23.8.2010 Viime viikonloppuna ex-pääministeri Matti Vanhasen kotisivuille murtauduttiin. Murtautuja korvasi kotisivun tekstin omalla puumerkillään. Pahemminkin voisi olla: poliittisiin päämääriin pyrkivä häkkeri olisi voinut lisätä sivuille jonkin “Matti Vanhasen oloisen”, mutta […]
23.8.2010
Viime viikonloppuna ex-pääministeri Matti Vanhasen kotisivuille murtauduttiin. Murtautuja korvasi kotisivun tekstin omalla puumerkillään. Pahemminkin voisi olla: poliittisiin päämääriin pyrkivä häkkeri olisi voinut lisätä sivuille jonkin “Matti Vanhasen oloisen”, mutta omia asioitaan ajavan kannanoton. Vanhasen olisi ollut todella vaikea uskottavasti selittää, että ei tämä minun blogikirjoitus ole, vaan jotain ihan muuta.
Ei tarvitse olla mikään näkyvä poliitikko, että voi joutua murron kohteeksi. Eräs tuttuni toimii eräässä pienessä yhdistyksessä, jonka www-sivuilta löytyi virus. Viruskoodi oli lisätty sivulla käytetyn javascript-tiedoston perään. Todennäköisesti on käynyt niin, että automaattinen murtautujaohjelma on onnistunut arvaamaan sivun hallintaan käytetyn salasanan ja sitä kautta päässyt muokkaamaan tiedostoa. Tälläistä todellakin tapahtuu:
kaikkia internetin sivustoja käydään systemaattisesti murtautujaohjelmilla lävitse.
Ei kertakaikkiaan saa ajatella, että ketään ei varmasti kiinnosta murtautua tälle meidän www-sivulle.
Tetoturvasta ei internet-ympäristössä voi tinkiä. Ylläpitäjän salasana ei saa olla mikään “salasana” tai “trustno1”. Erityisen tärkeätä tietoturvasta huolehtiminen on meille internet-sovelluksia tekeville: yhtään sovellusta ei saa tehdä ottamatta huomioon tietoturvaa. Hyvä perusopas PHP-sovellusten tietoturvaan liittyen on Chris Shiflettin “Essential PHP Security”. Se tiivistää turvallisen koodaamisen niksit pieneen sivumäärään. Erityisen hyvä periaate soveltaa on kerrostettu turvallisuus (layered security). Se tarkoittaa, että tietoturvaan liittyviä tarkistuksia tehdään useissa ohjelmistokerroksissa. Esimerkiksi, vaikka tiedetäänkin, että ohjelmalle tuleva syöte on jo tarkistettu datansyöttökerroksella, niin silti se tarkistetaan uudestaan tietokantakerroksessa ennen kommunikointia tietokannan kanssa. Periaate on, että jos ensimmäinen tarkastus pettää (tai unohtuu!), niin toinen vielä pelastaa.
Kuvassa ihka aitoa viruskoodia lymyämässä tiedoston lopussa:
Linkki: http://phpsecurity.org/
Kommentoi