Tekijä: Riku Eskelinen

XSS ja suomalaiset web-sivut

Posted onLeave a comment

Viime päivinä olen käyttänyt resurssejani suomalaisten (eli .fi-) sivustojen läpikäymiseen XSS-aukkojen varalta, ja voi pojat niitä on löytynytkin. Tätä kirjoittaessa ilmoitin juuri neljännenkymmenennen aukon sivuston omistajalle aukosta.

Tämä aukkojen etsiminen alkaa saada sellaiset mittasuhteet, että käynnistin oikein projektin aukkojen etsimiselle: KServerXSS-haavoittuvuusprojekti. Sillä on oma web-sivu osoitteessa http://xss.kserver.dy.fi/ , josta löytyy myös lisää tietoa tästä projektista.

Nopeasti kun mietin niin niistä sivuista, joilla jonkinlainen hakukenttä on ollut, ehkä jotakuinkin 30-40 % on ollut haavoittuvaisia jollain tavoin. Se tarkoittaa pelottavaa määrää aukkoja suomalaisissa web-sivuissa!

Miksi tällaisia aukkoja sitten on näin paljon? Todennäköisesti siksi, että sivustoa tehdessä on sivustontuotantoon panostettu liian vähän rahaa, aikaa tai koulutusta. Silloin syntyy tällaisia ikäviä ongelmia.

En sano, etteikö KServerilläkin jossain noita aukkoja olisi, sillä oma lehmä ojassa on aina paras huudella. Nyt käyn suomalaisten kuntien ja kaupunkien verkkosivuja läpi.

Sananen XSS:stä

Posted onLeave a comment

Viime päivinä on Sampo pankin verkkosivu-uudistuksen takia tai ansiosta näkynyt paljon löydettyjä XSS- eli Cross-site scripting-haavoittuvuuksia verkkosivuilla. Tämä siksi, että hakkerit ovat kiinnostuneet ottamaan aiheen asiakseen ja kokeilemaan.

Mainittakoon tähän väliin se, että termillä hakkeri tarkoitan tietotekniikasta kiinnostunutta henkilöä, jota kiinnostaa tietää miten tietojärjestelmiä käytetään niinkuin niitä ei ole suunniteltu. Ja kokeilemallahan se parhaiten selviää. Hakkerilla ei ole tarkoituksena tuottaa vahinkoa kohteelleen, vaan ainoastaan tutustua asiaan siksi koska se on mahdollista. Hakkereilla on usein moraali, ja he noudattavat tiettyjä sanattomia käytössääntöjä, joihin palaan myöhemmin.

Mediat ja maallikot valitettavan usein kuitenkin mieltävät hakkerit krakkereiksi, jotka taas ovat ihan oma porukkansa. Nämä haluavat aiheuttaa vahinkoa, varastaa tietoja ja myydä niitä esim. kilpailijayrityksille. Krakkerit ovat IT-maailman murhaajia ja varkaita, ja itse en ainakaan moista menoa tue.

Mutta XSS:ään palatakseni kerron senkin, että haavoittuvuuksien keräämiseen on olemassa jo oma verkkosivustonsa, josta löytyy lista olemassaolevista ja korjatuista haavoittuvuuksista sekä muutenkin tietoa XSS:stä. Listalta löytyy myös oma kontribuutioni, SFS:n sivuilta löytynyt haavoittuvuus (näyttäisi olevan nyt korjattu).

Mutta aukkolistan alussa on tärkeä ohje, jota muutenkin haavoittuvuuksia löydettäessä tulisi pitää arvossaan: asiasta tulee ilmoittaa aina asianomaiselle. Itse ilmoitin SFS:lle eilisiltana ja nyt, alle vuorokautta myöhemmin, aukko on jo korjattu.

Tämä oli ihan oikea vastaus, mutta tiedän eräänkin verkkosivuston ylläpitäjän, jonka kanssa juttelin samalla vilkaisten heidän sivustonsa PHP-lähdekoodia. Sivusto luottaa käyttäjän syötteeseen sataprosenttisesti, ja toimintaperiaate sivujen näyttämiseen on include($_GET[’sivu’]); . Jos et tajunnut, ei se mitään.

Kerroin tietenkin tälle ylläpitäjälle asiasta. Hän ei ilmeisesti aikaisemmin ollut kuullut XSS:stä, joten selitin asian pähkinänkuoressa jotakuinkin näin: ”Tämä haavoittuvuus mahdollistaa sen, että pahantahtoisella kolmannella osapuolella on mahdollisuus käyttää sivustoa väärin, saada luottamuksellisia tietoja jne”. Tähän tämä admin totesi että ”Hakkerithan pääsee minne tahansa tekemään mitä tahansa kuitenkin”.

Tyrmistyin tämän kuullessani ja totesin edes alkeellisen suojaamisen olevan hyväksi maineen ja tietoturvan kannalta, johon sain kuulla tiukkaan sävyyn: ”sinua ei ole pyydetty neuvomaan tässä asiassa eikä se sinulle kuulu, enkä usko että ketään tämä asia kiinnostaakaan.”. No, onneksi minun tietojani ei ole tuossa järjestelmässä – eikä tule olemaankaan.

