Tällä viikolla tapahtuneista salasanajulkistuksista ensimmäinen todisti jälleen konkreettisesti sen, kuinka yleisiä helpot – ja samalla helposti murrettavat salasanat ovat.

Listaa tutkiessa näkee heti etunimien, syntymäaikojen ja 123456-tyyppisten numerosarjojen yleisyyden ilmaissähköpostin salasanana.

Acunetix-yhtiön teknologiajohtaja Bogdan Calin on tehnyt tarkempaa analyysia tuosta yli 10 000 Hotmail-käyttäjän salasanasta koostuvasta listasta.

Analyysin mukaan nimenomaan 123456 on listan yleisin salasana 64 osumalla. Myös sijoilla 2. ja 4. on numerosarja eli 123456789 ja 111111. Kahdeksatta sijaa pitää peräkkäisistä numeroista muodostuva 12345678.

Yleisin pituus kuusi merkkiä

Eurooppalaiskäyttäjiltä phishingin avulla saatu lista kertoo yleisimmäksi salasanan pituudeksi kuusi merkkiä. Kuusi merkkiä on muuten juuri lyhyin salasana, jonka Windows Live Hotmail hyväksyy.

Calin on laskenut, että ainoastaan 6 % käyttäjistä on valinnut salasanaansa sekä isoja että pieniä kirjaimia ja erikoismerkkejä tyyliin Sala_5aNANI§368.

On hyvin ymmärrettävää, että järjestelmän kertoessa salasanan minimipituudeksi kuusi merkkiä valitsee käyttäjä juuri tuon pituisen salasanan. Salasanat vaikeutuvat heti, kun järjestelmä pakottaa riittävän pitkään ja vahvaan salasanaan.

NIST (The National Institute of Standards and Technology) kertoo raportissaan SHA-3:n valinnan evaluointikriteereistä sekä yleisistä valintaperusteista ensimmäisen kandidaattikierroksen jälkeen. Kriteerejä ovat algoritmin turvallisuus, kustannustehokkuus ja suorituskyky sekä toteutusmalli.

21-sivuinen raportti NISTIR 7620 on ladattavissa PDF-muodossa tästä osoitteesta.

Toiselle kandidaattikierrokselle pääsi kesällä 14 algoritmia kaikkiaan 51 ehdokkaasta.

Tunnettuja hyökkäysmenetelmiä ehdokkaille seuraa itävaltalainen ECRYPT-wiki.

Jo vuosikausia haavoittuvuuksien hyökkäyskoodeja eli exploitteja on tietoturvayhteisössä kerätty postituslistoilta ja haavoittuvuuksien löytäjien verkkosivuilta erityisille arkistosivuille.

Exploitti on haavoittuvuuden hyödyntämiseksi laadittu eräänlainen työkalu, joka voidaan julkaista esim. lähdekoodina. Välillä julkaistaan vain kuvaus hyödyntämismenetelmästä, mutta ei varsinaista hyökkäyskoodia. Koodin olemassaolo ja sen julkisuus vaikuttavat puolestaan siihen millaisen vakavuusluokituksen haavoittuvuustoimijat turva-aukoille antavat.

Keväällä 2006 ranskalainen VUPEN Security (silloinen FrSIRT) lopetti koodien julkaisun sivustonsa maksuttomassa osiossa paikallisen lainsäädännön kriminalisoitua julkaisemisen. Vapaaehtoisvoimin toimivia hyökkäyskoodiarkistoja toimii kuitenkin edelleen useissa maissa sijaitsevilla palvelimilla.

Viime aikoina tietoturvayhteisössä on keskusteltu Milw0rm-sivuston jatkosta. Sivusto lakkasi päivittymästä reilu kuukausi sitten 21. syyskuuta.

Nimimerkin str0ke johdolla vuosikausia vapaaehtoistyönä ylläpidetty sivusto oli jo heinäkuussa sulkeutumassa resurssipulan vuoksi. Alasajon uhka herätti kuitenkin tietoturvayhteisön ja runsaan palutteen sekä avustustarjousten perusteella ylläpitämistä päätettiin kuitenkin jatkaa. Teksasilaispostilokero-osoitteeseen rekisteröity sivustoa vastaan on tehty viime kuukausina myös hajautettuja palvelunestohyökkäyksiä.

Milw0rm-referenssejä löytyy esimerkiksi MPEG-enkooderisovelluksen haavoittuvuuden CVE-tietueesta ja Joomla-komponentin CVE:stä CVE-2009-3661.

CVE-hanke (Common Vulnerabilities and Exposures) on myös päättänyt käyttää referenssejä säännöllisesti luotuaan niille MILW0RM:n-luokan yleispätevän MISC-luokan lisäksi. Myös haavoittuvuustoimija Secunia viittaa Milw0rm-julkistuksiin.

Muita vastaavia maksuttomia sivustoja ovat esimerkiksi PacketStorm Securityn ja SecuriTeamin Exploits-osiot sekä vähemmän tunnettu 0xbugs-sivusto.

Onkin mielenkiintoista nähdä pystyykö Milw0rm jatkamaan toimintaansa ja vahveneeko vai heikkeneekö ilmaisten exploit-sivustojen kenttä.

Tervetuloa Nixun uuteen TigerTeam-tietoturvablogiin. Blogi jatkaa maaliskuusta 2008 asti toimineen Nixu Web Journal -blogin seuraajana.

Blogin kirjoittajina jatkavat Nixu Oy:n tietoturva-asiantuntijat. Nixu Web Journal - tuttavallisemmin Nixu PCI Security -blogi perustettiin tarjoamaan Nixun sertifioitujen PCI-asiantuntijoiden käsityksiä Payment Card Industry -tietoturvastandardin yleisestä tulkinnasta. TigerTeam-blogi laajentaa aihepiiriä suomenkielisenä tietoturvablogina myös muille tietoturvan osa-alueille. Vanhan blogin kirjoitukset on siirretty TigerTeam-blogiin.

Päivitä kirjanmerkkisi ja RSS-lukijasi tilaukset, sillä osoite blog.nixu.fi on poistunut nyt käytöstä.

Web-sovellusten tietoturvaa seuraava Web Application Security Consortium on julkaissut päivitetyn version yleisesti käytössä olevien sovellusten tietoturvatilannetta kuvaavasta Web Application Security Statistics -raportistaan. Raportin perustana olevat tiedot on kerätty yli 12 000 web-sovelluksesta sekä testaamalla niitä automaattityökaluilla että analysoimalla sovelluskoodia yksityiskohtaisesti.

Sovelluksista löytyi lähes 100 000 erilaista haavoittuvuutta ja muuta tietoturvaongelmaa. Yleisimmät ongelmatyypit ovat alttius erityyppisille cross-site scripting -hyökkäyksille, jota havaittiin 39 prosentissa analysoiduista sovelluksista, sekä taipumus vuotaa käyttäjälle kuulumatonta tietoa, mihin syyllistyi 32 prosenttia sovelluksista.

Haavoittuvuuksia aiheuttavat sekä ohjelmointi- että järjestelmänhallinta- ja asennusvirheet tasapuolisesti. 57 prosentissa sovelluksista löytyi huolimattomasta toteutuksesta johtuvia haavoittuvuuksia, ja www-osoitteiden perusteella peräti 85 % toimivista järjestelmistä osoittautui tavalla tai toisella puutteellisesti asennetuksi tai konfiguroiduiksi. Vain yksi prosentti tarkastetuista sovelluksista oli täysin PCI DSS -standardin tietoturvamääritykset täyttäviä.

Automaattinen hyödyntäminen helppoa

Huolestumiseen antaa aihetta tieto, että 13% sovelluksista oli sellaisia, joiden tietoturva-aukkoja on mahdollista hyödyntää täysin ohjelmallisesti. Niitä vastaan voi siten hyökätä automaattisesti osoiteavaruutta läpikäyvällä ohjelmalla, joka tunnistaa haavoittuvuudet ja murtautuu niiden avulla sovelluksiin.

Vaikka yleisimmät haavoittuvuudet voidaan myös havaita automaattisesti noin puolessa tapauksista, valtaosa vakavimmista, PCI DSS -luokituksen mukaan Urgent- tai Critical-tyyppisistä ongelmista paljastui vasta käsin testaamalla ja ohjelmakoodia analysoimalla.

