Näin haavoittuvuuskoordinaatio toimii | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Näin haavoittuvuuskoordinaatio toimii

Tutustu toimintaamme esimerkkitapausten kautta.

Tällä sivulla

Haavoittuvuuskoordinaation tehtävänä on avustaa haavoittuvuuden tai vakavan ohjelmistovirheen löytäjää parempaan yhteistyöhön ohjelmistovalmistajien ja järjestelmäintegraattoreiden kanssa. Vastaanotamme ilmoituksia haavoittuvuuksista esimerkiksi erilaisissa ohjelmissa ja verkkosivuilla. Tavoitteena on, että tieto haavoittuvuudesta ja sen asianmukaisesta korjauksesta päätyy tarvittaville tahoille, myös tuotteen loppukäyttäjille.

Löydöksiä täytyy käsitellä vastuullisesti, koska niillä voi olla kauaskantoisia haittavaikutuksia ihmisten yksityisyyteen, omaisuuteen, organisaatioiden liiketoimintaan ja jopa kansalliseen turvallisuuteen. Haavoittuvuuskoordinoijana edistämme haavoittuvuustietojen vastuullista käsittelyä haavoittuvuuden elinkaaren kaikissa vaiheissa. Vakavien ja laajasti vaikuttavien haavoittuvuuksien kohdalla kirjoitamme haavoittuvuusartikkeleita .

Saamme haavoittuvuuksia tietoomme myös etuajassa, jo ennen niiden virallista julkaisua. Tällaisissa tapauksissa kartoitamme yleistä tilannekuvaa Suomessa haavoittuvuuden suhteen. Jaamme tietoa haavoittuvuuksista käsittelyluokitusten perusteella.

Seuraavat esimerkit ovat yleisiä kuvauksia ilmoituksista, joita vastaanotamme. Ilmoita meille haavoittuvuudesta tältä sivulta löytyvällä lomakkeella (Ulkoinen linkki). Voit myös tilata päivittäisen uutiskirjeemme ja haavoittuvuuskoosteen .

Esimerkki 1: Tutkija on havainnut tietokantahaavoittuvuuden verkkopalvelussa

Haavoittuvuus mahdollistaa yksinkertaisella kyselyllä käyttäjätietojen varastamisen julkisesta palvelusta, mikäli käyttäjätunnus- ja salasanapari on hyökkääjän tiedossa tai murrettavissa. Tilanne on kriittinen, koska kuka tahansa voi havaita haavoittuvuuden erilaisilla skannereilla ja yrittää saada tietoja tietokannasta.

Tutkija ei kuitenkaan halua ilmoittaa haavoittuvuudesta itse palveluntuottajalle, vaan ilmoittaa asiasta Kyberturvallisuuskeskuksen verkkosivujen lomakkeen avulla.

Kyberturvallisuuskeskus toteaa haavoittuvuuden olevan kriittinen ja ilmoittaa asiasta välittömästi organisaatioon. Kiireellisissä tilanteissa myös puhelu tietoturvasta vastaavalle henkilölle saattaa parantaa ymmärrystä haavoittuvuuden vakavuudesta ja lisätä reagointinopeutta organisaatiossa.

Tämänkaltaisissa haavoittuvuuksissa painotamme luottamuksellisuutta. On ensiarvoisen tärkeää, että haavoittuvuuden löytänyt taho ei kerro havainnostaan muille kuin viranomaisille tai organisaatiolle, jota haavoittuvuus koskee.

Esimerkki 2: Organisaatio ilmoittaa tarvitsevansa koordinaatioapua

Yritys on havainnut itse, tai saanut ulkopuoliselta taholta ilmoituksen tuotteessaan olevasta haavoittuvuudesta. Organisaatio on ensimmäistä kertaa tällaisen asian kanssa tekemisissä ja kysyy apua Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatiosta.

Aluksi kerrataan tilanne, keskustellaan millaisesta haavoittuvuudesta on kysymys ja pohditaan mahdollisia vaikutuksia. Millaisiin palveluihin haavoittuvuus vaikuttaa? Onko tapauksella yhteiskunnallisia vaikutuksia? Onko jo tässä vaiheessa tarve hakea haavoittuvuudelle yksilöivä tunniste, eli CVE (Common Vulnerabilities and Exposures)? CVE-tunnisteen myöntää voittoa tavoittelematon järjestö MITRE. Voit havaita myös Kyberturvallisuuskeskuksen haavatiedotteista CVE-tunnisteita, joita yritykset ovat ilmoittaneet haavoittuvuuksiensa yhteydessä. Ne helpottavat yksilöimään haavoittuvuuksia ja antavat CVSS-pisteet, joiden avulla haavoittuvuuden merkittävyyttä voidaan kuvailla. Haavoittuvuuspisteiden laskentaa voit kokeilla esimerkiksi Yhdysvaltalaisen NIST-organisaation sivulla (Ulkoinen linkki).

