Oululaistutkimus ravisteli maailmaa

Riikka Kalsi

OULU Liikeideakilpailussa palkitun tietoturvayrityksen perustajat kuuluvat tutkijaryhmään, jonka tutkimustuloksista uutisoitiin maailmanlaajuisesti helmikuun puolivälissä.

Oulun yliopiston tietoturvallisen ohjelmoinnin ryhmä OUSPG (Oulu University Secure Programming Group) löysi vakavia ohjelmointivirheitä komponentista, joka sisältyy yli kahdensadan ohjelmistovalmistajan tuotteisiin.

Virheet löytyivät SNMP-protokollasta, joka on yleisimmin käytössä oleva verkonhallintaprotokolla.

Kyse on ohjelmistosta, jonka avulla käyttäjä voi tarkkailla tietoverkkoon kytkettyjen laitteiden tilaa ja säätää niiden asetuksia.

SNMP-protokollan varassa toimivat lähes kaikki tietoverkkoon kytketyt laitteet, esimerkiksi tietokoneet, tulostimet, skannerit, modeemit, palvelimet, reitittimet, digi-kamerat ja kommunikaattorit.

SNMP-protokollan ohjelmointivirhe aiheuttaa laitteen toimintahäiriöitä sekä mahdollistaa palvelunestohyökkäyksen ja jopa järjestelmän haltuunoton. Haavoittuvuutta hyväksikäyttäen hakkeri voi tunkeutua tietojärjestelmään, mikäli kaikkiin siihen kytkettyihin laitteisiin ei ole asennettu asianmukaista korjauspäivitystä.

Tieto oululaisten tutkimustuloksesta julkaistiin Yhdysvaltain hallituksen tukeman tietoturva-instituutin CERT:in kautta. Luotettavuuden varmistamiseksi tutkijat eivät yleensä julkaise haavoittuvaisuuksia itse, vaan kriisitiedottamisen hoitaa siihen erikoistunut organisaatio.

Yleensä haavoittuvaisuudet saatetaan yleisön tietoon vasta, kun ohjelmistovalmistajat ovat laatineet korjauspäivitykset omia tuotteitaan varten. Varomaton haavoittuvuuksien julkaisu antaisi vihjeen pahantahtoisille tahoille, mistä tietoturva-aukkoja kannattaa etsiä.

SNMP-protokollaa koskeva haavoittuvaisuus päätettiin kuitenkin julkistaa poikkeuksellisesti jo ennen kaikkien päivitysten valmistumista.

Julkaisupaineita aiheutti se, että hakkereiden tiedettiin jo valmistelevan kyseistä haavoittuvuutta hyödyntävää hyökkäysohjelmaa. Myös Salt Lake Cityn talviolympialaisten alkaminen tiukensi vaatimuksia tietoturvallisuuden suhteen. tehostaa varotoimenpiteitä.

Creative Commons -lisenssi
Artikkelin lähde Kaleva