TigerTeam - suomalainen tietoturvablogi

OWASP-yhteisö on julkaissut hiljattain uuden, vuoden 2010 version merkittävimpiä web-turvariskejä käsittelevästä Top 10 -dokumentistaan.

Merkillepantavaa nyt julkaistussa listassa on se, että OWASP haluaa puhua tietoturvariskeistä - ei enää haavoittuvuuksista ja tietoturvaongelmista.

Listan kolmen kärkeen kuuluvat riskit ovat hyvinkin tuttuja. Ykkösenä ovat injektiohyökkäykset, joilla tarkoitetaan taustajärjestelmäkyselyn, esimerkiksi tietokantakyselyn rakenteen muutoshyökkäystä. Myös Suomessa merkittäviä salasanamurtoja on tehty tällä menetelmällä, jossa esimerkiksi käyttöliittymien tekemiin SQL-kyselyihin liittyvä puutteellinen syötteentarkistus mahdollistaa salasanojen varastamisen tietokannasta. Muutaman kuukauden välein nähtävissä massiivisissa SQL-injektiohyökkäyksissä, joissa haittaohjelmia levitetään verkkosivuille injektoituun koodiin, on aina ollut mukana myös suomalaispalvelimilla toimivia sivustoja.

Listan toista sijaa pitävä cross-site scripting eli XSS oli vielä edellisen, vuoden 2007 Top 10 -listauksen ensimmäisellä sijalla, mutta niiden määrä ei ole tekemissämme tarkastuksissa osoittanut vähenemisen merkkejä.

Isoin sijoitusmuutos on uuden listan kolmonen - Puutteellisesti toteutettu tunnistusmenettely ja istunnonhallinta, joka oli edellisessä dokumentissa vasta sijalla 7. Myös tähän liittyviä havaintoja tehdään lähes jokaisessa Nixun tekemässä tarkastuksessa, ja se onkin ansainnut nykyisen sijansa.

Salasanat selväkielisinä saatavilla

Lopullinen lista muuttui julkaisukandidaattivaiheen sisältäneen Failure to Restrict URL Access -luokan osalta siten, että RC1-listalla vielä sijalla 7. ollut luokka putosi lopullisella listalla kahdeksanneksi. Puutteellinen tietojen salaus (Insecure Cryptographic Storage) puolestaan nousi lopullisella listalla sijalta 9. seitsemänneksi.

Tyypillisin tähän liittyvä havainto on edelleen salasanojen tallentaminen selväkielisenä, vaikka tämä on jo pitkään ollut vastoin kaikkia suosituksia.

Myös kuljetuskerroksen riittämätön suojaus (Insufficient Transport Layer Protection) nousi yhtä pykälää korkeammalle viime marraskuussa alkaneella kommentointikierroksella.

Tässä kirjoituksessa on käytetty luokista suomenkielisiä vastineita, jotka OWASP Helsinki julkaisi viime kesänä.

Mikä OWASP?

Verkkosovelluksien tietoturvaan keskittyneen, kansainvälisen vapaaehtoisjärjestö OWASP:n (Open Web Application Security Project) tarkoituksena on edesauttaa turvallisten sovellusten kehitystä ja ylläpitoa. Järjestä on voittoa tavoittelematon ja se toimii jo lähes sadassa maassa. Suomen OWASP Helsinki Chapter -niminen alajaos perustettiin reilut kolme vuotta sitten.

Viime vuonna paljastuneessa korttimaksukäsittelijä Heartland Payment Systemsin massiivisessa tietomurrossa on tehty tällä viikolla pidätyksiä. Kolmea tekijää epäillään osallisiksi myös yhdysvaltalaisiin Hannafors Brothers – ja 7-Eleven-kauppaketjuihin kohdistuneista murroista. Viimeksi mainittujen murtojen aikajänne on huomattavan pitkä – lokakuusta 2006 viime vuoden kesään saakka.

Käytännössä kaikissa murroissa on käytetty kohdetietojärjestelmien SQL-injektio-haavoittuvuuksia (SQL Injection). Kyseessähän on hyvin tyypillinen web-sovellushaavoittuvuus, jossa tietokantakyselyn rakenteen muuttaminen on mahdollista. Koska kyselyjen suodatus on puuttellista siirtyy käyttäjän yksinkertaisesti selaimellaan antama syöte suoraan osaksi tietokantakyselyä. Näin esimerkiksi asiakastietoja ja luottokorttinumeroita voidaan lukea suoraan SQL-pohjaisesta tietokannasta.

Haavoittuvuustyyppi kuuluu OWASP Top 10 -listalle, jonka suomennos valmistui vapaaehtoistyönä kesäkuun lopulla. Dokumentissa tätä haavoittuvuustyyppiä kuvataan lauseella Taustajärjestelmäkyselyn rakenne ei säily. Turva-aukkoa hyödyntämällä hyökkääjä pystyy siis ajamaan omia komentojaan taustajärjestelmässä ja jopa muuttamaan tai tuhoamaan tietokannassa olevia tietoja.

