Toinen serveri hyökkäsi

Tietoturva-aukko mahdollisti palvelimen kaappauksen

20.11.2001 09:36 Krakkerit voivat kaapata huonosti suojatun palvelimen väliasemaksi jatkohyökkäyksessään kohti varsinaista tietomurron pääkohdetta. Näin kävi viime viikolla Suomessa.

Pääkaupunkiseudulla toimiva koulutusyritys joutui viime viikolla useita vuorokausia kestäneen, varsin erikoisen tietomurron kohteeksi. Hyökkäyksen päätarkoitus ei kaikesta päätellen ollut koulutusyritys, vaan serveriä käytettiin alustana jatkohyökkäyksessä toisaalle. Tehtiinkö tämä hyökkäys pingaamalla, sitä ei tiedetä, koska loki puuttuu.

Suosittele
1 suositus

Kuuntele

Jälkien perusteella voi päätellä, että murtautujat yrittävät koulutuspalveluyrityksen serverin kautta operoida hyökkäyksen jollekin toiselle palvelimelle, joka lienee ollut sisällöltään arvokkaampi. Tapaus on annettu poliisitutkintaan. Yritys ei halua nimeään julkisuuteen.

Tapaukseen perehtynyt yrityksen it-tuki toteaa, että palomuuri ei suojannut serveriä. Löytämästään IIS 4.0 -palvelimen tietoturva-aukosta krakkerit pääsivät tallettamaan serverille asp-scriptin.

000 Software and virus: upload-kuva
Yhtä mmc.exe-tiedostoa tunkeutujat olivat peukaloineet niin, ettei se enää auennut. Krakkerit tallensivat palvelimelle murtoa varten erinäisiä tarpeellisia apuvälineitä.

Oma kirjautumispalvelin pystyyn

Tämän jälkeen hyökkääjät asensivat serverille oman kirjautumispalvelimen työskentelynsä helpottamiseksi.

Tunkeilijoiden työ oli perusluontoista. Sillä ei juuri voinut olla muuta tarkoitusta kuin murtaa yhteyden avulla joku toinen paremmin suojattu serveri, ja käyttää tätä vallattua jälkien häivytykseen.

F-Secure Oyj: loginikkunapieni
Toiminta serverillä kesti 12. - 16. marraskuuta. Murron paljasti sähköpostitse saatu viesti porttien varaamisesta. Lisäksi kirjautuminen serverin omalle IIS-palvelimelle estettiin havaintojen tekemiseksi.

Ellei ammattimaisuudesta, niin ainakin huolellisuudesta kertoo, että hyökkäysohjelmat oli piilotiedostoja. Tietojärjestelmämurrossa käytettyjä kirjautumisnimiä olivat: "avl", "gaga" sekä "fugiisadmin".

Murron motiivi ja serverin jatkokäyttö

- Tämän murtautumisen ilmiselvä tarkoitus oli serverin jatkokäyttö muihin tietoturvarikoksiin, toteaa haastattelemamme asiantuntija, joka vastaa yhtiön tietotekniikasta.

Asiantuntijan mukaan krakkerit ovat kiinnostuneet kiinteällä yhteydellä varustetuista, huonosti suojatuista palvelimista, joihin ei ole tehty maailmalla yleisesti julkaistuja tietoturvapäivityksiä.

- Krakkerit eivät välttämättä koske palvelimella oleviin tiedostoihin vaan tarvitsevat palvelinta epäsuoran hyökkäyksen tekemiseen, hän lisää.
Asiantuntija vertaa serverin kaappausta pankkiryöstöön, jossa myös työvälineet ovat varastettu paljastumisen estämiseksi. Vielä ei ole tietoa krakkereiden varsinaisesta murron pääkohteesta, onko myös siinä hyökkäyksessä onnistuttu.

Reijo Holopainen toimitus@digitoday.fi

Suosittele
1 suositus

Kuuntele

Aiheeseen liittyviä uutisia

Uudemmat

Tietoturvattomuus aiheuttaa yrityksille miljoonakustannukset vuosittain 26.3.2002
TT: Suomi on krakkereiden harjoittelumaa 26.2.2002
Poliisi iski: Tietomurtosarjasta epäillyt kiinni itse teosta 26.2.2002
NASA-krakkeri joutui vankilaan 7.2.2002
Hakkerin valkoinen hattu 26.1.2002
Tietomurroista syytetty erotti asianajajansa 23.1.2002
IE:n tietoturva-aukko korjattu 14.12.2001
FBI tunnusti kehittävänsä vakoilutroijalaista 13.12.2001
VDSL Systems käynnistänyt yt-neuvottelut 12.12.2001
Joulutervehdykset jäävät entistä useammin palomuuriin 3.12.2001
Saako aukoista puhua? 23.11.2001
FBI kehitti troijalaisen murtamaan rikollisten salasanoja 22.11.2001
Uusi ddos-työkalu leviää nopeasti 22.11.2001

Aiemmat

Communicator 9210:aan turvattua sähköpostia 19.11.2001
Kuinka palomuuri kesytetään 16.11.2001
Euroopan neuvosto hyväksyi verkkorikossopimuksen 9.11.2001
Työntekijän sähköpostin valvontaan tarvitaan erityislaki 6.11.2001
Vigilante-hakkerit haluavat virallisen aseman 19.10.2001
F-Securelta tietoturvaa Microsoftin Pocket PC 2002 -käyttöjärjestelmään 5.10.2001
FBI mursi sähköpostin yksityisyyden terroristijahdissa 17.9.2001
Virukset huolestuttavat yrityksiä Pohjoismaissa 3.7.2001
Oman käden oikeutta palvelunestohyökkäyksillä 21.6.2001
Tietoturva-aukko Microsoftin päivityksessä 14.6.2001

Oikotie

Työpaikat

Loput 2170 työpaikkaa Oikotiellä

Kommentoi

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.

Lue koko keskusteluetiketti

Bottivarmistus: mitä on nolla ynnä kahdeksan?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.