Espanjalaisyritys kolkutti reiän Check Pointin muuriin
Espanjalainen tutkimusyritys PenTest ilmoitti toissa viikolla löytäneensä turva-aukon tietoturvayhtiö Check Pointin palomuuriohjelmistosta. Check Pointin mielestä kyseessä on täysin hypoteettinen ongelma, jos ongelma ollenkaan.
Näkemykset tilanteen vakavuudesta ovat vähintään yhtä kaukana toisistaan kuin etelä- ja pohjoisnapa.
Aukosta raportoineen mukaan kyseessä on
Poliisi syynää ylläpitäjiä
Check Pointin Ari Tarvainen kertoo, että useat suuryhtiöt tarkistuttavat verkko- ja tietoturvaväkensä taustat poliisilla neljännesvuosittain.
”Administraattorin on oltava luotettava, sillä hän tietää yrityksen asioista enemmän kuin toimitusjohtaja. Palkkatiedot, terveystiedot tai sähköpostit ovat jatkuvasti hänen ulottuvillaan”, Tarvainen sanoo.
Pääkäyttäjän kaikista toimista jää haluttaessa jälki lokiin, joita voidaan säilyttää admininin ulottumattomissa.
Vielä kaksi vuotta sitten Timo Teekkari saattoi olla töissä kaksi kuukautta ja nauttia vapaasta pääsystä kaikkiin paikkoihin. Siitä on Tarvaisen mukaan tultu paljon eteenpäin, vaikka petrattavaa toki vielä on.
PenTestin mukaan palomuuri ei saa mennä kyykkyyn ”yksinkertaisessa tunkeutumistestissä” ja näyttää haavoittuvuuttaan pohjimmaisella kooditasolla. Espanjalaisyhtiö ei suosittele Check Pointin turvatuotteita pankeille, vakuutusyhtiöille, valtionhallintoon tai vastaaville, koska ”jos tietoturvan vaatimukset ovat erittäin tiukat, palomuurin on oltava vahva ja luotettava.”
Epälooginen murtomies
Check Pointin mielestä reikä on olemassa vain teoriassa.
”Hakkerin täytyy olla fyysisesti palomuurin vieressä eli käytännössä konesalissa ja kytkeä laitteeseen johto. Hänellä täytyy myös olla administrator-oikeudet. Tällainen väärinkäyttötilanne vaatii äärimmäisen isoja ponnisteluja”, Check Pointin maajohtaja Ari Tarvainen kommentoi PenTestin löydöksiä.
Toisaalta Tarvainen ihmettelee, kuinka administrator voisi säätää palomuurin parametrejä, jos hänellä ei olisi pääkäyttäjäoikeuksia. Toinen pääkäyttäjä voisi luoda sellaisen käyttäjätilin, mutta keneen sitten voi luottaa, jos ei administratoriin, hän kysyy.
Tarvaisen mielestä olisi myös outoa, jos konesaliin luvatta päässyt henkilö kytkisi piuhan palomuuriin, kun samassa räkissä rutisee palvelin tai kytkin käden ulottuvilla.
”Kyseessä ei ole mikään reikä, vaan näin tuotteen kuuluu toimiakin”, Tarvainen summaa.
Niin tai näin, Check Point julkaisi kuitenkin softaansa paikan, ”asiakkaille, joiden kulunvalvonta on hyvin hatara”.
Tarvainen myöntää hieman myöhemmin, että tällainen hutera teoria saattaisi jollain todennäköisyysmitalla tullakin lihaksi.
Julkisuus motivoi?
Tarvaisen mielestä tyhjästä nyhjäistyn hälyn motiivi on PenTestin julkisuuden tavoittelu.
”Check Pointista halutaan uutisoida raflaavasti, koska tuotteissamme ilmenee haavoittuvuuksia äärimmäisen vähän”, hän uskoo.
Check Point kutsuu reikien löytäjät visiitille esittelemään ja demoamaan virhetilanteet. Edellisen haavoittuvuusuutisen yhteydessä muutama vuosi sitten virheen havainnut henkilö kävi Check Pointilla, mutta mitään mullistavaa yhtiö ei asiasta irti saanut. Erikoinen ominaisuus kun johtui siitä, että tuote oli tehty virallisten määritelmien mukaan, eli syyttävä sormi osoitti kohti standardia.
Tarvainen pitää aukkojen etsijöitä kuitenkin suuressa arvossa.
”Parempaa apua ei olekaan, kuin aktiivinen ja asialleen omistautunut harrastaja. Teemme mielellämme heidän kanssaan yhteistyötä ja jopa viemme heidän osaamistaan eteenpäin.”
