Heartbleed-haavoittuvuus

Heartbleed-haavoittuvuuden logo.

Heartbleed-haavoittuvuus on 7. huhtikuuta 2014 paljastunut tietoverkkojen OpenSSL-kirjastoja koskeva haavoittuvuus. Aukon virallinen nimi on CVE-2014-0160, mutta se tunnetaan nimellä Heartbleed.[1] Se aiheuttaa verkkopalveluille monia riskejä, koska haavoittuvuuden kautta saattoi vuosien ajan vuotaa sekä palvelun käyttäjien salasanoja ja käyttäjätunnuksia sekä salatun yhteyden luomista varten tarvittava palvelinsertifikaatin salausavain. Hyökkääjä voi tällöin urkkia käyttäjien käyttäjätunnuksia.[2] Haavoittuvuuteen johtaneen virheen ohjelmakoodissa teki saksalainen Robin Seggelman uutenavuotena 2011.[3]

Haavoittuvia OpenSSL-kirjastoja käyttäneistä palveluista on vaihdettava salasanat, mutta vasta sen jälkeen, kun palvelun haavoittuvuus on korjattu. Mahdollisuus palvelinsertifikaatin salausavaimen vuotamiseen aiheuttaa verkkourkintariskin. Suomalaisten käyttämiä tälle haavoittuvuudelle altistuneita palveluja ovat Google, Facebook, Instagram, Pinterest, Tumblr, Yahoo, Amazon.com, Dropbox, GitHub, SoundCloud ja Wikipedia.[2]

Haavoittuvuuden löysivät samanaikaisesti oululaisen tietoturvayhtiö Codenomiconin tutkijat Riku, Antti ja Matti sekä Google Securityn tutkija Neel Mehta.[4][5] Löytäjät myös tuotteistivat haavoittuvuuden luomalla sille nimen ja logon.[1] Logon suunnitteli graafinen suunnittelija Leena Kurjenniska.[6]

Tunnetuimmat verkkopalvelut korjasivat haavoittuvuuden melko pian, mutta vähemmän käytetyissä oli monia, jotka eivät tehneet korjausta. Tietoturvayritys Errata Security löysi alun perin 600 000 Hearthbleed-haavoittunutta palvelinta. Kuukausi myöhemmin haavoittuvuus oli 300 000 koneessa, eikä määrä enää jatkossa olennaisesti vähentynyt. Heartbleedin arveltiin häviävän vähitellen seuraavan vuosikymmenen aikana, sitä mukaa kun vanhoja palvelimia vaihdetaan uusiin.[7]

  1. a b Pitkänen, Perttu: Oululaiset sorvasivat nimen ja logon: Näin superbugi tuotteistettiin Ilta-Sanomat (is.fi). 10.4.2014. Sanoma Media Finland Oy. Arkistoitu 20.1.2023. Viitattu 20.1.2023.
  2. a b Heartbleed-haavoittuvuus koskee useita suomalaisten käyttämiä palveluita. Kyberturvallisuuskeskus 11.4.2014. Viitattu 11.4.2014.
  3. Heartbleed-aukon tekijä paljastui: "Pikkuvirhe" Ilta-Sanomat (is.fi). 11.4.2014. Sanoma Media Finland Oy. Arkistoitu 20.1.2023. Viitattu 20.1.2023.
  4. Heartbleed.com. Codenomicon 11.4.2014. Viitattu 11.4.2014.
  5. Pitkänen, Perttu: Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä Ilta-Sanomat (is.fi). 10.4.2014. Sanoma Media Finland Oy. Arkistoitu 20.1.2023. Viitattu 20.1.2023.
  6. Leena Kurjenniska / Codenomicon 2014: Deutsch: Logo des Heartbleed-Bugs (vtrs tiketti: #2014041010020952) commons.wikimedia.org. 10.4.2014. Viitattu 28.10.2024.
  7. Heartbleed-paniikki kaikkosi – mutta liian aikaisin?. Digitoday 23.6.2014. Viitattu 24.6.2014.

Aiheesta muualla

[muokkaa | muokkaa wikitekstiä]