Pankkialan sivusto levitti haittaohjelmia (päivitetty)
Päivitetty 28.8.2008 11:30.
Pankkeja ja vakuutusyhtiöitä edustavan Finanssialan keskusliiton verkkopalvelu on levittänyt haittaohjelmia sivustolla vieraileviin tietokoneisiin. Järjestön verkkosivut ovat lisäksi viime päivinä kärsineet päivittäisistä katkoksista, joissa sivuston etusivu katoaa jäljettömiin.
Jo kesällä sivustolla oli viikkojen ajan ilmoitus, joka kertoi dokumenttien näkymisongelmista. Viime päivinä sivuston etusivu on kadonnut näkyvistä useaan otteeseen. Etusivu palautettiin viimeksi eilen aamulla takaisin näkyville.
Järjestön verkkopalvelu joutui hyökkäyksen kohteeksi toukokuussa, ja hyökkääjät onnistuivat asentamaan sille lukuisia haittaohjelmasivustoille viittaavia piilotettuja linkkejä. Palvelussa vierailleiden tietokoneisiin latautui javascript-koodia, joka ohjasi käyttäjän lisää haittaohjelmia sisältäville verkkosivuille.
Palvelu oli hyökkäyksen jälkeen pitkään suljettuna ja se avattiin myöhemmin sisällöltään vajavaisena.
Finanssialan keskusliiton verkkotuottaja Katri Vilppola vahvistaa tiedot haittaohjelmaepidemiasta. Hän sai tiedon sivustoilla vierailleiden saamista tartunnoista ja etusivun useita päiviä jatkuneista saatavuusongelmista Tietoviikolta.
Sivustoa hoitavan toimittajakumppanin laatiman raportin mukaan hyökkäysten ei olisi pitänyt olla edes mahdollisia, kommentoi Vilppola. Tapauksen jälkeen kumppani teki tarvittavat puhdistus- ja korjaustoimenpiteet välittömästi.
Käytössä sql-injektio
Palvelu levitti troijalaistyyppistä haittaohjelmaa, jonka esimerkiksi F-Secure on nimennyt Exploit.HTML.Iframe.FileDownload.bc:ksi. Saastuneessa tietokoneessa haitake tarttui Internet Explorer 7 -selaimen tilapäistiedostojen hakemistoon.
Troijalaisepidemia ajoittui samalle päivälle, jolloin Viestintäviraston Cert-fi-tietoturvayksikkö varoitti suomalaissivustojen joutuneen sql injection -tekniikkaa käyttävien hyökkäysten kohteeksi.
Finanssialan keskusliiton verkkopalvelu on kärsinyt tietoturva- ja vakausongelmista myös aikaisemmin. Jo ennen kesäkuista troijalaisepidemiaa sivustolla oli linkkejä haittakoodia levittäville palvelimille osana edellä mainittuja sql-injektio-tapauksia. Sivustolla on kesän ajan näkynyt myös lukuisia tietokanta- ja sovellusvirheilmoituksia.
Päivitys: Keskusliiton tietoturva-asiantuntijan Taina Mantovaaran mukaan hyökkäys sivustolla alkoi 21. toukokuuta. Järjestön saatua tietää hyökkäyksestä sivusto ajettiin alas korjaustoimenpiteiden käynnistämiseksi.
Sivustolla pitkään ollut ilmoitus dokumenttien epätäydellisenä näkymisestä johtui sivuston asettamisesta hyökkäyksen jälkeen vain luku -tilaan. Toimenpiteellä estettiin täysin muutosten tekeminen sivustolle. Vaiheen pitkä kesto johtui Mantovaaran mukaansa sivuston palvelutoimittajan Enderon pitkään kestäneistä haavoittuvuuksien korjauksista.
Järjestön verkkopalvelu on toteutettu asp-tekniikalla ja palvelimen käyttöjärjestelmä on Windows Server 2003 ja www-palvelinohjelmisto Microsoft Internet Information Server.
Finanssialan keskusliitto on toimialajärjestö, joka edustaa Suomessa toimivia pankkeja, rahoitusyhtiöitä, vakuutusyhtiöitä ja finanssialan työnantajia. Sivustolla on muun muassa korttimaksamisen ja pankkien tietoturvaratkaisujen järjestelmäkuvauksia.
