Lohakus võib maksta miljoneid

Investeerimispanga LHV skandaalis on keskendutud peamiselt juhtumi finantsilisele ja juriidilise poolele. Vähem on tähelepanu pööratud sellele, mida on ettevõtetel juhtumist õppida ? mis oli infotehnoloogiline nõrkus, mis võimaldas ligipääsu konfidentsiaalsele informatsioonile?

Väidetavalt hangiti Business Wire?i leheküljelt infot, mis polnud veel avalikustatud. Klassikalist serverisse häkkimist ega paroolide vargust ei toimunud. Probleem seisnes internetisaidi haldamise tarkvaras. Nimelt on enamikul kaasaegsetel veebisaitidel peale frontendi ehk tavakasutajale nähtava poole olemas ka lehekülje toimetamiseks vajalik piirkond, kus sisestatakse ja toimetatakse uudised ja muud lehekülje sisu. Sisestatud uudised peavad olema nähtavad ainult läbi haldamisliidese seni, kuni saidi toimetaja need tavakasutajale ehk siis lugejale avalikuks teeb.

Probleem tekkis sellest, et saidi haldamise tarkvara eripärade tõttu oli võimalik veel avaldamata uudiseid näha ka tavakasutajatel, kes olid erinevates IT-küsimustes teadlikumad. Sisestatud, kuid mitte veel avalike uudiste lugemiseks ei olnud küll leheküljel tavakasutajale nähtavat linki, kuid sisestades veebibrauserisse konkreetse uudise (tulevane) täpne internetiaadress, oli võimalik seda juba lugeda. Otsides spetsiaalse tarkvaraga niisuguseid internetiaadresse, on võimalik kätte saada veel avalikustamata, konfidentsiaalset infot.

Piltlikult öeldes: kui teie naaber unustab korteri ukse lahti ning tema esikus laua peal seisab paber konfidentsiaalse infoga, siis paberi lugemiseks ei pea te otseselt naabri korterisse sisse murdma, piisab, kui kael hästi pikaks venitada. Analoogseid probleeme esineb ka meie kodumaistes uudisteportaalides, kus on võimalik kommenteerida veel avaldamata artikleid.

Veebiserverist konfidentsiaalse info kättesaamiseks on kasutusel ka teised võtted. Tänapäeval levinud dünaamilised veebilehed on keerulise süsteemiga ja seetõttu on võimalik, et mõni turvaauk jääb märkamata. Kuna dünaamilised saidid ja saidi haldusvahendid töötavad koos andmebaasiga, siis tekib oluliselt rohkem turvaauke just andmebaasiga suhtlemises. Tüüpiline kaitsmata jäetud tee infoni on veebisaitidel olevad tekstisisestusväljad (näiteks kommenteerimisvõimalused), millesse kirjutatud tekst ei läbi põhjaliku turvatarkvara kontrolli. Seetõttu on võimalik veebilehekülje kaudu anda ettevõtte andmebaasile teatud käsklusi, millele järgnevalt andmebaas väljastab küsijale infot, mida tegelikult ta ei peaks kätte saama (näiteks paroole).

Veebiserveri ülesseadmisel on enne veebisaidi avamist avalikkusele oluline läbi viia põhjalikud katsetused lehekülje vastupidavusest erinevatele teadaolevatele infohankimistehnikatele. Serverite ja tarkvara tavalised algsed (vaikimisi) konfiguratsioonid on võimalikult lihtsad, sobimaks paljude süsteemidega. See tähendabmööndusi turvalisuses. Seetõttu tuleb seadistused alati üle vaadata ja kohandada konkreetsetesse oludesse sobivaks, vajadusel täiendada eraldi turvatarkvaraga. Ei tohi unustada veebiserveri turvauuendusi, sest serveritarkvaras olevad vead loovad pahatahtlikele kasutajatele sobivad võimalused serveri töö halvamiseks või isegi info varastamiseks.

Rikutud ja häkkimisele viitav veebileht ei mõju hästi ühegi firma mainele. Ebaturvaline internetikeskkond kahandab ettevõtte usaldusväärsust.

Nagu Business Wire?i juhtumist saab õppida, võivad niisugused vead tihti kalliks maksma minna. Antud juhul ei ole küll seda teadaolevalt tehtud, kuid näiteks konfidentsiaalsete isikuandmete varguse puhul on võimalik kahjunõue esitada saidi omanikule-haldurile. Kõige kurvem kogu loo juures on see, et enamiku nn häkkimisjuhtumite taga on siiski vaid inimlik lohakus ja ebapiisav tähelepanu turvaküsimustele.

Autor: Kristjan Pihus