Lokakuussa 2017 löydettiin KRACK-haavoittuvuus, joka vaarantaa Wi-Fi -verkkojen turvallisuuden.
Haavoittuvuuksia julkaistaan harva se päivä. Yleensä ne jäävät tietoturvasisäpiirin tietoon monimutkaisen teknisen jargonin taakse. Merkittävimmät niistä saattavat nousta otsikkotasolla käsiteltäviksi yritysten it-palavereissa. Tänään julkisuuteen tullut KRACK on kuitenkin oiva tilaisuus selvittää käsitettä Defense in depth ja miksi se taas kerran on tärkeää ja miksi se pitää sekä teknisesti että toimintaperiaatteellisesti iskostaa ja jalkauttaa. Sen lisäksi tämä on oiva tilaisuus taas kerran kertoa miksi argumentti ”tämähän on sisäverkkoa” ei enää päde.
KRACK on haavoittuvuus, jonka belgialaistutkijat on löytäneet kesän/syksyn 2017 aikana ja joka julkaistiin 16.10.2017 https://www.krackattacks.com/ . KRACK kohdistuu WLAN-verkkojen (Wi-Fi) salaukseen, tuttavallisemmin WPA2-salaukseen. Haavoittuvuus ei ole tietyn merkkisen laitteen ongelma, vaan kaikissa laitteissa olevan WPA2-salaustoteutuksen ongelma. Käytännössä tämä koske kertarysäyksellä kaikkien modernilla salauksella varustettujen Wi-Fi-yhteyksien tietoturvaa.
Hyväksikäyttömenetelmä ratkaisee
Kun tämä shokkiuutinen on saatu alta pois pitää sanoa näin – KRACK on haavoittuvuus, johon ei vielä tätä kirjoittaessa ole mitään yksinkertaista hyväksikäyttötapaa. Medialukutaidon lisäämiseksi on tässä hyvä kerrata, että haavoittuvuus on kurja juttu, mutta hyväksikäyttömenetelmä (ja sen helppous tai vaikeus) on se, jota pitää seurata. Jos helpoja hyväksikäyttötapoja tulee markkinoille, ovat yrityksen sisäverkot uhanalaisia. Mielestäni julkiset verkot eivät ole yhtä lailla kriittisiä, siksi että julkisissa verkoissa (kahvilat, kirjastot, kaupungit, lentokentät) käytetään eniten loppukäyttäjille kohdistettuja palveluita – Facebook, Google, erilaiset webmailit jne. Nämä on kaikki oletusarvoisesti suojattu TLS-protokollalla (suomeksi https) ja kaikissa näissä palveluissa on oikeat seritifikaatit – tarkoittaen, että selaimet näyttävät vihreitä asioita käyttäjälle. Kun uhkamalli yksittäiselle käyttäjälle – siis uhka siitä, että juuri sinut on valittu kohteeksi ja juuri siitä kahvilasta missä sinut on nyt nähty, on viitsitty rakentaa tarvittavat kyvykkyydet murtaa yhteytesi – on kaukainen ja kovin pieni, uskallan siis sanoa, että julkiset verkot eivät ole yhtä lailla kriittisiä. Jos uhkamallisi kuitenkin on se, että olet kohde joka paikassa ja jokainen vuotanut viestisi voi olla potentiaalinen riski, et tietenkään käytä mitään julkisia Wi-Fi-verkkoja ja olet vienyt OpSecisi tarvittavalle tasolle. Tällöin olet esimerkiksi toimittaja, joka käsittelee kriittistä juttua.
Mikä on sisäverkkoni tila?
Kun siirretään keskustelu yritysten sisäverkkoon siirrytään samalla kuvitelmiin suojatusta ympäristöstä, jossa IT huolehtii siitä, että se mitä käyttäjä voi tehdä on turvallista ja kaikki on siten hyvin. Siirrytään myös ympäristöön joka on monimutkainen ja joka sisältää legacyä ja teknistä velkaa. Teknisestä velasta oli taannoin eräässä lehdessä juttua – siinä keskityttiin paljon ohjelmistotuotantoon, mutta tekninen velka pätee myös yritysten infraan. Yritystä vastaan kohdistuva uhkamalli on erilainen kuin yksityishenkilöön. Jos hyökkääjä valitsee kohteekseen yritysverkon, hän ei enää valitse yhtä käyttäjää seuraten häntä kahvilasta toiseen, vaan yhdestä yrityksestä kaikkia käyttäjiä. Hänellä on motiivi löytää yrityksestä heikkouksia, joita hän voi hyödyntää. Kaikki tarvittava löytyy yhdestä fyysisesti lokaatiosta ja hakkerin työ helpottuu valtavasti.
Mikä sitten on yrityksen sisäverkon ongelma ja mikä on tämä legacy ja tekninen velka josta puhun? Yrityksen sisällä käytetään usein self-signed -sertifikaatteja ja vieläkin kuulee väittämiä siitä, että https-liikenteen käyttö sisäverkossa on ihan turhaa siksi että se on sisäverkkoa ja määritelmällisesti turvallista. Jotkut ”tietoturvalaitteiden” toimittajat jopa suosittelevat että salaus poistetaan, jotta liikennettä on helpompi seurata ja tallentaa.
