Näin xss-aukoilla on hyökätty
Suomalaiset tietotekniikkaharrastajat demonstroivat liikenne- ja viestintäministeriön sivuilta löytynyttä xss-haavoittuvuutta upottamalla Wikipedian artikkelin haavoittuvuuksista sivuille.
31.3.2008 14:44 Haavoittuvuus Danske Bankin verkkopankissa paljasti xss-ongelmavyyhden. Maailmalla xss-haavoittuvuuksien avulla on varastettu esimerkiksi pankkitunnuksia ja luottokorttien numeroita.
Viime viikolla paljastunut Sampo Pankin tietoturvahaavoittuvuus on nostanut cross-site scripting- eli xss-haavoittuvuudet tapetille.
Suomalaiset tietotekniikan harrastajat ovat paljastaneet vastaavia haavoittuvuuksia myös muiden pankkien, yritysten, valtionhallinnon ja median verkkosivuilta.
Kyseessä on kaikkea muuta kuin uusi ilmiö.
– Samaa tekniikkaa on hyödynnetty jo vuosikausia ennen kuin koko xss-termi yleistyi, TietoEnatorilla työskentelevä tietoturvaneuvonantaja Tomi Tuominen sanoo.
Tuominen kertoo kuulleensa vastaavista haavoittuvuuksista ensimmäistä kertaa vuonna 1997.
– Se, että haavoittuvuuksia löytyy näin monelta sivulta kertoo omaa tarinaansa ohjelmistokehittäjien arjesta. Kovien aikataulupaineiden alla tietoturva ei aina ole päällimmäisenä mielessä, Tuominen sanoo.
Hieman yksinkertaistettuna xss-hyökkäyksissä on kyse siitä, että sivuston syötteentarkastus on toteutettu puutteellisesti.
Huolimattomasti toteutetulla sivulla käyttäjä saattaa pystyä muokkaamaan sivuston ulkonäköä esimerkiksi syöttämällä omaa koodiaan sivulla pyörivän hakukoneen hakulausekkeisiin.
Puutteellinen syötteentarkistus voi altistaa sivuston monille erilaisille hyökkäyksille, joista xss on vain yksi esimerkki.
Se, että joltain sivulta löytyy xss-aukko, ei ole itsessään vielä katastrofi, Tuominen muistuttaa. Tietyillä herkkää tietoa käsittelevillä sivuilla haavoittuvuus avaa kuitenkin suuret mahdollisuudet väärinkäytöksille.
Digitoday listasi törkeimpiä esimerkkejä siitä, mihin kaikkeen verkkosivujen xss-haavoittuvuuksia on maailmalla käytetty.
Banca Fideuram, 2008: Italialaisen pankin sivuille upotettu kalastelu-sivu onnistui hämäämään useita.
Sen avulla vorot urkkivat pankkitunnuksia ja salasanoja, jotka siirrettiin nopeasti Taiwanissa sijaitsevalle palvelimelle.
Orkut, 2006: Yhteisösivusto kärsi niin kutsutusta pysyvästä xss-haavoittuvuudesta, jonka avulla pystyttiin varastamaan vierailijoiden evästetietoja.
Varustettujen evästetietojen avulla hyökkääjä pystyi varastamaan esimerkiksi muiden käyttäjien luomia ryhmiä.
PayPal, 2006: Verkkomaksuja välittävän PayPalin sivut kärsivät xss-haavoittuvuudesta.
Sen avulla saatiin kalasteltua luottokorttinumeroita ja henkilökohtaisia tietoja.
Google, 2005: Xss-haavoittuvuus antoi voroille mahdollisuuden esiintyä Google.comin muiden käyttäjien nimillä.
MySpace, 2005: Samy-nimeä kantanut xss-mato levisi MySpaceen luodusta profiilisivusta toiseen kulovalkean tavoin. Virus levisi 20 tunnin aikana yli miljoonalla käyttäjälle.
