Nettilomake on tulevaisuuden tietoturvauhka
Kuva: Timo Poropudas
12.10.2007 13:19 (päivitetty 13:27) Robert E. Lee tienaa elantonsa keinoilla, jotka voisivat tuoda harrastelijoille vuosien vankilatuomiot. Hän on turvallisuusjohtaja Outpost24 AB:ssä. Yritys tarjoaa ennakoivaa tietoturvapalvelua, joka skannaa yritysten verkoista tietoturva-aukkoja.
Robert Lee ennakoi, että tietoturvauhka kohdistuu seuraavaksi yrityksiin web-lomakkeiden kautta.
- Yhä useammin yritykset ovat sulkeneet pääsyn tietokantoihinsa ja operatiivisiin järjestelmiinsä lainsäädännön ja tietoturvan vaatimusten takia. Yhteistyökumppaneiden ja asiakkaiden asiointi on järjestetty web-palveluiden kautta, Lee sanoo.
Hänen mukaansa tämä johtaa siihen, että myös murtautumisyritykset tehdään web-liittymän kautta.
Outpost24 AB tuo 2008 markkinoille uuden palvelun, joka keskittyy web-lomakkeiden testaamiseen. Palvelu skannaa ensin web-liittymän kaikki kentät, joihin voi syöttää tietoa ja ajaa sitten jokaiseen kenttään mahdollisia käskyjä ja muuta virhekoodia. Tällä tavoin se testaa, ettei lomakkeiden kautta päästä käsiksi asiattomiin tietoihin tai pystytä horjuttamaan järjestelmää.
Ruotsalainen tietoturvayritys osti Leen kalifornialaisen Dyad Securityn viime vuonna. Se kuuluu maailman johtaviin ennakoivaa tietoturvaa tarjoaviin yrityksiin. Sen pääkilpailija on yhdysvaltainen Qualys Inc. Molemmat ovat yksityisessä omistuksessa olevia yrityksiä. Amerikkalaisyrityksessä on mukana riskirahaa, mutta ruotsalaisyritys on pystynyt kasvamaan lähes kokonaan ilman sitä.
Outpost24 avasi tänä syksynä myyntikonttorin Suomeen. Outpost24 on jo aiemmin avannut toimipisteet muun muassa Tanskassa, Hollannissa, Britanniassa, Espanjassa, Turkissa, Thaimaassa ja Yhdysvalloissa. Yhtiön strategiassa myyntityö tapahtuu paikallisesti, mutta tuotekehitys on keskitetty Ruotsiin.
Robert Lee ei enää hakkeroi järjestelmiä henkilökohtaisesti vaan hänen tehtävänsä on myynnin edistäminen. Suomessa hän osallistui puhuja T2-tietoturvapäiville Helsingin Kalastajatorpalla perjantaina.
Dyad Security tarjosi konsultointia, jonka yhteydessä Lee hakkeroi sisään suurten yritysten järjestelmiin löytääkseen tietoturva-aukot.
- Pystyimme tunkeutumaan jokaisen asiakkaan järjestelmään, johon yritimme.
Outpost24 tarjoaa tietoturvaskannausta sekä suorana palveluna että asiakaan verkkoon asennettavana sovelluksena, jolla asiakas skannaa järjestelmänsä säännöllisin väliajoin. Sovelluksissa on neuvoja ja keinoja aukkojen sulkemiseen. Lisäksi yritys tarjoaa 24 tuntia vuorokaudessa puhelintukea.
Myös varoitukset viruksista ja löydetyistä haavoittuvuuksista kuuluvat palvelun piiriin.
Leen mukaan ensimmäinen turvaskannaus löytää keskimäärin sata vaarallista haavoittuvuutta ja tuhansia vähäisiä uhkia.
- Vuoden kuluttua tietoturva-aukkoja on paikattu niin, että vakavia haavoittuvuuksia löytyy enää neljä tai viisi.
Halpaa huvia Outpostin palvelujen käyttäminen ei ole. Suuret yritykset maksavat vuosisopimuksesta 100 000 - 500 000 euroa vuodessa. Keskisuuri yritys voi selvitä 30 000 eurolla.
- Palvelumme kustannus edustaa kuitenkin vain alle prosenttia asiakkaiden it-budjetista, Lee sanoo.
Timo Poropudas
timo.poropudas@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Nokia luopuu isosta massatapahtumasta
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Hiirelle kaveriksi usb-hamsteri
26.05.2007 Usb-liitännästä saa virtaa ulos maksimissaan muutaman sadan milliampeerin virran. Tätä määrää virtaa voi käyttää mitä ihmeellisimpien tietokoneen lisälaitteiden toimintaan - tai no, isoa osaa näistä laitteista ei voi kutsua tietokoneen lisälaitteeksi, kuten nyt vaikkapa tätä juoksupyörää.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Ainakin 2000 saa potkut RIMiltä 09:44
- Suomi löysi taas Nokian älypuhelimet 06:01
- » Taloussanomat.fi
Kommentit (25)
Taitaa olla hiukan markkinointilukuja mukana - toki isossa palvelussa sama systemaattinen haavoittuvuus voi toistua useassa muuttujassa. Meidän organisaatio ei kyllä ole (toivottavasti!) enää siinä tilanteessa, että tuollaisia lukuja tulisi.
Jos Outpostin tuote todella eroaa "kolmen isosta" (Watchfire/IBM AppScan, SpiDynamics/HP Webinspect ja Cenzic Hailstorm), niin tokihan se kiinnostaa.
Onko kenelläkään tiedossa objektiivista vertailua näistä kaikista?
Valmistajilla ja myyjillä kun on tapana kehua omiaan..
Toisaalta talouselämmän jään kolumnisti patistaa pomoa kiirakaroimaan mätäpaiseet organisaatiosta, ehkä pä joku tietoinen on piilottanut linssien väliin peilin.?
Ovatko kaikki bugit pahempia/pienempiä ruorissa olijalta vai märssypurjeen laskijalla?
Jos vaikka käytät kampuksen / organisaation verkkoa johonkin - käytännössä lailliseen toimintaan jossa mainitset mm. kohdallesi ilmenneitä epäkohtia jidenkin sosiaalisessa käytöksessä esim. - ja toteat että - vaikka siitä ei ole julkisestikaan organisaatiossa mainittu - vahtii vainoharhaisuuteen sivuavalla raiteella alaistaan verkon yli, tee asialle jotain.
Jos vaikkka campuksella epäilet jonkun - ehkäpä kateellisen ... naapurin WAU! what an idea - kyttäävän / harrastavan teollisuusvakoilua (ja sosiaalisissa kontakteissa sitten välttelee) verkon tutujen kautta, hankippa vaikkapa kirjatosta opus romppujen kera, ja huomannet että tämä ei huomannut rompulta downloadattua SDK:ta / filea verkkolataamisen sijasta. Voidaan sitten päätellä yhtä ja toista....
Jos vielä jotain tunnistettavaa on.
Mikähän vertailu tuo viitattu saksalainen mahtaa olla?