- aripaev.ee
- foundme.io
- bestmarketing.ee
- finantsuudised.ee
- kestlikkusuudised.ee
- toostusuudised.ee
- kaubandus.ee
- palgauudised.ee
- personaliuudised.ee
- raamatupidaja.ee
- logistikauudised.ee
- ehitusuudised.ee
- kinnisvarauudised.ee
- pollumajandus.ee
- mu.ee
- imelineteadus.ee
- imelineajalugu.ee
- laanevirumaauudised.ee
- kalastaja.ee
- dv.ee
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine
Panama leke on lihtne näide ettevõtte hooldamata ja turvaauke täis veebilehest
Meedias viimasel ajal palju räägitud Mossack Fonseca ehk Panama Paberite juhtum on õpetlik näide pealtnäha lihtsast hooldamata kodulehe tagajärgedest. Veebilehe loomisega kaasneb vastutus nii enda andmete säilimise kui ka ettevõtte kodulehe külastajate ees, ütles ESECi tegevjuht Oliver Sild.
Peale lekke avastamist hakati otsima erinevaid põhjuseid, kuidas sai teoks 11,5 miljoni privaatse dokumendi avalikustamine. Kiiresti leiti, et üheks võimalikus põhjuseks oli e-maili serveri häkkimine.
Mossack Fonseca veebileht kasutab tänapäeval ühte populaarsemat veebilehtede ehitamise sisuhaldussüsteemi Wordpress. Taolised platvormid annavad veebilehele baasfunktsioonid, mis aitavad kodulehe omanikul iseseisvalt hallata veebilehe sisu, galeriid ja muid vajalikke materjale. Lisaks sellele paigaldatakse platvormile ka erinevaid pistikprogramme (pluginaid), mis annavad veebilehele lisafunktsionaalsusi, et klient või külastaja saaks leheküljel läbida mõnda kindlat protseduuri nagu registreerimine üritusele või saata infopäringut otse läbi kodulehel oleva kontaktvormi.
Teatavasti sisaldavad paljud tarkvarad, Wordpress sealhulgas, endas haavatavusi, mis lubavad kasutada taolisi funktsionaalsusi hoopis teistel eesmärkidel. Programm on loodud täitmaks kindlat ülesannet, kuid ebapiisavate turvameetmete tõttu lubab tarkvara teha ka midagi muud, mida ründaja saab enda soovitud tulemiks ära kasutada. See on ka üks olulisemaid põhjuseid, miks tarkvaraarendajad näevad palju vaeva, et luua uusi, parandatud versioone ning soovitavad oma klientidel alati uuendustega kaasas käia.
Mossack Fonseca veebilehe puhul ei saa kahjuks uuendustega kaasaskäimisest rääkida. Rünnaku hetkel oli Wordpressi versiooniks 4.2.6 (hetkel uusim versioon on 4.4.2), mis sisaldas endas vähemalt kahte haavatavust (SSRF – Server Side Request Forgery ning Open Redirect). Nagu enamus veebilehti, kasutas ka Mossack Fonseca sisuhaldussüsteem erinevaid pluginaid, mis olid jäänud uuendamata. Kuna pluginad on loodud üle maailma erinevate oskuste ning kogemustega inimeste poolt, peidavad need tihtipeale endas tõsisemaid probleeme.
Kokku oli veebilehel 6 erinevat uuendamata ning haavatava versiooniga pluginat. Kirsiks tordil on üks väga konkreetne pistikprogramm, mida kasutavad sajad tuhanded veebilehed üle maailma ning mille nimeks on Revolution Slider.
Antud pistikprogramm sisaldas endas haavatust nimega Shell Upload, mis kõige otsesemas tähenduses lubab ründajal veebilehele üles laadida enda poolt soovitud tagaukse, mis annab ligipääsu tervele veebiserverile. Kuna veebileht oli samas veebiserveris koos meiliserveriga, siis võib öelda, et haavatavuse ära kasutamine ning tagaukse paigaldamine võis väga vabalt olla dokumentide kättesaamiseks ründaja taktika.
