TigerTeam - suomalainen tietoturvablogi

Tämän päivän isoja it-uutisia on uusien tietojen saaminen yhdysvaltalaiseen tietoturvayhtiö RSA:han keväällä kohdistuneesta tietomurrosta. Hiljattain julkisuuteen saatiin tietoa myös asevalmistaja Lockheed Martiniin kohdistuneesta tietomurrosta, jossa hyökkääjät käyttivät hyväkseen RSA:lta vuotaneita tietoja SecurID-tunnistautumisratkaisusta.

Nyt tiedetään, että RSA on ryhtynyt vaihtamaan vahvassa tunnistuksessa käytettäviä SecurID-avainlukugeneraattoreita eli ns. tokeneita.

SecurID:n murtaminen tarkoittaa vahvan tunnistautumisen muuttumista heikoksi – käyttäjätunnus-salasana-yhdistelmän kaltaiseksi – tunnistautumismenetelmäksi.

Mitä organisaatio voi nyt tässä tilanteessa tehdä?

1. SecurID:n tuomaa vahvaa tunnistusta käytetään laajasti VPN-yhteyksien tunnistamistapana. Kun vahvan tunnistuksen tuoma tietoturva häviää, on myös verkkoon pääseminen helpompaa. Yritysten tuleekin miettiä tietoturvallisuutta kehittäessään, mitä voisi tapahtua, jos ulkopuoliset pääsisivät käsiksi yrityksen tietoverkkoon. Riittääkö sisäverkon puolustus? Helpoin tapa pitää yllä sisäverkon tietoturvaa on huolehtia asiamukaisesta päivitysten hallinnasta. Tunkeutumisenestojärjestelmät eivät välttämättä havaitse normaalilta toiminnalta näyttävää hyökkäystä sisäverkossa – tietoturvatapahtumia on seurattava esimerkiksi lokienhallinnan ja hälytysten keinoin.

2. Tärkeänä työkaluna verkon turvan kartoituksena on verkkotapahtumien seuranta. On tiedettävä mitä organisaatiosi verkossa tapahtuu, jotta voidaan todeta verkon olevan turvassa. RSA SecurID:n osalta parasta, mitä verkon seurannassa voidaan tehdä on tarkkailla poikkeuksia verkon liikenteessä, sekä virheellisiä kirjautumisia, jossa avainlukugeneraattorin koodi on oikein, mutta PIN-koodi on väärä. Myös muiden kuin SecurID-tunnistusten virhetilanteita tulee seurata.

3. Salasanoihin ja PIN-koodeihin tulee kiinnittää tällaisessa poikkeustilanteessa riittävästi huomiota. Ennen kuin uudet, murtamattomat avainlukugeneraattorit on jaeltu käyttäjille, kriittisiä verkon osia suojaa käytännössä vain käyttäjätunnus ja PIN-koodi. Käyttäjiä tulee ohjeistaa pitämään hyvää huolta salasanoistaan ja heille tulee korostaa, ettei SecurID:een liittyvää PIN-koodia tule missään olosuhteissa kertoa ulkopuolisille. Myös mahdollisista urkintasivuista tulee varoittaa.

Kuten muutkin ohjelmistot myös tietoturvaohjelmistot vanhenevat eikä kalliidenkaan tietoturvaohjelmistojen elinkaari ole ikuinen. Siksi organisaation tietoturvaa onkin lähestyttävä kokonaisvaltaisesti.

Kirjoittaja Pietari Sarjakivi työskentelee tietoturvakonsulttina Nixun Build-yksikössä.

Viime päivien isoimpia tietoturvauutisia on ollut tietoturvayhtiö RSA:han kohdistunut tietomurto. EMC:n omistama RSA on kertonut avoimessa kirjeessään murrossa vääriin käsiin joutuneiden tietojen voivan potentiaalisesti heikentää yrityksen SecurID-tunnistautumisratkaisun tarjoamaa suojaa.

Mikä miljoonien ja miljoonien käyttäjien käyttämä SecurID sitten on?

