A ship is safe in harbor but that’s not what ships are for.
Internetin valtaväylillä on aina omat riskinsä ja piraatteja, jotka uhkaavat sivustoa. Verkkosivusto on täysin turvassa vain silloin, kun se ei ole internetissä. Mutta sivustojakaan ei rakenneta seisomaan satamassa, vaan joskus riskit on kohdattava ja niihin voi varautua ennalta.
Kukaan ei hyökkää juuri sinun sivuillesi
Mikäli maanantaiaamuna verkkosivustosi julistavat jonkin vapausrintaman iskulauseita karismaattisen johtajan kuvan välityksellä, tai palveluntarjoajasi on sulkenut sivustosi tietoturvasyistä, sinun ei kannata huolestua ainakaan siitä, että joku hyökkää juuri sinua ja sinun yritystäsi kohtaan.
Useimmiten hyökkäyksen kohdetta ja hyökkääjää ei yhdistä mikään. Hyökkääjän tavoitteena on yleensä agenda, joka ei liity lainkaan kohteena olevaan verkkopalveluun. Useimpien hyökkäysten motiivina on yleensä jotain täysin muuta, kuten esimerkiksi poliittisen mielipiteen julkituonti tai miesten kuntoa kohentavien mainosviestien spammaus.
Hyökkääjät eivät siis valikoi juuri sinun sivujasi kohteeksi, vaan syynä on sivustoltasi löytyvä yleinen tietoturva-aukko, jonka hyökkääjät löytävät ja hyödyntävät omiin tarkoitusperiinsä.
Tietoturvaa koetellaan
Sisällönhallinta- ja julkaisujärjestelmät (jatkossa CMS, content management system), kuten WordPress ja Joomla!, ovat hakkereille suosittuja kohteita, koska ne ovat yleisiä ja niiden haavoittuvuuksia voidaan hyödyntää kohtuullisen helposti laajalla skaalalla.
Erilaisista hyökkäyksistä käytetään termejä kuten injektio, cross-site scripting ja brute force. Yleisimpiä hyökkäyksiä lienee tänä päivänä yksinkertaiset brute force-hyökkäykset joissa ”pommitetaan” CMS:n hallinnan kirjautumislomaketta yleisillä käyttäjätunnusyhdistelmillä (admin / admin) ja koitetaan päästä tuurilla sisään.
Samanaikaisesti yrityksiä saattaa tulla niin paljon eri kohteista että hyökkäystä voidaan kuvailla myös palvelunestohyökkäykseksi, jolloin sivusto ei ehdi käsittelemään kaikkia pyyntöjä kirjautuslomakkeen kautta ja siten sivusto ensin hidastuu ja lopulta kaatuu.
Vakavammat tietomurrot ovat yleensä suurempien sivustojen ongelma
Hyökkäyksen motiivina voi olla myös käyttäjätietojen (käyttäjätunnukset, salasanat, yhteystiedot, luottokorttitiedot, jne.) kerääminen. Mutta nämä ovat ammattimaisempia hakkerointitöitä, joiden taustalla on usein järjestäytynyt rikollisuus, ja jotka koskettavat yleensä suurempia ja suositumpia sivustoja, joilla on erittäin laaja käyttäjäkunta.
Tietoturvamurto muuttuu äkkiä kiusanteosta vakavammaksi kun vaikkapa verkkokaupan tilaukset tulee luetuksi, sivustolla järjestetyn kilpailun osallistujien yhteystiedot myydään ja Facebookiin kirjaudutaan juuri löydetyillä tunnuksilla (monet ihmiset käyttävät samaa salasanaa eri verkkosivuilla).
Nämä ovat yleensä sen kokoluokan murtotöitä, että niiden uhreiksi joutuvat sivustot eivät välttämättä olisi pystyneet niitä kohtuullisilla tietoturvatoimenpiteillä edes estämään. Kuten Etelä-Koreassa huomattiin, kun joka toisen kansalaisen luottokorttitiedot varastettiin.
Tietoturvasta huolehtiminen
Tietoturvatoimenpiteet voidaan jakaa karkeasti 1) palvelimen tietoturvaan sekä sieltä tarjottavan 2) ohjelmiston tietoturvaan. Palvelimen tietoturvasta vastaa pääosin hosting-palveluntarjoaja (jonka palvelimilla sivusto pyörii). Ohjelmiston tietoturvasta ei vastaavasti huolehdi välttämättä kukaan. Osaatko sanoa kuka huolehtii sivustosi tietoturvasta?
Pidä sivustosi ajantasaisesti päivitettynä
Lähes kaikki uudet sivustot, mukaan lukien verkkokaupat, pyörivät jonkin CMS:n tietyllä versiolla. Ensimmäinen, kaikkein tärkein ja yksinkertaisinkin huolehdittava asia on että CMS on päivitettynä uusimpaan mahdolliseen versioon. Esimerkiksi WordPress tarjoaa päivityksiä useita kertoja vuodessa ja poikkeuksetta päivitykset ovat sisältäneet myös tietoturvapäivityksiä.
Uudenkin CMS-päivityksen tietoturvataso laskee julkaisun jälkeen yllättävän nopeasti. Uusimmastakin versiostakin löytyy haavoittuvuuksia, kun ne ovat riittävän pitkään ”maailmalla”. Enää ei voi luottaa siihen, että juuri julkaistu sivu olisi ”tietoturvallinen” hirveän pitkään ilman säännöllisiä päivityksiä.
Muista lisäosien päivitys
CMS-sivustot sisältävät lähes aina myös erikseen asennettavia lisäosia joilla lisätään tai muokataan ominaisuuksia itse sivustoon. Itse asiassa kevein perustein asennetut, epämääräiset, lisäosat ovat yleensä merkittävin tietoturvatasoa laskeva tekijä ja siten syypäitä tietoturvamurtoihin. Suositut ja luotettavat lisäosat päivittyvät säännöllisin väliajoin ja ne on yleensä kätevää päivittää sivuston päivityksen yhteydessä.
Kovenna CMS:n tietoturvatasoa
CMS:n tietoturvatason nostoa sanotaan kovettamiseksi (eng. hardening). Tällä tarkoitetaan ennalta ehkäiseviä toimenpiteitä joilla vaikeutetaan hakkereiden työtä. Tällaisia käytännön toimenpiteitä ovat esimerkiksi sallittujen kirjautumisyrityksien määrän sitominen aikaan, tietokannan taulujen nimien muokkaaminen sekä CMS-versiotietojen piilottaminen.
Koventamisella saadaan ehkäistyä suhteellisen helpoin toimenpitein joitain yleisiä hakkerointitoimenpiteitä.
Käsinkoodattu verkkosivusto ei ole avain onneen
Pitkälti ”käsinkoodatut” räätälöidyt verkkosivut/-palvelut välttyvät massahyökkäyksiltä, mutta saattavat olla tarkemmin tarkasteltuna hyvinkin helposti murrettavissa.