TigerTeam - suomalainen tietoturvablogi

Ensimmäinen mielikuva esimerkiksi luottokorttiyhtiöiden ja tietoturvatoimijoiden verkkosivustostoista on usein vaatimus korkeasta tietoturvatasosta. Aina tietoturva ei kuitenkaan toteudu käytännössä. Seurasimme lokakuussa maailmalla raportoituja XSS-tyyppisiä turva-aukkoja. Käytännössä siis esimerkiksi sitä minkä toimialan sivustoilta on raportoitu haavoittuvuuksia verkkosivun rakenteen muutoshyökkäykselle. Lähteenä oli XSS-aukkojen raportointiin keskittynyt sivusto XSSed.com ja viime kuukausina aktiisesti XSS:iä raportoineen ryhmän sivusto Team Elite - tosin täysin kattavana ei otosta kuitenkaan voida pitää.

XSS-haavoittuvuuksia on raportoitu viime kuussa mm. tunnettujen virustorjuntayhtiöiden verkkosivuilla, esimerkkinä Symantecin tapaus. Eikä kyseessä ole ainut tietoturvatoimija. Myöhemmin lokakuussa raportoitiin mm. ESETin haavoittuvuudesta.

Myös luottokorttiyhtiö Visan pääsivustolta löydettiin hiljattain cross-site scripting – eli XSS-haavoittuvuus, joka salli skriptikoodin ajamisen sivustolla.

Mutta siis mikä XSS? Cross-site scripting, lyhenteenä XSS, tarkoittaa OWASP-yhteisön suomentamin termein tilannetta, jossa “Verkkosivun rakenne ei säily”. Tällaisessa ns. verkkosivun rakenteen muutoshyökkäyksessä käyttäjän antama syöte välitetään selaimelle tarkistamatta. Lopputuloksena on sivun ulkoasun muuttuminen esim. vieraalta palvelimelta ladatulla sisällöllä.

XSS-aukkoja on olemassa useaa tyyppiä ja osalla aukoista voidaan hankkia esim. kirjautumiseen käytettävä eväste sivustolta.

Kuun viimeisinä päivinä listalle liittyivät vielä tunnettu uutissivusto Zdnet XSS-haavoittuvuuksineen sekä sunnuntaina Yhdysvaltain presidentin my.barackobama.com-sivusto, jolta haavoittuvuuksia löytyi peräti kolme kappaletta.

Visa-tapauksesta on muiden ohella tallessa kopio XSSed-sivun arkistossa. Samalla sivustolla on listattuna myös kolme American Expressiä ja MasterCardia koskevaa XSS-aukkoa.

Luottokorttiyhtiöillä aikaisemminkin samoja aukkoja

Lokakuussa raportoitujen tapausten luonne ja vakavuus vaihtelee, mutta valitettavasti suurin osa tapauksista on edelleenkin korjausta vailla. Mikään uusi asia eivät XSS:t toimijoiden sivuilla ole. Toissa jouluna VISA:n sijoittajasuhteisiin keskittynyt Investor.visa.com-sivusto kärsi myös XSS-haavoittuvuudesta, keväällä 2007 haavoittuvuus oli puolestaan Visa.com-sivuston hakutoiminnossa.

Herääkin kysymys miten XSS-haavoittuvuus on voinut jäädä luottokorttiyhtiöille tietoturva-auditoinnin tehneeltä taholta huomaamatta ja millä aikajänteellä auditoinnit on suoritettu. Sivuston koodin muututtua kun usein tulee ilmi uusia XSS-haavoittuvuuksia.

Virustorjuntatoimijoiden sivuilta aukot löytänyt ja julkistanut ryhmä Team Elite kuuluu ns. valkohattuhakkereihin eli ryhmän toimintaperiatteena on julkaista tieto haavoittuvuuksista vasta kun ne on saatu korjattua. Aina eivät turva-aukkojen löytäjät kuitenkaan toimi vastuullisesti. Joka tapauksessa – raportoitiin aukot vastuullisesti tai ei – ei XSS:n löytyminen maailmanlaajuisen luottokorttiyhtiön sivustolta ainakaan eduksi toimijan maineelle ole.

Nixu Challenge on päättynyt ja tarkka pähkinän ratkaisseiden henkilöiden lukumäärä on selvillä – 19 henkilöä. Suurin osa toimitti meille myös CV:nsä ja haastatteluprosessi on jo pitkällä käynnissä.

Kerromme myöhemmin myös haasteen toteutustavasta hieman tarkemmin.

Tässäkin blogissa käsitellystä vuoden 2010 Top 25 -listasta on ilmestynyt laaja kirjoitussarja SANS-instituutin AppSec Street Fighter -blogissa. Kaikkiaan 22 kirjoitusta käsittelevä sarja alkaa Jason Lamin cross-site scripting -kirjoituksesta helmikuun lopulta ja päättyy reaalielämän esimerkin sisältävään race condition -tilannetta käsittelevään kirjoitukseen. Kaikille sovellusturvallisuudesta kiinnostuneille hyödyllistä luettavaa.

Toivotamme samalla blogin lukijoille rentouttavaa ja turvallista pääsiäisaikaa.

Tietoturvaorganisaatio SANS on julkaissut uuden version 25 vaarallisinta ohjelmointivirhettä käsittävästä dokumentistaan. Lista julkaistiin nyt toista kertaa.

Dokumentti on huomattavasti viimevuotista yksityiskohtaisempi ja sen julkaisua edelsi myös lähes 30 organisaatioon tehty taustakysely.