Mossack Fonseca veebileht oli juba 2015. aasta lõpus ühe korra häkitud. Esileht oli klassikaliselt näostatud tekstiga: #~Hacked By Dr.No0oS | Anonymous Rabaa Team ! Kuid keegi ei võtnud midagi ette.
Tänapäeval on taolised rünnakud poolautomaatsed, st loodud on tarkvara, mis tekitab otsingumootorite abil listi veebilehtedest, mis kasutavad kindlat haavatavust (näiteks Revolution Slider), mida on hiljem võimalik massiliselt 'häkkida'.
Hooldamata ja turvaauke täis veebilehel on võimalik veebiserverit ära kasutada näiteks järgmistel viisidel:
spämm - veebiserverit kasutatakse ära petukirjade levitamiseks,pahavara - veebilehe külastajaid nakatatakse pahavaraga,veebiserveri põhine lunavara - veebiserveris olevad failid krüpteeritakse ning nendele ligi pääsemiseks tuleb tasuda ründajale lunaraha,arvutipõhine lunavara - veebilehe külastajaid nakatatakse lunavaraga, mille käigus nende arvuti kõvakettal olevad failid krüpteeritakse ning mille taastamiseks tuleb tasuda samuti ründajale lunaraha,näostamine – veebilehe asemele pannakse poliitilise, usulise või mõne muu sisuga info, mille tagajärjel võidakse kustutada sinu originaalne veebileht ning samal ajal võidakse kasutada ka kõiki ülaltoodud meetodeid.
Veebilehega kaasneb vastutus nii enda andmete säilimise kui ka ettevõtte kodulehe külastajate ees. Tihtipeale on probleemiks tehniliste teadmiste puudumine, mille tõttu uuenduste, paranduste ning turvameetmete rakendamine jääb tegemata. Kui ise ei oska või puudub aeg antud probleemiga tegelemiseks, siis tuleb leida ettevõte, kes selle probleemi käsitlemise enda peale võtab.
Hetkel kuum
ESEC on aastal 2013 loodud Eesti iduettevõte, kelle tegevusalaks on veebiturvalisus- ja arendus. ESEC liitus alustavate tehnoloogiaettevõtete kasvuprogrammiga Tehnopol Startup Inkubaator 2016. aasta alguses.
Loo autor: Oliver Sild, Eesti veebiturvalisuse agentuur ESEC
Seotud lood
Häkkerid on tänaseks automatiseerinud terve veebilehtede ülevõtmise protsessi ja ründajatel on võimalik kodulehekülgede rüüstamisega lihtsalt tulu teenida. „Ainuüksi juulis oleme Eestis taastanud rohkem kui kümne ettevõtte veebilehe,“ teatas Eesti veebiturvalisuse agentuur ESEC tegevjuht Oliver Sild.
Millega peab tegevjuht arvestama ja mida tegema selleks, et luua eeldused organisatsiooni infosüsteemide ja neis paiknevate andmete turvamiseks?
TS Laevad OÜ avas 18. augustil veebilehekülje praamid.ee, kust näeb muuhulgas suursaarte ja mandri vaheliste parvlaevade graafikuid ning saab sõlmida ärikliendi lepinguid. Piletimüügisüsteem ja klienditugi alustavad tööd 1. septembril 2016. Edaspidi lisandub võimalus jälgida parvlaevade asukohta reaalajas.
Koosoleku pidamine tähendab rohkemat kui lihtsalt arutelu – see hõlmab päevakorra koostamist, hääletusi, otsuste dokumenteerimist ja protokollide koostamist, kusjuures aina sagedamini toimuvad nõupidamised üle veebi. Eesti tarkvaraarendaja Ektaco on loonud lahenduse, mis viib koosolekute korraldamise uuele tasemele, olgu selleks aastakoosolek, avaliku sektori istung või aktsionäride üldkogu.
Enimloetud
2
Viimased uudised
Hetkel kuum
Liitu uudiskirjaga
Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.
Tagasi ITuudised esilehele