Takaisin ajankohtaisiin

Havaitaanko hakkerointi – otos suomalaissivustoista

Juha-Matti Laurio

Tammikuu 23, 2013 at 10:30

Suomalaisille verkkosivustoille tehdään tietomurtoja miltei päivittäin. Osa murroista on niin sanottuja töhrimisiä, jolloin murtautuja jättää sivuille oman nimimerkkinsä todisteeksi murron onnistumisesta.

Kävimme läpi murtoja noin kahden viikon ajalta osana jatkuvaa Security Intelligence and Research -toimintaamme (Nixu SIR). Tiedot kerättiin mm. lähes kahdeksan miljoonaa murtotietoa sisältävästä Zone-H-tietokannasta, joka on osa yli kymmenen vuotta toiminutta sivustomurtoja keräävää sivustoa. Iso osa murtojäljistä oli edelleen näkyvissä ja sivustojen omistajataho saattoi saada tiedon hyökkäyksestä vasta otettuamme yhteyttä heihin.

Mikä sivustohakkerointi, sivuston töhriminen (englanninkielinen termi website defacement) sitten on?

  • Kyseessä on hyökkäys, jossa hyökkääjä korvaa verkkosivuston sisältöä omalla sisällöllään. Hyökkäys voi kohdistua etusivulle tai alasivulle voidaan jättää yksinkertainen tekstitiedosto, jossa on hyökkääjän nimimerkki. Tyypillisesti sivuille jätetään poliittista sisältöä tai arvostellaan www-palvelimen heikkoa tietoturvaa.

Hyökkäystä voidaan kutsua töhrimishyökkäykseksi, koska yleensä hyökkääjän tarkoituksena on nimimerkkinsä myötä saada itselleen tai ideologialleen näkyvyyttä. Hyökkäykset ovat usein massahyökkäyksiä eikä esimerkiksi kohdesivustojen liiketoiminta-ala ole etukäteen tiedossa.

Maineriskivaikutus hyökkäyksissä on kuitenkin suuri. Sivustolla kävijä harkitsee onko palvelun tietoturvaan panostettu riittävästi ja uskaltaako sivustolle antaa henkilötietojaan. Erityisesti tämä korostuu verkkokauppaa käyvillä ja henkilötietoja käsittelevillä toimijoilla. Kohdennetusti sivustoja töhritään protestimielessä.

Miten suomalaissivustoja nykyään töhritään?

Sivustoille jätetyt töhrytekstit vaihtelivat NNN was here - ja Hacked by/Owned by -tyyppisistä lyhyistä teksteistä koko ruudun täyttäviin kuviin. Murretulle sivustolle mentäessä saattoi selain ryhtyä esimerkiksi soittamaan Toy Soldier -kappaletta. Sivustolle menijä näki esimerkiksi kuvassa olevan näkymän.

Otokseen sijoittui viime torstaina vaasalaiselle web-hotellitoimijalle tehty massamurto. Näistä murtojäljet on siivottu, koska kyseessä oli etusivun korvaaminen. Alla olevassa listassa otos töhrityistä sivustoista (murtohetki ja sivuston käyttötarkoitus):

9.1. varsinaissuomalaisen kunnan sivusto, kymenlaaksolainen golfsivusto

11.1. ulkosuomalaisten sivusto

14.1. tamperelainen lukkoliike

15.1. tamperelainen urheiluseura

16.1. tamperelainen kuljetusliike, uusimaalainen suihkulähdevalmistaja, varsinaissuomalainen moottoripyöräliike, elintarvikealan portaali

17.1. espoolainen koulutusyhtiö

18.1. puolueen Pohjois-Savon piirin sivut

20.1. eteläpohjalainen kalustetehdas

21.1. helsinkiläinen sairaala

22.1. kaarinalainen teollisuusyritys

Eräällä sivustolla on viime perjantaista asti ollut näkyvissä ilmoitus huoltokatkosta:

Käsin etsimällä löysimme siivoamattomat murtojäljet mm. vaasalaisen oppilaitoksen sivuilta ja pitkään töhrittynä olleet rovaniemeläisen taidemaalarin www-sivut.

Miksi hyökkäys onnistuu?

Yleensä syynä hyökkäyksen onnistumiseen on päivittämätön palvelinohjelmisto tai päivittämätön, haavoittuva sovellusohjelmisto palvelimella. Myös käyttöoikeudet on saatettu määritellä puutteellisesti. Sivuston koodissa voi olla SQL-injektiohaavoittuvuus, jonka avulla vihamielistä koodia saadaan taustalla toimivaan tietokantaan asti. Haavoittuvia ohjelmistoversioita etsitään automaattisilla työkaluilla ja hakkeroitujen sivustojen määrää kasvattaakseen sama hyökkääjä voi töhriä kerralla satojakin sivustoja.

Vaikka töhrimishyökkäyksessä on usein teknisesti kyse vain yhden tekstitiedoston lisäämisestä palvelimelle on kyseinen palvelin kuitenkin “korkattu” ja ulkopuolisella on ollut pääsy siihen. Töhryjen poistamisen lisäksi on aina varmistuttava, ettei esimerkiksi takaporttia ole asennettuna palvelimelle.