Oululaisyritys paljasti maailmalla kohutun poikkeuksellisen tietoturvauhan tehdessään "rutiinitestejä"

Suomalainen Codenomicon paljasti massiivisen Heartbleed-tietoturvahaavoittuvuuden tavallisen testauksen yhteydessä, kertoo tutkimusjohtaja Ari Takanen.

Ulkomaat
Sydän, josta valuu veripisaroita.
www.heartbleed.com

Oululainen tietoturvayritys Codenomicon pääsi poikkeuksellisen laajan Heartbleed-tietoturvaongelman jäljille tehdessään verkon salaukseen liittyviä rutiinitestauksia, kertoo tutkimusjohtaja Ari Takanen Yle Uutisille.

Codenomiconin tekninen tiimi löysi ja paljasti Viestintäviraston vakavaksi kuvaaman tietoturvahaavoittuvuuden samoihin aikoihin omaa tutkimustaan tehneen verkkoyhtiö Googlen tutkijan kanssa.

Useat tiedotusvälineet ja teknologiasivustot eri puolilla maailmaa ovat uutisoineet oululaisyrityksen ja Googlen löydöstä.

– Havaitsimme haavoittuvuuden päivittäessämme omia työkalujamme ja tehdessämme turvallisuustarkastuksia avoimen lähdekoodin kirjastoihin, Takanen kertoo.

Testaajille selvisi nopeasti, mitä kaikkea verkkopalvelujen palvelinten muistista on löydettävissä: tavallisen verkonkäyttäjän salasanoja, istuntoja, cookieita ja salausavaimia. Tiedot olivat avoimia kaikille.

Heartbleedin takia tiedot saatavilla vuosia

Takasen mukaan Heartbleed on yksi kaikkien aikojen suurimmista tietoturvaongelmista muun muassa siksi, että tiedot olivat kaikkien saatavilla vuosien ajan. Sitä ei kuitenkaan toistaiseksi tiedetä, ovatko tietojen väärinkäyttäjät tienneet reiästä.

– Jos ovat, aika moni on voinut käydä lukemassa tietoja, Takanen sanoo.

Yleensä haavoittuvuudet myös rajoittuvat yksittäisiin ohjelmistoihin, mutta Heartbleed koski useiden palveluntarjoajien käyttämää salausteknologiaa. Tällä hetkellä viimeisetkin verkkopalvelujen tarjoajat päivittävät Takasen mukaan salauskirjastojaan, minkä pitäisi korjata haavoittuvuuden.

Takanen kuitenkin uskoo, että vaikka moni palveluntarjoaja on jo päivittänyt ohjelmistot, monet pienemmät palveluntarjoajat tuskin ovat vielä ehtineet päivityksiä tehdä.

Tavallinen netinkäyttäjä: tarkista onko haavoittuvuus korjattu

Tavallisen internetin käyttäjän kannattaa tarkistaa, mitä erilaiset verkkopalveluntarjoajat tiedottavat Heartbleedin korjaamisesta. Jos palveluntarjoaja ei kerro korjanneensa haavoittuvuutta, käyttäjien on Takasen mukaan syytä harkita vapaapäivää palvelun käytöstä.

Jos tietoa haavoittuvuuden korjaamisesta ei verkkosivuilla ole, kannattaa odottaa tietoa päivityksestä. Salasana tulee Takasen mukaan vaihtaa niihin verkkopalveluihin, jotka tiedottavat korjanneensa haavoittuvuuden.