SecurID on esim. avaimenperässä mukana kulkeva laite, joka tuottaa minuutin välein vaihtuvan valtuutusavaimen, käytännössä kuusinumeroisen luvun. Kirjauduttaessa vahvaa tunnistautumista vaativiin verkkopalveluihin tarvitaan tyypillisesti käyttäjätunus, PIN-koodi ja ko. laitteesta saatava vaihtuva luku.

SecurID käytössä sadoissa suomalaisyrityksissä

Murron kohteena on spekuloitu olleen mm. tunnistautumisratkaisun lähdekoodi tai tietoja ratkaisua käyttävistä organisaatioista. SecurID on yrityssektorilla vahvassa käyttäjätunnistuksessa ehdoton markkinajohtaja. Myös Suomessa SecurID:tä käyttää satoja organisaatioita työntekijöiden ja kumppanien tunnistamiseen. Kuva esimerkiksi avaimenperässä säilytettävästä ns. SecurID-tokenista ohessa.

Tapauksen tutkinta on kesken ja tällä hetkellä yksityiskohtia tiedetään hyvin vähän. Myös tieto murron ajankohdasta puuttuu - tai sitä ei ole ainakaan annettu julkisuuteen. Hyökkäyksessä käytetty menetelmä on ns. Advanced Persistent Threat (APT). Tällaiset hyökkäykset ovat hyvin huolellisesti suunniteltuja ja niillä pyritään saamaan mahdollisimman yksityiskohtaista tietoa kohteesta mm. social engineering -keinoja apuna käyttäen. Pysyvyys tarkoittaa jopa kuukausia kestävää tiedusteluvaihetta.

Nixun Build-yksikön vetäjä Kim Westerlund kertoo näkemyksiään siitä mitä vaikutuksia tapauksella on ja onko SecurID:lle olemassa vaihtoehtoja:

1. Kuinka vakavana nykyisen tiedon valossa pidät tapausta?

Tietojahan siitä mitä tarkkaan on ollut tietomurron kohteena ei ole tiedossa. Vuodetun tiedon avulla ei ole mahdollista murtautua organisaatioon, mutta saamieni tietojen mukaan yhdistettynä johonkin muuhun tietoon tämä voi olla mahdollista.

2. Onko yrityksillä nyt keinoja kuinka toimia, esim. rajoittaa SecurID:n käyttöä?

Asiaa tulee lähestyä riskienhallinnan näkökulmasta. Monelle organisaatiolle voi olla isompi liiketoimintariski rajoittaa SecurID:n käyttöä kuin hyväksyä sen käyttöön liittyvä riski. Riskienhallinta on aina sen punnitsemista mitä tehtyjen ratkaisujen myötä menetetään.

Riskiä tulee arvioida sen mukaan minkälainen organisaatio on kyseessä. SecurID:hen perustuva pääsy voidaan organisaatiossa rajoittaa esim. vain sähköpostiin ja kalenteriin.

3. Entä jos tapaus osoittautuu vakavammaksi kuin tähän mennessä on tiedossa?

Seuraamme tilannetta jatkuvasti ja olemme päivittäin yhteydessä Suomen RSA:han tilanteen kehittymisestä.

OWASP-yhteisö on julkaissut hiljattain uuden, vuoden 2010 version merkittävimpiä web-turvariskejä käsittelevästä Top 10 -dokumentistaan.

Merkillepantavaa nyt julkaistussa listassa on se, että OWASP haluaa puhua tietoturvariskeistä – ei enää haavoittuvuuksista ja tietoturvaongelmista.

Listan kolmen kärkeen kuuluvat riskit ovat hyvinkin tuttuja. Ykkösenä ovat injektiohyökkäykset, joilla tarkoitetaan taustajärjestelmäkyselyn, esimerkiksi tietokantakyselyn rakenteen muutoshyökkäystä. Myös Suomessa merkittäviä salasanamurtoja on tehty tällä menetelmällä, jossa esimerkiksi käyttöliittymien tekemiin SQL-kyselyihin liittyvä puutteellinen syötteentarkistus mahdollistaa salasanojen varastamisen tietokannasta. Muutaman kuukauden välein nähtävissä massiivisissa SQL-injektiohyökkäyksissä, joissa haittaohjelmia levitetään verkkosivuille injektoituun koodiin, on aina ollut mukana myös suomalaispalvelimilla toimivia sivustoja.

