Salausjärjestelmistä löytyi vakava tietoturvavirhe

Toistaiseksi ei ole tietoa siitä, että haavoittuvuutta olisi käytetty väärin.

Kotimaa
Tietoliikennejohtoja.
Yle

Suojattujen nettisivujen tiedonsiirrosta on löydetty tietoturvaan liittyvä virhe.

Haavoittuvuus on salausjärjestelmiä toteuttavassa OpenSSL-kirjastossa. Sitä käytetään useissa ohjelmistoissa, esimerkiksi sähköpostiviestien tai selausliikenteen salaamisessa kotikoneen ja palvelimen välillä.

Viestintäviraston kyberturvallisuuskeskuksen erikoisasiantuntija Jussi Eronen pitää maanantaina julkaistua tietoa hyvin vakavana haavoittuvuutena.

– Käytännössä se tarkoittaa sitä, että kun ottaa jollekin sivustolle yhteyden selaimella, sähköpostiohjelmalla tai jollain muulla salattua yhteyttä käyttävällä ohjelmalla ja sitten lähettää sinne jonkinlaisen sisällön, niin joku ulkopuolinen voi jollain todennäköisyydellä saada selville, mitä olet kirjoittanut, Eronen kertoo.

Viestintävirasto (siirryt toiseen palveluun) on jo kehottanut verkkopalvelujen ylläpitäjiä päivittämään palvelimensa.

Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi saada haltuunsa viestien sisältöjen lisäksi palvelujen salasanoja tai evästeitä.

Vakavimpana piirteenä haavoittuvuudessa on joissain tilanteissa tapahtuva palvelinvarmenteiden vuotaminen. Varmenteilla voi avata kaiken kyseiselle palvelimelle menevän salatun liikenteen, tai esiintyä palvelimena.

Erosen tiedossa ei ole, että haavoittuvuutta olisi käytetty hyökkäyksiin, ainakaan laajemmin.

– Mutta sitähän me emme voi varmasti tietää.

Vika voi Erosen mukaan koskea myös asiakaslaitteita, esimerkiksi silloin, jos käyttäjä huijataan hyökkääjän palvelimelle.

– Näkisin niin kaukaiseksi sen hyväksikäyttöskenaarion, että en usko, että tätä on missään isommassa skaalassa käytetty, vaikka tämä olisi ollut rikollisten tiedossa.

Viestintävirasto on testannut esimerkiksi suomalaisten pankkien verkkosivut ja niiden käyttö on turvallista.

Palvelinpuolen ongelma

Asiantuntijan mukaan nyt havaittu tietoturvavirhe on palvelinpään ongelma, joka ratkeaa ohjelmat päivittämällä.

– Haavoittuvan palvelimen omistaja voi riskiarvionsa perusteella esimerkiksi päätyä vaihtamaan palvelimen varmenteet ja käyttäjien salasanat. Käyttäjätiedotus on tässä tärkeässä osassa. Käytännössä tavallisen ihmisen tehtäväksi jää sen jälkeen salasanojen vaihtaminen..

Erosen mukaan haavoittuvuus on OpenSSL-kirjaston uusimmissa versioissa 1.0.1 ja 1.0.1f.

Ensimmäiset korjaukset haavoittuvuuden paikkaamiseksi on jo tehty. Esimerkiksi avoimen lähdekoodin tuotteiden, kuten Linux-jakelun osalta ensimmäiset päivityspaketit rakennettiin jo viime yönä.

– Tässä on toiveita sen suhteen, että tämä saadaan hyvin nopeasti pakettiin, Eronen sanoo ja uskoo, että juuri avoimen lähdekoodiston alustoilla toteutettavat nettipalvelut ja sähköpostipalvelut päivitetään nopeasti.

Muiden osalta Eronen ei osaa esittää korjausaikataulua.

Viestintävirasto kertoo haavoittuvuudesta nettisivuillaan. (siirryt toiseen palveluun)