Hosting-palveluiden tietoturvahaasteet Antti Kiuru CERT-FI
Sisältö Yleistä Case: Sisällönhallintajärjestelmä Case: Hallintapaneeli pankkitroijalaisen apuna Opittua
Yleistä Tietomurrot backend-järjestelmiin tuntuvat olevan yleistymässä Murtautumalla taustajärjestelmään saavuttaa isomman kohdeyleisön OpenX anyone?
Yleistä Automatisoiduilla työkaluilla päästään hyviin tuloksiin sivustojen töhrinnässä ja haittaohjelmien levityksessä FTP-Tunnuksia varastavat haittaohjelmat ovat jo vanha juttu Gumblar Varasti FTP-ohjelmien käyttäjätunnukset & salasanat Kaappaa ja uudelleenohjaa Googlehakuja Sniffailee paikallisen koneen verkkoliikennettä Asentaa FAKE-AV -ohjelmiston
Case: Sisällönhallintajärjestelmä
Case: Sisällönhallintajärjestelmä Tietomurron kohteena toimija jolla hosting-asiakkaita Vaikutuksia noin sataan asiakkaaseen Sivustoja käytettiin haittaohjelmien levitykseen Javascript, vanha tuttumme CERT-FI:lle tapaus näkyi kohonneena määränä ilmoituksista murretuista sivuista
Case: Sisällönhallintajärjestelmä Yrityksen asiakkaalla oli vuotava sisällönhallintajärjestelmä Sisällönhallintajärjestelmän kautta päästiin sisälle taustajärjestelmään Taustajärjestelmästä löytyivät tietokannan ylläpitoon käytettävät tunnukset selkokielisenä Tunnuksilla löydettiin tietokannasta lisää selkokielisiä tunnuksia
Case: Sisällönhallintajärjestelmä Toimintatapana oli antaa asiakkaalle tunnus ja salasana käyttöönottovaiheessa Yli 1200 asiakasta jätti vaihtamatta salasanan Ensimmäinen salasana tallennettiin kantaan.. selkokielisenä
Case: Hallintapaneeli pankkitroijalaisen apuna
Case: Hallintapaneeli Suomalaisen verkkotunnuksen takaa löytyi alidomainista ZeuS-haittaohjelman C&C Ensimmäinen olettamus oli, että kyseessä murrettu tilastopalvelin stats.domainxyz.xyz Verkkotunnuksen omistaja tavoitettiin nopeasti, samoin sivuston ylläpitäjä Selvittelyn tuloksena
Case: Hallintapaneeli Verkkotunnuksen omistaja kielsi tietävänsä kyseisestä alidomainista mitään Katseet kääntyivät nimipalveluun ja hallintapaneeliin Hallintapaneelin kautta oli luotu stats.domainxyz.xyz Legitiimin kuuloinen osoite, joka kuitenkin osoitti Itä- Eurooppaan Taustalla amerikanvenäläiset?
Opittua
Opittua Tietomurron kohteeksi joutuneen verkkosivun (FTP- )ylläpitotunnukset kannattaa vaihtaa ja tieto haittaohjelmasta saattaa sivuston ylläpitäjälle (Gumblar) Tarkkaile kirjautumisia FTP-tunnuksilla. Suhtaudu epäillen siihen ettei ilmoitettu tietomurto näy asiakkaan sivuilla tai palveluissa. Älä tee dumppia tietokannasta cleartextinä. Tilapäiset tiedostot jäävät usein tilapäisiin paikkoihin pysyvästi.
Opittua Haitallinen ohjelmakoodi on usein UserAgent- ja referertietoista Käytä siis WGETiä maustettuna oikeanlaisella UA:lla ja refererillä Jotkut C&C- ja Proxy-palvelinten pystyttäjät käyttävät myös GeoIP-blokkausta ÄLÄ käy kurkkaamassa selaimella mitä murretulta sivulta löytyy
Opittua Välillä myös suomalaisia sivustoja pankkihaittaohjelmien konfiguraatiotiedostoissa Sivustot eivät välttämättä ole aktiivisessa käytössä vaan ne on murrettu varastoon OpenX-alustaa käyttäviä sivustoja käytetty viekkaasti vilkkaimpaan aikaan ja vain hetkellisesti levitetty haittaohjelmaa Ylimääräisiin käyttäjätunnuksiin ei ole kiinnitetty huomiota OpenX alustana on jätetty päivittämättä tuoreeseen
Opittua Etsi lokitiedoista merkkejä SQLMap-työkalujen ja muiden pentest-työkalujen käytöstä jos automatiikka ei tee sitä sinun puolestasi Jos epäilet tunnusten väärinkäyttöä, ota yhteys sivuston käyttäjään Käyttäjillä ja laiskoilla ylläpitäjillä on kokemuksemme mukaan tapana korjata oire, ei itse tautia. Hieman samalla tavoin kuten konjakkia käytetään flunssan torjumiseen.
www.cert.fi www.ficora.fi