 |
Tietoturva |
Tietoturva
Tietoturvasivulla käsitellään perusperiaatteita ja hyviä käytäntöjä webpalveluiden tietoturvan kannalta. Sivulle tullaan myös ilmoittamaan erityisesti palveluissamme olevien sivustojen kannalta oleellisia tietoturvatrendejä.Yleisiä tietoturvaohjeita
- Pidä sivustollasi olevat websovellukset aina ajan tasalla.
Eri websovelluksista (esim. Wordpress, Joomla! jne) löytyy erilaisia tietoturva-aukkoja säännöllisesti. Erilaisia tietoturva-aukkoja hyväksikäytetään laajasti ja usein koneellisesti, joten myös pienet sivustot voivat joutua hyökkäyksen kohteeksi. Websovelluksien päivityksiä tulisi seurata vähintään kuukauden välein ja ne tulisi asentaa mahdollisimman pian. Mikäli sivustoa ei ylläpidetä syystä tai toisesta pitkään aikaan, tulisi koko sivusto sulkea tai sen käyttö estää, jotta sivuston websovellus ei joutuisi vanhentuessaan hyökkäyksen kohteeksi. - Päivitä kaikki palvelun salasanat mahdollisimman usein.
Haitantekijät voivat saada palvelussa käytetyt tunnukset haltuunsa esimerkiksi eri haittaohjelmien kautta. Haltuun saatuja tunnuksia ei kuitenkaan useinkaan heti käytetä hyväksi vaan ne julkistetaan haitantekijöiden kesken, jonkin ajan kuluttua niiden haltuun saannista. Usein jo kuukauden välein vaihdettava salasana estää haltuun saadun salasanan käytön laajamittaisesti. Lisäksi aina on syytä vaihtaa kaikki palvelun salasanat, kun on syytä epäillä, että haittaohjelmia on ollut tietokoneella, jossa palvelun tunnuksia on käytetty. - Poista turhat tai käyttämättömät tunnukset ja websovellukset palvelusta.
Turhat, vanhentuneet ja käyttämättömät tunnukset ja websovellukset ovat erityisen alttiita hyökkäyksille. Esimerkiksi turhien testitunnuksien salasanat ovat usein helppoja arvata tai niitä ei muisteta vaihtaa säännöllisesti. Myös testimielessä asennettuja websovelluksia ei muisteta useinkaan päivittää ja vaikka ne eivät olisi käytössä, niin mahdolliset hyökkääjät kuitenkin löytävät ne varsin helposti. - Pidä kaikki palvelun tunnuksia käyttävät tietokoneet tietoturvalta ajan tasalla.
Palvelun tunnuksia käyttävien tietokoneiden tietoturvaa ei saa aliarvioida. Erittäin usein sähköpostista tai sivuston kautta saatu haittaohjelma onnistuu urkkimaan palvelun tunnukset ja lähettämään ne haitantekijöille. Onkin tärkeää pitää tietokoneen käyttöjärjestelmä ajan tasalla ja ostaa luotettava sekä kattava tietoturvasovellus suojaamaan tietokonetta haittaohjelmilta. - Ota säännöllisesti varmuuskopiot ja säilytä niitä useassa eri paikassa.
Vaikka palveluntarjoaja ottaakin varmuuskopioita tileistä on kuitenkin aina syytä ottaa myös itse erillisiä varmuuskopioita ja säilyttää niitä eri paikoissa. Näin selvitään yllättävistä ja poikkeuksellisistakin tilanteista.
CERT-FI haavoittuvuudet
16.05.12: 091/2012: QuickTime-ohjelmiston Windows-versiossa 7.7.2 korjattu useita haavoittuvuuksia
16.05.12: 090/2012: Chrome-selaimen versiossa 19 korjattu useita haavoittuvuuksia
14.05.12: 089/2012: Opera 11.64 for Windows -ohjelmiston päivityksessä korjattu haavoittuvuus
11.05.12: 088/2012: Päivitys OpenSSL-kirjastoon
03.05.12: 079/2012: OpenX-mainosalustan versioissa 2.8.0 - 2.8.8 haavoittuvuus
10.05.12: 087/2012: SAP Netweaverissa haavoittuvuuksia
10.05.12: 086/2012: Applelta päivityksiä OS X -käyttöjärjestelmään ja Safari-selaimeen
09.05.12: 085/2012: Adobelta neljä tietoturvatiedotetta
27.03.12: 057/2012: Ylivuotohaavoittuvuus Adobe Photoshop-kuvankäsittelyohjelmassa
04.05.12: 081/2012: Haavoittuvuus PHP-kielessä
Wordpress tietoturva (eng.)
20.04.12: WordPress 3.3.2 (and WordPress 3.4 Beta 3)
03.01.12: WordPress 3.3.1 Security and Maintenance Release
29.06.11: WordPress 3.1.4 (and 3.2 Release Candidate 3)
Joomla! tietoturva (eng.)
03.04.12: [20120307] - Core - Information Disclosure
03.04.12: [20120308] - Core - XSS Vulnerability
28.03.12: [20120305] - Core - Password Change
Drupal tietoturva (eng.)
02.05.12: SA-CORE-2012-002 - Drupal core multiple vulnerabilities
02.02.12: SA-CORE-2012-001 - Drupal core multiple vulnerabilities
27.07.11: SA-CORE-2011-003 - Drupal core - Access bypass
