• OMX Baltic−0,33%301,29
  • OMX Riga0,02%893,52
  • OMX Tallinn0,56%2 081,11
  • OMX Vilnius−0,12%1 199,62
  • S&P 500−0,11%6 198,01
  • DOW 300,91%44 494,94
  • Nasdaq −0,82%20 202,89
  • FTSE 1000,28%8 785,33
  • Nikkei 225−0,4%39 824,66
  • CMC Crypto 2000,00%0,00
  • USD/EUR0,00%0,85
  • GBP/EUR0,00%1,17
  • EUR/RUB0,00%92,61
  • OMX Baltic−0,33%301,29
  • OMX Riga0,02%893,52
  • OMX Tallinn0,56%2 081,11
  • OMX Vilnius−0,12%1 199,62
  • S&P 500−0,11%6 198,01
  • DOW 300,91%44 494,94
  • Nasdaq −0,82%20 202,89
  • FTSE 1000,28%8 785,33
  • Nikkei 225−0,4%39 824,66
  • CMC Crypto 2000,00%0,00
  • USD/EUR0,00%0,85
  • GBP/EUR0,00%1,17
  • EUR/RUB0,00%92,61
  • 21.11.05, 00:00
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine

Lohakus võib maksta miljoneid

Investeerimispanga LHV skandaalis on keskendutud peamiselt juhtumi finantsilisele ja juriidilise poolele. Vähem on tähelepanu pööratud sellele, mida on ettevõtetel juhtumist õppida ? mis oli infotehnoloogiline nõrkus, mis võimaldas ligipääsu konfidentsiaalsele informatsioonile?
Väidetavalt hangiti Business Wire?i leheküljelt infot, mis polnud veel avalikustatud. Klassikalist serverisse häkkimist ega paroolide vargust ei toimunud. Probleem seisnes internetisaidi haldamise tarkvaras. Nimelt on enamikul kaasaegsetel veebisaitidel peale frontendi ehk tavakasutajale nähtava poole olemas ka lehekülje toimetamiseks vajalik piirkond, kus sisestatakse ja toimetatakse uudised ja muud lehekülje sisu. Sisestatud uudised peavad olema nähtavad ainult läbi haldamisliidese seni, kuni saidi toimetaja need tavakasutajale ehk siis lugejale avalikuks teeb.
Probleem tekkis sellest, et saidi haldamise tarkvara eripärade tõttu oli võimalik veel avaldamata uudiseid näha ka tavakasutajatel, kes olid erinevates IT-küsimustes teadlikumad. Sisestatud, kuid mitte veel avalike uudiste lugemiseks ei olnud küll leheküljel tavakasutajale nähtavat linki, kuid sisestades veebibrauserisse konkreetse uudise (tulevane) täpne internetiaadress, oli võimalik seda juba lugeda. Otsides spetsiaalse tarkvaraga niisuguseid internetiaadresse, on võimalik kätte saada veel avalikustamata, konfidentsiaalset infot.

Artikkel jätkub pärast reklaami

Piltlikult öeldes: kui teie naaber unustab korteri ukse lahti ning tema esikus laua peal seisab paber konfidentsiaalse infoga, siis paberi lugemiseks ei pea te otseselt naabri korterisse sisse murdma, piisab, kui kael hästi pikaks venitada. Analoogseid probleeme esineb ka meie kodumaistes uudisteportaalides, kus on võimalik kommenteerida veel avaldamata artikleid.
Veebiserverist konfidentsiaalse info kättesaamiseks on kasutusel ka teised võtted. Tänapäeval levinud dünaamilised veebilehed on keerulise süsteemiga ja seetõttu on võimalik, et mõni turvaauk jääb märkamata. Kuna dünaamilised saidid ja saidi haldusvahendid töötavad koos andmebaasiga, siis tekib oluliselt rohkem turvaauke just andmebaasiga suhtlemises. Tüüpiline kaitsmata jäetud tee infoni on veebisaitidel olevad tekstisisestusväljad (näiteks kommenteerimisvõimalused), millesse kirjutatud tekst ei läbi põhjaliku turvatarkvara kontrolli. Seetõttu on võimalik veebilehekülje kaudu anda ettevõtte andmebaasile teatud käsklusi, millele järgnevalt andmebaas väljastab küsijale infot, mida tegelikult ta ei peaks kätte saama (näiteks paroole).
Veebiserveri ülesseadmisel on enne veebisaidi avamist avalikkusele oluline läbi viia põhjalikud katsetused lehekülje vastupidavusest erinevatele teadaolevatele infohankimistehnikatele. Serverite ja tarkvara tavalised algsed (vaikimisi) konfiguratsioonid on võimalikult lihtsad, sobimaks paljude süsteemidega. See tähendabmööndusi turvalisuses. Seetõttu tuleb seadistused alati üle vaadata ja kohandada konkreetsetesse oludesse sobivaks, vajadusel täiendada eraldi turvatarkvaraga. Ei tohi unustada veebiserveri turvauuendusi, sest serveritarkvaras olevad vead loovad pahatahtlikele kasutajatele sobivad võimalused serveri töö halvamiseks või isegi info varastamiseks.
Rikutud ja häkkimisele viitav veebileht ei mõju hästi ühegi firma mainele. Ebaturvaline internetikeskkond kahandab ettevõtte usaldusväärsust.
Nagu Business Wire?i juhtumist saab õppida, võivad niisugused vead tihti kalliks maksma minna. Antud juhul ei ole küll seda teadaolevalt tehtud, kuid näiteks konfidentsiaalsete isikuandmete varguse puhul on võimalik kahjunõue esitada saidi omanikule-haldurile. Kõige kurvem kogu loo juures on see, et enamiku nn häkkimisjuhtumite taga on siiski vaid inimlik lohakus ja ebapiisav tähelepanu turvaküsimustele.
Autor: Kristjan Pihus

Seotud lood

Äriplaan 2026

Äriplaan 2026

Uurime välja Eesti majanduse arengusuunad 2026. aastal, et ettevõtjatel ja tippjuhtidel oleks, millele tuginedes järgmist aastat planeerida.

Kas eksport ja kaitsetööstuse areng võiksid Eesti majandusele uue käigu sisse aidata? Kuidas näevad Põhjamaade ettevõtjad ja tippjuhid Eesti võimalusi rahvusvahelisel areenil ning kas nad plaanivad siia investeerida? Kuhu investeerivad ning millele tõmbavad pidurit Eesti ettevõtjad? Missugune on riigi äriplaan 2026. aastaks? Kõigile nendele küsimustele saad vastuse 17. septembril Eesti mõjukaimal majanduskonverentsil Äriplaan!

Enda kogemust tulevad Eestisse jagama ülemaailmse ulatusega Rootsi masina- ja metallitööstusettevõte Hanza AB asutaja ja tegevjuht Erik Stenfors ning Telia Company president ja tegevjuht Patrik Hofbauer.

  • Toimumisaeg:
    17.09.2025
  • Alguseni:
    2 k 15 p 1 t
  • Toimumiskoht:
    Tallinn

Hetkel kuum

Podcastid

Liitu uudiskirjaga

Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.

Tagasi Äripäeva esilehele