Mennyttä ja tulevaa, osa 2017

Blogini päivitystahti on näemmä nykyään vakiintunut tähän postaus per vuosi -tahtiin, sillä vaikka tänä vuonna hyviä kirjoittelun aiheita olisi ollut viime vuotta enemmän, en kaikilta kiireiltäni ole ehtinyt kirjoittaa näistä pitkiä pätkiä. Jos kaipaat tiuhempaa tahtia, kannattaa meikäläistä seurata Twitterin puolella. Tässä postauksessa kuitenkin tutulla kaavalla vuoden 2017 kohokohdat.

Jatka lukemista >>

Pirullisen helppo palvelunestohyökkäys

Vii­me päi­vi­nä on uu­ti­soi­tu pal­ve­lun­es­to­hyök­käyk­sis­tä niin suo­ma­lai­sia verk­ko­pank­ke­ja kuin iso­ja pe­li­pal­ve­lu­ja vas­taan. DDoS on help­po ja hal­pa hyök­kää­jäl­le, mut­ta vai­kea pa­la uh­ril­le.Kuva: felixtriller.de: Networking Switch. c b 2.0

Jouluna monet yrittivät päästä uudella Sonyn tai Microsoftin valmistamalla pelikonsolillaan pelaamaan Internetissä, mutta Lizard Squad -niminen joukko oli tehnyt yhdistämisen mahdottomaksi. Lizard Squadin käyttämää, teknisesti varsin simppeliä, kikkaa kutsutaan hajautetuksi palvelunestohyökkäykseksi (Distributed Denial of Service, DDoS). Samanlaisten hyökkäysten kohteena ovat viime päivinä olleet myös monet suomalaisten käyttämät verkkopankit, viimeisimpänä Danske Bank1.

Palvelunestohyökkäys on onnistuessaan varsin näkyvä, sillä se nimensä mukaisesti estää pääsyn johonkin verkkopalveluun, kuten verkkopankkiin, sen oikeilta käyttäjiltä. Toisin kuin iltapäivälehdissä maalaillaan, viime päivien hyökkäysten takaa tuskin löytyy ammattirikollisia saatikka valtiollisia toimijoita. Näyttävyydestään huolimatta suurienkin verkkopalvelujen kaataminen onnistuu yksittäiseltä harrastelijaltakin.

Jatka lukemista >>

Mennyttä ja tulevaa, osa 2014

Vuo­si 2014 on ol­lut mi­nul­le ko­ke­mus­ri­kas, ja IT-maa­il­mas­sa­kin on eh­ti­nyt ta­pah­tua kai­ken­lais­ta. Saa­pa näh­dä, mi­tä ensi vuo­si tuo tul­les­saan.Kuva: Billy Idle: Aurora Borealis. c ba 2.0

Jälleen alkaa yksi vuosi olla lopuillaan ja uusi alkamassa. Ennen uuden kalenterin ripustamista seinälle on totuttuun tapaan (10, 11, 12, 13) aika käydä läpi kuluneen vuoden tapahtumia.

Minulle itselleni vuosi on ollut varsin värikäs ja kiireinenkin, ja harmikseni olen ehtinyt julkaista vain viisitoista postausta. Monista muistakin aiheista olisi tehnyt mieleni kertoa, mutta artikkelit ovat syystä tai toisesta päätyneet korkeintaan luonnosvaiheeseen. On tosin sanottava, että itselleni asettama kirjoitusten laatuvaatimus on myös koventunut.

Keväällä kirjoitin muun muassa .fi-verkkotunnuksen hankkimisen vaikeutumisesta ja Elisa Viihteen kaltaisten nettitallennuspalvelujen vaikeasta tulevaisuudesta. Oman elämäni osalta vuoden suurimmat tapahtumat sattuivat kesälle: muutin ensinnäkin Keljonkankaalta Keltinmäelle, mikä tiesi muiden pulmien lisäksi nettiongelmia. Elokuussa suuntasin pariksi viikoksi kauas Japaniin, ja purin näkemääni blogipostauksen muotoon.

Syksyllä hämmästelin ES Clickerin suosiota ja kirjoitin yllättävän kovaan suosioon nousseen hämmästelyni yksityisen kopioinnin hyvitysmaksun tulevaisuudesta1. Muutaman ohjeartikkelinkin ehdin kirjoitella.

Jatka lukemista >>

Mitä Heartbleed tarkoittaa netinkäyttäjälle

Lu­ke­mat­to­mat verk­ko­pal­ve­lut − niin isot kuin pie­net − ovat ol­leet alt­tii­na mm. käyt­tä­jien tie­to­jen vien­ni­lle Heart­bleed-ni­mi­sen tie­to­tur­va-au­kon ta­kia. Ne­tin­se­laa­jan­kin täy­tyy ryh­tyä ko­viin toi­men­pi­tei­siin.

Kuva: Heartbleed logo, CC0

Viime päivät ovat olleet verkkopalvelujen pyörittäjille vaikeita. Mylläkkä sai alkunsa, kun Googlen turvallisuusyksikössä työskentelevä Neel Mehta huomasi, ettei verkkoliikenteen salauksessa usein käytetty OpenSSL-ohjelmistokirjasto toimii pahasti väärin: pahantahtoinen käyttäjä voisi laatia kyselyn, jolla saisi palvelimen lähettämään hänelle ohjelmiston muistista dataa, esimerkiksi yksityisiä viestejä ja salasanoja. Haavoittuvuus sai kutsumanimekseen Heartbleed, sydänvuoto.

