Sql-pistos nousee kohti haittaohjelmien kärkeä
F-Securen blogissa osoitetaan tällä kuvakaappauksella, että Google-haku tuottaa yli puoli miljoonaa muunneltua sivua.
25.4.2008 16:25 Suomessakin joitakin sivustoja saastuttanut Nihaorr1.com-hyökkäys on kiertänyt maailmalla. Ohjelma käyttää verkkopalvelujen tietokantoja tartuttamispesäkkeinä.
Nihaorr1.com-hyökkäys on kaksivaiheinen. Ensimmäisessä vaiheessa pyritään saastuttamaan julkinen verkkosivu haittakoodilla sql-pistos-tekniikalla (sql injection), sanoo tietoturvatalo Nixun asiantuntija Pekka Sillanpää.
Tämäntyyppiset injektiohyökkäykset ovat toisella sijalla Owasp Top 10:n listassa tyypillisimmistä web-sovellusten haavoittuvuuksista.
Toisessa vaiheessa käyttäjät, jotka selaavat saastunutta sivustoa, joutuvat hyökkäyssarjan kohteeksi, joilla pyritään muun muassa ottamaan haltuun käyttäjän kone.
– Mikäli käyttäjän koneen päivitykset eivät ole ajan tasalla, näillä hyökkäyksillä on suuri mahdollisuus onnistua, Sillanpää sanoo.
Vastaavat hyökkäykset ovat yleistyneet maailmalla. F-Secure kertoi eilen tietoturvablogissaan, että tähän mennessä on tavattu kolme domainia, joista hyökkäystä on levitetty: nmidahena.com, aspder.com ja nihaorr1.com.
F-Securen mukaan tämän tyyppisten hyökkäysten leviäminen johtuu siitä, että yhä useammat nettipalvelut käyttävät tietokantapohjaisia järjestelmiä nopeuttaakseen toimintaa. Monet niistä sallivat käyttäjien ladata sisältöä tietokantoihinsa.
– Ellei dataa sanitoida ennen kuin se tallennetaan, on mahdotonta kontrolloida mitä palvelu tarjoaa sivuston käyttäjille, F-Securen blogissa kirjoitetaan.
Timo Poropudas
timo.poropudas@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 9.2. AllThingsD asettaa uuden iPadin maaliskuun alkuun
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- 9.2. Angry Birds laskeutui Helsinki-Vantaalle
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 9.2. Apple myy vihdoin iPhone 4S:ää Kiinassa
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 9.2. Windows 8:n testiversio ilmestyy karkauspäivänä
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Brittilehti sekaantui sähköpostien vakoiluun
- 8.2. Tieto etsii Nokialle korvaajaa Android-töistä
- 8.2. Xbox nousi vuoden ostetuimmaksi
- 8.2. @450-verkko vaihtaa tekniikkaa
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 7.2. Googlen Terminator-lasit täydentävät todellisuutta
- 7.2. Microsoft poistaa start-napin
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 7.2. Nokia kertoo miten käy Salon tehtaan
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 7.2. Belle-päivitys tuli viimein Symbianiin
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Lisää
Digiyesterday
Viisi vuotta sitten
Paperilla pelaamista
10.02.2007 Helmikuun ensimmäisenä päivänä sähköisessä postilaatikossamme kolahti. Vuokraemäntämme oli tiukkaan sävyyn perimässä vuokraamme, jonka oli pitänyt saapua hänen käsiinsä kyseisenä päivänä.
Kolme vuotta sitten
HP vie tuhansittain pc:itä pohjoiseen
10.02.2009 Oulu, Rovaniemi ja Kuusamo keskittävät pc-hankintansa Hewlett-Packardille, mikä merkitsee jopa 14 000 tietokoneen toimituksia.
