Sananen XSS:stä

Viime päivinä on Sampo pankin verkkosivu-uudistuksen takia tai ansiosta näkynyt paljon löydettyjä XSS- eli Cross-site scripting-haavoittuvuuksia verkkosivuilla. Tämä siksi, että hakkerit ovat kiinnostuneet ottamaan aiheen asiakseen ja kokeilemaan.

Mainittakoon tähän väliin se, että termillä hakkeri tarkoitan tietotekniikasta kiinnostunutta henkilöä, jota kiinnostaa tietää miten tietojärjestelmiä käytetään niinkuin niitä ei ole suunniteltu. Ja kokeilemallahan se parhaiten selviää. Hakkerilla ei ole tarkoituksena tuottaa vahinkoa kohteelleen, vaan ainoastaan tutustua asiaan siksi koska se on mahdollista. Hakkereilla on usein moraali, ja he noudattavat tiettyjä sanattomia käytössääntöjä, joihin palaan myöhemmin.

Mediat ja maallikot valitettavan usein kuitenkin mieltävät hakkerit krakkereiksi, jotka taas ovat ihan oma porukkansa. Nämä haluavat aiheuttaa vahinkoa, varastaa tietoja ja myydä niitä esim. kilpailijayrityksille. Krakkerit ovat IT-maailman murhaajia ja varkaita, ja itse en ainakaan moista menoa tue.

Mutta XSS:ään palatakseni kerron senkin, että haavoittuvuuksien keräämiseen on olemassa jo oma verkkosivustonsa, josta löytyy lista olemassaolevista ja korjatuista haavoittuvuuksista sekä muutenkin tietoa XSS:stä. Listalta löytyy myös oma kontribuutioni, SFS:n sivuilta löytynyt haavoittuvuus (näyttäisi olevan nyt korjattu).

Mutta aukkolistan alussa on tärkeä ohje, jota muutenkin haavoittuvuuksia löydettäessä tulisi pitää arvossaan: asiasta tulee ilmoittaa aina asianomaiselle. Itse ilmoitin SFS:lle eilisiltana ja nyt, alle vuorokautta myöhemmin, aukko on jo korjattu.

Tämä oli ihan oikea vastaus, mutta tiedän eräänkin verkkosivuston ylläpitäjän, jonka kanssa juttelin samalla vilkaisten heidän sivustonsa PHP-lähdekoodia. Sivusto luottaa käyttäjän syötteeseen sataprosenttisesti, ja toimintaperiaate sivujen näyttämiseen on include($_GET[’sivu’]); . Jos et tajunnut, ei se mitään.

Kerroin tietenkin tälle ylläpitäjälle asiasta. Hän ei ilmeisesti aikaisemmin ollut kuullut XSS:stä, joten selitin asian pähkinänkuoressa jotakuinkin näin: ”Tämä haavoittuvuus mahdollistaa sen, että pahantahtoisella kolmannella osapuolella on mahdollisuus käyttää sivustoa väärin, saada luottamuksellisia tietoja jne”. Tähän tämä admin totesi että ”Hakkerithan pääsee minne tahansa tekemään mitä tahansa kuitenkin”.

Tyrmistyin tämän kuullessani ja totesin edes alkeellisen suojaamisen olevan hyväksi maineen ja tietoturvan kannalta, johon sain kuulla tiukkaan sävyyn: ”sinua ei ole pyydetty neuvomaan tässä asiassa eikä se sinulle kuulu, enkä usko että ketään tämä asia kiinnostaakaan.”. No, onneksi minun tietojani ei ole tuossa järjestelmässä – eikä tule olemaankaan.

Mietinpähän vaan että kuinka monta nettisivuja pitävää PK-yritystä Suomenkin rajojen sisältä mahtaa löytyä joilla asenne tietoturvaan on lähinnä tuollainen EV(V)VK. Siltikin kannustan jokaista kynnelle kykenevää etsimään haavoittuvuuksia verkkosivuista ja muistamaan tärkeysjärjestyksen:

  1. Löydä aukko
  2. Ilmoita aukosta asianomaiselle
  3. Ilmoita aukosta Cert.fi:lle
  4. Naureskele aukolle ja ota kuvakaappauksia tyhmistä sivuista upotettuna tähän uhrisivustoon
  5. ?????
  6. PROFIT!

