Avastati uus ja tohutu küberturbeoht – selle algpõhjus on väga inimlik (1)

teadus.postimees.ee
Copy
Veebis valvas püsimine on parim kaitse kaaperdatud linkide lõksu sattumise eest.
Veebis valvas püsimine on parim kaitse kaaperdatud linkide lõksu sattumise eest. Foto: Unsplash

Uurimistulemused näitavad, et veebilehtedel olevad klikitavad lingid võivad sageli viia pahatahtlike sihtkohtadeni. Neid nimetatakse hijackable hyperlinks ehk kaaperdatavad hüperlingid ja neid on avastatud miljoneid kogu veebis, sealhulgas usaldusväärsetel veebilehtedel.

2024. aasta veebikonverentsil avaldatud artiklis tõestatakse, et veebiohutuse ohte saab ära kasutada palju suuremas ulatuses, kui seni arvati.

Murettekitavalt leiti neid kaaperdatavaid hüperlinke suurte ettevõtete, usuliste organisatsioonide, finantsfirmade ja isegi valitsuste veebilehtedelt. Nende veebilehtede hüperlingid võivad olla kaaperdatavad ilma häiret andmata. Ainult valvsad – või lausa paranoilised – kasutajad suudavad vältida sellistesse lõksudesse sattumist.

Kui meie suutsime neid haavatavusi veebis avastada, siis suudavad seda ka teised. Siin on see, mida peate teadma.

Mis on kaaperdatavad hüperlingid?

Kui teete oma panga veebiaadressi sisestamisel kirjavea, võite kogemata sattuda andmepüügisaidile, mis jäljendab teie panga veebilehte, et varastada teie isiklikku teavet.

Kui kiirustate ja ei kontrolli veebilehte hoolikalt, võite sisestada tundlikke isikuandmeid ja maksta oma vea eest kõrget hinda. See võib hõlmata identiteedivargust, kontode ohtu seadmist või rahalist kahju.

Veelgi ohtlikum on, kui programmeerijad teevad koodi sisestamisel veebiaadressis kirjavea. On võimalus, et nende kirjaviga suunab kasutajad internetidomeenile, mida pole kunagi ostetud. Neid nimetatakse phantom domains ehk kummitusdomeenideks.

Näiteks võib programmeerija, kes loob linki theconversation.com-le, kogemata linkida tehconversation.com-ile – vaid väike kirjaviga. Kui kirjaveaga domeeni pole kunagi ostetud, võib keegi selle umbes 10 euro eest osta ja sissetuleva liikluse kaaperdada. Sellistel juhtudel maksavad programmeerijate vigade eest kasutajad.

Need programmeerijate linkimisvead ei riski ainult kasutajate suunamisega andmepüügile või petusaitidele. Kaaperdatud liiklust saab suunata erinevatesse lõksudesse, sealhulgas pahatahtlikud skriptid, valeinformatsioon, solvav sisu, viirused ja muud tulevased pettused.

Üle poole miljoni kummitusdomeeni

Kasutades suure jõudlusega arvutite klastreid, töötlesime kogu sirvitavat veebi. Sellises ulatuses pole varem uuritud – analüüsisime kokku üle 10 000 kõvaketta jagu andmeid.

Selle käigus leidsime üle 572 000 kummitusdomeeni. Kaaperdatavaid hüperlinke, mis nendele suunasid, leiti paljudelt usaldusväärsetelt veebilehtedelt. Iroonilisel kombel hõlmas see ka veebipõhist tarkvara, mis oli loodud privaatsusseaduste jõustamiseks veebisaitidel.

Uurisime, millised vead põhjustasid neid haavatavusi ja kategoriseerisime need. Enamik oli põhjustatud kirjavigadest, kuid leidsime ka teist tüüpi programmeerijate loodud haavatavust: placeholder domains ehk kohahoidjadomeenid.

Kui programmeerijad arendavad veebisaiti, millel pole veel konkreetset domeeni, sisestavad nad sageli lingid kummitusdomeenile, eeldades, et lingid hiljem parandatakse.

Leidsime, et see on tavaline veebisaidi disainitoorikute puhul, kus veebisaidi esteetilised komponendid ostetakse teiselt programmeerijalt, mitte ei arendata kohapeal. Kui disainitoorik hiljem veebisaidile installitakse, ei uuendata kummitusdomeene, muutes lingid kaaperdatavaks.

Et määrata, kas kaaperdatavaid hüperlinke saab praktikas ära kasutada, ostsime 51 kummitusdomeeni, millele need suunavad, ja jälgisime passiivselt sissetulevat liiklust. Sellest tuvastasime märkimisväärse liikluse, mis tuli kaaperdatud linkidelt. Võrreldes sarnaste uute domeenidega, millel puudusid kaaperdatud lingid, sai 88% meie kummitusdomeenidest rohkem liiklust – kuni kümme korda rohkem külastajaid.

Mida saab teha?

Keskmistele veebikasutajatele on teadlikkus võtmetähtsusega. Linke ei saa usaldada. Olge valvsad.

Ettevõtete ja nende veebisaitide eest vastutavatele isikutele soovitame mitmeid tehnilisi vastumeetmeid. Lihtsaim lahendus on veebisaidi haldajatel oma veebisaite purustatud linkide osas «läbi kammida». Selleks on saadaval lugematul hulgal tasuta tööriistu. Kui leitakse mõni purunenud link, tuleb see parandada enne, kui see kaaperdatakse.

Meie olemegi veeb

Briti teadlane Sir Tim Berners-Lee tegi esimest korda ettepaneku veebi tegemiseks CERNis 1989. aastal. Tema varaseimas kirjelduses – mis on endiselt veebis laialdaselt kättesaadav kui tunnistus iseendale – on osa pealkirjaga «non requirements», kus käsitletakse turvalisust. Selles osas on saatuslik fraas:

[Andmeturvalisus on] CERNis teisejärguline, teabevahetus on endiselt olulisem.

Kuigi see oli CERNi puhul 1989. aastal tõsi, on veeb nüüd kaasaegse ajastu peamine teabevahetuse keskkond.

Oleme hakanud veebi suhtuma nagu meie enda aju väliskomponenti. Seda tõestab suurte keelemudelite nagu ChatGPT populaarsus, mis on ise treenitud veebist pärit andmete põhjal.

Kuna meie sõltuvus süveneb, võib olla aeg veebiturvalisuse andmete vaimseks ümberkategoriseerimiseks mittevajalikest nõuetest olulisteks nõueteks.

Allikas: The Conversation

Tagasi üles