Lankeemus käy kokeneellekin. Nimittäin tämä WWW-sivusto joutui töhrijän uhriksi illalla 18.8.2007. Kyseessä oli lauantai, joten ongelma jäi huomaamatta viikonlopun yli. Itse asiassa asian huomaaminen oli varsin sattumaa, sillä en kuitenkaan ole niin itserakas että kävisin yritykseni webbisivuillani joka päivä. Kuitenkin maanantaina 20.8. aamupäivällä satuin näin tekemään ja huomasin saavani pääsivun sijasta virheilmoituksen, jonka alussa oli yksi tekstrivi: "BY The Aslanbey :=) hacked". I had been pwned.

Hakkerivierailun hoitoprosessi menee olennaisilta osiltaan niin, että ensin rajoitetaan vahingon leviäminen, sitten on mahdollisimman hyvin selvitettävä, mistä ongelma on syntynyt ja mitä järjestelmässä on tehty ja viimeiseksi siirrytään toipumiseen.

Jos kyseessä olisi ollut muunlainen ympäristö ja muunlainen tapaus, olisi tässä vaiheessa ensin voinut kerätä paljonkin reaaliaikaista tilannetietoa esimerkiksi käynnissä olevista prosesseista tai auki olevista tietoliikenneyhteyksistä. Vasta tällaisen helposti poistuvan ja muuttuvan tiedon keruun jälkeen palvelin voidaan esim. ottaa verkosta pois. Sammuttaa han sitä ei kannata, koska boottaus hävittää paljon oleellista tietoa ja ei ole varmuutta nouseeko järjestelmä takaisin ylös. Mutta jaetussa hosting-ympäristössä tällainen tiedonkeruu ei tuota kovin järkeviä tuloksia, joten tässä nimenomaisessa tapauksessa ensimmäinen toimenpide oli ongelman rajoittaminen sulkemalla sotkettu webbipalvelu.

Ongelman mahdollinen alkusyy selvisi varsin pian. Nimittäin olen rakentanut tämän WWW-sivuston open source -sisällönhallintaohjelmisto Joomlalla ja siitä oli kesälomani aikana (kyllä, yrittäjälläkin voi olla kesälomaa) löydetty useita tietoturvaongelmia. Haavoittuvuusraportti oli hieman epämääräinen ja siitä puuttui tarpeellisia yksityiskohtia, mutta näytti siltä, että joku tai osa haavoittuvuuksista mahdollisti juuri tämänkaltaisen sotkemisen. Joomlassahan ei ole perinteisiä index.html-sivuja, vaan Joomlan PHP-toiminteet hakevat kaiken sisällön alla olevasta MySQL-tietokannasta. Joten hyökkääjä ei sinänsä ollut sotkenut sisältösivuja, vaan vain kirjoittanut configure.php-tiedoston päälle. Ja kun Joomla lukee tuon asetustiedoston ennen sivujen tarjoamista, siihen kirjoitetut virheelliset tekstit näkyvät pääsivun etsijälle.

Valitettavasti hyökkääjän jäljittäminen tyssäsi alkuunsa. Palveluntarjoajani oletusarvoisesti säilyttää vain viimeisen vuorokauden webbilokit. Ja koska huomasin ongelman vasta puolentoista vuorokauden kuluttua, webbilokeista ei enää voinut yrittää selvittää mistä oli tultu ja mitä tehty. Toki olisin voinut vaivata palveluntarjoajaani ja kysyä onko heillä jäljellä mitään lokeja tuolta ajankohdalta, mutta koska olen pienyrittäjä, niin totesin varsin pian että saatava lisäarvo on vaivaan nähden liian pieni. Joten toimin monen muun pienyrityksen tavoin ja siirryin mahdollisimman nopeasti toipumiseen.

Tällaisesta tilanteesta toipumiseen on kaksi päävaihtoehtoa. Yksi on palauttaa tilanne vanhalta backupilta (kyllä, minulla oli sellainen) ja toinen suositeltavampi tapa on asentaa koko roska uudestaan. Koska tilanne oli se, että ensinnäkin en voinut olla täysin varma oliko töhrijä oikeasti kirjoittanut jotain tietokantaan ja toiseksi minun olisi pitänyt kuitenkin asentaa uusi Joomlan versio, päätin tehdä jälkimmäisen. Eli asensin uudestaan paitsi Joomlan, myös loin uudestaan tarvittavat MySQL-taulut. Samassa yhteydessä muutin myös salasanat. Tämä on se varmempi ja suositeltavampi tapa vaikkakin työläämpi. Onneksi kaikesta sisällöstä (tekstit, kuvat, bannerit jne) löytyi data muualtakin kun backupista. Jos tekstien sisällöstä löytyy jotain eroavaisuuksia elokuun alun ja nykyisen version välillä, syy on tässä. Samoin sisällön URLit ovat muuttuneet.

