Jokainen verkkosivusto Internetissä on jossain määrin altis tietoturvahyökkäyksille. Uhkat vaihtelevat inhimillisistä virheistä koordinoitujen verkkorikollisten kehittyneisiin hyökkäyksiin.
Verizonin Data Breach Investigations Report -raportin mukaan verkkohyökkääjien ensisijainen motivaatio on taloudellinen. Riippumatta siitä, onko sinulla sähköisen kaupankäynnin projekti vai yksinkertainen pienyrityksen verkkosivusto, mahdollisen hyökkäyksen riski on olemassa.
On tärkeämpää kuin koskaan tietää, mitä on vastassa. Jokaisella verkkosivustoosi kohdistuvalla ilkivaltahyökkäyksellä on omat erityispiirteensä, ja kun liikkeellä on monenlaisia hyökkäyksiä, voi tuntua mahdottomalta puolustautua kaikkia niitä vastaan. Silti voit tehdä paljon turvataksesi verkkosivustosi näitä hyökkäyksiä vastaan ja vähentää riskiä siitä, että ilkeät hakkerit kohdistuvat verkkosivustoosi.
Katsotaanpa tarkemmin 10 yleisintä Internetissä tapahtuvaa verkkohyökkäystä ja sitä, miten voit suojata verkkosivustosi niitä vastaan.
- Kymmenen yleisintä verkkosivuston tietoturvahyökkäystä
- Cross-Site Scripting (XSS)
- Injektiohyökkäykset
- Fuzzing (tai Fuzz-testaus)
- Zero-Day Attack
- Path (tai Directory) Traversal
- Distributed Denial-of-Service (DDoS)
- Man-In-The-Middle-hyökkäys
- Brute Force -hyökkäys
- Tuntemattoman tai kolmannen osapuolen koodin käyttäminen
- Phishing
- Johtopäätös
Kymmenen yleisintä verkkosivuston tietoturvahyökkäystä
Cross-Site Scripting (XSS)
Precise Securityn hiljattain tekemässä tutkimuksessa todettiin, että XSS-hyökkäys on yleisin verkkohyökkäys, joka muodostaa noin 40 prosenttia kaikista hyökkäyksistä. Vaikka se on yleisin, useimmat näistä hyökkäyksistä eivät ole kovin kehittyneitä, ja harrastelijaverkkorikolliset toteuttavat ne käyttämällä toisten luomia skriptejä.
Cross-site scripting kohdistuu sivuston käyttäjiin itse verkkosovelluksen sijaan. Haitallinen hakkeri lisää haavoittuvaan verkkosivustoon koodin, jonka sivuston kävijä sitten suorittaa. Koodi voi vaarantaa käyttäjän tilit, aktivoida troijalaisia hevosia tai muuttaa verkkosivuston sisältöä huijatakseen käyttäjää antamaan yksityisiä tietoja.
Voit suojata verkkosivustosi XSS-hyökkäyksiltä ottamalla käyttöön verkkosovelluspalomuurin (WAF). WAF toimii suodattimena, joka tunnistaa ja estää haitalliset pyynnöt verkkosivustollesi. Yleensä web-hosting-yrityksillä on WAF jo valmiina, kun ostat heidän palvelunsa, mutta voit asentaa sen myös itse.
Injektiohyökkäykset
OWASP (Open Web Application Security Project) nimesi viimeisimmässä Top Ten -tutkimuksessaan injektiohyökkäysvirheet suurimmaksi riskitekijäksi verkkosivustoille. SQL-injektiomenetelmä on suosituin verkkorikollisten käyttämä käytäntö tässä kategoriassa.
Injektiohyökkäysmenetelmät kohdistuvat suoraan verkkosivustoon ja palvelimen tietokantaan. Kun hyökkäys suoritetaan, hyökkääjä lisää koodinpätkän, joka paljastaa piilotetut tiedot ja käyttäjän syötteet, mahdollistaa tietojen muokkaamisen ja yleisesti ottaen vaarantaa sovelluksen.
Sivuston suojaaminen injektiohyökkäyksiltä riippuu pääasiassa siitä, miten hyvin koodipohja on rakennettu. Esimerkiksi SQL-injektioriskin vähentämisen ykköstapa on muun muassa se, että käytät aina parametrisoituja lausekkeita, jos ne ovat käytettävissä. Lisäksi voit harkita kolmannen osapuolen todennustyönkulun käyttämistä tietokantasuojauksen ulkoistamiseksi.
Fuzzing (tai Fuzz-testaus)
Kehittäjät käyttävät fuzz-testausta löytääkseen koodausvirheitä ja tietoturva-aukkoja ohjelmistoista, käyttöjärjestelmistä tai verkoista. Hyökkääjät voivat kuitenkin käyttää samaa tekniikkaa löytääkseen haavoittuvuuksia sivustossasi tai palvelimessasi.
Se toimii syöttämällä aluksi suuren määrän satunnaista dataa (fuzz) sovellukseen, jotta se kaatuu. Seuraavassa vaiheessa käytetään fuzzer-ohjelmistotyökalua heikkojen kohtien tunnistamiseksi. Jos kohteen tietoturvassa on aukkoja, hyökkääjä voi hyödyntää sitä edelleen.
Paras tapa torjua fuzzing-hyökkäys on pitää tietoturva- ja muut sovellukset ajan tasalla. Tämä koskee erityisesti kaikkia päivityksen mukana tulevia tietoturvakorjauksia, joita hyökkääjät voivat hyödyntää, jos et ole vielä tehnyt päivitystä.
Zero-Day Attack
Nollapäivähyökkäys on fuzzing-hyökkäyksen jatke, mutta se ei vaadi heikkojen kohtien tunnistamista sinänsä. Tuorein tapaus tämäntyyppisestä hyökkäyksestä tunnistettiin Googlen tutkimuksessa, jossa he tunnistivat mahdollisia nollapäivähyökkäyksiä Windows- ja Chrome-ohjelmistoissa.
On olemassa kaksi skenaariota siitä, miten pahantahtoiset hakkerit voivat hyötyä nollapäivähyökkäyksestä. Ensimmäinen tapaus on se, että jos hyökkääjät saavat tietoa tulevasta tietoturvapäivityksestä, he voivat oppia, missä porsaanreiät ovat ennen päivityksen julkaisua. Toisessa skenaariossa verkkorikolliset saavat korjaustiedot ja kohdistuvat käyttäjiin, jotka eivät ole vielä päivittäneet järjestelmiään. Molemmissa tapauksissa tietoturva vaarantuu, ja myöhemmät vahingot riippuvat tekijöiden taidoista.
Helpoin tapa suojata itsesi ja sivustosi nollapäivähyökkäyksiltä on päivittää ohjelmistosi heti, kun julkaisijat kehottavat julkaisemaan uuden version.
Path (tai Directory) Traversal
Path traversal -hyökkäys ei ole yhtä yleinen kuin edelliset hakkerointimenetelmät, mutta se on silti huomattava uhka mille tahansa verkkosovellukselle.
Path traversal -hyökkäykset kohdistuvat WWW:n pääkansioon ja pyrkivät pääsemään käsiksi luvattomiin tiedostoihin tai hakemistoihin kohteena olevan kansion ulkopuolella. Hyökkääjä yrittää syöttää palvelimen hakemiston sisällä liikkumismalleja siirtyäkseen hierarkiassa ylöspäin. Onnistunut polun ylitys voi vaarantaa sivuston pääsyn, konfigurointitiedostot, tietokannat ja muut samalla fyysisellä palvelimella olevat sivustot ja tiedostot.
Sivustosi suojaaminen polun ylityshyökkäykseltä perustuu syötteen sanitointiin. Tämä tarkoittaa sitä, että käyttäjän syötteet pidetään turvassa eikä niitä voida palauttaa palvelimeltasi. Suoraviivaisin ehdotus tässä on rakentaa koodipohjasi niin, että mitään käyttäjän tietoja ei välitetä tiedostojärjestelmän API:ille. Jos se ei kuitenkaan ole mahdollista, on olemassa muitakin teknisiä ratkaisuja.
