Onko verkkosivustosi turvassa? 3 yleistä myyttiä tietoturvasta

Verkkopalveluiden ja datan turvallisuus ovat asioita, jotka ovat ymmärrettävästi paljon esillä mediassa - Yahoosta, Googlesta ja Ticketmasterista lähtien aina Neopetsiin ja tuhansiin pienempiin tietovuotoihin asti, jotka eivät edes päädy uutisiin. Harvoin kuluu viikkoakaan ilman, että uutisoidaan uudesta tietovuodosta tai jokin suuri verkkosivusto kaatuu DDoS-hyökkäyksen seurauksena.

Tässä artikkelissa käsittelen keskeisiä verkkosivustojen tietoturvaan liittyviä asioita ja murran muutamia myyttejä aiheen ympäriltä.

Myytti 1: Hakkerit toimivat kuin elokuvissa

Usein kuvitellaan, että tietovuodot johtuvat taitavista hakkereista, jotka istuvat päivät ja yöt läpeensä murtautumassa järjestelmiin kekseliäästi ja hyödyntämällä teknistä osaamista – aivan kuten elokuvissa ja tv-sarjoissa (krhm, Mr. Robot). Todellisuudessa useimmat hyökkäykset ovat huomattavasti arkisempia ja perustuvat automatisoituihin prosesseihin.

Verkkosivustoja koskevat hyökkäykset etenevät yleensä näin:

1. Joku teknisesti osaava henkilö suorittaa skannauksia laajoille listauksille verkkosivustoja.
2. Skannaukset havaitsevat tiettyjä haavoittuvuuksia, kuten vanhentuneita CMS-versioita, laajennuksia ja teemoja, sekä mahdollisia hyökkäyskohtia. Esimerkiksi yhteydenottolomakkeet, verkkokauppa- ja jäsenyyslisäosat ovat botteja houkuttelevia kohteita.
3. Hyökkääjä valitsee sopivan kohteen.
4. Kohteesta kerätään kaikki mahdollinen tieto, kuten verkkotunnuksen tiedot, nimipalvelimet, palvelimen tiedot sekä itse sovellusta koskevat tiedot.
5. Hyökkääjä päättää, mitä haluaa tehdä – joskus se voi olla pelkkä ”gotcha”-tyyppinen tekstitiedosto sivuston juuressa, joskus datan varastaminen, sivuston turmeleminen tai jopa lunnaiden vaatiminen. Toiset taas ilmoittavat löydöksistään sivuston omistajalle toivoen saavansa jonkinlaisen palkkion.

Mitä arkaluonteisempaa dataa sivusto käsittelee, sitä kiinnostavampi hyökkäyksen kohde se on. Valtion virastot, kaupunkien verkkosivut, terveydenhuollon palveluntarjoajat sekä yritykset ja valtiot, jotka toimivat kiistanalaisten aiheiden parissa, ovat muita suuremmassa vaarassa ja erityisesti näiden toimijoiden tulisi varautua mahdollisiin uhkatilanteisiin.

Myytti 2: Hakkerointi vaatii paljon työtä

Kuten yllä kuvattiin, suurin osa hyökkäyksistä perustuu automaatioon – jatkuvaan skannaamiseen, kokeiluun ja eri tietojen yhdistämiseen epätavallisilla tavoilla. Vaikka kaikki tämä kuulostaa teknisesti vaativalta, useimmat hyökkäykset ovat silti seurausta yksinkertaisten perusasioiden laiminlyönnistä.

