Taloussanomat
Lue uutinen mobiilisivustolla
Toinen serveri hyökkäsi

Tietoturva-aukko mahdollisti palvelimen kaappauksen

20.11.2001 09:36 Krakkerit voivat kaapata huonosti suojatun palvelimen väliasemaksi jatkohyökkäyksessään kohti varsinaista tietomurron pääkohdetta. Näin kävi viime viikolla Suomessa.

Pääkaupunkiseudulla toimiva koulutusyritys joutui viime viikolla useita vuorokausia kestäneen, varsin erikoisen tietomurron kohteeksi. Hyökkäyksen päätarkoitus ei kaikesta päätellen ollut koulutusyritys, vaan serveriä käytettiin alustana jatkohyökkäyksessä toisaalle. Tehtiinkö tämä hyökkäys pingaamalla, sitä ei tiedetä, koska loki puuttuu.

Jälkien perusteella voi päätellä, että murtautujat yrittävät koulutuspalveluyrityksen serverin kautta operoida hyökkäyksen jollekin toiselle palvelimelle, joka lienee ollut sisällöltään arvokkaampi. Tapaus on annettu poliisitutkintaan. Yritys ei halua nimeään julkisuuteen.

Tapaukseen perehtynyt yrityksen it-tuki toteaa, että palomuuri ei suojannut serveriä. Löytämästään IIS 4.0 -palvelimen tietoturva-aukosta krakkerit pääsivät tallettamaan serverille asp-scriptin.

000 Software and virus: upload-kuva
Yhtä mmc.exe-tiedostoa tunkeutujat olivat peukaloineet niin, ettei se enää auennut. Krakkerit tallensivat palvelimelle murtoa varten erinäisiä tarpeellisia apuvälineitä.

Oma kirjautumispalvelin pystyyn

Tämän jälkeen hyökkääjät asensivat serverille oman kirjautumispalvelimen työskentelynsä helpottamiseksi.

Tunkeilijoiden työ oli perusluontoista. Sillä ei juuri voinut olla muuta tarkoitusta kuin murtaa yhteyden avulla joku toinen paremmin suojattu serveri, ja käyttää tätä vallattua jälkien häivytykseen.

F-Secure Oyj: loginikkunapieni
Toiminta serverillä kesti 12. - 16. marraskuuta. Murron paljasti sähköpostitse saatu viesti porttien varaamisesta. Lisäksi kirjautuminen serverin omalle IIS-palvelimelle estettiin havaintojen tekemiseksi.

Ellei ammattimaisuudesta, niin ainakin huolellisuudesta kertoo, että hyökkäysohjelmat oli piilotiedostoja. Tietojärjestelmämurrossa käytettyjä kirjautumisnimiä olivat: "avl", "gaga" sekä "fugiisadmin".

Murron motiivi ja serverin jatkokäyttö

- Tämän murtautumisen ilmiselvä tarkoitus oli serverin jatkokäyttö muihin tietoturvarikoksiin, toteaa haastattelemamme asiantuntija, joka vastaa yhtiön tietotekniikasta.

Asiantuntijan mukaan krakkerit ovat kiinnostuneet kiinteällä yhteydellä varustetuista, huonosti suojatuista palvelimista, joihin ei ole tehty maailmalla yleisesti julkaistuja tietoturvapäivityksiä.

- Krakkerit eivät välttämättä koske palvelimella oleviin tiedostoihin vaan tarvitsevat palvelinta epäsuoran hyökkäyksen tekemiseen, hän lisää.
Asiantuntija vertaa serverin kaappausta pankkiryöstöön, jossa myös työvälineet ovat varastettu paljastumisen estämiseksi. Vielä ei ole tietoa krakkereiden varsinaisesta murron pääkohteesta, onko myös siinä hyökkäyksessä onnistuttu.

Jutun kirjoitti: Reijo Holopainen

Reijo Holopainen

Kommentoi

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

Viisi vuotta sitten

Microsoft maksaa hakukoneellaan ostoksia tekeville

22.05.2008 Microsoft kokeilee cashback-järjestelmää, jossa Live Search -hakukoneen kautta verkkokauppaan päätyneelle maksetaan pieni hyvitys.

.