Distributed Denial-of-Service (DDoS)
DDoS-hyökkäys ei yksinään anna pahantahtoisen hakkerin murtaa tietoturvaa, vaan tekee sivustosta väliaikaisesti tai pysyvästi offline-tilassa. Kaspersky Labin vuonna 2017 tekemässä IT Security Risks Survey -tutkimuksessa todettiin, että yksittäinen DDoS-hyökkäys maksaa pienille yrityksille keskimäärin 123 000 dollaria ja suurille yrityksille 2,3 miljoonaa dollaria.
DDoS-hyökkäyksen tavoitteena on ylikuormittaa kohteen verkkopalvelin pyynnöillä, jolloin sivusto ei ole muiden vierailijoiden käytettävissä. Botnet luo yleensä valtavan määrän pyyntöjä, jotka jaetaan aiemmin saastuneiden tietokoneiden kesken. Myös DDoS-hyökkäyksiä käytetään usein yhdessä muiden menetelmien kanssa; ensin mainitun tavoitteena on häiritä turvajärjestelmiä samalla kun käytetään hyväksi haavoittuvuutta.
Sivuston suojaaminen DDoS-hyökkäystä vastaan on yleensä monitahoista. Ensinnäkin sinun on lievennettävä huipputason liikennettä käyttämällä sisällönjakeluverkkoa (Content Delivery Network, CDN), kuormantasausta ja skaalautuvia resursseja. Toiseksi sinun on myös otettava käyttöön web-sovelluspalomuuri siltä varalta, että DDoS-hyökkäys kätkee sisälleen jonkin muun verkkohyökkäysmenetelmän, kuten injektion tai XSS:n.
Man-In-The-Middle-hyökkäys
Man-In-The-Middle-hyökkäykset ovat yleisiä sivustoilla, jotka eivät ole salanneet tietojaan, kun ne kulkevat käyttäjältä palvelimille. Käyttäjänä voit tunnistaa mahdollisen riskin tutkimalla, alkaako sivuston URL-osoite HTTPS:llä, jossa S-kirjain viittaa siihen, että tiedot on salattu.
Hyökkääjät käyttävät man-in-the-middle-tyyppistä hyökkäystä kerätäkseen (usein arkaluonteisia) tietoja. Tekijä sieppaa tiedot, kun niitä siirretään kahden osapuolen välillä. Jos tietoja ei ole salattu, hyökkääjä voi helposti lukea henkilö-, kirjautumis- tai muita arkaluonteisia tietoja, jotka kulkevat kahden paikan välillä Internetissä.
Suoraviivainen tapa lieventää man-in-the-middle-hyökkäystä on asentaa sivustollesi Secure Sockets Layer (SSL) -varmenne. Tämä varmenne salaa kaikki osapuolten välillä kulkevat tiedot, joten hyökkääjä ei saa niistä helposti selvää. Tyypillisesti useimmat nykyaikaiset hosting-palveluntarjoajat sisältävät SSL-varmenteen jo hosting-pakettinsa mukana.
Brute Force -hyökkäys
Brute Force -hyökkäys on hyvin suoraviivainen tapa päästä käsiksi verkkosovelluksen kirjautumistietoihin. Se on myös yksi helpoimmista lieventää, erityisesti käyttäjän puolelta.
Hyökkääjä yrittää arvata käyttäjätunnuksen ja salasanan yhdistelmän päästäkseen käsiksi käyttäjän tiliin. Tämä voi tietysti kestää vuosia, vaikka käytössä olisi useita tietokoneita, ellei salasana ole hyvin yksinkertainen ja ilmeinen.
Kirjautumistietoja voi suojata parhaiten luomalla vahvan salasanan tai käyttämällä kaksitekijätodennusta (2FA). Sivuston omistajana voit vaatia käyttäjiäsi ottamaan käyttöön molemmat, jotta pienennät riskiä siitä, että tietoverkkorikollinen arvaa salasanan.