Raportin julkaisseeseen konsortioon kuuluu useita johtavia tietoturvayrityksiä, muun muassa HP Application Security Center, Positive Technologies, Whitehat Security ja Veracode. Raportti on luettavissa tässä osoitteessa.

Haavoittuvuuksien tunnistamiseen käytettävä CVE-hanke (Common Vulnerabilities and Exposures) on täyttänyt jo kymmenen vuotta.

Tietueiden määrä on noussut alkuaikojen muutamasta sadasta yli 39 000:een. Monien turva-ammattilaisten muistamat, CVE:iden rinnalla kulkeneet CAN-kandidaattitunnukset jäivät nelisen vuotta sitten pois käytöstä.

Ohjelmistovalmistajista omat CVE-sarjansa ovat saaneet käyttöön mm. Adobe, Apple, Debian, Microsoft ja Oracle. Tunnuksia ovat tietoturvatiedonannoissaan (advisory) sitoutuneet käyttämään yli 70 eri kokoista alan toimijaa - jopa piskuinen Slovenian CERT-tiimi.

Kaiken kaikkiaan CVE-hanke elää ja voi paksusti - eikä vähiten Yhdysvaltain Kotimaan turvallisuuden viraston eli DHS:n National Cybersecurity Division -yksiköltä muutaman vuoden ajan saamansa taloudellisen tuen ansiosta.

Tunnusten käyttö on levinnyt laajalle ja toimii hyvin - tunnusten referenssien avulla lisätiedon löytäminen haavoittuvuuksista helpottuu.

Apua haittaohjelmien nimeämissekamelskaan?

Erityisesti tunnuksia soisi näkyvän kuitenkin enemmän haittaohjelmien nimissä helpottamassa esimerkiksi troijalaisten yhdistämistä nollapäivähaavoittuvuuksiin. CVE:n käyttö nimissä on vielä hyvin harvinaista. Tunnusta CVE-2008-4250 on käytetty jonkin verran MS08-067-haavoittuvuutta hyödyntävän RPC-madon nimeämisessä. Fortinet-yhtiöltä löytyy nimiharvinaisuus W32/CVE20065994!exploit, joka tuli käyttöön vuonna 2006 kohdistettuihin hyökkäyksiin käytetyn Microsoft Wordin nollapäivähaavoittuvuuden troijalaisen nimeämisessä.

Kesällä paikattu Windowsin ATL-haavoittuvuus on kirvoittanut virustorjujatoimijat antamaan yllättävän monta CVE-2008-0015:n sisältävää nimeä aukkoa hyödyntävälle JavaScript-haittaohjelmalle:

JS/Exploit.CVE-2008-0015.A.Gen (ESET)

JS:CVE-2008-0015-A (Avast)

Exploit:JS/CVE-2008-0015 (Microsoft)

Paria vuotta aikaisemmin taas löytyy pelkkä CVE-tunnus nimenä: CVE-2006-3059 (F-Secure)

Haittaohjelmien nimien yhtenäistämiseen tähtäävä Mitren CME-sisarhanke (Common Malware Enumeration) on pian kaksi vuotta elänyt hiljaiseloa.

Voisiko CVE-tunnuksesta tulla helpotusta? Ratkaisu pidentäisi nimiä 13 merkillä, mutta tunnus voitaisiin hyvin kirjoittaa myös ilman erotinviivoja. Uudet haittaohjelmathan ovat pitkälti vanhojen muunnoksia, jolloin ainoastaan varianttia kuvaava pääte nimessä muuttuu.

Esimerkiksi kolmisen viikkoa sitten löydetyn Acrobat-haavoittuvuuden troijalaiset tunnetaan Exploit-PDF.x-, TROJ_PIDIEF.XX- ja Troj/PDFJs-X-muotoisilla nimillä. Nimistä on vaikea päätellä niiden liittyvän Adobe Acrobatin nollapäivähaavoittuvuuteen (CVE-2009-3459).

Entä jos tietoturvaihmiset voisivatkin merkkijonon CVE20093459 virustorjunnan lokeista löytäessään saada tiedon organisaationsa joutumisesta kohdistetun hyökkäyksen kohteeksi?