Kaido Einama • 19. oktoober 2003 kell 22:00

Roberto Preatoni häkkis veebiserveritesse viie minutiga

Reedel Radisson SASi konverentsikeskuses toimunud Äripäeva turvalisusseminaril ?Kuidas tagada ettevõtte infosüsteemi turvalisus? toimunud live show näitas, et vajalike teadmistega on turvamata infosüsteemidesse ülilihtne sisse saada. Preatoni alustas Google?ist ohvrite otsimisega, samast leidis ta ka vaikimisi salasõnade nimekirja. Paari eritarkvara abiga oli ta süsteemis sees ja võis serveris teha, mida soovis.

?Kui ma siia serverisse muudatusi teeksin, oleks see illegaalne, praegu aga piilume lihtsalt sisse, see on seaduslik,? vastas Preatoni küsimusele, kas ta tegevus ebaseaduslik pole.

Nõrgalt turvatud leheküljed, mida Preatoni näidetena kasutas, olid ühe Brasiilia linna koduleht ja üks Itaalia finantsasutus.

Andmebaaside turvalisuse ekspert Tõnu Samuel kirjeldas samas turvaseminaril, kuidas ta mitmetesse riiklikesse baasidesse turvaaugu tõttu sisse pääses.

Samuel näitas konkreetsete näidete varal, kuidas ta riiklikesse mitteavalikesse andmebaasidesse sisse on pääsenud ja lugenud andmeid.

Näiteks tõi ta Liikluskindlustuse Fondi, kus oli jäetud andmebaasi ligipääsemiseks vaikimisi parool. 2002. aasta lõpus tuli välja, et seal eksiti vaikeparooli reeglite osas.

?Vaatasin äriregistri päringut, isikuregistrit, sõidukiregistrit ja sain kõik andmed kätte,? kirjeldas Samuel olukorda.

Turvaprobleemi avastas Samuel äripäeva õhtul ja järgmiseks päevaks õnnestus probleem vastutavatel spetsialistidel kõrvaldada. ?Kui see oleks juhtunud nädalavahetusel, oleks esmaspäeva hommikuks keegi jõudnud juba uue ?Perli baasi? teha ehk riikliku andmeregistri täies mahus kopeerida,? ütles Samuel.

?Portaali pass.ee andmebaasist sai kätte küll kodaniku avalikud isikuandmed ja pildi, kui aga internetiaadressis ühes kohas asendati P-täht S-iga, siis sai ka kodaniku allkirjanäidise,? tõi Samuel teise näite.

P-tähega sai ID-kaardi registrist pildi ja isikukoodi. Kui P asendada S-iga, sai allkirjanäidise.

Vastates seminaril turvanõuniku Valdo Prausti küsimusele, ütles Tõnu Samuel, et ligi 25 kasutatavatest paroolidest on nõrgad ehk ära arvatavad. ?Ma olen lausa sellist statistikat teinud,? vastas Samuel. ?123456- ja asdf-tüüpi nõrgad paroolid on 25 inimestel. Kui aga õnnestub kellegi keeruline parool varastada, siis õnnestub tavaliselt sellega ka mujale selle isiku nime all sisse saada.?

Samueli arvates võib hea häkker ära arvata ligi poolte kasutajate salasõnad.

Hetkel kuum