TigerTeam - suomalainen tietoturvablogi

Normaalitilanteessa ylläpitäjät ja tietoturvahenkilöstö sekä käyttäjät voivat tutustua uudessa ohjelmistoversiossa korjattuihin haavoittuvuuksiin tai tietoturvaparannuksiin. Aina ei näin kuitenkaan tapahdu.

Hiljainen päivitys on ohjelmistoon julkaistu tietoturvapäivitys, jossa korjattuja haavoittuvuuksia ei ole julkisesti dokumentoitu eikä yksilöity.

Päivitystä ei siis edes kutsuta tietoturvapäivitykseksi, mikäli samalla kertaa ei ole korjattu muita haavoittuvuuksia, jotka yksilöidään tietoturvatiedotteessa (advisory).

Mikäli ilmoittamatta jäävä korjattu haavoittuvuus on ainut tietoturvapäivitys, mutta valmistaja nimeää päivityksen esimerkiksi ylläpito- tai vakauspäivitykseksi saattavat ohjelmiston ylläpidosta vastaavat organisaatioissa jättää päivityksen väliin. On helppoa olla kiirehtimättä päivityksen jakelussa, ellei sen tietoturvaluonnetta ole tiedossa.

Hiljaisia päivityksiä (englanniksi silent patch) harrastavat niin isot kuin pienetkin ohjelmistovalmistajat. Viime päivinä aiheesta on puhuttu Adoben julkaistua Flashia koskevan säännöllisen tietoturvapäivityksen. Microsoftin on kerrottu toimineen viime vuonna MS10-024- ja MS10-028-päivityksien kohdalla myös “hiljaisesti”.

Adoben tapauksessa Googlen Tavis Ormando väittää Adoben jättäneen yksilöimättä nelisensataa tietoturvaparannusta, jotka ovat tulleet ilmi Flashiin kohdistuneessa auditoinnissa Chrome-selaimeen integroimiseen liittyen. Ormando perää tapauksille CVE-tunnuksia ja haavoittuvuuksien löytäjän nimeä esile.

Aikaisempia tietoturvatermejä koskevia kirjoituksia voi lukea avainsanalla tietoturvatermit.

Etsiessäsi verkosta tietoja haavoittuvuuksista ja esimerkiksi tutustuessasi tietoturva-auditointiraporttiin olet varmasti törmännyt CVE-alkuisiin tunnuksiin. Mikä tuo CVE sitten on?

CVE on lyhenne sanoista Common Vulnerabilities and Exposures - yleinen haavoittuvuuksien ja paljastuneiden heikkouksien hallintamenetelmä. CVE-tunnisteen voi saada niin käyttöjärjestelmän, sovellusohjelman kuin vaikkapa reitittimen haavoittuvuus. CVE-tunniste siis yksilöi haavoittuvuuden.

Hankkeessa haavoittuvuudelle luodaan mahdollisimman selkeä kuvausteksti, annetaan sille järjestysnumero ja verkkoa kahlaamalla lista lisätietoreferensseistä. Ohessa esimerkki Windowsia koskevan CVE-tunnisteen CVE-2011-0096 kuvauskentästä:

Ilman CVE-järjestelmää haavoittuvuuksien hallinta esimerkiksi pelkkien haavoittuvuustietokantojen ja valmistajien tietoturvatiedotteiden avulla olisi hyvin hankalaa. Hanke on jo yli kymmenen vuoden ikäinen ja tunnisteita on annettu jo lähes 45 000 kappaletta. Hanketta pyörittää yhdysvaltalainen MITRE Corporation, joka saa hankkeeseen tukea Yhdysvaltain Kotimaan turvallisuuden virastolta. Yksityiskohtaisempi National Vulnerability Database -tietokanta NVD taas käyttää CVE:n tietoja.

Erityisesti CVE-tunniste auttaa yhdistämään tietyt haavoittuvuudet ja niihin julkaistut korjauspäivitykset toisiinsa.

CVE-tunnisteiden muoto on CVE-2011-xxxx.

Tässä CVE merkitään aina isoin kirjaimin, 2011 on julkaisuvuosi ja xxxx neljällä numerolla ilmaistu järjestysnumero. Tiedot on eroteltu toisistaan yhdysmerkillä.

Huomattavan vanhoja haavoittuvuuksia käsitellessä voi törmätä tunnisteeseen muotoa CAN-2003-0714. Tällöin kyseessä on ns. kandidaattitunniste, jolla ei luontihetkellä ollut vielä virallisen tunnisteen roolia. Tieto käy ilmi tunnisteen Status-kentästä, mutta CAN-tunnisteiden käytöstä on muutama vuosi sitten luovuttu.

