Viimeisellä puolustuslinjalla

Piirros: Petri Rotsten

Kun hakkeri löytää tiensä tietokantoihin, hänellä on pääsy juuri niihin tietoihin, joiden varjelu on yritykselle tärkeintä.

Yritykset ovat oppineet rakentamaan tietoturvansa kerroksittain. Palomuurit vartioivat verkon reunaa, virustorjunta suojaa koneet ja sähköpostin, tietoliikenne ja massamuistit ovat salattuja, käyttäjien todentamiseen käytetään vahvoja menetelmiä ja niin edelleen.

Sipulimallin ytimessä olevien tietokantojen suojaaminen on kuitenkin jäänyt liian vähälle huomiolle. Tietoturvaohjelmistojen ja -palvelujen tarjoajat ovat olleet melko passiivisia tällä alueella, vaikka juuri tietokannoissa on kaikki yrityksen liiketoiminnan, kumppaniverkoston ja asiakassuhteiden kannalta tärkeä tieto.

Välinpitämättömyyden seuraukset näkyvät. Esimerkiksi IBM:n ISS X-Force tietoturvatutkimusyksikön mukaan sql-injektiohyökkäykset lisääntyivät viime vuonna 134 prosenttia edelliseen vuoteen verrattuna. Kehitys heijastaa ammattimaisen rikollisuuden nousua ilkivallan ja sabotoinnin ohi tietoturvaloukkausten motiivina.

Tietokantoihin hyökkääminen on tehokasta. Yhdysvaltalaisen teleyhtiön Verizonin tietoturvayksikkö julkaisi huhtikuussa tutkimuksen, jossa analysoitiin 90 eri puolilla maailmaa vuonna 2008 tapahtunutta tietomurtoa. Yhteensä 285 miljoonasta murron kohteeksi joutuneesta tietueesta 75 prosenttia oli päätynyt vääriin käsiin tietokantapalvelimilta, vaikka vain 30 prosenttia onnistuneista hyökkäyksistä oli kohdistunut niihin.

Hyvänä kakkosena olivat sovelluspalvelimet, joilta oli peräisin 19 prosenttia vuotaneista tietueista. Kolmantena listalla olivat useimmin murron kohteiksi joutuneet myyntipisteiden kassajärjestelmät.

Web-palvelimien, pöytäkoneiden ja kannettavien tietoturvapuutteet saavat paljon mediahuomiota, mutta niiden ongelmat ovat vähäisiä. Yhteensä 22 prosenttia hyökkäyksistä koski näitä järjestelmiä, mutta vuotaneista tietueista vain alle prosentti oli viety niistä. Julkisuus liittyneekin enemmän näitä kohteita suojaavien kaupallisten ratkaisujen laajaan tarjontaan kuin ongelman merkitykseen.

Harmaalla alueella

Syitä tietokantojen suojaamisen vaikeuteen on paljon, eivätkä ne ole ensisijaisesti teknisiä.

Tietokantojen ylläpidosta vastaa oma suppea ammattilaisryhmänsä, jonka tietoturvakoulutus on usein vähäinen. Perusasiat opetetaan toki tiedonhallintakursseilla, ja tietokantaohjelmistojen valmistajat toimittavat omat ohjeistuksensa ja apuvälineensä tietoturvan parantamiseen. Forrester Researchin helmikuisen tutkimuksen mukaan tietokannoista vastaavat henkilöt käyttävät silti alle viisi prosenttia työajastaan tietoturvakysymyksiin.

Verkon tietoturvasta vastaavilla puolestaan on tavallisesti varsin summittainen käsitys tietokantojen erityisvaatimuksista. Sovellusten kehittäjille ja omistajille tietokanta on vain välttämätön taustapalvelu, jolle uhrataan sen verran huomiota kuin sovellusten toimivuuden varmistaminen edellyttää.

Yrityksen tietoturvastrategiaa laadittaessa tietokantavastaavat jäävät helposti ulkopuolisiksi. Kun verkon ulkoreuna ja web-palvelimet suojataan kunnolla, energia ei aina riitä verkon ytimessä olevien tietokantojen pohtimiseen.

Monella yrityksellä on käytössään enemmän tietokantoja kuin kukaan haluaa tietää. Ne tulevat liiketoimintayksikköjen hankkimien sovellusten kylkiäisinä, eikä niihin sovelleta yhtenäisiä tietoturvakäytäntöjä. Tietoturvavastaavan pitäisi sitten löytää kannat ja selvittää, mitä arkaluonteisia tietoja mikäkin niistä sisältää.

Vuonna 2003 Internetissä levinnyt SQL Slammer -mato osoitti, että yritysten verkoissa oli suojaamattomia sql-tietokantoja pilvin pimein. Silti vielä vuonna 2007 englantilainen NGSS-tietoturvayhtiö löysi 157 Microsoft SQL Serveriä ja 53 Oracle-tietokantaa vain tutkimalla 1,16 miljoonaa satunnaisesti muodostettua ip-osoitetta.

Otannan perusteella voi arvioida, että netissä oli vielä muutama vuosi sitten puoli miljoonaa suojaamatonta tietokantapalvelinta. Määrä on tuskin vieläkään kovin lähellä nollaa.

