Heartbleed-haavoittuvuus

Kohteesta Wikipedia
Loikkaa: valikkoon, hakuun
Heartbleed-haavoittuvuuden logo.

Heartbleed-haavoittuvuus on 7. huhtikuuta 2014 paljastunut tietoverkkojen OpenSSL-kirjastoja koskeva haavoittuvuus. Aukon virallinen nimi on CVE-2014-0160, mutta se tunnetaan nimellä Heartbleed.[1] Se aiheuttaa verkkopalveluille monia riskejä, koska haavoittuvuuden kautta saattoi vuosien ajan vuotaa sekä palvelun käyttäjien salasanoja ja käyttäjätunnuksia sekä salatun yhteyden luomista varten tarvittava palvelinsertifikaatin salausavain. Hyökkääjä voi tällöin urkkia käyttäjien käyttäjätunnuksia.[2] Haavoittuvuuden koodasi saksalainen Robin Seggelman uutenavuotena 2011.[3]

Haavoittuvia OpenSSL-kirjastoja käyttäneistä palveluista on vaihdettava salasanat, mutta vasta sen jälkeen, kun palvelun haavoittuvuus on korjattu. Mahdollisuus palvelinsertifikaatin salausavaimen vuotamiseen aiheuttaa verkkourkintariskin. Suomalaisten käyttämiä tälle haavoittuvuudelle altistuneita palveluja ovat Google, Facebook, Instagram, Pinterest, Tumblr, Yahoo, Amazon.com, Dropbox, GitHub, SoundCloud ja Wikipedia.[2]

Haavoittuvuuden löysivät samanaikaisesti oululaisen tietoturvayhtiö Codenomiconin tutkijat Riku, Antti ja Matti sekä Google Securityn tutkija Neel Mehta.[4][5] Löytäjät myös tuotteistivat haavoittuvuuden luomalla sille nimen ja logon.[1]

Tunnetuimmat verkkopalvelut korjasivat haavoittuvuuden melko pian, mutta vähemmän käytetyissä oli monia, jotka eivät tehneet korjausta. Tietoturvayritys Errata Security löysi alun perin 600 000 Hearthbleed-haavoittunutta palvelinta. Kuukausi myöhemmin haavoittuvuus oli 300 000 koneessa, eikä määrä enää jatkossa olennaisesti vähentynyt. Arvellaan, että Heartbleed häviää vasta vähitellen seuraavan vuosikymmenen aikana, sitä mukaa kun vanhoja palvelimia vaihdetaan uusiin.[6]


Lähteet[muokkaa | muokkaa wikitekstiä]

  1. a b Oululaiset sorvasivat nimen ja logon: Näin superbugi tuotteistettiin. Digitoday 10.4.2014. Viitattu 11.4.2014.
  2. a b Heartbleed-haavoittuvuus koskee useita suomalaisten käyttämiä palveluita. Kyberturvallisuuskeskus 11.4.2014. Viitattu 11.4.2014.
  3. Heartbleed-aukon tekijä paljastui: "Pikkuvirhe". Digitoday 11.4.2014. Viitattu 11.4.2014.
  4. Heartbleed.com. Codenomicon 11.4.2014. Viitattu 11.4.2014.
  5. Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä. Digitoday 10.4.2014. Viitattu 11.4.2014.
  6. Heartbleed-paniikki kaikkosi – mutta liian aikaisin?. Digitoday 23.6.2014. Viitattu 24.6.2014.

Aiheesta muualla[muokkaa | muokkaa wikitekstiä]