PiTuKri – tietoturvatyökalu meille kaikille

PiTuKri on Pilvipalveluiden Turvallisuuden arviointiKriteeristö. PiTuKrin tavoitteena on edistää viranomaisten salassa pidettävän tiedon turvallisuutta.

Unohdetaan hetkeksi tuo viranomaisnäkökulma. Kyseessä on oikeasti moniopuolinen ja hyödyllinen työkalu esim. yritysjohdolle, asiantuntijoille ja alaa opiskeleville – meille kaikille.

IT-palvelun hankinnassa PiTuKrista on valtava apu. Dokumentista voi ottaa suuntaa, millaisia tietoturvavaatimuksia uudelle IT-palvelulle asetetaan.

IT-palvelun tarjoaja voi puolestaan arvioida oman palvelunsa tietoturvallisuutta. Ja varautua siihen, millaista tietoturvaa palvelulta saatetaan edellyttää.

Opiskelumateriaalinakin PiTuKria voi hyödyntää. PiTuKrin avulla voi oppia:

  • millaisista osa-alueista pilvipalvelun tietoturva muodostuu,
  • millaisia suojaustavoitteita tiedoille, tietojärjestelmille ja laitteistoille voidaan asettaa,
  • mitä toimenpiteitä vaaditaan, jotta suojaustavoitteet voidaan täyttää?

PiTuKri myös muistuttaa, kuinka monipuolinen, mielenkiintoinen ja haastava kokonaisuus tietoturvallisuus on.

PiTuKri on työkalu, josta on monipuolisesti hyötyä meille kaikille.

Lataa Pilvipalveluiden turvallisuuden arviointikriteeristö Kyberturvallisuuskeskuksen sivuilta. Lue myös Tunnetko jo PiTuKrin?

Miksi Log4shell-tietoturvaongelma on niin vaarallinen?

Log4j-järjestelmästä löydettiin vaarallinen tietoturvaongelma eli haavoittuvuus joulukuussa 2021. Mikä tekee tästä Log4shell-haavoittuvuudesta niin vaarallisen? Alla on kuvattu ongelmaa eri näkökulmista. Kirjoitin myös aikaisemmin, mistä Log4j-tietoturvaongelmassa on kyse.

Tilanteen ymmärtämisen vaikeus

”Vaikuttaako Log4shell-tietoturvaongelma meihin?” taisi olla yleisimpiä kysymyksiä organisaatioissa, kun tieto haavoittuvuudesta julkaistiin. Ei muuta kuin kyselemään IT-asiantuntijoilta ja palveluntarjoajilta.

Vastauksen löytäminen ei kuitenkaan ole ihan yksinkertaisin asia. Log4j on yksittäinen taustajärjestelmän osa, komponentti, jonka olemassaolosta ei välttämättä ole edes tietoa. Vaikka Log4j ei olisikaan otettu suoraan käyttöön ”asenna Log4j” -tyyppisesti, niin se saattaa silti asentua jonkin toisen ohjelman kylkiäisenä. Kannattaa tutustua Googlen mielenkiintoiseen selvitykseen aiheesta.

Laaja levinneisyys

Log4j on yleisesti ja laajasti käytössä ympäri maailmaa. Laajaa levinneisyyttä kuvaa hyvin se, että netissä on julkaistu erilaisia listoja, joista löytyy tietoja, onko jokin tietty sovellus altis tietoturvaongelmalle. Pari listaa on saatavilla esim. tästä Kyberturvallisuuskeskuksen haavoittuvuustiedotteesta.

Asennuksia löytyy myös muualta, kuin perinteisistä nettipalveluista. Esimerkiksi Trendmicro on tutkinut Log4shell-haavoittuvuuden vaikutuksia autoihin asennetuissa järjestelmissä ja latausasemissa.

Helppo löydettävyys

Kuka tahansa voi etsiä haavoittuvia Log4j-asennuksia internetistä. Haavoittuvuuden etsiminen ei edellytä esim. käyttäjätunnuksia palveluun. Esimerkiksi Microsoft on havainnut, että rikolliset hyödyntävät mm. olemassa olevia botnet-verkkojaan löytääkseen haavoittuvia Log4j-asennuksia internetistä.

Toiminnan automatisointi

Haavoittuvien palveluiden etsiminen ja niihin hyökkääminen voidaan automatisoida. Tämän takia esimerkiksi pienemmät firmat eivät voi ajatella, että he eivät ole rikollisten kiinnostuksen kohde. Automaattista hyökkäystyökalua ei kiinnosta, onko uhrina iso vai pieni organisaatio.

Vaadittava nopeus

Tietoturvaongelma ja todiste toimivasta hyökkäyskoodista tuotiin julkisuuteen yhtä aikaa (lähde Lunasec). Kyseessä on siis niin sanottu nollapäivähaavoittuvuus. Kun tämä yhdistetään helppoon löydettävyyteen ja automatisointiin, on kaaoksen ainekset kasassa. Suojaukset ja korjaukset on kehitettävä ja otettava käyttöön nopeammin, kuin rikolliset ehtivät tilaisuutta hyödyntämään.

Monipuoliset haittavaikutukset

Log4shell-haavoittuvuuden avulla hyökkääjä voi ajaa itse valitsemiaan hyökkäyskomentoja kohteessa. Näin hyökkääjä voi esim. ohittaa suojauksia ja saada pääsyn muihin järjestelmiin. Hyvä yleiskuvaus vaikutuksista löytyy Kyberturvallisuuskeskuksen haavoittuvuustiedotteesta.

Haastavat jälkiselvitykset

Jos organisaatiosta löytyy järjestelmiä, jotka ovat alttiita Log4shell-ongelmalle, tulisi näille järjestelmille tehdä tietomurtotutkinta. Tutkinnan tarkoituksena on selvittää, onko haavoittuvuutta ehditty käyttää hyväksi. Ja jos on, niin miten? Tietomurtotutkinta on vaativaa asiantuntijatyötä. Lisäksi pitää arvioida riskit henkilötiedoille.

Log4shell-haavoittuvuudessa yhdistyy monta eri tekijää, jotka muodostavat yhdessä vaarallisen kokonaisuuden.

Log4j-tietoturvaongelma – tästä on kyse

Log4j-järjestelmään liittyvä tietoturva-aukko on poikkeuksellisen vaarallinen. Ongelman korjaaminen on aiheuttanut valtavaa liikehdintää eri organisaatioissa ympäri maailmaa. Lue alta, mistä tässä ongelmassa on kyse.

Mikä on Log4j?

Log4j on nettipalvelun taustajärjestelmän osa, joka vastaa nettipalvelun lokitietojen käsittelystä. Lokitietoa muodostuu aina, kun käytät nettipalvelua. Lokitieto kertoo palvelun ylläpitäjälle, miten palvelu toimii ja miten palvelua on käytetty. Esim. mitä sivuja on avattu (kts. kuvio alta). Lokeihin kirjautuu myös palveluun liittyvät virhetilanteet yms. tekniset asiat.

Miksi tämä tietoturva-aukko on vaarallinen?

Tietoturva-aukon sisältävä lokijärjestelmä on laajasti käytössä ympäri maailmaa. Tietoturva-aukkoon on mahdollista hyökätä yksinkertaisella keinolla, mistä päin internetiä tahansa. Valitettavasti keinot ja esimerkki hyökkäyksen toteuttamisesta on myös julkaistu internetissä. Jos rikollinen onnistuu hyökkäyksessään, hänellä on laaja pääsy kohdejärjestelmään.

Pitääkö nyt tehdä jotain?

Yksittäinen kansalainen ei voi tehdä Log4j-ongelmalle mitään. Sen sijaan suurin vastuu on nyt IT-järjestelmien tekijöillä ja IT-palveluiden ylläpitäjillä. Järjestelmiin on tehtävä korjauksia. Kun järjestelmien tietoturvapäivitykset tulevat saataville, on kaikkien asennettava ne viipymättä.

On arvioitu, että Log4j-ongelman ongelman selvittely ja korjaaminen tulee jatkumaan pitkään maailmalla. Ongelman todelliset vaikutukset tulee näkymään vasta myöhemmin.

Miten Log4j tietoturva-aukkoon hyökätään?

Oheisessa kuviossa on esitetty esimerkinomaisesti, miten Log4j tietoturva-aukkoon hyökätään.

Log4 esimerkki

Verkkopalvelun vierailijat käyttävät palvelua normaalisti, ja siitä tallentuu merkintöjä lokijärjestelmään. Järjestelmässä oleva tietoturva-aukko mahdollistaa kuitenkin sen, että tietyllä tavalla muotoillut haittakoodit latautuvat lokijärjestelmään virheellisesti. Rikollinen syöttää haittakoodin mukana tiedon siitä, missä rikollisen hyökkäyspalvelin sijaitsee. Lokijärjestelmä käsittelee tiedon virheellisesti, ja merkinnän sijaan avaakin yhteyden rikollisen hyökkäyspalvelimelle. Sitä kautta rikollinen saa etäyhteyden verkkopalvelun taustajärjestelmään ja voi näin asentaa esimerkiksi haittaohjelmia verkkopalveluun.

Lisätietoja esim. Kyberturvallisuuskeskuksen nettisivuilta.

