TigerTeam - suomalainen tietoturvablogi

Tietoturvallisuus ja etenkin tietoturvattomuus on monia tunteita herättävä aihe. Nixun konsultit osallistuvat usein asiakkaiden kehityshankkeisiin, joissa arvioidaan uusien ratkaisujen tai tuotteiden tietoturvallisuutta tai sitten olemme toisella puolella pöytää kehittämässä uuden liiketoiminnan turvallisuutta.

Tietoturvallisuus tuntuu olevan hyvää markkinointia

Hieman huvittuneina olemme seuranneet myös etenkin perinteisten IT-ratkaisutoimittajien tapaa vakuuttaa asiakkaansa ratkaisunsa tietoturvallisuudesta. Monet web-palvelujen käyttäjät ovat voineet huomata kuinka heidän käyttämänsä web-palvelu on ehdottoman turvallinen koska yhteys on SSL-suojattu.

Kaikki sovellusturvallisuutta tuntevat ymmärtänevät, että tällä lausumalla on vain vähän tekemistä sen kanssa, kuinka turvallista tietojen luovuttaminen sovellukseen on.

Maailmalta on mahdollista löytää myös kaikenlaisia tietoturvatodistuksia, joiden tehtävä on vakuuttaa asiakas siitä, että palvelu on turvallinen. Huvittavin löytämämme on PCI DSS -tietoturvastandardiin kuuluvan haavoittuvuusskannauksen “korvaava” Scanless PCI -palvelu, jossa siis ei näkemyksemme mukaan ole kyse mistään muusta kuin huijauksesta.

Nixun periaatteena on tyypillisesti ollut, ettemme lähde takaamaan minkään ratkaisun tietoturvallisuutta, koska täydellinen takaaminen ei vain ole mahdollista. Jos välineitä ja aikaa on riittävästi murtautuminen yleensä onnistuu. Tällöin kyse on asiakkaan liiketoimintaan liittyvästä riskienhallinnasta, eli siitä, kuinka paljon turvallisuuteen halutaan panostaa.

Nixun tapa antaa tunnustusta tietoturvallisuudesta

Katsottuamme kuitenkin aikamme alalla vallitsevaa epäselvyyttä lanseerasimme pari vuotta sitten Nixu Security Verified -sertifikaatin SaaS-palveluille, jonka avulla pyrimme varmistamaan, että asiakas joka sertifikaattia esittää on panostanut riittävästi turvallisuuteen - eli käytännössä kaikki sovelluksen kriittisiksi luokitellut haavoittuvuudet on korjattu ja sovelluksen ylläpito ymmärtää mitä jatkuva tietoturvallisuuden ylläpito tarkoittaa.

Sertifikaatin myönnämme vain niille asiakkaillemme, jotka ylläesitetyt ehdot täyttävät, esimerkiksi asiakkaamme Balancion on esittänyt tavoitteekseen sertifikaatin hankkimisen ennen tuotantoonmenoa; betassahan tällaista sertifikaattia ei ole.

Toki teemme työtä monien muidenkin kuin sertifioitujen asiakkaiden tai sovellusten kanssa, mutta noudatetaanko suosituksiamme vai ei, on toki aina loppukädessä asiakkaan oma valinta.

Loppukädessä Nixu, eikä mikään muukaan tietoturvayhtiö, voi koskaan taata minkään sovelluksen tai järjestelmän tietoturvallisuutta. Meistä, kuten varmasti muistakin aiheeseen vakavasti suhtautuvista, on kuitenkin tärkeää, että asiakkaat panostavat asiaan ja tekevät sen kunnolla, sen sijaan että hankkisivat feikki-todistuksia markkinointinsa tueksi.

Petri Kairinen vastaa Nixun myynnistä ja markkinoinnista ja on ihmeissään seuratessaan netin tarjoamia esimerkkejä tietoturvalla tapahtuvasta myynninedistämisestä

Vuosi 2009 oli Nixulle hyvä ja lama näytti kiertävän meidät kaukaa. Vai onko kyseessä niin voimakas strateginen trendi, että lama ei siihen oikein päässyt puremaan? Liikevaihtomme kasvoi taas yli 30 prosenttia ja olemme omien arvioidemme mukaan nyt Pohjoismaiden suurin tietoturvaan keskittynyt asiantuntijapalveluita tarjoava organisaatio. Ja uskomme edelleen kasvumahdollisuuksiimme: toivottavasti voimme juhlistaa sadannetta työntekijäämme heti kesän jälkeen.

