Lueskellessani YLE Savon uutista Kuopion Taidetorin verkkosivuille kohdistuneesta tietomurrosta – kolmas viikon aikana näkemäni tietomurtouutinen aiempien vieläpä sisällettyä tiedon useamman sivuston murrosta – päätin kirjoittaa sivustojen ylläpitäjille tietoturvan tärkeydestä. Minähän en ole tietoturva-asiantuntija, mutta uskon että vertaiskokemus on voimakkaampi motivaattori kuin satunnainen uutinen itselle tuntemattomasta sivustosta ja ylläpitäjästä. Minulla ei myöskään ole kokemusta murron kohteeksi joutumisesta – yhtäkään ylläpitämääni sivustoa ei ole koskaan murrettu – tietääkseni – mutta olen aina ollut huolissani ylläpitämieni sivustojen turvallisuudesta koska tiedostan osaamiseni rajallisuuden verkkosivujen tietoturvaamisessa.
Verkkosivut on helppo pystyttää, jokainen voi lähes olemattomalla osaamisella sen tehdä ja tulla verkkojulkaisijaksi ja verkkojulkaisun ylläpitäjäksi. WordPress ja Joomla, kaksi kolmesta suosituimmasta verkkojulkaisujärjestelmästä, tekevät homman erittäin helpoksi. Valitettavasti kumpikaan ei suoraan jakelupaketista asennettuna tarjoaa hirvittävän vahvaa tietoturvaa. Molemmat ovat kuitenkin turvallisempia heti asennuksen jälkeen kuin hiukan myöhemmin kun käyttäjä asentaa niihin lisäosia. Tietomurrot näillä julkaisujärjestelmillä pystytetyille sivustoille eivät tyypillisesti tapahdu itse ydin järjestelmän haavoittuvuuksia käyttäen – ellei ylläpitäjä ole erityisen leväperäinen päivitysten kanssa – vaan järjestelmän lisäosien haavoittuvuuksia hyödyntäen. Tietämättömyys on autuutta joka usein päättyy karmealla tavalla murrettuun sivustoon. Toisinaan äkillinen roskapostitulva, sivuston lomakkeella lähetettyjen roskaviestien tai -kommenttien aalto herättää ylläpitäjän, mutta kumpikin näistä on vain jäävuoren huippu – pinnan alla piilee julmempi piikki kuin yhdessäkään antiikin sotakaleerissa.
Käytän ylläpitämilläni sivuilla useita erilaisia tietoturvaa lisääviä palveluista ja lisäosia. Kokosin tätä artikkelia varten tietoja tältä ja kahdelta muulta Joomlaa käyttäen ylläpitämältäni sivustolta. Valitsin tarkastelujaksoksi viimeisen puoli vuotta 20.2. – 20.7.2012. Tarkastelemillani sivustoilla käytiin tuona aikana yhteensä 15896 kertaa. Tämän sivuston osuus on luvusta vain 2758 käyntiä. Samana ajan jaksona yksi sivuilla käyttämistäni tietoturvalisäosista tunnisti, neutraloi ja kirjasi 1666 erilaista tietoturvauhkaa.
tyyppi | tämä sivusto | sivusto 2 | sivusto 3 | yhteensä |
CRSF | 20 | 20 | ||
DFI | 5 | 5 | ||
RFI | 17 | 43 | 2 | 62 |
SQLI | 1 | 1 | 2 | |
template | 4 | 5 | 3 | 12 |
epäonnistunut kirjautuminen | 192 | 198 | 390 | |
BadBehaviour | 306 | 589 | 280 | 1175 |
yhteensä | 545 | 637 | 484 | 1666 |
CRSF on kommentti- ja lomakeroskan torjuntaa. DFI (Direct File Inclusion), RFI (Remote File Inclusion) ja SQLI (SQL Injection) ovat murtautumisyrityksiä joiden tunnistamisessa väärien positiivisten mahdollisuus on lähes olematon. Template viittaa yritykseen käyttää Joomlan ominaisuutta vaihtaa sivujen ulkoasun määrittävä sivupohja (template) toiseen URL-osoitteen parametriä käyttäen. Tätä voitaisiin käyttää tietomurtoon jos jokin varmuudella asennettu sivupohja (asennuspakettiin sisältynyt oletussivupohja) tiedettäisiin haavoittuvaksi. Sivuston 3 epäonnistuneiden kirjautumisten luvussa on mukana alle 10% todellisten käyttäjien epäonnistuneita kirjautumisyrityksiä, loput ovat yriyksiä käyttää ilmeisimpiä (yleisimpiä) huonoja käyttäjätunnus/salasana -pareja sivustolle ylläpitäjän oikeuksin kirjautumiseen. BadBehaviour viittaa saman nimisen haittaohjelmien torjuntaohjelman tunnistamiin ongelmiin. Tämä luku sisältää myös sellaisia itsessään harmittomia standardien noudattomuuden muotoja kuten väärin ilmoitettu tai ilmoittamaton selainohjelma, tunnettu haitallinen verkkorobotti tai viittauksen väärentäminen. Kaikki nämä kuitenkin voivat liittyä ja usein liittyvätkin pahantahtoiseen toimintaan tai tiedusteluun.
Karkeasti sanoen joka kymmenes vierailu näillä kolmella sivustolla kieli siis pahantahtoisesta toiminnasta verkossa. Käytin jossain vaiheessa tietoturvalisäosan ilmoitustoimintoa kertomaan minulle sähköpostilla aina kun se kirjasi jotakin lokiin. Luovuin tästä nopeasti koska sain useimpina päivänä useita viestejä sivustolta. Onneksi lisäosa antaa myös mahdollisuuden automaattiseen ip-perustaiseen ulossulkemiseen sivustolta. Tätä kirjoittamaan ryhtyessäni tämän sivuston väliaikaisen (14 päivää) ulossulkemisen piirissä oli vain viisi ip-osoitetta. Automaattiset toiminnot eivät kuitenkaan yksin riitä. Käyn muutaman kuukauden välein läpi useita erilaisia lokeja sivustojen käytöstä ja muunnan joitakin väliaikaisia estoja pysyviksi toistuvuuden perusteella. Tyypillisesti tällainen muunto ei enää kohdistu yksittäiseen ip-osoitteeseen vaan kokonaiseen lohkoon osoitteita. Ikuisessa limbossa on tällä hetkellä seitsemän suurta osoiteavaruuden lohkoa.
Tarkastelujaksolleni ei saattunut mitään erityistä tapahtumaan vaan kaikki yritykset murtaa sivujen tietoturva olivat ”normaalia” verkon ”kohinaa”. Yksi tässä käyttämistäni sivustoista oli kuitenkin itsenäisyyspäivästä 2011 tammikuun 23. päivään 2012 aktiivisen murtamiskampanjan kohteena. Tämä tuotti lokiin yli 2500 riviä. Sivustolle yritettiin murtautua Joomlan haavoittuvia lisäosia tavoitelleen ja SQLI:llä. Tietoturvaamiseni kuitenkin piti eikä läpi missään vaiheessa päästy.
Tietämättömyys verkossa tapahtuvasta omia sivuja uhkaavasta toiminnasta on autuasta, mutta kolaukset kunnialle ja maineelle kovia. Verkkosivujen tietoturvaamiseen on tarjolla jokaiselle julkaisualustalle monia hyviä lisäosia ja mille tahansa sivustolle toimivia palveluita. Tässä muutama vinkki:
Akeeba BackUp ja Admin Tools -lisäosat Joomla-julkaisujärjestelmälle
http://www.akeebabackup.com/
BadBehaviour
http://bad-behavior.ioerror.us/
Project Honey Pot
http://www.projecthoneypot.org/
reCAPTCHA
http://www.google.com/recaptcha
Joomla Docs Security
http://docs.joomla.org/Security
Norton Safe Web
http://safeweb.norton.com/