TigerTeam - suomalainen tietoturvablogi

Viime vuonna paljastuneessa korttimaksukäsittelijä Heartland Payment Systemsin massiivisessa tietomurrossa on tehty tällä viikolla pidätyksiä. Kolmea tekijää epäillään osallisiksi myös yhdysvaltalaisiin Hannafors Brothers – ja 7-Eleven-kauppaketjuihin kohdistuneista murroista. Viimeksi mainittujen murtojen aikajänne on huomattavan pitkä – lokakuusta 2006 viime vuoden kesään saakka.

Käytännössä kaikissa murroissa on käytetty kohdetietojärjestelmien SQL-injektio-haavoittuvuuksia (SQL Injection). Kyseessähän on hyvin tyypillinen web-sovellushaavoittuvuus, jossa tietokantakyselyn rakenteen muuttaminen on mahdollista. Koska kyselyjen suodatus on puuttellista siirtyy käyttäjän yksinkertaisesti selaimellaan antama syöte suoraan osaksi tietokantakyselyä. Näin esimerkiksi asiakastietoja ja luottokorttinumeroita voidaan lukea suoraan SQL-pohjaisesta tietokannasta.

Haavoittuvuustyyppi kuuluu OWASP Top 10 -listalle, jonka suomennos valmistui vapaaehtoistyönä kesäkuun lopulla. Dokumentissa tätä haavoittuvuustyyppiä kuvataan lauseella Taustajärjestelmäkyselyn rakenne ei säily. Turva-aukkoa hyödyntämällä hyökkääjä pystyy siis ajamaan omia komentojaan taustajärjestelmässä ja jopa muuttamaan tai tuhoamaan tietokannassa olevia tietoja.

Murtautuja voi olla järjestelmissä vuosienkin ajan

Miksi luottokorttitietojen varastaminen havaittiin sitten vasta näin pitkän ajan kuluttua?

Heartlandin tapauksessa on injektiohaavoittuvuuksien hyödyntämisen lisäksi käytetty kohdeorganisaation järjestelmiin asennettua hienostunutta haittaohjelmaa, joka on varastanut luottokorttitietoja ja lähettänyt niitä useille eri palvelimille.

Oikeudenkäyntidokumenttien mukaan (.pdf) epäillyt ovat tutustuneet paikan päällä mm. kohdeorganisaatioiden maksupäätejärjestelyihin etukäteen. Niin ikään on vahvistettu hyökkääjien testanneen haittaohjelmansa noin 20 virustorjuntaohjelmistoa vastaan.

Haittaohjelman tunnistamisen testausta avoimissa testauspalveluissa verkkorikolliset ovat harrastaneet jo vuosien ajan. Palvelut sisältävät kymmenien virustorjuntaohjelmien uusimmat tunnistuskoneistot, joten virussuojauksen läpäisyn testaamisen voi tehdä valitettavan helposti ja anonyymisti.

Organisaation verkkosivusto voi olla haavoittuva SQL-injektiolle vuosienkin ajan, vaikka alustaohjelmiston turvapäivityksistä olisikin huolehdittu. Samoin virustorjunta ei anna hälytystä haitta- ja vakoiluohjelmasta, jos sille ei löydy tunnistusta. Näin hyökkääjä pystyy toimimaan verkossa huomaamatta pitkiäkin aikoja.

SQL-hyökkäys ja haittaohjelmat eivät suinkaan ole ainoita hyökkäysmenetelmiä. Yhdysvaltalaisen TJX-kauppaketjun tapauksessa murtomenetelmänä oli heikosti suojatun WLAN-liikenteen salakuuntelu, josta kerroimme blogissa viime vuonna.

Onkin mahdollista, että PCI-vaatimukset tulevat jatkossa tiukentumaan tämän kokoluokan tietomurtojen lisäännyttyä.

Yli neljän miljoonan käyttäjän tiedot ovat joutuneet rikollisten käsiin tunnettua rekrytointipalvelua koskevassa tietomurrossa.

Brittiläisen Daily Mailin mukaan tapauksessa saatiin käyttäjiltä koko nimi, käyttäjä-ID ja salasana, puhelinnumero, sähköpostiosoite, syntymäaika, sukupuoli sekä mm. maantieteelliseen sijaintiin liittyviä perustietoja. Monster-sivuston suomenkielinen varoitus sijaitsee täällä ja Yhdysvaltain valtionhallinnon alaisen USAJOBS-sivuston englanninkielinen varoitus vastaavasti täällä.

Käytännössä murrossa paljastuneiden sähköpostiosoitteiden käyttämisen paljastaa mm. se, että mahdollisissa roskapostikampanjoissa sähköpostin vastaanottaja voidaan personoida tarkemmin käyttämällä vastaanottajakentässä myös henkilön koko nimeä. Useat sähköpostiohjelmat jättävät suodattamatta lähettäjäosoitteet, joissa on mukana vastaanottajan koko nimi. Roskapostittajat ja verkkorikolliset hyödyntävät sitä tosiasiaa, että on paljon vakuuttavampaa saada sähköpostia osoitteella Matti Meikäläinen matti.meikalainen@osoite.fi. Muista kuin etunimi.sukunimi-muotoisista sähköpostiosoitteista roskapostittajan tai hänen käyttämänsä ohjelmiston on hyvin vaikea päätellä vastaanottajan oikeaa nimeä.

Rikollisten käsiin joutuneet tiedot voivat olla myös vielä puuttuva palanen suunniteltaessa ns. kohdistettuja hyökkäyksiä. Tietomurrossa haltuun saadut tiedot ovat käyttökelpoisia sekä yksittäisinä tietoina että luotaessa profiilia tietovarkauden uhreista.

Mm. monessa puhelinpalvelussa käyttäjän todentamiseksi käytetään syntymäajan tiedustelua. Myös postiosoitteen kysyminen on yleinen keino.

Käyttäjän salasanan joutuminen vääriin käsiin muodostaa myös oman erillisen riskinsä, sillä moni käyttäjä käyttää samaa salasanaa kaikissa verkkopalveluissa, esimerkiksi henkilökohtaisessa sähköpostissaan.

Vääriin käsiin joutuneiden salasana- ja henkilötietojen käyttötarkoitukset voivat kuitenkin olla hyvin moninaisia, koska tyypillisesti tällaiset tiedot markkinoidaan rikollispiireissä eteenpäin.