Lue uutinen mobiilisivustolla

KPY teki rikosilmoituksen palvelimensa valtaamisesta

18.11.2002 17:06 Kuopion Puhelin Oyj on tehnyt rikosilmoituksen testipalvelimensa kräkkäyksestä troijalaisen hyökkäysvaunuksi. Raketti-palvelun ylläpito kuitenkin myöntää, että krakkeri pääsi sen järjestelmään testiserverin vahingossa auki jääneestä takaportista.

Unix-järjestelmissä käytettyyn tcpdump-ohjelmaan sekä verkkoliikenteen tarkkailussa käytettyyn libpcap-verkko-ohjelmaan installoitu troijalainen haki Kuopion Puhelimen mars.raketti.net:n palvelinportista 1963/tcp troijalaisen runkona toimineen takaporttiohjelmiston.

Tämä virusohjelmakoodi avasi ohjelmistopaketin kääntämisen yhteydessä yhteyden IP-osoitteeseen 12.146.0.34, josta ohjelma latasi (mars.raketti.net on port 1963 and reads one of three one byte status codes) kohdekoneeseen muun muassa koodia, jonka avulla hyökkääjän on ollut mahdollista käynnistää shell-käyttöliittymä järjestelmissä, joihin oli asennettu haavoittuvan ohjelmistopaketin lähdekoodi.

?Takaportti unohtui auki?

- Saimme torstaina noin kello 18 tiedon tuosta viruksesta ja sen yhteydestä tuotantotestipalvelimemme ajettiin heti alas. Siinä oli unohtunut yksi takaportti auki, kertoo Kuopion Puhelimen Raketti-palvelua ylläpitävän tytäryhtiön toimitusjohtaja Jarmo Matilainen.

Miettinen korostaa, että palvelin oli kokonaan sisäisessä testikäytössä eikä palvelimen alas ajaminen vaikuttanut mitenkään asiakashallintaan.

Tämän jälkeen Matilainen toimitti järjestelmätiedot ja lokit krp:lle, joka tutkii tietomurtoa. Rikosilmoituksen nimike on tunkeutuminen ja laiton järjestelmän käyttö. Matilainen korostaa, että nyt paljastunutta vastaavat tietomurrot eivät ole harvinaisia.

Viestintäviraston tietoturvayksikkö Cert-Fi kertoi viime viikon torstaina troijan hevoseksi kutsutusta viruskoodista, joka toimii soluttautuneena kahteen tärkeään verkko-ohjelmaan. Tunkeilija murtautui maanantaina klo 12 Suomen aikaa ohjelmistopaketteja jakelevalle http-palvelimelle ja yhdisti virusohjelmansa lukemaan vallattua Raketti-severiä.

Tpcdumpin kehittäjät estivät muutettujen pakettien jakelun samoihin aikoihin, kun vallattu Raketti-severi ajettiin alas. Ohjelmistojen jakelu oli saastunut 11.11-13.11 klo 17.05 välisenä aikana. Tällä välillä ladattujen pakettien md5-tarkistuskoodit on syytä tarkistaa.

Reijo Holopainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta