Miksi Log4shell-tietoturvaongelma on niin vaarallinen?

Log4j-järjestelmästä löydettiin vaarallinen tietoturvaongelma eli haavoittuvuus joulukuussa 2021. Mikä tekee tästä Log4shell-haavoittuvuudesta niin vaarallisen? Alla on kuvattu ongelmaa eri näkökulmista. Kirjoitin myös aikaisemmin, mistä Log4j-tietoturvaongelmassa on kyse.

Tilanteen ymmärtämisen vaikeus

”Vaikuttaako Log4shell-tietoturvaongelma meihin?” taisi olla yleisimpiä kysymyksiä organisaatioissa, kun tieto haavoittuvuudesta julkaistiin. Ei muuta kuin kyselemään IT-asiantuntijoilta ja palveluntarjoajilta.

Vastauksen löytäminen ei kuitenkaan ole ihan yksinkertaisin asia. Log4j on yksittäinen taustajärjestelmän osa, komponentti, jonka olemassaolosta ei välttämättä ole edes tietoa. Vaikka Log4j ei olisikaan otettu suoraan käyttöön ”asenna Log4j” -tyyppisesti, niin se saattaa silti asentua jonkin toisen ohjelman kylkiäisenä. Kannattaa tutustua Googlen mielenkiintoiseen selvitykseen aiheesta.

Laaja levinneisyys

Log4j on yleisesti ja laajasti käytössä ympäri maailmaa. Laajaa levinneisyyttä kuvaa hyvin se, että netissä on julkaistu erilaisia listoja, joista löytyy tietoja, onko jokin tietty sovellus altis tietoturvaongelmalle. Pari listaa on saatavilla esim. tästä Kyberturvallisuuskeskuksen haavoittuvuustiedotteesta.

Asennuksia löytyy myös muualta, kuin perinteisistä nettipalveluista. Esimerkiksi Trendmicro on tutkinut Log4shell-haavoittuvuuden vaikutuksia autoihin asennetuissa järjestelmissä ja latausasemissa.

Helppo löydettävyys

Kuka tahansa voi etsiä haavoittuvia Log4j-asennuksia internetistä. Haavoittuvuuden etsiminen ei edellytä esim. käyttäjätunnuksia palveluun. Esimerkiksi Microsoft on havainnut, että rikolliset hyödyntävät mm. olemassa olevia botnet-verkkojaan löytääkseen haavoittuvia Log4j-asennuksia internetistä.

Toiminnan automatisointi

Haavoittuvien palveluiden etsiminen ja niihin hyökkääminen voidaan automatisoida. Tämän takia esimerkiksi pienemmät firmat eivät voi ajatella, että he eivät ole rikollisten kiinnostuksen kohde. Automaattista hyökkäystyökalua ei kiinnosta, onko uhrina iso vai pieni organisaatio.

Vaadittava nopeus

Tietoturvaongelma ja todiste toimivasta hyökkäyskoodista tuotiin julkisuuteen yhtä aikaa (lähde Lunasec). Kyseessä on siis niin sanottu nollapäivähaavoittuvuus. Kun tämä yhdistetään helppoon löydettävyyteen ja automatisointiin, on kaaoksen ainekset kasassa. Suojaukset ja korjaukset on kehitettävä ja otettava käyttöön nopeammin, kuin rikolliset ehtivät tilaisuutta hyödyntämään.

Monipuoliset haittavaikutukset

Log4shell-haavoittuvuuden avulla hyökkääjä voi ajaa itse valitsemiaan hyökkäyskomentoja kohteessa. Näin hyökkääjä voi esim. ohittaa suojauksia ja saada pääsyn muihin järjestelmiin. Hyvä yleiskuvaus vaikutuksista löytyy Kyberturvallisuuskeskuksen haavoittuvuustiedotteesta.

Haastavat jälkiselvitykset

Jos organisaatiosta löytyy järjestelmiä, jotka ovat alttiita Log4shell-ongelmalle, tulisi näille järjestelmille tehdä tietomurtotutkinta. Tutkinnan tarkoituksena on selvittää, onko haavoittuvuutta ehditty käyttää hyväksi. Ja jos on, niin miten? Tietomurtotutkinta on vaativaa asiantuntijatyötä. Lisäksi pitää arvioida riskit henkilötiedoille.

Log4shell-haavoittuvuudessa yhdistyy monta eri tekijää, jotka muodostavat yhdessä vaarallisen kokonaisuuden.

Log4j-tietoturvaongelma – tästä on kyse

Log4j-järjestelmään liittyvä tietoturva-aukko on poikkeuksellisen vaarallinen. Ongelman korjaaminen on aiheuttanut valtavaa liikehdintää eri organisaatioissa ympäri maailmaa. Lue alta, mistä tässä ongelmassa on kyse.

Mikä on Log4j?

Log4j on nettipalvelun taustajärjestelmän osa, joka vastaa nettipalvelun lokitietojen käsittelystä. Lokitietoa muodostuu aina, kun käytät nettipalvelua. Lokitieto kertoo palvelun ylläpitäjälle, miten palvelu toimii ja miten palvelua on käytetty. Esim. mitä sivuja on avattu (kts. kuvio alta). Lokeihin kirjautuu myös palveluun liittyvät virhetilanteet yms. tekniset asiat.

Miksi tämä tietoturva-aukko on vaarallinen?

Tietoturva-aukon sisältävä lokijärjestelmä on laajasti käytössä ympäri maailmaa. Tietoturva-aukkoon on mahdollista hyökätä yksinkertaisella keinolla, mistä päin internetiä tahansa. Valitettavasti keinot ja esimerkki hyökkäyksen toteuttamisesta on myös julkaistu internetissä. Jos rikollinen onnistuu hyökkäyksessään, hänellä on laaja pääsy kohdejärjestelmään.

Pitääkö nyt tehdä jotain?

Yksittäinen kansalainen ei voi tehdä Log4j-ongelmalle mitään. Sen sijaan suurin vastuu on nyt IT-järjestelmien tekijöillä ja IT-palveluiden ylläpitäjillä. Järjestelmiin on tehtävä korjauksia. Kun järjestelmien tietoturvapäivitykset tulevat saataville, on kaikkien asennettava ne viipymättä.

On arvioitu, että Log4j-ongelman ongelman selvittely ja korjaaminen tulee jatkumaan pitkään maailmalla. Ongelman todelliset vaikutukset tulee näkymään vasta myöhemmin.

Miten Log4j tietoturva-aukkoon hyökätään?

Oheisessa kuviossa on esitetty esimerkinomaisesti, miten Log4j tietoturva-aukkoon hyökätään.

Log4 esimerkki

Verkkopalvelun vierailijat käyttävät palvelua normaalisti, ja siitä tallentuu merkintöjä lokijärjestelmään. Järjestelmässä oleva tietoturva-aukko mahdollistaa kuitenkin sen, että tietyllä tavalla muotoillut haittakoodit latautuvat lokijärjestelmään virheellisesti. Rikollinen syöttää haittakoodin mukana tiedon siitä, missä rikollisen hyökkäyspalvelin sijaitsee. Lokijärjestelmä käsittelee tiedon virheellisesti, ja merkinnän sijaan avaakin yhteyden rikollisen hyökkäyspalvelimelle. Sitä kautta rikollinen saa etäyhteyden verkkopalvelun taustajärjestelmään ja voi näin asentaa esimerkiksi haittaohjelmia verkkopalveluun.

Lisätietoja esim. Kyberturvallisuuskeskuksen nettisivuilta.

Ransomware tietoisku ja posteri

Ohessa on tietoisku Ransomware eli kiristyshaittaohjelmista. Tein tietoiskun osana YAMK-opintojen Cybersecurity Management (kyberturvallisuuden hallinta) -kurssia. Tehtävänä oli tuottaa materiaalia sosiaalisen median tietoturvakampanjaa varten. Toinen osa tietoiskusta julkaistaan myöhemmin.

Lataa suomenkielinen Ransomware-posteri. Saatavilla on myös alkuperäinen englanninkielinen posteri.  Alla pieni esikatselukuva.

ransomware tietoisku

Ransomware eli kiristyshaittaohjelma ottaa haltuun tietokoneesi tai puhelimesi ja pyytää sinulta rahaa sen vapauttamiseksi.