Suora tai sovelluspalvelinten kautta avautuva näkyvyys internetiin ei kuitenkaan ole ainoa ongelma. Verizonin tutkimuksessa analysoiduista tietomurroista 20 prosenttia oli yhtiön omien työntekijöiden tekosia, ja 32 prosentissa tapauksista murtoon oli kytkeytynyt liiketoimintakumppani.

Eroon perusvirheistä

Tietokannat suojataan samoilla perusperiaatteilla kuin tietojärjestelmän muutkin osat. Jostain syystä nämä periaatteet vain unohtuvat tietokantojen kohdalla helpommin kuin muissa kohteissa. Onnistuneissa tietomurroissa hyödynnetään tavallisesti useampaa kuin yhtä laiminlyöntiä, joten jokainen eliminoitu uhkatekijä parantaa tietoturvaa merkittävästi.

Paketista asennettuna tietokannan hallintaohjelmistolla on suuri määrä eritasoisia kehittäjä- ja pääkäyttäjätunnuksia, joiden oletussalasanat on ymmärrettävä vaihtaa heti asennuksen jälkeen. Verizonin tutkimuksessa oletussalasanat tai usealle henkilölle jaetut käyttäjätunnus-salasanaparit olivat tietomurtojen yleisin taustatekijä.

Toisen tavallisen uhan muodostavat pääsylistojen laadinnassa tehdyt virheet. Tietokannat pitäisi pitää omilla palvelimillaan, eikä niille saisi päästä ohi sovellusten kukaan muu kuin tietokannanhuoltaja. Varmuuskopioiden suojaaminen on yhtä tärkeää kuin itse kannankin. Lisäksi käyttäjät eivät saisi päästä käsiksi muihin tietoihin kuin niihin, joita he tarvitsevat työnsä hoitamiseen. Väärin konfiguroidut pääsylistat olivat Verizonin tutkimuksessa kolmanneksi yleisin ongelma.

Tietojen salaamisesta on paljon apua, jos tietokannan tiedostot kaikesta huolimatta joutuvat vääriin käsiin. Salaus verottaa kuitenkin tietokannan tehokkuutta, ja monet arkaluonteisimpia tietoja säilyttävät kannat ovat myös juuri niitä suurimpia ja raskaimpia.

Kova kanta vai nippu tiirikoita?

Verizonin tutkimuksen mukaan vaarallisin ongelma on sql-injektio, jonka käytön rikolliset ovat oppineet: viime vuonna neljä viidestä murretusta tietueesta saatiin haltuun tällä keinolla. Jos tietokannan edustasovelluksessa on tällainen tietoturvapuute, pahantahtoinen käyttäjä voi välittää tietokantapalvelimelle sql-käskyjä kirjoittamalla sopivasti muotoillun merkkijonon sovelluksen syötekenttään.

Taitava rikollinen voi sql-injektion avulla kysellä haluamiaan tietoja ohi edustasovelluksen logiikan. Pahimmillaan hän voi jopa muokata tietokannan rakennetta, käynnistää valmiita proseduureja tai asentaa haittaohjelmia.

Virheettömiä sovelluksia odoteltaessa tietokannat tulisikin tuotantoon vietäessä koventaa väärinkäyttöä vastaan. Tietokannan hallintaohjelmiston turhat proseduurit ja komennot on syytä kytkeä pois käytöstä tai poistaa kokonaan. Tuotantopalvelimelle jätetty testikanta testitunnuksineen on tunkeutujalle varsinaisen tiirikkanippu!

Tietokannan hallintaohjelmisto on yhdessä suhteessa samanlainen kuin kaikki muutkin ohjelmat: siihen tulee tietoturvapaikkauksia. 24/7-aikataululla toimivassa ympäristössä kuitenkin karsastetaan sellaisia huoltotoimenpiteitä, jotka edellyttävät järjestelmien alasajoja ja testauksia. Oracle teki helmikuussa yhdessä erään käyttäjäkerhonsa kanssa tutkimuksen, jossa selvisi, että vain 55 prosenttia käyttäjistä asensi kriittiset paikkaukset viimeistään puoli vuotta niiden julkaisun jälkeen.

Lähes joka viides ei asentanut niitä koskaan tai ei osannut edes vastata koko kysymykseen.

Valvonta auttaa aina

Tietokantaa kuormitetaan jatkuvasti, joten väärinkäytösten havaitseminen edellyttää jatkuvaa valvontaa. 
Muutosten hallinta ja seuranta, tietokannan aktiviteettien monitorointi ja kirjausketjujen valvonta ovat hyviä tapoja havaita ja torjua uhkia.

Toistuvat epäonnistuneet kirjautumisyritykset ovat merkki tunkeilijasta. Hälytysmerkkejä ovat myös toimenpiteet, jotka eivät kuulu käyttäjän toimenkuvaan tai normaaleihin käyttötapoihin. Tällaisia ovat esimerkiksi epätavallisten kyselyjen ryöppy tai poikkeuksellisen suuren tietuemäärän tallentaminen omalle työasemalle.

Palvelinlaitteistojen tehostuminen ja valvontaohjelmistojen kehittyminen ovat parantaneet mahdollisuuksia tarkistaa kirjausketjut, mutta tämä ei kuulu tietokantavastaavan tehtäviin. Väärinkäytösten estämiseksi eri käyttäjien työtehtävät on eriytettävä toisistaan ja käyttövaltuudet sovitettava niiden mukaan.