Näin helposti yrityksesi nettisivustolle murtaudutaan

Ensin on tiedusteluvaihe. Sen jälkeen etsitään haavoittuvuuksia. Jos yksikin löytyy, voidaan valtaus suorittaa loppuun asti. Sitten onkin ongelmien vuoro.

Yrityksen sivustolle murtautuminen ei edellytä nykyään edes korkeaa nörttiyden astetta, sillä internet on ohjeita pullollaan – tee se itse -ohjevideoita myöten. Hakkeriksi haluavan paketti on kasassa, kun päälle lisätään rahasta tai käyttöön saatavista resursseista kumpuavaa motivaatiota.

”Hyökkäyksen strategia on yleensä se, että ensin tehdään tiedustelua. Jos hyökkäys kohdistuu vain johonkin tiettyyn yritykseen, otetaan kohteesta mahdollisimman paljon selvää. Oleellisia tietoja ovat muun muassa se, missä yrityksen nettisivusto sijaitsee, ketkä ovat päättäjiä ja ketkä ylläpitäjiä, mitä domaineja ja sähköpostiosoitteita yritykseen liittyy sekä missä verkkoalueessa yrityksen palvelimet ovat. Kaikki nämä tiedot hankitaan, ennen kuin varsinainen hyökkäys aloitetaan”, Telian tietoturva-asiantuntija Markku Parviainen kertoo.

Aina esimerkiksi palvelimen omistajalla ole merkitystä. Joskus hyökkääjät haluavat käyttöönsä vain resursseja. Silloin hypätään tiedusteluvaiheen yli ja keskitytään etsimään avoimia palvelimia, jotka pyritään saamaan haltuun tavalla tai toisella. Tämän jälkeen niistä aletaan etsiä haavoittuvuuksia tai tietoturva-aukkoja.

”Murtautujat pyrkivät tunnistamaan, mitä ohjelmistoja palvelimessa on päällä, minkä tyyppinen web-palvelinalusta on ja onko siellä sisällönhallintajärjestelmiä, kuten Joomla tai WordPress.”

Näistä WordPress joutuu useammin hyökkäyksen kohteeksi, koska sen käyttäjäkunta on suuri, ohjelma on helposti saatavilla ja se perustuu avoimeen lähdekoodiin. Kuka tahansa voikin tutkia etukäteen sen mahdollisia haavoittuvuuksia. WordPress tarjoaa runsaasti hyökkäyspinta-alaa ja siitä löydetään jopa kymmeniä haavoittuvuuksia vuosittain.

”Hakkeri voi tehdä palvelimelle kyselyjä, joilla voi saada selville WordPressin version, sekä tietoja siihen asennetuista lisäosista. Versionumeron avulla voi selvittää, mitä haavoittuvuuksia kyseisessä versiossa on, sillä joku on ne todennäköisesti jo löytänyt ja julkaissut. Tästä hakkeri voi päätellä, että yrityksen palvelin on tietyllä tavalla haavoittuva ja sitä voi hyödyntää hyökkäyksessä”, kertoo Parviainen.

Takaovi auki

Heikko lenkki voi löytyä myös sisällönhallintajärjestelmän taustalla olevasta palvelinympäristöstä.  Mikäli Apache-, Nginx- tai Microsoft IIS -palvelimiin liittyen löytyy haavoittuvuus, sen avulla voi tehdä uusia takaovia yrityksen järjestelmiin.

”Palvelimille luodaan tiedostoja, joita voi tarvittaessa kutsua ja aktivoida ulkopuolelta käsin. Näin hakkeri pääsee käyttämään hyväksi yrityksen olemassa olevaa infraa ja web-palvelinta. Jos sinne päästään lähettämään uusia tiedostoja, niitä käytetään yleensä johonkin muuhun kuin mihin palvelin on alun perin tarkoitettu”, Markku Parviainen sanoo.

Yhdenkin haavoittuvuuden kautta hakkeri saa näkyvyyttä yrityksen palvelimen sisälle. Siellä olevien muiden haavoittuvuuksien avulla voidaan ennen pitkää vallata koko kone. Kun valta on vaihtunut, voi uusi isäntä ajaa esimerkiksi kaikki palvelut alas tai vakoilla kaikkea, mitä palvelimen kautta tehdään.
 
”Jos yrityksen palvelin ja järjestelmät on päivitetty ajan tasalle, murtautuminen on vaikeampaa. Valitettavasti näin ei aina ole.”

Teksti: Sami Sirkiä
Kuva: Shutterstock