Isku paljasti www-tietoturvan puutteet - 300 000 iranilaista joutui Gmail-urkinnan kohteeksi

internet
Teksti
Lauri Vanhala

Verkkosurffaajien tietoturvassa on iranilaisen hakkerin mentävä aukko, sillä järjestelmä, jolla kotikoneen viestintä pankkiin tai sähköpostiin salakirjoitetaan, natisee liitoksissaan. Järjestelmän puutteet mahdollistivat ehkä jopa 300 000 iranilaisen käyttäjän Gmail-sähköpostin vakoilun heinä-elokuussa.


Iranilaisten hakkerointiyritys paljastui heidän yritettyään päästä käsiksi Googlen Gmail-sähköposteihin. Kuva Karen Bleier / AFP / Lehtikuva.

Elokuun lopussa Google sai kuulla iranilaisilta käyttäjiltä, että joku näyttää yrittävän seurata heidän sähköpostiliikennettään. Kun asiaa alettiin selvittää, jäljet johtivat Hollantiin pieneen Diginotar-yritykseen, joka myönsi joutuneensa tietomurron kohteeksi.

Diginotar on yksi sadoista yrityksistä, jotka myöntävät niin sanottuja ssl-sertifikaatteja. Ssl-sertifikaateilla on verkossa kaksi merkitystä: ne ovat avaimia, joilla tietoliikenne salakirjoitetaan niin, etteivät sivulliset pääse siihen käsiksi. Lisäksi niillä varmistetaan palveluiden aitous.

Hakkerit olivat iskeneet Diginotarin tietokoneille, ja käyttäneet niitä väärentääkseen satoja sertifikaatteja muun muassa Googlen, Twitterin ja Blogspotin sivustoille.

Murto oli vakava, sillä jos hakkeri saa käsiinsä verkkosivun ssl-sertifikaatin, hän voi sopivissa olosuhteissa seurata www-surffaajien liikennettä heidän tietämättään. Iranissa Gmailia yritettiin seurata 300 000 eri ip-osoitteessa, käy ilmi maanantaina julkistetusta Fox-IT-yhtiön kirjoittamasta raportista.

Paljastui, että Diginotar oli toivonut selviävänsä tietomurrosta kaikessa hiljaisuudessa. Se oli mitätöinyt kaikki väärennetyt salakirjoitusavaimet, mutta yksi oli jäänyt huomaamatta – se, jota joku yritti käyttää Gmail-tietomurtoon Iranissa.

Yksi kärsijöistä on Hollanti, jonka sisäministeriö joutui viikonloppuna tiedottamaan, että sen virallisilla sivuilla surffailu ei ehkä ole toistaiseksi turvallista.

Diginotarin oikeudet myöntää ssl-sertifikaatteja ovat jäissä ainakin toistaiseksi. Yrityksen käytännöistä on löydetty pahoja puutteita, todetaan Fox-IT:n raportissa. Yritys oli muun muassa huomannut tietomurron jo kesäkuun 19. päivänä, mutta ei ollut tehnyt asialle mitään. Ensimmäinen väärennetty sertifikaatti oli luotu vasta heinäkuun 10. päivänä.

Diginotar on poissa pelistä, mutta tietoturvaongelma säilyy edelleen. Mikä tahansa jäljellä olevista sadoista sertifikaatteja myöntävistä yrityksistä voi joutua vastaavan iskun kohteeksi kuin Diginotar.

Ongelma on hyvin tiedossa

Tietojen salaus verkossa perustuu pitkälti ssl-sertifikaatteihin, joita hallinnoi muutaman suuremman yrityksen ja satojen pienempien jälleenmyyjien verkosto. Järjestelmän ongelmat ovat hyvin tiedossa, ja esimerkiksi tietoturvayhtiö F-securen tutkimusjohtaja Mikko Hyppönen pohti ongelmaa yrityksen blogissa jo viime toukokuussa.

Valveutuneet internetkäyttäjät tietävät, että verkossa ei tule antaa mitään arkaluonteisia tietoja, kuten Visa-kortin numeroa, ilman, että yhteys on salattu. Tästä on helppo varmistua tarkistamalla, näkyykö ruudulla pieni lukkosymboli.

Pelkkä lukon kuva ei kuitenkaan paljasta sitä, onko sertifikaatti väärennetty vai ei. Ongelma on, että pienimpien jälleenmyyjien joukosta löytyy yrityksiä, joiden tietoturva ei ole kunnossa ja joiden järjestelmillä voi väärentää sertifikaatteja muiden tietämättä.

Esimerkiksi toukokuussa iranilaiset hakkerit tekivät väärennetyn sertifikaatin Googlen verkkosivustoille käyttämällä italialaista jälleenmyyjää. Kukaan ei huomannut, Hyppönen kirjoitti blogissa.

Tällä kertaa hakkerit iskivät hollantilaisen Diginotarin palvelimille, ja yrityksen vastoinkäymiset tulivat julki puolivahingossa.

Tietoturva-asiantuntijat kaipaavat edelleen vastausta ainakin kahteen kysymykseen: Miksi Diginotar ei kertonut vakavasta tietomurrosta ennen kuin jäi kiinni puolitoista kuukautta myöhemmin? Ja kuinka ihmeessä tietoturvayhtiö ei huomannut, että sen järjestelmillä oli myönnetty sertifikaatti Googlelle, joka ei ole aiemminkaan käyttänyt Diginotarin palvelua?

Ei todellista vaaraa Suomessa tai Hollannissa

Tietomurto tuli esiin Iranissa, minkä vuoksi syylliseksi on epäilty Iranin hallitusta. Salattua liikennettä ei voi tavallisesti seurata, ellei pääse fyysisesti käsiksi tietoliikenneyhteyksiin. Väärennetyistä sertifikaateista aiheutuva riski on siksi vaatimaton esimerkiksi Suomessa.

Kun hakkeri haluaa salakuunnella yhteyttä, hän ohjaa uhrin liikenteen kulkemaan oman koneensa kautta. Hakkerin tietokone vaihtaa aidon sertifikaatin väärennettyyn, jolloin uhri näkee edelleen lukkosymbolin – ja hakkeri pääsee käsiksi bitteihin.

Tämän jälkeen hakkerin kone voi automaattisesti kaapata esimerkiksi kaikki verkkopalveluiden salasanat tai luottokorttinumerot.

Lähteet: NYT, Reuters, F-secure