Mitä Heartbleed tarkoittaa netinkäyttäjälle

Lu­ke­mat­to­mat verk­ko­pal­ve­lut − niin isot kuin pie­net − ovat ol­leet alt­tii­na mm. käyt­tä­jien tie­to­jen vien­ni­lle Heart­bleed-ni­mi­sen tie­to­tur­va-au­kon ta­kia. Ne­tin­se­laa­jan­kin täy­tyy ryh­tyä ko­viin toi­men­pi­tei­siin.

Kuva: Heartbleed logo, CC0

Viime päivät ovat olleet verkkopalvelujen pyörittäjille vaikeita. Mylläkkä sai alkunsa, kun Googlen turvallisuusyksikössä työskentelevä Neel Mehta huomasi, ettei verkkoliikenteen salauksessa usein käytetty OpenSSL-ohjelmistokirjasto toimii pahasti väärin: pahantahtoinen käyttäjä voisi laatia kyselyn, jolla saisi palvelimen lähettämään hänelle ohjelmiston muistista dataa, esimerkiksi yksityisiä viestejä ja salasanoja. Haavoittuvuus sai kutsumanimekseen Heartbleed, sydänvuoto.

IT-piireissä uutinen levisi kulovalkean tavoin, ja järjestelmänvalvojat kiirehtivät paikkaamaan ohjelmistojaan. Harmi vain, että vahinko oli jo ehtinyt tapahtua: pahimmassa tapauksessa noin 80 prosenttia verkkopalveluista on ollut haavoittuvaisia viimeiset pari vuotta. Sitä, kuinka monesta palvelusta on tietoja viety, ei tiedä kukaan.

Näin äkkiseltään ei tule mieleen pahempaa tietoturva-aukkoa: voidaan sanoa, että Heartbleed-haavoittuvuus koskee jok’ikistä Internetin käyttäjää. Pahimmassa tapauksessa siis kaikkien Internet-käyttäjien tietoja on viety. Tilanne on paha ennen kaikkea käyttäjien kannalta, joten toimettomaksi ei kannata jäädä.

Heartbleed-haavoittuvuuden toimintatapa

Johtuen ohjelmointivirheestä OpenSSL-kirjastossa, voi tietynlaisella pyynnöllä saada kirjaston lukemaan muistiaan vastaukselle varatun tilan yli, ja lähettämään tuon datan paluupostissa. Vastaukselle varatun muistitilan jälkeen ohjelman muistissa voi olla mitä tahansa, ja tuota ”mitä tahansa” voidaan pyytää jopa 64 kilotavua. Hyökkääjä voi lähettää pyyntöjä yhä uudelleen ja uudelleen, saaden aina uuden siivun muistia tutkittavakseen.

Ohjelman muistissa voi olla esimerkiksi itse salaukseen käytetty yksityinen avain tai käyttäjien salasanoja, mutta myös mitä tahansa muuta. Hyökkäyksestä ei tyypillisesti jää uhripalvelimeen mitään jälkiä, joten jälkikäteen ei voida sanoa, onko palvelua vastaan hyökätty vai ei. Tietoturva-asioissa kannattaa kuitenkin lähteä pahimmasta mahdollisesta tilanteesta, eli olettaa kaiken arkaluonteisen olevan hyökkääjän tiedossa.

Haavoittuvuuden aiheuttanut OpenSSL:n ohjelmointivirhe on sittemmin korjattu, ja kaikki valveutuneet verkkopalvelujen ylläpitäjät ovat asentaneet korjauspäivityksen. Enää tietojen vienti ei siis enää ole mahdollista. Sen sijaan jo viedyt tiedot on menetetty, eikä verkkoliikenteen salauskaan ole luotettavaa, ennen kuin palvelu vaihtaa salausavaimensa.

Haavoittuvuudesta kärsineet palvelut

Kirjoitushetkellä varsin harva palvelu on julkisesti kertonut, koskettaako haavoittuvuus sitä. Tämä voi johtua muun muassa seuraavista:

  • Palvelu ei käyttänyt haavoittuvaista versiota, eikä näin näe tarvetta tiedottaa käyttäjiään.
  • Palvelun tuottaja ei tiedä, koskettaako haavoittuvuus heitä.
  • Palvelun tuottaja tietää, että palvelu on (ollut) haavoittuvainen, muttei halua tiedottaa käyttäjiään.

Esimerkiksi Mashable on koonnut luetteloa palveluista, jotka ovat varmuudella olleet uhattuna. Listalla ovat mm. Pinterest, Tumblr, Google ja Yahoo.

Uskon, että monet edellä mainittuja pienemmät toimijat (mm. kotimaiset verkkokaupat, yliopistot, hosting-yritykset…) ovat niin ikään käyttäneet reikäistä OpenSSL-versiota.

Ohjeita käyttäjälle (eli kaikille)

Kannattaa seurata sähköpostia ja verkkosivujen tiedotteita, ja vaihtaa salasana heti, jos verkkopalvelun ylläpito niin suosittelee. Verkkokauppojen asiakkaiden kannattaa myös seurata tiliotteitaan, ja mitätöidä maksukortti, jos outoja maksutapahtumia ilmestyy.

Salasanaansa ei kannata vielä vaihtaa joka paikkaan, sillä kaikki palvelut eivät vielä ole päivittäneet ohjelmistojaan − muuten riskinä on, että uusikin salasana joutuu ulkopuolisten käsiin. Jos verkkopalvelu ei aiemmin pyydä niin tekemään, suosittelen vaihtamaan kaikkien verkkopalvelujen salasanat huhtikuun viimeisellä viikolla.

Mitään sellaista verkkopalvelua2 ei pidä käyttää, jolle seuraavat kriteerit täyttyvät:

  • palvelu vaatii käyttäjätunnuksen tai muun tunnistautumisen, ja
  • palvelu on ollut haavoittuvainen tai haavoittuvaisuustilanne ei ole tiedossa, ja
  • palvelun varmenne1 on julkaistu aiemmin kuin 9.4.2014.

Palvelua voi käyttää, kun varmenne on korvattu uudella. Tällöin kannattaa ensi töikseen vaihtaa salasanansa. Sanomattakin lie selvää, ettei samaa salasanaa kannata käyttää eri paikoissa.


1) Varmenteen tietoja pääsee useimmissa selaimissa katsomaan klikkaamalla salauksesta kertovaa lukonkuvaa ja sitten sopivia painikkeita painelemalla.
2) Joo, netin käytöstä tuli juuri aika paljon ikävämpää. Tai sitten vetelet riskillä ja toivot parasta.

Verkko-osta­misen tur­val­li­suu­des­ta huo­leh­ti­mi­nen on helppoa

Verk­ko­kaup­po­jen käyt­tö on tur­val­lis­ta, kun­han osaa huo­leh­tia omas­ta tur­val­li­suu­des­taan. Ko­vin vai­ke­aa se ei ole.
Kuva: 401(K) 2012: Credit Card Debt. CC BY-SA 2.0

Verkkokaupoista ostaminen on suomalaisille tuttua puuhaa, ja ymmärtäähän sen: välimatkat ovat pitkiä, ja kotimaisten kivijalkakauppojen hintataso korkea.

Verkko-ostaminen on yleensä turvallista, kunhan ostaja tietää, mitä on tekemässä. Olen kuitenkin huomannut, että valitettavan usein ostokset tehdään Internetissä ”hasardilla” perehtymättä sen enempää omaan turvallisuuteensa.

Toisin kuin perinteisessä myymälässä asioidessa, verkkokauppaa käydessä myyjä saattaa kadota tuhkana tuuleen ostajan rahojen kanssa. Koska verkko-ostamiseen liittyy monta muutakin muuttujaa ostajan ja myyjän lisäksi, ei ostaja voi täysin riskittä ostoksiaan tehdä, mutta pienellä valveutumisella vaaranpaikkojen välttäminen onnistuu.

Kaikista turvallisintahan olisi toki olla ostamatta mitään verkkokaupoista, mutta tällöin pitäisi tyytyä vain kulkumatkan päässä oleviin myymälöihin tai postitilauskatalogien1 tarjontaan. Jos haluaa Suomessa tai Suomeen hankkia edullisesti laadukasta tavaraa, on verkkokaupan käyttäminen näin ollen lähes välttämätöntä. Monia harvinaisempia tuotteita ei Suomeen edes maahantuo kukaan, jolloin ostaminen verkkokaupasta on ainoa vaihtoehto.

Ensisijaisesti kannattaa luottaa tunnettuihin, mielellään kotimaisiin, verkkokauppoihin. Kotimaisilla toimijoilla toimitus (varastossa olevalla tavaralla) on yleensä nopeampaa kuin kaukomailta tilattaessa, ja kuluttajansuojan toteutuminen on varmempaa2. Lisäksi maksu tapahtuu tyypillisesti verkkopankin e-maksu -toiminnolla, jolloin maksukorttia ei edes tarvita ostosten tekoon – verkkopankkitunnukset riittävät.

