Defcon2018: Salasanaohjelmista löytyi haavoittuvuuksia

Salasanojen tallennusohjelmat ovat haavoittuvia sisäpiirihyökkäyksille, kertovat Aalto-yliopiston ja Helsingin yliopiston tutkijat. Tulokset esiteltiin viime viikolla Las Vegasin Defcon2018-tietoturvakonferenssissa Yhdysvalloissa. Niiden mukaan hyökkäyksiä ja murtoja voi tehdä tai aiheuttaa kuka tahansa, jolla on pääsy samalle tietokoneelle.

Tietoturva-aukkoja löytyi yli kymmenestä eri ohjelmistosta, joilla on miljoonia käyttäjiä maailmanlaajuisesti. Ongelmat koskevat Windows-, Linux- ja macOS-ohjelmistoja.

”Löytämiemme haavoittuvien ohjelmistojen suuri määrä osoittaa, että ohjelmistokehittäjät eivät huomioi tietoturvallisuutta prosessien välisessä kommunikaatiossa ’’, sanoo Aalto-yliopiston professori Tuomas Aura.

Tai hänen mukaansa ohjelmistokehittäjät eivät tunne kommunikaatioon liittyviä tietoturvaratkaisuja tai he olettavat tietokoneen olevan täysin suojattu ympäristö. Joka tapauksessa molemmat selitykset ovat professori Auran mukaan huolestuttavia.

Suomalaisten kannalta merkittävin haavoittuvuus löytyi DigiSign-kortinlukijaohjelmistosta, jota esimerkiksi Väestörekisterikeskus tarjoaa sähköisen henkilökortin ja terveydenhuollon ammattikortin käyttäjille.

Sen kautta lääkärin tietokoneelle pääsevä henkilö voisi hyödyntää tutkimuksessa löydettyjä haavoittuvuuksia. Esimerkiksi lääkemääräyksiä voisi väärentää muuttamalla IPC-kanavassa yhdestä ohjelmiston osasta toiseen allekirjoitettavaksi lähetettyä reseptiä.

”Tietääksemme DigiSign-ohjelmiston haavoittuvuuksia ei ole hyödynnetty ja käytetty väärin. Olemme raportoineet ongelman Väestörekisterikeskukselle, ja se on huomioitu ohjelmiston uusimmissa versioissa”, kertoo tutkijatohtori Markku Antikainen Helsingin yliopistosta.

Kaikki tutkimuksessa löydetyt tietoturvaongelmat on raportoitu ohjelmistojen tekijöille. Tutkimus on tehty osin yhteistyössä tietoturvayritys F-Securen kanssa. Tulokset esitellään vielä perjantaina Yhdysvaltain Baltimoressa järjestettävässä Usenix Security -konferenssissa 17.8.2018.

Lisää: Tutkimusartikkeli  (LINKKI, pdf), Defcon2018 (LINKKI) ja Usenix2018 (LINKKI).

TAUSTAA: Tietokoneohjelmistot koostuvat prosesseista, joilla on eri tehtäviä. Esimerkiksi monissa salasanojen hallintaohjelmistoissa on kaksi erillistä osaa: salasanaholvi ja laajennus verkkoselaimeen.

Tiedon välitystä osien välillä kutsutaan prosessien väliseksi kommunikaatioksi (inter-process communication, IPC). Se tapahtuu käyttäjän oman tietokoneen sisällä, ja sitä on pidetty turvallisena.

Ohjelmiston pitäisi kuitenkin suojata IPC-kanava muilta samalla tietokoneella olevilta ohjelmilta ja prosesseilta. Muuten tahallaan tai vahingossa käynnistetyt haittaohjelmat saattavat päästä IPC-kanavassa kulkeviin salasanatietoihin käsiksi.

IPC-kommunikaatiota käyttäviä ohjelmistoja vastaan voi hyökätä kuka tahansa, jolla on pääsy samalle tietokoneelle. Esimerkiksi yrityksissä keskitetty käyttäjähallinta mahdollistaa kaikkien työntekijöiden kirjautumisen mille tahansa tietokoneelle.

Kuva: Shutterstock