Taloussanomat
- Vihdoinkin, Kreikka: Sopu säästöistä syntyi 16:50
- "Finnair hakee kumppania suuresta joukosta yhtiöitä" 14:43
- Tänne tulevat uudet Prismat 14:48
- Lopullista Kreikka-päätöstä tuskin saadaan tänään 19:18
- Lentoyhtiön konkurssi uhkaa suistaa Unkarin budjetin raiteiltaan 20:42
- Draghi: Epävarmassa taloudessa yhä riskinsä 17:15
- Tätäkö keskusta pelkää – turhaan vai? 15:47
- Hautala Ylelle: Valtio voi luopua enemmistöstä Finnairissa 17:11
- Italia ratsaa luksusautoilijoita – Ferrarin suosio romahti 21:17
- Pirate Bay uhmaa estoja – kutisti itsensä taskukokoon 20:18
- » Taloussanomat.fi
Kommentit (12)
Onko web-palvelujen koodaajat oikeasti niin laiskoja, etteivät jaksa POST/GET:ssä tulevia arvoja tarkastaa vaikka edes sillä valmiilla escape-funktiolla, jollainen löytyy jokaisesta web-kielestä?
Ei sinänsä mitään valmiita sql-rajapintoja vastaan, mutta eivät nekään mikään tietoturvan tae ole. Yhden koodaajan laiskuus saattaa rajapinnoissakin lähteä kiertämään ja kohta kaikista samaa rajapintaa käyttävistä softista löytyy reikä.
Huono neuvo, arvaas johtaako tämmöinen käytäntö siihen että escapetetaan integeritkin ja ajatellaan että sitten ollaan turvassa? Vaan hupsista, escape ei auta kun oltiin jo valmiiksi niiden hipsujen ulkopuolella! Castaisivat edes intiksi sen niin että siellä ei voi olla muuta kuin numeroita, joka tuntuu olevan aika yleinen tapa...
Toinen hauskuushan tulee sitten siinä että sql:ää varten pitää sanitoida yhdellä tapaa ja html:ää varten erilailla. Osa koodaajista menee vipuun ja escapettaa toisellatapaa molempiin tarkoituksiin, jolloin tuloksena on joko XSS-reikä tai SQL-injektio.
Tuntuisi olevan enemmän kyse huolimattomuudesta ja ongelmista koodauskäytännössä kuin laiskuudesta. Funktiota toteutettaessa saatetaan ajatella että data tulee ohjelman sisältä ja sisältää vain validimuotoista dataa, toisessa paikkaa funktiota sitten käytetään ja ollaan unohdettu missä se data piti validoida.
Suuri osa koodaajista ei myöskään miellä bugiksi sitä että funktio ei tarkista onko sille annettu parametrit oikein, vaan ajatellaan että jos siinä on virhe niin bugi onkin koodissa jossa funktiota kutsutaan. Tuloksena on soppa jossa tietoturva-aukolta olisi voitu välttyä, jos vain koodin sisäiset vastuut olisi määritetty paremmin.
PS. Sampo pankin XSS-aukot johtuivat osaltaan tuommoisesta koodin sisäisestä vastuuvirheestä. Muuttujia käytettäessä niitä ei validoitu, eikä taideta validoida vieläkään. Sensijaan lisättiin satunnaisia heikkoja tarkistuksia sinne missä muuttujat otetaan osoiteriviltä talteen, ja itse bugit ovat vieläkin siellä.
Umm... jos ne on inttejä niin eihän niissä ole kuin numeroita, joten kastaaminen on turhaa. Jos taas on kyse siitä että koodaaja käyttää jotain typerää tyypitöntä/löyhästi tyypitettyä kieltä, sitten ei paljoa auta intittelytkään.
Onneksi voi myös jättää höPöHöPöt omaan arvoonsa ja käyttää järkeviä systeemejä joissa on tyyppiturvallisuus, tietokantarajapinnat pitävät huolen ettei tule typeryyksiä niin helposti ja vielä käännetään etukäteen niin huolimattomuusmokiakin katoaa.
Surku ettei useampi sitä tajua.