On kuitenkin mahdollista, että jotain tiettyä tuotetta ei saa kuin valmistajan omasta verkkokaupasta, tai sitä ei jostain muusta syystä tuoda Suomeen. Tällöin kotimaiset pankkikohtaiset verkkopankkimaksupalvelut eivät ole käytettävissä. Erilaisia verkkomaksuratkaisuja on lukematon määrä, ja ostajan kannattaakin olla tarkkana, miten maksu tapahtuu, ennen kuin maksukorttinsa numeroa alkaa nettiin syöttää.

Yleensä niin EU:ssa kuin muuallakin maailmassa PayPal-maksupalvelu on käytettävissä. PayPal on turvallinen tapa maksaa, eikä sen käyttö vaadi palveluun rekisteröitymistä (joskin rekisteröityminen on ilmaista ja mielestäni ihan hyödyllistä). Käytännössä PayPal-tiliin joko siirretään tilisiirtona rahaa tai PayPal veloittaa suoraan maksukorttia, ja verkkokauppa taas ottaa rahat PayPal-tililtä. Etuna palvelussa on se, ettei maksun saaja näe luotto- tai pankkikortin tietoja, eikä näin voi aiheuttaa yllätyksiä, sillä kaikki maksut hyväksytään PayPalin oman verkkopalvelun kautta.

PayPal huolehtii myös ostajan turvallisuudesta: jos tilattu tavara ei saavu perille tai on väärä tai viallinen, voi ostaja ”riitauttaa” tapahtuman. PayPal, ostajan ja myyjän kanssa asiaa selvitettyään, ratkaisee asian, ja tarvittaessa palauttaa maksetun summan ostajalle.

Jos PayPal-maksuvaihtoehtoa ei ole saatavilla, kannattaa selvittää, onko verkkokauppa Verified by Visa– tai MasterCard SecureCode -yhteensopiva (kortista riippuen). Tällaiset palvelut lisäävät maksutapahtumaan yhden käyttäjän ja maksajan välisen vaiheen, jolloin maksu on turvallisempaa.

Verk­ko­kau­pas­sa asi­oi­des­sa kan­nat­taa var­mis­taa, et­tä yh­teys on vä­hin­tään­kin sa­lat­tu, mie­lel­lään tun­nis­tet­tu. Ku­vas­sa tun­nis­te­tun Vies­tin­tä­vi­ras­ton Do­main.fi -pal­ve­lun tie­dot Fi­re­fox 14:lla kat­sot­tu­na.
Kuva: Kuvakaappaus: Domain.fi/ Firefox 14

Hyvin harvoin on tarpeen syöttää maksukortin numeroa suoraan verkkokaupan omille sivuille, ja tällaisen tilanteen sattuessa kannattaa käyttää hetki sen tarkistamiseen, että toinen osapuoli on luotettava, ja että on varmasti myyjän virallisella sivulla (eikä esim. kalastelusivustolla). Osoiterivi kannattaakin katsoa kirjain kirjaimelta, ja varmistaa että yhteys on salattu (lukon kuva) ja mielellään tunnistettu (verkkokauppiaan nimi ennen osoitetta osoiterivillä). Tällaiset toimenpiteet on hyvä tehdä myös muulla tapaa maksettaessa – varmuuden vuoksi.

En ole itse törmännyt maksukortin numeroa suoraan ruinaaviin, mutta rehellisiin, myyjiin kuin muutaman kerran elämässäni. Siksi suosittelenkin, että jos aiemmin mainitsemani maksutavat eivät ole mahdollisia, kannattaa harkita ostoksiensa tekemistä jostain muualta, ellei luottamus myyjää kohtaan ole äärettömän suurta.

Kun maksu on veloitettu ja tuote saapunut, kaikkien pitäisi olla tyytyväisiä. Rikolliset ovat kuitenkin ovelia, ja on mahdollista, että kaikesta huolellisuudesta huolimatta maksukortin tiedot ovat päätyneet vääriin käsiin. Oman tilinsä tapahtumia kannattaakin aktiivisesti seurata, vaikkei olisikaan ostanut mitään vähään aikaan. Jos huomaa outoja veloituksia, kannattaa ottaa saman tien yhteyttä pankkiin, kuten myös myyjään, jos se on tiedossa, ja selvittää asia.

