MVnet logo

Blogi » Helsingin yliopiston tietoturva

  • Julkaistu 20. Helmikuuta 2008
  • Kirjoittanut: Jarmo Vestola
  • 2 kommenttia

Uutisista ja lehdistä saattoi noin viikko sitten lukea, että ainakin neljälle Helsingin yliopiston tietojenkäsittelytieteen laitoksen palvelimille murtauduttiin tiistaina 12.2. Digitodayn uutinen kertoo, että toistaiseksi tavoittamattomat hyökkääjät saivat todennäköisesti aluksi käsiinsä yhden tunnuksen ja pystyivät sitä käyttäen murtautumaan muutamiin muihin tunnuksiin ja saamaan haltuunsa enimmillään muutamien kymmenien käyttäjien salasanoja. Helsingin yliopiston tietotekniikkapäällikkö Petri Kutvosen mielestä nyt tapahtunut tietomurto oli kokoluokaltaan pieni, sillä tietojenkäsittelytieteen palvelimilla on useampia tuhansia käyttäjätunnuksia. Tietomurto ei Kutvosen mielestä ollut myöskään kovin ammattitaitoisesti tehty.

Hyökkäyksessä käytettiin hyväksi siis viime viikolla paljastunutta Linux-ytimien (2.6.17–2.6.24.1) haavoittuvuutta muistinkäsittelyssä, jonka avulla kohdejärjestelmän muistin sisältö avautuu tavallisille käyttäjille ilman pääkäyttäjän tunnuksia. Haavoittuvuuden hyödyntämistä varten hyökkääjällä täytyi kuitenkin olla paikallinen käyttäjätunnus tiedossaan. Iltalehden mukaan hyökkäyksen kohteeksi joutuneiden neljän palvelimen tietoturvassa oli siis aukko yhteensä noin kolmen tunnin ajan. Tänä aikana murtautuja on todennäköisesti saanut haltuunsa salasanoja käyttäjiltä, jotka ovat tämän kolmen tunnin aikana kirjautuneet järjestelmään. Murtautumisen kohteeksi joutuneet palvelimet otettiin heti pois linjoilta, kun tilanne selvisi.

Varotoimenpiteenä vaihdetaan kaikkiaan 3300 käyttäjän salasanat. Yliopiston tiedotteen mukaan tilanne on hallinnassa, koska salasanat lakkasivat toimimasta perjantaina 15.2. Lähettämässään sähköpostissa laitos kehottaa opiskelijoita vaihtamaan salasanansa, mikäli he ovat käyttäneet salasanoja millä tahansa palvelimella tiistaina 12. helmikuuta 2008 tai sen jälkeen.

tux pingviini

Asian selvittely on vielä kesken, eikä murron tekijöitä välttämättä saada kiinni koskaan. Jos jotain uutta tietoa asiasta saataisiinkin, ei siitä tietenkään kerrottaisi tavallisille tallaajille, joita asia voisi myöskin kiinnostaa. Vaikka en olekaan tuttu Linux-ytimen kanssa, enkä tiedä mitään tietojenkäsittelytieteen laitoksen/osaston palvelimien ylläpidosta, niin nyt on kuitenkin pakko hieman kyseenalaistaa heidän toimintansa. Ensimmäiseksi herää kysymys, miksei ylläpito ole asentanut uusimpia päivityksiä, vaikka haavoittuvuus on todettu ja siitä on kerrottu hyvinkin näkyvästi. Päivityskin oli julkaistu siihen monta päivää aikaisemmin? Missä on ammattitaito ja mistä ylläpidolle oikein maksetaan?

Helsingin yliopiston opiskelijana myös itsekin sain sähköpostiviestin salasananvaihdosta, koska on mahdollista, että jotkut käyttävät samoja salasanoja sekä tietojenkäsittelytieteen että tietotekniikkaosaston järjestelmissä. Tästä johtuen tietotekniikkaosasto vaihdattaa siis varotoimenpiteenä niiden käyttäjiensä salasanat, joilla on käyttäjätunnus sekä tietotekniikkaosaston että tietojenkäsittelytieteen järjestelmiin. Kuten uutinenkin jo kertoi, vaihto koski siis noin 3300 henkilöä, jotka joko opiskelevat tai ovat opiskelleet tietojenkäsittelytiedettä pää- tai sivuaineena. Salasana on vaihdettava siis joko verkossa tietotekniikkaosaston VETUMA-tunnistusta (verkkotunnistaminen ja maksaminen, esimerkiksi pankkitunnukset) hyödyntävällä salasananvaihtopalvelulla tai käyttölupapisteissä kampuksilla virallisen henkilötodistuksen kera.

Outoa tässä toimintatavassa on se, että itse viesti tuli vain päivää aikaisemmin, kuin sen lukemiseen tarvittavat tunnukset lakkasivat toimimasta. Mitä jos en lukisikaan sähköpostejani päivittäin kannettavaltani? Hieman ihmetyttää myös tällainen ylireagointi, jossa kaikkien pitää vaihtaa salasana. Eikö riittäisi, että vaihdetaan vain ne, jotka kirjautuivat palvelimiin kolmen tunnin aikana? Maalaisjärjellä keksisi varmasti myös paljon muitakin parempia tapoja hoitaa tämä vaihto-operaatio. Itse VETUMA-salasananvaihtopalvelu ansaitsisi myös sapiskaa. Luulisi, että yliopistolla olisi varaa suurimpiin pankki-, luotto- ja mobiilisopimuksiin, mutta asia ei tietenkään ole näin. Jos et ole Nordean, Sammon tai OP:n asiakas, joudut lampsimaan käyttölupapisteeseen.

Jos asia olisi tällä selvä, niin kaikki olisi vielä hyvin, enkä olisi tästä edes kirjoittanut. Käydessäni käyttölupapisteessä kävi kuitenkin sellainen tapaus, jota ammattitaitoiselle ja motivoituneelle atk-henkilölle ei saisi tapahtua. Käyttäjätunnukseni kerrottua KUKAAN EI TARKASTANUT HENKILÖLLISYYTTÄNI. Siis miten tämä oikein on mahdollista? Kuka tahansa voi siis mennä käyttölupapisteeseen ja sanoa jonkun käyttäjätunnuksen, joka sitten nollataan ja jonka voit myöhemmin vaihtaa haluamakseen. Passia, ajokorttia, opiskelijakorttia tai edes opiskelijanumeroa ei kysytä. Tajusikohan atk-henkilö edes, mitä oli tullut tehneeksi? Mitäköhän miehen päässä mahtoi myöhemmin liikkua, kun/jos asia vihdoin valkeni. Ja tietoturvan heikoin lenkki on edelleen...