Jättimäinen nettiaukon korjausurakka valmis – Cert-fi ohjasi
2
Suomen tietoturvaviranomainen Cert-fi on saanut päätökseen urakan, jossa paikattiin erittäin vakava turva-aukko internetin perustekniikasta. Cert-fi koordinoi yli vuoden kestänyttä paikkausurakkaa, jossa oltiin yhteydessä yli 60 ohjelmistovalmistajaan. Lukuisat valmistajat ovat nyt paikanneet tuotteistaan tcp-aukon, joka olisi ollut voimakas ase esimerkiksi nettisodassa.
Cert-fi kertoo, että projekti alkoi hieman yli vuosi sitten elokuussa 2008. Ruotsalaisen tietoturvayhtiön Outpost24:n Jack Louis ja Robert Lee löysivät pahan turva-aukon tcp-protokollasta, jota käytetään valtaosassa internetin liikenteestä. He raportoivat asiasta Cert-fi:lle, joka ryhtyi koordinoimaan aukkojen kajausta.
Yksityiskohtia ei voitu julkaista julkisesti, sillä silloin rikollisien ja nettihyökkääjien käyttöön olisi annettu voimakas ase. Cert-fi ohjasi turva-aukon paikkaamista suoraan haavoittuvien ohjelmistojen valmistajien kanssa. Ongelma oli se, että tcp-tekniikkaa löytyy lähes kaikista tietokoneohjelmista. Cert-fi löysi yli 60 ohjelmistovalmistajaa, joiden tuotteissa voisi olla ongelmia, ja otti niihin yhteyttä.
Paha hyökkäysmahdollisuus on nyt tukittu
Valmistajat ovat korjanneet tcp-ongelmaa ohjelmistaan ja tuotteistaan noin vuoden ajan, ja työ on vihdoin valmis. Cert-fi kertoo, että useat ohjelmistovalmistajat ovat julkaisseet ohjelmistokorjauksia ja aiheeseen liittyviä tiedotteita. Korjauksia julkaisseiden valmistajien joukossa ovat muun muassa Microsoft, Cisco ja palomuurivalmistaja Checkpoint.
Tcp-protokollan turva-aukko mahdollistaa palvelunestohyökkäyksen, jolla kohdekoneen olisi saanut helposti aivan tukkoon. Turva-aukkoa olisi voitu käyttää esimerkiksi rikollisten kiristyshankkeisiin tai vaikkapa nettisodankäyntiin.
Cert-fi kertoo sivuillaan tarkempia tietoja ongelmasta. Sivuilla on myös raportti korjaustyön etenemisestä.