Haavoittuvuudesta viestiminen on tärkeä osa sen koordinaatiota. Miten yritys tulee haavoittuvuudesta julki? Onko mahdollista selvittää, kuinka paljon haavoittuvaa tuotetta on käytössä? Onko asiakkaille mahdollista kontaktilistaa  käytettävissä vai tapahtuuko tiedottaminen esimerkiksi verkkosivujen ja sosiaalisen median kautta? Tässä myös Kyberturvallisuuskeskus voi auttaa viraston normaalien toimintatapojen mukaisesti tiedottamalla esimerkiksi verkkosivuillaan, sosiaalisessa mediassa, kansainvälisissä verkostoissa ja lähettämällä sidosryhmille tai jollekin tietylle sektorille tiedon haavoittuvuudesta.

Haavoittuvuudesta kannattaa ilmoittaa käyttäjille mahdollisimman pian ja kertoa tilanteesta avoimesti. Mikäli teillä on tarve keskustella asiasta luottamuksellisesti - ottakaa yhteyttä Kyberturvallisuuskeskukseen!

Esimerkki 3: Tutkija ilmoittaa verkkolaitteen haavoittuvuudesta

Tutkija on hankkinut uuden WLAN-reitittimen. Suoritettujen testien perusteella hän on löytänyt reitittimestä monta haavoittuvuutta, jotka tulisi ilmoittaa laitteen valmistajalle. Tutkija ei kuitenkaan halua itse ilmoittamaan valmistajalle löydöksistään, joten hän ilmoittaa asiasta Kyberturvallisuuskeskukselle. Tällöin haavoittuvuuden koordinointi tapahtuu viranomaisen kautta, joka puolueettomana välikätenä hoitaa keskustelun ilmoittajan ja laitteen valmistajan kanssa. Verkkolaitehaavoittuvuudet voivat koskettaa laajasti myös käyttäjiä, joten löydetty haavoittuvuus tulisi pitää vain löytäjän, viranomaisen ja laitevalmistajan välillä.

Kyberturvallisuuskeskus tarkastelee ilmoitettua haavoittuvuutta ja tämän jälkeen ilmoittaa siitä valmistajalle. Haavoittuvuuden ilmoittaminen voi joskus olla yllättävänkin työlästä; haavoittuvuustiedot on suositeltavaa lähettää yritykselle mahdollisimman turvallisesti ja joskus yhteystietojen kaivaminen on aikaa vievää. Kyberturvallisuuskeskuksen haavoittuvuuskoordinointi vapauttaa tutkijan aikaa koordinoinnilta, eikä hänen tarvitse hoitaa kontaktointia. Tarvittaessa laitevalmistaja saattaa kysyä tarkentavia kysymyksiä ilmoitetusta haavoittuvuudesta. Näitä ovat esimerkiksi tutkinnassa käytetty käyttöjärjestelmä, versiot, ajankohdat ja testauksessa käytetty kokoonpano.

Useimmat nykyaikaiset organisaatiot ilmoittavat heti ottavansa ilmoitetun haavoittuvuuden työn alle, ja mikäli mahdollista, he ilmoittavat myös korjaavansa asian esimerkiksi 30:n päivän sisällä.

Oman lisänsä haavoittuvuuden ilmoittamiseen voi tuoda esimerkiksi ulkomainen laitevalmistaja, jonka yhteystiedot ovat kiven alla. Tällaisissa tapauksissa Kyberturvallisuuskeskuksen on mahdollista keskustella ulkomaisten kollegoidensa kanssa ja näin etsiä sopivia yhteystietoja viestin välittämiselle.

Esimerkki 4: Taloautomaatiolaite verkossa

Tutkija on löytänyt taloautomaatiolaitteita, joiden ei tulisi olla verkossa. Tutkija on ilmoittanut asiasta valmistajalle, mutta mitään ei ole tapahtunut. Tutkija ajattelee, että Kyberturvallisuuskeskus voisi koordinoida asiaa.

