Taloussanomat
Lue uutinen mobiilisivustolla
Digitoday listasi viisi törkeintä hyökkäystä

Näin xss-aukoilla on hyökätty

Suomalaiset tietotekniikkaharrastajat demonstroivat liikenne- ja viestintäministeriön sivuilta löytynyttä xss-haavoittuvuutta upottamalla Wikipedian artikkelin haavoittuvuuksista sivuille.

31.3.2008 14:44 Haavoittuvuus Danske Bankin verkkopankissa paljasti xss-ongelmavyyhden. Maailmalla xss-haavoittuvuuksien avulla on varastettu esimerkiksi pankkitunnuksia ja luottokorttien numeroita.

Viime viikolla paljastunut Sampo Pankin tietoturvahaavoittuvuus on nostanut cross-site scripting- eli xss-haavoittuvuudet tapetille.

Suomalaiset tietotekniikan harrastajat ovat paljastaneet vastaavia haavoittuvuuksia myös muiden pankkien, yritysten, valtionhallinnon ja median verkkosivuilta.

Kyseessä on kaikkea muuta kuin uusi ilmiö.

– Samaa tekniikkaa on hyödynnetty jo vuosikausia ennen kuin koko xss-termi yleistyi, TietoEnatorilla työskentelevä tietoturvaneuvonantaja Tomi Tuominen sanoo.

Tuominen kertoo kuulleensa vastaavista haavoittuvuuksista ensimmäistä kertaa vuonna 1997.

– Se, että haavoittuvuuksia löytyy näin monelta sivulta kertoo omaa tarinaansa ohjelmistokehittäjien arjesta. Kovien aikataulupaineiden alla tietoturva ei aina ole päällimmäisenä mielessä, Tuominen sanoo.

Hieman yksinkertaistettuna xss-hyökkäyksissä on kyse siitä, että sivuston syötteentarkastus on toteutettu puutteellisesti.

Huolimattomasti toteutetulla sivulla käyttäjä saattaa pystyä muokkaamaan sivuston ulkonäköä esimerkiksi syöttämällä omaa koodiaan sivulla pyörivän hakukoneen hakulausekkeisiin.

Puutteellinen syötteentarkistus voi altistaa sivuston monille erilaisille hyökkäyksille, joista xss on vain yksi esimerkki.

Se, että joltain sivulta löytyy xss-aukko, ei ole itsessään vielä katastrofi, Tuominen muistuttaa. Tietyillä herkkää tietoa käsittelevillä sivuilla haavoittuvuus avaa kuitenkin suuret mahdollisuudet väärinkäytöksille.

Digitoday listasi törkeimpiä esimerkkejä siitä, mihin kaikkeen verkkosivujen xss-haavoittuvuuksia on maailmalla käytetty.

Banca Fideuram, 2008: Italialaisen pankin sivuille upotettu kalastelu-sivu onnistui hämäämään useita.

Sen avulla vorot urkkivat pankkitunnuksia ja salasanoja, jotka siirrettiin nopeasti Taiwanissa sijaitsevalle palvelimelle.

Orkut, 2006: Yhteisösivusto kärsi niin kutsutusta pysyvästä xss-haavoittuvuudesta, jonka avulla pystyttiin varastamaan vierailijoiden evästetietoja.

Varustettujen evästetietojen avulla hyökkääjä pystyi varastamaan esimerkiksi muiden käyttäjien luomia ryhmiä.

PayPal, 2006: Verkkomaksuja välittävän PayPalin sivut kärsivät xss-haavoittuvuudesta.

Sen avulla saatiin kalasteltua luottokorttinumeroita ja henkilökohtaisia tietoja.

Google, 2005: Xss-haavoittuvuus antoi voroille mahdollisuuden esiintyä Google.comin muiden käyttäjien nimillä.

MySpace, 2005: Samy-nimeä kantanut xss-mato levisi MySpaceen luodusta profiilisivusta toiseen kulovalkean tavoin. Virus levisi 20 tunnin aikana yli miljoonalla käyttäjälle.

