Seitsemäs huhtikuuta suomalainen Codenomicon ja Googlen turvallisuustiimi ilmoittivat vakavasta, niin kutsutusta Heartbleed-haavoittuvuudesta OpenSSL-salauskirjastossa. OpenSSL on erittäin suosittu avoimen lähdekoodin tuote, jolla voidaan muun muassa salata verkkoyhteyksiä. SSL/TLS-suojausta käytetään yleisesti salaamaan käyttäjien henkilökohtaisia tietoja esimerkiksi pankkien ja verkkokauppojen sivustoilla.

Haavoittuvuus antaa mahdollisuuden hyökkääjälle päästä suoraan käsiksi kohdekoneen, eli esimerkiksi verkkokauppapalvelimen, muistiin. Tätä kautta hyökkääjä voi lukea arkaluontoista tietoa, kuten esimerkiksi koneen yksityisen salausavaimen. Yksityisen salausavaimen paljastuttua vaarana on se, että niin menneitä kuin tuleviakin salattuja yhteyksiä pystyy ”salakuuntelemaan”.

Heartbleed-haavoittuvuutta käyttävää hyökkäystä on lähestulkoon mahdotonta jäljittää perinteisin työkaluin.

Haavoittuvuuden mittakaavasta antaa jonkinlaista kuvaa Donnie Berkholzin tekemä skannaus Alexa-statistiikkapalvelun Top 10,000 -sivustoista ja niiden haavoittuvuudesta. Linkki johtaa listan alkuperäiseen versioon – monet toimittajat, Anders mukaan lukien, ovat jo korjanneet ongelman.

Välittömästi haavoittuvuuden tultua esille kävimme läpi palvelimemme ja tarkistimme tilanteen. Suurimmalla osalla palvelimistamme ei ole ollut käytössä haavoittuvaa versiota OpenSSL:stä.

Ne palvelimet, joilla haavoittuva versio OpenSSL:stä oli, päivitettiin välittömästi uudempaan versioon ja niiden käytössä olevat SSL-sertifikaatit tullaan myös vaihtamaan varmuuden vuoksi.

Niiden palveluiden käyttäjiä, joihin haavoittuvuus on mahdollisesti voinut vaikuttaa, ohjeistetaan erikseen vielä vaihtamaan varotoimenpiteenä käyttäjätunnustensa salasana. Tämä viimeinen toimenpide ei ole välttämätön, mutta haluamme luonnollisesti olla tietoturvakysymyksissä mahdollisimman tarkkoja.

Andersin verkkokauppoja ja verkkopalveluita voi siis käyttää turvallisin mielin. Voit myös itse tarkistaa onko mikä tahansa sivusto haavoittuva Filippo Valsordan Heartbleed Test -työkalulla.

Käytännössä verkkopalveluiden ylläpitäjien on mahdotonta etukäteen varautua niin kutsuttuihin ”nollapäivähaavoittuvuuksiin”. Heartbleed-ongelman esille tuojia onkin kritisoitu siitä, että haavoittuvuus tuotiin julkisuuteen ennen kuin ohjelmistotoimittajille oli annettu mahdollisuutta päivittää tuotteensa.

Kolikon kääntöpuoli toisaalta on se, että jos haavoittuvuutta ei olisi julkistettu nopealla aikataululla, monet tahot olisivat varmasti jättäneet OpenSSL:nsä päivittämättä. Avoin kysymys on, että mitkä tahot ovat jo haavoittuvuutta ennen sen julkistamista käyttäneet, ja millä tarkoitusperillä.

Paras tapa varautua nollapäivähaavoittuvuuksiin on edelleen varsin perinteinen: säännölliset käyttöjärjestelmä- ja ohjelmistopäivitykset.

Vaikka kyseinen haavoittuvuus onkin erittäin vakava, niin ehkä myrskypilvestä löytyy myös kultareunus. Näin selkeä ja vakava haavoittuvuus pakottaa palveluntarjoajat maailmanlaajuisesti toimiin ja ehkä siinä samassa myös arvioimaan uudelleen omia tietoturvastandardejaan.