Konesaleissa yllättäviä tietoturvariskejä tukilaitteistoissa
Lehdistötiedote 28.4.2009 Louhi Networks, Helsinki
Työasemat ja palvelinjärjestelmät ovat nykyisin kohtuullisen hyvin suojattuja. Louhi Networksin tietoturva-asiantuntijoiden mukaan viime vuosina valitettavan avoimena heilunut ovi on ollut erilaiset web-sovellukset julkisista verkkopalveluista aina laitteiden käyttöliittymiin saakka.
Konesaleissa palvelinten lisäksi pyörii useita muita laitteita turvaamassa palvelinten häiriötöntä toimintaa ja hälyttämässä, jos palvelinympäristössä tapahtuu uhkaavia muutoksia.
– Näissä infrastruktuurin hallintalaitteissakin web-sovellukset ja -hallintaliittymät ovat yleistyneet voimakkaasti – uusia uhkia ja haavoittuvuuksia paljastaen, kertoo Louhi Networksin haavoittuvuustutkija Henri Lindberg.
Louhi Networksin tuoreessa haavoittuvuustutkimuksessa kohteeksi otettiin konesalisensoreiden hallintajärjestelmä, jota käytetään mm. lämpötilasensoreiden ohjaamiseen. Normaalitilanteessa hallintajärjestelmä lähettää hälytyksen palvelinten ylläpitäjälle, jos ympäristössä tapahtuu palvelinten tai muiden laitteistojen toiminnalle vaarallisia muutoksia.
– Löysimme nopeasti useita haavoittuvuuksia, jotka pahimmillaan mahdollistavat hallintalaitteen täydellisen haltuunoton. Lisäksi koko ohjelmisto oli konfiguroitu päivityksiä varten siten, ettei tietoturva vaikuta olleen kovin korkealla prioriteettitasolla yleensäkään hallintaohjelmistoa suunniteltaessa, arvioi Lindberg.
Käytännössä löydetty haavoittuvuus tarkoittaa sitä, että suurenkin konesalin saisi pois pelistä kaappaamalla sensoreiden hallintajärjestelmän ja aiheuttamalla esimerkiksi ilmastointijärjestelmälle pientä käytännön vahinkoa. Tällöin salin lämpötila pääsisi nousemaan vaarallisen korkeaksi ilman, että ylläpitäjä huomaa mitään.
– Edellä kuvattu uhka on vielä melko hypoteettinen, mutta esimerkiksi näitä ilmastointilaitteiden rikkoutumisia ja muita palvelinympäristöjen vahinkoja sattuu säännöllisesti. Olennaista onkin huomata, että helpoimmin löydettävät haavoittuvuudet ovat usein houkuttelevin kohde hyökkääjälle. Tällöin vähäpätöisemmältäkin tuntuva osatekijä voi aiheuttaa vakavan riskin paitsi tekniikalle myös hyökkäyksen kohteena olevan yrityksen liiketoiminnalle, muistuttaa Lindberg jatkuvan testaamis- ja turvaamistoiminnan välttämättömyydestä.
Louhi Networks kehottaa kaikkia konesalien ylläpitäjiä välttämään hallintaliittymien avaamista julkiseen verkkoon ja muuttamaan laitteistojen konfiguraatiot oletusasetuksia tiukemmiksi. Tärkeintä kuitenkin olisi, että valmistajat huolehtisivat paremmin laitteiden ja niiden oletuskonfiguraatioiden riittävästä tietoturvatasosta.
– Mitä vanhempi websovellus on kyseessä, sitä todennäköisempää on, ettei tietoturvaa ole huomioitu kattavasti sitä kehitettäessä. Kansainvälinen tai tunnettu valmistajakaan ei ole takuu turvallisesta toteutuksesta. Valmistajien tuoteturvallisuusprosesseissa on merkittäviä eroja, kertoo Lindberg kokemuksistaan.
Lisätietoja
Marcus Westren-Doll
Myyntijohtaja, tietoturvatuotteet
puh. 09 - 25 122 126
mobile: 050 - 516 5442
Louhi Networksin raportti Rittal-haavoittuvuudesta:
http://www.louhinetworks.fi/advisory/Rittal_090323.txt
Louhi Networks on IT-ylläpitopalveluihin ja tietoturvaratkaisuihin keskittynyt palveluyritys. Louhi auttaa yrityksiä keskittymään omaan liiketoimintaansa mahdollistamalla tietoturvalliset ja luotettavat IT-ratkaisut. Louhi on osa voimakkaasti kasvavaa Smilehouse-konsernia, johon kuuluvat myös Smilehouse Oy, Smilehouse Baltic Oü ja Karttago Oy. Konsernin liikevaihtoarvio vuodelle 2009 on 7,5 M€.
