Hakkerilabra opettaa pahimmat tietoturvamokat
0
Joona Airamo selvitti, miten ips-laitteilla voidaan suojata palvelimia ja työasemia jonkin aikaa, vaikka ohjelmistoissa olisi haavoittuvuuksia.
Yrityksen nettikauppaan murtaudutaan, tietokannasta viedään luottokorttitiedot ja yrityksen liikesalaisuudet päätyvät rikollisten käsiin. Tällaisia uhkia aiheutuu leväperäisestä verkkojen suojaamisesta ja vanhentuneista ohjelmistoista. Tietoturvayhtiö Stonesoft esitteli toimittajille, miten tietomurrot tapahtuvat.
Stonesoft rakensi Helsingin toimipisteeseensä virtuaalisen verkon, jossa voidaan ilman yhteyttä internetiin kokeilla murtoja ja suojauksia. Hack the Lab -ympäristö näkyi käyttäjille kuin pieni pala internetiä, mutta tosiasiassa noin kymmenen työaseman ja muutaman palvelimen ympäristö pyörii yhdessä tehokkaassa palvelimessa virtuaalikoneena.
Toimittajat saivat tehtäväkseen murtautua fiktiivisen Cityburger-yrityksen web-palveluun, joka oli rakennettu täyteen tietoturvareikiä. Tarkoitus oli varastaa hampurilaisten reseptit ja bonustehtävänä viedä asiakastietokannasta luottokorttinumerot.
Kaupan sisäänkirjautumistietoihin päästiin käsiksi, kun väärä tunnus- ja salasanayhdistelmä paljasti virheilmoituksessa cgi-bin-kansion. Siellä taas odotti hakemistolistauksessa sovellus, joka antoi ajaa koodia etänä palvelimella. Tätä kautta taas löydettiin käyttäjätietokanta, josta root-käyttäjän heikoksi jätetty salasana murrettiin.
Monet käytetyistä ohjelmista ovat täysin laillisia ja verkkojen ylläpidon arkisia kuten työkaluja, kuten Linux-, Unix- ja Windows-ympäristöissä käytetty nmap. Rikollisen työkalu ohjelmasta tulee, kun sillä kolkutellaan portteja julkisessa verkossa.
Yhden koneen kautta lisää uhreja
Nmapilla löydettiin domainin alta lisää koneita ja haavoittunut Windows 2000 -työasema. Graafisella Windows-työkalulla pystyi parilla klikkauksella hyödyntämään Microsoftin vanhaa rpc-haavoittuvuutta.
Prosessi oli sinänsä yksinkertainen. Ensin on valittu kohde, josta sitten hankitaan kaikki mahdollinen tieto. Jopa työpaikkailmoitukset voivat paljastaa, mitä järjestelmiä yritys käyttää. Kun yritys hakee php-koodaajaa tai Oracle-asiantuntijaa, hakkeri osaa hyödyntää tiedon.
Tekninen tuotepäällikkö Joona Airamo muistutti, että yhden Korkeimman oikeuden tuomion mukaan jo porttien skannailu voi olla rikos.
Stonesoftin bisnestä on myydä verkkoon suojausta. Hakkerilabran kankaalta nähtiin kuinka ids- ja ips-järjestelmät, eli hyökkäysten tunnistus ja torjunta, paljastivat verkkoon tunkeutuneet käyttäjät ja liikkuvat tiedostot. Nimekkäisiin asiakkaisiin kuuluu Suomessa muun muassa puolustusvoimat.
Hakkerilabran virtuaaliverkosta hyökkäysten estot oli kytketty pois päältä. Stonesoftin mukaan järjestelmä olisi normaalisti estänyt nämä iskut, vaikka käyttöjärjestelmissä haavoittuvuudet olisivatkin.
"Jokaisesta porttien kolkuttelusta ei lähetetä ylläpitäjälle hälytystä. Mutta kun web-palvelimelta availlaan yöllä yhteyksiä ulospäin, se on vakava juttu", kuvasi haavoittuvuusasiantuntija Olli-Pekka Niemi reilusti yksinkertaistaen. Näin helppoa ei tietoturvan hienosäätäminen tietenkään tosielämässä ole.
Johtajat tietoturvaoppiin
Joona Airamo kertoi, että Hack the Labia aiotaan tarjota myös yhtiön asiakkaille ja kumppaneille. Kohderyhmänä voi olla keskikokoisten ja suurten yritysten talous- ja tietotekniikkajohto.
Tietotekniikkabudjetti on heidän käsissään, mutta omakohtaista tuntumaa heikkoon tietoturvaan ei ole.
Tietomurtojen ja haavoittuvuuksien hyödyntäminen vaikuttaa olevan helppoa, kun siihen pystyvät tietoturva-asiantuntijoiden avustuksella myös tavalliset toimittajat. Joona Airamo arveli, että konseptia voidaan kehittää eteenpäin myös yritysjohdon kouluttamiseen ja erilaisiin uhkakuviin varautumiseen.
Olli-Pekka Niemi muistutti, ettei tehokaskaan verkon suojaus korvaa työasemien palomuureja ja virustorjuntaa. Kannettavan tietokoneen kanssa poistutaan toimistolta, ja haittaohjelma saattaa tulla yrityskoneeseen vaikka usb-muistin mukana.
Joona Airamo lisäsi, että isoissakin yrityksissä saattavat palvelimet ja työasemat olla samassa aliverkossa ja nähdä toisensa. Silloin sisäverkkoon päässyt haittaohjelma voi levitä laajallekin. Hyökkäysten torjunta ja palomuuri on usein vain internetin ja sisäverkon välissä.
Eikä kyse ole vain haavoittuvuuksista ja murroista. Airamo sanoi, että entistä useampia yrityksiä kiinnostaa suodattaa sisäverkosta epätoivottu liikenne, kuten surffailu vanhentuneilla selainversioilla, vertaisverkkosovellukset tai tunnistamaton salattu liikenne.
Fiktiivisessä Windows 2000 -koneessa paljastui Vnc-palvelin, joka päästiin käynnistämään komentokehotteen kautta. Näin päästiin käsiksi muualle Windows-verkkoon. Kuvassa yhteys Realvnc-palvelimeen web-selaimen kautta.
Fiktiivisessä Windows 2000 -koneessa paljastui Vnc-palvelin, joka päästiin käynnistämään komentokehotteen kautta. Näin päästiin käsiksi muualle Windows-verkkoon. Kuvassa yhteys Realvnc-palvelimeen web-selaimen kautta.
