Viestintäviraston Kyberturvallisuuskeskuksen todistamat karut tarinat
osoittavat, että selainten liitännäiset altistavat tietoturvaloukkauksille.
Liitännäiset tuovat selaimiin uusia ominaisuuksia, mutta kasvattavat samalla
haavoittuvuuksille altista hyökkäyspinta-alaa. Kokemukset myös osoittavat,
että niiden päivittäminen kangertelee. Ensiapuna Kyberturvallisuuskeskus
suosittelee varsinkin netistä ladattavien Java-sovelmien hylkäämistä
yrityksen verkon reunalla. Kerromme rohkaisevan esimerkin erään
HAVARO-kumppanimme kokemuksista.
Nettiselaimissa yleisten liitännäisten (engl. plug-ins) haavoittuvuuksia
käytetään teollisessa mittakaavassa tapahtuvaan haittaohjelmien
levittämiseen. Niin kutsutut Exploit Kitit, eli tuotteistetut
hyväksikäyttömenetelmät vaanivat nettisivuilla vierailevia käyttäjiä,
selvittävät hetkessä kävijän tietokoneen haavoittuvuudet ja asentavat
haittaohjelmia selailijan huomaamatta. Vaikka tietokone ja selain olisikin
päivitetty tuoreimpaan versioon, saattaa selaimen liitännäisten ja
laajennosten (engl. extension) joukossa piillä vanhentunteita ja
haavoittuvia versioita.
Esimerkkitapauksessamme työasemien liitännäisenä oli vanhentunut
Java-ohjelmisto, jonka haavoittuvuuksia hyväksikäytettiin lähes viikoittain
haittaohjelmien asentamiseen yhteisötilaajan sisäverkkoon.
Vanhentuneita Java-ajoympäristöjä on erityisesti yrityskäytössä
Java on selaimen liitännäiseksi asentuva virtuaalinen sovellusten
ajoympäristö, jonka avulla selaimessa voidaan ajaa Java-kielisiä sovelmia,
eli appletteja. Java-sovelmat ovat periaatteessa alusta- ja
käyttöjärjestelmäriippumia, joskaan asia ei käytännössä ole aivan näin
yksinkertainen. Yrityskäytössä on varsin tavanomaista, että jotkut
liiketoiminnan kannalta keskeiset sovellukset vaativat jonkin tietyn
Java-ajoympäristön version toimiakseen oikein. Tämä käytännössä sitoo
organisaation tietohallinnon kädet: ohjelmiston päivitys poistaisi
tietoturvaongelmat, mutta rikkoisi samalla liiketoimintasovelluksia.
Käytännössä päivitykset jätetään asentamatta.
Kotikäyttäjien ongelmana ei ole niinkään versioriippuvuus, vaan se, että
Javan päivittäminen usein yksinkertaisesti unohtuu. Java-päivitykset eivät
yleensä tule automaattisesti käyttöjärjestelmän tai selaimen oman
päivitysmekanismin kautta. Päivityksen käynnistäminen saattaa myös
edellyttää käyttäjältä aktiivisia toimia, kenties jopa pääkäyttäjäoikeuksien
aktivoimisen.
Javan erikoisuutena on myös, että ohjelmiston päivitys tuoreimpaan versioon
saattaa jättää vanhentuneen kopion rinnalle. Haittaohjelmia jakavat Exploit
Kitit käyttävät tätä hyväkseen: netistä ladattu haitallinen Java-sovelma voi
vaatia, että se täytyy ajaa nimenomaan tietokoneelle unohtuneessa vanhassa,
haavoittuvassa, ajoympäristössä. Pahimmillaan tämä tarjoaa haittohjelmalle
suoran pääsyn organisaation sisäverkkoon – ohi palomuurin, ohi
virustorjunnan ja ohi käyttövaltuuksien hallinnan.
Suodattaminen sai Java-ongelmat loppumaan
Kyberturvallisuuskeskus on tehnyt yhteistyötä erään HAVARO-kumppanin kanssa
organisaatiota vaivanneen haittaohjelmaongelman ratkaisemiseksi. Saimme
luvan julkaista tilastotietoa kumppanin järjestelmiin kohdistuneiden
vakavien tietoturvaloukkausten määrän kehityksestä sekä havaintojen johdosta
tehtyjen vastatoimenpiteiden vaikuttavuudesta. Tarkastelujakso ajoittuu
asiakkaan HAVARO-palvelun käyttöönoton ensimmäiseen vaiheeseen.