Tietoturva nyt!

13.11.2007

Uusia hyökkäystapoja käytetty suomalaisia palvelimia kohtaan

Viime viikkoina suomalaisissa verkoissa on havaittu aikaisemmin harvoin esiintyneitä iframe- ja HTTP-uudelleenohjaus -pohjaisia hyökkäyksiä.

iframe on HTML-sisältöelementti, jonka avulla osa tietyn verkkosivun sisällöstä voidaan palvella toiselta palvelimelta. Kyseisen tekniikan avulla voidaan tehdä koostesivuja useiden palvelujen sisällöistä. Tällöin verkkosivun sisällön eheys riippuu kuitenkin kaikkien sisältöä tarjoavien palvelimien tietoturvasta. iframe-pohjaiset hyökkäykset perustuvat joko vihamielisten iframe-elementtien lisäämiseen murretulle verkkosivustolle, tai olemassa olevien iframe-elementtien muuttamiseen vihamielisiksi. Tekniikkaa on käytetty useissa maailmanlaajuisissa hyökkäyskampanjoissa.

HTTP-uudelleenohjauksia käytetään ohjaamaan selain uudelle sivulle esimerkiksi sivuston uudelleen nimeämisen tai siirron yhteydessä. Viime viikkoina tätä tekniikkaa on käytetty tietomurtojen yhteydessä siten, että sivusto uudelleenohjaa hakukoneen kautta tulevat kyselyt hyökkääjän haluamalle sivustolle. Tällöin sivuston ylläpidon on hankalampaa huomata tietomurto ajoissa. Tätä click-through cloacking:iksi tekniikkaa on tiettävästi käytetty ainakin vuoden ajan.

Lisätietoa

• http://isc.sans.org/diary.html?n&storyid=3621
• http://isc.sans.org/diary.html?n&storyid=3625
• http://isc.sans.org/diary.html?storyid=2991
  
• ftp://ftp.research.microsoft.com/pub/tr/TR-2006-178.pdf
  

Sivua päivitetty 13.11.2007

Tulostusversio