TigerTeam - suomalainen tietoturvablogi

OWASP-yhteisö on julkaissut hiljattain uuden, vuoden 2010 version merkittävimpiä web-turvariskejä käsittelevästä Top 10 -dokumentistaan.

Merkillepantavaa nyt julkaistussa listassa on se, että OWASP haluaa puhua tietoturvariskeistä - ei enää haavoittuvuuksista ja tietoturvaongelmista.

Listan kolmen kärkeen kuuluvat riskit ovat hyvinkin tuttuja. Ykkösenä ovat injektiohyökkäykset, joilla tarkoitetaan taustajärjestelmäkyselyn, esimerkiksi tietokantakyselyn rakenteen muutoshyökkäystä. Myös Suomessa merkittäviä salasanamurtoja on tehty tällä menetelmällä, jossa esimerkiksi käyttöliittymien tekemiin SQL-kyselyihin liittyvä puutteellinen syötteentarkistus mahdollistaa salasanojen varastamisen tietokannasta. Muutaman kuukauden välein nähtävissä massiivisissa SQL-injektiohyökkäyksissä, joissa haittaohjelmia levitetään verkkosivuille injektoituun koodiin, on aina ollut mukana myös suomalaispalvelimilla toimivia sivustoja.

Listan toista sijaa pitävä cross-site scripting eli XSS oli vielä edellisen, vuoden 2007 Top 10 -listauksen ensimmäisellä sijalla, mutta niiden määrä ei ole tekemissämme tarkastuksissa osoittanut vähenemisen merkkejä.

Isoin sijoitusmuutos on uuden listan kolmonen - Puutteellisesti toteutettu tunnistusmenettely ja istunnonhallinta, joka oli edellisessä dokumentissa vasta sijalla 7. Myös tähän liittyviä havaintoja tehdään lähes jokaisessa Nixun tekemässä tarkastuksessa, ja se onkin ansainnut nykyisen sijansa.

Salasanat selväkielisinä saatavilla

Lopullinen lista muuttui julkaisukandidaattivaiheen sisältäneen Failure to Restrict URL Access -luokan osalta siten, että RC1-listalla vielä sijalla 7. ollut luokka putosi lopullisella listalla kahdeksanneksi. Puutteellinen tietojen salaus (Insecure Cryptographic Storage) puolestaan nousi lopullisella listalla sijalta 9. seitsemänneksi.

Tyypillisin tähän liittyvä havainto on edelleen salasanojen tallentaminen selväkielisenä, vaikka tämä on jo pitkään ollut vastoin kaikkia suosituksia.

Myös kuljetuskerroksen riittämätön suojaus (Insufficient Transport Layer Protection) nousi yhtä pykälää korkeammalle viime marraskuussa alkaneella kommentointikierroksella.

Tässä kirjoituksessa on käytetty luokista suomenkielisiä vastineita, jotka OWASP Helsinki julkaisi viime kesänä.

Mikä OWASP?

Verkkosovelluksien tietoturvaan keskittyneen, kansainvälisen vapaaehtoisjärjestö OWASP:n (Open Web Application Security Project) tarkoituksena on edesauttaa turvallisten sovellusten kehitystä ja ylläpitoa. Järjestä on voittoa tavoittelematon ja se toimii jo lähes sadassa maassa. Suomen OWASP Helsinki Chapter -niminen alajaos perustettiin reilut kolme vuotta sitten.

Tietoturvallisuus ja etenkin tietoturvattomuus on monia tunteita herättävä aihe. Nixun konsultit osallistuvat usein asiakkaiden kehityshankkeisiin, joissa arvioidaan uusien ratkaisujen tai tuotteiden tietoturvallisuutta tai sitten olemme toisella puolella pöytää kehittämässä uuden liiketoiminnan turvallisuutta.

Tietoturvallisuus tuntuu olevan hyvää markkinointia

Hieman huvittuneina olemme seuranneet myös etenkin perinteisten IT-ratkaisutoimittajien tapaa vakuuttaa asiakkaansa ratkaisunsa tietoturvallisuudesta. Monet web-palvelujen käyttäjät ovat voineet huomata kuinka heidän käyttämänsä web-palvelu on ehdottoman turvallinen koska yhteys on SSL-suojattu.

Kaikki sovellusturvallisuutta tuntevat ymmärtänevät, että tällä lausumalla on vain vähän tekemistä sen kanssa, kuinka turvallista tietojen luovuttaminen sovellukseen on.

Maailmalta on mahdollista löytää myös kaikenlaisia tietoturvatodistuksia, joiden tehtävä on vakuuttaa asiakas siitä, että palvelu on turvallinen. Huvittavin löytämämme on PCI DSS -tietoturvastandardiin kuuluvan haavoittuvuusskannauksen “korvaava” Scanless PCI -palvelu, jossa siis ei näkemyksemme mukaan ole kyse mistään muusta kuin huijauksesta.

Nixun periaatteena on tyypillisesti ollut, ettemme lähde takaamaan minkään ratkaisun tietoturvallisuutta, koska täydellinen takaaminen ei vain ole mahdollista. Jos välineitä ja aikaa on riittävästi murtautuminen yleensä onnistuu. Tällöin kyse on asiakkaan liiketoimintaan liittyvästä riskienhallinnasta, eli siitä, kuinka paljon turvallisuuteen halutaan panostaa.

Nixun tapa antaa tunnustusta tietoturvallisuudesta

Katsottuamme kuitenkin aikamme alalla vallitsevaa epäselvyyttä lanseerasimme pari vuotta sitten Nixu Security Verified -sertifikaatin SaaS-palveluille, jonka avulla pyrimme varmistamaan, että asiakas joka sertifikaattia esittää on panostanut riittävästi turvallisuuteen - eli käytännössä kaikki sovelluksen kriittisiksi luokitellut haavoittuvuudet on korjattu ja sovelluksen ylläpito ymmärtää mitä jatkuva tietoturvallisuuden ylläpito tarkoittaa.

Sertifikaatin myönnämme vain niille asiakkaillemme, jotka ylläesitetyt ehdot täyttävät, esimerkiksi asiakkaamme Balancion on esittänyt tavoitteekseen sertifikaatin hankkimisen ennen tuotantoonmenoa; betassahan tällaista sertifikaattia ei ole.

Toki teemme työtä monien muidenkin kuin sertifioitujen asiakkaiden tai sovellusten kanssa, mutta noudatetaanko suosituksiamme vai ei, on toki aina loppukädessä asiakkaan oma valinta.

Loppukädessä Nixu, eikä mikään muukaan tietoturvayhtiö, voi koskaan taata minkään sovelluksen tai järjestelmän tietoturvallisuutta. Meistä, kuten varmasti muistakin aiheeseen vakavasti suhtautuvista, on kuitenkin tärkeää, että asiakkaat panostavat asiaan ja tekevät sen kunnolla, sen sijaan että hankkisivat feikki-todistuksia markkinointinsa tueksi.

Petri Kairinen vastaa Nixun myynnistä ja markkinoinnista ja on ihmeissään seuratessaan netin tarjoamia esimerkkejä tietoturvalla tapahtuvasta myynninedistämisestä