Miksi Defense in depth on tässä tärkeää
Defense in depth tarkoittaa nyt sitten kontekstissa seuraavia asioita – tietoturvakontrolleja joilla tässä tapauksessa huolehditaan niistä asioista jotka menee tavalla tai toisella rikki KRACK-haavoittuvuuden myötä:
- Sovella https-liikennettä kaikkialla, sillä muut tasot saattavat pettää (käänteisesti, älä luovu salauksesta muuallakaan, sillä joku päivä https pettää)
- Älä opeta käyttäjiäsi hyväksymään ”punaisia varoituksia” selaimessa – edes sisäverkossa – sillä tämä toimintamalli on tuhoisa luottamuksen kannalta
- Panosta oikeisiin SSL/TLS-sertifikaatteihin – kysymys on kuitenkin budjetäärisestä pyöristysvirheestä kun verrataan kustannuksia edes pieneen tietovuotoon – opeta käyttäjäsi siihen, että ”vihreä on hyvä” ja ”oikea vihreä tarkistetaan näin”
- Pidä aina Wifi-verkko erillisenä josta erikseen luvitat pääsyn yritysten palvelimille tai muille sisäverkon resursseille – älä sekoita langallista ja langatonta verkkoa. Näin sinulla on mahdollisuus jotenkin järkevästi ”katkaista johdot” tarvittaessa vain toisesta.
- Työntekijöiden on AINA käytettävä suojattua yhteyttä käyttäessää yrityksen palveluita muualta kuin yrityksen omista verkoista (VPN tai muu luotettava ja suojattu yhteys)
Defense in depth tarkoittaa siis suomeksi ja tietoturvassa sitä, että kaikki munat eivät ole samassa korissa. Yksittäisen kontrollin pettäessä kenenkään ei tarvitse menettää yöuniaan. Defense in depth on kuin perinteinen RAID-levyjärjestelmä – me siedämme hetkellisesti sen, että kaikki ei ole ihan 100% kunnossa menettämättä mitään.
Palataan KRACKiin. KRACK on juuri nyt teoreettinen uhka. Teoreettinen uhka siksi, että haavoittuvuus on todistetusti olemassa, mutta helppoja hyväksikäyttömenetelmiä ei ole. Joskus tilanne jää sellaiseksi, joskus taas tällaisia välineitä pullahtaa markkinoille hyvin nopeasti. Haavoittuvuus itsessään ei ole se syy, miksi nyt kannattaisi ryhtyä toimeen. Syy on se, että krackeja ja sen kavereita tulee ja menee – ja on jo tullut ja mennyt. Kukaan ei voi ennustaa mistä kohtaa löytyy seuraava haavoittuvuus ja mihin kohtaan hyökätään. Ehkä seuraavaksi joku todistaa, että yrityksemme virustutkaan ei voi luottaa? Ainiin.
Lopuksi
Lopuksi sana siitä, miksi näitä löydetään. Onko syy löytäjien? Ei, valkohattuinen tutkimustyö on hyvästä. Asioita julkistetaan, ja joskus tulee hätä. Se on ihan OK – useasti nämä asiat on saatettu laitetoimittajien (ja muiden) tietoon jo hyvissä ajoin. Jos laitetoimittajat eivät reagoi, vaihdetaan toimittajaa. Valkohattuinen tutkimustyö on siitäkin hyvästä, että on todennäköistä että tämä asia on jo tiedossa heillä, jotka eivät asiasta meille muille kerro. Hyvä että mekin nyt tiedämme.
Viestintäviraston Kyberturvallisuuskeskus on juuri julkaissut varoituksen haavoittuvuudesta sivuillaan. https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2017/haavoittuvuus-2017-033.html
Päivittyvä lista verkkolaitteisiin julkaistuista firmware-päivityksistä ja ajureista on puolestaan julkaistu BleepingComputerin sivuilla https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/
Ja lue erityisesti Q&A -osuus täältä – saat vastauksia joihinkin sellaisiin asioihin, joihin ei tässä kirjoituksessa otettu kantaa: https://www.krackattacks.com/
Sanastoa
- KRACK – lokakuussa 2017 julkaistu langattomien yhteyksien hyökkäysmenetelmä, ”Key Reinstallation Attack”, joka kättelyprosessin ongelman takia voi mahdollistaa salattujen yhteyksien kuuntelun
- WPA2 – yleisesti käytetty langattomien yhteyksien salaamisessa käytetty protokolla, ”Wi-Fi Protected Access II”, joka korvasi epäluotettavan WEP-salauksen
- Wi-Fi – myös WiFi, teknologia jolla muodostetaan rajatulle alueelle salattu tai salaamaton langaton verkko, Suomessa usein WLAN
- OpSec – ”Operations Security”, sotilastaustainen termi joka tässä kontekstissa tarkoittaa yksittäisen käyttäjän toimintamallia jolla hän pyrkii huolehtimaan omasta tietoturvasta, yksityisyydestä ja itsensä ja laitteistojensa suojaamisesta
- Defense in depth – kerrokselliset menetelmät organisaation tietoturvan rakentamisessa
- RAID – ”Redundant Array of Independent Disks”, useiden kiintolevyjen käyttäminen rinnakkain, jolla saavutetaan järjestelmän vikasietoisuus