Volyymin kasvu on pitänyt meidät kaikki varsin kiireisinä. Mutta kiire on ollut positiivista ja tekemisen meininkiä on ollut fantastista seurata. Tietoturvatiimimme on neljässä vuodessa kasvanut koko yrityksemme kattavaksi operaatioksi painaen ulos yli 350 tarjousta, toimittaen yli 200 projektia noin sadalle asiakasorganisaatiolle tietoturvallisuuden kaikilla osa-alueilla.

Joukkoon mahtuu monia uudentyyppisiä ja mielenkiintoisia projekteja. Tuntemattomien ja uusien alueiden tutkiminen onkin yhä suurempi osa tekemistämme ja kasvanut koko antaa tähän yhä paremmat ja paremmat mahdollisuudet.

Suuri kiitos menestymisestä kuuluu asiakkaillemme. Heille, jotka ovat meihin luottaneet ja luovuttaneet käsiimme hyvinkin bisneskriittisiä järjestelmiä ja dataa. Kiitän tästä nöyrällä mielellä.

Toinen kiitos menee omalle väelle, joka on hoitanut työnsä kunnialla ja omistautunut tehtävälleen: suojella asiakkaitamme tietoturvariskeiltä. Nopea kasvu on vaatinut venymistä ja paineensietoa. Mutta olemme onnistuneet pitämään työkuormat jotenkin järjellisinä kehittämällä omia prosessejamme, asioiden ennakointia sekä resurssimanageerausta.

Haluaisitko sinä olla uusi Nixulainen?

Uskomme kasvun jatkuvan edelleen, mutta eihän se tyhjästä synny ja on mahdollista vain kasvattamalla uusien Nixulaisten määrää. Suunnitelmamme on tarjota mielenkiintoinen uramahdollisuus 20 uudelle Nixulaiselle. Pyrimme yhä holistisemmin täyttämään asiakkaidemme liiketoimintariskien paikkaamisen, joten moni palkkaamistamme henkilöistä tulee toivottavasti omaamaan yleistä liiketoiminta- ja tietohallinto-osaamista.

Vaikka kasvamme, niin yritämme minimoida traditionaaliset kasvun tuomat haittapuolet: jäykkyys, hitaus ja organisaation syvyyden kasvu. Keksimmekin uuden oman organisaatiomallin jossa perustamme suhteellisen vapaasti muokattavia Business Zoneja. Näillä on kullakin oma tehtävänsä ja ne räätälöidään myös vetäjiensä näköisiksi. Meille on tärkeätä pystyä tarjoamaan erilaisia urapolkuja sekä asiantuntijuuden että liiketoiminnasta vastaamisen suuntaan.

Uusien tehtävien avautumisesta kerromme rekrytointisivuillamme. Voit lähettää meille myös avoimen työhakemuksen osoitteeseen jobs@nixu.com.

Tämä tiistai on IT- ja tietoturva-ammattilaisille harvinaisen haastava. Samana päivänä tietoturvapäivityksensä julkaisevat niin Adobe, Microsoft kuin Oraclekin.

Adoben julkaisemat päivitykset ovat vuoden ensimmäisen neljänneksen päivityksiä, Microsoftin päivitykset tammikuun kuukausipäivityksiä ja Oraclen 24 päivitystä taas ensimmäisen neljänneksen CPU-päivityspaketti - Critical Patch Update.

Microsoftin päivityksiä koskevia ennakkotiedotteita on ollut käytettävissä vuoden 2005 alusta, samasta hetkestä jolloin Oracle aloitti neljännesvuosipäivityksensä. Etukäteistiedotteet Oracle otti käyttöön kylläkin vasta myöhemmin.

Uusin etukäteistiedottaja kolmikosta on Adobe, joka aloitti säännölliset päivityksensäkin vasta viime kesänä.

Ennakkotietojen laajuus vaihteleekin sitten jo paljon. Oraclen erityispiirteenä on paikattavien haavoittuvuuksien korkeimman CVSS-arvon kertominen. Tällä kertaa arvo on tuotteiden Listener for Oracle Database Server, Secure Backup ja JRockit kohdalla korkein mahdollinen eli 10.0.