Kerron vielä oman niksini, jolla rajaan maksukortin käyttöön liittyviä riskejä: pankissani on kaksi tiliä, joista vain toiselle on pankkikortti. Korttitilillä pidän rahaa vain sen verran kuin tarvitsen, jolloin kortin tai sen tietojen joutuminen vääriin käsiin ei syökse minua vararikkoon. Keinon olen todennut hyväksi myös oman talouden hallintaan. Myöskin nosto- ja ostorajat kannattaa pitää järkevinä: jos kriisi iskee, pankkikonttorissa asioimalla saa kyllä tarvittaessa vaikka tilinsä tyhjäksi.

Verkko-ostamisvinkkini vielä tiivistettynä:

  • Suosi suomalaisia verkkokauppoja – maksa pankkisi e-maksulla.
  • Ulkomailta tilatessasi käytä PayPal-tiliä, tai vähintäänkin Verified by Visa- tai MasterCard SecureCode -maksua.
  • Asioi vain luotettavien kauppiaiden kanssa. Varmista että olet varmasti oikealla sivustolla, ja että sivusto on turvallinen: salattu ja tunnistettu.
  • Valvo tilisi käyttöä. Ota heti yhteys pankkiisi, jos huomaat jotain poikkeavaa.
  • Älä pidä korttitililläsi enempää rahaa, kuin tarvitset. Säilytä suuria rahamääriä eri tilillä, ja siirrä sieltä tarvittaessa.

Lisää hyviä ohjeita verkkomaksamiseen antaa Luottokunnan Korttiturvallisuus.fi-sivuston Usein kysyttyä– ja Verkossa-sivut. Lisäksi kannattaa käyttää 2 minuuttia 2 sekuntia seuraavan CERT-FI:n videon katsomiseen:

Sisältöä ei voida näyttää, sillä evästeet eivät ole käytössä.


1) Vieläkö tällaisia julkaistaan?
2) Eli yhtä varmaa kuin kivijalkamyymälässä asioidessa. Toiset liikkeet hoitavat asiansa kunnialla, toiset eivät, mutta kuluttajansuojaviranomaisien avulla asiat yleensä ratkeavat, viime kädessä oikeusteitse.

Ubuntu-kahvia tulossa

Kun kerrankin elämässä minulla oli joutorahaa, päätin suunnata kohti Canonicalin(ENWP) (Ubuntun sponsorin) verkkokauppaa. Siellähän on vaikka mitä jänn[Kuva kahvimukeista]ää, mutta koska joutorahaa ei ollut kuin parisenkymppiä, päädyin tällä kertaa tilaamaan vain Ubuntu-kahvimukin (kuva oikealla, lähde Canonical Store). Hintaa moisella tuotteella (arvon­lisä­veroineen) on 4,98 €, joten jonkin verran Ubuntu-logosta saakin maksaa.

Toisaalta ostinkin kahvikuppini lähinnä kannatusmielessä, sillä uskoisin että Merchandise Mania (palvelun toteuttaja) jonkin verran tilittää myös Canonicalille, mikä taas on rahaa Ubuntun kehitykseen. Joten tavallaan kaikki voittavat.

Postitus tuotteelleni olikin kalliimpi kuin itse kuppi, vaikkakin valitsin 15 senttiä kalliimman (ja huomattavasti nopeamman) lentopostilähetysvaihtoehdon. Tällaisen ”kuitin” sain sähköpostiini tilauksen jälkeen:

Canonical Store
——————————————————
Order Number: 13971
Date Ordered: Monday 23 February, 2009

Products
——————————————————
1 x Ubuntu Drinking Mug (UBN00080) = € 5.73
——————————————————
Sub-Total: € 5.73
Registered Air Mail (Shipping to FI : 0.35 kg(s)): € 8.75
Total: € 14.49

Kun ryhdyin maksamaan tuotetta Visa Electronillani (palvelu on Verified by Visa), palvelu jostain syystä kieltäytyi sallimasta maksua euroissa, vaan ainoa hyväksytty valuutta oli punta. Noh, ei se mitään, maksetaan puntina sitten, rahaahan sekin on.

Syötin kiltisti pankkikortin numeroa, turvanumeroa (turvanumero on se 3-numeroinen numerosarja allekirjoituksen vieressä kortin kääntöpuolella) ja vanhenemiskuukautta, ja valitsin jatka. Tässä vaiheessa koko systeemi räjähti, enkä päässyt edes vahvistamaan maksamista, sillä palvelun mukaan kortinmyöntäjä ei salli korttiostoksia.

Pienen tutkimisen jälkeen Nordean verkkopankissa (käytin siis Nordean korttia) sain muutettua verkkokorttimaksut päälle, ja pääsin maksamaankin tuotteen. Nyt odottelen innolla viidentoista euron kahvikuppiani.