IT-piireissä uutinen levisi kulovalkean tavoin, ja järjestelmänvalvojat kiirehtivät paikkaamaan ohjelmistojaan. Harmi vain, että vahinko oli jo ehtinyt tapahtua: pahimmassa tapauksessa noin 80 prosenttia verkkopalveluista on ollut haavoittuvaisia viimeiset pari vuotta. Sitä, kuinka monesta palvelusta on tietoja viety, ei tiedä kukaan.

Näin äkkiseltään ei tule mieleen pahempaa tietoturva-aukkoa: voidaan sanoa, että Heartbleed-haavoittuvuus koskee jok’ikistä Internetin käyttäjää. Pahimmassa tapauksessa siis kaikkien Internet-käyttäjien tietoja on viety. Tilanne on paha ennen kaikkea käyttäjien kannalta, joten toimettomaksi ei kannata jäädä.

Heartbleed-haavoittuvuuden toimintatapa

Johtuen ohjelmointivirheestä OpenSSL-kirjastossa, voi tietynlaisella pyynnöllä saada kirjaston lukemaan muistiaan vastaukselle varatun tilan yli, ja lähettämään tuon datan paluupostissa. Vastaukselle varatun muistitilan jälkeen ohjelman muistissa voi olla mitä tahansa, ja tuota ”mitä tahansa” voidaan pyytää jopa 64 kilotavua. Hyökkääjä voi lähettää pyyntöjä yhä uudelleen ja uudelleen, saaden aina uuden siivun muistia tutkittavakseen.

Ohjelman muistissa voi olla esimerkiksi itse salaukseen käytetty yksityinen avain tai käyttäjien salasanoja, mutta myös mitä tahansa muuta. Hyökkäyksestä ei tyypillisesti jää uhripalvelimeen mitään jälkiä, joten jälkikäteen ei voida sanoa, onko palvelua vastaan hyökätty vai ei. Tietoturva-asioissa kannattaa kuitenkin lähteä pahimmasta mahdollisesta tilanteesta, eli olettaa kaiken arkaluonteisen olevan hyökkääjän tiedossa.

Haavoittuvuuden aiheuttanut OpenSSL:n ohjelmointivirhe on sittemmin korjattu, ja kaikki valveutuneet verkkopalvelujen ylläpitäjät ovat asentaneet korjauspäivityksen. Enää tietojen vienti ei siis enää ole mahdollista. Sen sijaan jo viedyt tiedot on menetetty, eikä verkkoliikenteen salauskaan ole luotettavaa, ennen kuin palvelu vaihtaa salausavaimensa.

Haavoittuvuudesta kärsineet palvelut

Kirjoitushetkellä varsin harva palvelu on julkisesti kertonut, koskettaako haavoittuvuus sitä. Tämä voi johtua muun muassa seuraavista:

  • Palvelu ei käyttänyt haavoittuvaista versiota, eikä näin näe tarvetta tiedottaa käyttäjiään.
  • Palvelun tuottaja ei tiedä, koskettaako haavoittuvuus heitä.
  • Palvelun tuottaja tietää, että palvelu on (ollut) haavoittuvainen, muttei halua tiedottaa käyttäjiään.

Esimerkiksi Mashable on koonnut luetteloa palveluista, jotka ovat varmuudella olleet uhattuna. Listalla ovat mm. Pinterest, Tumblr, Google ja Yahoo.

Uskon, että monet edellä mainittuja pienemmät toimijat (mm. kotimaiset verkkokaupat, yliopistot, hosting-yritykset…) ovat niin ikään käyttäneet reikäistä OpenSSL-versiota.

Ohjeita käyttäjälle (eli kaikille)

Kannattaa seurata sähköpostia ja verkkosivujen tiedotteita, ja vaihtaa salasana heti, jos verkkopalvelun ylläpito niin suosittelee. Verkkokauppojen asiakkaiden kannattaa myös seurata tiliotteitaan, ja mitätöidä maksukortti, jos outoja maksutapahtumia ilmestyy.

Salasanaansa ei kannata vielä vaihtaa joka paikkaan, sillä kaikki palvelut eivät vielä ole päivittäneet ohjelmistojaan − muuten riskinä on, että uusikin salasana joutuu ulkopuolisten käsiin. Jos verkkopalvelu ei aiemmin pyydä niin tekemään, suosittelen vaihtamaan kaikkien verkkopalvelujen salasanat huhtikuun viimeisellä viikolla.

Mitään sellaista verkkopalvelua2 ei pidä käyttää, jolle seuraavat kriteerit täyttyvät:

  • palvelu vaatii käyttäjätunnuksen tai muun tunnistautumisen, ja
  • palvelu on ollut haavoittuvainen tai haavoittuvaisuustilanne ei ole tiedossa, ja
  • palvelun varmenne1 on julkaistu aiemmin kuin 9.4.2014.

Palvelua voi käyttää, kun varmenne on korvattu uudella. Tällöin kannattaa ensi töikseen vaihtaa salasanansa. Sanomattakin lie selvää, ettei samaa salasanaa kannata käyttää eri paikoissa.


1) Varmenteen tietoja pääsee useimmissa selaimissa katsomaan klikkaamalla salauksesta kertovaa lukonkuvaa ja sitten sopivia painikkeita painelemalla.
2) Joo, netin käytöstä tuli juuri aika paljon ikävämpää. Tai sitten vetelet riskillä ja toivot parasta.