• Jaga lugu:
    Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

    Lohakus võib maksta miljoneid

    Investeerimispanga LHV skandaalis on keskendutud peamiselt juhtumi finantsilisele ja juriidilise poolele. Vähem on tähelepanu pööratud sellele, mida on ettevõtetel juhtumist õppida ? mis oli infotehnoloogiline nõrkus, mis võimaldas ligipääsu konfidentsiaalsele informatsioonile?
    Väidetavalt hangiti Business Wire?i leheküljelt infot, mis polnud veel avalikustatud. Klassikalist serverisse häkkimist ega paroolide vargust ei toimunud. Probleem seisnes internetisaidi haldamise tarkvaras. Nimelt on enamikul kaasaegsetel veebisaitidel peale frontendi ehk tavakasutajale nähtava poole olemas ka lehekülje toimetamiseks vajalik piirkond, kus sisestatakse ja toimetatakse uudised ja muud lehekülje sisu. Sisestatud uudised peavad olema nähtavad ainult läbi haldamisliidese seni, kuni saidi toimetaja need tavakasutajale ehk siis lugejale avalikuks teeb.
    Probleem tekkis sellest, et saidi haldamise tarkvara eripärade tõttu oli võimalik veel avaldamata uudiseid näha ka tavakasutajatel, kes olid erinevates IT-küsimustes teadlikumad. Sisestatud, kuid mitte veel avalike uudiste lugemiseks ei olnud küll leheküljel tavakasutajale nähtavat linki, kuid sisestades veebibrauserisse konkreetse uudise (tulevane) täpne internetiaadress, oli võimalik seda juba lugeda. Otsides spetsiaalse tarkvaraga niisuguseid internetiaadresse, on võimalik kätte saada veel avalikustamata, konfidentsiaalset infot.
    Piltlikult öeldes: kui teie naaber unustab korteri ukse lahti ning tema esikus laua peal seisab paber konfidentsiaalse infoga, siis paberi lugemiseks ei pea te otseselt naabri korterisse sisse murdma, piisab, kui kael hästi pikaks venitada. Analoogseid probleeme esineb ka meie kodumaistes uudisteportaalides, kus on võimalik kommenteerida veel avaldamata artikleid.
    Veebiserverist konfidentsiaalse info kättesaamiseks on kasutusel ka teised võtted. Tänapäeval levinud dünaamilised veebilehed on keerulise süsteemiga ja seetõttu on võimalik, et mõni turvaauk jääb märkamata. Kuna dünaamilised saidid ja saidi haldusvahendid töötavad koos andmebaasiga, siis tekib oluliselt rohkem turvaauke just andmebaasiga suhtlemises. Tüüpiline kaitsmata jäetud tee infoni on veebisaitidel olevad tekstisisestusväljad (näiteks kommenteerimisvõimalused), millesse kirjutatud tekst ei läbi põhjaliku turvatarkvara kontrolli. Seetõttu on võimalik veebilehekülje kaudu anda ettevõtte andmebaasile teatud käsklusi, millele järgnevalt andmebaas väljastab küsijale infot, mida tegelikult ta ei peaks kätte saama (näiteks paroole).
    Veebiserveri ülesseadmisel on enne veebisaidi avamist avalikkusele oluline läbi viia põhjalikud katsetused lehekülje vastupidavusest erinevatele teadaolevatele infohankimistehnikatele. Serverite ja tarkvara tavalised algsed (vaikimisi) konfiguratsioonid on võimalikult lihtsad, sobimaks paljude süsteemidega. See tähendabmööndusi turvalisuses. Seetõttu tuleb seadistused alati üle vaadata ja kohandada konkreetsetesse oludesse sobivaks, vajadusel täiendada eraldi turvatarkvaraga. Ei tohi unustada veebiserveri turvauuendusi, sest serveritarkvaras olevad vead loovad pahatahtlikele kasutajatele sobivad võimalused serveri töö halvamiseks või isegi info varastamiseks.
    Rikutud ja häkkimisele viitav veebileht ei mõju hästi ühegi firma mainele. Ebaturvaline internetikeskkond kahandab ettevõtte usaldusväärsust.
    Nagu Business Wire?i juhtumist saab õppida, võivad niisugused vead tihti kalliks maksma minna. Antud juhul ei ole küll seda teadaolevalt tehtud, kuid näiteks konfidentsiaalsete isikuandmete varguse puhul on võimalik kahjunõue esitada saidi omanikule-haldurile. Kõige kurvem kogu loo juures on see, et enamiku nn häkkimisjuhtumite taga on siiski vaid inimlik lohakus ja ebapiisav tähelepanu turvaküsimustele.
    Autor: Kristjan Pihus
    Jaga lugu:
  • Hetkel kuum

Hirm kalli jõuluprae ees on pigem vaataja silmades
Hindade tõus on praeguses keskkonnas paratamatus, majandus kasvab ja kasvavad ka sissetulekud, kirjutab Äripäev juhtkirjas.
Hindade tõus on praeguses keskkonnas paratamatus, majandus kasvab ja kasvavad ka sissetulekud, kirjutab Äripäev juhtkirjas.
Sendipidude nõutuim artist Rahakratt hullutab masse
Eesti üks armastatumaid rahablogijaid Rahakratt avaldas nipid, kuidas palka juurde norida, pangaonudelt laenuintressi alla tingida ja rotina vetsu minnes sealt miljonärina väljuda.
Eesti üks armastatumaid rahablogijaid Rahakratt avaldas nipid, kuidas palka juurde norida, pangaonudelt laenuintressi alla tingida ja rotina vetsu minnes sealt miljonärina väljuda.
Venelaste sotsiaalmeediaplatvorm läks riigi kontrolli alla
Venemaa suurim sotsiaalmeediavõrgustik VKontakte liikus sealse riikliku kontrolli alla, kui pärast mitut tehingut liikus suurosalus riigifirma Gazpromiga seotud ettevõtete kätte, vahendab Financial Times.
Venemaa suurim sotsiaalmeediavõrgustik VKontakte liikus sealse riikliku kontrolli alla, kui pärast mitut tehingut liikus suurosalus riigifirma Gazpromiga seotud ettevõtete kätte, vahendab Financial Times.
Kinnisvarabüroo: novembris olid Tallinna korteriturul rekordilised nii hind kui tehingute koguarv
Novembris Tallinnas müüdud korterite keskmine ruutmeetri hind tõusis rekordilise 2452 euroni, mis on 3% võrra suurem oktoobriga võrreldes. Kokku müüdi Tallinnas 1098 korterit, mis on viimase 15 aasta suurim tehingute arv, teatas kinnisvarabüroo 1Partner pressiteate vahendusel.
Novembris Tallinnas müüdud korterite keskmine ruutmeetri hind tõusis rekordilise 2452 euroni, mis on 3% võrra suurem oktoobriga võrreldes. Kokku müüdi Tallinnas 1098 korterit, mis on viimase 15 aasta suurim tehingute arv, teatas kinnisvarabüroo 1Partner pressiteate vahendusel.