TigerTeam - suomalainen tietoturvablogi

CIA. Kolme kirjainta, jotka useimmat liittävät erään suurvallan tiedustelupalveluun. Samalla nuo kirjaimet kuitenkin muodostavat myös tietoturvan perustan: Confidentiality, Integrity, Availability. Eli luottamuksellisuus, eheys ja saatavuus.

Tiedon on siis pysyttävä vain niiden hallussa joilla on siihen oikeus, sen on oltava yhtenäistä, eli tiedosta ei saa puuttua osia ja sen lisäksi tiedon on pysyttävä saatavilla. Siinä tiedon turvaamisen perusvaatimukset.

Tässä kirjoituksessa otan kantaa tiedon saatavuuteen, sillä se on juuri tähän aikaan vuodesta monen yrityksen ongelma. Eikä ainakaan lähitulevaisuus ole tuomassa siihen parannusta.

Kun kirjoitin tätä yöllä itsenäisyyspäivän tienoilla, kattopelti paukkui tuulessa, nurkissa humisi ja valot räpsyivät. Niin, sähkön saanti oli jälleen kerran veitsen terällä, näin oli jo kolmas kerta viikon sisällä. Ja se on tietoturvaongelma – tiedon saatavuus on jatkuvan uhan alla. Ilman sähköä en pääse käsiksi mihinkään mikä on verkossa, en sen enempää henkilökohtaisiin sähköposteihini kuin työpaikkani järjestelmiin etäyhteyksien avulla.

Hieno tavoite teoriassa, mutta…

Valtioneuvosto asetti vuonna 2008 tavoitteeksi, että käytännössä kaikki vakinaiset asunnot, mikä kattaa yli 99 % väestöstä, sekä yritysten että julkishallinnon organisaatioiden vakinaiset toimipaikat ovat vuoden 2015 loppuun mennessä enintään kahden kilometrin etäisyydellä 100 megabitin yhteyden mahdollistavasta valokuitu- tai kaapeliverkosta.

Hieno tavoite, mutta tässä Suomen valtio lähti aivan väärästä kohtaa liikkeelle. Eihän taloakaan yleensä rakenneta, ennen kuin tontille on vedetty tarpeellinen kunnallistekniikka.

Ilman sähköä ei se kaikenkattava 100 megabitin verkkokaan toimi, ei sitten millään. Sen ovat huomanneet varmasti monet näin syksyisin erityisesti isojen kaupunkien ulkopuolella. Sähkökatkokset vaikeuttavat yhtälailla yritysten toimintaa, kuin kolauttavat monen nuoren nettinatiivin maailmaa World of Warcraftin, Facebookin, Messengerin tai jonkin muun pelin tai palvelun ollessa poissa pahimmillaan vuorokausia. Tämä on siis erityisesti pienten kaupunkien ja haja-asutusalueiden arkipäivää – iso osa nettiyhteyskatkoksista johtuu huonosti toimivista sähköverkoista. Jopa täällä yli 20 000 asukkaan Valkeakoskella sähköt pätkivät taajama-alueella aina kun hieman kovemmin tuulee tai puiden oksille kertyy lunta.

Tässä nouseekin esiin Fingridin ja alueellisten sähkölaitosten merkitys koko maamme nettiyhteyksille. Miten saisimme sähköverkoista luotettavampia ja sen kautta myös nettiyhteyksistä toimivampia? Luonnollisesti kaivamalla kaapelit maahan. Nykyisillä laitteilla jotka samaan aikaan kaivavat kaapeliuraa ja laskevat kaapelia maahan, työ käy juoheasti. Mutta se edellyttäisi isoja investointeja sähköyhtiöiltä.

Tässä pitäisi valtion tulla apuun – ennemmin tavoitteena tulisi olla sähkön saanti maamme yrityksiin ja talouksiin 24/7, vuoteen 2015 mennessä, kuin 100 megan laajakaista.

Yritysten onkin syytä panostaa myös mobiiliverkon käyttömahdollisuuksiin, yhtä lailla kuin yksityisten, sillä sähkökatkon sattuessa mobiiliverkko usein toimii vielä tuntikausia kiinteän verkon ollessa nurin.

Mutta näin ei voi jatkua. Henkilökohtaisesti olen valmis maksamaan sähköstä hieman enemmän, jos saan sitä asuntoomme katkotta 24/7. Tämänhetkinen tilanne kun on se, että joudun hankkimaan muutaman UPS-laitteen sähkökatkosten varalta. Jos olisin yrittäjä, hankkisin UPSien lisäksi mahdollisesti peräkärrygeneraattorin millä varmistaisin sähköntuotannon yhtiölleni kriittisessä tilanteessa.

