Sql-pistos nousee kohti haittaohjelmien kärkeä

F-Securen blogissa osoitetaan tällä kuvakaappauksella, että Google-haku tuottaa yli puoli miljoonaa muunneltua sivua.
25.4.2008 16:25 Suomessakin joitakin sivustoja saastuttanut Nihaorr1.com-hyökkäys on kiertänyt maailmalla. Ohjelma käyttää verkkopalvelujen tietokantoja tartuttamispesäkkeinä.
Nihaorr1.com-hyökkäys on kaksivaiheinen. Ensimmäisessä vaiheessa pyritään saastuttamaan julkinen verkkosivu haittakoodilla sql-pistos-tekniikalla (sql injection), sanoo tietoturvatalo Nixun asiantuntija Pekka Sillanpää.
Tämäntyyppiset injektiohyökkäykset ovat toisella sijalla Owasp Top 10:n listassa tyypillisimmistä web-sovellusten haavoittuvuuksista.
Toisessa vaiheessa käyttäjät, jotka selaavat saastunutta sivustoa, joutuvat hyökkäyssarjan kohteeksi, joilla pyritään muun muassa ottamaan haltuun käyttäjän kone.
– Mikäli käyttäjän koneen päivitykset eivät ole ajan tasalla, näillä hyökkäyksillä on suuri mahdollisuus onnistua, Sillanpää sanoo.
Vastaavat hyökkäykset ovat yleistyneet maailmalla. F-Secure kertoi eilen tietoturvablogissaan, että tähän mennessä on tavattu kolme domainia, joista hyökkäystä on levitetty: nmidahena.com, aspder.com ja nihaorr1.com.
F-Securen mukaan tämän tyyppisten hyökkäysten leviäminen johtuu siitä, että yhä useammat nettipalvelut käyttävät tietokantapohjaisia järjestelmiä nopeuttaakseen toimintaa. Monet niistä sallivat käyttäjien ladata sisältöä tietokantoihinsa.
– Ellei dataa sanitoida ennen kuin se tallennetaan, on mahdotonta kontrolloida mitä palvelu tarjoaa sivuston käyttäjille, F-Securen blogissa kirjoitetaan.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. Nokia luopuu isosta massatapahtumasta
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
G8-maat: apua tarvitaan lapsipornon vastaiseen sotaan
27.05.2007 G8-maat ovat tehneet vetoomuksen vahvistaakseen lapsipornon vastaista taistelua. Maat kehottavat muun muassa internet-palveluntarjoajia, it-ammattilaisia, mediaa, vanhempia ja opettajia miettimään, miten voisivat osallistua taisteluun.
Kolme vuotta sitten
Mars-mönkijän matkamittarissa 10 mailia
27.05.2009 Nasan yli viisi vuotta Marsia tutkinut mönkijä Opportunity taivalsi maanantaina ohi kymmenen mailin rajapyykin.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Ainakin 2000 saa potkut RIMiltä 09:44
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Suomi löysi taas Nokian älypuhelimet 06:01
- Autonvuokrauksessa hurjat eurohintaerot 06:09
- » Taloussanomat.fi













Kommentit (12)
Onko web-palvelujen koodaajat oikeasti niin laiskoja, etteivät jaksa POST/GET:ssä tulevia arvoja tarkastaa vaikka edes sillä valmiilla escape-funktiolla, jollainen löytyy jokaisesta web-kielestä?
Ei sinänsä mitään valmiita sql-rajapintoja vastaan, mutta eivät nekään mikään tietoturvan tae ole. Yhden koodaajan laiskuus saattaa rajapinnoissakin lähteä kiertämään ja kohta kaikista samaa rajapintaa käyttävistä softista löytyy reikä.
Huono neuvo, arvaas johtaako tämmöinen käytäntö siihen että escapetetaan integeritkin ja ajatellaan että sitten ollaan turvassa? Vaan hupsista, escape ei auta kun oltiin jo valmiiksi niiden hipsujen ulkopuolella! Castaisivat edes intiksi sen niin että siellä ei voi olla muuta kuin numeroita, joka tuntuu olevan aika yleinen tapa...
Toinen hauskuushan tulee sitten siinä että sql:ää varten pitää sanitoida yhdellä tapaa ja html:ää varten erilailla. Osa koodaajista menee vipuun ja escapettaa toisellatapaa molempiin tarkoituksiin, jolloin tuloksena on joko XSS-reikä tai SQL-injektio.
Tuntuisi olevan enemmän kyse huolimattomuudesta ja ongelmista koodauskäytännössä kuin laiskuudesta. Funktiota toteutettaessa saatetaan ajatella että data tulee ohjelman sisältä ja sisältää vain validimuotoista dataa, toisessa paikkaa funktiota sitten käytetään ja ollaan unohdettu missä se data piti validoida.
Suuri osa koodaajista ei myöskään miellä bugiksi sitä että funktio ei tarkista onko sille annettu parametrit oikein, vaan ajatellaan että jos siinä on virhe niin bugi onkin koodissa jossa funktiota kutsutaan. Tuloksena on soppa jossa tietoturva-aukolta olisi voitu välttyä, jos vain koodin sisäiset vastuut olisi määritetty paremmin.
PS. Sampo pankin XSS-aukot johtuivat osaltaan tuommoisesta koodin sisäisestä vastuuvirheestä. Muuttujia käytettäessä niitä ei validoitu, eikä taideta validoida vieläkään. Sensijaan lisättiin satunnaisia heikkoja tarkistuksia sinne missä muuttujat otetaan osoiteriviltä talteen, ja itse bugit ovat vieläkin siellä.
Umm... jos ne on inttejä niin eihän niissä ole kuin numeroita, joten kastaaminen on turhaa. Jos taas on kyse siitä että koodaaja käyttää jotain typerää tyypitöntä/löyhästi tyypitettyä kieltä, sitten ei paljoa auta intittelytkään.
Onneksi voi myös jättää höPöHöPöt omaan arvoonsa ja käyttää järkeviä systeemejä joissa on tyyppiturvallisuus, tietokantarajapinnat pitävät huolen ettei tule typeryyksiä niin helposti ja vielä käännetään etukäteen niin huolimattomuusmokiakin katoaa.
Surku ettei useampi sitä tajua.