Oulun yliopiston kehittämällä Radamsa-työkalulla on löydetty jo yli sata ennalta tuntematonta haavoittuvuutta selaimista. Kaikki haavoittuvuudet on heti raportoitu valmistajille, jotta ne on saatu korjattua mahdollisimman nopeasti. Haavoittuvuuksia on löytynyt myös esimerkiksi virustorjuntaohjelmista ja paljon käytetyistä kuva- ja ääniformaateista.
Radamsa on Oulun yliopiston kehittämä täysin automatisoitu tietoturvan testausväline, rakenteen päättelijä ja testitapausten luoja. Siihen on koottu parhaita ominaisuuksia aiemmin kehitellyistä automatisoiduista tietoturvan testaustyökaluista. Sitä on kehitetty Tekesin rahoittamassa Cloud Software -ohjelmassa. Yrityspartnereina projektissa ovat olleet mukana myös Ericsson, Nokia, F-Secure, Google, Mozilla Foundation ja WebKit.org. Radamsa perustuu avoimeen lähdekoodiin.
”Yksi tehokas ja myös hyökkääjien suosima tapa hakea haavoittuvuuksia hyökkäyksiä varten on käytännössä hakuongelma. Kutakin ohjelmaa vastaan haetaan sellainen tieto, joka aiheuttaa ohjelman toiminnassa virheen. Ohjelmassa luonnollisesti täytyy olla virhe, jotta tämä onnistuu, mutta käytännössä kaikissa meidän tapauksissamme oli ainakin yksi virhe”, toteaa Oulun yliopiston sulautettujen järjestelmien professori Juha Röning.
Tällaisten koneellisten virheiden hakua sanotaan fuzzaukseksi. Usein siinä käytetään tunnettuja ohjelman ymmärtämiä tiedon palasia (esimerkiksi tiedostoja ja verkkoliikennettä) esimerkkeinä, joiden pohjalta fuzzeri rakentaa samantyyppisiä hyökkäyksiä, joilla voi kokeilla löytyykö ohjelmasta haavoittuvuuksia.
Selainhaavoittuvuuksia on löytynyt yhteensä yli sata Google Chromesta ja Mozilla Firefoxista.
”Laskemme haavoittuvuudeksi sellaisen virheen, jota voi valmistajan analyysin mukaan todennäköisesti käyttää hyväksi selaimen kautta tapahtuvassa hyökkäyksessä. Toteutettu hyökkäys tarvitsee yleensä nykyään 1-5 virhettä saadakseen kontrollin tietokoneen muuhun sisältöön sivun kautta”, Röning kertoo.
Firefox on kokonaan ja Chrome enimmäkseen avoimen koodin projekti, jotka käyttävät paljon jaettuja kirjastoja. Tällöin korjatut haavoittuvuudet auttavat yleensä parantamaan tietoturvaa. Suuri osa haavoittuvuuksista on Röningin mukaan epäsuorasti parantanut melkein kaikkien Applen laitteiden, Android-puhelinten ja älytelevisioiden turvallisuutta.
