Näin xss-aukoilla on hyökätty
Suomalaiset tietotekniikkaharrastajat demonstroivat liikenne- ja viestintäministeriön sivuilta löytynyttä xss-haavoittuvuutta upottamalla Wikipedian artikkelin haavoittuvuuksista sivuille.
31.3.2008 14:44 Haavoittuvuus Danske Bankin verkkopankissa paljasti xss-ongelmavyyhden. Maailmalla xss-haavoittuvuuksien avulla on varastettu esimerkiksi pankkitunnuksia ja luottokorttien numeroita.
Viime viikolla paljastunut Sampo Pankin tietoturvahaavoittuvuus on nostanut cross-site scripting- eli xss-haavoittuvuudet tapetille.
Suomalaiset tietotekniikan harrastajat ovat paljastaneet vastaavia haavoittuvuuksia myös muiden pankkien, yritysten, valtionhallinnon ja median verkkosivuilta.
Kyseessä on kaikkea muuta kuin uusi ilmiö.
– Samaa tekniikkaa on hyödynnetty jo vuosikausia ennen kuin koko xss-termi yleistyi, TietoEnatorilla työskentelevä tietoturvaneuvonantaja Tomi Tuominen sanoo.
Tuominen kertoo kuulleensa vastaavista haavoittuvuuksista ensimmäistä kertaa vuonna 1997.
– Se, että haavoittuvuuksia löytyy näin monelta sivulta kertoo omaa tarinaansa ohjelmistokehittäjien arjesta. Kovien aikataulupaineiden alla tietoturva ei aina ole päällimmäisenä mielessä, Tuominen sanoo.
Hieman yksinkertaistettuna xss-hyökkäyksissä on kyse siitä, että sivuston syötteentarkastus on toteutettu puutteellisesti.
Huolimattomasti toteutetulla sivulla käyttäjä saattaa pystyä muokkaamaan sivuston ulkonäköä esimerkiksi syöttämällä omaa koodiaan sivulla pyörivän hakukoneen hakulausekkeisiin.
Puutteellinen syötteentarkistus voi altistaa sivuston monille erilaisille hyökkäyksille, joista xss on vain yksi esimerkki.
Se, että joltain sivulta löytyy xss-aukko, ei ole itsessään vielä katastrofi, Tuominen muistuttaa. Tietyillä herkkää tietoa käsittelevillä sivuilla haavoittuvuus avaa kuitenkin suuret mahdollisuudet väärinkäytöksille.
Digitoday listasi törkeimpiä esimerkkejä siitä, mihin kaikkeen verkkosivujen xss-haavoittuvuuksia on maailmalla käytetty.
Banca Fideuram, 2008: Italialaisen pankin sivuille upotettu kalastelu-sivu onnistui hämäämään useita.
Sen avulla vorot urkkivat pankkitunnuksia ja salasanoja, jotka siirrettiin nopeasti Taiwanissa sijaitsevalle palvelimelle.
Orkut, 2006: Yhteisösivusto kärsi niin kutsutusta pysyvästä xss-haavoittuvuudesta, jonka avulla pystyttiin varastamaan vierailijoiden evästetietoja.
Varustettujen evästetietojen avulla hyökkääjä pystyi varastamaan esimerkiksi muiden käyttäjien luomia ryhmiä.
PayPal, 2006: Verkkomaksuja välittävän PayPalin sivut kärsivät xss-haavoittuvuudesta.
Sen avulla saatiin kalasteltua luottokorttinumeroita ja henkilökohtaisia tietoja.
Google, 2005: Xss-haavoittuvuus antoi voroille mahdollisuuden esiintyä Google.comin muiden käyttäjien nimillä.
MySpace, 2005: Samy-nimeä kantanut xss-mato levisi MySpaceen luodusta profiilisivusta toiseen kulovalkean tavoin. Virus levisi 20 tunnin aikana yli miljoonalla käyttäjälle.
