Haavoittuvuudesta tiedetään – mutta korjataanko se? - TigerTeam

Haavoittuvuudesta tiedetään – mutta korjataanko se?

Kirjoitti Juha-Matti Laurio 14. toukokuuta 2009

Jeremiah Grossman pohdiskeli viikonloppuna blogissaan yleisimpiä syitä siihen, miksi web-sivustoilta löytyneitä haavoittuvuksia ei korjata.

Hänen listaamiaan syitä ovat mm. seuraavat (ei tärkeys- tai yleisyysjärjestyksessä):

Organisaatiosta ei löydy henkilöä, jolla on ymmärrystä tai vastuu sivuston koodin ylläpitämisestä
Sivuston omainaisuuksien säilyttämistä pidetään turvakorjauksia tärkeämpänä
Sivusto tullaan uusimaan piakkoin
Haavoittuvan koodin omistaa kolmas osapuoli

Grossmanin mukaan on myös yleistä, että riski sivuston murtamisesta yksinkertaisesti hyväksytään tai organisaation compliance-vaatimukset eivät vain vaadi haavoittuvuuksien korjaamista.

Kaikkein ikävin tilanne on kirjoituksessa viimeksi mainittu tilanne, jossa koko organisaatiosta ei löydy tapauksesta tietävää tai tapauksen vastuulleen ottavaa henkilöä.

Tunnetun tietoturvavaikuttajan ja mm. WASC-konsortion perustajiin kuuluvan Grossmanin pohdiskelu herättää paljon mietittävää. Kirjoituksen kommentteihin jätetty havainto priorisoinnin vaikeudesta on arkipäivää myös Suomen oloissa. Nixun konsultit kohtaavat usein tilanteita, joissa organisaatio ei ole tietoinen kaikista palvelimilta löytyvistä web-sovelluksista. Sovelluksen olemassaolo paljastuu siis vasta kun tietoturvatarkastuksessa löydetään sovelluksesta haavoittuvuuksia.

Mitenkään tavaton ei ole tilanne, jossa tätä kautta organisaation tietoon tulleesta sovelluksesta ovat haavoittuvuudet olleet korjaamatta vuosikausia.