TigerTeam - suomalainen tietoturvablogi

SANS-instituutin Ed Skoudis lähestyi taannoin tietoturva-asiantuntijaamme luettuaan ratkaisuehdotuksia sovellustestaamiseen SANS:n murtotestauskurssien postituslistalta. Jaamme nyt nämä Miika Turkian postituslistalle lähettämät vinkit ja ajatukset kuvankaappauksineen blogin lukijoille.

Monet asiakassovellukset lähettävät tietorakenteita tai olioita sarjallistetussa muodossa palvelimelle. Näitä sovelluksia on paljon sekä älypuhelimissa että perinteisen tekniikan PC-ohjelmistoissa. Tällaisen liikenteen testaus vaatii uusia temppuja tavalliseen HTTP/HTTPS-liikenteeseen verrattuna. Perinteisesti sarjallistetun liikenteen testausta on yritetty tehdä hexa-editorilla, jolloin virheiden mahdollisuus kasvaa ja testauksen kattavuus kärsii merkittävästi. Seuraava kuvaruutukaappaus näyttää perinteisen näkymän sarjalliseen liikenteeseen:

Sarjallistetun protokollan tehokas murtotestaus vaatii liikenteen muuttamiseen ymmärrettävään muotoon tutkimista ja muokkausta varten. Tämän jälkeen viesti muutoksineen sarjallistetaan automaattisesti ennen palvelimelle tai asiakassovellukselle lähettämistä. Tämä voidaan tehdä esimerkiksi PortSwiggerin BurpSuite-nimisen työkalun laajennusrajapintaa ja XStream-kirjastoa käyttäen, jolloin käytettävissä on kaikki tutut BurpSuiten testaustyökalut. Sarjallistettu liikenne muutetaan XML-muotoon analyysiä ja testausta varten, kuten seuraava kuvaruutukaappaus osoittaa:

Kuvassa Javan sarjallistettu olio on selväkielisessä muodossa ja muokkaus on varsin helppoa, kun esimerkiksi tekstikentän pituudet lasketaan automaattisesti taustalla. BurpSuiten Intruder -fuzzaus-työkalu onkin esimerkissämme konfiguroitu testaamaan sekä numeerista että tekstimuotoista kenttää sopivilla syötteillä automaattisesti. Jäljelle jää testin varsinainen suoritus ja tulosten analysointi.

Tällä menetelmällä olemme löytäneet huomattavan määrän ongelmia, jotka olisivat ennen menetelmän kehittämistä suurelta osalta jääneet havaitsematta. Esimerkiksi käyttövaltuuksien nostaminen ja toisena käyttäjänä esiintyminen, mielivaltaisten tiedostojen lataus palvelimelta ja SQL-injektio. Kuitenkin ehkä suurin etu tekniikan käytöstä on liiketoimintalogiikan testauksen merkittävä tehostuminen – ellei peräti mahdollistuminen.

Yleisenä havaintona asiakassovellusten testauksesta voi todeta, että erillisen sovelluksen tuottamaan näennäiseen turvaan luotetaan vielä enemmän kuin mitä web-sovelluksissa usein näkee. Asiakassovelluksen erilaiset tarkistukset ja datan piilottaminen kuvitellaan toimivaksi ratkaisuksi, kun verkon yli lähetettävä tieto ei ole selväkielisessä muodossa. Onneksi tällaiset heikkoudet on helppo havaita, kun verkkoliikenne analysoidaan XML-muodossa perinteisen binäärisen “mössön” sijaan.

Varsinainen artikkeli on kirjoitettu tietoturvaorganisaatio SANS:in uuteen murtotestaukseen keskittyvään blogiin, josta kiinnostuneet voivat käydä lukemassa tarkemmat yksityiskohdat. Koko SANS:in uusi murtotestaussivusto on hyödyllinen tietolähde kaikille aiheen parissa työskenteleville.

Kirjoittaja Miika Turkia toimii Nixussa johtavana tietoturvakonsulttina Inspect-yksikössä.

Ensimmäinen mielikuva esimerkiksi luottokorttiyhtiöiden ja tietoturvatoimijoiden verkkosivustostoista on usein vaatimus korkeasta tietoturvatasosta. Aina tietoturva ei kuitenkaan toteudu käytännössä. Seurasimme lokakuussa maailmalla raportoituja XSS-tyyppisiä turva-aukkoja. Käytännössä siis esimerkiksi sitä minkä toimialan sivustoilta on raportoitu haavoittuvuuksia verkkosivun rakenteen muutoshyökkäykselle. Lähteenä oli XSS-aukkojen raportointiin keskittynyt sivusto XSSed.com ja viime kuukausina aktiisesti XSS:iä raportoineen ryhmän sivusto Team Elite - tosin täysin kattavana ei otosta kuitenkaan voida pitää.

XSS-haavoittuvuuksia on raportoitu viime kuussa mm. tunnettujen virustorjuntayhtiöiden verkkosivuilla, esimerkkinä Symantecin tapaus. Eikä kyseessä ole ainut tietoturvatoimija. Myöhemmin lokakuussa raportoitiin mm. ESETin haavoittuvuudesta.

Myös luottokorttiyhtiö Visan pääsivustolta löydettiin hiljattain cross-site scripting – eli XSS-haavoittuvuus, joka salli skriptikoodin ajamisen sivustolla.

Mutta siis mikä XSS? Cross-site scripting, lyhenteenä XSS, tarkoittaa OWASP-yhteisön suomentamin termein tilannetta, jossa “Verkkosivun rakenne ei säily”. Tällaisessa ns. verkkosivun rakenteen muutoshyökkäyksessä käyttäjän antama syöte välitetään selaimelle tarkistamatta. Lopputuloksena on sivun ulkoasun muuttuminen esim. vieraalta palvelimelta ladatulla sisällöllä.

XSS-aukkoja on olemassa useaa tyyppiä ja osalla aukoista voidaan hankkia esim. kirjautumiseen käytettävä eväste sivustolta.

Kuun viimeisinä päivinä listalle liittyivät vielä tunnettu uutissivusto Zdnet XSS-haavoittuvuuksineen sekä sunnuntaina Yhdysvaltain presidentin my.barackobama.com-sivusto, jolta haavoittuvuuksia löytyi peräti kolme kappaletta.

Visa-tapauksesta on muiden ohella tallessa kopio XSSed-sivun arkistossa. Samalla sivustolla on listattuna myös kolme American Expressiä ja MasterCardia koskevaa XSS-aukkoa.

Luottokorttiyhtiöillä aikaisemminkin samoja aukkoja

Lokakuussa raportoitujen tapausten luonne ja vakavuus vaihtelee, mutta valitettavasti suurin osa tapauksista on edelleenkin korjausta vailla. Mikään uusi asia eivät XSS:t toimijoiden sivuilla ole. Toissa jouluna VISA:n sijoittajasuhteisiin keskittynyt Investor.visa.com-sivusto kärsi myös XSS-haavoittuvuudesta, keväällä 2007 haavoittuvuus oli puolestaan Visa.com-sivuston hakutoiminnossa.

Herääkin kysymys miten XSS-haavoittuvuus on voinut jäädä luottokorttiyhtiöille tietoturva-auditoinnin tehneeltä taholta huomaamatta ja millä aikajänteellä auditoinnit on suoritettu. Sivuston koodin muututtua kun usein tulee ilmi uusia XSS-haavoittuvuuksia.

Virustorjuntatoimijoiden sivuilta aukot löytänyt ja julkistanut ryhmä Team Elite kuuluu ns. valkohattuhakkereihin eli ryhmän toimintaperiatteena on julkaista tieto haavoittuvuuksista vasta kun ne on saatu korjattua. Aina eivät turva-aukkojen löytäjät kuitenkaan toimi vastuullisesti. Joka tapauksessa – raportoitiin aukot vastuullisesti tai ei – ei XSS:n löytyminen maailmanlaajuisen luottokorttiyhtiön sivustolta ainakaan eduksi toimijan maineelle ole.

Viranomaisten velvollisuus varautua poikkeusoloihin perustuu valmiuslakiin. Valtion organisaatioiden tulee varmistaa tehtäviensä mahdollisimman hyvä hoitaminen niin normaaliolojen häiriötilanteissa kuin poikkeusoloissakin.

Tehtävien tehokas hoitaminen vaatii tänä päivänä ICT-palveluiden sujuvaa toimintaa. Palvelut ovat usein käytössä yli organisaatiorajojen ja tämän verkoston toiminta on kyettävä varmistamaan järjestelmien teknisen toteutuksen, organisaation toiminnan ja johtamisen osalta. Myös tukipalveluiden on toimittava kivuttomasti.

ICT-varautumisen ja Tietoturvatasot-hankkeiden tavoitteena on mahdollistaa julkishallinnon yhtenäinen ja koordinoitu erityistilanteisiin varautuminen kustannustehokkaasti ja yhtenäisesti osana kunkin hallinnonalan jokapäiväistä toimintaa normaalioloissa, häiriötilanteissa ja poikkeusoloissa. Hanke pyrkii myös tarjoamaan välineet tietoturvallisuuden järjestelmälliseen kehittämiseen. Tässä avainroolissa on kaikkien hallinnonalojen saattaminen samalle perustasolle.