Listan toista sijaa pitävä cross-site scripting eli XSS oli vielä edellisen, vuoden 2007 Top 10 -listauksen ensimmäisellä sijalla, mutta niiden määrä ei ole tekemissämme tarkastuksissa osoittanut vähenemisen merkkejä.

Isoin sijoitusmuutos on uuden listan kolmonen - Puutteellisesti toteutettu tunnistusmenettely ja istunnonhallinta, joka oli edellisessä dokumentissa vasta sijalla 7. Myös tähän liittyviä havaintoja tehdään lähes jokaisessa Nixun tekemässä tarkastuksessa, ja se onkin ansainnut nykyisen sijansa.

Salasanat selväkielisinä saatavilla

Lopullinen lista muuttui julkaisukandidaattivaiheen sisältäneen Failure to Restrict URL Access -luokan osalta siten, että RC1-listalla vielä sijalla 7. ollut luokka putosi lopullisella listalla kahdeksanneksi. Puutteellinen tietojen salaus (Insecure Cryptographic Storage) puolestaan nousi lopullisella listalla sijalta 9. seitsemänneksi.

Tyypillisin tähän liittyvä havainto on edelleen salasanojen tallentaminen selväkielisenä, vaikka tämä on jo pitkään ollut vastoin kaikkia suosituksia.

Myös kuljetuskerroksen riittämätön suojaus (Insufficient Transport Layer Protection) nousi yhtä pykälää korkeammalle viime marraskuussa alkaneella kommentointikierroksella.

Tässä kirjoituksessa on käytetty luokista suomenkielisiä vastineita, jotka OWASP Helsinki julkaisi viime kesänä.

Mikä OWASP?

Verkkosovelluksien tietoturvaan keskittyneen, kansainvälisen vapaaehtoisjärjestö OWASP:n (Open Web Application Security Project) tarkoituksena on edesauttaa turvallisten sovellusten kehitystä ja ylläpitoa. Järjestö on voittoa tavoittelematon ja se toimii jo lähes sadassa maassa. Suomen OWASP Helsinki Chapter -niminen alajaos perustettiin reilut kolme vuotta sitten.

Tietoturvallisuus ja etenkin tietoturvattomuus on monia tunteita herättävä aihe. Nixun konsultit osallistuvat usein asiakkaiden kehityshankkeisiin, joissa arvioidaan uusien ratkaisujen tai tuotteiden tietoturvallisuutta tai sitten olemme toisella puolella pöytää kehittämässä uuden liiketoiminnan turvallisuutta.

Tietoturvallisuus tuntuu olevan hyvää markkinointia

Hieman huvittuneina olemme seuranneet myös etenkin perinteisten IT-ratkaisutoimittajien tapaa vakuuttaa asiakkaansa ratkaisunsa tietoturvallisuudesta. Monet web-palvelujen käyttäjät ovat voineet huomata kuinka heidän käyttämänsä web-palvelu on ehdottoman turvallinen koska yhteys on SSL-suojattu.

Kaikki sovellusturvallisuutta tuntevat ymmärtänevät, että tällä lausumalla on vain vähän tekemistä sen kanssa, kuinka turvallista tietojen luovuttaminen sovellukseen on.

Maailmalta on mahdollista löytää myös kaikenlaisia tietoturvatodistuksia, joiden tehtävä on vakuuttaa asiakas siitä, että palvelu on turvallinen. Huvittavin löytämämme on PCI DSS -tietoturvastandardiin kuuluvan haavoittuvuusskannauksen “korvaava” Scanless PCI -palvelu, jossa siis ei näkemyksemme mukaan ole kyse mistään muusta kuin huijauksesta.

Nixun periaatteena on tyypillisesti ollut, ettemme lähde takaamaan minkään ratkaisun tietoturvallisuutta, koska täydellinen takaaminen ei vain ole mahdollista. Jos välineitä ja aikaa on riittävästi murtautuminen yleensä onnistuu. Tällöin kyse on asiakkaan liiketoimintaan liittyvästä riskienhallinnasta, eli siitä, kuinka paljon turvallisuuteen halutaan panostaa.

