viime aikoina on ollut aika paljon tietomurtoja. lehtiotsikot kertovat niistä melkein päivittäin (viimeiksi fazer). mitä mieltä ollaan onko tässä kyse laajemmasta hakkeriliigasta vai onko tietoturvassa tosiaan näin pahoja aukkoja esiintynyt? mitkä ovat mielestänne ne yleisimmät/pahimmat tietoturva-aukot www-sivuilla ja tietokannoissa?
volume kirjoitti:
viime aikoina on ollut aika paljon tietomurtoja. lehtiotsikot kertovat niistä melkein päivittäin (viimeiksi fazer). mitä mieltä ollaan onko tässä kyse laajemmasta hakkeriliigasta vai onko tietoturvassa tosiaan näin pahoja aukkoja esiintynyt?
Ei ne "hakkeriliigat" järjestelmiin murtaudu, jos niissä ei ole aukkoja.
Yleisesti ottaen pahimmat tietoturva-aukot www-sivuilla lienee sql-injektiot ja muut validoimattomat syötteet. Muita yleisiä vikoja lienee väärin konfiguroidut järjestelmät, tietoturvapäivitysten ajamattomuus tai vanhojen ohjelmien käyttö sekä liian helpot salasanat ylläpidolla.
Itse pitäisin keskeisimpänä syynä runsaaseen aukkomäärään sitä, että ohjelmistoja tekee toistaitoiset ihmiset. Täällä putkassa huomaa usein, että kun joku copy&paste -koodaaja julkaisee sivuston, niin se on täynnä aukkoja. Täällä ihmiset huomaavat ne aukot. Mitäpä luulet kun vastaava tyyppi tekee jollekin sukulaisen firmalle sivuston, osaako kukaan siellä firmassa edes miettiä että siinä systeemissä saattaa olla tietoturva-aukkojakin.
Eiköhän noi viimeaikaset liity tavalla tai toisella SQL-injektioihin, kehitettäessä ei ole muistettu ottaa huomioon sitä, että käyttäjän lähettämiin tietoihin ei pidä luottaa sokeasti. Oisko ollu vuosi sitten kun kohistiin XSS-aukoista. Tuskin siellä mitään krakkeriliigaa on, kunhan vaan joku tai jotkut ovat keksineet koputella suomalaisten sivustojen tietoturva-aukkoja jollain valmiilla työkalusetillä. Samaisia työkaluja voitaisiin käyttää apuna tietoturvaongelmien löytämisessä. Haavoittuvaisia sivustoja on varmasti lisää, näitä samaisia aukkoja näkyy lähes jokaisessa Putkaankin lähetetyssä avunpyynnössä.
toisaalta, jos kyse on esimerkiksi fazerin tasoisesta toimijasta, niin tuskin he ostavat sivustoaan miltään "sukulaisen tuttavan veljen kaimalta". voisi kuvitella, että niissä tapauksissa toimittajana on ollut joku ammattitason toimittaja. tuntuu kummalta, että tälläisissäkin toimituksissa löytyy turva-aukkoja. onkohan mtoimittajien moraali laskenut? tehdäänkö vain katemielessa järjestekmiä?
En tosiaan toistaitoisilla tarkoittanut pelkästään harrastelijoita, vaan myös yrityksiä jotka noita tekee. Tietotekniikkayrityksen voi perustaa kuka vaan, osasipa sitten ohjelmoida tai ei. Itse asiassa, koska asiakkaat arvostaa nopeaa toimitusaikaa ja edullista hintaa, voi sellainen joka ei ymmärrä liikaa esimerkiksi juuri tietoturvasta pärjätä vallan hyvinkin.
tsuriga kirjoitti:
joku tai jotkut ovat keksineet koputella suomalaisten sivustojen tietoturva-aukkoja jollain valmiilla työkalusetillä. Samaisia työkaluja voitaisiin käyttää apuna tietoturvaongelmien löytämisessä.
Löytyykö netistä tuollaisia valmiita työkalusettejä, joilla tietoturva-aukkoja voi testata? Olen monesti miettinyt, että miten voisin testailla omia sivujani tietoturva-aukkojen varalta. Jos täällä kyselee valmista koodia, jolla etsiä aukkoja tai sivustoa, josta opetella hakkerointia, ongelmaksi tulee se, että myös nämä joilla ei ole kunnialliset aikeet saavat apua. Jos taas linkitän testausvalmiin sivustoni tänne, jotta osaavammat testaavat ne, joukosta voi aina löytyä niitä, jotka eivät aukkojen tiirailulla pyri kivaan lopputulokseen.
Olisi hyödyllistä osata hakkerointia, ettei aukkojen etsiminen jää krakkereiden vastuulle, jonka jälkeen kaikki tieto onkin julkisesta saatavilla. Missä voisin siis opetella tai mistä löytäisin valmista koodia, jolla voisin testata sivujeni turvallisuutta?
Löysin joskus netistä softan, joka tarkistaa syötteenä annettun sivuston sql-injektioiden mahdollisuuden, sekä xss haavoittuvuuden. Ohjelmisto oli tehty winukalle, mut sen nimee en nyt tähän hätään muista.
AkeMake kirjoitti:
Olisi hyödyllistä osata hakkerointia
Ei hakkeroinnissa ole kysymys kuin siitä, että hakkeri on taitavampi kuin sivun tekijä. Jos osaa tehdä sivut hyvin (ja ymmärtää kunnolla, mitä tekee), pitäisi periaatteessa osata myös hakkeroida huonosti tehtyjä sivuja. Esimerkiksi logiikasta "käytän funktiota mysql_real_escape_string, jotta '-merkit tekstin seassa olisivat turvallisia" on hyvin lyhyt matka vastaavaan hakkerointi-ideaan "kirjoitan tekstiin '-merkin, niin kyselyn merkitys ehkä muuttuu".
AkeMake kirjoitti:
aukkojen etsiminen... testata turvallisuutta...
Teetkö kaikki koodisi siltä pohjalta, että ensin koodataan ja sitten testataan, mitä koodi tekee? On paljon kätevämpää ensin miettiä kunnolla ja sitten vasta toteuttaa – silloin ei tarvitse etsiä bugeja ja aukkoja jälkikäteen, vaan kaikki toimii yhdellä yrityksellä.
Kolme yleistä ongelmaa ovat SQL-injektiot, XSS-aukot ja vialliset upload-lomakkeet. Nämä ovat kaikki yksinkertaisia ongelmia, jotka olisi todella helppo välttää jo koodausvaiheessa, jos oikeasti vähän viitsii miettiä, mitä tekee. Näiden aukkojen yleisyys kertoo, että monet koodarit ovat joko toivottomia tunareita tai muuten vain ihan pihalla tietoturvasta, ja sitä asiaa ei varmasti mikään automaattinen skanneri korjaa.
Luulenpa jopa, että jos osaa nuo kolme perusasiaa hoitaa, sivu on skannerin näkökulmasta turvallinen. Mutkikkaampia aukkoja, esimerkiksi virheitä käyttöoikeuksien tarkistamisessa, on vaikea tutkia yleispätevällä ohjelmalla.
Aihe on jo aika vanha, joten et voi enää vastata siihen.