Lue myösXss.dy.fi-palveluun koottu lista haavoittuneista sivuista
Jutun kirjoitti: Aleksi Moisio

Aleksi Moisio

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (18)

Huono 0
Haavoittuvuus Danske Bankin verkkopankissa paljasti xss-ongelmavyyhden. Maailmalla xss-haavoittuvuuksien avulla on varastettu esimerkiksi pankkitunnuksia ja luottokorttien numeroita.
Digitoday
Huono 0
Se ei ole aukko, kunnes me pystymme itse varmistamaan että se on aukko.
Hannu Vuola
Huono 0
Korvausvaatimus ei vielä ole hyväksytty. Onko muilla kokemuksia?
kiltti asiakas
Huono 0
Yritin äsken kirjautua sampopankkiin sisälle. Ruudulle pamahti popup-ikkuna, jossa sanottiin suunnilleen näin: "Olemme löytäneet teknillisen virheen. Haluatko kirjautua verkkopankkiin?" Kun painoin OK-nappulaa, salasanaa ja tunnusta kysyttiin uudestaan. En uskaltanut jatkaa, vaan menin uudelleen etusivulle ja tällä kertaa ilmoitusta ei tullut. Loggauduin sisään, ja huomasin, että viimeisestä noin 10 maksutapahtumasta ei ollut selitettä.

Milloin ne meinaavat saada tämän kuntoon ja onko tehty suunnitelmaa vanhaan systeemiin palaamisksi? Luottamukseni on täysin kadonnut ja iso laina on pankissa otettuna. Hemmetin hemmetti, voiko tässä tilanteessa vielä vaihtaa pankkkia?
Äsken
Huono 0
Yritin äsken kirjautua sampopankkiin sisälle. Ruudulle pamahti popup-ikkuna, jossa sanottiin suunnilleen näin: "Olemme löytäneet teknillisen virheen. Haluatko kirjautua verkkopankkiin?" Kun painoin OK-nappulaa, salasanaa ja tunnusta kysyttiin uudestaan. En uskaltanut jatkaa, vaan menin uudelleen etusivulle ja tällä kertaa ilmoitusta ei tullut. Loggauduin sisään, ja huomasin, että viimeisestä noin 10 maksutapahtumasta ei ollut selitettä.

Milloin ne meinaavat saada tämän kuntoon ja onko tehty suunnitelmaa vanhaan systeemiin palaamisksi? Luottamukseni on täysin kadonnut ja iso laina on pankissa otettuna. Hemmetin hemmetti, voiko tässä tilanteessa vielä vaihtaa pankkkia?

Sen verran vielä lisäystä, että sana todellakin oli "teknillisen" eikä "teknisen". Muutenkin laatikon sanoma oli huonoa suomea. Olkaapa nyt ihmiset tarkkana.
Äsken
Huono 0
Olen (entinen) Mandatumin asiakas, enkä pääse tunnuksilla sisään. Ovatko muut ex-mantalaiset päässeet sisään tutkailemaan tilejään ja pörssitapahtumiaan?
Rovaniemi
Huono 0
-virhe ei ole virhe vaan puute
-tiedot ovat oikein, mutta verkkopankki vain näyttää ne väärin
-verkkopankki toimii kyllä, mutta sinne ei pääse
-ongelmat johtuvat pääosin käyttäjien vanhentuneista koneista
-jne.
Myöskään
Huono 0
Onneks ei oo kyseisen firman tilillä ku joku 30 ecuu.
No huh huh
Huono 0
virkaa on verkkopankilla, jos sinne ei pääse.
Tai sitten kun pääsee, tiedot näkyvät väärin.
Mitä
Huono 0
Saadaanko ennakkotapaus miten kokonainen pankki kaatuu kun IT järjestelmien uudistus tehtiin liian kireällä aikataululla, liian pienellä budjetilla ja kvartaalitalouden sääntöjen edessä taipuen? Saadaanko business kouluihin malliesimerkki miten IT järjestelmän voi tuhota käyttökelvottomaksi ja epäkurantiksi katastrofaalisin seurauksin johtamalla projektia huonosti?
Klaus Töppermann
Sivut: 1 2 Edellinen Seuraava

Uusimmat uutiset

Digiyesterday

Viisi vuotta sitten

Leffateatterin paikannäyttäjä saalistaa piraatteja yölaseilla

27.05.2007 Malesiassa on keksitty uusi ase taisteluun elokuvapiratismia vastaan: yölasit, joilla käräytetään videokameralla elokuvateatterissa kuvaavia katsojia. Lasien käyttökoulutusta tarjoaa - mikäs muukaan - amerikkalainen elokuvayhtiöiden järjestö MPAA, joka on vienyt Malesiaan jopa dvd-vainukoiria.

.