TigerTeam - suomalainen tietoturvablogi

Viime vuonna paljastuneessa korttimaksukäsittelijä Heartland Payment Systemsin massiivisessa tietomurrossa on tehty tällä viikolla pidätyksiä. Kolmea tekijää epäillään osallisiksi myös yhdysvaltalaisiin Hannafors Brothers – ja 7-Eleven-kauppaketjuihin kohdistuneista murroista. Viimeksi mainittujen murtojen aikajänne on huomattavan pitkä – lokakuusta 2006 viime vuoden kesään saakka.

Käytännössä kaikissa murroissa on käytetty kohdetietojärjestelmien SQL-injektio-haavoittuvuuksia (SQL Injection). Kyseessähän on hyvin tyypillinen web-sovellushaavoittuvuus, jossa tietokantakyselyn rakenteen muuttaminen on mahdollista. Koska kyselyjen suodatus on puuttellista siirtyy käyttäjän yksinkertaisesti selaimellaan antama syöte suoraan osaksi tietokantakyselyä. Näin esimerkiksi asiakastietoja ja luottokorttinumeroita voidaan lukea suoraan SQL-pohjaisesta tietokannasta.

Haavoittuvuustyyppi kuuluu OWASP Top 10 -listalle, jonka suomennos valmistui vapaaehtoistyönä kesäkuun lopulla. Dokumentissa tätä haavoittuvuustyyppiä kuvataan lauseella Taustajärjestelmäkyselyn rakenne ei säily. Turva-aukkoa hyödyntämällä hyökkääjä pystyy siis ajamaan omia komentojaan taustajärjestelmässä ja jopa muuttamaan tai tuhoamaan tietokannassa olevia tietoja.

Murtautuja voi olla järjestelmissä vuosienkin ajan

Miksi luottokorttitietojen varastaminen havaittiin sitten vasta näin pitkän ajan kuluttua?

Heartlandin tapauksessa on injektiohaavoittuvuuksien hyödyntämisen lisäksi käytetty kohdeorganisaation järjestelmiin asennettua hienostunutta haittaohjelmaa, joka on varastanut luottokorttitietoja ja lähettänyt niitä useille eri palvelimille.

Oikeudenkäyntidokumenttien mukaan (.pdf) epäillyt ovat tutustuneet paikan päällä mm. kohdeorganisaatioiden maksupäätejärjestelyihin etukäteen. Niin ikään on vahvistettu hyökkääjien testanneen haittaohjelmansa noin 20 virustorjuntaohjelmistoa vastaan.

Haittaohjelman tunnistamisen testausta avoimissa testauspalveluissa verkkorikolliset ovat harrastaneet jo vuosien ajan. Palvelut sisältävät kymmenien virustorjuntaohjelmien uusimmat tunnistuskoneistot, joten virussuojauksen läpäisyn testaamisen voi tehdä valitettavan helposti ja anonyymisti.

Organisaation verkkosivusto voi olla haavoittuva SQL-injektiolle vuosienkin ajan, vaikka alustaohjelmiston turvapäivityksistä olisikin huolehdittu. Samoin virustorjunta ei anna hälytystä haitta- ja vakoiluohjelmasta, jos sille ei löydy tunnistusta. Näin hyökkääjä pystyy toimimaan verkossa huomaamatta pitkiäkin aikoja.

SQL-hyökkäys ja haittaohjelmat eivät suinkaan ole ainoita hyökkäysmenetelmiä. Yhdysvaltalaisen TJX-kauppaketjun tapauksessa murtomenetelmänä oli heikosti suojatun WLAN-liikenteen salakuuntelu, josta kerroimme blogissa viime vuonna.

Onkin mahdollista, että PCI-vaatimukset tulevat jatkossa tiukentumaan tämän kokoluokan tietomurtojen lisäännyttyä.