Valtionyhtiöt viittaavat kintaalla tietoturvalle – VR jatkaa haavoittuvien sovellusten tiellään

Google Playssa on ollut 27. tammikuuta alkaen ladattavana, Veikkaus-niminen sovellus, jonka kömpelö kuvausteksti kertoo: ”Veikkaus-sovellus, jolla on enemmän kuin upea kokemus” – kyseessä on haittaohjelma, mainosgeneraattori ja urkkija, jonka jakelun torppaamisessa Google jostakin syystä vitkutteli viikkokausia. Veikkaus ainakin reagoi asiassa flegmaattisesti, valtion yhtiö, kun on. Eräs toinen valtion liikelaitos, VR, ei saa sen parempia tietoturvapisteitä.

VR.fi sivustolla junafirma kertoo, että sen graafinen ulkoasu on parhaimmillaan käytettäessä uusimpia selainversioita Firefox 9.0, Internet Explorer 8.0, Chrome 17.0.x ja Safari 533.x. Tämä epäammattimaisuus jatkuu kautta linjan. Ehkä ”graafinen ulkoasu” tässä tärkeintä onkin, sillä listassa mainittu Internet Explorer 8.0 ei ole tietoturvanäkökulmasta enää kelvollinen selain – eikä tietenkään yksikään Explorer-versio – vaan tolkun tieturvariski. Microsoft itse varoittaa Explorerista, eikä yhtiö enää päivitä menneisyyden selaintaan, joka oli täynnä porttiskannerilla esiin blokattavia turva-aukkoja.

”Muilla selaimilla ja em. selainten vanhemmilla versioilla sivuston ulkoasussa voi esiintyä osittaisia poikkeuksia”, VR kertoo, ja jatkaa: ”suosittelemme uusimpien selainversioiden käyttämistä myös niiden tarjoaman kattavamman tietoturvan vuoksi.” Kaunis lause, mutta nettiselainta koskevat huolet vain ovat pieniä siihen verrattuna, mitä lipunostoportaali pakottaa matkustajia lataamaan. Tosi asiassa VR-Yhtymä ohjaa nettisivullaan haavoittuvien selainlaajennusten pakkohyväksyntään.

Ne uhat ladataan, jos tahtoo onnistua lipputilailussaan. Yhtymä ei ole luopunut Adobe-laajennuksesta, vastoin yleistä käsitystä. Tämä luulo perustui julkisuustemppuun: VR otti lopulta käyttöön erään ohjelmoijan sille varta vasten tekemän avoimen lähdekoodin. VR sai sen ilmaiseksi. Yhtymä on kertonut julki, ettei se tee mitään ostohankintoja web-sovelluksista (joita se kertoo osaavansa tehdä itse).

Näin muodoin sen ei tarvinnut maksaa – valkohattuhakkerin sille toimittaman ilmaisen koodin oli määrä korjata Flash-sovelluksen turva-aukko valtionyhtiön portaalin sivulla. Tämä näytti jotenkin toimivan. Ainakin se oli parempi kuin entinen järjestelmä.

Haavoittuvuus takaisin sivuston käyttöön

Nyt Flash-laajennus syystä tai toisesta on tehnyt revanssin VR:n portaaliin. Ehkä syy on Flash Player -ohjelmistoon julkaistu korjauspäivitys. Paikka tuli sen toisto-ohjelmistostaan kriittiseen haavoittuvuuteen.

Jäljellä kuitenkin on jäänyt esimerkiksi Microsoft Office –tiedostoon upotettu Flash-hyökkäyskoodi, joka avattaessa päivittämättömällä tietokoneella, päästää haavoittuvuus hyökkääjät ajamaan laitteessa omaa ohjelmakoodiaan. Koneista on viety ulos esimerkiksi henkilötieto- ja pankkidata.

Myös uusista haavoittuvuuksista on raportoitu.

VR kertoo, että ”Flash Player -laajennusta vr.fi-sivustolla käyttävät ainoastaan paikan valinta verkkokaupassa ja Junat kartalla –sovellus”. Jos siis haluaa ostaa istumapaikan junaan, se tarkoittaa käytännössä sitä, että ostaja altistaa omansa tai jonkin toisen tietokoneen, jolla työskentelee, vakavalle tietoturvauhkalle. Ja Adope Flash Playeriä käytetään ”ainoastaan” istumapaikan ostamiseen. Tämä on ydintoiminto, jota kaikki eivät voi käyttää, koska tuo häijy selainlaajennus on kokonaan estetty esimerkiksi eräissä Android-järjestelmissä. Tämä paikanvarauspuute taas näyttäisi junissa johtavan jatkuviin sekaannuksiin, kun asemilla vaunuihin nousee kahdenlaisia matkustajia paikanostaneita ja niitä, jotka istuvat kulloinkin vapaaksi jääneillä paikoilla tai seisovat.

Kuulostaako vaikealta? Sitä se on.

Lataan ja poistan Flash Playerin pakon edessä

Itse käytän VR:n kanssa seuraavaa metodia lähipiiriin hyväksi: lataan Flash-laajennuksen Windows 10 pohjaiseen tablettiin istumapaikan ostamista varten, mutta poistan sen saman tien, kun asia on hoidettu, koska tämä haavoittuvuus voi avata takaportin kyberrikollisille. Ei mikään niin iso lisähomma, kun poisto rutinoituu ostosten päätteeksi.

Vanhentunut Flash on ollut käytössä mm. siksi, että se minimoi tiedostokoon ja luo tiedostoja, jotka säästävät siirto- ja latausnopeutta. Asiantuntijat ovat sitä mieltä, että Adoben Flash-selainlaajennuksesta ei näytä korjaamalla tulevan turvallista kalua.

Adobe ilmoitti jo heinäkuussa 2017 lopettavansa Flash Playerin kehittämisen ja jakelun vuoden 2020 lopulla. Sen jälkeen härpäke vasta vaarallinen onkin. Flash Player –version voi tarkistaa Adoben testisivulla https://helpx.adobe.com/fi/flash-player.html. Aina uusin versio, niin kauan kun lähdekoodi päivitetään, on kuitenkin turvallisin. Tämä tulee tehdä vielä yhdistettynä em. käyttötapaan, jossa Flashia ei ”unohdeta” selainlaajennukseksi.