Eesti ekspert selgitab: kuidas sai teoks Panama leke

Oliver Sild

FOTO: Erakogu

Viimasel ajal meedias palju tähelepanu püüdnud Mossack Fonseca ehk Panama Paberite juhtum on näide sellest, kui suur mõju võib olla pealtnäha lihtsa kodulehe turvalisusel.

Pärast lekke avastamist hakati otsima erinevaid võimalusi, kuidas see üldse teoks võis saada. Kiiresti leiti, et arvatavaks põhjuseks oli E-maili serveri häkkimine, mis kindlasti on ka üheks põhjuseks, kuidas 11,5 miljonit privaatset dokumenti avalikustati.

Viimaste nädalate jooksul on aga leitud palju teisi võimalikke põhjuseid, mis võisid viia ründaja meiliserverite ligipääsuni.

Mossack Fonseca õigusfirma nagu ka paljud teised ettevõtted omab veebilehte,  mis on praeguses maailmas pea vältimatu viis oma ettevõtte kuvandi loomiseks. Kasutatud on Wordpressi sisuhaldussüsteemi, mis on kõige populaarsem platvorm, millele tänapäeval veebilehti ehitatakse.

Taolised platvormid annavad veebilehele baasfunktsioonid, mis aitavad kodulehe omanikul iseseisvalt veebilehe sisu, galeriid ja muid vajalikke materjale hallata. Lisaks sellele paigaldatakse platvormile ka erinevaid pistikprogramme (pluginaid), mis annavad veebilehele lisafunktsionaalsusi, et klient või külastaja saaks leheküljel läbida mõnda kindlat protseduuri nagu registreerimine üritusele või saata infopäringut otse läbi kodulehel oleva kontaktvormi.

Teatavasti sisaldavad paljud tarkvarad endas haavatavusi, mis lubavad kasutada taolisi funktsionaalsusi teisiti. Programm on loodud täitmaks kindlat ülesannet, kuid ebapiisavate turvameetmete tõttu lubab tarkvara teha lisaks sellele ka midagi muud. Midagi, mida ründaja saab enda soovitud tulemiks ära kasutada. See on ka üks põhjus, miks tarkvaraarendajad näevad palju vaeva, et luua uusi, parandatud versioone ning paluvad oma klientidel alati uuendustega kaasas käia.

Mossack Fonseca veebilehe puhul ei saa kahjuks uuendustega kaasaskäimisest rääkida. Rünnaku hetkel oli Wordpressi versiooniks 4.2.6 ( uusim versioon 4.4.2), mis sisaldas endas vähemalt kahte haavatavust (SSRF – Server Side Request Forgery ning Open Redirect).

Nagu enamik veebilehti, kasutas ka Mossack Fonseca sisuhaldussüsteem erinevaid pluginaid, mis taas olid jäänud uuendamata. Kuna pluginad on loonud üle maailma erinevate oskuste ning kogemustega inimesed, peidavad need tihtipeale endas palju tõsisemaid probleeme kui ükski sisuhaldussüsteemi haavatav versioon.

Kokku oli lehel 6 erinevat uuendamata ning haavatava versiooniga pluginat, millest enamik kandis XSS või CSRF haavatavust, kuid kirsiks tordil on üks väga konkreetne pistikprogramm, mida kasutavad sajad tuhanded veebilehed üle maailma ning mille nimeks on Revolution Slider.

Antud pistikprogramm sisaldas endas haavatavust nimega Shell Upload, mis kõige otsesemas tähenduses lubab ründajal veebilehele üles laadida enda poolt soovitud tagaukse, mis annab ligipääsu tervele veebiserverile.

Kuna veebileht oli samas veebiserveris koos meiliserveriga, siis võib öelda, et antud haavatavuse ära kasutamine ning tagaukse paigaldamine võis väga vabalt olla ründaja taktika, et kõikvõimalikud dokumendid kätte saada.

Soovin tähelepanu juhtida veel asjaolule, et tegelikult oli Mossack Fonseca veebileht juba 2015. aasta lõpus ühe korra häkitud. Esileht oli klassikaliselt näostatud tekstiga: #~Hacked By Dr.No0oS | Anonymous Rabaa Team !

See tekitab hulga küsimusi. Miks keegi peale seda intsidenti probleeme ei parandanud ja kas keegi üldse pidas turvalisust tähtsaks? Kas mõttekäik oli sarnane paljude teiste veebilehtede omanikega, kus antud teemast vaadatakse mööda ja öeldakse «Kes minu veebilehte ikka ründab.»?

Vastan kohe ära ka sellele samale küsimusele, mida oleme saanud nii enda klientide käest, kui ka veebilehtede omanikelt, keda oleme rünnakutest teavitanud.

Tänapäeval on taolised rünnakud poolautomaatsed, loodud on tarkvara, mis tekitab otsingumootorite abil listi veebilehtedest, mis kasutavad veebilehel kindlat haavatavust (võime näiteks tuua Revolution Slideri) ning mida on hiljem võimalik massiliselt 'häkkida'.

Tänu hooldamata ning turvaauke täis veebilehele on võimalik sinu veebiserverit ära kasutada näiteks järgmistel viisidel:

  • Spämm - sinu veebiserverit kasutatakse ära petukirjade levitamiseks.
  • Pahavara - sinu veebilehe külastajaid nakatatakse pahavaraga.
  • Veebiserveri põhine lunavara – sinu veebiserveris olevad failid krüpteeritakse ning nendele ligi pääsemiseks tuleb tasuda ründajale lunaraha.
  • Arvuti põhine lunavara – sinu veebilehe külastajaid nakatatakse lunavaraga, mille käigus nende arvuti kõvakettal olevad failid krüpteeritakse ning mille taastamiseks tuleb tasuda samuti ründajale lunaraha.
  • Näostamine – sinu veebilehe asemele pannakse poliitilise, usulise või mõne muu sisuga info, mille tagajärjel võidakse kustutada sinu originaalne veebileht ning samal ajal võidakse kasutada ka kõiki ülaltoodud meetodeid.

Veebilehega kaasneb vastutus nii enda andmete säilimise kui ka ettevõtte kodulehe külastajate ees. Tihtipeale on probleemiks tehniliste teadmiste puudumine, mille tõttu uuenduste, paranduste ning turvameetodite olemasolu jääb olemata.

Kui ise ei oska või puudub aeg antud probleemiga tegelemiseks, tuleb leida ettevõte, kes selle probleemi käsitlemise enda peale võtab. Peamine on, et olukorda teadvustatakse.

Seoses tänase olukorraga on võimalik enda veebilehte lasta kontrollida näiteks ka ESECi loodud turvamooduli abil: webarxsecurity.com.

ESEC on aastal 2013 loodud Eesti iduettevõte, kelle tegevusalaks on veebiturvalisus ja -arendus. ESEC liitus Tehnopol Startup Inkubaatori programmiga 2016. aasta alguses. Tehnopol Startup Inkubaator on alustavate tehnoloogiaettevõtete kasvuprogramm, kuhu oodatakse ettevõtteid, kellel on eskaleeruv äriidee ning suur potentsiaal üleilmse turu vallutamiseks.

Tagasi üles