Useimmissa tapauksissa kyse ei ole taitavasta hakkerista, joka kohdistaa hyökkäyksen juuri sinun sivustoosi. Todellisuudessa kyse on boteista, jotka käyttävät tunnettuja menetelmiä, kuten:

• Sitemap.xml-tiedoston tutkiminen mahdollisten tietovuotojen varalta (erittäin yleistä)
• Käyttäjänimien vuotaminen kirjoittaja-sitemapeista ja syötteistä
• Tiedostojen latauskansiot, joissa hakemistolistaus on päällä (tällöin kuka tahansa voi nähdä kaikki ladatut tiedostot)
• Yleisten päätepisteiden, kuten WordPressin REST API:n, testaaminen haavoittuvuuksien varalta
• Verkkosivuston tietojen ja lisäosien versioiden kerääminen ja niistä haavoittuvuuksien etsiminen
• Käyttäjätunnusten ja salasanojen kokeilu sekä brute force -hyökkäykset sisäänkirjautumisen onnistumiseksi
  
  

Esimerkiksi Vastaamoa koskeneen tietomurron kohdalla tietokantapalvelimen URL-osoite löytyi yksinkertaisesti Googlen kautta, ja on epäilty, että käyttäjänimi ja salasana olivat oletusarvoja (esimerkiksi admin ja password). Tapauksessa ei ollut kyse nerokkaasta hakkerista, vaan uteliaasta henkilöstä, joka testasi asiaa – ja joka lopulta tuomittiin kiristyksestä, tietomurrosta ja törkeistä yksityisyydensuojan rikkomuksista.

Myytti 3: Sivustomme ei ole kohde

Kuten aiemmin todettiin, hyökkäyksissä ei useimmiten ole mitään henkilökohtaista - ei tarvitse hallita laajoja käyttäjärekistereitä, luottokorttitietoja tai henkilötunnuksia ollakseen potentiaalinen hyökkäyksen kohde.

Suurille organisaatioille tietoturvatestaus (pen-testing) on loistava tapa auditoida sovelluksen ja palvelimen turvallisuutta. Monille yrityksille tämä on kuitenkin tarpeettoman raskasta, ja riittää, että luotettava kumppani huolehtii seuraavista asioista:

1. Seuranta
   Monet hyökkäykset voidaan estää jo ennalta, jos verkkosivustoa valvotaan jatkuvasti. Bottiaktiivisuus, kirjautumisyritykset ja virhelokit ovat erinomaisia tapoja havaita epäilyttävää toimintaa ja pysäyttää hyökkäys ennen kuin se etenee.
2. Varmuuskopiot
   On hiukan yllättävääkin, kuinka usein varmuuskopioinnin merkitys unohdetaan tai varmuuskopiointi ei toimi kuten pitäisi. Hyvin toimiva, etäpalvelimelle tallennettu varmuuskopio on viimeinen turvaverkko, jos kaikki muu edeltä pettää.
3. Päivitykset
   Käyttöjärjestelmän, lisäosien ja teemojen päivitykset ovat keskeinen osa palvelun ylläpitoa. Hyvä tekninen kumppani pysyy ajan tasalla uusimmista poikkeuksista ja mahdollisista uhkista, sekä neuvoo tarvittavista toimenpiteistä.

Yhteenvetona

Mikä tahansa sivusto voi olla hyökkäyksen kohde, ja mahdollisia aukkoja järjestelmissä löytyy usein perusasioiden ääreltä. Ottamalla ennakoivan lähestymistavan tietoturvaan voidaan vähentää merkittävästi tietomurtojen ja vahinkojen riskiä – vaikkakaan niitä ei voida koskaan täysin poistaa. 

Me Knowitilla suhtaudumme tietoturvaan vakavasti ja pidämme sitä tärkeänä osa-alueena verkkopalveluiden ylläpidossa. Haluamme pysyä alati muuttuvien tietoturvauhkausten edellä -  keskitymmekin tiimeissämme jatkuvasti teknisten taitojen kehittämiseen, tietoisuuden laajentamiseen, ylläpidon tehostamiseen ja asiakkaidemme auttamiseen valmistautuessamme tulevaisuuden tietoturvahaasteisiin.

Kaipaatko apua sivustosi tietoturvan tai ylläpidon kanssa? Ota meihin yhteyttä alla olevalla lomakkeella, ja katsotaan yhdessä miten voimme olla avuksi!