Mietinpähän vaan että kuinka monta nettisivuja pitävää PK-yritystä Suomenkin rajojen sisältä mahtaa löytyä joilla asenne tietoturvaan on lähinnä tuollainen EV(V)VK. Siltikin kannustan jokaista kynnelle kykenevää etsimään haavoittuvuuksia verkkosivuista ja muistamaan tärkeysjärjestyksen:

  1. Löydä aukko
  2. Ilmoita aukosta asianomaiselle
  3. Ilmoita aukosta Cert.fi:lle
  4. Naureskele aukolle ja ota kuvakaappauksia tyhmistä sivuista upotettuna tähän uhrisivustoon
  5. ?????
  6. PROFIT!

Mutta siinä kaikki tältä kertaa. Ja niin, jos KServeriltä löytyy noita aukkoja niin sopii ilmoitella vaikkapa sähköpostitse.

Elisalta ympäripyöreitä vastauksia

Posted onLeave a comment

Aiemmin tässä blogissa kerroin ottavani yhteyttä URL-pohjaisen suodatuksen käyttöönottoon liittyen operaattoriini Elisaan. Vastaus heidän taholtaan viipyi hieman, mutta kiteytetysti kysyin siis, jotta:

— aikooko Elisa käyttää DNS- vai
URL-pohjaista suodatusta vai sekä että pakollisena osana
laajakaistaansa ja millaisella aikataululla URL-pohjaists
suodatusta ollaan ottamassa käyttöön?

Lisäksi jos/kun olette ottamassa URL-suodatuksen käyttöön,
onko se kytkettävissä pois käytöstä tai muuten ilman toisen
proxyn käyttämistä kierrettävissä?

ja vastaus oli (olennaisilta osin):

Elisa estää pääsyn lapsipornoa sisältäville sivuille Poliisin toimittaman listan mukaan lapsipornografian levittämisen estotoimista annetun lain 1.12.2006/1068 perusteella. Lain mukaan teleyrityksellä on oikeus tarjota palvelujaan siten, että niiden avulla ei ole pääsyä lapsipornosivustoihin. Myös Elisan toimitusehdoissa on todettu, että Elisalla on oikeus poistaa verkosta sellainen materiaali, jonka viranomainen, kolmas osapuoli tai Elisa perustellusti toteaa loukkaavan lain määräyksiä tai estää pääsy viranomaisten ilmoittamille internet-sivuille (Elisan yleiset sopimusehdot kuluttajille, kohta 6.12). Elisa toimii asiassa lain ja sopimusehtojensa mukaisesti.

Tämä ilmeisesti on Elisan vakiovastaus kaikkiin sensuuriin liittyviin kysymyksiin. Omaan kysymykseenihän se ei vastannut millään tapaa, joten bumerangina lähti vastaus Elisalle tähän malliin (jälleen kerran turhat karsien):

— haluaisin tietää koska – jos ikinä – Elisa on ottamassa käyttöön poliisin niinkutsuttua URL-listaa ja tuleeko se DNS-suodatuksen tilalle vai rinnalle. Lisäksi kiinnostaisi tietää onko palvelusta tulossa ”maksuton lisäpalvelu” (mikä ei muuten ole sensuurilain vastainen menettely sekään) vai pakollinen toiminto.

Pyydän, että ystävällisesti vastaisitte edellisen kappaleen kysymyksiin mahdollisimman suoraan ja yksiselitteisesti. Tämä siksi, jotta vastauksenne mahdollisessa käsittelyssä blogissani tarvitsisi käyttää mahdollisimman vähän tulkintaa, minkä uskon olevan myös Elisan etu.

Jos tällä kertaa vaikka saisin suorempia ja käyttökelpoisempia vastauksia Elisan taholta. Voisi sitten alkaa harkita vaikka ISP:n vaihdattamista jos niikseen tulee jos aspa ei osaa vastata kysymyksiin. Kaikenkaikkiaankin mielestäni on parempi kertoa rehellinen likainen totuus kun kierrellä ja valehdella. Mutta nähtäväksi jää, mitä Elisa vastaa ensi kerralla.

Kyllä hävettää olla suomalainen

Posted onLeave a comment

No tekivätpä sitten SFS:ssä sellaisen päätöksen että Suomen kanta Microsoftin ”avoimelle” Office Open XML -formaatille on kyllä (IT-viikko, Tietokone). Sanoivat nuo ilmeisesti Mäsän lahjomat ”asiantuntijat” mitä vain, niin totuus on se, että kilpailevaa standardia toimistotiedostoformaatille ei tarvita, vähiten Microsoftin luomana.

Miksikö näin? No vaikkapa siksi että on olemassa jo ihan aidosti avoin standardi tuolle, ja sen nimi on OpenDocument. Miksi siis keksiä pyörää uudelleen vain Microsoftin kassavirtojen tukemiseksi. Senhän nyt luulisi olevan kaikille itsestään selvää että Microsoft nyt ei hyvää hyvyyttään lähde pakkovääntämään formaattiaan standardiksi. Ainoa syy sille on se, että tulevaisuudessa avoimet formaatit tulevat saamaan entistä enemmän jalansijaa ja jos/kun Mikkisofta saa omalle formaatillensa standardin aseman, ei kuluttajalla taaskaan ole vaihtoehtoja.

En sano, etteikö Microsoftin formaatin spesifikaation perusteella voisi tehdä toimivaa OOXML-tukea mihinkä vain sillä en itse ole moiseen speksiin tutustunut ja puhunkin lähinnä mututuntumalla. Joka tapauksessa paljon keskustelupalstoilla näkee kommenttia, että OOXML on liiaksi naimisissa Microsoftin proprietary-formaattien kanssa transitional-ominaisuuksien muodossa. Niistähän ollaan kuulemma luopumassa ajan kanssa, mutta kukaan ei mitään aikaa ole uskaltanut sanoa. Olisikohan joku 30-50 vuotta aika lähellä totuutta?

Lisäksi formaatissa on edelleen pahoja puutteita, joita ei vaan korjata – ainakaan nyt (tai koskaan). Mielestäni rikkinäisen formaatin standardiksi ajo on silkkaa hulluutta, mutta valitettavasti tuollainen määrittely estäisi Microsoftin kaltaisten yritysten kaikki standardointiyritykset. Pääasiahan ei ole se, että standardi on oikeasti toimiva, vaan se että se toimii näennäisesti hienosti oman tuotteen kanssa ja muiden kanssa vähintäänkin huonosti. Silloin kun kassakone laulaa sulosointujaan eniten Redmondin paholaisen suunnalla.

Ei pelkoa: kuten ei Silverlightiäkään, OOXML:ää ei tulla ikinä näkemään KServerillä.

Toinen asia mikä ärsyttää suunnattomasti on se, että puheenjohtaja päätti että äänestystä ei tarvita koska kaikki paitsi vastustajat ja kannattomat ovat standardoinnin puolesta. Ainakin tällainen kuva itselleni jäi. Jos tuosta on joku pöytäkirja tai muu muistio tehty niin lukisin sen mielelläni. Joka tapauksessa on törkeää olla äänestyttämättä selkeästikin erimielistä ryhmää. Sitten oltaisiin saatu raakoja lukemia siitä mitä mieltä edustajat ovat.

Oikeastihan tätä asiaa olisi pitänyt taas kerran kysyä IT-alalla toimivilta ihmisiltä, ei isojen firmojen nuoleskelluilta Isoilta Pampuilta®. He kun sanovat sitä mistä eniten bonuksia saa.

—-
HUOM: Nämäkin mielipiteet ovat omiani. Älä vedä hernettä nenään jos olet eri mieltä. Tekstissä esitän omia mielipiteitäni totuuksina sillä se kuuluu kirjoitustyyliini. Tämän takia blogipostauksesta saattaa syntyä harhaanjohtava kuva. Tutustu siis linkitettyyn lähdemateriaaliin.

Pitihän se arvata

Posted on2 Comments

No pitihän se arvata että minkä takia Sampo Pankin sivut kusevat. Tekijänä on ah-niin-taidokas TietoEnator (lähde), tai tarkemmin ottaen sen tytäryhtiö mutta kuitenkin.

Saman talon sisällä on ollut ongelmia mm. yhteishakuun käytetyn kouluta.fi -sivuston toteuttamisessa. Tänään se oli järjettömän tukossa, kun käyttelin sitä. Muutenkaan en ole hirveän mairittelevaa palautetta siitä kuullut: kaikki toiminnallisuudet eivät toimi, käyttöliittymä on sekava ja käyttäjäroolit (joita on varmaankin jotakuinkin 20-30 erilaista) arpovat hyvin erilaisia tuloksia hakijoista.

Tulikin tässä mieleeni, että luin tänään siitä, että Eduskunnan nettisivuilla on ollut haavoittuvuus, joka on mahdollistanut sivujen muokkaamisen käyttäen oikeanlaisia hakukyselyitä (haiskahtaa SQL Injectionilta). Sivuston toteuttajan nimi kuulostaa tutulta. Ah, nyt muistankin: TietoEnator.

Muistattekos muuten, kuka toimittaa suomalaisille sähköisen äänestysjärjestelmän, jonka auditoijilla on salassapitovelvollisuus ongelmista ja jonka toiminta on liikesalaisuus? Oikein, TietoEnatorhan se taas siellä.

Itse ei vapaaehtoisesti TietoEnatorin paskoihin koskisi pitkällä tikullakaan, kun siellä näyttäisi olevan 20 juopunutta apinaa hakkaamassa näppäimistöjä päähän, tai sitten Insinööri® on miettinyt liikaa hienoja teknisiä kikkailuja ja unohtanut käytettävyyden, vakauden ja turvallisuuden. Suosittelenkin TietoEnatoria vaihtamaan nimensä kuvaavammaksi, kuten vaikka EpicFailure:ksi. Hyvää illanjatkoa.