Lue uutinen mobiilisivustolla

Tietoturva-aukko mahdollisti palvelimen kaappauksen

20.11.2001 09:36 Krakkerit voivat kaapata huonosti suojatun palvelimen väliasemaksi jatkohyökkäyksessään kohti varsinaista tietomurron pääkohdetta. Näin kävi viime viikolla Suomessa.

Pääkaupunkiseudulla toimiva koulutusyritys joutui viime viikolla useita vuorokausia kestäneen, varsin erikoisen tietomurron kohteeksi. Hyökkäyksen päätarkoitus ei kaikesta päätellen ollut koulutusyritys, vaan serveriä käytettiin alustana jatkohyökkäyksessä toisaalle. Tehtiinkö tämä hyökkäys pingaamalla, sitä ei tiedetä, koska loki puuttuu.

Jälkien perusteella voi päätellä, että murtautujat yrittävät koulutuspalveluyrityksen serverin kautta operoida hyökkäyksen jollekin toiselle palvelimelle, joka lienee ollut sisällöltään arvokkaampi. Tapaus on annettu poliisitutkintaan. Yritys ei halua nimeään julkisuuteen.

Tapaukseen perehtynyt yrityksen it-tuki toteaa, että palomuuri ei suojannut serveriä. Löytämästään IIS 4.0 -palvelimen tietoturva-aukosta krakkerit pääsivät tallettamaan serverille asp-scriptin.

Yhtä mmc.exe-tiedostoa tunkeutujat olivat peukaloineet niin, ettei se enää auennut. Krakkerit tallensivat palvelimelle murtoa varten erinäisiä tarpeellisia apuvälineitä.

Oma kirjautumispalvelin pystyyn

Tämän jälkeen hyökkääjät asensivat serverille oman kirjautumispalvelimen työskentelynsä helpottamiseksi.

Tunkeilijoiden työ oli perusluontoista. Sillä ei juuri voinut olla muuta tarkoitusta kuin murtaa yhteyden avulla joku toinen paremmin suojattu serveri, ja käyttää tätä vallattua jälkien häivytykseen.

Toiminta serverillä kesti 12. - 16. marraskuuta. Murron paljasti sähköpostitse saatu viesti porttien varaamisesta. Lisäksi kirjautuminen serverin omalle IIS-palvelimelle estettiin havaintojen tekemiseksi.

Ellei ammattimaisuudesta, niin ainakin huolellisuudesta kertoo, että hyökkäysohjelmat oli piilotiedostoja. Tietojärjestelmämurrossa käytettyjä kirjautumisnimiä olivat: "avl", "gaga" sekä "fugiisadmin".

Murron motiivi ja serverin jatkokäyttö

- Tämän murtautumisen ilmiselvä tarkoitus oli serverin jatkokäyttö muihin tietoturvarikoksiin, toteaa haastattelemamme asiantuntija, joka vastaa yhtiön tietotekniikasta.

Asiantuntijan mukaan krakkerit ovat kiinnostuneet kiinteällä yhteydellä varustetuista, huonosti suojatuista palvelimista, joihin ei ole tehty maailmalla yleisesti julkaistuja tietoturvapäivityksiä.

- Krakkerit eivät välttämättä koske palvelimella oleviin tiedostoihin vaan tarvitsevat palvelinta epäsuoran hyökkäyksen tekemiseen, hän lisää.
Asiantuntija vertaa serverin kaappausta pankkiryöstöön, jossa myös työvälineet ovat varastettu paljastumisen estämiseksi. Vielä ei ole tietoa krakkereiden varsinaisesta murron pääkohteesta, onko myös siinä hyökkäyksessä onnistuttu.

Reijo Holopainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta