Mainos

Harrastajat löysivät kymmeniltä verkkosivuilta haavoittuvuuksia

Tietokoneharrastajat ovat löytäneet kymmeniltä suomalaisilta verkkosivuilta samanlaisia XSS-haavoittuvuuksia kuin Sampo Pankin sivuilta on paljastunut. Haavoittuvuuksia on löytynyt muun muassa poliisin, eduskunnan, verkkojulkaisujen ja yritysten sivuilta.

Verkkosivun XSS-haavoittuvuudella (Cross site scripting) tarkoitetaan väljästi määriteltynä tilannetta, jossa palvelimen tuottamaa verkkosivua on mahdollista muuttaa käyttäjän tietokoneelta tavalla, jota sivun ohjelmoija ei ole tarkoittanut.

Haavoittuvuuksia voi käyttää hyväksi esimerkiksi ilkivaltaisissa sähköpostiviesteissä, joissa sivu esitetään väärennettynä. Viestissä voi olla verkkosivulle johtava linkki, joka näyttää sivun manipuloituna.

Vakava tietoturvauhka haavoittuvuus on vaikkapa pankin verkkosivulla, koska haavoittuvuuden hyväksikäyttäjä voi ohjata asiakkaan väärennetylle sivulle ja anastaa siellä hänen pankkitunnuksensa.

Haavoittuvuuslistauksia käytettiin viikonloppuna hyväksi sähköpostiviesteissä, joissa poliisin verkkosivuille liitettiin lapsipornoa. Poliisin verkkosivulla ei kuitenkaan ollut rikollista sisältöä, eikä sivuille ollut murtauduttu.

Poliisin mukaan ilkivaltainen linkki käytti hyväkseen sivun hakutoimintoa. Erilaisia hakuehtoja yhdistelemällä saatiin aikaan tulos, jossa toinen sivu saatiin näyttämään poliisin sivulta.

Internetissä paljon tietoturva-aukkoja

Tietokoneharrastajien keräämät haavoittuvuuslistat osoittavat, että internetissä on nykyisin paljon tietoturva-aukkoja. Verkkosivuilla käytetään yleisesti tekniikoita, joissa käyttäjän koneella ajettavat ohjelmat muokkaavat sivujen sisältöä ja ulkoasua. Tekniikat ovat monimutkaisia ja alttiita haavoittuvuuksille.

Viestintäviraston CERT-FI-tietoturvayksikön mukaan XXS-haavoittuvuudet johtuvat sivustojen puutteellisesta turvallisuudesta, mutta ei siitä, että palvelimelle olisi murtauduttu. Sen sijaan www-palvelimelle syötetään ohjelmakoodia, joka tehdään käyttäjän selaimessa.

-Normaalisti XSS-haavoittuvuudet eivät aiheuta juuri muuta kuin ehkä ikävää julkisuutta. Voidaan ikään kuin pilailla jonkun kustannuksella. Mutta esimerkiksi pankkisivustojen kohdalla kyse on huonommasta asiasta. Tuolloin saattaa näyttää siltä kuin sivusto olisi SSL-suojattu, vaikka siellä olisikin ylimääräistä aineistoa, kertoo CERT-FI:n tietoturva-asiantuntija Erika Suortti.

Niin sanottu tavallinen nettikäyttäjä ei huomaa mitään outoa vaikkapa juuri poliisin nettisivulla.

-Muutettu sivu näkyy nimittäin vain sellaisen käyttäjän koneella, joka on saanut tietynmuotoisen linkin, Suortti kuvaa.

(MTV3-STT)

Osallistu keskusteluun

Mainos

Palautelomake

ruusuja
risuja
kysymys
ehdotus

*

Kiitos palautteestasi!

Valitettavasti emme ehdi vastata jokaiseen viestiin henkilökohtaisesti.

Palautteen jättäminen ei onnistunut

Yritä hetken päästä uudelleen.