Nixun tapa antaa tunnustusta tietoturvallisuudesta

Katsottuamme kuitenkin aikamme alalla vallitsevaa epäselvyyttä lanseerasimme pari vuotta sitten Nixu Security Verified -sertifikaatin SaaS-palveluille, jonka avulla pyrimme varmistamaan, että asiakas joka sertifikaattia esittää on panostanut riittävästi turvallisuuteen - eli käytännössä kaikki sovelluksen kriittisiksi luokitellut haavoittuvuudet on korjattu ja sovelluksen ylläpito ymmärtää mitä jatkuva tietoturvallisuuden ylläpito tarkoittaa.

Sertifikaatin myönnämme vain niille asiakkaillemme, jotka ylläesitetyt ehdot täyttävät, esimerkiksi asiakkaamme Balancion on esittänyt tavoitteekseen sertifikaatin hankkimisen ennen tuotantoonmenoa; betassahan tällaista sertifikaattia ei ole.

Toki teemme työtä monien muidenkin kuin sertifioitujen asiakkaiden tai sovellusten kanssa, mutta noudatetaanko suosituksiamme vai ei, on toki aina loppukädessä asiakkaan oma valinta.

Loppukädessä Nixu, eikä mikään muukaan tietoturvayhtiö, voi koskaan taata minkään sovelluksen tai järjestelmän tietoturvallisuutta. Meistä, kuten varmasti muistakin aiheeseen vakavasti suhtautuvista, on kuitenkin tärkeää, että asiakkaat panostavat asiaan ja tekevät sen kunnolla, sen sijaan että hankkisivat feikki-todistuksia markkinointinsa tueksi.

Petri Kairinen vastaa Nixun myynnistä ja markkinoinnista ja on ihmeissään seuratessaan netin tarjoamia esimerkkejä tietoturvalla tapahtuvasta myynninedistämisestä

Viime vuonna paljastuneessa korttimaksukäsittelijä Heartland Payment Systemsin massiivisessa tietomurrossa on tehty tällä viikolla pidätyksiä. Kolmea tekijää epäillään osallisiksi myös yhdysvaltalaisiin Hannafors Brothers – ja 7-Eleven-kauppaketjuihin kohdistuneista murroista. Viimeksi mainittujen murtojen aikajänne on huomattavan pitkä – lokakuusta 2006 viime vuoden kesään saakka.

Käytännössä kaikissa murroissa on käytetty kohdetietojärjestelmien SQL-injektio-haavoittuvuuksia (SQL Injection). Kyseessähän on hyvin tyypillinen web-sovellushaavoittuvuus, jossa tietokantakyselyn rakenteen muuttaminen on mahdollista. Koska kyselyjen suodatus on puuttellista siirtyy käyttäjän yksinkertaisesti selaimellaan antama syöte suoraan osaksi tietokantakyselyä. Näin esimerkiksi asiakastietoja ja luottokorttinumeroita voidaan lukea suoraan SQL-pohjaisesta tietokannasta.

Haavoittuvuustyyppi kuuluu OWASP Top 10 -listalle, jonka suomennos valmistui vapaaehtoistyönä kesäkuun lopulla. Dokumentissa tätä haavoittuvuustyyppiä kuvataan lauseella Taustajärjestelmäkyselyn rakenne ei säily. Turva-aukkoa hyödyntämällä hyökkääjä pystyy siis ajamaan omia komentojaan taustajärjestelmässä ja jopa muuttamaan tai tuhoamaan tietokannassa olevia tietoja.

Murtautuja voi olla järjestelmissä vuosienkin ajan

Miksi luottokorttitietojen varastaminen havaittiin sitten vasta näin pitkän ajan kuluttua?

Heartlandin tapauksessa on injektiohaavoittuvuuksien hyödyntämisen lisäksi käytetty kohdeorganisaation järjestelmiin asennettua hienostunutta haittaohjelmaa, joka on varastanut luottokorttitietoja ja lähettänyt niitä useille eri palvelimille.