Viralliselta nimeltään CWE/SANS Top 25 Most Dangerous Programming Errors 2010 -niminen lista on osoitteessa cwe.mitre.org/top25/index.html.

CWE – olen kuullut CVE:stä, onko niillä jotain yhteistä?

Ennen tehtyihin muutoksiin perehtymistä kertaamme mitä lyhenne CWE tarkoittaa. CWE-luokitusjärjestelmän lyhenne tulee sanoista Common Weakness Enumeration ja sillä tarkoitetaan eräänlaista standardia, jolla tietoturvaheikkoudet luokitellaan ohjelmointivirheen mukaan. Mm. haavoittuvuustietokantoja ylläpitävät toimijat voivat luokitella uudet, listaamansa haavoittuvuudet tiettyyn CWE-luokkaan. Näin tietystä ohjelmointivirheestä tai esimerkiksi arkkitehtuuriongelmasta johtuvia haavoittuvuuksia on helpompi käsitellä omina kokonaisuuksinaan. Luokitus kertoo myös tarkemmin mistä haavoittuvuus teknisesti johtuu.

Otetaanpa esimerkiksi tämän kuun Microsoft-päivityksissä korjattu SMB Client -haavoittuvuus. Kun haavoittuvuus sai CVE-yksilöintitunnuksen CVE-2010-0017 annettiin sille pienellä viiveellä myös CWE-luokka. Luokan voi tarkistaa National Vulnerability Database -tietokannasta, joka sisältää kaikki CVE-tunnukset. Tietokannassa CWE-luokka on merkitty Technical Details -osiossa kohtaan Vulnerability Type.

Esimerkkitapauksessa CWE-luokka on Top 25 -listalta löytyvä CWE-362.

Kovakoodaus juoruaa salasanan suoraan koodista

Viime vuoden listalla ollut CWE-119 (Failure to Constrain Operations within the Bounds of a Memory Buffer) on korvattu CWE-luokilla 120, 129, 131 ja 805, jotka liittyvät puskuriylivuotoon ja puskurin koon virheelliseen määrittelyyn. Tästä virheestä johtuvat haavoittuvuudet ovatkin hyvin yleisiä mm. mediasoittimissa. Haavoittuvuudet ovat miltei aina kriittisiä ja niitä löytyy usein.

Luokka Ohjelmistoihin pysyvästi koodatut eli kovakoodatut salasanat (CWE-259 - Hard-Coded Password) puolestaan on korvattu yleispätevämmällä luokalla. Uuden listan luokka Kovakoodattujen kirjautumistunnisteiden käyttö (alkuperäinen nimi Use of Hard-coded Credentials) tuntee tunnuksen CWE-798.

Kovakoodaus tarkoittaa mm. käyttäjätunnusten ja salasanojen sisällyttämistä suoraan ohjelmiston lähdekoodiin. Mikäli ohjelmistossa on luokan CWE-798 ohjelmointivirhe, ei ohjelmistoon ainoastaan pystyy kirjautumaan oletussalasanalla, vaan ohjelmisto käyttää myös omiin tietovirtoihinsa koodiin kirjoitettuja salasanoja. Tällainen ohjelmointivirhe voi löytyä esimerkiksi valvontakameroiden hallintaliittymää pyörittävästä ohjelmistosta. Salasana ei ole helposti vaihdettavissa ja tämä lisää riskiä ulkopuolisen hyökkääjän kirjautumiseen oletussalasanalla.

Jättiloikkia suojautumiseen

Täysin uutta listalla on myös Monster Mitigations -osio – linkki tuohon osioon. Sen tarkoituksena on yleisellä tasolla estää heikkouksien päätymistä ohjelmakoodiin - eikä tämä koske ainoastaan Top 25 -listan heikkouksia. Esimerkkinä mainittakoon kohta M4, jonka tarkoituksena on ohjata tuottamaan koodia, jota kuka tahansa pystyy lukemaan. Melkoinen haaste!

Jäikö tästä lyhennemaailmasta vielä hieman epäselvä kuva? Pureuduimme näihin CV-alkuisiin lyhenteisiin blogissa myös viime keväänä.

Juha-Matti Laurio toimii Nixussa tietoturvakonsulttina ja Tiger Team -blogiin kirjoittaessaan pyrkii avaamaan kimurantteja tietoturvatermejä ja -lyhenteitä suomen kielelle fingelskaa välttäen.

Kerroimme noin kuukausi sitten CWE-luokitustunnuksista (Common Weakness Enumeration), joita käytämme myös asiakkaillemme toimittamissamme raporteissa.

Tunnuksien ylläpitäjä MITRE Corporation on yhdessä SANS-instituutin kanssa luonut vuoden alussa CWE/SANS Top 25 Most Dangerous Programming Errors -luettelon, joka listaa 25 vaarallisinta ohjelmointivirhettä. Listaa kokoamassa on ollut hyvin huomattava määrä turva-alan yrityksiä ja toimijoita, mm. NSA ja Yhdysvaltain sisäisen turvallisuuden virasto DHS.

Uusi dokumentti julkaistaan aina vuosittain ja se myös päivittyy matkan varrella. Uusimmat muutokset koskevat ns. lieventämiskeinoja sekä hyökkäystapojen kuvausta. Dokumentissa käytetään myös uusimman CWE 1.4 -version mukaisia nimiä. Lisäksi Mitre kertoo lisänneensä CWE-sivustolle useita uusia esimerkkejä, jotka havainnollistavat ohjelmointivirheen luonnetta.

Itse Top 25 -dokumentti sijaitsee helposti muistettavassa osoitteessa cwe.mitre.org/top25/.