Blogi

Tietoturvahaavoittuvuudet ja hyökkäysuhat sovelluksiin, järjestelmiin ja käyttäjien näppäimistöille

F5 Networksin tietoturvatyökalut voidaan kategorisoida noin kolmenkymmenen erilaisen hyökkäystavan torjuntaan. Tämä merkitsee samalla, että samat kolmekymmentä hyökkäystapaa sovelluksiin ovat jatkuvasti uhkana verkossa ja tietojärjestelmissä.

Tietoturvauhat piilevät pahaa-aavistamattomissa käyttäjissä, käyttäjien selaimissa ja asiakassovelluksissa, päätelaitteen käyttöjärjestelmissä, tietoliikenteessä, internetpalveluissa ja palvelimen sisällä.

Käymme alla lyhyesti läpi hyökkäystavat ryhmitellen ne eri tulokulmiin: palvelunestohyökkäykset, käyttäjien ja päätelaitteiden hyödyntämiset, sovellusten haavoittuvuudet ja infrastruktuurin aukot.

Oletko ottanut nämä ohjelmistokehityksessä huomioon vai harkitsisitko luotettavaa tapaa taklata nämä ilman ylimääräistä kehitysinvestointia?

Hajautetut palvelunestohyökkäykset

DNS Amplification – Bottiverkosto lähettää julkisille DNS-palvelimille kyselyitä, joiden alkuperäksi on väärennetty hyökkäyksen kohdepalvelin. DNS-palvelin lähettää vastaavasti isokokoiset vastaukset kohteeseen hidastaen ja tukkien järjestelmän.

SSL-TLS Renegotiation – TLS/SSL sallii asiakas-palvelin-yhteyden uudelleen muodostamiseen kryptografisesti lyhennetyn protokollan, jossa on myös haavoittuvuus. Kolmannella osapuolella on mahdollisuus liittyä kättelyyn ja samalla murtaa TLS/SSL-liikenteen tietoturvan.

SYN, UDP, HTTP Floods – Bottiverkosto lähettää suuren määrän SYN-paketteja, UDP-paketteja tai HTTP-kyselyitä kohdepalvelimeen ja pyrkii saamaan palvelimen ylikuormittumaan näiden protokollakäsittelyn tai datakäsittelyn takia.

Heavy URL – Hyökkääjä lähettää palvelimelle URL:n, joka edellyttää paljon prosessointia palvelimelta (esim. tietokantakysely). Näitä on vaikea erottaa normaaleista kyselyistä, mutta kohdistettuna rasittavat palvelinta huomattavasti.

DDoS Reflection Attack – Hyökkääjä lähettää julkisiin palvelimiin UDP-kyselyitä, joiden lähdeosoite on väärennetty hyökkäyksen kohdepalvelimeksi, ja pyrkii näin ylikuormittamaan tietoliikenteen ja palvelimen toiminnan, kun UDP-pakettiliikenne kasvaa ylisuureksi.

Sovelluksen työasema/client-puolen hyökkäykset

Client-platform Malware – Asiakassovelluksen alustaan tunkeutunut haittaohjelma pyrkii haittaamaan normaalia toimintaa tai aiheuttamaan vahinkoa.

Cross-site scripting – XSS mahdollistaa hyökkäyksen web-sovellukseen esim. syöttämällä sivustoon HTML-koodia Javascriptin avulla, jolloin loppukäyttäjän selain käsittelee liitettyä koodia kuten web-palvelimen omaa koodia.

Cross-site Request Forgery – XSRF-hyökkäys perustuu siihen, että käyttäjän selaimesta lähtee palvelinpyyntö tai koodi, jonka palvelin olettaa olevan autorisoidulta käyttäjältä, mutta joka todellisuudessa on haittaohjelman tai tunkeutujan toimintaa.

Man-in-the-browser – MITB käyttää hyväkseen selaimen haavoittuvuutta ja tekee käyttäjän tietämättä tämän valtuuksilla web-sivujen muutoksia tai käyttää web-palveluita.

Phishing – Käyttäjätunnusten, luottokorttitietojen tai pankkitunnusten kalastelu vakuuttavan oloisilla viesteillä. Vaikka spam-filtterit toimisivat hyvin, aina löytyy tapa houkutella käyttäjiä luovuttamaan kriittistä tietoa.