Oikeudenkäyntidokumenttien mukaan (.pdf) epäillyt ovat tutustuneet paikan päällä mm. kohdeorganisaatioiden maksupäätejärjestelyihin etukäteen. Niin ikään on vahvistettu hyökkääjien testanneen haittaohjelmansa noin 20 virustorjuntaohjelmistoa vastaan.

Haittaohjelman tunnistamisen testausta avoimissa testauspalveluissa verkkorikolliset ovat harrastaneet jo vuosien ajan. Palvelut sisältävät kymmenien virustorjuntaohjelmien uusimmat tunnistuskoneistot, joten virussuojauksen läpäisyn testaamisen voi tehdä valitettavan helposti ja anonyymisti.

Organisaation verkkosivusto voi olla haavoittuva SQL-injektiolle vuosienkin ajan, vaikka alustaohjelmiston turvapäivityksistä olisikin huolehdittu. Samoin virustorjunta ei anna hälytystä haitta- ja vakoiluohjelmasta, jos sille ei löydy tunnistusta. Näin hyökkääjä pystyy toimimaan verkossa huomaamatta pitkiäkin aikoja.

SQL-hyökkäys ja haittaohjelmat eivät suinkaan ole ainoita hyökkäysmenetelmiä. Yhdysvaltalaisen TJX-kauppaketjun tapauksessa murtomenetelmänä oli heikosti suojatun WLAN-liikenteen salakuuntelu, josta kerroimme blogissa viime vuonna.

Onkin mahdollista, että PCI-vaatimukset tulevat jatkossa tiukentumaan tämän kokoluokan tietomurtojen lisäännyttyä.

Yli neljän miljoonan käyttäjän tiedot ovat joutuneet rikollisten käsiin tunnettua rekrytointipalvelua koskevassa tietomurrossa.

Brittiläisen Daily Mailin mukaan tapauksessa saatiin käyttäjiltä koko nimi, käyttäjä-ID ja salasana, puhelinnumero, sähköpostiosoite, syntymäaika, sukupuoli sekä mm. maantieteelliseen sijaintiin liittyviä perustietoja. Monster-sivuston suomenkielinen varoitus sijaitsee täällä ja Yhdysvaltain valtionhallinnon alaisen USAJOBS-sivuston englanninkielinen varoitus vastaavasti täällä.

Käytännössä murrossa paljastuneiden sähköpostiosoitteiden käyttämisen paljastaa mm. se, että mahdollisissa roskapostikampanjoissa sähköpostin vastaanottaja voidaan personoida tarkemmin käyttämällä vastaanottajakentässä myös henkilön koko nimeä. Useat sähköpostiohjelmat jättävät suodattamatta lähettäjäosoitteet, joissa on mukana vastaanottajan koko nimi. Roskapostittajat ja verkkorikolliset hyödyntävät sitä tosiasiaa, että on paljon vakuuttavampaa saada sähköpostia osoitteella Matti Meikäläinen matti.meikalainen@osoite.fi. Muista kuin etunimi.sukunimi-muotoisista sähköpostiosoitteista roskapostittajan tai hänen käyttämänsä ohjelmiston on hyvin vaikea päätellä vastaanottajan oikeaa nimeä.

Rikollisten käsiin joutuneet tiedot voivat olla myös vielä puuttuva palanen suunniteltaessa ns. kohdistettuja hyökkäyksiä. Tietomurrossa haltuun saadut tiedot ovat käyttökelpoisia sekä yksittäisinä tietoina että luotaessa profiilia tietovarkauden uhreista.

Mm. monessa puhelinpalvelussa käyttäjän todentamiseksi käytetään syntymäajan tiedustelua. Myös postiosoitteen kysyminen on yleinen keino.

Käyttäjän salasanan joutuminen vääriin käsiin muodostaa myös oman erillisen riskinsä, sillä moni käyttäjä käyttää samaa salasanaa kaikissa verkkopalveluissa, esimerkiksi henkilökohtaisessa sähköpostissaan.

Vääriin käsiin joutuneiden salasana- ja henkilötietojen käyttötarkoitukset voivat kuitenkin olla hyvin moninaisia, koska tyypillisesti tällaiset tiedot markkinoidaan rikollispiireissä eteenpäin.