Lue uutinen mobiilisivustolla

Näin xss-aukoilla on hyökätty

Suomalaiset tietotekniikkaharrastajat demonstroivat liikenne- ja viestintäministeriön sivuilta löytynyttä xss-haavoittuvuutta upottamalla Wikipedian artikkelin haavoittuvuuksista sivuille.

31.3.2008 14:44 Haavoittuvuus Danske Bankin verkkopankissa paljasti xss-ongelmavyyhden. Maailmalla xss-haavoittuvuuksien avulla on varastettu esimerkiksi pankkitunnuksia ja luottokorttien numeroita.

Viime viikolla paljastunut Sampo Pankin tietoturvahaavoittuvuus on nostanut cross-site scripting- eli xss-haavoittuvuudet tapetille.

Suomalaiset tietotekniikan harrastajat ovat paljastaneet vastaavia haavoittuvuuksia myös muiden pankkien, yritysten, valtionhallinnon ja median verkkosivuilta.

Kyseessä on kaikkea muuta kuin uusi ilmiö.

– Samaa tekniikkaa on hyödynnetty jo vuosikausia ennen kuin koko xss-termi yleistyi, TietoEnatorilla työskentelevä tietoturvaneuvonantaja Tomi Tuominen sanoo.

Tuominen kertoo kuulleensa vastaavista haavoittuvuuksista ensimmäistä kertaa vuonna 1997.

– Se, että haavoittuvuuksia löytyy näin monelta sivulta kertoo omaa tarinaansa ohjelmistokehittäjien arjesta. Kovien aikataulupaineiden alla tietoturva ei aina ole päällimmäisenä mielessä, Tuominen sanoo.

Hieman yksinkertaistettuna xss-hyökkäyksissä on kyse siitä, että sivuston syötteentarkastus on toteutettu puutteellisesti.

Huolimattomasti toteutetulla sivulla käyttäjä saattaa pystyä muokkaamaan sivuston ulkonäköä esimerkiksi syöttämällä omaa koodiaan sivulla pyörivän hakukoneen hakulausekkeisiin.

Puutteellinen syötteentarkistus voi altistaa sivuston monille erilaisille hyökkäyksille, joista xss on vain yksi esimerkki.

Se, että joltain sivulta löytyy xss-aukko, ei ole itsessään vielä katastrofi, Tuominen muistuttaa. Tietyillä herkkää tietoa käsittelevillä sivuilla haavoittuvuus avaa kuitenkin suuret mahdollisuudet väärinkäytöksille.

Digitoday listasi törkeimpiä esimerkkejä siitä, mihin kaikkeen verkkosivujen xss-haavoittuvuuksia on maailmalla käytetty.

Banca Fideuram, 2008: Italialaisen pankin sivuille upotettu kalastelu-sivu onnistui hämäämään useita.

Sen avulla vorot urkkivat pankkitunnuksia ja salasanoja, jotka siirrettiin nopeasti Taiwanissa sijaitsevalle palvelimelle.

Orkut, 2006: Yhteisösivusto kärsi niin kutsutusta pysyvästä xss-haavoittuvuudesta, jonka avulla pystyttiin varastamaan vierailijoiden evästetietoja.

Varustettujen evästetietojen avulla hyökkääjä pystyi varastamaan esimerkiksi muiden käyttäjien luomia ryhmiä.

PayPal, 2006: Verkkomaksuja välittävän PayPalin sivut kärsivät xss-haavoittuvuudesta.

Sen avulla saatiin kalasteltua luottokorttinumeroita ja henkilökohtaisia tietoja.

Google, 2005: Xss-haavoittuvuus antoi voroille mahdollisuuden esiintyä Google.comin muiden käyttäjien nimillä.

MySpace, 2005: Samy-nimeä kantanut xss-mato levisi MySpaceen luodusta profiilisivusta toiseen kulovalkean tavoin. Virus levisi 20 tunnin aikana yli miljoonalla käyttäjälle.

Lue myösXss.dy.fi-palveluun koottu lista haavoittuneista sivuista

Aleksi Moisio
aleksi.moisio@sanoma.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (17)

Sivut: 1 2

EdellinenSeuraava

Anonyymi

 0  0

Asiaton viesti Lainaa

Se ei ole aukko, kunnes me pystymme itse varmistamaan että se on aukko.

Hannu Vuola 31.3.2008 16:40

Anonyymi

 0  0

Asiaton viesti Lainaa

Korvausvaatimus ei vielä ole hyväksytty. Onko muilla kokemuksia?

kiltti asiakas 31.3.2008 18:07

Anonyymi

 0  0

Asiaton viesti Lainaa

Yritin äsken kirjautua sampopankkiin sisälle. Ruudulle pamahti popup-ikkuna, jossa sanottiin suunnilleen näin: "Olemme löytäneet teknillisen virheen. Haluatko kirjautua verkkopankkiin?" Kun painoin OK-nappulaa, salasanaa ja tunnusta kysyttiin uudestaan. En uskaltanut jatkaa, vaan menin uudelleen etusivulle ja tällä kertaa ilmoitusta ei tullut. Loggauduin sisään, ja huomasin, että viimeisestä noin 10 maksutapahtumasta ei ollut selitettä.

Milloin ne meinaavat saada tämän kuntoon ja onko tehty suunnitelmaa vanhaan systeemiin palaamisksi? Luottamukseni on täysin kadonnut ja iso laina on pankissa otettuna. Hemmetin hemmetti, voiko tässä tilanteessa vielä vaihtaa pankkkia?

Äsken 31.3.2008 18:08

Anonyymi

 0  0

Asiaton viesti Lainaa

Yritin äsken kirjautua sampopankkiin sisälle. Ruudulle pamahti popup-ikkuna, jossa sanottiin suunnilleen näin: "Olemme löytäneet teknillisen virheen. Haluatko kirjautua verkkopankkiin?" Kun painoin OK-nappulaa, salasanaa ja tunnusta kysyttiin uudestaan. En uskaltanut jatkaa, vaan menin uudelleen etusivulle ja tällä kertaa ilmoitusta ei tullut. Loggauduin sisään, ja huomasin, että viimeisestä noin 10 maksutapahtumasta ei ollut selitettä.

Milloin ne meinaavat saada tämän kuntoon ja onko tehty suunnitelmaa vanhaan systeemiin palaamisksi? Luottamukseni on täysin kadonnut ja iso laina on pankissa otettuna. Hemmetin hemmetti, voiko tässä tilanteessa vielä vaihtaa pankkkia?

Sen verran vielä lisäystä, että sana todellakin oli "teknillisen" eikä "teknisen". Muutenkin laatikon sanoma oli huonoa suomea. Olkaapa nyt ihmiset tarkkana.

Äsken 31.3.2008 18:12

Anonyymi

 0  0

Asiaton viesti Lainaa

Olen (entinen) Mandatumin asiakas, enkä pääse tunnuksilla sisään. Ovatko muut ex-mantalaiset päässeet sisään tutkailemaan tilejään ja pörssitapahtumiaan?

Rovaniemi 31.3.2008 18:15

Anonyymi

 0  0

Asiaton viesti Lainaa

-virhe ei ole virhe vaan puute
-tiedot ovat oikein, mutta verkkopankki vain näyttää ne väärin
-verkkopankki toimii kyllä, mutta sinne ei pääse
-ongelmat johtuvat pääosin käyttäjien vanhentuneista koneista
-jne.

Myöskään 31.3.2008 18:16

Anonyymi

 0  0

Asiaton viesti Lainaa

Onneks ei oo kyseisen firman tilillä ku joku 30 ecuu.

No huh huh 31.3.2008 18:17

Anonyymi

 0  0

Asiaton viesti Lainaa

virkaa on verkkopankilla, jos sinne ei pääse.
Tai sitten kun pääsee, tiedot näkyvät väärin.

Mitä 31.3.2008 18:19

Anonyymi

 0  0

Asiaton viesti Lainaa

Saadaanko ennakkotapaus miten kokonainen pankki kaatuu kun IT järjestelmien uudistus tehtiin liian kireällä aikataululla, liian pienellä budjetilla ja kvartaalitalouden sääntöjen edessä taipuen? Saadaanko business kouluihin malliesimerkki miten IT järjestelmän voi tuhota käyttökelvottomaksi ja epäkurantiksi katastrofaalisin seurauksin johtamalla projektia huonosti?

Klaus Töppermann 31.3.2008 18:26

Anonyymi

 0  0

Asiaton viesti Lainaa

Se ei ole aukko, kunnes me pystymme itse varmistamaan että se on aukko.

Mukaellen Iraqi Information Ministeriä: "Vääräuskoiset asiakkaamme tekevät sadoittain itsemurhia verkkopankkimme palomuurien edessä! Olkaa rauhassa, Sampo Pankin verkkopankki on turvallinen, suojattu!" (Alkup. "Their infidels are committing suicide by the hundreds on the gates of Baghdad. Be assured, Baghdad is safe, protected.")

Tästä saisi vaikka surkean suomalais-tanskalaisen komediasarjan Jope Ruonansuulla, PP-Peteliuksella ja jollain tanskalaisilla "tähditettynä" ...

welovetheiraqiinform 31.3.2008 18:32

Sivut: 1 2

EdellinenSeuraava

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kahdeksan ynnä kahdeksantoista?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.