14. aprill 2016

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Peale lekke avastamist hakati otsima erinevaid põhjuseid, kuidas sai teoks 11,5 miljoni privaatse dokumendi avalikustamine. Kiiresti leiti, et üheks võimalikus põhjuseks oli e-maili serveri häkkimine.

Mossack Fonseca veebileht kasutab tänapäeval ühte populaarsemat veebilehtede ehitamise sisuhaldussüsteemi Wordpress. Taolised platvormid annavad veebilehele baasfunktsioonid, mis aitavad kodulehe omanikul iseseisvalt hallata veebilehe sisu, galeriid ja muid vajalikke materjale. Lisaks sellele paigaldatakse platvormile ka erinevaid pistikprogramme (pluginaid), mis annavad veebilehele lisafunktsionaalsusi, et klient või külastaja saaks leheküljel läbida mõnda kindlat protseduuri nagu registreerimine üritusele või saata infopäringut otse läbi kodulehel oleva kontaktvormi.

Teatavasti sisaldavad paljud tarkvarad, Wordpress sealhulgas, endas haavatavusi, mis lubavad kasutada taolisi funktsionaalsusi hoopis teistel eesmärkidel. Programm on loodud täitmaks kindlat ülesannet, kuid ebapiisavate turvameetmete tõttu lubab tarkvara teha ka midagi muud, mida ründaja saab enda soovitud tulemiks ära kasutada. See on ka üks olulisemaid põhjuseid, miks tarkvaraarendajad näevad palju vaeva, et luua uusi, parandatud versioone ning soovitavad oma klientidel alati uuendustega kaasas käia.

Mossack Fonseca veebilehe puhul ei saa kahjuks uuendustega kaasaskäimisest rääkida. Rünnaku hetkel oli Wordpressi versiooniks 4.2.6 (hetkel uusim versioon on 4.4.2), mis sisaldas endas vähemalt kahte haavatavust (SSRF – Server Side Request Forgery ning Open Redirect). Nagu enamus veebilehti, kasutas ka Mossack Fonseca sisuhaldussüsteem erinevaid pluginaid, mis olid jäänud uuendamata. Kuna pluginad on loodud üle maailma erinevate oskuste ning kogemustega inimeste poolt, peidavad need tihtipeale endas tõsisemaid probleeme.

Kokku oli veebilehel 6 erinevat uuendamata ning haavatava versiooniga pluginat. Kirsiks tordil on üks väga konkreetne pistikprogramm, mida kasutavad sajad tuhanded veebilehed üle maailma ning mille nimeks on Revolution Slider.

Antud pistikprogramm sisaldas endas haavatust nimega Shell Upload, mis kõige otsesemas tähenduses lubab ründajal veebilehele üles laadida enda poolt soovitud tagaukse, mis annab ligipääsu tervele veebiserverile. Kuna veebileht oli samas veebiserveris koos meiliserveriga, siis võib öelda, et haavatavuse ära kasutamine ning tagaukse paigaldamine võis väga vabalt olla dokumentide kättesaamiseks ründaja taktika.

Mossack Fonseca veebileht oli juba 2015. aasta lõpus ühe korra häkitud. Esileht oli klassikaliselt näostatud tekstiga: #~Hacked By Dr.No0oS | Anonymous Rabaa Team ! Kuid keegi ei võtnud midagi ette.

Tänapäeval on taolised rünnakud poolautomaatsed, st loodud on tarkvara, mis tekitab otsingumootorite abil listi veebilehtedest, mis kasutavad kindlat haavatavust (näiteks  Revolution Slider), mida on hiljem võimalik massiliselt 'häkkida'.

Hooldamata ja turvaauke täis veebilehel on võimalik veebiserverit ära kasutada näiteks järgmistel viisidel:

spämm - veebiserverit kasutatakse ära petukirjade levitamiseks,pahavara - veebilehe külastajaid nakatatakse pahavaraga,veebiserveri põhine lunavara - veebiserveris olevad failid krüpteeritakse ning nendele ligi pääsemiseks tuleb tasuda ründajale lunaraha,arvutipõhine lunavara - veebilehe külastajaid nakatatakse lunavaraga, mille käigus nende arvuti kõvakettal olevad failid krüpteeritakse ning mille taastamiseks tuleb tasuda samuti ründajale lunaraha,näostamine – veebilehe asemele pannakse poliitilise, usulise või mõne muu sisuga info, mille tagajärjel võidakse kustutada sinu originaalne veebileht ning samal ajal võidakse kasutada ka kõiki ülaltoodud meetodeid.

Veebilehega kaasneb vastutus nii enda andmete säilimise kui ka ettevõtte kodulehe külastajate ees. Tihtipeale on probleemiks tehniliste teadmiste puudumine, mille tõttu uuenduste, paranduste ning turvameetmete rakendamine jääb tegemata. Kui ise ei oska või puudub aeg antud probleemiga tegelemiseks, siis tuleb leida ettevõte, kes selle probleemi käsitlemise enda peale võtab.

ESEC on aastal 2013 loodud Eesti iduettevõte, kelle tegevusalaks on veebiturvalisus- ja arendus. ESEC liitus alustavate tehnoloogiaettevõtete kasvuprogrammiga Tehnopol Startup Inkubaator 2016. aasta alguses.

Loo autor: Oliver Sild, Eesti veebiturvalisuse agentuur ESEC