Tilanne voi olla se, että valmistajan oletusasetukset ovat heikot ja tämän vuoksi laitteeseen voi kirjautua esimerkiksi ohjekirjassa olevilla yleisillä tunnuksilla. Mikäli tämänkaltainen laite vielä kytketään internetiin, on kenellä tahansa helppo pääsy laitteeseen. Nykyään uusien laitteiden tulisi olla jo käyttöön otettaessa uniikin käyttäjätunnuksen ja salasanan takana. Mielellään vielä niin, että ensimmäisellä kerralla kirjautuessa käyttäjä pakotettaan vaihtamaan tehtaalla asetettu salasana uuteen.

Taloautomaation ja muidenkin internetiin kytkettyjen laitteiden tulisi olla hyvin suojattuja, mikäli niiden on tarve olla internetissä. Tutkimme vuosittain Suomessa olevien suojaamattomien automaatiolaitteiden määrää verkossa. Käy lukemassa vuoden 2020 kartoitus .

Haavoittuvuuskoordinaatiotilastoihin liittyvä termipankki

Kyberturvallisuuskeskukselle ilmoitetut haavoittuvuudet liittyvät usein verkkosivun tai palvelun tietosuojaan. Helposti saatavilla oleva tieto voi olla sellaista, jonka ei tulisi näkyä muille. Tällaisia tietoja ovat esimerkiksi henkilötiedot tai erilaiset asiakastiedot.
Vanhentuneet tai heikot salasanakäytännöt ovat myös toistuva ilmiö. Voi olla, että muutoin tietoturvallisesta tuotteesta löytyy kovakoodattu oletussalasana. Erilaisissa verkkopalveluissa voi myös olla parannettavaa salasanakäytännöissä esimerkiksi salasanan vaatimusten vai vaihto-ominaisuuksien osalta. IoT- ja verkkolaitteiden testaus on yleistä tietoturvatutkijoiden keskuudessa. Laitteiden turvallisuuden parantaminen on tärkeää verkossa ja kotona käytössä olevien laitteiden määrien jatkuvan kasvun vuoksi.

Kyberturvallisuuskeskus vastaanottaa vuositasolla noin 50kpl haavoittuvuuskoordinaatiotapausta. Luku sisältää sellaiset ilmoitukset, jotka ovat vaatineet toimenpiteitä Kyberturvallisuuskeskukselta. Haavoittuvuusilmoitusten luokat yleisesti: tiedoksi, pyydän apua tai koordinoitteko haavoittuvuuden käsittelyn. Ilmoituksia tulee kansalaisilta, tutkijoilta ja organisaatioilta. Vastaanotamme ilmoituksia myös anonyymeiltä ilmoittajilta.

Etänä syötettävät komennot

Haavoittuvuus mahdollistaa komentojen syöttämisen palveluun tai sovellukseen etänä. Hyökkääjä voi siis syöttää kotikoneeltaan haitallista koodia, joka mahdollistaa esimerkiksi käyttövaltuuksien laajentamisen kohteeseen.

Konfiguraatiovirhe

Konfiguraatiovirheiksi olemme merkinneet ne ilmoitukset, mitkä eivät ole sisältäneet korjattavaa haavoittuvuutta. Esimerkiksi mobiilisovelluksen ominaisuus tai käyttäjän itse tekemät muutokset on merkitty tähän kategoriaan. Varsinaiset haavoittuvuudet olemme kategorisoineet suunnitteluvirheen alle. Tällainen ilmoitus voi siis näyttäytyä ilmoittajalle haavoittuvuutena, mutta tarkastelun jälkeen kyseessä onkin niin sanotusti konfiguraatiovirhe.

Käyttövaltuus

Käyttövaltuudella tarkoitetaan käyttäjällä olevia oikeuksia palveluun tai järjestelmään. Mikäli haavoittuvuuden avulla on mahdollista korottaa tai päästä tekemään asioita ylläpitäjän tunnuksilla - on se kategorisoitu käyttövaltuuksien alle.

Salasanakäytännöt

Salasanakäytännöt pitävät sisällään yleisesti ottaen heikkoihin salasanoihin tai salasanaprosesseihin liittyviä asioita. Saamme tasaisesti ilmoituksia mm. palveluista, jotka lähettävät juuri vaihdetun salasanan luettavassa muodossa käyttäjän sähköpostiin. Myös erilaiset salasanamallit tai vaatimukset palveluissa ja verkkolaitteissa puhuttavat.