F-Securen uhkaraportin mukaan yksi tietty kiristyshaittaohjelmaperhe oli vuoden 2014 jälkimmäisellä puoliskolla 10. suurin haittaohjelmauhka maailmassa. “Vasta kymmenes?” saatat pohtia.

Kyseinen haittaohjelmatyyppi on ollut huomattava ongelma viimeisen parin vuoden aikana. Havaituista uhista se saattaa olla jopa kaikkein ongelmallisin. (F-Secure 2014)

Näin Ransomware toimii

1. Saastuminen
Voit saada kiristyshaittaohjelman koneellesi saastuneesta sähköpostin liitetiedostosta tai päivittämättömän selainlaajennoksen kautta.

2. Salaus
Kiristyshaittaohjelma etsii koneeltasi mielenkiintoisia tiedostoja, kuten tekstidokumentteja, kuvia jne. Sitten ohjelma salakirjoittaa tiedostot niin, ettet voi käyttää niitä enää.

3. Kiristys
Haittaohjelma lukitsee koko laitteen ja pyytää rahaa. Käyttäjän on maksettava ajoissa tai hinta nousee.

4. Pelastus
Jos käyttäjä maksaa, tiedostot ehkä vapautetaan lukituksesta.

Miten suojaudun kiristyshaittaohjelmalta?

Paras suojaus kiristyshaittaohjelmia vastaan on pitää koneesi päivitettynä ja varmuuskopioida usein. Onko koneesi jo saastunut? Puhdista järjestelmä ja palauta kaikki tiedostot varmuuskopioista. Älä maksa rikollisille!

Lue lisää kiristyshaittaohjelmista poliisin, kyberturvallisuuskeskuksen ja F-Securen tekemältä sivustolta sekä F-Secure uhkaraportista H2/2014.

Tietoturvabingon lisäarvonta

Pelasin tässä taannoin tietoturvabingoa erään järjestelmän sekä sen asiakasohjelmiston kanssa. Ohjelmiston idea on näyttää koneelle kirjautuneelle käyttäjälle häneen itseensä liittyviä tietoja, jotka haetaan etäpalvelimelta. Halusin selvittää liikkuuko käyttäjän salasana selkokielisenä ohjelmistosta palvelimelle.

Voitto ei tällä kertaa osunut kohdalle, mutta pääsin sentään mukaan lisäarvontaan. Asiakasohjelmiston kansiosta löytyi nimittäin asetustiedosto, jonka sisältö hieman ihmetytti. Yhdellä rivillä luki näin:
”Tässä määritellään se käyttäjä, jonka tunnuksilla asiakasohjelmistoa ajetaan.”

Testimielessä vaihdoin kyseiselle asetusriville toisen käyttätunnuksen ja käynnistin ohjelmiston uudelleen. Harmikseni saatoin todeta näkeväni toisen käyttäjän tiedot ruudullani. Siis sellaiset tiedot, joiden kuuluisi näkyä vain käyttäjälle itselleen sekä järjestelmän pääkäyttäjälle. Taas ihmetytti..

Otin yhteyttä järjestelmän jälleenmyyjään.

Myyjän asiantuntija vastasi, ettei hän ollut tietoinen kyseisestä asetuksesta. Pyysi ottamaan yhteyttä järjestelmän tekijöihin. Asiantuntija ei siis tuntenut tarjoamansa ratkaisun asetustiedostoa? Edelleen ihmetytti.

Tästä hämmentyneenä lähetin sähköpostia tekijöille. Kyseessä on kuulemma järjestelmässä alusta asti mukana ollut kätevä ominaisuus, jonka avulla käyttäjä saa näkyville tietonsa, vaikka ei olisikaan omalla koneellaan. Voitto!

Seuraavaksi kun järjestelmät vuotaa ja tietoja leviää ulkopuolisille, niin minua ei enää ihmetytä.

Miksi tietokoneesi halutaan hakkeroida?

Olet varmasti joskus pohtinut miksi ihmeessä juuri sinun tietokoneesi haluttaisiin hakkeroida?

Eihän sillä tehdä mitään tärkeää eikä siellä säilytetä liikesalaisuuksia. ”Minulla ei ole mitään salattavaa” kuulee myös usein sanottavan.

Lähtökohtaisesti rikollisia ei kiinnosta se, mitä normaalin kotikäyttäjän koneella on. Sen sijaan heitä kiinnostaa se mitä kaikkea koneellasi voi tehdä. Kaikki millä on rahallista arvoa ovat kohteena verkkorikollisille.

Ohessa on kaavio, jonka tarkoituksena on esitellä eri syitä hakkeroida / kaapata tietokone. Kaaviossa on yhdistettynä sekä yritysmaailman että kotikäyttäjän koneisiin liittyviä asioita. Vaikka kaavio ei ole täydellinen ja se sisältää päällekäisyyksiä niin kaikki varmasti ymmärtävät, miksi oma kone kannattaisi suojata..

hack_pc_arvo

Kaavion on alunperin julkaissut Brian Krebs.
Hän pitää aiheeseen liittyvää blogia osoitteessa http://krebsonsecurity.com

Näin hakkerit hyödyntävät konettasi

Tässä vielä lyhyesti selostettuna kaaviossa esitetyt kohdat. Tätä kaikkea koneellasi voidaan tehdä, kun se on hakkeroitu:

Palvelin
Koneestasi voidaan tehdä palvelin, jossa ylläpidetään huijaussivustoja sekä jaetaan haittaohjelmia ja laitonta materiaalia.

Sähköposti
Hakkerit voivat hyödyntää konettasi myös sähköpostipalvelimena. Koneesi kautta lähetetään roskpostia ja huijausviestejä ympäri maailmaa. Sähköpostitililtäsi voi löytyä myös tietoja, joiden avulla hakkerit pääsevät yrityksesi tai työnantajasi palvelimille.

Liikesalaisuudet
Mikäli kyseessä on yrityksen tietokone, voi sinne olla tallennettuna liikesalaisuuksia kuten tuotetietoja, alustavia patenttihakemuksia, tutkimustuloksia jne. Nämä kaikki ovat rahanarvoista tietoa rikollisille ja kilpailijoille.

Virtuaalinen omaisuus
Koneeltasi voi olla pääsy verkkopelien rahoihin ja muihin hyödykkeisiin. Maailmalla liikkuu myös paljon haittaohjelmia, jotka keräävät lisenssikoodeja koneilta ja lähettävät ne eteenpäin.

Sosiaalinen media
Et varmasti hirveästi ilahtuisi jos joku esiintyisi sinun tai yrityksesi tunnuksilla sosiaalisessa mediassa?

Henkilökohtaiset asiat
Koneellasi saattaa olla tietojasi tai muita henkilökohtaisia dokumentteja. Et varmastikaan halua, että muilla olisi pääsy lastesi valokuviin?

Kiristäminen
Rikolliset saattavat asentaa koneellesi ns Ransomware ohjelmistoja, jotka pyytävät lähettämään rahaa tai muuten koneesi ei enää aukea. Ohjelmat saattavat myös uhata tyhjentää koneesi ellei rahoja makseta. Sinua voidaan kiristää myös kaapatun webbikameran kautta otettujen kuvien avulla.

Taloudelliset hyödykkeet
Suomessakin on tavattu erilaisia verkkopankkihaittaohjelmia sekä pankkitunnuksia utelevia sivustoja (kts. kohta Palvelin). Näiden lisäksi myös luottokorttitiedot ja verkkokukkarot ovat hyviä kohteita rikollisille.

Käyttäjätunnukset
Eri verkkopelien, verkkopalveluiden sekä palvelimien käyttäjätunnukset avaavat rikollisille uusia mahdollisuuksia hankkia rahaa.

Bot-verkko
Koneesi saatetaan liittää osaksi ns bot-verkkoa, jota käytetään mm roskapostin levittämiseen ja isojen verkkohyökkäysten tekemiseen. Rikolliset saattavat myös peitellä omia jälkiään kierrättämällä verkkoliikenteen sinuun koneesi kautta.