05.01.2018

Tietoturvatiedote Otaverkolta

Viime päivinä mediassakin ovat olleet paljon esillä Meltdown- ja Spectre -haavoittuvuudet, joita hyödyntämällä hyökkääjä voi saada haltuunsa sensitiivistä dataa, esimerkiksi salasanoja. Otaverkko on aloittanut omien palvelinympäristöidensä korjauspäivitysten asennukset eilen 4.1. ja niiden vuoksi Otaverkon tuottamissa palveluissa saattaa esiintyä lyhyitä katkoja.
Haavoittuvuudet hyödyntävät prosessoreiden tapaa ennakoida käskyjen suorittamista. Eniten on palstatilaa saanut se, että haavoittuvuuden paikkaaminen tulee hidastamaan tietokoneen toimintaa jonkin verran. Tämä johtuu siitä, että haavoittuvuudet ovat prosessorien perusrakenteen sisällä, eikä niitä voida korjata prosessorin mikrokoodia paikkaamalla vaan korjaus on tehtävä käyttöjärjestelmän ja BIOS:n avulla. Haavoittuvuus koskee myös mobiililaitteita.

Haavoittuvuudet perustuvat prosessorien käyttämään ennakoivaan suorittamiseen, jossa prosessori pyrkii koodin haarautuessa ennakoimaan todennäköisempää polkua ja valmistelemaan sen suoritusta. Tällöin myös koodin tarvitsemat muistiviittaukset haetaan valmiiksi. Nämä viittaukset ajetaan ilman oikeustarkistuksia ja haavoittuvuus mahdollistaa prosessorin muistissa olevan datan lukemisen käyttäjän turvatasolta, jolloin salasanat ja sertifikaatit on mahdollista kaapata.

Korjaukset vaativat koneen BIOS:n sekä käyttöjärjestelmän päivittämistä. Työasemien osalta MacOS-päivitykset on julkaistu joulukuussa, Windowsille päivityspaketit on julkaistu 4.1.2018. Android-käyttöjärjestelmille korjaus sisältyy tammikuun turvapakettiin. Näiden lisäksi kahden edellisen päivän aikana on tullut eri palvelinjärjestelmille ja ohjelmistoille niiden valmistajilta korjauspäivityksiä. Päivityksiä on odotettavissa lähitulevaisuudessa lisää ja joissain tapauksissa tietoturvaohjelmisto on päivitettävä ennen muita päivityksiä.

Mikrotukiasiakkaidemme osalta tulemme tarkkailemaan työasemapäivitysten ajoja tehostetusti ja pyrimme lähettämään työasemille päivittymiskäskyjä normaalia sykliä tiheämmin. Loppukäyttäjiä kannattaa kehottaa sallimaan käyttöjärjestelmän päivitykset viipymättä, mikäli sellaisesta tulee ruudulle kysymyksiä. Lisäksi kannattaa kiinnittää tavallista enemmän huomiota töiden tallentamiseen, eikä jättää avoimia töitä työasemalle siltä poistuttaessa. Myös kotikoneilla ja mobiililaitteilla kannattaa sallia kaikki päivitykset.

Otaverkon vastuulla olevien ympäristöjen osalta ei ole tiedossa yrityksiä hyödyntää haavoittuvuutta. Seuraamme tilannetta ja teemme yhteistyötä viranomaisten kanssa.
Lisätietoja ja asiantuntija-apua saatte tarvittaessa ottamalla yhteyttä Otaverkon tekniseen tukeen.

Palvelinylläpitoasiakkaisiimme tulemme olemaan vielä erikseen yhteydessä päivitysten suorittamisesta.

Viestintäviraston ajantasainen tiedote tästä haavoittuvuudesta löytyy osoitteesta: https://www.viestintavirasto.fi/2018/haavoittuvuus-2018-001