|
www.viestintävirasto.fi |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
Tietoturva nyt!26.3.2010 Vastuullisuutta haavoittuvuuslöydösten käsittelyynCERT-FI vastaanottaa jatkuvasti ilmoituksia erilaisista haavoittuvuuksista. Ilmoitukset tulee ensisijaisesti tehdä kyseisestä palvelusta vastuussa olevalle taholle. Tarvittaessa CERT-FI auttaa mielellään yhteydenotossa palveluntarjoajiin tai ohjelmistovalmistajiin. Lisäksi CERT-FI voi olla avuksi haavoittuvuuslöydöksen vakavuuden arvioinnissa. CERT-FI saa tietoonsa jatkuvasti erilaisia suomalaisia verkkopalveluita koskevia haavoittuvuuksia. Useimmat näistä ilmoituksista tehdään vastuullisesti myös kyseisen palvelun tarjoajalle. Näin voidaan tehdä tarvittavat korjaustoimet ja estää mahdolliset tietomurrot. Viime aikoina on kuitenkin ilmaantunut useita tapauksia, joissa löydettyjä haavoittuvuuksia on hyväksikäytetty luottamuksellisen tiedon levittämiseen tai www-sivujen tärvelemiseen. Tälläinen toiminta on silkkaa kiusantekoa eikä ole kenenkään edun mukaista.Verkkopalveluista löytyy usein erilaisia haavoittuvuuksia. Tyypillisesti haavoittuvuus liittyy puutteelliseen syötteentarkastukseen. Hyviä esimerkkejä näistä ovat SQL Injection -haavoittuvuudet, joissa hyökkääjä voi suorittaa tietokantakyselyjä www-palvelimen välityksellä. Vuositasolla CERT-FI saa ilmoituksia noin sadasta suomalaisesta www-sivustosta, joissa on erilaisia haavoittuvuuksia. On ohjelmistovalmistajien ja palveluntarjoajien edun mukaista altistaa tuotteensa tai palvelunsa ammattilaisten tekemään tietoturvakatselmointiin ennen tuotteen tai palvelun käyttöönottoa. Myös olemassa olevia tuotteita ja palveluita on syytä katselmoida säännöllisesti. CERT-FI on julkaissut haavoittuvuuskoordinointipolitiikan, jossa kuvataan CERT-FI:n, haavoittuvuuden löytäjän sekä ohjelmistovalmistajan tai palveluntarjoajan välinen yhteistyö. Ohjelmistohaavoittuvuudet ovat uhka tietoyhteiskunnan sujuvalle toiminnalle. Haavoittuvuuslöydöksillä voi olla kauaskantoisia vaikutuksia sivullisten yksityisyydelle, omaisuudelle ja liiketoiminnalle, jopa kansalliselle turvallisuudelle. Tästä johtuen haavoittuvuuslöydöksiä on syytä käsitellä vastuullisesti. Pelkkä haavoittuvuuksien tunnistaminen ei riitä. Haavoittuvuudet tulee myös raportoida haavoittuvan ohjelmiston valmistajalle, joka puolestaan huolehtii korjatun ohjelmistoversion tuottamisesta ja korjauksen saattamisesta ohjelmiston käyttäjien saataville. CERT-FI:n tavoitteena on vähentää haavoittuvuuksien vaikutusta. Haavoittuvuuskoordinointiprosessi alkaa tyypillisesti siten, että haavoittuvuuden löytäjä ottaa yhteyttä CERT-FI:hin ja pyytää apua oikeiden haavoittuvuuden korjaamiseen liittyvien kontaktien löytämisessä. CERT-FI ottaa tapauksen koordinoitavakseen ainoastaan siinä tapauksessa, että haavoittuvuuden löytäjä ja CERT-FI ovat yksimielisiä tavasta ja aikataulusta, jolla haavoituvuus saatetaan eri tahojen tietoon. Tärkeintä on ottaa yhteyttä haavoittuvuuteen liittyviin palveluntarjoajiin ja ohjelmistovalmistajiin haavoittuvuuden korjaamiseksi. Haavoittuvuuden julkaisuajankohta määritellään aina tapauskohtaisesti. Lisätietoahttp://www.cert.fi/en/activities/Vulncoord.html
|
Tuoreimmat kirjoitukset:
|
