Vanha sivusto

Tämä on vanha itQ.fi-sivusto, ja sisällön ylläpitäminen sille on lopetettu. itQ siirtyi WordPress-alustalle 6.6.2015.

maanantai 14. huhtikuuta 2008

Vika korjattu

Järjestelmät on nyt ajettu uudelleen ylös ja näyttäisi siltä että kaikki toimii niinkuin pitää. Pahoittelut häiriöstä.

KServer offlinessä

Tällä hetkellä KServer kärsii palvelukatkoksesta, sillä sähkönsyöttö sähköverkosta katkesi yön aikana vieden varavirtajärjestelmästä akut tyhjäksi. Tämä aiheutti yhteyskatkoksen noin kello 06:00 - 07:45 .

Tämän jälkeen ajoin järjestelmät takaisin ylös, mutta koska sähkönsyöttöongelma uusiutui, katkesi yhteys uudelleen noin kello 09:00. Koska en itse pääse palvelintilaan käsiksi, palvelut voidaan palauttaa vasta noin kello 16:00.

Pahoittelut häiriöstä.


--Riku Eskelinen, KServer ylläpito

sunnuntai 13. huhtikuuta 2008

Elisalta tuli sitten vastaus

Nyt tuli Elisan aspasta sitten hyvinkin suora vastaus:
Elisa ei ole toistaiseksi tehnyt päätöstä URL-listan käyttöönotosta, eikä tiedossa ole, milloin mahdollinen päätös listan mahdollisesta käyttöönotosta olisi ajankohtainen. Toistaiseksi Elisa ei siis ole tekemässä näiltä osin muutoksia palveluunsa.
No kiitos tästäkin vähästä. Sinäänsä ihan hyvä kyllä, että URL-sensuuria ei vielä nähdä elisalaisten laajakaistojen tukkeena. Mutta jokin kumma ääni pään sisällä koittaa sanoa, että Elisan norsunluutornissa tiedetään tästä asiasta enemmän kuin asiakaspalvelussa.

Toivottavasti edes ilmoittavat asiallisesti sitten jos/kun URL-listakin otetaan käyttöön. Nimittäin kohta alkaa fiilis olla kuin entisellä - ja nimenomaan entisellä - Sampo pankin asiakkaalla: Mikään ei toimi ja mistään ei kerrota.

lauantai 5. huhtikuuta 2008

XSS ja suomalaiset web-sivut

Viime päivinä olen käyttänyt resurssejani suomalaisten (eli .fi-) sivustojen läpikäymiseen XSS-aukkojen varalta, ja voi pojat niitä on löytynytkin. Tätä kirjoittaessa ilmoitin juuri neljännenkymmenennen aukon sivuston omistajalle aukosta.

Tämä aukkojen etsiminen alkaa saada sellaiset mittasuhteet, että käynnistin oikein projektin aukkojen etsimiselle: KServerXSS-haavoittuvuusprojekti. Sillä on oma web-sivu osoitteessa http://xss.kserver.dy.fi/ , josta löytyy myös lisää tietoa tästä projektista.

Nopeasti kun mietin niin niistä sivuista, joilla jonkinlainen hakukenttä on ollut, ehkä jotakuinkin 30-40 % on ollut haavoittuvaisia jollain tavoin. Se tarkoittaa pelottavaa määrää aukkoja suomalaisissa web-sivuissa!

Miksi tällaisia aukkoja sitten on näin paljon? Todennäköisesti siksi, että sivustoa tehdessä on sivustontuotantoon panostettu liian vähän rahaa, aikaa tai koulutusta. Silloin syntyy tällaisia ikäviä ongelmia.

En sano, etteikö KServerilläkin jossain noita aukkoja olisi, sillä oma lehmä ojassa on aina paras huudella. Nyt käyn suomalaisten kuntien ja kaupunkien verkkosivuja läpi.

keskiviikko 2. huhtikuuta 2008

Sananen XSS:stä

Viime päivinä on Sampo pankin verkkosivu-uudistuksen takia tai ansiosta näkynyt paljon löydettyjä XSS- eli Cross-site scripting-haavoittuvuuksia verkkosivuilla. Tämä siksi, että hakkerit ovat kiinnostuneet ottamaan aiheen asiakseen ja kokeilemaan.

