Xss-aukkoja löytyi kymmeniltä uusilta sivustoilta
1
Poliisin sivuston haavoittvuuus saatiin jo korjattua. Samanlaisia suunnitteluvirheitä on ainakin kymmenillä suomalaisilla web-sivustoilla.
Cross-site scripting -haavoittuvuuden mahdollistava suunnitteluvirhe näyttää olevan isoilla web-sivustoilla pikemminkin sääntö kuin poikkeus. Aukkoja etsivät hakkerit ovat paljastaneet perjantaina ja lauantaina kymmeniä xss-aukkoja esimerkiksi poliisin, ministeriöiden, pankkien ja vakuutusyhtiöiden sivustoilla. Ongelman laajuutta ei vielä edes tunneta.
Xss-haavoittuvuus syntyy siitä, kun sivusto sallii sisällön tuomisen hallitsemattomasti samaan sivunäkymään useista lähteistä ilman, että tavallinen käyttäjä voi havaita asiaa.. Näin esimerkiksi pankin tai viranomaisen sivuston näkymässä voidaan näyttää hyökkääjien haluamaa sisältöä. Haavoittuvuutta voisi käyttää esimerkiksi luottokorttinumeroiden, käyttäjätunnusten tai muiden tietojen urkintaan.
Toistaiseksi ei ole tiedossa, että hyökkääjät olisivat onnistuneet käyttämään tai edes yrittäneet käyttää haavoittuvuuksia hyväkseen Suomessa.
Itse cross-site script -aukko ei sinällään mahdollista huijausta tai hyökkäystä, vaan tätä varten pitäisi rakentaa myös käyttäjiä huijaavat sivustot ja sähköpostikampanjat ihmisten houkuttelemiseksi hyökkääjän osoitteeseen.
Tavallinen käyttäjä voi suojautua helpoiten siten, ettei mene sivustoille koskaan esimerkiksi sähköpostitse tulleiden linkkien kautta, vaan kirjoittaa itse osoitteen web-selaimeen tai klikkaa tallentamaansa suosikkilinkkiä.
Kaikkiaan jo lähes 70 sivustoa
Tietokone-lehden toimituksen saama lista haavoittuneista osoitteista osoittaa, että esimerkiksi Nordean sivuilta löytyi uusi haavoittuvuus. Myös muiden finanssi- ja vakuutusyhtiöiden, kuten Eläke-Fennia ja Tapiola, sivustoilla on paljastunut samanlaisia virheitä. Samoiten haavoittuvuus on ollut poliisin (www.poliisi.fi), työ- ja elinkeinoministeriön, valtiovarainministeriön ja tullin sivustoilla.
Myös useiden lehtien ja hakukoneiden pohjissa on ollut samoja suunnitteluvirheitä, esimerkiksi Eniro.fi:ssa ja www.f:i:ssa.
Kaikkiaan haavoittuvuuksia on paljastunut lähes 70 web-sivustolla, mutta suurin osa näistä on ehditty jo korjata myöhään perjantaina tai aikaisin lauantaina. Esimerkiksi poliisin sivustolla ollut xss-haavoittuvuus näyttää olevan jo korjattu.
Uhka tiedetty yli 10 vuotta
Xss-aukot ovat lisääntyneet, koska web-sivustoihin tuodaan entistä enemmän sisältöä useista eri lähteistä, kuten eri tietokannoista ja myös toisilta web-sivustoilta. Näitä kutsutaan web 2.0 -hengessä "mashupeiksi". Samalla kuitenkin web-sivujen url-osoitteet pitäisi rakentaa niin, ettei hyökkääjä pysty kutsumaan sivupohjaan sisältöä eri lähteistä vapaasti.
Riskienhallintajohtaja Kari Oksanen Nordeasta totesi eilen Tietokone-lehdelle, että xss-haavoittuvuuksien mahdollisuus ja url-osoitteiden huolellisen käsittelyn tärkeys on tiedetty jo ainakin vuodesta 1997 lähtien.
Viestintäviraston Cert-fi-yksikkö julkaisi eilen tietoturvatiedotteen, jossa muistutetaan web-sivustojen kehittäjiä huolellisesta suunnittelusta, url-osoitteiden hallitusta käsittelemisestä ja riittävästä testaamisesta.
Tavallisille käyttäjille taas neuvotaan, että javascript-tuen ottaminen pois käytöstä yleensä torjuu cross-site scripting -toteutukset. Toisaalta osa sivuistoista myös lakkaa toimimasta ilman javascript-tukea.