Tuntemattoman tai kolmannen osapuolen koodin käyttäminen
Ei kyseessä ole suoranainen hyökkäys sivustoasi vastaan, mutta kolmannen henkilön luoman tarkistamattoman koodin käyttäminen voi johtaa vakavaan tietoturvaloukkaukseen.
Koodin tai sovelluksen alkuperäinen luoja on piilottanut koodin sisälle haitallista merkkijonoa, tai hän on tietämättään jättänyt takaoven. Sinä sitten sisällytät ”saastuneen” koodin sivustoosi, ja sitten se suoritetaan tai takaovea hyödynnetään. Vaikutukset voivat vaihdella yksinkertaisesta tiedonsiirrosta hallinnollisen pääsyn saamiseen sivustollesi.
Välttääksesi mahdolliseen tietoturvaloukkaukseen liittyvät riskit, pyydä aina kehittäjiäsi tutkimaan ja tarkastamaan koodin pätevyys. Varmista myös, että käyttämäsi liitännäiset (erityisesti WordPressin) ovat ajan tasalla ja saavat säännöllisesti tietoturvakorjauksia – tutkimuksen mukaan yli 17 000 WordPress-liitännäistä (eli noin 47 % WordPress-liitännäisistä tutkimuksen tekohetkellä) ei ollut päivitetty kahteen vuoteen.
Phishing
Phishing on toinen hyökkäysmenetelmä, joka ei ole suunnattu suoraan verkkosivuihin, mutta emme voineet jättää sitäkään pois listalta, sillä se voi silti vaarantaa järjestelmäsi eheyden. Syynä on se, että FBI:n Internet Crime Reportin mukaan phishing on yleisin sosiaalisen tekniikan tietoverkkorikollisuus.
Vakioväline, jota käytetään phishing-yrityksissä, on sähköposti. Hyökkääjät naamioituvat yleensä joksikin, jota he eivät ole, ja yrittävät saada uhrinsa jakamaan arkaluonteisia tietoja tai tekemään pankkisiirron. Tämäntyyppiset hyökkäykset voivat olla outoja, kuten 419-huijaus (osa Advance Fee Fraud -luokkaa), tai kehittyneempiä, joissa käytetään väärennettyjä sähköpostiosoitteita, näennäisesti aitoja verkkosivustoja ja suostuttelevaa kieltä. Jälkimmäinen tunnetaan laajemmin nimellä Spear phishing.
Tehokkain tapa vähentää phishing-huijauksen riskiä on kouluttaa henkilökuntaasi ja itseäsi tunnistamaan tällaiset yritykset. Tarkista aina, että lähettäjän sähköpostiosoite on laillinen, viesti ei ole outo ja pyyntö ei ole outo. Ja jos se on liian hyvää ollakseen totta, se todennäköisesti onkin.
Johtopäätös
Sivustoosi kohdistuvat hyökkäykset voivat olla monenlaisia, ja niiden takana olevat hyökkääjät voivat olla amatöörejä tai koordinoituja ammattilaisia.
Keskeinen johtopäätös on, ettei sivustoa luotaessa tai ylläpidettäessä saa ohittaa tietoturvaominaisuuksia, koska sillä voi olla vakavia seurauksia.
Vaikka verkkosivustohyökkäyksen riskiä ei ole mahdollista poistaa kokonaan, voit ainakin lieventää sen mahdollisuutta ja lopputuloksen vakavuutta.
Tietoa kirjoittajasta: Gert Svaiko on ammattimainen copywriter, joka työskentelee kyberturvallisuusyritysten kanssa Yhdysvalloissa ja EU:ssa. Hänet tavoittaa LinkedInissä.
Toimittajan huomautus: Tässä vierailevana kirjoittajana julkaistussa artikkelissa esitetyt mielipiteet ovat yksinomaan kirjoittajan omia eivätkä välttämättä vastaa Tripwire, Inc:n mielipiteitä.