Salaus

Salaukseen liittyviä haavoittuuksia saamme esimerkiksi IoT-laitteisiin liittyen. Mobiilisovelluksen ja laitteen yhteys voi olla salaamaton tai laitteen konfigurointirajapinta ei tue tai käytä oletuksena salausta. Ilmoituksista nousee tasaisesti esille kuluttajien tai tutkijoiden aiheellinen huoli siitä, että laitteessa on oletuksena käytössä HTTP eikä HTTPS.

Suunnitteluvirhe

Tietoturvan rakentaminen jo suunnitteluvaiheessa tuotteisiin on nykyään vähimmäisedellytys, jota voimme suositella vilpittömästi saamiemme haavoittuvuusilmoitusten perusteella.

Olemme saaneet selkeitä suunnitteluvirheitä haavoittuvuuskoordinaatioomme esimerkiksi:

  • Ohjelmistossa on kovakoodattu salasana, joka joko näkyy koodissa tai ohjekirjassa
  • Telnet käytössä asiakaslaitehallinnassa
  • Äänestystulosmanipuloinnin mahdollisuus viihdepalvelussa
  • Laitteita verkossa, jotka eivät sinne kuulu tai ylimääräisiä portteja auki verkkoon

Vaatimusmäärittelyprosessissa on ohjelmiston tai palvelun tietoturvamäärittelyssä voinut unohtua jotain käyttötapauksia tai sitten käytössä olevassa palvelussa on alettu tehdä toimintoja joita palvelussa ei ole lähtökohtaisesti suunniteltu tehtäväksi. Tehokas tapa parantaa kyberturvallisuutta on puuttua mahdollisiin ongelmiin jo ohjelmistotuotteiden ja -palveluiden kehitysvaiheen aikana. Turvallinen tuotekehitys edistää toimintavarmuutta ja ennaltaehkäisee tietomurtoja ja -vuotoja.

Tietosuoja

Osa saamistamme ilmoituksista ei aina koske teknistä haavoittuvuutta palvelussa tai tuotteessa. Saamme aina välillä ilmoituksia tai kyselyitä palveluista, jotka selkeästi koskevat tietosuojaa.

Tietovuoto

Tietovuoto voi tapahtua myös esimerkiksi inhimillisen virheen seurauksena tai järjestelmän suunnitteluvirheen vuoksi.

Esimerkkejä tietovuotohaavoittuvuuksista:

  • Sovellus vuotaa tietoja valmistajalle
  • Järjestelmä näyttää muiden asiakastietoja
  • SQL-haavoittuvuus, joka mahdollistaa arkaluonteisten tietojen lukemisen ja muokkaamisen

Tietovuodon juurisyyn selvittäminen on tärkeää, koska järjestelmätestaus on oleellinen tekijä huolellisesti tehdystä järjestelmien käyttöönotosta.

Todennus

Erilaiset varmenteisiin liittyvät asiat kategorisoidaan todennuksen alle. Olemme saaneet ilmoituksia esimerkiksi yleisesti käytetyn verkkosivun tai palvelun varmenteista, jotka näkyvät käyttäjälle esimerkiksi selaimen virheilmoituksina.

Tunnistautuminen

Tunnistautumisen arkipäiväisyys poikii myös haavoittuvuuskoordinaatioon erilaisia ilmoituksia. Erilaiset kirjautumis- ja rekisteröintihaasteet sekä mobiilivarmenneominaisuudet epäilyttävät käyttäjiä palvelun luotettavuudesta. Tunnistautuminen näyttäytyy käyttäjälle esimerkiksi erilaisilla mobiililaitteelle tulevilla ilmoituksilla. Pohdintaa on herättänyt se, että voiko ilmoituksen nähdä avaamatta puhelimen näytön lukitusta.

Väliintulohyökkäys

Väliintulohyökkääjä voi kuunnella, muokata tai estää protokollaliikennetta, tai yrittää ohittaa salausmenetelmiä tai muita suojauksia. Haavoittuvuus ei vaikuta protokolliin ja toteutuksiin joissa käytetään päästä päähän salausta.
Esimerkiksi hotellien ja julkisten paikkojen langattomat internetyhteydet (WLAN-verkot) voivat aiheuttaa tietoturvariskejä. Avoimia langattomia verkkoja on helppo salakuunnella, ja erilaiset väliintulohyökkäykset paljastavat internetselailun hyökkääjälle.

Sivu on viimeksi päivitetty