Aleksi Moisio
aleksi.moisio@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 00:22 Windows 8:n testiversio ilmestyy karkauspäivänä
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Brittilehti sekaantui sähköpostien vakoiluun
- 8.2. Tieto etsii Nokialle korvaajaa Android-töistä
- 8.2. Xbox nousi vuoden ostetuimmaksi
- 8.2. @450-verkko vaihtaa tekniikkaa
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Nokian potkut uhkaavat tuhatta Salon tehtaalla
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Konesalihaaveri heikensi Tiedon kannattavuutta
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 8.2. IPadille haetaan porttikieltoa Kiinaan
- 7.2. Suomalaiset taitavat tietoturvan hopean arvoisesti
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 7.2. Googlen Terminator-lasit täydentävät todellisuutta
- 7.2. Amazon aikoo perustaa oikean kaupan
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Nokia Lumia saa valkoisen värin
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 6.2. Suosittu piraattisivusto antautui
- 6.2. Google pyyhki Atlantiksen kartalta
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 6.2. Nokia Lumia saa valkoisen värin
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Apple hakkasi Nokian ennätyksen
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 8.2. Applen televisio voi saada liikeohjauksen
- 7.2. Microsoft poistaa start-napin
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Yhdysvaltain lääkevirastoa syytetään Gmail-vakoilusta 13:36
- Lisää
Digiyesterday
Viisi vuotta sitten
Etteplanin tulos tuplaantui
09.02.2007 Teollisuudelle suunnittelupalveluja tarjoavan Etteplanin tulos ennen veroja lähes kaksinkertaistui tammi–joulukuussa verrattuna edellisvuoteen.
Kolme vuotta sitten
Comptel irtisanoo 45 työntekijää Suomessa
09.02.2009 Ohjelmistoja operaattoreille kehittävä Comptel irtisanoo yt-neuvottelujensa tuloksensa 45 työntekijää Suomessa. Yhtiön työntekijämäärä Suomessa on noin 300.
Taloussanomat
- Asunnon ostaja, älä luule – yritä selvittää 06:01
- Kreikalla 15 päivää aikaa etsiä 300 miljoonan euron säästöt 07:59
- Yle: M-realin ranskalaistyöntekijät hurraavat torjuntavoittoa 07:52
- Viivoja vedetään kartalle – katso miten kunnallesi käy 13:51
- S&P: Kreikalle ei riitä edes 70 prosenttia 21:15
- Trygin taival Suomessa takkuilee – myyntiä harkitaan 19:52
- Koko superjumbolaivue seulotaan siipirikkojen varalta 20:38
- OP-Pohjola: Nyt se on loppu – marginaalit tuplaantuvat 15:50
- Nokian irtisanomiset: ”1990-luvun lamasta alkanut draamankaari päättyy” 11:26
- Näin Elop vuosi sitten: Salolla on tärkeä rooli 11:15
- » Taloussanomat.fi
-
550 e
Fujitsu Lifebook P770 3G (Core i7-660UM, 4 GB, 12,1", Win 7 Professional), kannettava tietokone
-
307 e
Sony Vaio VPCSA2Z9E (Core i7-2620M, 8 GB, 13,3", Win 7 Professional), kannettava tietokone
-
184 e
HP Elitebook 8440P (Core i5-520M, 2 GB, 14", Win 7 Professional), kannettava tietokone
-
178 e
Fujitsu Lifebook S751 (Core i5-2520M, 4 GB, 320 GB, 14", Win 7 Professional), kannettava tietokone
-
152 e
-
-355 e
-
-260 e
LG A520 (Core i7-2630QM, 6 GB, 15,6", Win 7 Home Premium), kannettava tietokone
-
-238 e
-
-238 e
-
-211 e
Kommentit (18)
Milloin ne meinaavat saada tämän kuntoon ja onko tehty suunnitelmaa vanhaan systeemiin palaamisksi? Luottamukseni on täysin kadonnut ja iso laina on pankissa otettuna. Hemmetin hemmetti, voiko tässä tilanteessa vielä vaihtaa pankkkia?
Milloin ne meinaavat saada tämän kuntoon ja onko tehty suunnitelmaa vanhaan systeemiin palaamisksi? Luottamukseni on täysin kadonnut ja iso laina on pankissa otettuna. Hemmetin hemmetti, voiko tässä tilanteessa vielä vaihtaa pankkkia?
Sen verran vielä lisäystä, että sana todellakin oli "teknillisen" eikä "teknisen". Muutenkin laatikon sanoma oli huonoa suomea. Olkaapa nyt ihmiset tarkkana.
-tiedot ovat oikein, mutta verkkopankki vain näyttää ne väärin
-verkkopankki toimii kyllä, mutta sinne ei pääse
-ongelmat johtuvat pääosin käyttäjien vanhentuneista koneista
-jne.
Tai sitten kun pääsee, tiedot näkyvät väärin.