Session hijacking – Tunnettu myös cookie hijacking -termillä. Hyökkääjä saa käyttäjän yhteysevästeen tiedot itselleen ja pyrkii käyttämään tätä autentikointiin sovellukseen.

Man-in-the-Middle – MITM on aktiivisen salakuuntelun muoto, jossa hyökkääjä välittää kahden kohteen välistä liikennettä ja pystyy kontrolloimaan tietoturvalliseksi oletettua tietojen vaihtoa.

Injection – Tiedon syöttötietoon lisätään SQL-, komentokieli- tai LDAP-koodia web-lomakkeen tai muun syöttötavan kautta normaalin tiedon lisäksi, ja pyritään siihen, että sovellus ja palvelin prosessoi lisäyksen tarkistamatta.

Web-sovellusten tietoturvauhat

Credential Theft – Tunnukset, salasanat ja tunnusluvut, jotka saadaan phishingin avulla, ovat kauppatavaraa ja muodostavat laajemmankin uhan. Kyberrikollisuus löytää kyllä monia tapoja hyödyntää varastettuja tunnuksia, jos suojaukset eivät ole kohdallaan.

Credential Stuffing – Hyökkääjällä on saanut haltuunsa jonkin järjestelmän käyttäjätunnukset ja salasanat ja syöttää näitä skriptillä toiseen järjestelmään, josko jokin pari toimisi. Jos käyttäjällä on samat kredentiaalit eri järjestelmiin, taktiikka voi toimia.

Brute Force – Hyökkäyksessä tietoturva pyritään murtamaan kokeilemalla järjestelmällisesti kaikki vaihtoehdot käyttäjätunnus-salasana-yhdistelmiksi järjestelmän kirjautumisosiossa.

Cross-site Scripting – Web-sovellukseen selaimessa upotettu koodi, joka tule ulkopuolelta, kts. yllä client-puolen hyökkäykset.

Man-in-the-Middle – Tietoliikenteen välissä kuuntelija ja tunkeutuja. Hyökkääjä välittää kahden kohteen välistä liikennettä ja pystyy kontrolloimaan tietoturvalliseksi oletettua tietojen vaihtoa.

Certificate Spoofing – HTTPS-yhteyden luontivaihessa Man-in-the-Middle voi asettaa yhteyden kryptaukseen oman sertifikaatin, jonka käyttäjän selain hyväksyy, koska hyökkääjä on soluttanut sertifikaatin peukalonjäljen hyväksyttyjen sertifikaattien listaan.

API Attacks – Web-sovellusten API-rajapintaan voidaan kohdistaa kutsuja, jotka yrittävät saada aikaan haittaa tai kerätä liiketoimintakriittistä tietoa: parametrien kokeilulla, evästeiden väärennöksillä, sisällön manipuloinnilla (esim. JSON tokeneiden data).

Protocol Abuse – Palvelunestohyökkäykset nojaavat yleisesti internet-protokollien kättely- tai datasiirtovaiheisiin, jossa palvelin joutuu prosessoimaan ja odottamaan huomattavasti enemmän kuin yhteyden aloittanut hyökkääjä.

Injection – SQL-kyselyssä, komentorivillä tai muussa protokollassa ylimääräisellä datalla yritetty haittavaikutus tai tiedonkeruu. Tiedon syöttötietoon lisätään koodia web-lomakkeen tai muun syöttötavan kautta normaalin tiedon lisäksi, ja pyritään siihen, että sovellus ja palvelin prosessoi lisäyksen tarkistamatta. Erityisesti SQL-injektiot ovat pahamaineinen hyökkäystapa.

Cross-site Forgery Request – HTTPS tai vastaava kysely, jonka alkuperä on väärennetty. XSRF-hyökkäys perustuu siihen, että käyttäjän selaimesta lähtee palvelinpyyntö tai koodi, jonka palvelin olettaa olevan autorisoidulta käyttäjältä, mutta joka todellisuudessa on haittaohjelman tai tunkeutujan toimintaa.

Phishing – Käyttäjätunnusten, luottokorttitietojen tai pankkitunnusten kalastelu vakuuttavan oloisilla viesteillä. Vaikka spam-filtterit toimisivat hyvin, aina löytyy tapa houkutella käyttäjiä luovuttamaan kriittistä tietoa.