Murtautuja voi olla järjestelmissä vuosienkin ajan

Miksi luottokorttitietojen varastaminen havaittiin sitten vasta näin pitkän ajan kuluttua?

Heartlandin tapauksessa on injektiohaavoittuvuuksien hyödyntämisen lisäksi käytetty kohdeorganisaation järjestelmiin asennettua hienostunutta haittaohjelmaa, joka on varastanut luottokorttitietoja ja lähettänyt niitä useille eri palvelimille.

Oikeudenkäyntidokumenttien mukaan (.pdf) epäillyt ovat tutustuneet paikan päällä mm. kohdeorganisaatioiden maksupäätejärjestelyihin etukäteen. Niin ikään on vahvistettu hyökkääjien testanneen haittaohjelmansa noin 20 virustorjuntaohjelmistoa vastaan.

Haittaohjelman tunnistamisen testausta avoimissa testauspalveluissa verkkorikolliset ovat harrastaneet jo vuosien ajan. Palvelut sisältävät kymmenien virustorjuntaohjelmien uusimmat tunnistuskoneistot, joten virussuojauksen läpäisyn testaamisen voi tehdä valitettavan helposti ja anonyymisti.

Organisaation verkkosivusto voi olla haavoittuva SQL-injektiolle vuosienkin ajan, vaikka alustaohjelmiston turvapäivityksistä olisikin huolehdittu. Samoin virustorjunta ei anna hälytystä haitta- ja vakoiluohjelmasta, jos sille ei löydy tunnistusta. Näin hyökkääjä pystyy toimimaan verkossa huomaamatta pitkiäkin aikoja.

SQL-hyökkäys ja haittaohjelmat eivät suinkaan ole ainoita hyökkäysmenetelmiä. Yhdysvaltalaisen TJX-kauppaketjun tapauksessa murtomenetelmänä oli heikosti suojatun WLAN-liikenteen salakuuntelu, josta kerroimme blogissa viime vuonna.

Onkin mahdollista, että PCI-vaatimukset tulevat jatkossa tiukentumaan tämän kokoluokan tietomurtojen lisäännyttyä.

Yli neljän miljoonan käyttäjän tiedot ovat joutuneet rikollisten käsiin tunnettua rekrytointipalvelua koskevassa tietomurrossa.

Brittiläisen Daily Mailin mukaan tapauksessa saatiin käyttäjiltä koko nimi, käyttäjä-ID ja salasana, puhelinnumero, sähköpostiosoite, syntymäaika, sukupuoli sekä mm. maantieteelliseen sijaintiin liittyviä perustietoja. Monster-sivuston suomenkielinen varoitus sijaitsee täällä ja Yhdysvaltain valtionhallinnon alaisen USAJOBS-sivuston englanninkielinen varoitus vastaavasti täällä.

Käytännössä murrossa paljastuneiden sähköpostiosoitteiden käyttämisen paljastaa mm. se, että mahdollisissa roskapostikampanjoissa sähköpostin vastaanottaja voidaan personoida tarkemmin käyttämällä vastaanottajakentässä myös henkilön koko nimeä. Useat sähköpostiohjelmat jättävät suodattamatta lähettäjäosoitteet, joissa on mukana vastaanottajan koko nimi. Roskapostittajat ja verkkorikolliset hyödyntävät sitä tosiasiaa, että on paljon vakuuttavampaa saada sähköpostia osoitteella Matti Meikäläinen matti.meikalainen@osoite.fi. Muista kuin etunimi.sukunimi-muotoisista sähköpostiosoitteista roskapostittajan tai hänen käyttämänsä ohjelmiston on hyvin vaikea päätellä vastaanottajan oikeaa nimeä.

Rikollisten käsiin joutuneet tiedot voivat olla myös vielä puuttuva palanen suunniteltaessa ns. kohdistettuja hyökkäyksiä. Tietomurrossa haltuun saadut tiedot ovat käyttökelpoisia sekä yksittäisinä tietoina että luotaessa profiilia tietovarkauden uhreista.

Mm. monessa puhelinpalvelussa käyttäjän todentamiseksi käytetään syntymäajan tiedustelua. Myös postiosoitteen kysyminen on yleinen keino.

Käyttäjän salasanan joutuminen vääriin käsiin muodostaa myös oman erillisen riskinsä, sillä moni käyttäjä käyttää samaa salasanaa kaikissa verkkopalveluissa, esimerkiksi henkilökohtaisessa sähköpostissaan.

Vääriin käsiin joutuneiden salasana- ja henkilötietojen käyttötarkoitukset voivat kuitenkin olla hyvin moninaisia, koska tyypillisesti tällaiset tiedot markkinoidaan rikollispiireissä eteenpäin.