Lue uutinen mobiilisivustolla

Tietomurtajalla on monta tietä

24.6.2005 07:36 Hyökkääjät yrittävät päästä yrityksen tietojärjestelmään yhä useammin käyttäjän tietokoneen kautta. Tämän epäillään olleen myös luottokorttivarkaiden reitti CardSystemsin järjestelmiin, jossa hyökkääjät ehtivät majailla viime vuoden elokuusta asti.

Hyökkäyksiä käyttäjäpuolelle ajaa palvelinhaavoittuvuuksien hyväksikäytön vaikeutuminen ja suojauksien kohentuminen.

Tietoenatorin tietoturvaneuvonantaja Tomi Tuominen jakaa yleiset hyökkäykset kolmeen ryhmään.

– Hyökkääjät hyödyntää palvelinpään haavoittuvuuksia tai ulkoisia liitäntäpintoja, kuten mainospalvelimia tai nettisivujen laskuripalveluita. Yhä useammin kuitenkin hyökkäys tehdään niin kutsuttujen client-side-haavoittuvuuksien avulla.

Linux-projektin murto on oiva esimerkki

– Hyökkääjät katsovat, että järjestelmään on vaikea päästä suoraan. Kohteeksi otetaan ensin joku järjestelmän käyttäjä ja selvitetään, mitä ohjelmia hän käyttää ja miten hän käyttää verkkoa. Sitten hyödynnetään vaikka selaimen, sähköpostiohjelman tai irc-clientin aukkoa.

Tuomisen mukaan tällä tavalla murtauduttiin Debian-linux-projektin palvelimille marraskuussa 2003. Hänen mukaansa hyökkääjät pääsivät projektin ylläpitäjän tietokoneelle Epic 4 -irc-ohjelman haavoittuvuuden avulla.

Murretulta työasemalta varastetaan tavallisesti käyttäjän ssh-avaimet, joilla päästään seuraavalle koneelle.

– Sieltä taas kerätään tarpeelliset ssh-avaimet ja jatketaan matkaa.

Kolmatta ryhmää tuominen kutsuu client-side-injektio-hyökkäyksiksi.

– Esimerkiksi seminaarissa kuljetetaan käyttäjien wlan-liikenne oman tietokoneen kautta ja injektoidaan haittakoodia verkkoliikenteen sekaan. Oma lukunsa ovat sitten vielä tapaukset, joissa käytetään social engineeringiä pääsyn saamiseksi.

Vain harva osaa hyökätä suoraan

Hyökkääjät valitsevat kiertoreittejä, koska palvelinpuolelle on turhan vaikea päästä suoraan.

– Hyökkäykset eivät ikinä huonone, ne vain paranevat. Buffer overflow- ja integer overflow -tyyppiset aukot olivat jossain vaiheessa kova sana. Ne on saatu aika hyvin karsittua pois. Nykyisten haavoittuvuuksien hyödyntäminen onnistuu yhä pienemmältä joukolta ihmisiä.

– Jos yritys on nähnyt vähääkään vaivaa palvelinten suojaamiseen, on kynnys jo niin korkealla, ettei sinne millään lauantaikonsteilla mennä.

Poliisikaan ei kuule murroista

Tuominen arvelee, että useissa tietomurtotapauksissa hyökkääjät ovat levittäneet bottiohjelmaansa tai troijalaista ja huomanneetkin osuneensa kultasuoneen. Tiettyyn yritykseen kohdennetuista murroista kuullaan harvoin julkisuudessa, koska yritykset varjelevat mainettaan. Tietomurrosta kun harvemmin kerrotaan poliisille.

– Rikosilmoitus kannattaisi ilman muuta tehdä.

– Muuten syntyy kierre. Poliisi ei saa rahoitusta tai henkilöstöä, koska tiettyä rikostyyppiä ei tilastojen mukaan ole. Siksi poliisi ei saa välttämättä ratkaistua tapauksia, eivätkä yritykset myöskään ota yhteyttä poliisiin.

Tuominen kehottamaan yrityksiä olemaan luottamatta liikaa päivitysten tuomaan turvaan.

– Oman ympäristön suojaamisen pitäisi perustua johonkin muuhun kuin siihen, että se oma postipalvelin on niin pomminvarma, ettei sitä pystytä murtamaan.

– Ne jotka uskovat, ettei zero day -hyökkäyksiä ole, ovat totaalisen väärässä. Niitä kyllä on, mutta eiväthän ne olisi sellaisia, jos niistä tiedettäisiin julkisuudessa.

Haittaohjelma kaivoi korttitiedot?

Yhdysvaltalaisen CardSystemsin järjestelmiin tehty tietomurto on vaarantanut jopa 40 miljoonan luottokortin tiedot. Joukossa on tuhansia suomalaisten kortteja.

Maksutapahtumia välittävä CardSystems on ollut vaitonainen tapauksen yksityiskohtien suhteen. Luottokunta kertoi maanantaina saaneensa Visalta ja MasterCardilta tiedon, jonka mukaan hyökkääjät pääsivät järjestelmään jo viime vuoden elokuussa.

Useat tietoturva-asiantuntijat ovat esittäneet arvailujaan murtotavasta lehdistölle. Yksi teorioista on, että murtautujat ovat päässeet CardSystemsin verkkoon yhtiön työntekijöiden käytössä olleiden tietokoneiden kautta.

Mastercard International on kertonut, että murtautujat asensivat ohjelmistohaavoittuvuuden avulla tietojärjestelmään haittaohjelman, jota käytettiin tietojen varastamisessa.

Verkkokeskusteluissa on myös spekuloitu CardSystemsin Windows 2000/IIS 5.0 -palvelimella pyörivien nettisivujen perusteella, että yhtiöllä olisi myös muualla tietojärjestelmissään käytössä Microsoftin tuotteita, joiden haavoittuvuuksia olisi käytetty hyväksi murrossa.

– Hirveän vaikea uskoa, että kriittisiin tietojärjestelmiin olisi ollut suora pääsy. Todennäköisesti järjestelmään on menty käyttäjän työaseman kautta, Tietoenatorin Tomi Tuominen sanoo.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Poliisikoulun rehtori: Työharjoittelukäytäntöjä ei tarpeen muuttaa