Ei pelkästään julkishallinnon asia

Sekä tietoturvatasoissa että ICT-varautumisen vaatimuksissa on määritetty kolme tasoa:

• perustaso,

• korotettu taso ja

• korkea taso.

Tavoitetaso määritetään tarkasteltavan palvelun kriittisyyden mukaan ja vähintään sama taso ulotetaan myös tärkeimpään toimittajaverkostoon.

Nämä vaatimukset eivät koske vain julkishallintoa, vaan kaikkia organisaatioita, jotka tuottavat palveluita valtiohallinnolle tai ovat osana tätä palveluverkostoa.

Mitä vaaditaan?

Tietoturvatasot ja ICT-varautumisen vaatimukset sisältävät molemmat johtamiseen, kumppanien hallintaan ja ICT-palvelujen tietoturvaan liittyviä vaatimuksia. Tasot ovat suurelta osin linjassa kansainvälisten tietoturvan hallintastandardien kanssa, joten organisaatio joka on kehittänyt hallintajärjestelmää esim. ISO27001-standardin pohjalta, on hyvin pitkällä myös Tietoturvatasojen rakentamisessa. ICT-varautumisen vaatimukset lisäävät jatkuvuuteen ja erityisesti organisaation tai koko yhteiskunnan häiriötilanteissa toimimiseen liittyviä vaatimuksia. Tasot on pääosin sisällytetty ICT-varautumisen vaatimuksiin.

Valtioneuvoston asetus tietoturvatasoista annettiin eilen.

Organisaatiot, jotka lähtevät rakentamaan palveluiden vaatimuksenmukaisuutta tarvitsevat vahvaa osaamista tietoturvan ja jatkuvuuden hallinnan suunnitteluun ja toteutukseen. Vuoden 2013 loppuun mennessä hallinnonalojen ja virastojen tulee saavuttaa perustaso ja kuvata keskeisimmät palveluverkostonsa, määriteltävä organisaatiolle, palveluille ja järjestelmille tavoitetaso ja aikataulu sekä resurssit sen toteuttamiseksi.

Nixun asiantuntijat ovat olleet mukana sekä ICT-varautumisen vaatimusten että Tietoturvatasojen määrittelyssä ja pilotoinnissa ja haluavat tarjota osaamisensa vaatimuksenmukaisuutta tavoittelevien organisaatioiden käyttöön niin julkishallinnossa kuin yritysmaailmassa.

Kansallinen turvallisuuden audiointikriteeristö eli Katakri on nyt voimassa. Laatimistyössä on ollut mukana viranomaisia, elinkeinoelämän toimijoita ja turvallisuusalan järjestöjä. Varsinainen kriteeristö reiluna satasivuisena dokumenttina löytyy täältä [.PDF]. Kriteeristön runkona on käytetty pitkälti ISO 27001 - ja PCI DSS -standardeja.

Ennen kesälomiaan valtioneuvoston pitäisi hyväksyä puolestaan asetus tietoturvallisuudesta valtionhallinnossa. Tuo ns. tietoturvallisuusasetus määrittelee samalla tietoturvatasot. Tällä hetkellä on vielä vaikea arvioida tulevatko Katakri ja uusi asetus sisältämään päällekkäisyyksiä. Sisäisen turvallisuuden ministeriryhmä on päätynyt suosittamaan Katakrin käyttöönottoa.

Katakria ennen auditointien pohjana on käytetty esimerkiksi virastojen sisäisiä tarkistuslistatyyppisiä dokumentteja. Auditoivana tahonahan on viranomainen, tyypillisesti puolustusvoimat tai suojelupoliisi.

Molemminpuolinen hyöty

Selvää on, että yhtenäisen auditointikriteeristön valmistuminen auttaa sekä auditoinnin tilaajaa että toteuttajaa. On eletty myös tilanteessa, jossa kaikki auditoinnin osa-alueet kattava kattodokumentti on selkeästi puuttunut.

Katakri kattaa myös henkilöstöturvallisuuden vaatimuksia. Katakri voidaankin nähdä pitkälti toimialariippumattomana dokumenttina kuten ISO 27001 -standardikin.

Herääkin muun muassa kysymys kuinka kauan Katakri-auditointi on voimassa? Hallinnollisia kysymyksiä on runsaasti. On todennäköistä, että Katakria tullaan käyttämään myös vaatimusmäärittelyjen pohjana monissa oganisaatiossa

Jari Törmälä on Nixun sisäinen tietoturvapäällikkö ja on toteuttanut lukuisia hallinnollisia tietoturva-auditointeja julkishallintoon.