Mainittakoon tähän väliin se, että termillä hakkeri tarkoitan tietotekniikasta kiinnostunutta henkilöä, jota kiinnostaa tietää miten tietojärjestelmiä käytetään niinkuin niitä ei ole suunniteltu. Ja kokeilemallahan se parhaiten selviää. Hakkerilla ei ole tarkoituksena tuottaa vahinkoa kohteelleen, vaan ainoastaan tutustua asiaan siksi koska se on mahdollista. Hakkereilla on usein moraali, ja he noudattavat tiettyjä sanattomia käytössääntöjä, joihin palaan myöhemmin.

Mediat ja maallikot valitettavan usein kuitenkin mieltävät hakkerit krakkereiksi, jotka taas ovat ihan oma porukkansa. Nämä haluavat aiheuttaa vahinkoa, varastaa tietoja ja myydä niitä esim. kilpailijayrityksille. Krakkerit ovat IT-maailman murhaajia ja varkaita, ja itse en ainakaan moista menoa tue.

Mutta XSS:ään palatakseni kerron senkin, että haavoittuvuuksien keräämiseen on olemassa jo oma verkkosivustonsa, josta löytyy lista olemassaolevista ja korjatuista haavoittuvuuksista sekä muutenkin tietoa XSS:stä. Listalta löytyy myös oma kontribuutioni, SFS:n sivuilta löytynyt haavoittuvuus (näyttäisi olevan nyt korjattu).

Mutta aukkolistan alussa on tärkeä ohje, jota muutenkin haavoittuvuuksia löydettäessä tulisi pitää arvossaan: asiasta tulee ilmoittaa aina asianomaiselle. Itse ilmoitin SFS:lle eilisiltana ja nyt, alle vuorokautta myöhemmin, aukko on jo korjattu.

Tämä oli ihan oikea vastaus, mutta tiedän eräänkin verkkosivuston ylläpitäjän, jonka kanssa juttelin samalla vilkaisten heidän sivustonsa PHP-lähdekoodia. Sivusto luottaa käyttäjän syötteeseen sataprosenttisesti, ja toimintaperiaate sivujen näyttämiseen on include($_GET['sivu']); . Jos et tajunnut, ei se mitään.

Kerroin tietenkin tälle ylläpitäjälle asiasta. Hän ei ilmeisesti aikaisemmin ollut kuullut XSS:stä, joten selitin asian pähkinänkuoressa jotakuinkin näin: "Tämä haavoittuvuus mahdollistaa sen, että pahantahtoisella kolmannella osapuolella on mahdollisuus käyttää sivustoa väärin, saada luottamuksellisia tietoja jne". Tähän tämä admin totesi että "Hakkerithan pääsee minne tahansa tekemään mitä tahansa kuitenkin".

Tyrmistyin tämän kuullessani ja totesin edes alkeellisen suojaamisen olevan hyväksi maineen ja tietoturvan kannalta, johon sain kuulla tiukkaan sävyyn: "sinua ei ole pyydetty neuvomaan tässä asiassa eikä se sinulle kuulu, enkä usko että ketään tämä asia kiinnostaakaan.". No, onneksi minun tietojani ei ole tuossa järjestelmässä - eikä tule olemaankaan.

Mietinpähän vaan että kuinka monta nettisivuja pitävää PK-yritystä Suomenkin rajojen sisältä mahtaa löytyä joilla asenne tietoturvaan on lähinnä tuollainen EV(V)VK. Siltikin kannustan jokaista kynnelle kykenevää etsimään haavoittuvuuksia verkkosivuista ja muistamaan tärkeysjärjestyksen:
  1. Löydä aukko
  2. Ilmoita aukosta asianomaiselle
  3. Ilmoita aukosta Cert.fi:lle
  4. Naureskele aukolle ja ota kuvakaappauksia tyhmistä sivuista upotettuna tähän uhrisivustoon
  5. ?????
  6. PROFIT!
Mutta siinä kaikki tältä kertaa. Ja niin, jos KServeriltä löytyy noita aukkoja niin sopii ilmoitella vaikkapa sähköpostitse.