Mutta siinä kaikki tältä kertaa. Ja niin, jos KServeriltä löytyy noita aukkoja niin sopii ilmoitella vaikkapa sähköpostitse.

Kyllä hävettää olla suomalainen

No tekivätpä sitten SFS:ssä sellaisen päätöksen että Suomen kanta Microsoftin ”avoimelle” Office Open XML -formaatille on kyllä (IT-viikko, Tietokone). Sanoivat nuo ilmeisesti Mäsän lahjomat ”asiantuntijat” mitä vain, niin totuus on se, että kilpailevaa standardia toimistotiedostoformaatille ei tarvita, vähiten Microsoftin luomana.

Miksikö näin? No vaikkapa siksi että on olemassa jo ihan aidosti avoin standardi tuolle, ja sen nimi on OpenDocument. Miksi siis keksiä pyörää uudelleen vain Microsoftin kassavirtojen tukemiseksi. Senhän nyt luulisi olevan kaikille itsestään selvää että Microsoft nyt ei hyvää hyvyyttään lähde pakkovääntämään formaattiaan standardiksi. Ainoa syy sille on se, että tulevaisuudessa avoimet formaatit tulevat saamaan entistä enemmän jalansijaa ja jos/kun Mikkisofta saa omalle formaatillensa standardin aseman, ei kuluttajalla taaskaan ole vaihtoehtoja.

En sano, etteikö Microsoftin formaatin spesifikaation perusteella voisi tehdä toimivaa OOXML-tukea mihinkä vain sillä en itse ole moiseen speksiin tutustunut ja puhunkin lähinnä mututuntumalla. Joka tapauksessa paljon keskustelupalstoilla näkee kommenttia, että OOXML on liiaksi naimisissa Microsoftin proprietary-formaattien kanssa transitional-ominaisuuksien muodossa. Niistähän ollaan kuulemma luopumassa ajan kanssa, mutta kukaan ei mitään aikaa ole uskaltanut sanoa. Olisikohan joku 30-50 vuotta aika lähellä totuutta?

Lisäksi formaatissa on edelleen pahoja puutteita, joita ei vaan korjata – ainakaan nyt (tai koskaan). Mielestäni rikkinäisen formaatin standardiksi ajo on silkkaa hulluutta, mutta valitettavasti tuollainen määrittely estäisi Microsoftin kaltaisten yritysten kaikki standardointiyritykset. Pääasiahan ei ole se, että standardi on oikeasti toimiva, vaan se että se toimii näennäisesti hienosti oman tuotteen kanssa ja muiden kanssa vähintäänkin huonosti. Silloin kun kassakone laulaa sulosointujaan eniten Redmondin paholaisen suunnalla.

Ei pelkoa: kuten ei Silverlightiäkään, OOXML:ää ei tulla ikinä näkemään KServerillä.

Toinen asia mikä ärsyttää suunnattomasti on se, että puheenjohtaja päätti että äänestystä ei tarvita koska kaikki paitsi vastustajat ja kannattomat ovat standardoinnin puolesta. Ainakin tällainen kuva itselleni jäi. Jos tuosta on joku pöytäkirja tai muu muistio tehty niin lukisin sen mielelläni. Joka tapauksessa on törkeää olla äänestyttämättä selkeästikin erimielistä ryhmää. Sitten oltaisiin saatu raakoja lukemia siitä mitä mieltä edustajat ovat.

Oikeastihan tätä asiaa olisi pitänyt taas kerran kysyä IT-alalla toimivilta ihmisiltä, ei isojen firmojen nuoleskelluilta Isoilta Pampuilta®. He kun sanovat sitä mistä eniten bonuksia saa.

—-
HUOM: Nämäkin mielipiteet ovat omiani. Älä vedä hernettä nenään jos olet eri mieltä. Tekstissä esitän omia mielipiteitäni totuuksina sillä se kuuluu kirjoitustyyliini. Tämän takia blogipostauksesta saattaa syntyä harhaanjohtava kuva. Tutustu siis linkitettyyn lähdemateriaaliin.