Kuinka julkistaa haavoittuvuus vastuullisesti
Haavoittuvuusjulkistusrintamalla on maaliskuulta muutama kiinnostava esimerkki, joita on syytä tarkastella julkistuskäytäntöjen kannalta.
Maaliskuun alussa suomalaisen Baswaren maksuliikenneohjelmistoista paljastui kaksi tietoturva-aukkoa, jotka mahdollistivat mm. tekaistujen maksujen luomisen.
Haavoittuvuudet löytänyt tietoturva-asiantuntija Samuel Lavitt on kertonut raportoineensa aukoista valmistajalle jo lähes kolme vuotta sitten. Kyberturvallisuuskeskuksen tiedotteen julkaisuhetkellä haavoittuvuuksista toinen oli korjattu, toinen taas ei.
Eipä aikaakaan kun haavoittuvuuslöydöt olivat taas otsikoissa. Seuraavan viikon tiistaina uutisoitiin poliisin pidättäneen kolme henkilöä, jotka olivat kertoneet Teknologian kehittämiskeskus Tekesille hieman aikaisemmin löytämästään haavoittuvuudesta. Tapauksen tekee erikoiseksi se, että kolmikko oli aukkoa hyödyntäen ladannut hakemusjärjestelmästä tuhansia hakemuksia.
Kuun puolivälissä puolueen nettisivuilla oli asetustiedosto, joka sisälsi toimivia ylläpitosalasanoja. Uutisointi sisälsi tietoja, jotka todentavat että kirjautumisen takana olevia henkilötietoja ja kommunikaatiota oli tarkasteltu. Tietoturva-aukko oli korjattu saman vuorokauden puolella. Haavoittuvuuteen liittyvä WordPressin WPML-lisäosan tietoturvapäivitys oli julkaistu edellisellä viikolla.
Onko ylläpitosalasanan testaaminen tietomurron yritys?
Aikaisemmin keväällä toisen puolueen sivustolle pääsi kirjautumaan helpolla salasanalla. Tapaus synnytti keskustelua siitä, onko tietoturva-aukon todentaminen ylipäätään luvallista.
Kirjoittajalla ei ole juristin koulutusta enkä lähde moraalinvartijan hattua päähän sovittamaan. On kuitenkin selvää, että esimerkiksi haavoittuvuuden julkistaminen mediassa tiedottamatta haavoittuvaa tahoa voi aktivoida eri tahoja hyödyntämään haavoittuvuutta. Samaan hengenvetoon on sanottava, että useiden vuosien reagointiaikaa haavoittuvuuksien korjaamisessa on kovin vaikea ymmärtää. Julkisti tiedon tai ei kasvaa todennäköisyys sille, että joku toinenkin taho löytää haavoittuvuuden koko ajan.
Haavoittuvuuksienjulkistuspolitiikkamme
Haavoittuvuuksien vastuulliseen julkistukseen liittyvät kiinteästi muun muassa haavoittuvuustiedon pitäminen luottamuksellisena julkistukseen saakka sekä asiakkaiden ja haavoittuvien järjestelmien käyttäjien auttaminen järjestelmien suojaamisessa. Käytännöt siitä paljonko valmistajalle annetaan aikaa haavoittuvuuden korjaamiseen vaihtelevat. Yksi yleisesti käytetty ajanjakso on hieman yli 40 vuorokautta.
Olemme noudattaneet yrityksemme johdon hyväksymää haavoittuvuuksien julkistuspolitiikkaa jo useiden vuosien ajan. Politiikkadokumentti julkaistiin verkkosivuillamme keväällä 2012 ja sitä on tänään päivitetty. Haavoittuvuuskentän kansainvälisen luonteen takia haavoittuvuuksienjulkistuspolitiikka julkaistaan ensisijaisesti englanninkielisenä:
Nixu Corporation Vulnerability Disclosure Policy
If security vulnerabilities are identified on a customer project, Nixu will respect non-disclosure agreements and customer’s views on the matter. If security vulnerabilities are identified in 3rd party products, when allowed, Nixu will inform the vendor(s) either directly or via an appropriate vulnerability coordinator such as NCSC-FI, US-CERT or CERT/CC to ensure the vulnerability will be fixed.
NIXU’S MAIN GOALS ON VULNERABILITY DISCLOSURE ARE:
* To help our customers to protect their business by being able to patch vulnerable systems.
* To contribute to the industry in general so that software products are made more secure to all users by having vendors deliver generic patches.
Nixu may publish vulnerability information publicly in a responsible manner when the agreements with the customers and vendors allow that.
First release: April 2012
Last reviewed: March 2015
(CERT-FI -> NCSC-FI, Nixu Ltd -> Nixu Corporation)