tiistai 17. maaliskuuta 2015

Suomalainen sai käsiinsä Live.fi -osoitteen varmenteen

microsoft-logo-neliöSuomalainen järjestelmäpäällikkö leikki Microsoftin sähköpostipalvelulla (outlook.com) ja sai lopulta käsiinsä Microsoftin live.fi verkkotunnuksen varmenteen, yksinkertaisesti pyytämällä sitä.

Varmenteen avulla voisi muun muassa luoda kopion suojatusta verkkosivusta ja varastaa Microsoftin asiakkaiden tunnustietoja, sillä sivusto näkyisi verkkoselaimelle turvallisena ja aitona.

Varmenteen myöntäjä Comodo antoi Suomalaismiehelle Microsoftin sertifikaatin eli varmenteen sähköpostitse koska luuli pyynnön tulleen live.fi verkkopalvelun ylläpitäjältä.

Comodo kun sai sähköpostia osoitteesta hostmaster@live.fi jonka Suomalaismies oli saanut tehtyä omaan Live tunnukseen aliakseksi. Outlook nimittäin mahdollistaa luomaan omaan sähköpostiin useita osoitteita jota kutsutaan aliakseksi, aliaksien käytön avulla voi hallita sähköpostitulvaansa helpommin.

Mies yritti saada Microsoftin korjaamaan tilanteen, tuloksetta:

Suomalaismies halusi harrastusmielessä kokeilla jos jokin ylläpitoon normaalisti viittaava tunnus olisi mahdollista lisätä aliakseksi ja kun näin kävi, otti mies yhteyttä viestintävirastoon josta tietoturvakeskus ei kuitenkaan osannut antaa selkeyttävää vastausta ongelmaan, myöskään Microsoft ei ollut vastannut miehen yhteydenottoihin vaikka sitä oli yritetty useampaan sähköpostiosoitteeseen.

Comodon tarkistusmenetelmät hyvin vajavaiset:

Comodo on kertonut että sen toimintatapoihin kuuluu tarkistaa pyytäjältä oikeus siihen, tarkistuksen läpäisee jos sähköpostitse tullut varmenteiden pyyntö tulee osoitteista joka viittaa osoitteen ylläpitäjään: admin@, administrator@, postmaster@, hostmaster@ tai webmaster@, tässä tapauksessa käytettiin osoitetta hostmaster.

Kun ongelmaan ei puututtu, päätti mies tehdä tunnuksen ja kokeilla antaako Comodo todellakin näin yksinkertaisesti isonkin asiakkaan sertifikaatin.

Yllätys oli suuri kun Comodo vastasi viestiin, varmenne oli mukana.

Kyseinen varmenne korvattu ja päivitys tarjolla:

Microsoft poisti yllättäen eilen varmenteen käytöstä ja jo viime viikon torstaina yhtiö jäädytti Suomalaismiehen Live-tunnukset joka estää häntä käyttämästä tunnustaan muun muassa Xbox pelikonsolissa sekä Windows Phone puhelimessaan.

Suomalaismiehen käsiinsä saamaa varmennetta ei ole ilmeisesti käytetty mihinkään laittomaan tai epärehelliseen toimintaan mutta luonnollisesti Microsoftin piti toimia, se on toiminut kuitenkin hyvin epämääräisesti sillä yhtiö ei ole ollut yhteydessä Suomalaismieheen.

Varmenteen päivitys vaati Microsoftilta laajoja toimia siten että koko Windows täytyy päivittää luotettujen sertifikaattien osalta.

Windowsin päivityspaketit tarjotaan automaattisen päivitystyökalun kautta kaikkiin tuettuihin Windows versioihin, tosin Windows Vista-, 7-, Server 2008 ja Server2008 R2 järjestelmissä automaattinen päivitys toimii vain jos sertifikaattien päivitystyökalu on asennettu.

Tivi on ottanut yhteyttä Microsoftin Suomen konttoriin josta luvattiin olla yhteydessä Suomalaismieheen asian tiimoilta. Toivottavasti kaveri saa tunnuksensa takaisin kiitoksen kera.

LÄHDE: Tivi