Lomalle lähdössä? Katso näppärät vinkit loma- ja poissaolotiedotteen tekemiseen. Lue lisää

Käyttämällä sivustoamme hyväksyt evästeiden käyttämisen laitteessasi ja tallentamisen siihen. Lisätietoa saat evästeitä koskevasta tietosuojaselosteesta. Lue lisää

Takaisin

Näin helposti yrityksesi nettisivustolle murtaudutaan

Ensin on tiedusteluvaihe. Sen jälkeen etsitään haavoittuvuuksia. Jos yksikin löytyy, voidaan valtaus suorittaa loppuun asti. Sitten onkin ongelmien vuoro.

Yrityksen sivustolle murtautuminen ei edellytä nykyään edes korkeaa nörttiyden astetta, sillä internet on ohjeita pullollaan – tee se itse -ohjevideoita myöten. Hakkeriksi haluavan paketti on kasassa, kun päälle lisätään rahasta tai käyttöön saatavista resursseista kumpuavaa motivaatiota.

”Hyökkäyksen strategia on yleensä se, että ensin tehdään tiedustelua. Jos hyökkäys kohdistuu vain johonkin tiettyyn yritykseen, otetaan kohteesta mahdollisimman paljon selvää. Oleellisia tietoja ovat muun muassa se, missä yrityksen nettisivusto sijaitsee, ketkä ovat päättäjiä ja ketkä ylläpitäjiä, mitä domaineja ja sähköpostiosoitteita yritykseen liittyy sekä missä verkkoalueessa yrityksen palvelimet ovat. Kaikki nämä tiedot hankitaan, ennen kuin varsinainen hyökkäys aloitetaan”, Telian tietoturva-asiantuntija Markku Parviainen kertoo.

Aina esimerkiksi palvelimen omistajalla ole merkitystä. Joskus hyökkääjät haluavat käyttöönsä vain resursseja. Silloin hypätään tiedusteluvaiheen yli ja keskitytään etsimään avoimia palvelimia, jotka pyritään saamaan haltuun tavalla tai toisella. Tämän jälkeen niistä aletaan etsiä haavoittuvuuksia tai tietoturva-aukkoja.

”Murtautujat pyrkivät tunnistamaan, mitä ohjelmistoja palvelimessa on päällä, minkä tyyppinen web-palvelinalusta on ja onko siellä sisällönhallintajärjestelmiä, kuten Joomla tai WordPress.”

Näistä WordPress joutuu useammin hyökkäyksen kohteeksi, koska sen käyttäjäkunta on suuri, ohjelma on helposti saatavilla ja se perustuu avoimeen lähdekoodiin. Kuka tahansa voikin tutkia etukäteen sen mahdollisia haavoittuvuuksia. WordPress tarjoaa runsaasti hyökkäyspinta-alaa ja siitä löydetään jopa kymmeniä haavoittuvuuksia vuosittain.

”Hakkeri voi tehdä palvelimelle kyselyjä, joilla voi saada selville WordPressin version, sekä tietoja siihen asennetuista lisäosista. Versionumeron avulla voi selvittää, mitä haavoittuvuuksia kyseisessä versiossa on, sillä joku on ne todennäköisesti jo löytänyt ja julkaissut. Tästä hakkeri voi päätellä, että yrityksen palvelin on tietyllä tavalla haavoittuva ja sitä voi hyödyntää hyökkäyksessä”, kertoo Parviainen.

Takaovi auki

Heikko lenkki voi löytyä myös sisällönhallintajärjestelmän taustalla olevasta palvelinympäristöstä.  Mikäli Apache-, Nginx- tai Microsoft IIS -palvelimiin liittyen löytyy haavoittuvuus, sen avulla voi tehdä uusia takaovia yrityksen järjestelmiin.

”Palvelimille luodaan tiedostoja, joita voi tarvittaessa kutsua ja aktivoida ulkopuolelta käsin. Näin hakkeri pääsee käyttämään hyväksi yrityksen olemassa olevaa infraa ja web-palvelinta. Jos sinne päästään lähettämään uusia tiedostoja, niitä käytetään yleensä johonkin muuhun kuin mihin palvelin on alun perin tarkoitettu”, Markku Parviainen sanoo.

Yhdenkin haavoittuvuuden kautta hakkeri saa näkyvyyttä yrityksen palvelimen sisälle. Siellä olevien muiden haavoittuvuuksien avulla voidaan ennen pitkää vallata koko kone. Kun valta on vaihtunut, voi uusi isäntä ajaa esimerkiksi kaikki palvelut alas tai vakoilla kaikkea, mitä palvelimen kautta tehdään.
 
”Jos yrityksen palvelin ja järjestelmät on päivitetty ajan tasalle, murtautuminen on vaikeampaa. Valitettavasti näin ei aina ole.”

Teksti: Sami Sirkiä
Kuva: Shutterstock

Turvaa saittitrafiikkisi

Telian Digitaalinen Identiteetti vie tietoturvasi seuraavalle tasolle. Lisätietoja työympäristön suojaamiseen käytettävistä tietoturva-ratkaisusta ja muista varmennetuotteista antaa Anssi Hakkarainen.

Jätä yhteystietosi

Artikkelin aihealueet

SSL Tietoturva Kyberturvallisuus
Lisää samasta aiheesta
Tietoturva kuntoon – näin vältät jättisakot
Neljä askelta: näin otat HTTP/2:n käyttöön
Pk-yrittäjä huomio! Näillä viidellä vinkillä taklaat GDPR:n
SSL-skandaali: Tunnetun tietoturvayhtiön varmenteet eivät enää pian toimi Chromessa
Teollinen internet vuosimallia 1997 – metsäkoneyhtiö Ponsse on tiennyt IoT:n menestysreseptin jo 20 vuotta
Näin asiakkaasi haluavat sinun käsittelevän heidän dataansa
Nelikymppinen keksintö pyörittää digimaailmaa
Pystyykö keinoäly pysäyttämään yhä älykkäämmät virukset?
Edellinen artikkeli
Nämä 10 asiaa sinun kannattaa tietää, kun vaihdat tilitoimistoa
Tiesitkö, että syksy on suosituinta aikaa vaihtaa tilitoimistoa, koska tilikausi lähestyy loppuaan?
Seuraava artikkeli
Toimi näin, jos nettisivustosi hakkeroidaan
Kun yrityksen nettisivusto on joutunut hyökkäyksen kohteeksi, pitää jäljet siivota ja vahingot ...