Niin, kumpi on sinulle tai yhtiöllesi tärkeämpi, 100 megan laajakaista vai varmuus sähkön saannista?

Kirjoittaja Olli Haukkovaara toimii vanhempana tietoturvakonsulttina Nixun Advise-yksikössä.

Maailman suurimmista ohjelmistovalmistajista Microsoftin ja Adoben vakioaikataulun mukaiset tietoturvapäivitysten säännölliset jakelut – ns. paikkauspäivät sattuivat tällä viikolla samalle päivälle. Eikä kyseessä ole ensimmäinen kerta.

SANS-instituuttiin kuuluva Internet Storm Center -keskus näyttää käyttävän päiväkirjamerkinnässään myös Adoben päivityspäivästä aikaisemmin Microsoft-päivityksille varaamaansa termiä Black Tuesday – “Musta tiistai”.

Merkillepantavaa on myös se, että kun Microsoftin 13 bulletiinista kaksi – IE:tä ja nimipalvelua koskevat – kuuluu luokitukseltaan vakavimpaan Critical-luokkaan on kaikki Adoben elokuussa korjaamat Flash-haavoittuvuudet luokiteltu kriittisiksi.

Nyt päivitetyistä ohjelmistoista Shockwave Playeriä, Flash Media Serveriä ja RoboHelpiä ei joka työasemasta löydy, mutta Flash on asennettuna ja tuettuna selaimessa käytännössä jokaisessa minkä tahansa kokoisen organisaation työasemassa. Vihamielisen koodin ajamisen mahdollistavia haavoittuvuuksia paikattiin Adobe Flash Player -versiosta 10.3.181.36 peräti 12 kappaletta.

Haavoittuvuustutkijat kiireisinä

Iso osa Flash-haavoittuvuuksista on tullut Adoben tietoon haavoittuvuusjulkistusohjelmien kautta. On kuitenkin mahdollista ja myös todennäköistä, että samoja haavoittuvuuksia ovat löytäneet myös tahot, jotka haluavat käyttää niitä vihamielisiin ja rikollisiin tarkoituksiin. Ja jos haavoittuvuus on code execution -tyyppinen voi sitä käyttää esimerkiksi yritykseen tehtävään kohdistettuun hyökkäykseen.

Mistään vaatimattomasta haavoittuvuusmäärästä ei Adoben tuotteiden – esimerkiksi Flashin osalta puhuta. Jos Flash on organisaation työasemissa päivittämättä muutamankin kuukauden ajalta puhutaan helposti kymmenistä paikkausta vailla olevista haavoittuvuuksista.

Pohdimme vakiopäivityspäivän mukanaan tuomia piirteitä vajaa vuosi sitten. Onko Adoben päivityspäivästä tulossa nyt organisaation työasematietoturvapäivitysten hallinnan kannalta entistäkin kriittisempi? Adobe päivittää käytännössä joka päivityksessään Flashia ja Adobe Readeria – juuri nuo ohjelmistot löytyvät lähes jokaisesta työasemasta ja niitä myös käytetään paljon.

Kirjoittajan kesäloma kului kesäteatterinäytöksissä ja maalauspuuhissa maalaismaisemissa kaukana tietokoneesta, mutta seuraten tietoturvakenttää älypuhelimella.

Seurasitpa sitten suomenkielisiä tai kansainvälisiä it-uutisia olet hyvin todennäköisesti törmännyt termiin zero-day (tai zero day). Juuri joulun alla saatiin vahvistus Internet Explorerin paikkaamattomasta CSS-haavoittuvuudesta, joka on tyypillinen esimerkki nollapäivätyyppisestä haavoittuvuudesta. Loppuvuoden aikana nollapäiväaukkoja on ollut useasti Flashissa ja Adobe Readerissa ja niitä on myös hyödynnetty.

Suomen kielessä käyttöön ovat vakiintuneet pääasiassa termit nollapäivähaavoittuvuus (tai -aukko) ja zero-day-haavoittuvuus.

Nollapäivä tarkoittaa sitä, että haavoittuvuuden julkitulon ja hyödyntämisen väliin mahtuu nolla vuorokautta.

Hyödyntäminen todentaa haavoittuvuuden olemassaolon ja esimerkiksi sen, että toimiva verkkomato on pystytty kehittämään.

Käytännössä hyökkäysten alkamisen ja haavoittuvuuden julkitulon väli on siis kirjaimellisesti nolla päivää.

Nollapäivään ei korjausta saatavilla

Nollapäivähaavoittuuvuudelle on ominaista myös se, ettei siihen ole valmistajan korjauspäivitystä saatavilla.