Tärkeintä kuitenkin tällaisessa tapauksessa on oppia jotain ja muuttaa toimintatapoja turvallisempaan suuntaan, jotta tämä ei enää toistuisi. Miten minä muutin toimintaani?

• Jos käyttää jotakin ohjelmistoa, tulee aktiivisesti seurata ohjelmiston tietoturvaongelmia ihan oikeasti. Ja myös korjata ongelmat välittömästi. Tämä toki oli tiedossa, mutta joskus tieto ei vaan siirry toiminnaksi. Joten nyt rekisteröidyin Joomla Forumille ja pyysin lähettämään tietoturvailmoitukset sähköpostitse automaattisesti. Tosin tuolla foorumilla ei tässä tapauksessa näköjään ollut tietoa itse haavoittuvuuksista, vaan ainoastaan ilmoitus uudesta turvapaikatusta versiosta.
• Pidemmän aikavälin lokitus on minun käyttötavallani pakollista, 24h lokit eivät ongelman sattuessa lämmitä. Eli siirryin lokienkäsittelyssä malliin, jossa lokeja on saatavissa pidemmältä ajalta. Palvelutarjoaja onneksi tarjosi tämänkin vaihtoehdon. Tämä mahdollisuus tai sen puute kannattaa muuten ottaa palveluntarjoajavertailussa huomioon.
• Selvitän mahdollisuutta automatisoituun muutosten havaitsemiseen. Voin rakentaa kotipalvelimeeni skriptin, joka käy säännöllisesti  hakemassa yrityksen pääsivun ja vertaa tätä tiettyyn oikean sivun md5-hashin arvoon. Tällä tempulla vastaava ongelma taatusti havaitaan. Tosin en ole vielä selvittänyt onko pääsivulla jotain sellaista dynaamista informaatiota, joka sotkisi vertailun, tämä pitää tarkistaa. Web-sivujen osalta olisi myös mahdollisuus tilata Zone-h.org:in ilmaista "Early warning"-palvelua , joka kertoo tilaajalle jos/kun hänen webbisivunsa ilmoitetaan Zone-H:lle sotketuksi. Ihan hyvä palvelu niiltä osin kun sotkija ilmoittaa asiasta Zone-H:lle.

Jotakuta saattaa kiinnostaa, että olisikö töhrijä päässyt käsiksi mahdollisiin asiakkaiden tietoihin. Vastaus on kyllä ja ei. Varsinaista asiakasdataa palvelimella ei ole sähköpostiarkistoa lukuunottamatta. Teoriassa hyökkääjä olisi voinut siis päästä sähköposteihin käsiksi. Mutta käytännössä välitän arkaluontoisen sähköpostin salattuna (PGP tai asiakkaiden  omat palvelut) ja säilytän kaiken oikeasti arkaluontoisen materiaalin (esim. tarkastusraportit) kannettavalla tietokoneella TrueCrypt-ohjelmalla salatussa arkistossa. Todellisuudessa hyökkäys kuitenkin oli enemmänkin osa "mass defacement"-kampanjaa, jossa automatisoidusti etsittiin haavoittuvia asennuksia ja sotkettiin etusivu omalla lempinimellä. Oman egon pönkittämistä kummempia tausta-ajatuksia töhrijällä tuskin oli, kyse oli siis elektronisesta graffitista. Tosin huonosta sellaisesta. Olisi nyt sotkenut edes kivalla kuvalla tai kantaaottavalla tekstillä...

Muuten, Viestintäviraston CERT-yksikkö yrittää myös palvella. Noin 10 päivää tapahtuneen ja yli viikko korjauksen jälkeen, 28. elokuuta, sieltä otettiin puhelimella yhteyttä ja kerrottiin että sivuni löytyy Zone-H.org:in defacement-arkiston listoilta (tosin "on hold"-osiossa eli varmistamattomien hyökkäysten puolella). Se on sinänsä asiallista toimintaa, että hekin seuraavat suomalaisten yritysten hakkerointeja, mutta 10 päivän reagointiaika on varsin pitkä. Ainakaan CERT-FIn varaan ei oman palvelimen sotkemisen havaitsemista voi jättää.