Haittaohjelmien tekijöille lisää aikaa

Kuinka ohjelmistojätit sitten ovat onnistuneet päivitysprosesseissaan? Suoraa vastausta ei kysymykseen ole olemassa, mutta Microsoftille päätös on välillä ollut haasteellinen.

Microsoftilla on nimittäin päätetty jättää kuukausipäivitykset julkaisematta kaikkiaan neljä kertaa: joulukuussa 2003, maalis- ja syyskuussa 2005 sekä maaliskuussa vuonna 2007. Samalla kun päivitysten ennakkotiedote edellisen viikon torstaina kertoo päivityksien kohteet saavat haavoittuvuuksien hyödyntäjät eli esimerkiksi haittaohjelmien tekijät pahimmassa tapauksessa kuukauden lisäaikaa toimilleen.

Buutti tarvitaan, olkaa valppaina

Päivitysten perusteellinen testaaminen ottaa myös aikansa, ja sitä ehdottomasti täällä Nixussa suosittelemme. Ennakkotiedote kertoo ylläpitäjille mitä ollaan paikkaamassa ja auttaa suunnittelemaan esimerkiksi palvelinten uudelleenkäynnistyksen, kun Microsoft kertoo sen pakolliseksi päivityksen astumiseksi voimaan.

Hyökkääjällä on usein useita hyökkäysvektoreita valittavanaan. Hyökkäys voidaan suunnitella ja oikea hyökkäysvektori valita sitä paremmin mitä enemmän aikaa ennen päivityksen julkaisua on käytettävissä.

Adoben tapauksessa tämä onkin jo nähtävissä. Kun aikaisemmin Acrobat-haavoittuvuuksia hyödynnettiin pitkälti lähinnä ns. kohdennetuissa hyökkäyksissä on päivitystä odotellessa nähty yhä uusia haavoittuvuutta hyödyntäviä hyökkäyksiä. Hyödynnettävä haavoittuvuus on miltei poikkeuksetta joulukuun puolivälissä löytynyt, Adoben tietoturvatiedotteessa APSA09-07 mainittu haavoittuvuus (CVE-2009-4324).

Verkkorikolliset käyttävät aikansa tehokkaasti, koska päivityksen tultua tänään saataville vähenee haavoittuvien kohteiden määrä jatkuvasti. Tieto korjausaikataulustahan saatiin jo joulukuun puolivälissä, ei suinkaan viime torstain ennakkotiedotteen kautta. Hyökkäyskoodi on ollut Metasploitissa jo peräti kuukauden.

Saamaansa lisäaikaa verkkorikolliset käyttävätkin usein kehittämällä exploit- eli hyökkäyskoodista koodinajamiseen kykenevän version.

Sovellustietoturvallisuuden kehittymistä suomalaisissa organisaatiossa läheltä seuranneena huomaan edelleen törmääväni usein siihen, että sovelluksia ostavilla tai sovelluksia kehittävillä henkilöillä on vääriä käsityksiä sovellustietoturvallisuudesta tai jopa perustiedot sovellustietoturvallisuudesta puuttuvat.

Nykyistäkin perustietämystasoa kuvaa hyvin eräs vuoden takainen uutinen, jossa tunnettua suomalaista web-palvelua pyörittävän yrityksen toimitusjohtajalta kyseltiin ovatko palvelun käyttäjätunnukset ja salasanat turvassa, kun juuri aikaisemmin olivat erään toisen web-palvelun käyttäjätunnukset ja salasanat vuotaneet julkisuuteen. Toimitusjohtajan vastaus oli, että käyttäjätunnukset ja salasanat ovat turvassa – ne ovat kahden palomuurin takana.

“Meidän sovelluksemme on suojattu, meillä on palomuurit, virustorjunta ja IDS”, “Mutta kun meidän sovelluskehitys-framework huolehtii näistä tietoturva-asioista”, “Meidän organisaation tietoturva-asiantuntijat hoitavat nämä asiat”. Kuulostaako tutulta?

Näyttää siltä, että kestää vielä tovin kunnes sovelluksen ostaja tai peruskehittäjäkin tiedostaa, että se sovelluksen tietoturvallisuus on omasta työstä kiinni. Ei ole olemassa mitään maagista verkkolaitetta tai tietoturvaohjelmistoa joka huolehtisi siitä, että sovelluksen tiedot olisivat turvassa, jos sovellus itsessään on haavoittuva.