Aleksi Moisio
aleksi.moisio@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 19.3. Microsoft kiihdytti kilpailevan selaimen latauksia
- 19.3. Microsoft rukkaa Windows 7:ää maltilla
- 19.3. Netin kuumimman osoitteen huutokauppa peruuntui
- 19.3. Nokia ei ole enää luotetuin brändi kaikkialla Euroopassa
- 19.3. Google: Viacom väärensi videoita näyttämään varastetuilta
- 19.3. HTC tyrmää Applen patenttisyytökset
- 19.3. Samsung tähtää kaksinumeroiseen kasvuun
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 19.3. Pelastakaa Lasten nettityölle heltisi 45 000 euroa
- 19.3. Venäläinen rickroll leviää maailmalla
- 19.3. Yle valittaa Digita-päätöksestä
- 19.3. Suomi ja Venäjä panevat kuriin itärajan puheluita
- 19.3. Facebook ja mokkula paljastivat mafian tappajan
- 19.3. Palmin näkymät eivät vakuuttaneet
- 19.3. Vankilan korvaava seurantapanta lähestyy
- 19.3. Kärkipelit vaihtuvat tiuhaa tahtia
- 18.3. Nokia, Apple ja Google oikeudessa samalla puolella
- 18.3. Osakesijoittajan menestyksen salaisuus: vakoiluohjelma
- 18.3. Roskaposti jyskyttää täydellä höyryllä
- 18.3. Krakkeri sai sata autoa tööttäämään
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 18.3. Krakkeri sai sata autoa tööttäämään
- 18.3. Osakesijoittajan menestyksen salaisuus: vakoiluohjelma
- 17.3. Luottaisitko sinä näihin sähköposteihin?
- 17.3. Facebookista värvätyt ahtaajat aloittivat työt
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 18.3. Nokia palkkasi menestyneitä uranaisia E72-mannekiineiksi
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- 19.3. Venäläinen rickroll leviää maailmalla
- 17.3. Ikea vaihtoi sähköpostijärjestelmää
- 17.3. Suomalainen Supermatrix innostaa Inteliä
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 18.3. Krakkeri sai sata autoa tööttäämään
- 18.3. Osakesijoittajan menestyksen salaisuus: vakoiluohjelma
- 17.3. Luottaisitko sinä näihin sähköposteihin?
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- 17.3. Facebookista värvätyt ahtaajat aloittivat työt
- 18.3. Krakkeri sai sata autoa tööttäämään
- 17.3. Windows Phone luopuu leikepöydästä
- 18.3. Nokia palkkasi menestyneitä uranaisia E72-mannekiineiksi
- 17.3. Seuraavan Internet Explorerin prototyyppi kokeiltavissa
- 17.3. Ikea vaihtoi sähköpostijärjestelmää
- 17.3. Suomalainen Supermatrix innostaa Inteliä
- 18.3. Markkinavalvoja viittasi kintaalla Jungnerin laskelmille
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Osakesijoittajan menestyksen salaisuus: vakoiluohjelma 16:26
- Roskaposti jyskyttää täydellä höyryllä 15:26
- Krakkeri sai sata autoa tööttäämään 13:35
- Salasanoja varastetaan Facebookin nimissä 12:11
- Verkkokortti altistaa HP:n tietokoneita pahanteolle 10:08
- Luottaisitko sinä näihin sähköposteihin? 15:27
- Venezuelan presidentti tulistui vapaalle internetille 13:14
- Twitter seuloo vaaralliset verkko-osoitteet 11:27
- Lisää
Kommentit (18)
Milloin ne meinaavat saada tämän kuntoon ja onko tehty suunnitelmaa vanhaan systeemiin palaamisksi? Luottamukseni on täysin kadonnut ja iso laina on pankissa otettuna. Hemmetin hemmetti, voiko tässä tilanteessa vielä vaihtaa pankkkia?
Milloin ne meinaavat saada tämän kuntoon ja onko tehty suunnitelmaa vanhaan systeemiin palaamisksi? Luottamukseni on täysin kadonnut ja iso laina on pankissa otettuna. Hemmetin hemmetti, voiko tässä tilanteessa vielä vaihtaa pankkkia?
Sen verran vielä lisäystä, että sana todellakin oli "teknillisen" eikä "teknisen". Muutenkin laatikon sanoma oli huonoa suomea. Olkaapa nyt ihmiset tarkkana.
-tiedot ovat oikein, mutta verkkopankki vain näyttää ne väärin
-verkkopankki toimii kyllä, mutta sinne ei pääse
-ongelmat johtuvat pääosin käyttäjien vanhentuneista koneista
-jne.
Tai sitten kun pääsee, tiedot näkyvät väärin.