Useista SCP-sovelluksista on löytynyt haavoittuvuuksia, jotka osoittavat, että secure copy protocol (SCP) ei olekaan niin turvallinen, kuin yleisesti ajatellaan. Haavoittuvuuksia voi hyödyntää esimerkiksi takaoven tai muun haittasovelluksen asentamiseen, tietojen varastamiseen tai käytännössä mihin tahansa hyökkääjän haluamaan toimenpiteeseen.
F-Securen vanhempi tietoturvakonsultti Harry Sintonen löysi haavoittuvuuksia WinSCP-, Putty PSCP- ja OpenSSH-sovelluksista. Hän kehitti ns. proof-of-concept -hyökkäyksen, jonka avulla hän kykeni kirjoittamaan SCP:n kohdehakemistossa olevien tiedostojen päälle, muokkaamaan hakemiston käyttöoikeuksia sekä naamioimaan käyttäjälle asiakassovelluksessa näkyvät tiedot.
Sintosen löytämät haavoittuvuudet eivät ole kaikkein vakavimpia, joita IT-ylläpitäjät joutuvat kohtaamaan, sillä ne edellyttävät, että hakkeri on jo päässyt ns. man-in-the-middle -asemaan. Ne kuitenkin osoittavat, ettei SCP-protokollan “secure” osa olekaan niin turvallinen, kuin yritykset uskovat. Sintosen mukaan juuri luottamus SCP:n turvallisuuteen tekee haavoittuvuuksista mustahattuhakkereille hyödyllisiä.
”Turvallisuus ei tarkoita immuniteettia haavoittuvuuksille. Käyttäjien täytyy varmistaa isäntäkoneen identiteetti manuaalisesti ensimmäisellä yhteyskerralla, mikä antaa mahdollisuuden käyttäjävirheelle. Jos hyökkääjä pääsee SCP-asiakassovelluksen ja palvelimen väliin – tai onnistuu huijaamaan asiakassovelluksen ottamaan yhteyttä haitalliseen palvelimeen esimerkiksi phishingin tai DNS spoofingin avulla – hän voi ajaa palvelimella komentoja kenenkään huomaamatta”, Sintonen selventää.
SCP kehitettiin 1990-luvun puolivälissä tiedostojen siirtämiseen. Se lisää SSH-salauksen SCP:n taustalla olevaan RCP-protokollaan (remote copy protocol). SSH:n tarjoaman tietoturvakerroksen ansiosta SCP on turvallisempi kuin RCP tai aiemmin suosittu FTP. Siksi sen nimessäkin on secure, turvallinen.
SSH:n lisääminen oli selkeä kehitysaskel, mutta se ei korjannut RCP:n kaikkia puutteita. RCP ei esimerkiksi varoita käyttäjää, kun tiedostojen päälle kirjoitetaan. Sama ongelma vaivaa myös SCP:tä.
Sintosen mukaan haavoittuvuuden laajamittainen hyödyntäminen ei ole todennäköistä, mutta kohdistettujen hyökkäysten tekijät voivat huomata sen tehokkaaksi välineeksi niissä kohteissa, jotka käyttävät SCP:tä.
“Hyökkäys onnistuu vain, jos uhri hyväksyy väärän tunnisteen. On tärkeää ymmärtää, ettei kyseessä ole toiminnallisuus, jonka SCP-asiakassovellus tekee automaattisesti. Hyvin helposti käy niin, että tunnistautumista ei varmisteta manuaalisesti, mikä antaa hyökkääjille mahdollisuuden hyödyntää menetelmää tehokkaasti”, Sintonen varoittaa.
Onko avoin lähdekoodi syy ongelmaan?
Sintonen suoritti SCP-tutkimuksiaan ammatillisen mielenkiinnon vuoksi. Hän halusi selvittää, miten hyökkääjät voisivat hyödyntää suosittuja avoimen lähdekoodin komponentteja. Ilmainen, avoin lähdekoodi on monien sovellusten perusta. Perinteisesti sovelluskehittäjät luottavat, että joku yhteisöstä varmistaa, millaista koodia suosittuihin sovelluksiin päätyy.
Todellisuus on osoittanut, ettei käytäntö ole aukoton. EU perusti vuonna 2014 paljastuneen Heartbleed-haavoittuvuuden seurauksena Free and Open Source Software Audit (FOSSA) -projektin, jonka tavoite on parantaa Euroopassa laajemmin käytössä olevan avoimen lähdekoodin tietoturvaa. Hiljattain FOSSA julkisti listan 15 avoimen lähdekoodin ohjelmistoprojektista, joista löydetyistä bugeista se maksaa palkkion.
FOSSA ei kuitenkaan maksa palkkiota SCP:n tai useista muista sovelluksista löytyneistä tietoturvabugeista. Sintosen mukaan tämä ei kuitenkaan anna aihetta paniikkiin.
”Yritysten pitäisi hyödyntää avointa lähdekoodia ilman tietoturvariskejä. Yritysten tulee auditoida avointa lähdekoodia ja selvittää, onko sovellus tunnettu haavoittuvuuksistaan. Lisäksi heidän täytyy laatia sisäiset prosessit, joiden avulla he voivat proaktiivisesti varmistaa käytössä olevien sovellusten turvallisuuden. SCP on harmillisesti läpäissyt seulan ja näin käy aina joskus, mutta yritysten pitää varautua siihen,” Sintonen sanoo.
SCP:n osalta Sintonen suosittelee, että yritykset siirtyvät käyttämään SFTP:tä, mikäli se on mahdollista. SCP:n käyttäjille on tarjolla korjauspäivityksiä, mukaan lukien Harryn kehittämä OpenSSH-päivitys.
Harry esitteli löydöksiään viime viikonloppuna Disobey-tapahtumassa Helsingissä. Lisätietoja haavoittuvuudesta ja sen paikkaamisesta löytyy Sintosen laatimasta ohjeistuksesta.
Kategoriat