Piirros on asiantuntijan lahja maailmalle

Asiantuntijoiden kannattaa avata ajatuksiaan kuvioiksi. Piirros mahdollistaa monta asiaa.

Esimerkki: Tietojärjestelmän ylläpitäjänä tiedät, miten järjestelmä on rakennettu. Tiedät mistä palasista kokonaisuus muodostuu, miten tieto liikkuu palasten välillä ja mihin tieto lopulta päätyy.

Jossain vaiheessa tulee hetki, kun kokonaisuus on avattava muille. Syy voi olla esimerkiksi järjestelmäkokonaisuuden kehitystyö, perehdyttäminen, henkilövaihdokset tai ulkopuolisen asiantuntijan hyödyntäminen.

Olet melkoinen taikuri, jos pystyt selostamaan kokonaisuuden muille niin, että he ymmärtävät sen.

On monta hyvää syytä sille, että asiantuntijoiden päässä oleva tieto muutetaan tekstiksi tai kuvioksi.

Kuvauksen hyötyjä:

(no pakkohan tähän oli kuvio tehdä 🙂 )

Oman ajatuksen selkeyttäminen

Tietojärjestelmiin liittyvien asioiden pohdinta on usein monipuolisempaa, kun asiat kirjaa paperille. Ajatustasolla selvä juttu ei olekaan todellisuudessa niin selvä.

Huomaan tämän itse käytännön työssä. Olen havainnut, että piirtämisen yhteydessä tulee huomioitua myös sellaisia asioita, joita ei ajatustasolla osannut huomioida.

Olen kuullut sanottavan, että kirjoittaminen on ajattelua. Teksti on hyvä, mutta kuva on parempi. Piirtäminenkin on ajattelua!

Kuvaus mahdollistaa keskustelun

Asiaa on helpompi pohtia yhdessä, kun kaikki näkevät saman kuvauksen. On paljon helpompaa puhua yhteisestä kuvasta, kuin pelkästä tekstistä tai toisen selostuksesta. Kuvasta kohti keskustelua:

  • Miksi teemme asian noin?
  • Miksi tieto liikkuu tuota kautta?
  • Miksi samaa tietoa tallennetaan kahteen paikkaan?
  • Miksi tietoliikenne on salattu tuolla, mutta ei täällä?

Osaamisen jakaminen – toiminnan jatkuvuus

Hyvästä kuvasta saa nopeasti yleiskäsityksen organisaation tietojärjestelmistä ja niiden välisistä yhteyksistä. Kuvausta on mahdollista käyttää esimerkiksi uuden työntekijän perehdyttämisessä tai ulkopuolisen avun hyödyntämisessä. Konsultti kiittää ja apua saa nopeammin.

Erityisesti tietojärjestelmien osalta ei ole järkevää, että kaikki tieto on vain yhden henkilön päässä. Yrityksen kannalta on olennaista, että tieto on muidenkin hyödynnettävissä. Järjestelmästä vastaava asiantuntija voi esimerkiksi sairastua tai lähteä yrityksestä. Toisen henkilön on hankala ottaa kokonaisuutta haltuun, jos sitä ei ole kuvattu. Yksinkertainenkin kuvaus voi pelastaa yrityksen isoilta ongelmilta.

Piirtäkää perkele!

Vasara avuksi riskienhallintaan

Nurkissa pyöri muutama vanha kiintolevy, joille piti löytää uusi osoite. Eikun DBAN-sovellus pyörimään ja levyt täyteen random-dataa.

Kiintolevyn tiedostot tulee poistaa kunnolla, kun levy on lähdössä uudelle omistajalle tai kierrätykseen. Pelkkä käyttöjärjestelmän Poista-komento ei riitä.

Tiedoston poistaminen ei siis poista tiedostoa!

Ylen loistavassa Team Whack -hakkerisarjassa näytetään, mitä tietoa levyiltä on palautettavissa. Tavallisesti poistettujen tiedostojen palauttaminen on myös kotioloissa melko yksinkertaista.

Palautustoimenpiteitä vastaan voidaan suojautua usealla tavalla. Yritysmaailmaan vinkkejä voi ottaa esimerkiksi Kyberturvallisuuskeskuksen ohjeesta ”Kiintolevyjen elinkaaren hallinta – Ylikirjoitus ja uusiokäyttö

Yksi kiintolevyistäni oli sen verran huonossa kunnossa, että ylikirjoitus ei onnistunut luotettavasti. Riskinä oli, että tiedostot voidaan palauttaa kotikonstein. Tämän takia edellä mainittua kirjainyhdistelmää piti hieman soveltaa:

Drill, Bang and Neutralize.

kiintolevyn tuhoaminen

Riskiarvio oikaistiin vasaralla.