Referensseistä tiedon lähteille

Kun CVE:stä tulee julkinen on sillä ainakin yksi referenssilinkki - valmistajan tietoturvatiedote, linkki postituslistalla julkaistuun hyökkäyskoodiin tai verkossa julkaistu hyödyllinen analyysi haavoittuvuudesta. Referenssi kuuluu johonkin yli 80 lähdekategoriasta, esim. BID:45254 tarkoittaa BID-tietuetta (Bugtraq ID) numero 45254 SecurityFocus-haavoittuvuustietokannassa. Esimerkissä käytetyn OpenSSL-haavoittuvuuden referenssi REDHAT:RHSA-2010:0977 puolestaan viittaa Linux-jakelija RedHatin tiedotteeseen (RedHat Security Advisory) otsikolla RHSA-2010:0977. Haavoittuvuuskenttä onkin melkoinen lyhenteiden temmellyskenttä.

Uusi aukko, mutta sillähän on jo CVE

Isot ohjelmistovalmistajat, kuten Apple, Microsoft, Red Hat ja Oracle saavat sarjan CVE-tunnuksia käyttöönsä vuosittain. Mitä tämä tarkoittaa sitten käytännössä? Kun kohtaat esimerkkinä käyttämämme CVE-tunnisteen CVE-2011-0096 löydät siitä tiedon

Assigned (20101221):

Ohjelmistovalmistaja, eli tässä tapauksessa Microsoft, on osoittanut tunnisteen tälle haavoittuvuudelle 21. joulukuuta. Kun haavoittuvuus tulee julkiseksi ja siitä julkaistaan esimerkiksi tietoturvatiedote voidaan CVE:hen viitata ja linkittää saman tien.

Myös yksityiset tietoturvatutkijat voivat hakea löytämilleen haavoittuvuuksille oman CVE:n. Hyvä käytäntö on kertoa hakuajankohta tietoturvatiedotteen aikatauluosiossa:

VIII. DISCLOSURE TIMELINE

04/23/2009 - Requested CVE

04/24/2009 - CVE received

Kirjoitus kuuluu haavoittuvuuksiin liittyviin termeihin ja lyhenteisiin tutustuttavaan kirjoitussarjaan.

Seurasitpa sitten suomenkielisiä tai kansainvälisiä it-uutisia olet hyvin todennäköisesti törmännyt termiin zero-day (tai zero day). Juuri joulun alla saatiin vahvistus Internet Explorerin paikkaamattomasta CSS-haavoittuvuudesta, joka on tyypillinen esimerkki nollapäivätyyppisestä haavoittuvuudesta. Loppuvuoden aikana nollapäiväaukkoja on ollut useasti Flashissa ja Adobe Readerissa ja niitä on myös hyödynnetty.

Suomen kielessä käyttöön ovat vakiintuneet pääasiassa termit nollapäivähaavoittuvuus (tai -aukko) ja zero-day-haavoittuvuus.

Nollapäivä tarkoittaa sitä, että haavoittuvuuden julkitulon ja hyödyntämisen väliin mahtuu nolla vuorokautta.

Hyödyntäminen todentaa haavoittuvuuden olemassaolon ja esimerkiksi sen, että toimiva verkkomato on pystytty kehittämään.

Käytännössä hyökkäysten alkamisen ja haavoittuvuuden julkitulon väli on siis kirjaimellisesti nolla päivää.

Nollapäivään ei korjausta saatavilla

Nollapäivähaavoittuuvuudelle on ominaista myös se, ettei siihen ole valmistajan korjauspäivitystä saatavilla.

Termi Zero Day on myös ZERT-ryhmittymän nimen innoittaja (Zeroday Emergency Response Team), ZDNetin tietoturvablogi, osa Zero Day Initiative -haavoittuvuusjulkistusohjelman nimeä ja ei-tietoturvamaailmassa mm. elokuva ja hip hop-albumi. ZERT on tietoturva-ammattilaisten ryhmä, joka julkaisi vuonna 2007 tilapäiskorjauksen Windowsin kohdistimienkäsittelyä koskevaan nollapäivähaavoittuvuuteen ennen virallisen korjauspäivityksen julkaisua.

Myöhemmin tällaisia epävirallisia korjauspäivityksiä on nähty aina silloin tällöin muihinkin nollapäivähaavoitttuvuuksiin, mutta hyvin harvinaista niiden julkaiseminen kuitenkin on.

Kirjoitus aloittaa termit tutuksi -tyyppisen kirjoitussarjan, joka tutustuttaa tietoturva-alan – erityisesti haavoittuvuuksiin liittyviin – termeihin ja lyhenteisiin.

Yksi luottokorttiturvallisuuteen liittyvistä suomen kieleen kulkeutuneista sanoista on englanninkielisestä skimming-verbistä johdettu skimmaus. Myös skimmaajista ja skimmausjengeistä puhutaan.

Skimmaus tarkoittaa luotto- tai pankkikortin kopiointia tyypillisesti pankkiautomaattiin liitetyllä laitteistolla. Jotta kopioitua korttia voitaisiin käyttää rahan nostamiseen automaatista hankkivat rikolliset yleensä myös tunnusluvun eli PIN-koodin automaattiin kytkemällään kameralla. Skimmaus-termiä käytetään myös tapauksissa, jossa kortti kopioidaan huoltoaseman korttiautomaatilla. Tällöin kohteena on useimmiten miehittämätön eli ns. kylmäasema, koska laitteiston asennus voidaan tehdä helpommin henkilökunnalta salassa.

Skimmaaja on henkilö, joka luvattomasti kopioi maksukortin tiedot kortin kopion valmistamiseksi.

Aina ei mikrokokoinen kamera kuitenkaan ole skimmaajien käytössä. Tiedetään useita tapauksia, joissa tunnusluku on saatu numeronäppäimistön päälle asennetulla valenäppäimistöllä.

Kuinka sitten skimmaukselta voi suojautua?

1. Peitä näppäimistö kädellä näppäillessäsi PIN-koodia. Näppäilyn kuvaava kamera voi kuvata näppäilyn muualtakin kuin suoraan näppäimistön yläpuolelta.

2. Ota yhteyttä poliisiin ja automaatin ylläpitäjään mikäli epäilet löytäneesi kopiointilaitteen automaatista. Kopiointilaitteet on usein teipattu automaatteihin ja Suomen ilmastossa ne voivat irrota kiinnityksistään.

3. Tarkista tiliotteet ja luottokorttilaskut. Mikäli nostoja tai ostoja on tehty epäilyttävinä ajankohtina tarkista niiden oikeellisuus.

Kerroimme viime viikon lopulla Adobe Acrobatia ja Adobe Readeria koskevista nollapäivähaavoittuvuuksista. Valmistaja vahvisti viikonloppuna paikkauksen julkaisuaikataulun – korjaus saapuu 12. toukokuuta mennessä eli noin viikon kuluttua.

Myös CVE-tunnukset noille kahdelle haavoittuvuudelle on julkaistu. getAnnots()-haavoittuvuus on CVE-2009-1492 ja customDictionaryOpen()-haavoittuvuus taas CVE-2009-1493.

Jokainen haavoittuvuuksiin vähänkin enemmän perehtynyt on törmännyt Common Vulnerabilities and Exposures -yhtenäistystunnuksiin, joita jaetaan tuhansia vuosittain. Tunnuksille annetaan pienellä viiveellä myös sen vakavuutta kuvaava numeroarvo asteikolla 0.0 – 10.0. Pisteytysjärjestelmä tuntee nimen Common Vulnerability Scoring System ja siitä käytetään lyhennettä CVSS. Voidaan puhua myös CVSS-pisteytyksestä.

NVD- eli National Vulnerability Database -tietokannan sisältämä ensin mainitun haavoittuvuuden CVSS-arvo on korkeimpaan High-luokkaan kuuluva 9.3.

Haavoittuvuuksille on jo parin vuoden ajan annettu myös haavoittuvuuden aiheuttaneen ohjelmointivirheen tyyppiä kuvaava CWE-luokitus – Common Weakness Enumeration. Luokka on tässä tapauksessa järjestelmäresurssien hallinnassa tapahtunut virhe tunnuksella 399.

Edellä mainituista jälkimmäinen Adobe Acrobat -aukko eli käyttäjän omiin sanastoihin liittyvä haavoittuvuus puolestaan kuuluu CVSS-arvonsa perusteella keskitasolle arvolla 6.8.

Käytämme CVE-, CVSS- ja CWE-tunnuksia ja -arvoja myös asiakkaille toimittamissamme raporteissa.

Uusia CVE-tunnuksia julkaistaan päivittäin ja samalla haavoittuvuudet saavat CVSS-arvon. CWE-lista taas päivittyi uuteen 1.3-versioon maaliskuussa.