Digitoday

Asiantuntija: Harrastelijakin olisi pystynyt Suomen suurimpiin tietomurtoihin

Julkaistu:

Keskiviikkona paljastui jälleen suuri tietovuoto, kun nimetön käyttäjä ilmoitti hankkineensa 12 000 suomalaisen käyttäjätunnukset, salasanat ja sähköpostiosoitteet.
Uusin tietomurto tehtiin automyyntiin keskittyneelle Netcar.fi-sivustolle.

Tekijän mukaan hänellä ei ole yhteyksiä Anonymous-ryhmään, joka on ilmoittautunut viimeaikaisten tietovuotojen tekijäksi.

Suomessa on tapahtunut lyhyessä ajassa jo kolme suurta tietovuotoa. Julki on päätynyt kymmenien tuhansien ihmisten henkilötunnuksia, puhelinnumeroita, osoitteita ja salasanoja.

Viestintäviraston tietoturvayksiköstä CERT-FIstä kerrotaan, että hyökkäyksissä on käytetty SQL-injektiohyökkäyksiä tai niiden rinnalla myös muita menetelmiä. SQL on yleisesti käytetty kyselykieli, jonka avulla tietokantoihin voi tehdä erilaisia kyselyjä, muutoksia ja lisäyksiä.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tietoturva-asiantuntija Erika Suortti-Myyryn mukaan SQL-kielellä operoiminen ei vaadi erityisosaamista. Viime viikkojen tietomurrot olisivat onnistuneet tietokoneharrastajalta tai alan opiskelijalta.

–Kovin harjaantunut käyttäjä ei tarvitse olla. Hyökkääjällä on käytössään paljon automaattisia työkaluja, joilla palveluista voi etsiä haavoittuvuuksia, Suortti-Myyry sanoo.

Tietoturvassa tekemistä


Hyvin toteutetut nettipalvelut on rakennettu niin, ettei hakukenttään syötetyillä komennoilla pääse käsiksi tietokantaan. Tietomurtoihin tehdyissä järjestelmissä suojaus on pettänyt tai ollut puutteellinen.

Suortti-Myyryn mielestä tietoturva-asiat eivät ole Suomessa heikolla tolalla, mutta paremminkin voisi olla. Ohjelmoinnissa tehdään virheitä, resurssit voivat olla riittämättömät tai ohjelmistojen päivitykset laahata jäljessä. Suurin tietoturvauhka voi olla myös käyttäjä itse.

Tietoturva-asioissa on kiinnitetty erityistä huomiota siihen, että SQL-kieltä käytetään paljon tietomurroissa, mutta myös vastapuoli on kehittänyt uusia keinoja suojauksien kiertämiseksi.

–Jos merkittäviin palveluihin pääsee helposti, niin eihän se hyvä asia ole. Turvallisen ohjelmiston ohjelmoimiseen vaaditaan kuitenkin paljon enemmän kuin tietomurron tekemiseen. Mahdollisia tietoturva-aukkoja voi olla vaikea havaita, ennen kuin jotain tapahtuu.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt