Viestintävirasto varoittaa laajasta tietoturvariskistä – tietokoneen "aivoissa" havaitut viat ovat mahdollistaneet koneiden muistin hakkeroinnin

Tietokoneista on löydetty jokin aika sitten kaksi vikaa, joiden takia Intelin ja muilla prosessoreilla toimivat koneet ovat hakkereiden ulottuvissa.

tietoturva
Serveri-tietokoneita CERN:in tiloissa.
Martial Trezzini / EPA

Viestintävirasto varoittaa tietokoneiden käyttäjiä mahdollisista hakkerointihyökkäyksistä. Useiden valmistajien prosessoreista on löydetty vikoja, jotka mahdollistavat luottamuksellisten tietojen urkkimisen.

Viraston mukaan liikkeellä on kahden tyyppisiä hyökkäyksiä. Niin sanottu Meltdown-hyökkäys kohdistuu näillä näkymin komponenttivalmistaja Intelin prosessoreiden koneisiin. Toinen Spectreksi nimetty hyökkäysriski kohdistuu mahdollisesti vielä laajemmin eri laitteisiin ja prosessoreiden valmistajien koneisiin.

Viestintäviraston Kyberturvallisuuskeskuksen erityisasiantuntija Ilkka Sovanto sanoo Yle Uutisten haastattelussa, että on poikkeuksellista, että hyökkäyspotentiaali on näin laaja.

– Tällaisia laitteistoon liittyviä ongelmia on jonkun verran ollut, mutta selkeästi yleisempää on, että ongelmat ovat ohjelmistopuolella. Se on aika poikkeuksellista, että hyökkäyspotentiaali on näin laaja.

Hyökkäysten kohteena voivat olla pöytäkoneiden lisäksi kannettavat ja erilaiset palvelimet, jotka käyttävät Intelin komponentteja. Spectre-hyökkäys voi onnistua myös älypuhelimissa ja tableteissa, jotka käyttävät Intelin lisäksi AMD:n ja ARM:n prosessoreita.

Käytännössä hyökkäysriskin kohteena on suurin osa tietokoneista, koska tietokoneen "aivoina" toimivat kyseisten valmistajien prosessorit ovat laajalti käytössä.

"Yksityishenkilön ei kannata olla huolissaan"

Sovannon mukaan yksityishenkilön ei kuitenkaan kannata olla kovin huolissaan hyökkäyksestä.

– Mistään varsinaisista hyökkäyksistä ei ole tietoa tällä hetkellä, nyt on tullut ilmi vain tällainen mahdollisuus. Jossain vaiheessa joku voi toki alkaa käyttää tätä mahdollisuutta hyväksi. Varmasti jollain aikataululla tulee hyökkäysyrityksiä, mutta ei välttämättä kotikoneelle, vaan ensisijaisesti palvelinympäristöille ja pilvialustoille.

Sovannon mukaan Meltdownin ja Spectren tyyppisiä hyökkäyksiä on vaikea havaita, sillä niistä ei jää jälkiä koneelle.

Parhaiten hakkerointiyritykseltä voi suojautua huolehtimalla siitä, että tietokoneen päivitykset ovat kunnossa.

Hakkerit pääsevät käsiksi koneen muistiin

Viestintäviraston haavoittuuvuustiedotteen (siirryt toiseen palveluun) mukaan viat vaikuttavat erityisesti pilvipalveluiden kaltaisiin ympäristöihin, joissa on useita käyttäjiä. Niissä hyökkääjä voi saada haltuunsa toisten käyttäjien luottamuksellisia tietoja.

– Toinen käyttäjä voi tällaisessa tapauksessa olla vaikkapa palvelun ylläpitäjä ja vuotava tieto hänen salasanansa, selventää Sovanto.

Hakkerit voivat onnistua lukemaan prosessorien ytimien tietoja koneen välimuistin kautta. Muistista voi löytyä luottamuksellisia tietoja, kuten salasanoja tai erilaisia salausavaimia.

Viestintäviraston mukaan muistin lukeminen on helpompaa Meltdown-viassa. Spectre-hyökkäyksessä hakkerointi voi olla vaikeampaa prosessorien erilaisten toimintatapojen takia.

Britannian yleisradioyhtiö BBC:n (siirryt toiseen palveluun) mukaan Britannian viranomaisilla ei ole havaintoja siitä, onko noin puolen vuoden ajan tiedossa ollut haavoittuvuus aiheuttanut luottamuksellisten tietojen hakkerointia.

Linux-käyttäjille on julkaistu päivitykset Meltdown-hyökkäystä vastaan Intel- ja ARM-pohjaisille prosessoreille. Helsingin Sanomien (siirryt toiseen palveluun)mukaan Googlen Chrome-selaimen käyttäjien kannattaa päivittää koneensa heti, kun Google julkistaa päivityksen 23. päivä tammikuuta.

Ongelmaa on yritetty ratkoa BBC:n mukaan noin puolen vuoden ajan. Siitä piti kertoa julkisuuteen ensi viikolla.

Juttua korjattu kello 20.56: Muutettu tieto Linux-käyttäjille julkaistusta päivityksestä. Alunperin jutussa luki, että päivitykset on julkaistu Intel- ja AMD-pohjaisille prosessoreille, vaikka päivitykset on julkaistu Intel- ja ARM-pohjaisille prosessoreille.