Abuse of Functionality – Käyttää web-palvelimen toiminnallisuuksia ja ominaisuuksia haitatakseen ja vääristääkseen palvelimen toimintaa tai kiertääkseen tietoturvamekanismeja.

Malware – Web-palvelimien, -sovelluksien ja muiden internetpalveluiden haavoittuvuutta hyödyntävät ja palvelimeen ujuttautuvat haittaohjelmat.

Sovellusten infrastruktuurin tietoturvauhat

Dictionary Attacks – Brute Force -hyökkäykset, jotka hyödyntävät salasanojen murtoyrityksissä sanakirjoja. Järjestelmän käyttäjätunnukset, joiden salasana on selkokielinen sana, ovat alttiina tietomurrolle.

Eavesdropping – Tietoliikenneyhteyden salakuuntelu, joko suoraan tarkkailemalla liikennettä tai keräämällä dataa ja analysoimalla sitä myöhemmin.

DNS Cache Poisoning – Nimipalveluiden haavoittuvuuden hyödyntäminen liikenteen ohjaamiseksi väärennettyihin osoitteisiin. Työasemissa tai reitittimissä olevaa tilapäistä DNS cache-tietoa muokkaamalla kaikki tämän solmun kautta kulkeva liikenne voidaan ohjata uudelleen.

Protocol Abuse – Palvelinestohyökkäysten yleisin tapa. Bottiverkosto pyrkii saamaan palvelimen ylikuormittumaan näiden protokollakäsittelyn tai datakäsittelyn takia.

Key Disclosure – Hyökkääjä/haittaohjelma tutkii järjestelmän muistia, jossa sovellus tai järjestelmä säilyttää kryptoavaimia tai muita kredentiaaleja.

DNS Hijacking – Haittaohjelma vaihtaa työaseman tai palvelimen DNS-asetukset, jolloin väärennetty nimipalvelin voi hyödyntää palvelinosoitteiden ja muiden palveluiden väärentämistä.

DNS Spoofing – Generoidut väärät DNS-paketit voivat joko aiheuttaa palvelunestohyökkäyksen tai DNS cachen väärentämisen.

PdoS – Pysyvä palvelunestohyökkäys tarkoittaa palvelun kannalta tärkeän laitteen sabotointia, BIOS- tai ylläpitotoimintojen tasolla. (Fyysinen hajottaminen käy myös.)

Man-in-the-Middle – MITM on aktiivisen salakuuntelun muoto, jossa hyökkääjä välittää kahden kohteen välistä liikennettä ja pystyy kontrolloimaan tietoturvalliseksi oletettua tietojen vaihtoa.

DNS DDoS Attack – Palvelunestohyökkäys, jossa kohteena on verkoston nimipalvelimet. DNS:n hidastuminen ja toimimattomuus heijastuu kaikkiin verkon käyttäjiin samassa aliverkossa.

DNS Amplification Attack – Bottiverkosto lähettää julkisille DNS-palvelimille kyselyitä, joiden alkuperäksi on väärennetty hyökkäyksen kohdepalvelin. DNS-palvelin lähettää vastaavasti isokokoiset vastaukset kohteeseen hidastaen ja tukkien järjestelmän.

Lista on uuvuttava (eikä edes kattava tai yksityiskohtainen) ja kaikki nämä tietoturvauhat ovat kuitenkin läsnä internetin lähes vihamielisessä maailmassa. F5 Labs on tutkinut ja kerännyt esimerkkejä yli kymmenen vuoden ajalta (nämä olisivat anekdootteja, jos uhka olisi vähäisempi) ja tunnistaa uusimmatkin hyökkäystaktiikat.

LUE SOVELLUSTEN TIETOTURVA -SIVULTAMME F5 LABSIN RAPORTTI

LUE RAPORTTI

Pääset lataamaan oppaan,
jos annat sähköpostiosoitteen.

F5 Networks -maahantuoja Arrow ECS Finland Oy tarjoaa kattavan valikoiman web-sovellusten kehittyneitä
palomuuripalveluita (AWAF) laitealustalla, pilvessä tai hallinoituna palveluna.

LUE LISÄÄ SOVELLUSTEN TIETOTURVAN LAITTAMISESTA KUNTOON

LUE LISÄÄ
window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-130688740-1');