IBM web-uhkista: Adobe jo pahempi kuin Microsoft
0
IBM jakaa tietoturvaraporttiaan pdf-formaatissa. Se kuitenkin suosittelee, että yritysten kannattaisi analysoida verkossa myös pdf-tiedostot ja pitää Adoben ohjelmat paremmin ajan tasalla.
Tietotekniikkayhtiö IBM on julkistanut vuosittaisen tietoturvaraporttinsa haavoittuvuuksien riskeistä erityisesti yritysten tietohallinnon näkökulmasta. Vuonna 2009 ohjelmistoissa paljastuneet haavoittuvuudet jopa hieman vähenivät aiemmasta.
Huolta aiheuttaa kuitenkin web-pohjaisten uusien uhkien voimakas nousu, johon yritykset ovat IBM:n mukaan varautuneet heikosti.
Vanhempi tietoturva-asiantuntija Niklas Blomquist IBM:stä sanoo, että palvelin- ja selainpään webin haittaohjelmat ja haavoittuvuudet ovat vaarallisia, koska http-liikenne kulkee palomuureista läpi.
Blomquist työskentelee Ruotsissa yhtiön X-Force-tiimissä, joka on seurannut haavoittuvuuksia ja tietoturvauhkia 12 vuoden ajan. IBM työllistää eri puolilla maailmaa peräti 15 000 tietoturva-asiantuntijaa.
”Microsoft-asiakirjaformaatit eivät ole enää uhkien ensimmäisellä sijalla”, sanoo Blomquist.
Microsoft ja yritykset ovat käyttäneet paljon rahaa esimerkiksi Office-uhkista suojautumiseen, ja käyttäjistä on tullut varovaisempia. Sen sijaan esimerkiksi pdf-tiedostoja ei tarkisteta usein lainkaan, ja käyttäjät pitävät niitä turvallisina. ”Ne klikataan aina heti auki”, kärjistää Blomquist.
Web-uhkien nelikentässä IBM arvioi helpoiksi kohteiksi muun muassa Firefox-haavoittuvuden, Adobe Readerin ja pdf-aukot sekä muutamat IE- ja Windows-reiät.
Vuoden 2009 raportissa nousevat erityisesti esille uhkat, joita on sekä halpaa hyödyntää että mahdollista myös käyttää tietojen varastamiseen ja haittaohjelmien levittämiseen. Tässä nelikentän epämieluisassa nurkassa ovat yhä Windows-haavoittuvuudet, mutta erityisesti myös Adobe Flashilla tehdyt sovellukset ja pdf-asiakirjat. Yksi Firefox-reikäkin nousi viime vuonna hälyttävälle tasolle.
Blomquistin mielestä se ei toimi, että Flashit ja pdf:t vain kielletään. Activex-tekniikkaakin yhä käytetään monissa sovelluksissa. ”Yritysten pitäisi hyödyntää työkaluja, joilla haittakoodi tunnistetaan verkossa. Web-suodattimet voivat myös auttaa. Päivitysten pitäisi olla paremmin ajan tasalla.”
Monissa organisaatioissa web-selain ja Windows päivitetään säännöllisesti, mutta Adoben pdf-lukijalle ei ole aktivoitu automaattista päivitystä.
Niklas Blomquist sanoo, että vaikka Mozilla Firefoxissa onkin paljastunut haavoittuvuuksia, Mozilla-säätiö on korjannut ne Microsoftia paremmin. Auttaisiko sitten selaimen vaihtaminen?
”Tällä hetkellä Internet Exploreriin hyökätään eniten, mutta jos moni vaihtaa toiseen selaimeen, sekin kiinnostaa heti rikollisia. Ohjelman vaihtaminen luo valheellista turvallisuuden tunnetta”, sanoo Blomquist.
Sosiaalisen median hyökkäykset lisääntyvät muun muassa Facebookissa, Linkedinissä ja Twitterissä. Blomquistin mukaan näiden käytön kieltäminen ei kuitenkaan toimi, koska sitten ihmiset käyttävät aikansa kiertoteiden etsimiseen.
”Ihmisiä kannattaa kouluttaa ja sivistää. Heidän pitää ymmärtää, ettei yrityksen asioita saa kirjoitella mihin tahansa. Tietoja voidaan kerätä eri lähteistä ja hyödyntää huijauksissa. Ihmisten pitää oppia olemaan epäluuloisempia.”
Julkisuuteen on tullut tapauksia, joissa erityisesti Linkedin-palvelun kautta on etsitty yritysten päälliköiden ja johtajien nimiä, ja näiden tietojen avulla on sitten kehitelty sosiaalisia huijauksia. Usein työntekijät ovat itse möläytelleet työasioitaan verkossa.
Ohjelmistovalmistajiin lisää painetta
Applen ohjelmistoissa tuli vuonna 2009 julki enemmän haavoittuvuuksia kuin Sunin ja Microsoftin ohjelmistoissa, arvioi IBM. Se arvioi itselleen 4. sijan. Ranking kertoo osuuden kaikista haavoittuvuuksista.
Viime vuoden IBM:n raportissa Apple on paljastuneiden haavoittuvuuksien listalla ykkösenä muun muassa Microsoftin edellä. Blomquistin mukaan OS X -käyttäjiä suojaa se, että heitä on vielä niin vähän. ”Tällainen tietoturva-ajattelu ei kanna pitkälle, jos käyttäjämäärä kasvaa.”
Julkisuudessa on ollut paljon kohua kohdennetuista hyökkäyksistä. Blomquist huomauttaa, että ne ovat koskeneet pientä määrää yrityksiä. Suurimmalle osalle niin pieniä kuin suurempiakin organisaatioita ongelmana on heikko suojautuminen web-uhkia vastaan. Pienissä yrityksissä hankaluus on lisäksi se, ettei omaa tieturvaosaamista ole. Siksi luotettava kumppani on tärkeä.
Usein ongelmana on se, että yrityksen käyttämä ohjelmisto on päivitetty, mutta siihen asennetut kolmansien osapuolten laajennukset eivät ole. X-Force-raportin mukaan esimerkiksi Apache-palvelimen haavoittuvuuksista reilu joka viides oli korjaamatta, mutta laajennuksista korjaamatta oli lähes yhdeksän kymmenestä. Suositun Wordpress-blogialustan haavoittuvuuksista vain 13 prosenttia oli päivittämättä, mutta laajennuksista korjaamatta jäi peräti 57 prosenttia.
”Sellaista ohjelmistoa ei kannata käyttää, johon ei saada päivityksiä varmasti myös laajennuksiin. Ohjelmiston valmistajaan kannattaa pistää painetta. Jos softan tekijä menettää rahaa korjauksen puuttumisen takia, paine kasvaa.”
IBM:n X-Force 2009 -uhkaraportti julkaistaan maksutta luettavaksi webissä rekisteröityneille käyttäjille.
Web-sovellusten haavoittuvuuksia on IBM:n mukaan jo lähes 19 000. Usein ne liittyvät selainten ja palvelinsovellusten kolmansien osapuolten laajennuksiin, joita korjataan hitaasti, tai joskus ei lainkaan.