Sovellustietoturvaa läpi koko prosessin

Alan mediakin keskittyy sovellustietoturvasta puhuttaessa vain uusien haavoittuvuuksien uutisointiin. Hyvin harvoin artikkeleissa puhutaan turvallisesta sovelluskehityksestä ja mistä johtuu se, että sovellukset alun alkaenkin ovat niin haavoittuvia.

Onneksi valoa on näkyvissä tunnelin päässä. Useat organisaatiot ovat vihdoin heräämässä ja käynnistäneet hankkeita sovellustietoturvallisuuden tietoisuuden kasvattamiseksi ja oman sovelluskehitys- tai sovellushankintaprosessin uudistamiseksi, niin että tietoturvallisuus tulee huomioitua heti jo uutta sovellusta suunniteltaessa.

Toivottavasti myös alan oppilaitoksetkin pikkuhiljaa alkaisivat ottamaan sovellustietoturvallisuutta opetusohjelmiinsa. Ainakin TKK:lla sovellustietoturvallisuus on melko tuntematon käsite. Lähimpänä tätä aihepiiriä olevat tietoturvallisuuden kurssit keskittyvät vielä verkkoprotokollatasolle.

Sovellustietoturvallisuuteen perehtyminen kannattaa aloittaa OWASPin sivuilta. OWASP (Open Web Application Security Project) on voittoa tavoittelematon organisaatio, jonka tarkoituksena on kasvattaa tietoisuutta ja kehittää sovellusturvallisuutta. Vapaasti kaikkien käytettävissä oleva ASVS (Application Security Verification Standard) on OWASPin ensimmäinen standardi. Standardissa kuvattuja vaatimuksia voidaan käyttää esim. sovelluksen turvallisuusvaatimuksia määriteltäessä, ohjeistuksena sovelluksen turvakontrollien toteutuksessa tai arvioitaessa jo valmiin sovelluksen tietoturvallisuuden tasoa.

Kirjoittajasta:

Inspect-yksikön vetäjä Petteri Arola aloitti vuoden alussa OWASP Helsinki Chapterin chapter leader -tehtävässä.

Pohdiskelimme lokakuussa maksuttomien exploit-sivustojen tulevaisuudennäkymiä.

Kirjoituksessa käsitellyistä sivustoista Milw0rm.com ei ole edelleenkään päivittynyt syyskuun puolenvälin jälkeen. Sivuston exploit-kohtainen kävijälaskuri on samalla usean koodin kohdalla noussut jopa yli 60 000 latauskertaan.

Toinen listaamistamme sivustoista - 0xbugs.com-sivusto - ei puolestaan ole päivittynyt lokakuun puolenvälin jälkeen. Koodien katselukerrat ovat hyvin vaatimattomia eli muutamissa kymmenissä.

PacketStorm ja SecuriTeam päivittyvät säännöllisesti, mutta SecuriTeamin päivityksissä oli elo-marraskuun kestänyt tauko.

Yksi vähemmän tunnettu sivusto on Exploit Database osoitteessa www.exploit-db.com. Viime kuun puolivälissä avattua sivustoa ylläpitää Offensive Security Team, jonka jäsenet esiintyvät oikeilla nimillään. Sivustolle pääsee myös helposti muistettavan explo.it-osoitteen avulla.

Tietokantaan kerätään hyökkäyskoodeja postituslistoilta ja esimerkiksi Milw0rm-sivuston exploitit on otettu mukaan. Kaikkiin exploitteihin pyritään lisäämään viitteet CVE- ja OSVDB -tietokantoihin. Lisäksi tarjotaan tieto, onko koodia testattu omassa testiympäristössä. Massapäivitysten ansiosta sivuston koodilistausten kokonaismäärä onkin yli 10 000.

Milw0rm-tietokannasta siirretyissä koodeissa myös Milw0rm-tunnus on osoitteissa säilytetty, joten NaviCOPA-koodin osoitteen milw0rm.com/exploits/9694 vastine on Exploit Databasessa osoite exploit-db.com/exploits/9694.

Haavoittuvuustoimijoista muun muassa Secunia on julkaissut hiljattain varoituksia Exploit Database lähteenään.

Näyttää siis siltä, että Milw0rm on saanut varteenotettavan, säännöllisesti päivittyvän seuraajan.