Termi Zero Day on myös ZERT-ryhmittymän nimen innoittaja (Zeroday Emergency Response Team), ZDNetin tietoturvablogi, osa Zero Day Initiative -haavoittuvuusjulkistusohjelman nimeä ja ei-tietoturvamaailmassa mm. elokuva ja hip hop-albumi. ZERT on tietoturva-ammattilaisten ryhmä, joka julkaisi vuonna 2007 tilapäiskorjauksen Windowsin kohdistimienkäsittelyä koskevaan nollapäivähaavoittuvuuteen ennen virallisen korjauspäivityksen julkaisua.

Myöhemmin tällaisia epävirallisia korjauspäivityksiä on nähty aina silloin tällöin muihinkin nollapäivähaavoitttuvuuksiin, mutta hyvin harvinaista niiden julkaiseminen kuitenkin on.

Kirjoitus aloittaa termit tutuksi -tyyppisen kirjoitussarjan, joka tutustuttaa tietoturva-alan – erityisesti haavoittuvuuksiin liittyviin – termeihin ja lyhenteisiin.

Tietoturvallisuus ja etenkin tietoturvattomuus on monia tunteita herättävä aihe. Nixun konsultit osallistuvat usein asiakkaiden kehityshankkeisiin, joissa arvioidaan uusien ratkaisujen tai tuotteiden tietoturvallisuutta tai sitten olemme toisella puolella pöytää kehittämässä uuden liiketoiminnan turvallisuutta.

Tietoturvallisuus tuntuu olevan hyvää markkinointia

Hieman huvittuneina olemme seuranneet myös etenkin perinteisten IT-ratkaisutoimittajien tapaa vakuuttaa asiakkaansa ratkaisunsa tietoturvallisuudesta. Monet web-palvelujen käyttäjät ovat voineet huomata kuinka heidän käyttämänsä web-palvelu on ehdottoman turvallinen koska yhteys on SSL-suojattu.

Kaikki sovellusturvallisuutta tuntevat ymmärtänevät, että tällä lausumalla on vain vähän tekemistä sen kanssa, kuinka turvallista tietojen luovuttaminen sovellukseen on.

Maailmalta on mahdollista löytää myös kaikenlaisia tietoturvatodistuksia, joiden tehtävä on vakuuttaa asiakas siitä, että palvelu on turvallinen. Huvittavin löytämämme on PCI DSS -tietoturvastandardiin kuuluvan haavoittuvuusskannauksen “korvaava” Scanless PCI -palvelu, jossa siis ei näkemyksemme mukaan ole kyse mistään muusta kuin huijauksesta.

Nixun periaatteena on tyypillisesti ollut, ettemme lähde takaamaan minkään ratkaisun tietoturvallisuutta, koska täydellinen takaaminen ei vain ole mahdollista. Jos välineitä ja aikaa on riittävästi murtautuminen yleensä onnistuu. Tällöin kyse on asiakkaan liiketoimintaan liittyvästä riskienhallinnasta, eli siitä, kuinka paljon turvallisuuteen halutaan panostaa.

Nixun tapa antaa tunnustusta tietoturvallisuudesta

Katsottuamme kuitenkin aikamme alalla vallitsevaa epäselvyyttä lanseerasimme pari vuotta sitten Nixu Security Verified -sertifikaatin SaaS-palveluille, jonka avulla pyrimme varmistamaan, että asiakas joka sertifikaattia esittää on panostanut riittävästi turvallisuuteen - eli käytännössä kaikki sovelluksen kriittisiksi luokitellut haavoittuvuudet on korjattu ja sovelluksen ylläpito ymmärtää mitä jatkuva tietoturvallisuuden ylläpito tarkoittaa.

Sertifikaatin myönnämme vain niille asiakkaillemme, jotka ylläesitetyt ehdot täyttävät, esimerkiksi asiakkaamme Balancion on esittänyt tavoitteekseen sertifikaatin hankkimisen ennen tuotantoonmenoa; betassahan tällaista sertifikaattia ei ole.

Toki teemme työtä monien muidenkin kuin sertifioitujen asiakkaiden tai sovellusten kanssa, mutta noudatetaanko suosituksiamme vai ei, on toki aina loppukädessä asiakkaan oma valinta.

Loppukädessä Nixu, eikä mikään muukaan tietoturvayhtiö, voi koskaan taata minkään sovelluksen tai järjestelmän tietoturvallisuutta. Meistä, kuten varmasti muistakin aiheeseen vakavasti suhtautuvista, on kuitenkin tärkeää, että asiakkaat panostavat asiaan ja tekevät sen kunnolla, sen sijaan että hankkisivat feikki-todistuksia markkinointinsa tueksi.

Petri Kairinen vastaa Nixun myynnistä ja markkinoinnista ja on ihmeissään seuratessaan netin tarjoamia esimerkkejä tietoturvalla tapahtuvasta myynninedistämisestä