lisäksi hän kertoo saaneensa yhden Netscapen "Bug bounty" -palkkion. Tuhannen dollarin arvoinen palkinto selaimen tietoturva-aukosta on korvauksien paremmasta päästä.

- Harrastustoimintaa tämä on, ainakin minulle. Tietysti myös se, että samalla tulee tehtyä jotain yleishyödyllistä on plussaa, Pynnönen sanoo.

- Aika taitava pitäisi olla ja löytää joka kuukausi merkittäviä haavoittuvuuksia, jos tällä elannon haluaa ansaita. Maksettu summa on sidoksissa haavoittuvuuden vakavuuteen.

Vastuullisen tiedonjulkaisun kannalla

Pynnönen pitää tiedon julkaisussa kiinni niin kutsutusta vastuullisesta julkaisupolitiikasta, jonka mukaan tiedot julkaistaan vasta korjauksen valmistumisen jälkeen.

- Aikaisemmin haavoittuvuustietojen julkaisuun ennen korjausta suhtauduttiin suopeammin. Nyt julkaisuun on olemassa vakiintuneemmat käytännöt ja aika paljon on odotettavissa arvostelua, jos lähtee julkaisemaan ennen korjausta. Toki jotkut ovat edelleen sillä kannalla, että kaikki tieto pitää julkistaa heti.

- Periaatteeni on ollut, että tieto menee ensin valmistajalla ja sitten iDefenselle, vaikka se vaikuttaakin palkkion suuruuteen. Lähtökohtani on ollut, että tiedot joka tapauksessa julkistetaan, hän selittää.

Salattua tietoturvatietoa

Osa tietoturvatutkijoista kokee tekevänsä ilmaiseksi töitä isoille ohjelmistoyhtiöille ja toimivansa heidän laaduntarkkailijoinaan ilman vastiketta. Tietoturvayhtiö Immunity jopa myy palvelua, jonka asiakkaat saavat tiedot haavoittuvuuksista; muille tietoja ei jaeta.

- Perinteisesti pointtina on ollut, että tällä ei tavoitella omaa etua ja tiedot ovat yleishyödyllisiä. Onhan tuokin yksi tapa hankkia rahaa. Siitä, miten eettistä toimintaa se on, voi olla montaa mieltä, hän sanoo.

Hän arvelee, etteivät tietoturvayhtiöt ja -tutkijat ole ainoita, jotka tekevät rahaa haavoittuvuuksilla.

- Tällä alalla on myös epärehellistä toimintaa. Viruksien kirjoittajat ja krakkerit pyrkivät nykyään oman edun tavoitteluun. Varmasti joku on keksinyt, että rahaa voi tehdä myös sillä, että löytää haavoittuvuuksia ja pystyy pitämään ne piilossa.

"Microsoftin kehitys menee oikeaan suuntaan"

Pynnönen on jo vuosia katsellut Microsoftin ohjelmistoja tietoturvanäkökulmasta. Hän pitää yhtiön kehitystä hyvänä.

- Kehitys menee oikeaan suuntaan, mutta mikään ei tapahdu hetkessä. Uusissakin tuotteissa on ongelmia ja niistä tulee löytymään haavoittuvuuksia.

Kritiikkiä Microsoft saa Pynnöseltä siitä, että päivityksen valmistuminen kestää entistä pidempään.

- Joitain vuosia sitten korjaus saattoi tulla parissa viikossakin ulos. Minun kokemukseni mukaan se on ollut pitenemään päin. Minun ilmoittamissani tapauksissa siihen on kulunut tyypillisesti muutamia kuukausia, mutta parissa tapauksessa on nyt kestänyt jopa yli vuoden.

Java-reikä löytyi peliä tehdessä

Pynnösen mukaan haavoittuvuuden jäljille voi päästä jopa vahingossa, mutta useimmiten ne löytyvät tietoisen etsinnän perusteella. Prosessi lähtee käyntiin yleensä virhetilanteen tai poikkeavan käyttäytymisen paikantamisella.

- Esimerkiksi Java Web Startin reikä löytyi sattumalta, kun tein kiekko.tk-peliä. Kummallisen virheilmoituksen huomaaminen johti kyseisen kriittisen cross-platform-haavoittuvuuden löytymiseen.

- Virheilmoitus tietyssä tilanteessa voi olla sellainen, josta voi päätellä, että siellä voisi olla haavoittuvuus taustalla. Siitä yleensä pääsee jäljille. Sitten pitää tutkia tarkemmin, mistä on kysymys.

Haavoittuvuus on pystyttävä todistamaan

Haavoittuvuuden varmistumisen jälkeen seuraava vaihe on hyödyntämismenetelmän laatiminen.

- Jossain vaiheessa pitää saada exploitti tehtyä, koska ilman sitä ei käteen jää juuri mitään. Ohjelmistovalmistajat eivät usein ota raportteja todesta ilman exploittia.

Koko prosessiin kuluu häneltä aikaa tapauksesta riippuen yhdestä kolmeen työpäivää.

Haavoittuvuuksien etsiminen vaatii Pynnösen mukaan laaja-alaista it-järjestelmien tuntemista, vankkaa ohjelmointiosaamista ja ennen kaikkea omaa harrastuneisuutta; suomalaisissa opinahjoissa ei kohdennettua koulutusta ole tarjolla.

Valmistajat ottavat jo vakavasti

Pynnönen kertoo ottavansa aina ensimmäiseksi yhteyden ohjelmiston valmistajaan ja muun muassa varmistavansa, että haavoittuvuus ei ole vielä heidän tiedossaan. Hänen mukaansa valmistajien suhtautuminen on muuttunut aiempaa paremmaksi.

- Joskus takavuosina ongelmana oli, etteivät valmistajat ottaneet todesta. Vastaus saattoi myös olla, ettei ongelma ole vakava tai että se on vain teoreettinen. Nykyään suhtaudutaan hyvin. Vastaus tulee nopeasti ja tiedot otetaan vastaan. Se voi kyllä johtua siitäkin, että kun saa nimeä, valmistajat ottavat asian vakavammin.

Hänen mukaansa valmistajien päivitysprosessien nopeudessa on suuria eroja.

- Ymmärrän kyllä, ettei jotain Windowsin peruselementin ongelmaa pystytä viikossa tai kuukaudessa korjaamaan. Joka tapauksessa korjauksen pitäisi valmistua alle puolessa vuodessa.

Jutun kirjoitti: Jaakko Kuivalainen